Что делать, если вы стали жертвой WannaCry?
Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:
- Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
- Поменяйте драйвера.
- Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
- Обновите операционную систему и все остальное ПО.
- Обновите и запустите антивирусник.
- Повторно подключитесь к сети.
- Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.
Важно!
Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.
Настройка SMTP параметров FSRM для отправки email уведомлений
Следующим шагом является настройка параметров SMTP службы FSRM, благодаря которым администратор может настроить отправку уведомлений по электронной почте на свой почтовый ящик. Для этого запустите консоль fsrm.msc, щелкните правой кнопкой мыши корень консоли диспетчера ресурсов файлового сервера и выберите «Настроить параметры.
Укажите адрес SMTP-сервера, почтовый ящик администратора и имя отправителя.
Совет. Если у вас нет внутреннего почтового сервера, вы можете настроить ретрансляцию SMTP на внешние почтовые ящики.
вы можете проверить правильность настроек SMTP-сервера, отправив тестовое письмо с помощью кнопки «Отправить тестовое письмо.
Вы также можете настроить параметры SMTP службы FSRM с помощью Powershell:
Методы защиты от вируса-шифровальщика
Я не буду перечислять очевидные вещи на тему запуска неизвестных программ из интернета и открытие вложений в почте. Это сейчас все и так знают. К тому же я об этом писал много раз в своих статья в разделе про вирусы
Обращу внимание на бэкапы. Они должны не просто быть, а быть недоступны извне
Если это какой-то сетевой диск, то доступ к нему должен быть у отдельной учетной записи со стойким паролем.
Если бэкапите личные файлы на флешку или внешний диск, не держите их постоянно подключенными к системе. После создания архивных копий, отключайте устройства от компьютера. Идеальным я вижу бэкап на отдельное устройство, которое включается только чтобы сделать бэкап, а потом снова отключается физически от сети отключением сетевого провода или просто завершением работы.
Резервные копии должны быть инкрементными. Это нужно для того, чтобы избежать ситуации, когда шифровальщик зашифровал все данные, а вы этого не заметили. Было выполнено резервное копирование, которое заменило старые файлы новыми, но уже зашифрованными. В итоге архив у вас есть, но толку от него никакого нет. Нужно иметь глубину архива хотя бы в несколько дней. Я думаю, в будущем появятся, если еще не появились, шифровальщики, которые будут незаметно шифровать часть данных и ждать какое-то время, не показывая себя. Сделано это будет в расчете на то, что зашифрованные файлы попадут в архивы и там со временем заменять настоящие файлы.
Это будет тяжелое время для корпоративного сектора. Я выше уже привел пример с форума eset, где зашифровали сетевые диски с 20Тб данных. А теперь представьте, что у вас такой сетевой диск, но зашифровано только 500G данных в каталогах, к которым не обращаются постоянно. Проходит пару недель, никто не замечает зашифрованных файлов, потому что они лежат в архивных каталогах, и с ними постоянно не работают. Но в конце отчетного периода данные нужны. Туда заходят и видят, что все зашифровано. Обращаются в архив, а там глубина хранения, допустим, 7 дней. И на этом все, данные пропали.
Тут нужен отдельный внимательный подход к архивам. Нужно программное обеспечения и ресурсы для долгосрочного хранения данных.
Что делать, если вы стали жертвой WannaCry?
Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:
- Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
- Поменяйте драйвера.
- Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
- Обновите операционную систему и все остальное ПО.
- Обновите и запустите антивирусник.
- Повторно подключитесь к сети.
- Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.
Важно!
Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.
Как работает баннер-вымогатель
В народе вирус называют по-разному, но это всё одно и то же: баннер-вымогатель, вирус-вымогатель, шифровальщик или RANSOMWARE. Это обычный вирус, который может попасть в компьютер любым способом, которым научились пользоваться хакеры. Независимо от способа заражения, если вымогатель запустился в системе, то он делает следующее:
- Какое-то время работает в фоне и не даёт о себе знать
- Шифрует документы, которые найдёт на дисках
- «Под занавес» блокирует загрузку и работу Windows
Теперь вместо загрузки Windows, отображается баннер на весь экран с сообщением примерного содержания:
Или так:
Сумма выкупа, как правило, составляет около 500$, но самое страшное то, что никто ваши данные не расшифрует, сколько бы вы Биткоинов ни отправили на указанный кошелёк! Поэтому важно не допустить, чтобы эта зараза попала в систему, «предупреждён, значит – вооружён!»
