Криптиращи атаки и зловредни вируси – как да се защитим от кибер заплахите

Криптиращи атаки и зловредни вируси – как да се защитим от кибер заплахите

Вече писахме за атаките от типа заключване на файлове срещу откуп или иначе казано ransomware. Те се използват от няколко години, но през последните две години жертви на кибер рекета станаха милиони интернет потребители по цял свят, като хакерите измислят нови начини за пробиване на сигурността и добиване на достъп до лични данни.

През 2013та CryptoLocker нанесе щети за близо 3 млн. долара, а до юни 2015 CryptoWall - цели 18млн. долара, според данни на ФБР. От април 2015та до март 2016г. близо 56% от всички криптирани мобилни устройства бяха засегнати от вирусът Fusob. През май 2017та WannaCrypt/WannaCry вирусът се разпространи по Мрежата и атакува операционната система Windows, като само за един ден бяха похитени над 230 хиляди компютри в близо 150 страни.

Според данни на Kasperski Lab, които са компания занимаваща се с кибер сигурност и са създатeли на една от най-популярните антивирусни програми в света, потребителите, които са се сблъскали с ransomware вируси от април 2016 до март 2017г., са с 11, 4% повече от предходните 12 месеца. Според статистиката им са атакувани над 2,580 млн. човека, като за сравнение от април 2015г. до март 2016г. са атакувани близо 2.3 млн. потребителя. Анализаторите от Kasperski Lab казват, че кибер престъпниците таргетират все по-често бизнеса, тъй като тяхното заразяване се оказва много по-печелившо и се атакуват държави, които преди не са били засегнати от този тип вируси и които реално не са подготвени за тази заплаха.

На 13 май от Microsoft пуснаха ъпдейт на версиите на Windows, но тъй като много потребители не инсталираха новите пачове, милиони компютри останаха незащитени срещу WannaCry, сред които много държавни институции по цял свят. Все още този вирус е активен макар и в по-малки граници, а през изминалия месец бяхме заляти от поредната порция криптиращи атаки с вируса NotPetya, използващи същия експлойт EternalBlue.

Новият зловреден софтуер NotPetya атакува милиони потребители онлайн на 27 юни , като се прицели в големи корпорации, нефтени компании, украински банки, телекоми и много международни компании. От Kasperski Lab казват, че този вирус е вариант на ransomware-a Petya ( който съществува от 2016), но използва различна уязвимост от него и затова го кръщават NotPetya.

Вирусът Petya не криптира отделните файлове на компютъра, а главната файлова таблица (master boot record (MBR) / master file table/ MFT) на хард диска, презаписвайки bootloader-a на Windows. NotPetya произлиза от вируса Petya, но за разлика от него използва EternalBlue експлойта за Windows, който се възползва от уязвимост в SMB протокола. Специалистите казват, че този вирус е много по-опасен дори от WannaCry, тъй като той не цели криптирането на данни, а тяхното пълно унищожение. В този смисъл анализаторите казват, че реално NotPetya не работи като ransomware, а е силно унищожителен malware.

Вирусът засегна силно Украйна, парализирайки правителствени служби, централната банка, летища, обществения транспорт и много компании в навечерието на техния официален празник Деня на конституцията 28 юни. Засегнати са дори компютрите на атомната електроцентрала Чернобил, като мониториращите системи на радиацията спират да работят и контролът се извършва ръчно.

ukraine-notpetya

Какви са последствията от ransomware атаките?

Ransomware атаките много трудно се митигират и ограничават. Веднъж завзели едно компютърно устройство, те не могат да бъдат спрени и жертвите трябва да заплатят немалки суми, за да разкодират обратно своите файлове. Тъй като заплащането се осъществява в биткойни (bitcoin – най-използваната виртуална валута на Интернет), става още по-трудно идентифицирането на създателите на тези вируси и тяхното залавяне.

Още по-лошото е, че дори да платите има голяма вероятност вашите файлове да не бъдат възстановени. Това е така, защото имейл адресите, които се използват от кибер престъпниците, биват спирани бързо от доставчиците на определените имейл услуги и те не могат да получат уведомителните електронни писма за извършеното плащане.

Как да се защитите от NotPetya?

За да спасите файловете от криптация от NotPetya вирусаса, пециалистите препоръчват да не позволявате на устройството да се рестартира. Т.е. NotPetya работи като криптира файловете при рестарт на системата. За да го предотвратите, в момента, когато видите съобщение за криптация, трябва да изключите веднага компютъра си и да не го включвате отново. По този начин ще спрете процеса и можете да реставрирате файловете си чрез използването на LiveCD или друга външна машина.

За да се предпазите от атака дори при заразяване с NotPetya, специалистите препоръчват предварително да създадете read-only файл C:\Windows\perfc.dat, което ще спре зловредното влияние на вируса, но компютърът ви все още ще бъде заразен и може да разпространява този malware. Също така можете да деактивирате SMBv1W протокола, който от Microsoft смятат да премахнат при следващия ъпдейт на Windows 10. Препоръчва се да деактивирате WMIC (Windows Management Instrumentation Command-line).

Как да се предпазите от ransomware атаки и зловредни софтуери?

За да се предпазите от криптиращи вируси и зловредни софтуери, когато сърфирате в Интернет или използвате Мрежата за споделяне и сваляне на файлове, се отнасяйте с внимание към уебсайтовете, в които влизате и приложенията, които използвате. Отнасяйте се с недоверие към съмнителни имейли с прикачени файлове и влизайте в сайтове, които са ви познати и притежават нужните защити, като активен SSL сертификат издаден от Сертифициран авторитетен SSL издател, който валидира даден бизнес (EV или OV сертификат).

За да ограничите зловредното действия на криптовирусите, ви съветваме:

Да поддържате вашите приложения и операционна система винаги ъпдейтнати.

