зашифровать
или уничтожить:

Petya, пожалуй, самое цитируемое русское имя в СМИ на конец июня – июль 2017 года. Так назвали троянца-шифровальщика, орудовавшего на просторах интернета. По мелочам он не разменивался и пленных – в виде отдельных файлов – не брал: на самом раннем этапе загрузки захватывал доступ ко всему жесткому диску. За его расшифровку злоумышленники требовали $300 в биткоинах. Однако эксперты полагают, что главной целью создателей этого троянца было не заработать, а навредить, что у них и получилось.

Несколькими месяцами ранее по полумиллиону компьютеров в 150 странах прошелся еще один вирус-шифровальщик – WannaCry. Злоумышленникам поступило 302 платежа на сумму примерно $116,5 тыс., притом что эксперты по кибербезопасности в один голос твердят: «Не платите кибервымогателям!». Ущерб от атаки WannaCry оценили в $1 млрд, учтя потерю данных, снижение производительности, простои в работе предприятий и организаций, судебные и репутационные издержки.

Вирус-шифровальщик – это универсальный инструмент. В погоне за быстрыми и легкими деньгами им пользуются мелкие мошенники; не гнушаются прибегать к его помощи и серьезные структуры, цель которых – шпионаж или саботаж.

Только в первом квартале 2017 года «Лаборатория Касперского» обнаружила 11 новых семейств троянцев-шифровальщиков и почти 56 тыс. новых модификаций зловредов этого типа. Эксперты отмечают, что в последнее время внимание специализирующихся на шифровальщиках киберпреступников сместилось с обычных интернет-пользователей на организации. Для злоумышленников это финансово выгодно: компании готовы платить много и быстро, чтобы восстановить доступ к своим базам данных и разблокировать файлы, необходимые для ведения бизнеса. Однако, как в случае с ExPetr, за обычным шифровальщиком может скрываться ПО для саботажа: эксперты подтвердили, что злоумышленники не заложили инструменты для расшифровки данных, т.е. вирус был нацелен на уничтожение информации.

Кстати, киберсаботаж не уникальная методика. Еще летом 2012 года вирусом, полностью стирающим данные, было заражено более 30 тыс. корпоративных компьютеров саудовского нефтяного гиганта Saudi Aramco. На восстановление полноценной работы предприятия ушло полторы недели. Компания понесла многомиллионные убытки.

Как показали эпидемии прошлого года, дело не ограничивается техническими проблемами. Многие компании с установленной современной защитой стали жертвами какой-либо из этих программ.

Основная причина столь масштабной эпидемии заключается даже не в самом троянце, а в методе распространения при помощи недавно закрытой уязвимости в системах Windows. Многие системные администраторы в компаниях имеют привычку не ставить обновления сразу же после их появления, опасаясь негативного влияния на важные бизнес-процессы и существующие системы. С момента выхода пакета программ, которые защитили бы от заражения, прошло два с лишним месяца – вполне достаточный срок для тестирования совместимости и проверок. Однако обновления многими компаниями установлены так и не были, чем воспользовались злоумышленники. Сыграло свою роль и то, что на большинстве предприятий ИТ-персонал подгоняет настройки защитного ПО под свои системы, зачастую отключая важные, рекомендованные производителем модули.

Первый – мониторинг системы: новые шифровальщики могут отсутствовать в базах, для борьбы с «новичками» нужен анализ их поведения. Второй компонент защищает важные документы, ограничивая доступ к файлам определенного типа и блокируя попытки несанкционированного шифрования. Третий защищает ресурсы с общим доступом. Речь идет не только о машинах, за которыми работают сотрудники. Чрезвычайно важно оградить от вторжения системы хранения данных. Проникнув в один компьютер, имеющий доступ к папкам на сервере, шифровальщик способен добраться до общих файлов, а затем распространиться по всей сети.

Пока же статистика неутешительна: только за первый квартал 2017 года с помощью продуктов «Лаборатории Касперского» атаки шифровальщиков были отражены на компьютерах 240 799 уникальных пользователей.