Applications of FSRM
Some practical applications of the File Server Resource Manager include:
- Create a 200 MB quota for each user’s home directory and notify them when they use 180 MB.
- It is not allowed to store any music files in personal shared folders.
- Schedule a report that runs every Sunday night at midnight to generate a list of recently accessed files in the previous two days. This can help you determine weekend storage activity and plan server downtime accordingly.
- Create a file classification rule to mark any file containing at least 10 social security numbers as having personally identifiable information.
- Expired all documents that have not been modified in the last 10 years.
- Use the file classification infrastructure with a dynamic access control scheme to create a policy that grants access to files and folders based on how the files are classified on the file server.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5»
Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Блокировка зараженного пользователя.
После обнаружения заражения нужно принять меры к источнику угрозы. Необходимо закрыть доступ к общей папке пользователю, поймавшему на свой компьютер шифровальщик. Для этого разместим на диске C:\ файл SmbBlock.ps1 со следующим содержанием:
param( $username = “” ) Get-SmbShare -Special $false | ForEach-Object { Block-SmbShareAccess -Name $_.Name -AccountName “$username” -Force }
Вернемся к Шаблонам фильтра блокировки и выберем вкладку Команда.
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
-Command "& {C:\smbblock.ps1 -username ‘’}"
В результате выполнения скрипта зараженный пользователь получает персональный запрет на вход в папку.
Данный способ защиты не является абсолютным решением данной проблемы т.к. писатели вирусов не стоят на месте, но в качестве одной из компонент комплексной защиты вполне применим.
Защита от шифровальщиков с помощью FSRM на Windows Server
Install FSRM role on the file server:
1. Open Server Manager Console.
2. On Server Manager dashboard, click on Manage and select Add Roles and Features.
3. On the Before you begin page, click Next.
4. Select Role-based or feature-based installation and then click Next.
5. Select a server from the server pool to install FSRM to, and then click Next.
6. Expand File and Storage Services and expand the File and iSCSI Services. Select File Server Resource Manager.
7. A new window will pop up, click on Add Features to include required features and management tools.
8. Make sure that File Server and File Server Resource Manager server role are selected. Click on Next.
9. On select features page, click Next.
10. Click on Install to start the installation process.
11. When the installation is complete, click the Close button.
Note: Already I have created one shared folder on our file server for the testing purpose. We will apply File Screening on that shared folder.
Вирус Wanna Cry: Как распространяется
Ранее, мы упоминали об этом способе распространения вирусов в статье о безопасном поведении в интернете, так что – ничего нового.
Wanna Cry распространяется следующим образом: На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные, об этом информирует therussiantimes.com.
Overview of classification management
In this tutorial, I will introduce you to Classification Management on a Windows File Server and how to set it up.
Classification is an element of File Server Resource Manager (FSRM) that also allows you to set up file filters and quotas.
The classification that we will see in this tutorial does not allow dynamic access control, but above all allows you to add “tags” ‘to files in order to generate reports and management tasks such as moving to the using a script.
To illustrate the tutorial, we will create a classification that will mark the classification as Yes if the file contains the word Password.
- Dossier de test
- Fichier avec le mot password
- Fichier sans le mot password
Настройка File Screen Templates
Давайте создадим новый шаблон экрана файлов, который определяет действия, которые FSRM должен предпринять при обнаружении указанных файлов. Для этого в консоли FSRM перейдите в File Screen Management -> File Screen Templates. Давайте создадим новый шаблон экрана «Создать файл.
На вкладке настроек укажите название модели «Block_crypto_files», тип скрининга – Скрининг активен (запрещено создавать указанные типы файлов) и выберите Crypto-Files из списка групп файлов.
На вкладке «Электронное сообщение» включите отправку уведомлений по электронной почте, настроив текст предупреждения по своему вкусу.
На вкладке «Журнал событий» включите запись событий в системный журнал. С инструкцией зарегистрировать только имя пользователя:
На вкладке «Команда» вы можете указать действие, которое будет выполняться при обнаружении файла этого типа. Подробнее об этом ниже.
Сохраните изменения. Другой должен появиться в списке моделей.
Настройка файлового сервера.
Я сэкономлю ресурсы и время, потому расположу на контроллере домена.