Използвайте антивирусна програма. Компаниите, които се занимават с кибер защита се стремят бързо да ъпдейтнат своите софтуери, за да могат техните милиони потребители на момента да се защитят от опасността.

• Интересна новина от последните дни е съобщението на Microsoft, че с последният ъпдейт на антивирусния софтуер Windows Defender Antivirus за Windows 10 зловредните софтуери ще бъдат засичани и блокирани за 10 секунди.

Бекъп, бекъп и пак бекъп! Винаги правете чести архивни копия на вашите критични системи, не се доверявайте само на софтуерни защити, а се подсигурете в случай на заразяване. Бекъпите (без значение дали става въпрос за личен компютър или хостинг план) трябва да се правят регулярно на отдалечена инфраструктура. За целта можете да използвате външен хард диск, подходяща хостинг услуга, като Cloud, VPS , Нает сървър или безплатните варианти за съхранение на файлове (където обаче имате ограничено място за съхранение), като Dropbox, Google Drive и други . Винаги правете няколко различни бекъп копия – дневни, седмични и месечни. По този начин, дори ако вашите системи са архивирани в даден момент съдържащи зловреден софтуер, можете да върнете предно копие, което е „чисто“. Ако използвате Споделения хостинг, предлаган от ICN.Bg, имате включени до 30 бекъп копия на всички качени файлове, с помощта на R1 софтуера, достъпен във вашия cPanel контролен панел. Те са разположени на отдалечена инфраструктура и дават възможност да възстановите бързо архивно копие на един сайт. Ако използвате VPS, Cloud или Нает сървър, бекъпът не е включен по подразбиране и трябва да помислите за подходящо решение.

Съхранявайте чувствителна и важна фирмена информация отдалечено. Една от сериозните грешки на малките компании е да съхраняват своите бизнес файлове локално на компютрите, на които работят. Помислете за отдалечен сторидж, като Cloud или Нает сървър предоставени от надежден хостинг доставчик.

Образовайте служителите си! Много често вирусите се разпространяват от един компютър на друг чрез локалната мрежа, с флашка или имейл. Проведете обучение по кибер сигурност на хората, които работят в компанията, като наблегнете на основните точки, които са важни за безопасността:

-да не се влиза в съмнителни сайтове от компютрите на компанията;

-да не се отварят съмнителни електронни писма от непознати изпращачи;

-да се форматират често външните преносители на данни, като флашки и въшни харддискове, за да се избегне разпространяването на един вирус;

-да се използват антивирусни програми, които да се ъпдейтват често и с които ежедневно да сканирате компютърните устройства;

-да се използва само лицензиран и надежден софтуер, който също трябва да бъде ъпгрейднат до последна версия;

-да не се инсталират съмнителни файлове, за които компютърът ви пита дали искате да направят промени по вашето устройство (например съобщения от типа: Do you want to allow this app from an unknown publisher to make changes to this device?);

Спрете всякакъв достъп до торент тракери и други сайтове, които предлагат свободно и неконтролируемо качване и сваляне на файлове;

Ограничавайте качването на файлове на сървърите на компанията. Въпреки че ransomware вирусите често използват експлойти за Windows, за да „превземат“ дадено устройство използващо тази операционна система, ако един вирус е качен на фирмения сървър, докъдето имат достъп всички служители, той може да се разпространява необезпокоявано оттам и да зарази всички свързани машини. Ето защо не позволявайте безконтролното качване на файлове и бъдете предпазливи с информацията, която се съхранява отдалечено.

Защитете вашия хостинг акаунт. От хостинг компания ICN.Bg ограничаваме потребителите един от друг и не позволяваме заразяването да други хостинг акаунти, в случай че даден потребител е качил заразени с вирус файлове на своя хостинг план. Въпреки това ви съветваме да преглеждате и да сканирате файловете, които качвате на вашия хостинг план за вируси, за да не бъдат приложенията ви изложени на заплахи. Можете да сваляте регулярно файловете на вашия сайт на компютърната си машина и да ги сканирате за зловреден malware с помощта на антивирусна програма.

Имайте предвид, че ако имате хостинг план, върху който сте разположили няколко сайта (например сайт на WordPress и един на Joomla) и един от тях е заразен, то той ще зарази и другите сайтове на същия хостинг план. Затова ви препоръчваме да ъпдейтвайте вашите приложения, CMS системи и платформи винаги до последната версия, като така ще минимизирате възможността от използването на експлойти и заразяване със зловредни вируси.

От хостинг компания ICN.Bg подхождаме с особено внимание към сигурността на информацията, която те съхранява на сървърите ни и личните данни на нашите потребители. Инфраструктурата ни непрекъснато търпи обновления, целящи внедряване на най-новите кибер защити, като персонализиран Web application Firewall, Radware Defence Pro оборудването за предпазване от DDoS атаки и още много други методи за повишаване на сигурността.

Можем да се похвалим, че през 2017г. се сертифицирахме по ISO 27001 :2013 ( Системи за управление на сигурността на информацията), който доказва нашата ангажираност към защитата на чувствителните бизнес данни на потребителите ни. За нас това е поредната стъпка, която е насочена към повишаване на кибер сигурността и доверието на потребителите на услугите ни и е заслужена награда за сериозните усилия, които полагаме за предпазването на персоналната ви информация. Ще продължим и занапред да се грижим с внимание за чувствителните данни, които ни предоставяте и ще търсим нови методи за защита, които да отговорят адекватно и навременно на еволюиращите кибер заплахи.

Етикети: #кибер-сигурност #защита #кибер-заплахи #internet-security #personal-information #ddos #crypto-virus #bitcoin #iso-27001 #radware-defence-pro #software #malware #virus