Как защититься от «Плаксы», «Кролика» и других вирусов-шифровальщиков

На прошлой неделе отец моего приятеля потратил часть своей небольшой пенсии на билеты из Санкт-Петербурга в Москву, чтобы привезти сыну на восстановление зараженный шифровальщиком ноутбук. Фотографии с документами спасти не удалось. В прошлом году по тем же причинам целый день не работал небольшой магазин стройматериалов одной моей знакомой. Такие истории случаются все чаще. В этом материале я расскажу, как можно снизить риск заражения криптовымогателями.

Начнем с автоматически распространяющихся вирусов. Если вы уверены, что WannaCry (в переводе с английского — «хочется плакать») прогремел в 2017 году и закончил свой путь, то это не так. Эксперты Positive Technologies весь прошлый год сталкивались с WannaCry на ПК различных компаний. В большинстве случаев вирус находится в спящем режиме, иногда просыпаясь — так, в марте 2018 года вирус остановил завод в американском городе Норт-Чарлстон, где собирают детали для авиалайнеров Boeing, а в августе — конвейер TSMC.

Полтора года назад специалисты Kryptos Logic выяснили, что вредоносная программа проверяла существование домена «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com». Если сайт есть — процесс шифрования не начинался. В конце декабря 2018 года запросы от WannaCry шли с 630 тыс. уникальных IP-адресов из 194 стран мира. Таким образом, вирус находится «в спящем режиме» на более чем полумиллионе компьютеров, ожидая команды от домена-выключателя. Для активации вируса достаточно одной мощной DDoS-атаки.

Итак, чтобы избежать попадания WannaCry на свой ПК, надо сделать следующее:

  1. Установите исправления Microsoft, обратив внимание на наличие патча MS17-010. Это предотвратит распространение Wannacry в вашей сети.
  2. Отключите протокол SMBv1. Это также предотвратит распространение WannaCry в вашей сети. Процесс подробно описан на сайте Microsoft.

Для проверки наличия шифровальщика на компьютере можно использовать специальные утилиты, такие как Kaspersky Anti-Ransomware, Bitdefender Anti-Ransomware или Malwarebytes Anti-Ransomware.

Более «злым» вариантом WannaCry стал NotPetya — он просто портил главную загрузочную запись (MBR) загрузочного сектора диска, тогда как WannaCry шифровал только некоторые типы файлов. NotPetya использовал сразу тандем эксплойтов, EternalBlue и Mimikatz, и попадал на ПК не только с помощью протокола SMBv1, но и используя штатные инструменты Windows — WMI и PsExec.

Чтобы защитить ваш компьютер от NotPetya:

  1. Выполните действия, предназначенные для защиты от WannaCry.
  2. Создайте файл с именем perfc в папке C:\Windows и установите уровень доступа «Только чтение». Для этого переименуйте обычный текстовый файл в perfc и установите для него атрибут доступа «Только чтение» (пункт «Свойства» контекстного меню).

Аналогичным образом можно защитить ПК от «Плохого кролика» (BadRabbit):

  1. Выполните действия, предназначенные для защиты от WannaCry.
  2. Создайте файл C:\windows\infpub.dat и установите для него атрибут «Только чтение».

Но это еще не все.

Очень часто мы сами помогаем шифровальщиками оказаться на компьютере — скачиваем зараженные файлы из электронной почты, вставляем чужие флешки или скачиваем из торрента игры с вредоносным сюрпризом (именно так часто происходит заражение шифровальщиком Djvu). При этом специальные решения, в том числе антивирусы, не всегда успевают своевременно отслеживать появление очередной модификации вируса-вымогателя.

Чтобы случайно не открыть вредоносный исполняемый файл, маскирующийся под офисный документ, фотографию или видео, включите опцию «Показать расширения файлов» в параметрах Windows на вашем компьютере. Не нажимайте на файлы с расширениями .exe, .vbs и .scr, .js, .bat. Например, криптолокер старой школы Vault имеет расширение .js и является программой на языке JavaScript.

Защита важных файлов. Можно использовать решения для защиты важных файлов и памятных фотографий, например Ransom Buster. Другой способ — применять системы предотвращения вторжений (Host Intrusion Prevention System, HIPS), которые встроены в антивирусы. Одно из правил должно разрешать для выбранной папки действия программе, которая делает бэкап, а второе правило — запрещать подобные операции для всех остальных программ. Можно также сохранять «историю файлов», то есть их предыдущие версии. В Windows 10 для этого надо через поиск найти пункт «Восстановление файлов с помощью истории файлов».

Резервное копирование! Для ценных файлов лучше создать две резервные копии. Одна может быть в облаке, другая — на внешнем диске. После копирования физический носитель лучше отключать от основного компьютера, так как некоторые вымогатели умеют находить и зашифровывать резервные копии.

Ставьте обновления. Это может быть утомительно, но обновления безопасности выпускаются не просто так. В первую очередь патчить надо операционную систему. Поддерживайте также ваш антивирус в актуальном состоянии.

Если шифровальщик или блокиратор уже сделали свое черное дело

Необходимо помнить, что если заплатить выкуп, это не гарантирует расшифровку файлов. NotPetya, например, для этого и не предназначен. Попытаться вернуть свои данные можно с помощью специализированных утилит, таких как Trend Micro Lock Screen Ransomware Tool, или с помощью сервиса «Лаборатории Касперского» (noransom.kaspersky.com).

Важно также понимать, что универсальной серебряной пули от вирусов-шифровальщиков нет — их очень много, и распространяются они самыми различными способами — с помощью фишинга, соцсетей и т.д. В некоторых случаях злоумышленники взламывают систему через эксплойт и шифруют данные вручную. Защита от подобных атак — это уже другая история.

Изображение: Christiaan Colen | CC BY-SA 2.0


Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.