1. Создаем структуру папок:
C:\FSLogix\LogsC:\FSLogix\ProfilesC:\FSLogix\Redirections
2. Расшариваем папки и устанавливаем права:
C:\FSLogix\Profiles | СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ – Изменение: Только для подпапок и файлов.Доступ к профилю владельца. Пользователи домена – Изменение: Только для этой папки.Требуется во время создания профиля. |
C:\FSLogix\Logs | Компьютеры домена – Полный доступ: Для этой папки, ее подпапок и файлов. Требуется доступ компьютерам для создания логов. |
C:\FSLogix\Redirections | Пользователи домена – Чтение: Для этой папки, ее подпапок и файлов.Требуется для чтения пользователями конфигурационного файла Redirections.xml. |
Создание шаблона для фильтра блокировки файлов
-
В разделе Управление фильтрами блокировкой файлов выберите узел Шаблоны фильтра блокировки файлов.
-
Щелкните правой кнопкой мыши Шаблоны фильтра блокировки файлов и нажмите кнопку Создать шаблон для фильтра блокировки файлов (или выберите Создать шаблон для фильтра блокировки файлов на панели Действия). Откроется диалоговое окно Создание шаблона для фильтра блокировки файлов.
-
Если требуется скопировать свойства существующего шаблона, чтобы использовать их в качестве основы для нового шаблона, выберите шаблон в раскрывающемся списке Скопировать свойства из шаблона, а затем щелкните Копировать.
Независимо от стоящей задачи — использование свойств существующего шаблона или создание нового шаблона — измените или установите следующие значения на вкладке Параметры:
-
В текстовом поле имя шаблона введите имя нового шаблона.
-
В разделе Тип блокировки выберите параметр Активная блокировка или Пассивная блокировка. (Активная блокировка не позволяет пользователям сохранять файлы, являющиеся членами заблокированных файловых групп, и создает уведомления при попытке пользователя сохранить несанкционированные файлы. Пассивная блокировка отправляет настроенные уведомления, но не запрещает пользователям сохранять файлы.
-
Чтобы задать группы файлов для блокировки, выполните следующие действия.
В разделе Группы файлов выберите все группы файлов, которые требуется добавить. (Чтобы установить флажок для группы файлов, дважды щелкните метку группы файлов.)
Если необходимо просмотреть типы файлов, которые содержит группа файлов и которые из нее исключаются, щелкните метку группы файлов и нажмите кнопку Изменить. Чтобы создать новую группу файлов, нажмите кнопку Создать.
Кроме того, можно настроить диспетчер ресурсов файлового сервера для создания одного или нескольких уведомлений, задав следующие параметры на вкладках Сообщение электронной почты, Журнал событий, Команда и Отчет.
-
Настройка уведомлений по электронной почте.
На вкладке Сообщения электронной почты задайте следующие параметры:
- Чтобы администраторы получали уведомление при попытке пользователем или приложением сохранить запрещенный файл, установите флажок Отправить сообщение электронной почты следующим администраторам, а затем введите имена учетных записей администраторов, которые будут получать уведомления. Используйте форматдоменучетной записи@ и используйте точки с запятой для разделения нескольких учетных записей.
- Для отправки электронного сообщения пользователю, попытавшемуся сохранить файл, установите флажок Отправить сообщение пользователю, попытавшемуся сохранить запрещенный файл.
- Чтобы настроить сообщение, измените тему по умолчанию и текст сообщения. Текст в квадратных скобках вставляет данные переменных о событии фильтра блокировки файлов, вызвавшем формирование уведомления. Например, переменная вставляет имя пользователя, который попытался сохранить несанкционированный файл. Чтобы добавить дополнительные переменные в текст, нажмите кнопку Вставить переменную.
- Чтобы настроить дополнительные заголовки (включая «Копия», «Скрытая копия» и «Ответ на адрес:»), нажмите Дополнительные заголовки сообщений.
-
Чтобы зарегистрировать ошибку в журнале событий при попытке пользователем сохранить запрещенный файл, выполните следующие действия.
На вкладке Журнал событий установите флажок Записывать предупреждения в журнал и измените запись журнала по умолчанию.
-
Чтобы выполнить команду или сценарий при попытке пользователем сохранить запрещенный файл, выполните следующие действия.
На вкладке Команды установите флажок Выполнять эту команду или сценарий. Затем введите команду или нажмите кнопку Обзор для поиска места хранения сценария. Можно также ввести аргументы команды, выбрать рабочий каталог для команды или сценария или изменить параметр безопасности команды.
-
Для создания одного или нескольких отчетов хранилища при попытке пользователем сохранить запрещенный файл выполните следующие действия.
На вкладке Отчет установите флажок Создавать отчеты, а затем выберите, какие отчеты необходимо создать. (Можно выбрать один или несколько адресов электронной почты администраторов, которым будет отправлен отчет, или отправить отчет по электронной почте пользователю, попытавшемуся сохранить запрещенный файл.)
