Мы поддерживаем браузеры, а не динозавров. Обновите свой браузер, чтобы содержимое данной веб-страницы отображалось правильно.

Продукты Avast недоступны для скачивания и покупки на территории России и Беларуси
Подробнее
Не можете определиться с выбором оптимального решения для своего бизнеса?
Помогите мне выбрать
Skip to main content
  1. Для бизнеса
  2. Ресурсы
  3. How-to-prevent-ransomware

Что такое программа-вымогатель?

Программы-вымогатели — это один из типов вредоносного ПО, который становится все более серьезной проблемой для бизнеса. Как правило, они шифруют файлы, систему или устройства либо блокируют экраны, лишая доступа к папкам, файлам и целым системам. Затем пользователи получают сообщение о том, что система взломана и останется недоступной до тех пор, пока не будет выплачен выкуп.

Программы-вымогатели могут проникать в сеть разными путями, например при посещении пользователем взломанного сайта, загрузке зараженного файла, открытии спама в почте или запуске устаревшего ПО, которое делает уязвимой всю сеть сразу. Вредоносные программы могут долго оставаться пассивными в сети или на устройстве, усложняя их обнаружение и устранение.

Такой тип вредоносных программ часто используется киберпреступниками для атак на государственные органы, секторы здравоохранения и финансов. У каждой из таких потенциальных жертв для выполнения их основных обязанностей накапливается огромное количество конфиденциальных и личных данных.

В этом руководстве мы расскажем о том, как программы-вымогатели могут повлиять на ваш бизнес, об их видах и способах предотвращения угрозы.

Виды программ-вымогателей

Вредоносные программы — это собирательное понятие, охватывающее множество видов вредоносного ПО. Виды определяются по способу развертывания либо характеру действий после доступа к сети. Например, программы-вымогатели могут называть вирусами. Иногда это так и есть, однако вирусы — лишь один из типов вредоносного ПО, характеризуемый способностью воспроизводить свой код.

  • Наборы эксплойтов. Наборы эксплойтов «эксплуатируют» уязвимые или скомпрометированные системы вашего бизнеса, позволяющие злоумышленникам получать полный контроль над ними.
  • Фишинг. Фишинговые атаки — это попытки злоумышленников отправлять письма с вредоносными вложениями или ссылками, выдавая себя за другие организации или представляясь иными лицами.
  • Вредоносная реклама. Атаки вредоносной рекламы стали заметнее и сложнее. Злоумышленники размещают зараженные объявления на настоящих и проверенных сайтах. При загрузке страницы такая реклама распространяет вредоносные программы в вашей сети. Это влияет и на репутацию популярных сайтов с большим объемом трафика.
  • Скрытые загрузки. В отличие от других вредоносных программ, которым требуется действие (например, загрузка вложения или переход по ссылке на зараженный сайт), скрытые загрузки могут незаметно для вас устанавливаться на устройстве или в системе из-за слабости защиты.

Почему бизнесу не стоит терять бдительность?

Старомодные программы-вымогатели, такие как Phobos, никуда не исчезли, но постоянно появляются новые разновидности. За первую половину 2021 года количество атак почти удвоилось. По данным Cognyte 1097 организаций были атакованы программами-вымогателями в первой половине 2021 года, тогда как за весь 2020 год произошло 1112 атак. Наибольшее количество атак нацелено на США, где находится 54,9 % всех жертв.

Повысить риск атаки на ваш бизнес могут разные факторы. Вот несколько из них.

  • Устаревшие программы или устройства
  • Браузеры и/или операционные системы с неустановленными исправлениями
  • Ненадежные планы резервного восстановления данных или их отсутствие (что ведет к риску потери данных и ущерба репутации)
  • Недостаточное инвестирование в решения для киберзащиты

Предотвращение доступа вредоносных программ к вашим системам и защита бизнеса на начальных этапах атаки могут сэкономить вам тысячи и даже миллионы, которые пришлось бы потратить на восстановление. Яркий пример — атака программы-вымогателя CryptoLocker, на преодоление последствий которой понадобилось больше шести месяцев.

