Ransomware: przewodnik po nowych firmach

Po prostu wyobraź sobie, że jesteś na klawiaturze, pracujesz nad propozycją, która wyląduje u klienta na całe życie, kiedy nagle - WHAM! ekran staje się niebieski.

Ledwie zdążyłeś zarejestrować niespodziankę, pojawia się następujący komunikat:

"ZOSTAŁ ZABLOKOWANY KOMPUTER

Wszystkie twoje pliki zostały zaszyfrowane. Koszt odszyfrowania plików wynosi 0,076 bitcoina.

Aby dokonać płatności, wykonaj następujące instrukcje:

1. Wyślij 0.076 bitcoinów do portfela bitcoinów #XXXXXXXXXXXXXXXXXXXXXXX

2. Prześlij nam wiadomość z portfela bitcoin pod adresem [email protected] "

Co byś zrobił dalej? Przekleństwo? Nie jestem tutaj, by cię osądzać. Mam na myśli, że to musi być opór, prawda? Jesteś za bardzo zajęty! Czy nie wolałbyś, żebyś sobie z tym nie poradził?

Ransomware to nowe i rozwijające się niebezpieczeństwo

Wirusy, złośliwe oprogramowanie i brudne sztuczki to nic nowego. W 2013 r. Kilka podstępnych osób zdało sobie sprawę, że mogą szyfrować cenne pliki i zażądać od ofiary zapłaty, aby ją odzyskać, a niektóre z nich faktycznie by to zrobiły.

Smelling greenbacks, oszuści wszystkich pasków porzucili swoje stare oszustwa i włożyli w to nowy, który rośnie do 2 miliardów dolarów rocznie w branży. To dwa miliardy milczków wyrzeźbionych z ciężko pracujących właścicieli firm, takich jak ty.

Plus, to tylko okupowe płatności. Uszkodzenia spowodowane zakłóceniami, utratą wydajności, bólami głowy, złością i stresem są wielokrotnie większe.

Ransomware ma teraz wiele smaków. Niektóre ataki wyszukują najcenniejsze pliki i szyfrują je, a inne po prostu szyfrują cały dysk twardy.

To, co sprawia, że ​​jest to dużo bardziej frustrujące niż inne złośliwe oprogramowanie, to że nawet po wyczyszczeniu go z systemu, pliki są nadal zaszyfrowane. Jeśli nie jesteś przygotowany, może to zablokować całą operację. Uzyskanie tego prawa jest ważną częścią zarządzania małym przedsiębiorstwem IT.

W jaki sposób rozprzestrzenia się ransomware

Programiści Ransomware próbowali różnych sposobów na umieszczenie swojego szkodliwego oprogramowania na komputerze - ciągle wymyślają nowe techniki. Większość z tych ataków polega na oszustwie, aby oszukać użytkownika w samodzielnym instalowaniu złośliwego oprogramowania.

Ale niektóre ransomware wykorzystuje luki w zabezpieczeniach oprogramowania, które nie muszą Cię nakłaniać do zatwierdzenia instalacji. Na pierwszy rzut oka może to zabrzmieć przerażająco - a jeśli jesteś wrażliwy, to jest. Jednak ataki te mają krótszy czas życia, ponieważ zostały całkowicie zamknięte po zainstalowaniu luki.

Załączniki wiadomości e-mail

Większość programów typu ransomware rozprzestrzenia się za pośrednictwem niechcianych wiadomości e-mail. Te "phishingowe" e-maile podszywają się pod legalną korespondencję, aby skłonić cię do otwarcia załącznika, który infekuje Cię oprogramowaniem ransomware.

Odmianą tych ataków phishingowych, które zyskują popularność, jest atak typu "spear phishing". Zamiast przesyłać je masowo, e-maile te są precyzyjnie dopasowane do konkretnej osoby - często z wykorzystaniem informacji uzyskanych z publicznie widocznych profili w mediach społecznościowych - w celu umożliwienia im otwarcia przywiązania. Osoba atakująca może przedstawiać się jako nowy, soczysty klient, a nawet jako jeden z kontrahentów lub partnerów biznesowych.