Отчет будет сохранен в расположении по умолчанию для отчетов об инцидентах, которое можно изменить в диалоговом окне Параметры диспетчера ресурсов файлового сервера.
-
После выбора всех свойств шаблона файла, которые требуется использовать, нажмите кнопку ОК, чтобы сохранить шаблон.
How to test File Screening:
23. On Windows 10 client machine, access the shared folder. Try to copy any audio or video file to the folder for testing purposes.
24. On a File server, open event viewer. Look for the event ID 8215.
25. If a user tries to save any .png image file then it is allowed as we have added the exclusion entry for .png file.
In this post, we have learned the steps to configure File Screening using file server resource manager in Windows Server 2019.
Hope this will be helpful. Thank you for reading.
Related Articles:
- Install and Configure DFS Namespace on Windows Server 2019
- How to configure DFS Replication in Windows Server 2019
- Configure Disk Quota with File Server Resource Manager (FSRM)
Добавление или перемещение папки сервера
Вы можете добавить дополнительные папки сервера для хранения файлов на сервере, в дополнение к папкам сервера по умолчанию, которые создаются во время установки. Папки сервера можно добавить на основном или рядовом сервере под управлением Windows Server Essentials.
При необходимости вы можете переместить папку сервера, которая находится на основном сервере под управлением Windows Server Essentials и отображается на вкладке Папки сервера панели мониторинга, на другой жесткий диск с помощью мастера перемещения папки. Папку сервера можно переместить в другое расположение на жестком диске, если:
-
На жестком диске недостаточно места для хранения данных.
-
Вы хотите изменить место хранения по умолчанию. Для более быстрой операции переместите папку сервера, когда она не содержит данных.
-
Требуется удалить существующий жесткий диск без потери папок, расположенных на нем.
Перед перемещением папки необходимо убедиться в следующем:
-
Создана резервная копия сервера.
-
Все операции резервного копирования клиента остановлены, если планируется переместить папку архивации клиентских компьютеров. При перемещении папки архивации клиентских компьютеров сервер не сможет создать резервную копию всех клиентских компьютеров до завершения перемещения папки.
-
Сервер не выполняет каких-либо важных системных операций. Рекомендуется завершить все выполняемые обновления или операции резервного копирования, перед началом перемещения папки, иначе процесс займет больше времени.
-
Ни один из файлов в перемещаемой папке не используется. Вы не сможете получить доступ к папке сервера при ее перемещении.
Перемещение папки из файловой системы NTFS в ReFS не поддерживается, если файлы в папках сервера реализуют следующие технологии:
-
альтернативные потоки данных;
-
идентификаторы объектов;
-
короткие имена (8.3);
-
Сжатие
-
шифрование EFS;
-
транзакционная NTFS, TxF (впервые появилась в Windows Vista);
-
Разреженные файлы
-
Жесткие связи
-
Расширенные атрибуты
-
Квоты
Место добавления или перемещения папки сервера
Как правило, следует добавлять или перемещать папки сервера на жесткие диски с максимальным объемом свободного пространства. По возможности старайтесь не добавлять или перемещать общую папку на системный диск (например, C:), так как она может занимать место, необходимое для операционной системы и обновлений. Также не добавляйте и не перемещайте папки сервера на внешние жесткие диски, поскольку их легко можно отключить, в результате чего вы не сможете получить доступ к файлам. Вместо этого рекомендуется создать папку на внутреннем диске.
Папку сервера невозможно добавить или переместить в следующие расположения. Если следующие расположения выбраны для добавления или перемещения, появится сообщение об ошибке:
-
жесткий диск с файловой системой, отличной от NTFS или ReFS;
-
папка %windir%;
-
сопоставленный сетевой диск;
-
папка, содержащая общую папку;
-
жесткий диск, расположенный в разделе Устройство со съемными носителями;
-
Корневой каталог жесткого диска (например, C: \ , D: \ , E: \ )
-
вложенная папка существующей общей папки;
-
рядовой сервер Windows server essentials или Windows Server 2012 R2 с установленной ролью среды Windows server essentials.
Примечание
Для выполнения этих процедур необходимо быть администратором сервера.
Добавление папки сервера
-
Откройте панель мониторинга.
-
Нажмите кнопку ХРАНЕНИЕ, а затем Папки сервера.
-
В области Задачи папки сервера нажмите кнопку Добавить папку. Откроется мастер добавления папки.