С сентября 2013 года по май 2014 года киберпреступники создали новый ботнет Gameover ZeuS, которая формировала сеть целей, зараженных вредоносной программой. Затем жертвам во вложении к электронному письму рассылался сценарий, при открытии запускавший вредоносную программу. Кроме того, Программа-вымогатель могла определять другие устройства, подключенные к сети жертвы, полностью шифруя все данные, блокируя операционные системы и останавливая бизнес-процессы.

Вредоносная программа успешно шифровала файлы и сообщала жертвам, что их рабочие процессы «взяты в заложники» до уплаты выкупа. Своими действиями злоумышленники заработали миллионы долларов.

Во время атаки CryptoLocker также применялась тактика асимметричного шифрования. Это значит, что злоумышленник мог зашифровать файл открытым ключом, а для расшифровки подходил только секретный ключ. Без секретного ключа восстановить зашифрованные файлы было практически невозможно.

Как предотвратить внедрение программы-вымогателя?

Не каждая жертва программ-вымогателей платит выкуп или несет потери. Но данные Verizon показывают, что при учете 95 % случаев с расходами, связанными с программами-вымогателями, медианный ущерб составлял 11 150 долларов. При этом диапазон убытков начинался с 70 долларов и достигал 1,2 млн. Компании, понимающие, как предотвратить заражение программами-вымогателями, могут существенно снизить свою уязвимость в сети.

Ниже мы приводим несколько шагов, которые помогут предотвратить и заблокировать возможные атаки программ-вымогателей, чтобы обезопасить ваши операции.

Обучайте сотрудников работе с рисками для безопасности компании

Сотрудники — первая линия обороны в борьбе с разными киберугрозами для деятельности компании. Они должны обладать хотя бы базовыми знаниями о рисках для кибербезопасности, включая спам, фишинг и иные тактики, приведенные ниже.

  • Спуфинг. Сотрудник получает электронное письмо от злоумышленника, представившегося знакомым или доверенным источником, чтобы заполучить конфиденциальные или личные данные, которые можно использовать против компании (или отдельных лиц).
  • Целевой фишинг. Обычно фишинг предполагает массовую рассылку по электронной почте. При целевом фишинге злоумышленник тщательно изучает вашу компанию, чтобы выйти на отдельных лиц или группы адресов.
  • Социальная инженерия. Может использоваться для манипулирования сотрудниками, чтобы заставить их неосознанно помочь во взломе существующей защиты ИТ-систем.

Кроме того, помочь в информировании сотрудников о потенциальных угрозах может политика работы с «подозрительными письмами». С ее помощью можно гарантировать, что все будут придерживаться одинаковых процедур для сокращения рисков. Заблаговременно тестируйте все политики планирования чрезвычайных ситуаций, чтобы определять слабые места и гарантировать готовность каждого.

Не предоставляйте личные данные сторонним контактам

При любой потенциальной атаке программы-вымогателя киберпреступнику понадобится узнать базовые сведения о вашей компании. И для этого нет источника лучше, чем руководящие и иные сотрудники. Чтобы защитить данные своей компании, никогда не передавайте конфиденциальную информацию сомнительным контактам.

Не щелкайте непроверенные ссылки, вложения, программы или всплывающие установщики

Все сотрудники вашей компании должны сохранять бдительность при работе с любыми файлами, вложениями и ссылками независимо от отправителя, поскольку они могут содержать вредоносные программы-вымогатели, вирусы или другое ПО. Шифрование может предоставить алгоритм для защиты конфиденциальных данных, и принимающей стороне понадобится расшифровать их с помощью соответствующего ключа. Без этого ключа данные окажутся недоступными для посторонних. Ключи шифрования применяются для преобразования закодированного текста обратно в читаемый. Без этого ключа информацией невозможно воспользоваться, а данные не подвержены риску попасть не в те руки.

