Программы-вымогатели кажутся вездесущими, и на большинстве форумов по кибербезопасности активно обсуждают методы борьбы с ними. Вымогатели избегают сигнатурного обнаружения, их шифрование почти никогда нельзя взломать, а для того чтобы нанести ущерб, им не обязательно обладать правами администратора. Программа-вымогатель поражает файлы на сетевых ресурсах, отключает точки восстановления, удаляет теневые копии, а также отслеживает и стирает резервные копии — другими словами, наносит весь ущерб, который только можно себе представить. Пора сдаваться? На самом деле нет.
У нас в «Лаборатории Касперского» есть отличное профилактическое решение, которое не только выявляет вымогателей на стадии заражения, но и засекает вредоносное поведение, если кто-то запускает файл, а затем блокирует действие и откатывает изменения. Кое-какая дополнительная информация содержится по следующим ссылкам:
Однако мы уже наблюдали некоторые сценарии, в которых это не сработало. Возможно, наихудший вариант случается, когда у вас есть общий сетевой ресурс, и вдруг заражённый компьютер в сети начинает шифровать файлы на общем диске. Даже если бы вы взялись мониторить сервер, выявлять там нечего: сам сервер не заражён, так что можете сканировать и память, и файлы, и диск сколько угодно — вредоносная программа продолжит делать свою работу, едва ли не истерически хохоча над вашими отчаянными попытками предотвратить ущерб.
Это в точности та ситуация, которую мы постарались разрешить при помощи свежего обновления Kaspersky Security for Windows Server (например, Kaspersky Security for Windows Server Enterprise Edition). Новая версия отслеживает активность на сетевом ресурсе, и в случае возникновения подозрений в том, что какая-либо машина проявляет вредоносную активность (читайте: шифрует данные компании), она отключает компьютер от сети на 30 минут и уведомляет об этом администратора, так что вам не придётся отключать все машины и подключать их затем по очереди, чтобы определить заражённую.
Помните о многоуровневом подходе к обеспечению безопасности. Скрупулёзно создавайте резервные копии. Предотвращайте фишинг на сервере электронной почты или в веб-браузере. Ставьте заслон известным вредоносным программам (сигнатурный — самый простой способ для этого, так что уделите ему должное внимание). Проверяйте облачными разведданными. Запирайте на какое-то время в песочнице. Дайте вашему брандмауэру сделать кое-какую работу за вас.
Убедитесь, что контроль привилегий приложений запрещает приложениям доступ к вашим персональным данным, если таковой не задан специально. Или вовсе переключитесь в режим запрета по умолчанию. Отслеживайте процессы, выполнение которых вы разрешили, на предмет эксплойтов и вредоносной активности. Откатывайте вредоносные изменения, если ничего другого не остаётся. Убедитесь в том, что каждый узел сети защищён — будь то прокси-сервер, почтовый сервер, сервер SharePoint, устройство хранения данных или файловый сервер. Вы же не хотите, чтобы деструктивный код затаился в вашей сети и ждал команды на сборку и запуск от вредоносного программного обеспечения.