Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков

Методическое пособие для практических

занятий по курсу Курс DWCERT-070-6

Версия документа 2.0

Дата последнего изменения 02 декабря 2015 года

Содержание

1. В чем особенность (опасность) программ-шифровальщиков?. 3

2. Особенности настройки антивирусного ПО для защиты от действий
программ-шифровальщиков. 5

2.1. Настройка действий Dr. Web Security Space c вредоносными файлами. 7

2.2. Настройка системы обновлений Dr. Web Security Space. 8

2.3. Настройка компонента Dr. Web Cloud. 12

2.4. Настройка параметров Dr. Web Security Space, обеспечивающих обнаружение ранее неизвестных вредоносных файлов. 14

2.5. Функционал «Защита от потери данных». 18

2.6. Ограничения возможности проникновения программ шифровальщиков на компьютер. 20

3. Рекомендации компании «Доктор Веб» по защите компьютера от программ-шифровальщиков. 26

3.1. Включение показа расширений имен файлов. 28

4. Действия пользователя в случае обнаружения зашифрованных файлов и/или появления требования выкупа. 29

4.1. Утилиты дешифровки. 29

4.2. Где могут находиться файлы программ-шифровальщиков. 30

1.  В чем особенность (опасность) программ-шифровальщиков?

На данный момент одной из основных проблем, с которой сталкиваются администраторы локальных сетей и отдельные пользователи, являются действия программ-шифровальщиков — троянцев семейства Trojan. Encoder.

Внимание! Если вы получили требование о выкупе — не связывайтесь со злоумышленниками. В более чем 50% случаев после оплаты вы не получите дешифратор и потеряете деньги.

Внимание! Даже если вы заплатите выкуп злоумышленнику, никакой гарантии восстановления информации это вам не дает. Зафиксирован случай, когда злоумышленники сами не смогли расшифровать зашифрованные ими файлы
и отправили пострадавших в службу технической поддержки компании «Доктор Веб».

Первые троянцы-шифровальщики семейства Trojan. Encoder появились
в 2009 году. За следующие пять лет число только их основных разновидностей увеличилось примерно на 1 900%, и в настоящее время Trojan. Encoder имеет несколько тысяч модификаций — каждый день в антивирусную лабораторию Dr. Web попадает не менее десятка новых образцов. Троянцы-шифровальщики существуют не только для ПК(операционных систем MS Windows и Linux),
но и для мобильных устройств.

Как правило, троянцы-шифровальщики обнаруживают на компьютере
и/или в локальной сети файлы с определенными расширениями (например,
но не только *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar) и шифруют их.
Отдельные представители семейства могут шифровать и иные файлы.

Восстановление файлов, которые успел зашифровать троянец, является непростой задачей. Иногда файлы расшифровываются путем подбора
паролей-ключей к используемым видам шифрования, но достаточно часто шифровальщики используют самые стойкие методы шифрования.
Некоторые вирусы-шифровальщики требуют месяцев непрерывной дешифровки (Trojan. Encoder.567), а другие (Trojan. Encoder.283)
и вовсе не поддаются корректной расшифровке.

Основная проблема, связанная с троянцами семейства Trojan. Encoder, связана
с системой их разработки, используемой злоумышленниками.
В процессе разработки производится тестирование создаваемых вредоносных программ на необнаружение актуальными антивирусными решениями.
В результате чего до попадания на анализ в антивирусные лаборатории
и выпуска обновлений данные вредоносные программы не обнаруживаются
до получения обновлений антивирусными решениями — в том числе
с помощью эвристических механизмов.

Продукты Dr. Web успешно удаляют любые известные варианты троянцев-шифровальщиков и в том числе позволяют обезвреживать даже еще
не попавшие в антивирусную лабораторию модификации. Используемые
в продуктах Dr. Web технологии существенно затрудняют злоумышленникам создание принципиально новых образцов вредоносных программ,
не обнаруживаемых средствами антивирусного ядра Dr. Web.

Расширить возможности защиты компьютеров, на которых установлен другой сигнатурный антивирус (не Dr. Web) может использование Dr. Web Katana.

Более подробная информация о троянцах-шифровальщиках находится
по адресу http://antifraud. drweb. ru/encryption_trojs.