Чтобы обеспечить свой компьютер защитой от программ-вымогателей, не щелкайте непроверенные ссылки, вложения, приложения и всплывающие окна. При работе с компьютера можно посмотреть, куда ведет ссылка, наведя на нее указатель мыши. Целевой URL-адрес появится внизу браузера, поэтому перед нажатием его можно будет проверить. Адрес защищенных сайтов начинается с https вместо http, а в адресной строке у них показывается значок щита или замка. Если целевой URL-адрес небезопасен или выглядит подозрительно (например, выглядит нелогично с учетом его предполагаемого назначения), нажимать не стоит.

Кроме того, распространению вредоносного ПО может способствовать загрузка опасных приложений на мобильные устройства с iOS и Android. Чтобы нивелировать угрозу программ-вымогателей, используйте только проверенные и надежные сайты, такие как Google Play Store для пользователей устройств с ОС Android и App Store для пользователей iPhone. Это не гарантирует полной надежности, но стоит проверять отзывы пользователей и количество загрузок, прежде чем устанавливать любые новые программы, раз в несколько месяцев удалять ненужные приложения и установить на мобильное устройство эффективное решение для защиты от программ-вымогателей.

Кроме того, злоумышленники могут воспользоваться слабостями в защите сетей Wi-Fi или обманом вынудить вас щелкнуть ссылку в поддельном текстовом сообщении, письме или на сайте. Лучший совет: всегда будьте начеку и действуйте осторожно.

Используйте сканирование и фильтрацию почтового сервера

Установите ПО для сканирования и фильтрации, чтобы обнаруживать, блокировать и предотвращать атаки программ-вымогателей на всех почтовых серверах, которыми вы пользуетесь. Ниже приведено еще несколько уровней дополнительной защиты.

  • Инфраструктура политики отправителей (Sender Policy Framework, SPF). Почтовые серверы могут блокировать всех неавторизованных отправителей в вашей сети, предотвращая риск спуфинга и рассылки спама.
  • Идентификация сообщений, создание отчетов и определение соответствия по доменному имени (Domain Message Authentication Reporting and Conformance, DMARC). DMARC сочетается с процессами SPF и может отслеживать действующие процедуры проверки подлинности электронных писем и сокращать количество спама и фишинга, отклоняя их при отсутствии авторизации со стороны SPF или идентифицированного сообщения с доменными ключами (Domain Keys Identified Message).
  • Идентифицированное письмо DomainKeys (DomainKeys Identified Mail, DKIM). DKIM — это способ проверки подлинности электронных писем, в котором применяется шифрование с открытым ключом. Строка символов (хэш) прикрепляется к каждому письму и шифруется секретным ключом домена отправителя, что создает уникальную цифровую подпись. Когда приходит письмо, сервер получателя проверяет его, открытый ключ пользователя домена и цифровую подпись, чтобы убедиться, что оно отправлено с нужного сервера и что до получения в него не вносились изменения. Любое письмо, не прошедшее проверку, автоматически отклоняется.

Разрешения на доступ пользователей

Ограничение возможностей пользователей и отзыв определенных разрешений на доступ к загрузке, запуску и установке программ называют принципом наименьших привилегий (Principle of Least Privilege, PoLP). Это общепризнанный подход, серьезно снижающий риск проникновения программы-вымогателя в систему.

Это решение не пользуется популярностью среди сотрудников, но ограничение их привилегий помогает компаниям успешно защищать конфиденциальные и секретные данные, подключенные устройства, программы и учетные записи, соблюдая требования по защите связанной информации. Управление доступом на основе ролей (Role-Based Access Control, RBAC) тоже может стать хорошим способом ограничить доступ к системе. Разные роли и группы в компании могут получать разный уровень разрешений.

