Логотип

Дмитрівська територіальна громада

Київська область

12.12.2023 14:46

Загальні рекомендації щодо зменшення наслідків від впливу шкідливого програмного забезпечення.

Без-имени-1.jpg

Дана інструкція спрямована допомогти організаціям приватного та державного сектору боротися з наслідками роботи шкідливого програмного забезпечення та мінімізувати:

  • ймовірність зараження шкідливим програмним забезпеченням;
  • поширення шкідливого програмного забезпечення по організації;
  • вплив шкідливого програмного забезпечення.

Що таке шкідливе програмне забезпечення?

Шкідливе програмне забезпечення (ШПЗ) – це програмне забезпечення, яке за умови запуску може завдати шкоди різними способами, зокрема:

  • призвести до блокування пристрою та його непридатності для використання;
  • крадіжки, видалення або шифрування даних;
  • використовувати ваші пристрої для атак на інші організації;
  • отримання облікових даних, які дозволяють отримати доступ до систем або служб якими ви користуєтесь;
  • майнинг криптовалюти;
  • використання платних послуг на основі ваших даних (наприклад, телефонні дзвінки преміум-класу).

Шкідливе програмне забезпечення часто охоплює кілька категорій. Наприклад, програма може одночасно містити кейлогер, збирати паролі і бути хробаком для розсилки спаму.

Нижче наведено категорії, на які поділяють більшість шкідливого програмного забезпечення.

Бекдор (backdoor). Шкідливий програмний код, який встановлюється в систему, щоб надати зловмиснику віддалений доступ. Бекдори зазвичай дозволяють підключитися до комп'ютера з мінімальною аутентифікацією або зовсім без такої і виконувати команди в локальній системі.

Завантажувач (downloader). ШПЗ, єдиною метою якого є завантаження іншого шкідливого програмного коду. Зловмисники зазвичай встановлюють завантажувачі при першому доступі до системи.

Викрадач інформації (stealer). ШПЗ, яке збирає інформацію на комп'ютері жертви і, як правило, відправляє її зловмисникові. Як приклад можна привести програми, що збирають хеші паролів, перехоплювачі і кейлогери. Дане ШПЗ зазвичай використовується для отримання доступу до облікових записів інтернет-додатків, таких як електронна пошта або інтернет-банкінг.

Руткіт (rootkit). ШПЗ, що приховує існування іншого коду. Руткіти зазвичай застосовуються в поєднанні з іншим ШПЗ, таким як бекдор, що дозволяє їм відкрити зловмисникові доступ до системи і ускладнити виявлення коду.

Залякуюче ПЗ (scareware). Створене для залякування атакованого користувача та спонукання його до покупки чого-небудь. Зазвичай має графічний інтерфейс, схожий з антивірусом або іншою програмою, що забезпечує безпеку. Воно повідомляє користувачеві про наявність в його системі шкідливого коду і переконує його в тому, що єдиним виходом із ситуації є покупка певного «програмного забезпечення».

Програма для розсилки спаму (spam-sending malware). ШПЗ, яке заражає комп'ютер користувача і потім з його допомогою розсилає спам. Цей тип програм генерує дохід для зловмисників, дозволяючи їм продавати послуги з розсилки спаму.

Вірус-вимагач (ransomware). Тип шкідливого програмного забезпечення, що блокує доступ до системи або унеможливлює роботу з файлами (часто за допомогою методів шифрування), після чого вимагає від жертви викуп для відновлення вихідного стану.

Кейлогер (keylogger). Програмне забезпечення, що реєструє кожну дію користувача, наприклад з пристроїв вводу (рух комп’ютерної миші, натиснення кнопок клавіатури). Дозволяє заволодіти даними користувача, що були введені після його встановлення.

Зазвичай зловмисники просять здійснити платіж (часто вимагається в криптовалюті), щоб розблокувати ваш комп'ютер. Однак, у разі оплати, немає гарантії, що ви отримаєте доступ до своїх файлів. Беручи до уваги вищесказане важливо, щоб в режимі офлайн, завжди зберігались резервні копії найважливіших файлів і даних.

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA рекомендує ігнорувати подібні вимоги, не переводити кошти шахраям та повідомити про інцидент правоохоронні органи та CERT-UA.

Що робити?

Порада 1: Здійснюйте регулярне резервне копіювання даних.

Ключові дії, які потрібно вжити, щоб знизити рівень шкоди, яку може завдати шкідливе програмне забезпечення – це забезпечити наявність актуальних резервних копій важливих файлів, за їх наявності можливо відновити свої дані ігноруючи вимоги зловмисників.

Резервне копіювання є ефективним заходом зниження ризиків від впливу ransomware.

Здійснюйте регулярне резервне копіювання даних, зберігайте резервні копії на зовнішніх носіях інформації (SDD, HDD тощо) та налаштуйте функцію «відновлення системи». Перевіряйте можливість відновлення даних із резервних копій.

Хмарні сервіси (cloud service), що використовують синхронізацію (наприклад, Dropbox, OneDrive та SharePoint або Google Drive) не слід використовувати як єдине середовище для збереження резервних копій. Недоліком даних систем є те, що вони можуть автоматично синхронізуватися відразу після зараження файліві, і тоді можливо втратити й резервні копії також.

Примітка. Здебільшого зашифровані файли не можуть бути розшифровані ким-небудь. Не варто витрачати свій час чи гроші на послуги, які обіцяють це зробити. У деяких випадках фахівці з кібербезпеки можуть надати програми, які можуть розшифровувати файли через недоліки шкідливого програмного забезпечення. Рекомендуємо не викорстовувати програми для дешифрування даних з неперевірених джерел.