-
Для завершения работы мастера следуйте инструкциям на экране.
Примечание
Если вы выбираете определенную папку с помощью кнопки «Обзор», чтобы расположение папки сервера, выбранная папка будет добавлена как папка сервера.
Перемещение папки сервера
-
Откройте панель мониторинга.
-
Нажмите кнопку ХРАНЕНИЕ, а затем Папки сервера.
-
В списке папок сервера выберите папку, которую требуется переместить.
-
В области задач щелкните Переместить папку.
-
Для завершения работы мастера следуйте инструкциям на экране.
Защита от эксплоитов
Exploit Guard — это всего лишь инструмент снижения риска, он не избавляет от необходимости закрывать уязвимости в софте, но затрудняет их использование. В целом принцип работы Exploit Guard состоит в том, чтобы запрещать те операции, которые чаще всего используются зловредами.
Проблема в том, что многие легитимные программы тоже их используют. Более того, есть старые программы (а точнее, динамические библиотеки), которые просто перестанут работать, если задействовать в Windows новые функции контроля памяти и прочие современные средства защиты.
Поэтому настройка Exploit Guard — это такие же вилы, какими ранее было использование EMET. На моей памяти многие администраторы месяцами вникали в тонкости настроек, а затем просто прекращали использовать ограничительные функции из-за многочисленных жалоб пользователей.
Если же безопасность превыше всего и требуется закрутить гайки потуже, то самыми востребованными функциями Exploit Guard были (со времен EMET) и остаются:
-
DEP
(Data Execution Prevention) — предотвращение выполнения данных. Не позволяет запустить на исполнение фрагмент кода, оказавшийся в не предназначенной для этого области памяти (например, в результате ошибки переполнения стека); -
случайное перераспределение памяти
— предотвращает атаку по известным адресам; -
отключение точек расширения
— препятствует внедрению DLL в запускаемые процессы (см. про обход UAC, где этот метод широко использовался); - команда DisallowChildProcessCreation
— запрещает указанному приложению создавать дочерние процессы; -
фильтрация таблиц адресов импорта (IAF) и экспорта (EAF)
— не позволяет (вредоносному) процессу выполнять перебор таблиц адресов и обращаться к странице памяти системных библиотек; -
CallerCheck
— проверяет наличие прав на вызов конфиденциальных API; -
SimExec
— имитация выполнения. Проверяет перед реальным исполнением кода, кому вернутся вызовы конфиденциальных API.
Команды могут быть переданы через PowerShell. Например, запрет создавать дочерние процессы выглядит так:
Set-ProcessMitigation -Name исполняемый_файл.exe
-Enable DisallowChildProcessCreation
Все x86-процессоры и чипсеты последних десяти лет выпуска поддерживают DEP на аппаратном уровне, а для совсем старых доступна программная реализация этой функции. Однако ради совместимости новых версий Windows со старым софтом Microsoft до сих пор рекомендует включать DEP в режиме «только для системных процессов». По той же причине была оставлена возможность отключать DEP для любого процесса. Все это успешно используется в техниках обхода системы предотвращения выполнения данных.
Поэтому смысл от использования Exploit Guard будет только в том случае, если есть возможность задействовать сразу несколько защитных функций, не вызывая сбой хотя бы в работе основных приложений. На практике это редко удается. Вот пример профиля EG, конвертированного из EMET, который вообще вызывает сваливание Windows 10 в BSoD. Когда-то в «Хакере» была рубрика «Западлостроение», и Exploit Guard бы в нее отлично вписался.
Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта.
Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.
Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.
Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать
.
Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.
Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.
Ответы экспертов на вопросы слушателей
Возможно ли дешифровать взломанную систему?
Вероятность расшифровать данные очень мала, даже если применяется слабая криптография. Ошибки разработчиков программ-вымогателей встречаются, но это более эффективно в борьбе против распространения вредоноса и крайне редко приводит к дешифровке данных. Ресурсы у злоумышленников сейчас значительны, ransomware-as-a-service обеспечивает наём хороших специалистов (или можно выгодно уйти в партнёрские программы).
Доходили ли какие-то инциденты с криптолокерами в РФ до суда?
Хотя многие операторы программ-вымогателей — русскоговорящие, атаки производятся на иностранные инфраструктуры: помимо прочего, это более выгодно с финансовой точки зрения. На данный момент судебных процессов в РФ по проблеме программ-вымогателей не зафиксировано.
Борются ли правоохранительные органы с операторами программ-вымогателей?