2.  Особенности настройки антивирусного ПО для защиты
от действий программ-шифровальщиков

Троянец-шифровальщик, еще неизвестный системе антивирусной защиты, может проникнуть в локальную сеть или на отдельный компьютер через спам (как правило, сообщение содержит вложение или специально сформированную ссылку), с помощью сообщения мессенджера (также содержащего ссылку), с зараженного сайта или на зараженной флешке. Само заражение вполне может произойти незаметно — современные вредоносные программы создаются так, чтобы пользователь не замечал их работы до нужного злоумышленникам момента — пока файлы на компьютере не будут зашифрованы и/или не появится сообщение с требованием выкупа.

Внимание! Небрежное отношение к защите персональных данных среди ваших знакомых и партнеров приводит к тому, что письмо с шифровальщиком может прийти от имени известного получателю человека или организации — например, от налоговой инспекции или банка. Более того, письмо может быть адресовано именно получателю!

1.  Если неизвестные варианты троянцев семейства Trojan. Encoder проникают на компьютер, то, как правило, они распознаются и удаляются с него не ранее, чем будет получено ближайшее обновление антивирусных средств защиты. Поэтому обновлять вирусные базы нужно как можно чаще — не реже чем раз в час.

2.  При наличии доступа в Интернет включите использование компонента Dr. Web Cloud (он есть в продуктах Dr.Web Security Space (для Windows), Dr.Web Desktop Security Suite (для Windows), лицензия Комплексная защита, а также Dr.Web Katana. Это позволяет находить новейшие вредоносные файлы еще быстрее, т. к. информация о них становится доступной системе защиты до получения соответствующего обновления.

3.  Преступники создают сотни и тысячи новых образцов вредоносных программ в день, и гарантировать, что файловый антивирус, ищущий вирусы на основе знаний, хранящихся в вирусных базах, обнаружит их
в момент проникновения — наивно. Обеспечить обнаружение неизвестных представителей семейства Trojan. Encoder может модуль превентивной зашиты, с помощью поведенческого анализатора контролирующий попытки злоумышленников выполнить нужное им действие, «на лету» сравнивая поведение запускаемых программ с поведением троянцев-шифровальщиков.

Внимание! Существенно затруднить проникновение неизвестных образцов вредоносных программ может настройка параметров работы Родительского контроля и Превентивной защиты. Ограничив права доступа пользователей
(а значит и запускаемых программ) к файлам и папкам, установив ограничения для программ по доступу к различным системным ресурсам мы создаем конфигурацию, гарантирующую сохранение наших данных. Даже если вредоносная программа не известна антивирусному ядру и превентивной защите, в этих условиях она не сможет запуститься или запустится, но будет обнаружена при первой попытке обращения к контролируемому системному ресурсу.

4.  К сожалению, даже использование превентивной зашиты, позволяющей Dr. Web обнаруживать даже неизвестные варианты шифровальщиков,
не позволяет полностью предотвратить шифрование файлов — на компьютере с установленным Dr. Web за время анализа подозрительного процесса шифровальщик может успеть зашифровать до десятка файлов. Для предотвращения потери данных необходимо настроить компонент «Защита от потери данных», входящий в состав Dr. Web Security Space,
а также Dr.Web Desktop Security Suite (для Windows), лицензия Комплексная защита.

Внимание! В связи с тем, что возможности по противодействию программам шифровальщикам у решений Dr. Web Security Space
и Dr.Web Desktop Security Suite (для Windows), лицензия Комплексная защита одинаковы, все примеры настроек будут рассматриваться
на примере Dr. Web Security Space — с указанием различий в функционале, имеющимся между продуктами.

2.1.  Настройка действий Dr. Web Security Space c вредоносными файлами

Для восстановления данных из зашифрованных файлов желательно иметь
сам вредоносный файл, который произвел данное действие. Кроме того вредоносные файлы семейства Trojan. Encoder относятся к неизлечимым объектам. Поэтому по отношению к ним необходимо использовать действие перемещать в карантин.

Внимание! Запуск антивирусного сканера может привести к внесению изменений в данные и их атрибуты, имеющиеся на компьютере. Это в свою очередь может привести к невозможности дальнейшего анализа компьютерного инцидента или предоставления данных в качестве вещественного доказательства. Рекомендуется все действия по восстановлению данных проводить на образе жесткого диска, полученном в соответствии с процессуальными нормами.

