Вирус сам находит включенный компьютер и проникает в него

В этой статье мы разберем методику использования функционала File Server Resource Manager (FSRM) на файловом сервере Windows Server 2012 R2 для детектировании и блокировки работы вирусов-шифровальщиков (троянов-энкодеров, Ransomware или CryptoLocker). В частности, разберемся, как установить службу FSRM, настроить детектирование определенных типов файлов и, в случае детектирования таких файлов, заблокировать доступ пользователя к каталогу на файловом сервере.

Возможности нового антивируса Kaspersky:

  • Бесплатный
  • Обнаруживает вымогатели на уровне премиум бизнес-решений.
  • Используемые технологии антивирусной защиты: файловый антивирус и «Мониторинг активности»
  • Совместим со сторонними антивирусами
  • Поддерживает распространённые ОС: Windows от 7 до 10 (в том числе Anniversary Update)
  • Отчёты о выявлении отправляет по мейлу для администратора

Ограничения

  • Несовместимость с другими антивирусами, созданными именно «Лабораторией Касперского»
  • Отсутствие централизованного управления
  • Отсутствие технической поддержки (форум поддержки будет работать для бета-версии)
  • Язык локализации — только английский

    скачать Kaspersky Anti-Ransomware Tool бесплатно

Anti-Ransomware Tool от Kaspersky для защиты компьютеров применяет разные методы обнаружения угрозы. Антивирус идентифицирует вредоносные приложения, анализируя информацию, которая содержится в антивирусных базах. В целях обнаружения характерного поведения вымогательских программ этот инструмент применяет две инновационные технологии: «Мониторинг активности» и Kaspersky Security Network.

Kaspersky Security Network позволяет быстрее реагировать на неизвестные угрозы, тогда как «Мониторинг активности» способен блокировать опасные изменения системы и выполнять их откат.

Пользователи, участвующие в работе Kaspersky Security Network, дают возможность «Лаборатории Касперского» быстро собирать данные о новых источниках угроз и создавать решения для обезвреживания их. Kaspersky Security Network — облачная сеть, участие в которой включает отправку статистики, которую данный антивирус собирает на каждом ПК, на котором он работает.

В момент обнаружения угрозы Anti-Ransomware Tool выполняет её автоматическое блокирование и заносит в список заблокированных приложений (в интерфейсе именуемый Blocked Applications). Однако перед блокировкой программа-вымогатель способна успеть осуществить некоторые действия в операционке (к примеру, изменить файлы либо создать новые, либо произвести изменения в реестре). Для выполнения отката всех действий вредоносной программы Anti-Ransomware сохраняет историю активности всех приложений.

Антивирус Kaspersky Anti-Ransomware помещает файлы, которые были созданы вредоносной программой, в своё хранилище. Они могут быть оттуда восстановлены сотрудниками «Лаборатории Касперского». При необходимости восстановления файлов из хранилища можно получить консультацию на форуме разработчика.

Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies

Продолжаем цикл статей о противодействии классу вирусов-шифровальщиков в корпоративной среде. В предыдущих частях мы рассмотрели настройку защиты на файловых серверах с помощью FSRM и использования теневых снимков дисков для быстрого восстановления данных после атаки. Сегодня речь пойдет о способе предотвращения запуска исполняемых файлов вирусов-шифровальщиков (в том числе обычных вирусов и троянов) на ПК пользователей.

Помимо антивируса, еще одним барьером для предотвращения запуска вредоносного ПО на компьютерах пользователей могут быть политики ограниченного использования программ. В среде Windows это могут быть технология Software Restriction Policies или AppLocker. Мы рассмотрим пример использования Software Restriction Policies для защиты от вирусов.

