Защита от программ-вымогателей с помощью
Symantec Endpoint Protection
и Symantec Endpoint Security

Что представляют собой программы-вымогатели?

Программы-вымогатели — это категория вредоносных программ, которые шифруют документы, делая их непригодными для использования, и блокируют доступ к остальным функциям компьютера. С помощью программ-вымогателей злоумышленники вынуждают жертв заплатить выкуп через определенные платежные системы, обещая после этого восстановить доступ к личным данным.
Целевые программы-вымогатели более сложны, чем традиционные, и их воздействие не ограничивается первичным заражением. Злоумышленники находят все новые способы вымогательства денег у своих жертв, используя, в том числе, следующие варианты распространения.
  • Фишинг.
    Сообщения электронной почты, отправляемые сотрудникам под видом деловой переписки.
  • Вредоносная реклама
    : взлом медиа-сайтов для размещения на них вредоносной рекламы, содержащей среду на основе JavaScript, известную как SocGholish, которая замаскирована под обновление ПО.
  • Использование уязвимостей:
    использование уязвимостей в программах, работающих на общедоступных серверах.
  • Вторичные заражения:
    использование существующих бот-сетей для получения информации о сети жертвы.
  • Плохо защищенные службы:
    атаки на организации через плохо защищенные службы RDP с низкой надежностью учетных данных и возможностью их похищения.

Защита от программ-вымогателей с помощью
Symantec Endpoint Protection Manager
или Symantec Endpoint Security

