Oracle Cloud Free Tier

Создавайте, тестируйте и развертывайте приложения в Oracle Cloud бесплатно.

Темы по программам-вымогателям

Что такое программа-вымогатель?

Определение программ-вымогателей

Программа-вымогатель (Ransomware) — это форма вредоносной полезной нагрузки, которая лучше всего описывает преступные намерения злоумышленников, стремящихся вынудить жертву заплатить за то, что они успешно взяли под контроль данные или системы жертвы. Оплатить выкуп обычно требуют в криптовалюте.


Злоумышленник может использовать несколько векторов атаки, и неуплата может иметь определенные последствия, включая следующие угрозы:

  • Извлечение и публикация данных жертвы
  • Раскрытие уязвимостей жертвы и методов работы, которые привели к компрометации
  • Шифрование данных жертвы и безвозвратная блокировка доступа к ним
  • Получение административного или root-контроля и окончательное отключение взломанных систем

Как правило, злоумышленники стремятся получить выкуп, поскольку их действия могут скомпрометировать ИТ-системы и негативно повлиять на нормальную работу их жертв. Хотя вредоносное ПО является одним из основных методов атаки, некоторые инциденты с вымогательством происходили без использования вредоносного ПО, например инциденты с вымогательством путем угрозы атаки типа «отказ в обслуживании» (DoS) или порчи веб-сайта. Также появились модели «программа-вымогатель как услуга (RWaaS)», когда злоумышленники создают бизнес-модель для проведения целенаправленной атаки на физическое лицо или компанию в качестве услуги за определенную плату.

Как работает программа-вымогатель

Программы-вымогатели обычно распространяются через фишинговые электронные письма или путем скрытой загрузки. Фишинговые электронные письма кажутся легитимными и заслуживающими доверия и убеждают жертву нажать на вредоносную ссылку или открыть вложение. Скрытая загрузка — это программа, которая автоматически загружается из Интернета без согласия пользователя и без его ведома. Вредоносный код затем может выполняться после загрузки без всякого участия со стороны пользователя. После выполнения вредоносного кода компьютер пользователя заражается программой-вымогателем.

Затем программа-вымогатель находит диски в зараженной системе и начинает шифровать файлы на каждом из них. Зашифрованные файлы обычно имеют уникальное расширение, например: .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault или .petya. После завершения шифрования программа-вымогатель создает и показывает файл или набор файлов, содержащих информацию и инструкции с условиями атаки программы-вымогателя. Например, после того как жертва выполнит условия программы-вымогателя, злоумышленник может предоставить жертве криптографический ключ для разблокировки зашифрованных файлов.

Как организациям лучше противостоять атакам программ-вымогателей

Базовая гигиена безопасности и здравые подходы к работе могут помочь организациям предотвратить инциденты с программами-вымогателями и сократить финансовые потери, простои и сбои в работе.

Среди собственных пользователей организации существует несколько точек уязвимости. Организациям будет полезно обучить отдельных пользователей безопасной работе с электронной почтой и Интернетом. Обучение безопасному пользованию платформами социальных сетей также важно, чтобы пользователи знали, что злоумышленник может использовать общедоступную информацию о них для атаки на них или других сотрудников их организации.

Для усиления практик обеспечения безопасности организации могут внедрить технические средства контроля для различных систем, которые злоумышленники используют для распространения вредоносного ПО. Примеры технических средств контроля:

  • Внедрение инструментов и методов фильтрации электронной почты и коммуникационных платформ для предотвращения доставки вредоносных программ их пользователям
  • Внедрение сканирования для обнаружения вредоносного ПО, служб проверки ссылок и методов песочницы для почтовых серверов и интернет-шлюзов
  • Определение и обеспечение соблюдения политик в отношении загрузки и использования внешнего и недоверенного кода в своей среде, чтобы предотвратить компрометацию систем путем установки вредоносного программного обеспечения или выполнения вредоносных скриптов

В дополнение к использованию обновленных продуктов для защиты конечных точек организации должны иметь системы управления учетными записями и доступом (IAM) с обеспечением безопасности по методу нулевого доверия. Благодаря строгой аутентификации и соблюдению принципов наименьших привилегий организации могут обеспечить строгий контроль над важнейшими системами и хранилищами конфиденциальных данных.

Наряду со строгим контролем доступа организациям следует ввести ограничения для инструментов совместной работы, файлообменных ресурсов и других, часто используемых систем. Организации могут устанавливать дополнительные требования к аутентификации там и тогда, когда это необходимо. Предотвращение анонимного входа, использования общих учетных записей и ненадежных учетных данных, а также строгий контроль над привилегированными учетными записями, такими как учетные записи административные и root операционной системы или учетные записи DBA — все это важные факторы для обеспечения надежной защиты.

Организации должны определять и поддерживать известные базовые параметры конфигурации безопасности и развертывать системы в соответствии с рекомендациями по конфигурации безопасности. Поскольку вредоносная полезная нагрузка часто направлена на известные уязвимости программного обеспечения, важно своевременно применять исправления безопасности.

Наконец, еще одна практическая рекомендация, которая поможет организации восстановиться от последствий атак программ-вымогателей, — хранение резервных копий отдельно и на другой ОС, чтобы к ним нельзя было получить доступ из сети.

Что делать, если Ваша организация стала целью атаки программы-вымогателя

Как только организации обнаруживают программу-вымогателя, они должны попытаться ограничить распространение вредоносной полезной нагрузки:

  • изоляция зараженной системы (систем), удаление и отключение их от всех сетей;
  • своевременное устранение всех уязвимостей файлообменников и перевод всех неподдерживаемых операционных систем в автономный режим;
  • анализ цепочки доверия между ИТ-системами для предотвращения каскадного эффекта эпидемии вредоносных программ;
  • разделение сети и баз данных для изоляции эпидемии вредоносных программ и ограничения операционных последствий компрометации.

Чтобы ограничить последствия атаки программ-вымогателей, планы организации по устранению последствий должны включать обеспечение частого и безопасного резервного копирования с эффективными и проверенными процедурами восстановления. Перед восстановлением систем организации должны с достаточной степенью уверенности определить, когда и как произошла первоначальная компрометация. Без комплексной экспертизы пострадавшие организации могут при выполнении первоначального восстановления непреднамеренно возобновить компрометацию и вновь запустить заражение. Учитывая это, прежде чем сделать выбор восстановить более старое, но заведомо безопасное состояние или восстановить более новое, но, возможно, зараженное состояние, чтобы минимизировать перебои в работе бизнеса, может возникнуть необходимость провести анализ экономического эффекта. Поскольку известно, что целью некоторых вредоносных программ являются резервные файлы и ресурсы, организациям необходимо обеспечить эффективный контроль и над ними.

Чат по продажам

Подумываете что-нибудь купить?

Чат с отделом продаж
Чат Cloud Support

Проблемы с учетной записью, подпиской или специальными предложениями

Начать чат
Oracle Support

Техническая поддержка или другие запросы в службу поддержки?

Способы получения поддержки