Читайте также:  Как отключить от Wi-Fi постороннего пользователя

Software Restriction Policies (SRP) предоставляют возможность разрешать или запрещать запуск исполняемых файлов с помощью локальной или доменной групповой политики. Метод защиты от вирусов и шифровальщиков с помощью SRP предполагает запрет запуска файлов из определенных каталогов в пользовательском окружении, в которые, как правило, попадают файлы или архивы с вирусом. В подавляющем большинстве случаев файлы с вирусом, полученные из интернета или из электронный почты оказываются внутри каталога %APPDATA% профиля пользователя (в нем же находится папки %Temp% и Temporary Internet Files). В этом же каталоге хранятся распакованные временные копии архивов, когда пользователь не глядя открывает архив полученный по почте или скачанный с интернета.

При настройке SRP могут быть использованы две стратегии:

  • Разрешить запуск исполняемых файлов на компьютере только из определенных папок (как правило, это каталоги %Windir% и Program Files / Program Files x86) – это самый надежный метод, но требует длительного периода отладки и выявления нужного ПО, которое не работает в такой конфигурации
  • Запрет запуска исполняемых файлов из пользовательских каталогов, в которых в принципе не должно быть исполняемых файлов. Именно в этих каталогах в большинстве случаев оказываются файлы вируса при появлении на компьютере. Кроме того, у пользователя, не обладающего правами администратора, просто отсутствуют права на запись в каталоги системы кроме своих собственных. Поэтому вирус просто не сможет поместить свое тело куда-либо кроме директорий в профиле пользователя.

Мы рассмотрим создание SRP по второму варианту, как достаточно надежному и менее трудоемкому во внедрении. Итак, создадим политику, блокирующую запуск файлов по определенным путям. На локальном компьютере это можно сделать с помощью консоли gpedit.msc, если политика должна использоваться в домене, нужно в консоли Group Policy Management (gpmc.msc) создать новую политику и назначить ее на OU с компьютерами пользователей.

В консоли редактора GPO перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings . Щелкните ПКМ по Software Restriction Policies и выберите New Software Restriction Policies.

Выберите раздел Additional Rules, и создайте новое правило New Path Rule.

Создадим правило, запрещающее запуск исполняемых файлов с расширением *.exe из каталога %AppData%. Укажите следующие параметры правила:

  • Path: %AppData%\*.exe
  • Security Level: Disallowed
  • Description: Блокировка запуска exe файлов из папки %AppData%

Аналогичным образом нужно создать запрещающие правила для путей, перечисленных в таблице. Т.к. переменные окружения и пути в Windows 2003/XP и Windows Vista/выше отличаются, в таблице указаны значения для соответствующих версий ОС. Если у вас в домене еще остались Windows 2003/XP, для них лучше создать отдельную политики и назначить ее на OU с компьютерами с использованием WMI фильтра GPO по типу ОС.

Блокировка RDP-подключений для учетных записей с пустым паролем

Усилить безопасность можно запретив подключаться к учетным записям с пустым паролем. Для этого нужно включить политику безопасности «Учетные записи»: разрешить использование пустых паролей только при консольном входе»:

  1. Откройте локальную политику безопасности (нажмите Win + R и введите команду )

  2. Перейдите в раздел «Локальные политики» –-> «Параметры безопасности».

         3. Дважды щелкните на политике «Учетные записи: разрешить использование пустых паролей…» и убедитесь, что она включена:

Вещь полезная, поэтому не оставляйте этот параметр без внимания.

Компьютер заражен вирусом. Что делать?

Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере. Шифрование идет последовательно, скорость зависит от размера шифруемых файлов. Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.

После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную. Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам. В таком случае антивирусная программа может ничего и не обнаружить.

Главный вопрос — как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет. Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы, размещенные на сайтах производителей. Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.

Попробуйте воспользоваться утилитами восстановления удаленных файлов. Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт). Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.

Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.

Чего мы настоятельно не рекомендуем делать — идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.

