Комментарии 17
Очень интересно было почитать, спасибо за статью!
> Следует использовать хороший антивирусный продукт с функцией проактивной защиты HIPS и защитой от фишинга.
Использую ESET Smart Security, дважды на почту приходило что-то типа «Важный документ.doc.js» в архиве, и оба раза антивирус ничего не видел. Справедливости ради надо сказать, что на VirusTotal в обоих случаях детектили только 2-3 продукта, не являющиеся широко известными.
> Обращайте внимание на скрытые расширения файлов и не переходите по ссылкам в сообщениях, полученных из неизвестных источников.
Стоит вообще отключить исполнение скриптов типа js через политики. А exe через почту в любом случае не пройдёт.
> Используйте резервное копирование файлов и выполняйте его как можно чаще.
Параноики советуют использовать оффлайн хранилище, иначе вымогатель имеет шанс зашифровать и бекапы тоже.
Использую ESET Smart Security, дважды на почту приходило что-то типа «Важный документ.doc.js» в архиве, и оба раза антивирус ничего не видел. Справедливости ради надо сказать, что на VirusTotal в обоих случаях детектили только 2-3 продукта, не являющиеся широко известными.
> Обращайте внимание на скрытые расширения файлов и не переходите по ссылкам в сообщениях, полученных из неизвестных источников.
Стоит вообще отключить исполнение скриптов типа js через политики. А exe через почту в любом случае не пройдёт.
> Используйте резервное копирование файлов и выполняйте его как можно чаще.
Параноики советуют использовать оффлайн хранилище, иначе вымогатель имеет шанс зашифровать и бекапы тоже.
Как вариант, сервер может снаружи внутрь лезть на клиент (с клиента писать нельзя). Потом делает копию с версионированием. Беда только, если глубина бэкапа будет недостаточная для обнаружения повреждения. В итоге рабочей копии не будет. Но обычно с этим нет проблем. Убитые файлы на рабочей станции чаще всего сразу видно.
Как еще вариант, сервер для бэкапов живет в сети, каталог для новых копий расшарен с правами create-only. То есть создать новую резервную копию в сетевом хранилище любая рабочая станция может, а изменить или удалить старые — уже нет. Проблема глубины решается дифференциальными копиями.
Это сводит вопрос к тому, будут ли в вирус-шифровальщик встраивать отдельный код для поиска и эксплуатации уязвимостей сервера бэкапов в локальной сети. Как показывает практика, с этим никто из вирусописателей не заморачивается.
Это сводит вопрос к тому, будут ли в вирус-шифровальщик встраивать отдельный код для поиска и эксплуатации уязвимостей сервера бэкапов в локальной сети. Как показывает практика, с этим никто из вирусописателей не заморачивается.
Я не знаю, как у ESET, а Kaspersky Endpoint Security, если гадость ещё не попала к нему в базы, ловит её на этапе шифрования. Я недавно на стенде запустил шифровальщик — KES на него посмотрел пару секунд, грохнул процесс и откатил все изменения. Данные не пострадали.
Возможно, у ESET тоже есть какие-нибудь именно поведенческие сигнатуры.
Возможно, у ESET тоже есть какие-нибудь именно поведенческие сигнатуры.
Остаётся непонятным, почему Роснадзор блокирует доступ к вполне легальным сайтам и не блокирует доступ к серверам, которые используются злоумышленниками. Если выяснить, с каким сервером общается криптолокер — то можно помешать злоумышленнику получить деньги; а это поможет отвратить злоумышленников от такого способа ограбления честных людей.
Кстати, а позволяет ли Windows каким-то образом изменить привилегии сервиса File History? Таким образом можно было бы сильно ограничить доступ на запись к разделу/диску с бекапами. Понятно, что шифровальщик может и поднять свои привилегии через некую уязвимость, но всё равно хоть какая-то защита.
Случаи с Linux были?
Вот, например, хотя не то чтобы что-то интересное.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Механизмы шифрования в современных вымогателях