Продукция
Загрузить
Главная страница / Статьи / Сканер безопасности RedCheck позволит защититься от криптовирусов и программ-вымогателей

Сканер безопасности RedCheck позволит защититься от криптовирусов и программ-вымогателей

Одними из наиболее активно развивающихся зловредов последних лет, по мнению экспертов в области информационной безопасности, являются программы-вымогатели (ransomware). По сути это – "трояны", которые, попадая в среду операционной системы, выполняют шифрование всех доступных файлов, блокируют работу компьютера или отдельных программ, а после вымогают у жертвы деньги за расшифровку или деблокировку. Самыми опасными среди них принято считать криптовирусы (Cryptolocker, Cryptowall, CTB-Locker и т.п.). Данные вредоносные программы не повреждают систему, а избирательно шифруют наиболее ценные файлы, в том числе базы данных и даже архивы.

Ранние версии криптовирусов использовали "слабые" алгоритмы шифрования, поэтому оставался шанс решить проблему подбором ключа, сегодня же мошенники широко применяют криптостойкие алгоритмы шифрования. В том числе криптографию на основе эллиптических кривых со стойкостью, эквивалентной алгоритмам RSA-3072 и AES-256. Размещение C&C серверов в анонимной сети Tor и использование для оплаты дешифратора криптовалюты практически гарантируют злоумышленникам безнаказанность.

Распространение криптовирусов превратилось в самостоятельный бизнес. "Программы-вымогатели" продаются как коробочные решения, а бизнес модель, предложенная разработчиками локеров, поражает своей циничностью:

"Цена локера составляет $3000 и включает месяц бесплатной поддержки. Продление поддержки стоит всего $300 в месяц. Вы можете свободно пользоваться системой после окончания поддержки, запускать новые сервера, генерировать локеры. Вы будете только ограничены в обновлениях. За сумму в $3000 получаете готовую систему "под ключ", она не требует настройки и доработки. Вам не надо никому ничего отчислять, она персонально ваша. Вы можете запускать множество различных серверов и локеров. Вы можете запускать загрузки сразу после установки.
Возможна партнерская схема без крупных вложений."

Теперь для преступной деятельности не нужно быть "злым гением", достаточно иметь определенную сумму и внимательно ознакомиться с инструкцией по инсталляции и использованию локера. Именно эта доступность и безнаказанность привела к росту числа инфицированных компьютеров и серверов.

По данным аналитического отчета Symantec Internet Security Threat Report с 2013 по 2014 год количество заражений ransomware в мире увеличилось более чем в 2 раза: с 4,1 млн. до 8,8 млн., а количество заражений криптовирусами увеличилось в 45 раз. К концу 2014 года каждое 25-е заражение приходилось на криптовирус.

Компания ESET провела опрос специалистов по информационной безопасности, посвященный угрозе заражения криптовирусами. 84% опрошенных специалистов сообщили, что заражение корпоративной сети шифратором могло бы нанести их компаниям серьезный ущерб. Более трети опрошенных (35%) сообщили, что их компании или организации, где работают их знакомые, уже пострадали от действий вымогателей.

Несмотря на новизну принципов работы самих криптовирусов, способы заражения жертвы весьма тривиальны. Основными векторами распространения являются фишинговые сообщения, поступающие по электронной почте, а также необновленное программное обеспечение, содержащее известные уязвимости, которые могут быть использованы злоумышленниками для удаленной установки вируса.

Контроль основных каналов получения программ-вымогателей (электронной почты, недоверенных сайтов, съемных носителей, ПО сомнительного происхождения) с использованием антивирусных средств не гарантирует защиты от заражения, так как сигнатурные методы обнаружения в данном случае не всегда бывают эффективны. Злоумышленники постоянно модифицируют тело вируса, а шифрование производится с использованием стандартных криптомодулей, которые по факту не являются вирусами.

Стандартная практика, когда для рядовых задач применяется только пользовательская учетная запись, в случае борьбы с криптовирусом тоже неэффективна, так как к большинству важных файлов и документов имеют доступ и обычные пользователи. Зловред, используя контекст прав пользователя, "поселит" себя в одну из папок, входящих в User Profile и получит возможность зашифровать все пользовательские данные.

Схема работы подобных программ довольно типична, рассмотрим сценарий на примере некоторых из вирусов, попавших в почту нашей компании в течении нескольких дней. На почтовый сервер часто приходит подобное ransomware, некоторые из вредоносных писем может удалить анти-спам программа.