Идёт активная борьба на международном уровне. Например, на Украине задержаны партнёры Imatet. В Канаде был задержан один из участников Netwalker. Так как действия шифровальщиков приводят к серьёзному ущербу, большие компании, используя свои рычаги, форсируют расследования.
Из недавних примеров — атака на муниципалитеты в США, когда для быстрого получения доступа к серверам были задействованы правоохранительные органы разных стран. Чаще всего задержаниям мешают бюрократические нюансы, что играет на руку злоумышленникам. В любом случае это — коллективные действия, сотрудника в Интерполе недостаточно для поимки преступников.
Как развито страхование рисков ущерба от ransomware?
В РФ не развито страхование рисков для ИБ. За рубежом, чтобы получить подобную страховку, необходимо пройти серьёзный аудит. Без аудита стоимость страховки очень высока, дешевле будет заплатить выкуп.
Чаще всего используют комбинированный подход: часть рисков закрывает компания силами ИБ, а часть — страховка.
Также сложно оценить репутационные риски. У всех злоумышленников, как правило, есть сайт, где они выставляют похищенные данные для доказательств, многое зависит от профиля компании-жертвы.
Как вести диалог с вымогателем?
У каждого оператора вымогателя есть портал с личным кабинетом — это площадка для взаимодействий. Все серьёзно и автоматизировано. Там даже предоставляются скидки постоянным клиентам.
Бывают ли атаки на промышленные объекты?
Подобные целевые атаки фиксируются, потому что это экономически выгодно, но их не очень много. Сейчас более популярны атаки на корпоративные сети.
Как строить защиту мобильных устройств от шифровальщика?
Резервное копирование данных в облако будет оптимальным решением. После форматирования устройства можно восстановиться из резервной копии, если таковая имеется. Android атакуют чаще, чем iOS. Защита представлена программными средствами как для индивидуального пользователя, так и для бизнеса.
Встречаются приложения-шифровальщики, которые маскируются под известные бренды, как, например, это было с якобы игрой Cyberpunk 2077 под Android.
Блокировка файлов на файловом сервере
Блокировка файлов – это запрет хранения определенных типов файлов в той или иной папке.
Данная блокировка позволяет запретить пользователям, копировать нежелательные файлы на файловый сервер, например, видео, музыку или исполняемые файлы, что является очень хорошей возможностью, так как Вы знаете, что пользователь может притащить на работу все что угодно и засорить всю шару. К тому же мы обеспечиваем защиту, например от вирусов, в случае установки блокировки исполняемых файлов.
В общем, про плюсы данной возможности можно говорить очень долго, поэтому давайте сразу приступать к практике.
Как открыть «Управление файловым сервером» Вы уже знаете, поэтому просто переходим на пункт меню «Управление блокировкой файлов»
Где,
- Фильтры блокировки файлов – это действующие блокировки;
- Шаблоны блокировки файлов – это соответственно шаблоны блокировок;
- Группы файлов – это сгруппированные типы файлов по их назначению. Например, файлы видео это *.avi,*.mov и так далее.
Подробно посмотреть все типы, которые входят в ту или иную группу можно в свойствах той группы в соответствующем пункте меню.
Теперь давайте создадим фильтр блокировки аудио и видео файлов, для этого перейдем на пункт «Фильтры блокировки файлов» и справа в меню нажмем «Создать фильтр блокировки файлов»
Кстати говоря, Вы можете создать исключения для фильтра, например, это выглядит следующим образом, блокируется все кроме определенного типа файлов. Но сейчас мы создадим простой фильтр на запрет.
Далее у нас откроется окно, где мы также выберем диск D и нажмем «Настраиваемые свойства».
Здесь также существует две разновидности блокировки это активная, которая не разрешает сохранения данных типов файлов, и пассивная, которая используется в качестве наблюдения, чтобы например, мы знали, что тот или иной пользователь сохранил такой-то тип файла на сервере.
Мы выбираем «Активная» и группу файлов как мы решили ранее «Файлы аудио и видео».
Далее перейдем на вкладку «Журнал событий» и поставим галочку «Записывать предупреждения в журнал». В журнале данный тип предупреждений будет с таким же источником, как и предупреждения по квотам.
Все жмем ОК и возвращаемся на основное окно, где мы проверяем все введенные свойства блокировки
Затем жмем «Создать» и на этом настройка блокировки закончена.
На этом предлагаю закончить и надеюсь, что сегодняшний материал будет полезен начинающим администраторам. Удачи!
Нравится3Не нравится1