Исключите использование внешних устройств, таких как USB

Внешние устройства, такие как USB, могут привнести в компанию хаос. Сети защищены от внутренних угроз. Внешнее же устройство может быть заражено вредоносной программой без ведома пользователя. При его использовании и подключении к корпоративной сети вредоносная программа с личного устройства сотрудника или иного оборудования может распространиться по ней. Лучшей защитой от заражения программой-вымогателем в данном случае будет запрет на использование внешних устройств на рабочем месте.

Убедитесь, что все корпоративные приложения и программы актуальны

Чтобы дополнительно обезопасить свой бизнес от программ-вымогателей и других кибератак, необходимо регулярно обновлять ПО и приложения, включая установку исправлений, которые компании, специализирующиеся на киберзащите, выпускают для устранения известных уязвимостей в сети.

Атака WannaCry в 2017 году затронула более 230 000 ПК с ОС Windows в 150 странах всего за один день, повлияв на работу государственных учреждений, медицинских центров и больниц. В числе пострадавших оказалась Национальная служба здравоохранения Великобритании. Размах атаки был в значительной степени обусловлен устаревшим ПО. Злоумышленникам удалось использовать устаревшее программное обеспечение без исправлений. WannaCry остается одной из самых печально известных кибератак по сей день. С 2017 года решения Avast заблокировали свыше 170 млн новых атак этой программы-вымогателя.

Антивирусные решения могут автоматизировать установку исправлений и обновлений, чтобы гарантировать постоянную защиту ваших систем от новейших киберугроз.

Создавайте резервные копии всех важных файлов

В случае атаки программы-вымогателя резервные копии могут существенно снизить время простоя, необходимое для возобновления работы. Резервное копирование может включать следующие подходы.

  • Внешнее хранилище. Компании регулярно создают резервные копии, которые отправляются на хранение за пределы объекта. В зависимости от частоты резервного копирования и процедур восстановления у владельца даже в этом случае могут быть потеряны данные за несколько недель.
  • Электронное хранилище. Резервные копии сохраняются на удаленном сервере, однако пропускная способность влияет на объем данных, которые можно сохранить и восстановить.
  • Хранение на дисках. Состояние на определенный момент копируется и хранится на объекте и за его пределами.
  • Облачное хранилище. Данные хранятся удаленно и постоянно обновляются.

Внедрите план восстановления

Чтобы в будущем защитить свой бизнес на случай атаки программы-вымогателя, стоит внедрить план восстановления в аварийных ситуациях и план обеспечения непрерывной деятельности. Это позволит вашей компании определить процессы и протоколы, которым необходимо следовать в случае атаки. Вы также назначите роли каждому отдельному сотруднику и контактные лица, которых необходимо уведомить для предотвращения ущерба и восстановления.

Внедрите надежную систему мер безопасности

Важность установки надежного защитного ПО и регулярного обслуживания системы с установкой обновлений невозможно переоценить. Многоуровневый подход, то есть использование нескольких инструментов для обеспечения безопасности и процессов, поможет добиться максимальной защиты от атак программ-вымогателей.

Приведенные ниже инструменты существенно усилят вашу текущую стратегию защиты.

  • Брандмауэр. Брандмауэр — это эффективный фундамент любого набора защитного ПО, блокирующий несанкционированный доступ к вашим устройствам. Отсутствие брандмауэра может сделать сеть уязвимее для вредоносных программ, таких как программы-вымогатели.
  • Антивирусное программное обеспечение. Антивирус для бизнеса может дополнительно обнаруживать угрозы для вашей сети и устройств, устранять их и предоставлять надежную и актуальную защиту.
  • Облачные решения. Вместо хранения всех данных в одном физическом месте облачные технологии позволяют получать к ним удаленный доступ откуда угодно, обеспечивая доступность, масштабируемость и гибкость. Эта технология предоставит дополнительные возможности для резервного копирования данных и контроля доступа к ним, а также позволит восстанавливать предыдущие версии файлов, если один из них окажется зашифрованным из-за атаки программы-вымогателя.