Выглядит это так. Клиент получает почтовое сообщения, в котором от имени его "партнера" или другого лица, якобы работающего с компанией, настоятельно рекомендуется принять срочные меры по улаживанию ситуации.

Пример письма с криптовирусом

Рис. 1 Пример письма с криптовирусом.

Загрузив и распаковав архив, пользователь получает exe-файл, либо скрипт для запуска и управления вирусом. Есть вариант, когда дистрибутив вируса маскируется под какой-либо офисный документ. Например, на рис.2 (первые 2 скрина) видно, как исполняемый файл закамуфлирован под документы PDF или Word. Самым "изобретательным" вариантом считается внедрение маскированных ссылок на сайт злоумышленника, с которого и происходит в дальнейшем заражение компьютера (рис. 2, нижний скрин). Этот вариант самый "идеальный" с точки зрения преодоления защиты анти-спама и антивируса, т.к. письмо не содержит никаких вложений и оформлено "по всем правилам".

Маскировка вируса Маскировка вируса Маскировка вируса

Рис.2. Маскировка вируса

В случае, если по невнимательности программа все же была запущена, и при этом была отключена или проигнорирована защита UAC и запуск программы "пропустил" антивирус, то в системе становятся "видны" процессы, которые легко отличить по нехарактерным путям и названиям. Примеры отображения процессов в Диспетчере задач Windows приведены ниже (рис. 3).

Отображение вредоносных процессов в Диспетчере задач Windows Отображение вредоносных процессов в Диспетчере задач Windows Отображение вредоносных процессов в Диспетчере задач Windows

Рис.3 Отображение вредоносных процессов в Диспетчере задач Windows

Как правило, вирус копирует свое тело в папки, принадлежащие рабочей среде пользователя (User Profile), например в %AppData%, откуда и осуществляет запуск исполняемых файлов. После запуска троян выполняет поиск файлов с определенным расширением на всех несъемных, съемных и сетевых дисках и шифрует их. Под угрозой оказываются практически все используемые в корпоративной среде или домашнем сегменте форматы, такие как: базы данных 1С, файлы офисных пакетов, PDF-документы, мультимедиа файлы, архивы и пр. При работе с правами пользователя вирус не способен записаться в системные папки и области реестра, а может проникнуть только в те каталоги, к которым имеет доступ сам пользователь, но и этого может быть более чем достаточно.

По мере шифрования на дисках происходит переименование файлов, причем в имени файла появляется адрес электронной почты, на которую следует отправлять сообщения (рис. 4). Открытое указание почты, вероятно, по мнению хакеров должно продемонстрировать их недосягаемость и усилить шок пострадавшего, что это не абстрактная программа, а конкретный человек или преступная группа.

Примеры зашифрованных файлов Примеры зашифрованных файлов

Рис. 4 Примеры зашифрованных файлов.

После завершения шифрования появляется сообщение типа, "Ваши документы и базы данных были зашифрованы и помещены в формат ".VAULT". Это, наверное, самое приличная форма уведомления, некоторые носят провокационный и даже оскорбительный характер, чтобы окончательно деморализовать и подчинить себе жертву. Помимо требований, уведомления содержат инструкции по необходимым шагам пострадавших для выкупа дешифратора.

Уведомления криптовируса Уведомления криптовируса

Рис. 5 Уведомления криптовируса

В борьбе с вредоносным и нежелательным ПО, специалисты в области информационной безопасности неоднократно отмечали высокую эффективность встроенных средств защиты Windows, таких как Software Restriction Policies (SRP) и AppLocker.

Стендовые испытания, проведенные экспертами АЛТЭКС-СОФТ, показали, что в качестве превентивных мер, эти простые и надежные механизмы эффективны и против криптовирусов.

AppLocker – компонент безопасности Windows, доступный для всех серверных и топовых версий клиентских ОС (Enterprise, Ultimate), начиная с Windows 7 и Windows Server 2008 R2. Механизм позволяет создавать правила разрешения и запрета выполнения приложений на основе уникальных удостоверений файлов, а также указывать пользователей или группы, которым разрешено запускать эти приложения.

SRP (Software Restriction Policies) – политики, позволяющие идентифицировать и осуществлять контроль запуска программ на компьютерах, работающих в домене или автономно.