Strony internetowe zawierające oprogramowanie ransomware

Niektóre witryny zawierają złośliwy kod wykorzystujący luki w zabezpieczeniach przeglądarki i systemu operacyjnego lub wprowadzają użytkownika w błąd. samodzielnie zainstalować oprogramowanie ransomware.

Linki do tych witryn można umieszczać w wiadomościach phishingowych i spear phishingowych. Możesz również do nich kierować za pomocą linków tekstowych, banerów reklamowych lub wyskakujących okienek przeglądarki.

Najważniejsze wyszukiwarki są generalnie trochę wybredne, o które im ufają i które starają się odfiltrować witryny hostujące lub zawierające linki do złośliwego oprogramowania. Ale nie jest to całkowicie niemożliwe, aby znaleźć je w wynikach wyszukiwania.

Sieci, transfer plików i zdalne protokoły wsparcia

Czasami oprogramowanie ransomware wykorzystuje luki bezpieczeństwa w systemach operacyjnych lub aplikacjach, które umożliwiają rozpowszechnianie i uruchamianie plików na własną rękę. Chociaż są one znacznie rzadsze, mogą być katastrofalne. Bez konieczności udziału człowieka, oprogramowanie ransomware przenosi się niemal natychmiast z komputera na maszynę przez sieci i Internet.

Firmy zajmujące się dużymi technologiami szybko załatają te luki w zabezpieczeniach, gdy tylko się o nich dowiedzą. Oznacza to, że firmy, które wyłączają automatyczne aktualizacje i nie stosują tych poprawek, są zdecydowanie szczególnie podatne na tego typu ataki.

Jak się chronić

Ok, więc oprogramowanie ransomware może być kosztowne, dewastujące i może dotrzeć do ciebie na różne sposoby. Jak więc zachować bezpieczeństwo?

Zainwestuj w odpowiednie szkolenie

Zdecydowana większość ataków ransomware musi kogoś oszukać, więc możesz zmniejszyć ryzyko, zwiększając świadomość ransomware jako część szkolenia z zakresu bezpieczeństwa IT.

Upewnij się, że wszyscy pracownicy korzystający z komputera są odpowiednio wyczuleni na podejrzane załączniki i linki do e-maili i upewnij się, że nie tylko generują spam i masową pocztę e-mail, ale również wysyłają e-maile typu "phishing" precyzyjnie dostosowane do firmy lub osoby.

Jak na ironię, najgorzej radzą sobie z tym techniczni właściciele firm; może uważają, że to zbyt oczywiste. Ale to okropny pomysł, aby zakładać, że to, co dla ciebie oczywiste, jest oczywiste dla wszystkich w biurze - oszuści utrzymują się tylko z powodu tych ataków, ponieważ przez jakiś czas pracują.

Lepiej niż nic, aby dać wszystkim dokument polityczny i formularz do podpisania, mówiąc, że go przeczytali. Ale znacznie lepiej jest porozmawiać o tym z pracownikami, aby upewnić się, że naprawdę rozumieją.

Aktualizowanie oprogramowania

Dwa najbardziej katastrofalne ataki typu ransomware w roku 2017 - WannaCry i NotPetya - wykorzystywały tę samą lukę w systemie operacyjnym Windows przechodzić z maszyny na maszynę bez potrzeby oszukiwania operatorów ludzkich do jej instalacji.

Ta luka została załatana przez Microsoft w marcu - na długo przed atakami w maju i czerwcu. To obrażenia o wartości miliardów dolarów, które nigdy nie musiały się zdarzyć.

W domu, najprostszym sposobem na naprawienie systemu operacyjnego jest pozostawienie go w stanie automatycznego stosowania aktualizacji. Tak, te wiadomości, aby ponownie uruchomić twoją maszynę, są denerwujące, ale to nic w porównaniu z utratą całej twojej pracy.

Innym oprogramowaniem, o którym wielu nie wie, jest oprogramowanie układowe routera: to trochę jak system operacyjny urządzenia. Jeśli haker może kontrolować router, może przekierować przeglądanie Internetu na stronę, która instaluje oprogramowanie ransomware. Instrukcje dotyczące aktualizacji oprogramowania znajdują się w podręczniku routera; użyj Google, aby znaleźć kopię elektroniczną, jeśli nie możesz znaleźć tej, która została dostarczona w pudełku.

