• Рус
    • Eng
  • Три отдельных эпидемии

  • 130908-avelana-468x60_6_russian_html5

  • Чем вирус Petya отличается от NotPetya, каков истинный масштаб эпидемии, как распространяются вирусы и, главное, как от них защищаться и что делать, если заражение все-таки произошло – на вопросы SeaNews отвечает Вячеслав Медведев, ведущий аналитик отдела развития «Доктор Веб».

     

    Вячеслав Владимирович, каков, по Вашим оценкам, масштаб эпидемии WannaCry/Petya/NotPetya, зарегистрированный компанией с начала этого года? Какова статистика с точки зрения географии, отраслей, пострадавших компаний? Какие компании пострадали от этих вирусов?

    Это три совершенно не связанные между собой эпидемии. По времени Petya был первым, WannaCry – вторым, а NotPetya – последним из трех. Нужно отметить, что это – далеко не единственные шифровальщики (в день в базы антивирусных программ вносится информация о 10-20 новых энкодерах). Просто эти шифровальщики привлекли внимание СМИ. Причем отнюдь не из-за масштабности атак или технического совершенства троянцев. Скорее, наоборот: эти три шифровальщика очень несовершенны. Это, скорее, не коммерческий продукт для заработка путем вымогательства, а концепт. В пользу этого говорит огромное число недоработок, возможность восстановить удаленные файлы, уязвимые реализации алгоритмов шифрования.

    Petya привлек внимание СМИ тем, что атаковал загрузочные области жестких дисков. Это нехарактерный для шифровальщиков прием. WannaCry и NotPetya атаковали практически исключительно крупные компании. Число пострадавших предприятий мелкого и среднего бизнеса по сравнению с настоящими эпидемиями шифровальщиков крайне невелико. По отраслям у WannaCry и NotPetya разницы нет, атакам подвергались все крупные компании подряд. Единственное, из-за специфики способа заражения NotPetya атаковал организации, связанные с украинскими компаниями. Можно сказать, что WannaCry и NotPetya – рекламные шифровальщики. По большей части они имитировали настоящую атаку или отрабатывали ее. Пока трудно сказать, учения какого рода это были.

    Масштабы эпидемии крайне невелики и ограничиваются несколькими тысячами зараженных объектов.

    Каким образом вирус влияет на IT-инфраструктуру? Какие тут могут быть сценарии – от оптимистичного до Армагеддона?

    Вредоносная программа может никак не повлиять – а может привести к полному уничтожению информации и внесению преднамеренных искажений, приводящих к нужным для злоумышленника последствиям. Под «никак» имеются в виду неработоспособные вредоносные программы, замусоривающие зараженные системы. Это, конечно, не совсем «никак», но максимально близко. Далее – рекламные троянцы. Показ нужной злоумышленникам информации. Близко находятся банковские троянцы, кейлоггеры и другие вредоносные программы (в том числе производства АНБ), модифицирующие или крадущие информацию. Более опасны троянцы, уничтожающие информацию или делающие ее недоступной. В частности, шифровальщики. Ну и, наконец, вершина – специальные программы, зачастую разработанные под конкретную атаку, вносящие запланированные изменения в работу программ.

    При этом потенциально «армагеддон» может вызвать любая из вышеперечисленных вредоносных программ. Шифровальшик уничтожит все ПО, программа удаленного доступа откроет злоумышленнику путь в систему, а случайно установившаяся программа нарушит работоспособность системы управления химическим производством.

    В защите нельзя концентрироваться только на одном типе вредоносного ПО. Шифровальщики привлекают внимание СМИ, но остальные угрозы не становятся менее опасными.

    Каковы схемы распространения подобных вирусов?

    Это три совершено разные вредоносные программы. Petya – классический шифровальщик. Такие программы, как правило, распространяются по почте или через сменные носители. WannaCry – червь, который распространялся через уязвимость: шло сканирование уязвимых компьютеров, при наличии «бреши» устанавливался троянец. NotPetya – целенаправленная атака: взлом компании, распространяющей некое ПО, и заражение этого ПО.

    Каковы рекомендованные действия, если заражение все-таки произошло?

    По возможности обесточить зараженные компьютеры, оборвать их связь с внешним миром. Не восстанавливать систему, так как это может уничтожить данные, необходимые для создания утилит расшифровки, обратиться в техническую поддержку антивирусной компании и получить необходимые инструкции.

    Какие изменения в IT-инфраструктуре могут снизить вероятность поражения вирусами этого типа?

    В случае с WannaCry – установка всех обновлений безопасности, отключение ненужных сервисов, удаление неиспользуемых программ, ограничение прав пользователей на запуск новых, неразрешенных программ, составление списка разрешенного ПО и ограничение для сотрудников доступа к Интернету. В случае с Petya – фильтрация всех входящих сообщений на наличие исполняемых файлов во вложениях, запрет за запуск неразрешенных приложений. В случае с NonPetya – разделение инфраструктуры локальной сети на несколько подсетей, запуск различных серверных приложений в изолированном окружении, отказ от работы администраторов с доменными паролями на локальных машинах.

    И, естественно, везде, где только можно, необходим антивирус. Причем с запретом его отключения или внесения несанкционированных изменений в настройки со стороны пользователей. Тот же WannaCry успешно ловился антивирусным ПО.

    Какие изменения в IT-инфраструктуре позволят снизить тяжесть последствий от возможного поражения вирусом?

    Все то же самое, что и в первом пункте, плюс резервное копирование и регулярное обучение пользователей на случай инцидентов безопасности.a

  • Комментарии: 0

    Добавить комментарий

    Новости по теме
    APM TerminalsITMaerskКибербезопасность 28.06.2017 APMT переводит терминалы на альтернативные схемы управления
    IT-системы ряда терминалов в составе APM Terminals пострадали в результате кибератаки, сообщил APMT в своем Twitter. «Ряд терминалов […]
    0
    Maersk LineКибербезопасность 04.07.2017 Maersk рассказал про кибератаку
    Chief Commercial Officer Maersk Line Винсент Клерк в интервью CNN ответил на некоторые вопросы в связи с кибератакой […]
    0
    ITMaerskКибербезопасность 30.06.2017 Почти все порты работают – Maersk
    Maersk опубликовал новый апдейт по борьбе с последствиями кибератаки. По информации компании, со вчерашнего дня удалось восстановить функционирование […]
    0
    Кибербезопасность 06.09.2017 О цифровой зависимости отрасли и кибербезопасности
    Какие угрозы несут в себе вирусы разных типов, как от них защищаться и что делать, если заражение все-таки произошло, нам рассказали эксперты, представляющие разные стороны процесса.
    0
    ITMaersk LineКибербезопасность 29.06.2017 Апдейт по кибератаке от Maersk Line
    Maersk Line опубликовал в Twitter апдейт по ликвидации последствий кибератаки. Большая часть терминалов работает. Информация по работающим терминалам […]
    0
    Кибербезопасность 11.09.2017 Слабое звено
    О типичных слабых местах в IT-системах и о том, как эти уязвимости закрывать, рассуждает Иван Собакарь, руководитель проектов ООО «Си Дата Лаб»
    0











    Вы получите письмо на указанный email со сгенерированным паролем



  • Оформить подписку на оперативную аналитику

    Заполните поле

    +

  • Оформить подписку на на Online сервис ВЭД

    Заполните поле

    +

  • Получите примеры аналитических материалов

    Заполните поле

    +