Целевые атаки программ-вымогателей можно разбить не следующие основные фазы: начальный взлом, повышение уровня разрешений и кража учетных данных, боковое смещение, шифрование и удаление резервных копий. Лучший вариант защиты — блокировать максимальное количество типов атак и выяснить цепочку атак, используемых киберпреступниками для определения приоритетов безопасности. Для восстановления доступа к зашифрованным данным невозможно использовать средство удаления.
В
Symantec Endpoint Protection Manager
или Symantec Endpoint Security развернете и включите следующие компоненты. Некоторые компоненты включены по умолчанию.
Компонент
Symantec Endpoint Protection
Symantec Endpoint Security
Защита на уровне файлов
Средства Symantec помещают в карантин следующие типы файлов: Ransom.Maze, Ransom.Sodinokibi и Backdoor.Cobalt.
Защита от вирусов и программ-шпионов включена по умолчанию.
Предотвращение и отражение атак вирусов и программ-шпионов на клиентские компьютеры
Антивирусная политика включена по умолчанию.
SONAR
Эвристическая защита SONAR — еще один важный механизм защиты от вредоносных программ. SONAR блокирует запуск исполняемых файлов с двойным расширением, которые применяются в определенных видах программ-вымогателей, например CryptoLocker.
В политике защиты от вирусов и программ-шпионов выберите
SONAR
>
Включить SONAR
(включено по умолчанию).
Управление SONAR
В антивирусной политике выберите
Enable behavioral analysis
(включен по умолчанию).
Download Insight или интенсивная защита
Измените параметры Symantec Insight таким образом, чтобы в карантин помещались все файлы, надежность которых еще не подтверждена пользователями Symantec.
Download Insight входит в состав политики
Вирусы и шпионские программы - Высокий уровень безопасности
, используемой по умолчанию.
Компонент Download Insight всегда включен и входит в состав политики
интенсивной защиты
. Сведения об изменении параметров интенсивной защиты см. в разделе
Система предотвращения вторжений (IPS)
:
  • IPS блокирует такие угрозы, которые невозможно выявить с помощью обычных описаний вирусов. IPS — самый эффективный способ защиты от несанкционированно загружаемых файлов, т. е. файлов, загружаемых из Интернета без ведома пользователя. Злоумышленники часто используют комплекты эксплойтов для осуществления таких веб-атак, как CryptoLocker, посредством несанкционированной загрузки.
  • В некоторых случаях IPS может блокировать шифрование файлов, нарушая взаимодействие в системе управления (C&C). Сервер C&C — это компьютер, которым управляет злоумышленник или киберпреступник, используемый для отправки команд в системы, взломанные с помощью вредоносных программ, и получения украденных данных из целевой сети.
  • Компонент
    Репутация URL-адресов
    позволяет предотвращать интернет-угрозы с учетом оценки репутации той или иной веб-страницы. Параметр
    Включить репутацию URL-адресов
    блокирует веб-страницы с оценкой репутации ниже определенного порогового значения. (14.3 RU1 и более поздние версии)
Начало работы с системой предотвращения вторжений
Репутация URL-адресов отключена по умолчанию.
Блокировка PDF-файлов и сценариев
В политике исключений нажмите
Исключения Windows
>
Доступ к файлам
.
Для блокировки известных вредоносных файлов и доменов используйте списки разрешенных и запрещенных элементов. Выберите
Параметры
>
Список запрещенных и список разрешенных
.
Загрузите последние исправления для сред выполнения веб-приложений, веб-браузеров и модулей веб-браузеров.
  1. Используйте "Управление приложениями и устройствами" для предотвращения запуска приложений в каталогах профиля пользователя, таких как Local и LocalLow. Помимо Local\Temp\Low, программы-вымогатели устанавливаются еще во множество каталогов.
  2. Для обнаружения файлов с характеристиками программ-вымогателей используйте Endpoint Detection Response (EDR).
    1. Отключайте сценарии макросов в файлах MS Office, пересылаемых по электронной почте.
    2. Щелкните обнаруженные конечные точки правой кнопкой мыши и выберите
      Isolate
      . Чтобы изолировать конечные точки и повторно соединить их из консоли, необходима политика брандмауэра карантина в Symantec Endpoint Protection Manager, назначенная политике целостности хоста.
  • Сканирование объектов — в облачной консоли представлены все файлы, приложения и исполняемые компоненты, которые присутствуют в среде пользователя Можно просмотреть информацию о рисках, уязвимостях, репутации, источнике и других характеристиках, связанных с обнаруженными элементами.
  • Используйте обнаруженные элементы, когда включена функция EDR. Агент обнаружения в SES работает аналогично неуправляемому детектору в SEP, но предоставляет значительно больше информации об отдельных файлах и приложениях.
  • Компонент управление приложениями позволяет контролировать использование в вашей среде нежелательных и несанкционированных приложений. Управление приложениями в SES отличается от аналогичного компонента в SEP.
    Начало работы с компонентом управления приложениями
    • При работе с агентами Symantec 14.3 RU1 и более поздних версий изоляция на основе поведения применяется к конечным точкам, в которых не используются функции изоляции приложений и управления приложениями. Политика изоляции приложений на основе поведения определяет, как система должна вести себя при подозрительном поведении надежных приложений. При наличии в политике новой или существующей сигнатуры поведения вы получаете предупреждения в облачной консоли и сообщение в интерфейсе политики. Решение о том, является ли поведение результатом атаки на файл и какое действие необходимо предпринять, принимает пользователь.
Symantec Endpoint Security Complete (часть завершена)
Компоненты "Перенаправление сетевого трафика" и Web Security Service
Используйте параметры перенаправления сетевого трафика (NTR) и защищенного соединения, чтобы конечные точки в корпоративной сети, дома или вне офиса имели возможность интеграции с Symantec Web Security Service (WSS). NTR перенаправляет интернет-трафик клиента в Symantec WSS, где он допускается или блокируется в зависимости от политик WSS.
Предупреждение последствий использования эксплойтов памяти
Защищает от известных уязвимостей в ПО без исправлений (например, в веб-сервере JBoss или Apache), которыми пользуются злоумышленники.
AMSI и сканирование без файлов
Сторонние разработчики приложений могут защитить своих клиентов от динамических вредоносных программ на основе сценариев и от нетрадиционных способов проведения кибератак. Стороннее приложение вызывает AMSI-интерфейс Windows для запроса сканирования предоставленного пользователем сценария, который направляется клиенту Symantec Endpoint Protection. Клиент отвечает, является ли поведение сценария вредоносным. Если поведение не является вредоносным, то выполнение сценария продолжается. Если поведение сценария является вредоносным, приложение не выполняет его. В диалоговом окне клиента, где представлены результаты сканирования, отображается статус "Доступ запрещен". В качестве примеров сторонних сценариев можно привести Windows PowerShell, JavaScript и VBScript. Автоматическая защита должна быть включена. Данная функция поддерживается в Windows 10 и на более новых компьютерах.
14.3 и более поздние версии.
Недоступно.
Endpoint Detection and Response (EDR)
EDR анализирует поведение, а не файлы, и может усиливать защиту от целевого фишинга и использования злоумышленниками локальных средств. Например, если Word обычно не запускает PowerShell в среде клиента, то его следует перевести в режим блокировки. Интерфейс EDR позволяет пользователям легко понять, какие модели поведения являются обычными и должны быть разрешены, для каких следует выводить предупреждения, а какие являются подозрительными и должны быть заблокированы. В ходе расследования предупреждений об инцидентах и осуществления ответных действий можно вносить корректировки. При выводе предупреждения об инциденте будут показаны все модели поведения, вызванные тем или иным нарушением, с возможностью применить режим блокировки прямо на странице сведений об инциденте.
Symantec Endpoint Security Complete (часть завершена).
Защита на основе искусственного интеллекта (AI)
В программном обеспечении Symantec для облачной аналитики целевых атак используется модуль AML (углубленное машинное обучение), выполняющий поиск образцов активности, связанных с целевыми атаками.
Symantec Endpoint Security Complete (часть завершена).
Чтобы предотвратить распространение программ-вымогателей, используйте средства аудита, которые помогут проанализировать конечные точки как в корпоративной сети, так и за ее пределами.
Для проверки ложных срабатываний используйте средство предупреждения последствий использования эксплойтов памяти.
Усиление защиты клиентов Windows от манипуляций с памятью с помощью политики предупреждения последствий использования эксплойтов памяти