Кликните на значок в системном меню, затем в открывшемся меню последовательно нажмите на (Режим администратора) и появившийся значок (Настройки). В открывшемся окне Настройки выберите пункт Компоненты защиты и далее SpIDer Guard.

Аналогичные настройки необходимо использовать и при проведении антивирусного сканирования. Настройки производятся в том же окне,
что и настройки SpIDer Guard, но в разделе Сканер.

2.2.  Настройка системы обновлений Dr. Web Security Space

Для настройки параметров обновлений последовательно кликните на значок в системном меню, затем в открывшемся меню последовательно нажмите на и появившийся значок .

В открывшемся окне Настройки выберите Основные → Обновление.

По умолчанию антивирус обновляется с серверов компании «Доктор Веб».
Для того чтобы изменить источник обновлений, выберите Изменить.

Доступны три варианта:

В случае если выполняется обновление из локальной папки, нужно указать адрес папки и параметры доступа к ней.

Аналогичным образом следует поступить при обновлении
с антивирусного сервера.

Для того чтобы провести обновление вручную или проверить статус обновлений, кликните на значок в системном меню и выберите .

Для обновления вручную нажмите на кнопку Обновить.

2.3.  Настройка компонента Dr. Web Cloud

Использование компонента Dr. Web Cloud предлагается уже в процессе инсталляции продукта Dr. Web Security Space. Для работы компонента достаточно оставить по умолчанию значение параметра
Я хочу подключиться к облачным сервисам Dr.Web Cloud. После завершения установки запрос репутации для каждого проверяемого объекта будет происходить автоматически и практически не требует расхода ресурсов защищаемого компьютера.

Если в ходе инсталляции компонент Dr. Web Cloud не был включен, кликните последовательно на значки и . Затем нажмите на появившийся значок .

В открывшемся окне Настройки выберите пункт меню
Основные → Dr.Web Cloud.

В открывшемся окне выберите Я хочу подключиться к сервисам.

2.4.  Настройка параметров, обеспечивающих обнаружение ранее неизвестных вредоносных файлов

Обнаружение еще неизвестных представителей семейства Trojan. Encoder обеспечивается модулем Превентивная зашита, контролирующим попытки вредоносных программ выполнить нужное им действие, «на лету» сравнивающим поведение запускаемых программ с поведением троянцев-шифровальщиков.

Обнаружение ранее неизвестных вредоносных программ обеспечивается фоновой проверкой запущенных процессов, а также периодической антивирусной проверкой — по расписанию или требованию.

Подсистема фонового сканирования и нейтрализации активных угроз реализована в рамках Антируткита Dr. Web. Данная подсистема постоянно находится в памяти и осуществляет поиск активных угроз в следующих критических областях Windows: объекты автозагрузки, запущенные процессы
и модули, эвристики системных объектов, оперативная память, MBR/VBR дисков, системный BIOS компьютера. При обнаружении угроз данная подсистема может оповещать об опасности пользователя, осуществлять
лечение и блокировать опасные воздействия.

Для настройки параметров превентивной защиты кликните на значок
в системном меню, затем в открывшемся меню последовательно нажмите на
и появившийся значок .

В открывшемся окне Настройки выберите пункт Компоненты защиты
и далее Превентивная защита.

Внимание! В продукте Dr. Web Katana компонент Превентивная защита переименован:

Чтобы настроить реакцию антивируса на действия сторонних приложений, которые могут привести к заражению вашего компьютера, установите необходимый уровень блокировки подозрительных действий. Настройка параметров превентивной защиты позволяет держать под контролем все попытки изменения критических областей Windows. Для изменения настроек превентивной защиты нажмите Изменить параметры блокировки подозрительных действий.

В режиме работы Оптимальный, установленном по умолчанию, запрещается автоматическое изменение системных объектов, модификация которых однозначно свидетельствуют о попытке вредоносного воздействия на операционную систему. Также запрещается низкоуровневый доступ к диску
для защиты системы от заражения буткитами и троянцами-блокировщиками, которые заражают главную загрузочную запись диска. Для предотвращения блокировки доступа к обновлениям антивируса через Интернет и блокировки доступа на сайты производителей антивирусов запрещается модификация файла HOSTS.

При повышенной опасности заражения необходимо увеличить уровень защиты до Среднего. В данном режиме дополнительно запрещается доступ к тем критическим объектам, которые могут потенциально использоваться вредоносными программами.