Порада 2: Попередьте розповсюдження шкідливого програмного забезпечення в мережі.

Можливо зменшити ймовірність розповсюдження шкідливого програмного забезпечення у мережі за допомогою:

  • створення політик, що дозволить завантаження лише файли тих типів, які мають надходити (наприклад заборонити отримання чи передачу .EXE файлів);
  • блокування веб-сайтів, які є шкідливими;
  • перевірки антивірусними програмами файлів, що викликають підозру, в разі відсутності ліцензіного антивірусу рекомендуємо використовувати безкоштовний сервіс VirusTotal чи Сuckoo sandbox;
  • використання сигнатур для блокування відомого шкідливого коду.

Зазвичай вищеназвані функції формуються системами на кшталт мережевих екранів, а не пристроями користувачів. Як приклад:

  • фільтрація пошти (у поєднанні зі фільтруванням спаму), яка може блокувати шкідливі повідомлення електронної пошти та видаляти підозрілі вкладення;
  • використання засобів, які блокують відомі шкідливі веб-сайти за відповідними списками;
  • використання засобів з функціями інформаційної безпеки, які можуть перевіряти вміст даних на предмет відомих зловмисних програм;
  • під час використання віддаленого доступу дозволити підключення лише визначеним користувачам за допомогою "білого списку" (IP whitelisting).

Порада 3: Запобігайте запуску шкідливого програмного забезпечення на пристроях.

Також слід вжити заходів для запобігання запуску шкідливого програмного забезпечення. Необхідні кроки можуть бути різними для кожного типу пристроїв та операційних систем, але слід звернути увагу на такі методи захисту:

  • централізоване керування пристроями підприємства, щоб:
  • дозволяти встановлювати лише те програмне забезпечення, яким довіряє організація (як приклад використання AppLocker);
  • дозволяти запускати програми лише з надійних джерел чи ті, що мають відповідні сертифікати розробників;
  • використання антивірусного програмного забезпечення з технологією евристичного аналізу та вчасне оновлення його бази сигнатур;
  • не підключайте флеш-пристої та зовнішні диски, не використовуйте CD та DVD, якщо ви не довіряєте повністю їх джерелу;
  • вимкнення або обмеження використання макросів (використовуються в багатьох офісних продуктах, наприклад Microsoft Office, CorelDRAW, Nоtepad++);
  • забезпечення кібернавчань з питань безпеки та підвищення кваліфікації для співробітників.

Підтримуйте налаштування та своєчасно встановлюйте оновлення пристроїв. Рекомендуємо:

  • встановлювати оновлення безпеки, як тільки вони стануть доступними, щоб виправити недоліки, що використовуються на ваших пристроях;
  • увімкнути автоматичні оновлення для операційних систем, програм та мікропрограмного забезпечення, за можливості використовуйте найновіші версії операційних систем та додатків, щоб скористатися найновішими функціями безпеки.

Порада 4: Обмежте вплив шкідливого програмного забезпечення.

Виконання наступних заходів забезпечить швидке реагування та відновлення системи.

  • Використовуйте двофакторну аутентифікацію (також відому як 2FA) для аутентифікації користувачів всюди де це можливо. Якщо облікові дані викрадено шкідливим програмним забезпеченням, це ускладнить можливість їх несанкціонованого використання.
  • За необхідності використання застарілих платформ (операційні системи і додатки), рекомендуємо належним чином відокремити їх від основної частини мережі.
  • Не зберігайте дані для автентифікації в легкодоступних місцях (наприклад, на робочому столі). Використовуйте для зберігання паролів менеджери паролів (наприклад KeePass, LastPass). Використовуйте стійкі парольні фрази.
  • Регулярно переглядайте та перевизначайте права користувачів, щоб обмежити можливість поширення ШПЗ. Шкідливі програми можуть поширюватись лише в ті місця мережі, до яких мають доступ облікові записи заражених користувачів.
  • Налаштуйте відповідні політики мережі, щоб використовувались тільки необхідні порти, інтерфейси.
  • Використовуйте програмний міжмережевий екран (брандмауер) та штатні засоби захисту ОС від шкідливого програмного забезпечення.
  • Встановлюйте стабільні версії оновлень.
  • Розробіть план реагування на інциденти та використовуйте його.

Заходи, які варто вжити, якщо мережа вашої організації вже заражена.

Якщо ваша організація вже заражена шкідливим програмним забезпеченням, ці кроки можуть допомогти обмежити вплив вірусу:

  • у певних випадках може бути необхідним негайне відключення заражених комп’ютерів, ноутбуків чи планшетів від усіх мережевих підключень, незалежно від дротового чи бездротового, проте не вимикати сам пристрій;
  • повідомити правоохоронні органи та урядову команду реагування на комп'ютерні надзвичайні події України CERT-UA.

З метою збереження доказів несанкціонованого впливу лише після завершення дій правоохоронних органів:

  • змініть облікові дані, включаючи паролі (особливо для адміністраторів);
  • перш ніж відновити дані з резервної копії, переконайтеся, що копія створена до факту інфікування;
  • за необхідності перевстановіть операційні системи;
  • оновіть та виконайте запуск антивірусного програмного забезпечення;
  • за можливості, перевстановлення операційної системи та додатків, включаючи бази даних програмного забезпечення та їх сигнатури, має відбуватись у «довіреному» сегменті мережі;
  • відстежуйте мережевий трафік на предмет підозрілої мережевої активності.