Ale co, jeśli masz bardziej złożone środowisko biurowe i nie masz pewności, czy możesz zachować wszystkie stacje robocze i serwery załatali na własną rękę? Następnie upewnij się, że ta praca jest częścią umowy o świadczenie usług z twoją firmą wsparcia IT.

Upewnij się, że masz kopie zapasowe

Nic nie odstrasza cię od ransomware, jak świadomość, że masz zapasową kopię wszystkich danych.

Nie zrozum mnie źle, to nadal przeciąganie - nadal będziesz mieć przerwę w swojej działalności, co zawsze jest prawdziwym kosztem. Więc nie marnuj na trening i łatki bezpieczeństwa tylko dlatego, że masz złe kopie zapasowe. Zawsze lepiej jest unikać tego problemu.

A jednak, gdy wszystko inne zawiedzie, twoje kopie zapasowe zmieniają sytuację pomiędzy katastrofą a katastrofą.

Dla freelancerów, konsultantów, handlowców, domowników typy i wszyscy inni z podstawową konfiguracją pojedynczego komputera, komercyjne rozwiązanie do przechowywania danych w chmurze wystarczy do przechowywania plików. W ten sposób zachowasz wszystkie ważne dokumenty robocze w folderze, który synchronizuje się z chmurą. Po prostu upewnij się, że preferowane rozwiązanie do przechowywania w chmurze zachowuje stare wersje plików.

Jeśli twoja operacja jest nieco większa, a kilka stacji roboczych jest połączonych z siecią na serwerze, będziesz potrzebować bardziej restrykcyjnych kopii zapasowych. Jest wystarczająco dużo pracy związanej z konfigurowaniem wszystkiego, aby współpracować ze sobą, tak naprawdę nie chcesz go duplikować przy każdym przywracaniu z kopii zapasowej. Oznacza to tworzenie kopii zapasowych nie tylko dokumentów, ale także twardych dysków i ról serwera na całej stacji roboczej.

To jest dużo więcej danych i może to być frustrujące, czekając, aż wszystko przejdzie przez twoje połączenie internetowe, więc może musisz zachować kopie zapasowe na miejscu, a także przesłać do chmury.

Kontrola dostępu przez Twoja sieć

Kiedy masz więcej niż jeden komputer w biurze, jedną rzecz, która naprawdę wpływa na to, jak bardzo jesteś zraniony, jest to, ile rzeczy może zaszyfrować oprogramowanie ransomware. Im więcej plików i dysków twardych osiągnie, tym dłużej będzie trzeba przywrócić z kopii zapasowych, a tymczasem więcej części firmy zostanie przerwane.

Twój personel nie potrzebuje konta użytkownika z dostępem wszystko w sieci z konta użytkownika, aby móc wykonywać swoją pracę - w rzeczywistości nie potrzebują nawet dostępu do wszystkiego na własnym dysku twardym. W rzeczywistości potrzebują jedynie dostępu do plików, których używają do wykonywania swojej pracy.

Firmy mają tendencję do robienia tego źle, po prostu pozwalając każdemu kontu użytkownika mieć pełny dostęp do wszystkiego w sieci. W prawdziwym scenariuszu z koszmarem obejmuje to także uzyskanie kopii zapasowych na miejscu. Twoje kopie zapasowe są ostatnią rzeczą, którą chcesz zaszyfrować podczas ataku ransomware.

Więc niech twoja informatyczka zablokuje, do jakiej sieci może uzyskać dostęp złośliwy program, możesz ograniczyć szkody do ułamka tego, co możesz stracić. Przyspieszy to Twoje odzyskiwanie i oznacza, że ​​w międzyczasie zakłóca się działalność Twojej firmy.

Odzyskiwanie z ataku

Jeśli masz dobre kopie zapasowe i proces odzyskiwania po awarii, który faktycznie jest testowany, odzyskanie po ataku jest proste.

Czy kiedykolwiek zapłacić okup?