Внимание! В этом режиме защиты возможны конфликты совместимости
со сторонним программным обеспечением, использующим защищаемые ветки реестра.

При необходимости полного контроля за доступом к критическим объектам Windows можно поднять уровень защиты до Параноидального. В данном случае будет доступен интерактивный контроль за загрузкой драйверов
и автоматическим запуском программ.

Чтобы самостоятельно настроить параметры работы превентивной защиты, отметьте необходимый уровень доступа к защищаемым объектам. Режим автоматически сменится на Пользовательский. Пользовательский режим позволяет гибко настроить реакцию антивируса на определенные действия, которые могут привести к заражению вашего компьютера.

Для включения режима проверки на руткиты в окне Настройки выберите Компоненты защиты → SpIDer Guard. В открывшемся окне нажмите
на Дополнительные настройки.

По умолчанию функция проверки на руткиты включена.

2.5.  Функционал «Защита от потери данных»

Для настройки параметров «Защиты от потери данных» кликните на значок
в системном меню, затем в открывшемся меню последовательно нажмите на и появившийся значок .

В открывшемся окне перейдите в раздел Защита от потери данных
и включите автоматическое создание копий ваших данных, нажав
на переключатель.

Далее необходимо указать файлы и папки, которые будут сохраняться.

Для добавления файлов и папок нажмите на значок и укажите необходимые объекты защиты.

Периодичность создания копий и место их хранения можно указать, выбрав пункт Копировать файлы...

2.6.  Ограничение возможности проникновения программ шифровальщиков
на компьютер

Троянец-шифровальщик может проникнуть в локальную сеть или на отдельный компьютер через спам (как правило, сообщение содержит вредоносное вложение или специально сформированную ссылку), с помощью сообщения мессенджера (также содержащего ссылку), путем загрузки шифровальщика самим пользователем с зараженного сайта или на зараженной флешке.
Для снижения риска заражения необходимо использовать антиспам, а также ограничить возможность работы с потенциально опасными ресурсами сети Интернет и сменными носителями.

Для настройки режима доступа к ресурсам сети Интернет, а также ограничения доступа к файлам и папкам, последовательно кликните на значки и .
Затем нажмите на появившийся значок и в окне Настройки перейдите
к пункту меню Родительский контроль.

В открывшемся окне выберите пользователя, для которого необходимо настроить ограничения и сделать необходимые настройки.

По умолчанию ограничения отключены.

Для настройки ограничений к сменным носителям в окне Настройки выберите Основные → Устройства.

В данном окне выберите Ограничивать доступ к сменным носителям. Далее нажмите на Изменить для классов устройств и выберите необходимые классы устройств.

После этого появится возможность настройки для раздела Белый список устройств. Если необходимо использовать только разрешенные сменные носители, нажмите на Изменить → .

В открывшемся окне нажмите Обзор и выберите необходимое устройство.

Подтвердите выбор, нажав OК.

Если необходимо разрешить использование данного носителя только
для определенных пользователей компьютера, нажмите и выберите необходимого пользователя.

Укажите права по использованию данного устройства.

Подтвердите выбор.

3.  Рекомендации компании «Доктор Веб» по защите компьютера от программ-шифровальщиков

Статистика показывает, что в более чем в 90% случаев жертвы запускают шифровальщиков собственными руками.

·  Не следует соглашаться на предложения в сети Интернет запустить вложение или открыть документ (обычно это специально сформированные злоумышленниками файлы в форматах doc и pdf, также зачастую помещаемые в архивы с форматами.zip, .rar, .7z и .cab., в связи с тем,
что проверка архивов часто отключается для увеличения быстродействия).

·  Используйте решения, имеющие функционал резервного копирования (создания копий файлов или всей системы). Крайне не рекомендуется создавать резервные копии копированием файлов вручную, а также хранить резервные копии на самом компьютере. Не рекомендуется хранить резервные копии на ином жестком диске или сетевой папке, доступ к которой имеется с локального компьютера. Рекомендуется использовать съёмные носители и/или облачные хранилища, а также создавать или хранить резервные копии в зашифрованном виде. Таким образом, файлы будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники.

Внимание! До создания резервной копии следует убедиться, что копируемые файлы уже не зашифрованы и не замещают незашифрованные версии файлов.

