Как защититься от вируса-шифровальщика

Кто то считает что ни как, кто то слишком самоуверенный админ что думает, что у него все под контролем и никто не покуситься на его данные.

Однако, практика показывает обратное, даже крупные предприятия становятся жертвами шифровальщиков. Всегда не приятно когда что-то идет не так, начинаешь судорожно искать резервные копии, всегда надеешься на чудо, что где-то что-то есть, но когда у тебя пустой сервер и на нем нет ни одной резервной копии, так как они зашифрованы - начинаешь думать о том, что в тайге тебя никто не найдет.

Глава 1 - хакеры

Теперь о практике - откуда берутся шифровальщики:

Если сервер находится за роутером и к нему проброшен порт на RDP - он уже в зоне риска, у одних знакомых был проброшен порт 123 на сервер, кажется порт не стандартный, пароль администратора не простой, но прошло всего 4 дня с тех пор как  этот порт был открыт - сервер нашли на не стандартном порту и подобрали пароль всего за 4 дня! Для справки, сервер Asterisk начинают брутить практически с первого дня его появления в сети.

Но не шифровальщики взламывают сервера, а люди. Раньше спасало просто теневое копирование Windows. Но хакеры тоже о нем в курсе. Так же резервные копии делались на внешний жесткий диск, опять же средствами Windows Server - у диска не было буквы и для вирусов он был не видим. Однако если на сервер попал человек, который способен написать вирус-шифровальщик - он без труда его найдет, задаст букву и его можно будет открыть, Так же судя по настройкам - настройки теневого копирования изменили так, что для баз данных просто нехватало места. Затем уже запускается шифровальщик и все что доступно - шифруется, в том числе - подключенные сетевые диски. Спросим - а как же антивирус? К сожалению, антивирус помогает только против вирусов - а человек - не вирус, он может найти способ вырубить или удалить защищенный паролем антивирус и вложенные в антивирус деньги - себя не оправдают.

И так, как защититься: самое главное - не пробрасывать на сервер порты для удаленного доступа по RDP, переименовывать админскую учетку во что-нибудь оригинальное, ставить на все учетные записи пароноидально-сложные пароли.

Но что делать если доступ к серверу извне все таки необходим?

Тут надо анализировать - кому необходим доступ - либо чтобы у всех пользователей были статичные белые IP-адреса и на роутере разрешить доступ только с них и сразу же закрывать уже не используемые IP-адреса, как только они становятся не нужными. Опять же не забываем про сложные пароли и имена пользователей. Администратору вообще можно запретить вход по RDP по удаленке, а необходимые административных прав задачи запускать от имени не привелегированных пользователей.

Второй вариант - доступ к локальной сети организации по VPN - в данном случае нет необходимости открывать порты прямиком на сервер. Для организации VPN-соединения можно использовать различные приложения и даже оборудование.

Следующий этап защиты данных - регулярные резервные копии всего ценного на внешний носитель, который за ненадобностью отключается физически от сервера. Хорошо когда есть один раз хорошо настроенная система и есть ее образ - в случае краха -быстро разворачиваем образ и подменяем данные из более свежих архивов.

Теневое копирование - лучше чтобы оно все таки было, чем не было - иногда сами пользователи могут что-нибудь начудить либо в файлах, либо в 1с и попросить откатить базу - все лучше чем архив сроком давности 1-2 дня, лучше восстановить из теневой копии, которая делается примерно каждые три-четыре часа.

Что делать если уже поздно?

При первых признаках шифровальщика - вырубаем сервер! Вытаскиваем жесткие диски, подключаем к здоровому компьютеру и проверяем - что же уцелело и что можно спасти.

Если спасать нечего - восстанавливаем из образа бэкап операционной системы или ставим заново, если его нет, с внешнего носителя восстанавливаем резервные копии и продолжаем жить.

Если все хуже - и резервные копии никто не успел сделать - то форматируем все к чертям и начинаем жизнь с чистого листа. Теоретически - можно попробовать дешифраторы от Лаборатории касперского или др. Веб, можно даже попробовать заплатить автору шифровальщика, но ценник - кусается, тыщь так 20 в баксах. Но вероятность того, что пришлют дешифратор - спорная.

И так - мораль - закрываем доступ извне, ставим сложные пароли и всегда всегда делаем копии на носитель который можно физически отключить от сервера - внешний жесткий диск или флешка.

Глава 2 - пользователи

До сих пор популярным способом нагадить - является социальная инженерия. Частенько в спам попадают фейковые письма от ИФНС или от судебных приставов, якобы вам наложен штраф или на вас подали в суд. Часто ответственные лица начинают сразу греться и пытаться прочитать вложение из такого письма о том, где же они накосячили. Как правило именно во вложении есть архив, в письме заботливо указан пароль от архива, архивы шифруются паролем, чтобы антивирус не мог их расшифровать и пролечить - еще на почтовом сервере - публичном или личном. Пользователь успешно открывает архив и запускает вложенный документ в exe-формате, потом говорит что у него само все сломалось.

Чтобы такого не происходило - настраиваем четко антиспам фильтр, а так же настраиваем архиватор, как известно все же большинство пользователей используют бесплатно платный архиватор Winrar, в нем есть замечательная настройка - которая запрещаетт распаковывать испоняемые файлы из архивов - тем самым мешая офисному планктону прострелить себе коленку.

Так же тут могут помочь и просто антивирусы с актуальными базами, так же полезно настроить права пользователей, чтобы не могли запускать приложения из нестандартных мест, но возможно это не распространяется на скрипты - bat, js, vbs и прочие, так что может не помочь. Однако при настройке прав доступа - точнее лишения админских прав - в полне возможно что у пользователя пострадают только его личные данные - на рабочем столе и доступных папках.

Так же - рекомендую избегать подключать сетевые диски, так как они будут уязвимы для шифровальщиков даже с компьютеров не привелегированных пользователей.