Рекомендации по предотвращению заражения вредоносными программами-шифровальщиками, типа Vault и иными

Служба реагирования на компьютерные инциденты – KZ-CERT предупреждает, что в последнее время наблюдается массовая рассылка электронных писем, содержащих вредоносные программы, способные шифровать данные распространенных форматов: офисные документы (документы Word, таблицы Excel, файлы баз 1С, изображений, иногда архивные файлы и другое).

К письму обычно прилагается файл либо ссылка на него (формат может быть различным, нам встречались exe, scr файлы (программы) и js скрипты). Теоретически могут использоваться методы маскировки формата файла например, двойное расширение: Счет на оплату.doc.exe. И пользователь считает, что он открывает документ Word, хотя, на самом деле, файл является вредоносным приложением. Как только пользователи открывают вложение, компьютер оказывается зараженным компьютерным вирусом-шифровальщиком, в большинстве случаев, в последнее время это вредоносный объект, создающий файлы с расширением Vault. За расшифровку данных злоумышленники требуют выкуп.

Обращаем внимание на то, что на данный момент, в большинстве случаев, не имеется возможности расшифровать данные!

Примеры писем:

--------------------------------

Приветствуем! Мы со своей стороны понимаем, что на дворе кризис, но все же мое начальство распорядилoсь подписать с Вами акт сверки (см. приложение) и отобразить актуальный долг. Будьте добры просмотреть приложенный акт и сориентировать по срокам оплаты.

--------------------------------

Сообщите, пожалуйста, как долго нам придется ждать перечисления средств за услуги, оказанные в позапрошлом месяце? Нашей канцелярией еще в сентябре высылались Вам оригиналы счетов. Если же в связи с какими-либо обстоятельствами Вами они получены не были, я высылаю сканы - см. приложение. Большая просьба ответить.

--------------------------------

Письмо без текста (только вложение, либо ссылка) с темами: Счет фактура на оплату, Счет на оплату от 30.10.2015 и похожие.

--------------------------------

Просим проявлять осторожность и не запускать незнакомые приложения в сообщениях электронной почты, полученных из неизвестных источников.

Также важно предупредить и разъяснить опасность ситуации людям, работающим с важной для компании информацией: бухгалтерам, юристам, экономистам, руководителям, отделу продаж и т.д.

Злоумышленники намеренно выбирают темы и содержание письма, способные заинтересовать указанных специалистов, поскольку информация, находящаяся на компьютерах руководства и ключевых сотрудников компании является наиболее ценной для организации (а иногда и критически важной, например, файлы 1С:Предприятия, когда не имеется их резервных копий на других компьютерах) и с большей вероятностью за нее будет заплачен выкуп.

Обязательно сообщите информацию о данной угрозе своим близким, особенно старшего поколения, поскольку люди в возрасте не всегда обладают навыками по распознаванию вредоносных писем и могут случайно зашифровать свои данные.

Рекомендации антивирусных компаний, направленные на предотвращение шифрования Ваших данных злоумышленниками (информация получена из открытых источников).

Dr. Web:

http://download.geo.drweb.com/pub/drweb/windows/workstation/9.0/documentation/html/ru/main_preventiveprotection.htm

http://download.geo.drweb.com/pub/drweb/windows/workstation/9.0/documentation/html/ru/main_preventiveprotection.htm#dataloss

Видео по настройке Dr.Web Security Space: раздел Превентивная защита, только для версий 9 и выше:

http://support.drweb.com/video/security_space/?lng=ru

Лаборатория Касперского:

Защита от программ-шифровальщиков в Kaspersky Endpoint Security 10 для Windows Workstations (для корпоративных версий)

http://support.kaspersky.ru/10905

Защита от программ-шифровальщиков в Kaspersky Internet Security 2015

http://support.kaspersky.ru/11151

Защита от программ-шифровальщиков в Kaspersky Total Security 2016

http://support.kaspersky.ru/12427

Информация для антивирусных компаний: если Ваши продукты имеют проактивные (эвристические) методики предотвращения шифрования по анализу поведения программ, просьба написать на адрес info@kz-cert.kz с указанием ссылок на статьи, содержащие описание данных технологий и инструкции по настройке продуктов и, после анализа технологий, мы сможем добавить Ваши продукты в данный документ.

Замечание: детектирование сигнатурными методами известных образцов мы не сможем опубликовать, поскольку пользователь не будет защищен в случае новых модификаций.

Общие рекомендации по защите данных от воздействия программ-шифровальщиков (в том числе, создающих файлы с расширением vault):

1. Не открывайте почтовые вложения от неизвестных отправителей.

В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем содержат угрозы: срочно отправить, согласовать, проверить.

2. Своевременно обновляйте антивирусные базы, операционную систему и другие программы.

Регулярно обновляйте ваш антивирус. Вместе с антивирусными базами обновляются программные компоненты, улучшаются существующие функции и добавляются новые. А также устанавливайте обновления для операционной системы и других программ, которыми вы пользуетесь.

3. Регулярно создавайте резервные копии файлов и храните их вне компьютера.

Храните резервные копии вне компьютера (например, на съёмных носителях или в «облачных» хранилищах) и в зашифрованном виде. Таким образом, файлы будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники.

4. Настройте доступ к общим сетевым папкам.

Если вы используете общие сетевые папки, то рекомендуем создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.

Подобная проблема наблюдается и в других странах.

О любых подозрительных на Ваш взгляд письмах, страницах в интернете просим сообщать на единый короткий номер 1400 или электронную почту info@kz-cert.kz.