Krótka odpowiedź brzmi: nie.

Oto sprawa: nawet gdyby kosztowało 1500 USD za usługi IT i utratę wydajności, aby uniknąć okupu za 500 USD, to dobrze wydano 1500 $.

A więc, w jaki sposób płacenie okupu jest tak złą transakcją? Wskoczmy od razu:

• Przyklejasz na plecach znak A3 z napisem "włamuj się do mnie". Czy kiedykolwiek otrzymałeś leczenie czerwonego dywanu od dostawcy, któremu wcześniej dałeś cenny interes? Warto zwracać uwagę na to, skąd pochodzą pieniądze.

  To samo dotyczy cyberprzestępców - z wyjątkiem tego, że zamiast dokładać wszelkich starań, aby być szczęśliwym, zrobią wszystko, aby ponownie Cię zhakować. Jako potwierdzony klient płacący, jesteś soczystym celem.

  I bądźmy prawdziwi - fakt, że płacisz okup za obcokrajowców, aby odzyskać dane, sprawia, że ​​dość bezpiecznie zakładasz, że reszta twojego bezpieczeństwa nie jest w 100 procentach.

  Coraz gorzej: cyberprzestępcy również wymieniają te informacje ze sobą lub sprzedają je, gdy zdecydują się przejść dalej. Więc na pewno nie chcesz być na liście.

• To jest zła karma. Poza tym, że czynisz sobie znacznie większy cel, płacenie okupu sprawia, że ​​życie jest trochę gorsze dla wszystkich, którzy starają się zdobyć uczciwość. bryknięcie. Ponieważ jedynym powodem, dla którego ci faceci wciąż pojawiają się w tej pracy, jest dzień wypłaty.

  Więc nie dodawajcie do tego zachęty. To straszne korporacyjne obywatelstwo.

• Istnieje duża szansa, że ​​to nie zadziała. Wiele wysiłków ransomware jest skuteczniejszych w infekowaniu celu niż w prowadzeniu kanałów komunikacji i płatności. Inni faceci wpadają w szał i porzucają swoje oszustwa, podczas gdy ich praca jest wciąż na wolności - kilka nawet zostaje złapanych.

  To oznacza, że ​​nie jesteś po prostu na uboczu, by zapłacić okup, ale cała stracona wydajność z tego czasu zmarnowałeś.

Po odzyskaniu

Po odzyskaniu danych nadszedł czas, aby dowiedzieć się, co dokładnie poszło nie tak. Czy to była wiadomość phishingowa? Podstępne reklamy? Niezapakowane oprogramowanie lub systemy operacyjne? Cokolwiek to jest, musisz zająć się tym, aby to się znów nie powtórzyło.

Prawdopodobnie w przypadku błędu ludzkiego, wszyscy w biurze są poinformowani o tym, jak doszło do ataku. Istnieje spora szansa, że ​​zobaczą podobne ataki w niedalekiej przyszłości, więc upewnij się, że wszyscy wiedzą, na co zwracać uwagę.

Pamiętaj jednak, że złym pomysłem jest złość lub przypisywanie winy nawet jeśli jesteś bardzo sfrustrowany tym, co ktoś zrobił. Stwarza to czynnik zniechęcający do zachowania przejrzystości w odniesieniu do tego, co się stało. To oznacza gorszą komunikację, która tylko pomaga złym ludziom.

Podsumowując

Ransomware znajduje cię przeciwko niektórym z naprawdę przebiegłych umysłów, aktywnie zaangażowanych w to, by twoje życie się pogorszyło.

Ale dla wszystkich magii komputerowych, które mogą wejść w te ataki, nie musisz być Keanu w The Matrix, aby pozostać bezpiecznym. Wszystko, co naprawdę trzeba, to odpowiednie przygotowania i dobra osoba IT, aby wziąć odpowiedzialność za swoje systemy.

Zdobądź te podstawowe podstawy, a szanse na to, że uda ci się uniknąć większości ataków, mogą szybko odbić się, gdy stanie się najgorsze. Dzięki temu możesz skupić się na rzeczach, które przyczyniają się do rozwoju Twojej firmy.