Программы-вымогатели и их распространение

Не проходит и недели, чтобы в заголовках газет не появлялись сообщения об кибервымогательстве. С ростом скорости распространения COVID-19 в современном мире, атаки ransomware становятся еще более разрушительными. Например, несчастная смерть пациента в одной из больниц Германии была связана с атакой ransomware, которая нарушила оказание неотложной помощи.

Что такое ransomware и как оно работает?

Ransomware (программа-вымогатель) — это форма компьютерного вредоносного ПО, используемого киберпреступниками для шифрования цифровых активов. Затем они угрожают жертве стереть их или выложить в открытый доступ, если не будет уплачен выкуп. Фишинг, вероятно, является наиболее распространенным методом распространения вредоносных программ, хотя опытные преступники также используют различные методы социальной инженерии для обмана жертв.

После того как вредоносная программа развернута и данные жертвы зашифрованы, злоумышленники выводят на экран некий экран с инструкциями по разблокировке файлов. Большинство программ-вымогателей используют RSA 2048 – чрезвычайно стойкое шифрование. Однако нет никакой гарантии, что хакеры разблокируют ваши файлы после получения выкупа.

Оплата выкупа неизменно предполагает использование криптовалюты (например, Bitcoin), поскольку она не имеет физического представления и хранится в анонимных цифровых кошельках. После оплаты мошенники предоставляют программное обеспечение для дешифровки, которое начинает тяжелый процесс расшифровки файлов.

Атаки растут по объему и серьезности

Атаки Ransomware в этом году выросли не только по объему, но и по серьезности. Согласно исследованиям, средняя сумма выкупа выросла на 100% в первой половине 2020 года и еще на 47% во второй половине года.

В то время как средняя стоимость атаки ransomware в 2020 году составит ошеломляющие 4,44 млн долларов США, на долю ransomware приходится почти 41% всех претензий по киберстрахованию в первой половине 2020 года.

Борьба с распространением

Профилактика всегда лучше, чем лечение. Тем не менее, в наши дни ransomware стали довольно распространенными и поражают даже те компании, которые используют современное программное обеспечение для защиты. В 2020 году Ransomware обогнали кражи с платежных карт и стали самым распространенным вектором кибератак.

Если вы недавно подверглись атаке ransomware, обязательно выполните следующие 5 шагов, чтобы восстановить контроль над своим компьютером:

1. Выясните, что это такое. Если ваша система подверглась атаке ransomware, то при открытии файлов вы начнете получать сообщения о том, что ваш файл поврежден или что он имеет неправильное расширение. Вы также увидите на экране инструкции о том, как внести выкуп (чтобы разблокировать эти файлы), а также обратный отсчет времени или крайний срок для внесения платежа.
2. Отключите компьютер. Немедленно отключите компьютер от любой сети и отключите WiFi и Bluetooth. Отключите любые устройства хранения данных, такие как USB или внешние жесткие диски. Чтобы обнаружить своего “нулевого пациента”, проверьте свойства зашифрованных файлов. Начните мониторинг процессов и посмотрите, не работает ли ваш CPU или GPU с чрезвычайно высокой нагрузкой посреди ночи.
3. Определите масштаб. Определите масштаб ущерба. Был ли зараженный компьютер подключен к сети, внешнему устройству хранения данных или даже облачному хранилищу, когда произошло заражение? Проявляются ли подобные симптомы на других компьютерах?
4. Определите вид. Ransomware имеет различные варианты. Одни шифруют файлы, другие крадут данные и имеют разную степень способности к распространению. Некоторые предлагают альтернативные биткойнам способы оплаты. Для некоторых малоизвестных видов существуют инструменты расшифровки, доступные в Интернете.
5. Оцените свой ответ. Запомните крайний срок для принятия решения. Определите масштаб вашего риска в случае удаления или обнародования данных в открытом доступе. По всей вероятности, у вас есть четыре возможных действия, которые мы описали ниже.

Вы также можете воспользоваться следующими советами:

• Восстановление из недавней резервной копии. Найдите все возможные резервные копии ваших данных. Ищите копии, отправленные по электронной почте, и копии, хранящиеся у облачных провайдеров (Google, Dropbox и т.д.). Ищите теневые копии, которые были созданы во время восстановления системы. Даже если у вас нет решения для резервного копирования, все равно стоит поискать, так как могут существовать способы восстановления файлов.
• Расшифруйте файлы с помощью стороннего инструмента-дешифратора. Некоторые крупные антивирусные компании и исследователи вредоносных программ опубликовали ключи шифрования для нескольких видов вымогательского ПО. Попытайтесь определить вирус и посмотрите, доступен ли соответствующий дешифратор. Убедитесь, что программа разблокировки получена из надежного источника.
• Ничего не делать (потерять свои данные). Очистите пораженный компьютер. Не лишним будет сделать резервную копию зашифрованных файлов на случай, если в будущем эксперты по безопасности найдут ключи дешифровки для вирусов ransomware.
• Вести переговоры/платить выкуп. Если вы исчерпали все возможные варианты, единственным выходом может быть уплата выкупа. Большинство специалистов по безопасности рекомендуют не платить выкуп, поскольку уплата выкупа стимулирует новые атаки вымогателей в будущем, а сама выплата может оказаться бесполезной.

Выплата выкупа не заканчивает испытания

Исследования показывают, что уплата выкупа удваивает средние затраты на атаки ransomware в будущем. Для предотвращения атак ransomware предприятия должны использовать подход “защита в глубину”. Это означает, что необходимо сочетание хорошей защиты конечных устройств, средств предотвращения потери данных (DLP), фильтров спама, резервного копирования, сегментации сети и обучения сотрудников мерам безопасности.

Поскольку 95% всех нарушений начинаются с фишинговых писем, компании должны обеспечить хорошую “кибергигиену” и обучить сотрудников распознаванию мошеннических действий в Интернете.

Итоги

За последние два года проблема достигла невероятных масштабов. Да, она была и раньше, когда компьютер заражался вирусом и для восстановления требовалась переустановка операционной системы, однако, на данный момент, любая компания или организация хранит почти всю информацию на электронных носителях, на которые как раз и нацелены вымогатели. Не платите выкуп, следите за состоянием и поведением своего ПК или ноутбука, а самое главное, не забывайте про страхование от подобных случаев, и тогда, именно вы сможете предотвратить распространение вымогательского ПО.

Больше интересных статей о киберрисках и киберстраховании на нашем ресурсе:

• Киберстрахование: зачем защищать информацию?

• Киберстрахование — это уже не роскошь, а необходимость

• Киберстрахование в России: mission impossible

• Общая база киберпреступлений

Оставайтесь с нами на Calmins.com, впереди много интересного!

Calmins.com ©

Источники: propertycasualty360.com