В больших масштабах

Вскоре после заражения в экспертных кругах стали ходить разговоры о необходимости перевода больших компаний и государственных организаций (они тоже пострадали от вируса) на альтернативные операционные системы — в частности, Linux. Это решение панацеей не является, хотя и представляется очевидным, считает Андрей Прозоров, руководитель экспертного направления компании Solar Security.

По его словам, заражение произошло еще и потому, что сотрудники отделов интернет-безопасности не уделили нужного внимания защите информации. "По сути, сейчас пострадавшим компаниям необходимо не только устранить последствия инцидента, а срочно повысить свой уровень информационной безопасности", — заключает Прозоров.

Как использовать ключи шифровальщика?

После проведенного шифрования система автоматически предупредит о создании специального ключа, при помощи которого можно расшифровать указанную папку в экстренной ситуации.

Как правило, оповещение будет показано в правом нижнем углу, где зачастую находятся настройки громкости.

Нажимаем по оповещению и видим окно с возможными действиями с ключом. Если необходимо создать резервную копию ключа, нажимаем по пункту «Архивировать сейчас».

После этого откроется окно мастера экспорта сертификатов. Нажимаем «Далее» и переходим к окну с установками. Указываем необходимые или оставляем текущие параметры и нажимаем «Далее».

В открывшемся окне указываем метод создания с паролем и устанавливаем собственный пароль.

Следующим шагом будет сохранение ключа на любой внешний накопитель. При создании ключа появляется гарантия того, что необходимую папку можно будет открыть и просмотреть даже в случае утери доступа к своей учетной записи.

Настройка File Screen Templates

Создадим новый шаблон File Screen Template, в котором определяются действия, которые FSRM должен выполнить при обнаружении указанных файлов. Для этого в консоли FSRM перейдите в раздел File Screen Management -> File Screen Templates . Создадим новый шаблон Create File Screen Template .

Настройка File Screen Templates

На вкладке настроек укажем имя шаблона “Block_crypto_files ”, тип скрининга – Active screening (запрещается создавать указанные типы файлов) и в списке групп файлов выбрать Crypto-Files.

Настройка File Screen Templates

На вкладке E-mail Message включим отправку почтовых уведомлений, настроив текст оповещения по-своему вкусу.

Настройка File Screen Templates

На вкладке Event Log включим запись события в системный журнал. С указанием записывать только имя пользователя:

Настройка File Screen Templates

На вкладке Command можно указать действие, которое нужно выполнить при обнаружении такого типа файла. Об этом чуть ниже.

Настройка File Screen Templates

Сохраните изменения. В списке шаблонов должен появится еще один.

ПРИЛОЖЕНИЕ №Подготовка отчета по узлам с уязвимостью CVE-2017-EternalBlue

Информация об уязвимости CVE-2017-0145 (Windows SMB Remote Code Execution Vulnerability) присутствует в базе знаний MaxPatrol 8 начиная со сборки (если используется более ранняя сборка, необходимо выполнить обновление). Обнаруживается уязвимость при сканировании узла в режиме Audit. В случае если у вас уже есть результаты сканирований на сборке (и системы не обновлялись после сканирования), для того чтобы получить список уязвимых узлов, достаточно подготовить отчет. Наиболее удобным будет отчет в табличном представлении, содержащий только узлы с данной уязвимостью. Его можно экспортировать в другую систему и провести установку обновления.

Чтобы создать отчет:

  1. Переходим на закладку Отчеты
  2. Добавляем новый отчет
  3. Даем отчету имя и определяем тип – SIEM integration
  4. В разделе Задача выбираем созданную на Шаге 3 задачу
  5. Включаем фильтрацию по полю CVE = CVE-2017-0145. Это позволит отобрать только уязвимые узлы
  6. Сохраняем отчет и запускаем
  7. Отчет сформирован в .XML-файле. Сохраняем его и открываем, например, в Microsoft Excel
  8. Экспортируем список уязвимых узлов (столбцы NETBIOS либо value3)