Начиная с ОС Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создает резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела.

Внимание! Использование данной службы не защищает от действий программ-шифровальщиков, так как они могут отключать данную службу и уничтожать ранее сделанные копии.

·  Не открывайте почтовые вложения от неизвестных отправителей. В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника — убедить пользователя открыть вложение из письма или перейти по ссылке.

·  Если ваши данные зашифровали, не стоит использовать без консультации со специалистами программы для расшифровки данных, менять расширения зашифрованных файлов и т. д. В результате этих действий вы можете окончательно потерять свои данные — их не сможет найти и восстановить даже специальная утилита расшифровки.

·  Включите показ расширений файлов (см. ниже п. 3.1). Отсутствие показа расширений приводит к тому, что жертвы не видят, что на самом деле находится внутри архивов.

·  Используйте только лицензионные программы.

·  Своевременно устанавливайте обновления безопасности операционной системы и всех установленных на вашем компьютере программ.

·  Настройте права доступа для всех пользователей, работающих на компьютере, к используемым ими данным и сетевым папкам. В противном случае заражение компьютера может привести к шифрованию всех документов для всех пользователей — в том числе на всех сетевых папках.

Более подробная информация по действиям в случае заражения шифровальщиком расположена по адресам http://legal. drweb. ru/encoder.

3.1.  Включение показа расширений имен файлов

Для того чтобы включить отображение расширений файлов:

·  Для Windows XP: в меню Пуск выберите Настройки → Панель управления → Свойства папок и снимите галочку для параметра Скрывать расширения для зарегистрированных типов файлов.

·  для Windows 7: на клавиатуре нажмите левый Alt. В появившемся меню нажмите Сервис → Параметры папок, в открывшемся окне перейдите на вкладку Вид и в списке дополнительных параметров снимите галочку для параметра Скрывать расширения для зарегистрированных типов файлов.

·  для Windows 8/8.1: откройте любую папку или запустите Проводник Windows 8, нажав клавиши Windows + E. В главном меню проводника перейдите на вкладку Вид и установите галочку напротив строки Расширения имен файлов — если она отмечена, то расширения показываются (не только в выбранной папке, но и везде на компьютере), если нет — расширения скрыты.

4.  Действия пользователя в случае обнаружения зашифрованных файлов и/или требования выкупа

Чтобы увеличить шансы на успешное восстановление зашифрованных данных, ни в коем случае нельзя:

·  менять расширение у зашифрованных файлов;

·  переустанавливать систему;

·  использовать самостоятельно — не имея рекомендаций специалистов технической поддержки компании «Доктор Веб» — какие-либо программы для расшифровки/восстановления данных;

·  удалять/переименовывать какие-либо файлы и программы (в том числе временные);

·  если было запущено антивирусное сканирование — нельзя предпринимать никаких необратимых действий по лечению/удалению вредоносных объектов.

4.1.  Утилиты дешифровки

Расшифровать файлы, зашифрованные злоумышленниками, можно с помощью специальных утилит, предоставляемых службой технической поддержки компании «Доктор Веб» по запросу. К сожалению, количество появляющихся ежедневно видов троянцев-шифровальщиков не позволяет создать утилиты для всех них. Поэтому, если ваши файлы были зашифрованы еще неизвестным троянцем — можно заказать услугу расшифровки (https://support. drweb. ru/new/free_unlocker/?keyno=&for_decode=1).
Для коммерческих пользователей Dr. Web услуга является бесплатной.

Если вам потребовалась услуга расшифровки, пришлите для анализа не менее трех-пяти зашифрованных файлов различного типа. Кроме этого помочь расшифровке может дополнительная информация — описание процесса заражения, письмо с требованием выкупа и т. д. Если известен файл,
в результате запуска которого злоумышленники смогли зашифровать
ваши файлы — желательно также приложить его к запросу.

Внимание! Перед запуском утилит создайте копии зашифрованных файлов.

4.2.  Где могут находиться файлы программ-шифровальщиков

Если вы обнаружили подозрительный файл, запуск которого мог привести
к заражению компьютера и шифрованию файлов — отправьте подозрительный файл на анализ. Файлы могут находиться по следующим путям:

Внимание! Файлы Trojan. Encoder могут находиться не только в указанных выше местах.