Многофакторная проверка подлинности

Многофакторная проверка подлинности (Multi-Factor Authentication, MFA), также известная как двухфакторная аутентификация, становится все популярнее и известнее. Помимо надежного пароля пользователей просят предоставить второй элемент информации или выполнить действие для доступа к своей учетной записи, что создает дополнительный уровень защиты.

MFA может принимать разные формы. Несколько примеров приведено ниже.

  • Ответ на выбранный вами ранее вопрос о «чем-то, что вы знаете», и ввод ответа, неизвестного никому другому.
  • Классические аппаратные ключи, такие как брелоки, которые генерируют новый код при активации.
  • Программные ключи, такие как защищенное SMS-сообщение с уникальным кодом.
  • Приложение для авторизации, которое просит подтвердить доступ с другого устройства.
  • Биометрические данные, такие как распознавание лица или отпечатка пальца.

VPN

Установка виртуальной частной сети (Virtual Private Network, VPN) позволит вам шифровать свое подключение и сохранять данные компании в безопасности при использовании общедоступных сетей, создавая защищенное соединение между вашим устройством и Интернетом и обеспечивая конфиденциальный доступ к данным без какого-либо риска, находясь в таких сетях. Узнайте больше о том, как работают сервисы VPN, и об их доступных типах.

Защита конечных точек

Конечная точка — это любое устройство, подключенное к вашей сети. Защита конечных точек может обезопасить устройства вашей компании от вредоносных программ и атак нулевого дня, нацеленных на неисправленные недостатки в системе безопасности. Наличие неисправленных уязвимостей нулевого дня перед атакой подвергает систему повышенному риску.

Физическая, виртуальная и облачная защита всех конечных точек обеспечивается через централизованную консоль управления, позволяющую администраторам постоянно контролировать и защищать системы в реальном времени.

Система обнаружения вторжений

Системы обнаружения вторжений (Intrusion Detection System, IDS) непрерывно проверяют сеть на наличие любой подозрительной активности, включая угрозы программ-вымогателей, обнаруживая необычные или вредоносные действия в реальном времени. Это позволяет компании оперативно реагировать на происшествия с минимальным простоем в работе.

Пересмотрите параметры портов

Множество вариантов программ-вымогателей могут использовать протокол удаленного рабочего стола (Remote Desktop Protocol, RDP), применяемый пользователями для удаленного подключения к устройству. Он остается распространенной точкой атаки программ-вымогателей, включая открытый порт по умолчанию RDP 3389.

Дополнительные порты блока серверных сообщений (Server Message Block, SMB), такие как порт 445, также позволяют серверам и программам в сети обмениваться данными между собой и другими системами, предоставляя пользователям возможность делиться файлами, выполнять различные действия (например, печатать документы) и решать другие задачи через Интернет.

Антивирусное программное обеспечение

Защита сети и подключенных устройств от внутренних и внешних угроз. У антивирусного ПО есть целый ряд преимуществ.

  • Сокращение количества спама, фишинга, целевого фишинга и угроз со стороны вредоносной рекламы.
  • Защита от любых угроз, исходящих от внешних устройств, например подключаемых через USB.
  • Защита данных и конечных точек в сети.

Решения Avast для киберзащиты малого бизнеса

Защитите свою организацию от программ-вымогателей и продвинутых кибератак с помощью решений Avast для малого бизнеса — комплексного и в то же время простого, эффективного и доступного средства киберзащиты в Интернете.

Подробнее
Закрыть

Почти готово!

Завершите установку, нажав загруженный файл и выполнив инструкции.

Начало загрузки…
Примечание. Если загрузка не началась автоматически, нажмите здесь.
Щелкните этот файл, чтобы начать установку Avast.
Россия
Для дома
Для бизнеса
Партнерам
Компания
© Gen Digital Inc., 2024. Все права защищены.
Политика конфиденциальности Политика в отношении продуктов Юридические документы Сообщить об уязвимости Связаться со службой безопасности Заявление о современном рабстве О подписках