SRP и AppLocker позволяют применять блокировки, которые запретят вирусу запуститься из папок, принадлежащих профилю пользователя (%AppData%, Temporary Internet Files, %Temp% и пр.). Кроме того, эти блокировки не позволяют запускаться различным "твикерам и оптимизаторам", месенджерам и прочему небезопасному софту, работающему по аналогии с криптовирусом из несистемных папок и соответственно не требующих повышения привилегий для запуска.

Исследуя возможности противодействия современным криптовирусам, компания АЛТЭКС-СОФТ разработала специальные конфигурации параметров безопасности для SRP и AppLocker, блокирующие запуск вредоносных программ. Данные конфигурации доступны в форматах OVAL и XCCDF для автоматизированных проверок при помощи средства анализа защищенности RedCheck и других сканеров, поддерживающих протоколы SCAP.

Конфигурации включают проверки около сорока проверок, каждый из которых декомпозируется до десятка подпараметров. При применении конфигурации выполняется блокировка запуска:

• исполняемых файлов и скриптов из каталогов профилей пользователей, каталогов временных файлов;
• svchost.exe из нестандартных мест;
• исполняемых файлов и скриптов из архивов, маскирующихся под архивы, мультимедиа-файлы, изображения, текстовые документы и документы Microsoft Office;
• известных вредоносных процессов;
• утилит BCDEdit и др.

На рис.6 показано, как выглядит в редакторе GPO одна из предложенных политик ограниченного использования программ (SRP).

Пример политики SRP

Рис. 6. Пример политики SRP

Пользователи RedCheck (включая пользователей демонстрационных версии) с очередным обновлением контента программы получат возможность самостоятельно провести аудит настроек безопасности и оценить свои шансы стать очередной жертвой программ-вымогателей. Для этого необходимо с помощью функции "Аудит конфигурации" провести сканирование, выбрав из перечня конфигурацию для AppLocker или SRP. По результатам проверок пользователи увидят включение параметров и их значений, отвечающих за блокировку вируса. Невключенные или неверно настроенные параметры будут подсвечены красными индикаторами. Воспользовавшись справкой в окне "История" или отчетами программы необходимо произвести донастройку системы. Пример результатов проверок настройки политик SRP приведен на рис. 7.

Пример результатов проверок политик SRP.

Рис.7. Пример результатов проверок политик SRP.

Для проверки локальных компьютеров можно воспользоваться бесплатной утилитой ComplianceCheck, которую можно скачать с официального сайта компании АЛТЭКС-СОФТ. На рисунке 8 показано окно, демонстрирующее возможности утилиты, в котором отражено соответствие созданным компанией АЛТЭКС-СОФТ конфигурациям безопасности.

Результаты контроля утилиты ComplianceCheck

Рис. 8. Результаты контроля утилиты ComplianceCheck

В качестве бонуса пользователи платных лицензий RedCheck получили доступ к загрузке файлов объектов GPO, осуществляющих автоматическую настройку указанных политик в домене, одноранговой сети или локально. Из рис. 9 можно оценить объем политик, результатами действия которых будет запрет запуска исполняемых файлов из используемых злоумышленниками папок, а также "маскирующихся" файлов вне зависимости от их расположения.

Пример политик GPO для запрета путей запуска криптовируса.

Рис. 9. Пример политик GPO для запрета путей запуска криптовируса.

Необходимо помнить, что ни одна, даже самая эффективная мера защиты сама по себе не может считаться исчерпывающей. Специалисты АЛТЭКС-СОФТ рекомендуют наряду с предложенными политиками использовать и традиционные организационно-технические меры:

• резервное копирование данных;
• использование антивирусных средств с актуальными базами данных;
• патч-менеджмент и регулярные обновления используемого ПО;
• защита электронной почты от спама;
• повышение осведомленности сотрудников об актуальных угрозах.

Учитывая возросшую активность кибер-мошенников, эксперты АЛТЭКС-СОФТ считают важным еще раз обратить внимание на проблемы безопасной конфигурации систем и уровень подготовки их администраторов. Правильная настройка и последующий контроль операционной системы является эффективной превентивной мерой в обеспечении безопасности любой компании. Повышение защищенности через применение апробированных политик не требует существенных дополнительных финансовых вложений, что тоже немаловажно при создании и поддержании информационных систем в сегодняшних, не самых простых реалиях.