Рекомендации по предотвращению последствий действия программ-вымогателей

Повышение уровня защиты рабочей среды от программ-вымогателей
Для предотвращения заражения программами-вымогателями, помимо включения защиты SEP или SES, выполните следующие шаги.
Шаг
Описание
1. Защита локальной среды
  1. Убедитесь, что у вас установлена последняя версия PowerShell
    и включено ведение журнала.
  2. Ограничьте доступ к службам RDP.
    Откройте доступ к RDP только с определенных известных IP-адресов и используйте многофакторную аутентификацию. Используйте диспетчер ресурсов файлового сервера (FSRM) для блокировки записи известных расширений программ-вымогателей в общие файловые ресурсы, в которых требуется доступ пользователя с правом записи.
  3. Создайте план уведомления третьих сторон
    . Подготовьте план надлежащего уведомления организаций, таких как ФБР или другие правоохранительные органы.
  4. Создайте рабочий набор, содержащий копии всех важных административных сведений в бумажном формате и электронных архивах
    . Чтобы защитить эту информацию от взлома, храните в наборе вместе с ней аппаратное и программное обеспечение, необходимое для устранения неполадок. Хранить эту информацию в сети бесполезно, если сетевые файлы зашифрованы. Осуществляйте надлежащий аудит и контроль использования учетной записи администратора. Чтобы предотвратить кражу и использование учетных данных администратора, можно также внедрить одноразовые учетные данные администратора.
  5. Создайте профили использования средств администрирования
    . Многие из этих средств используются злоумышленниками для незаметного перемещения по устройствам сети. Учетная запись пользователя с историей административного использования, когда программы PsInfo/PsExec выполняются для небольшого числа систем, допустима. Однако учетная запись службы, запускающая PsInfo/PsExec для всех систем, является подозрительной.
2. Защита системы электронной почты
  1. Включите двухфакторную аутентификацию (2FA) для предотвращения взлома учетных данных во время фишинговых атак.
  2. Укрепите архитектуру безопасности, связанную с почтовыми системами
    , для минимизации количества спама, приходящего на почтовые ящики конечных пользователей. Применяйте самые эффективные методы, включая использование SPF и другие средства защиты от фишинговых атак.
3. Создание резервных копий
Регулярно выполняйте резервное копирование файлов на клиентах и серверах. Для создания резервных копий используйте компьютеры в автономном режиме или систему без предоставления прав на запись для сетевых компьютеров и серверов. Если у вас не установлено специализированное программное обеспечение для резервного копирования, можно скопировать важные файлы на съемные носители. Затем обязательно извлеките съемный носитель для автономного хранения.
  1. Создайте хранилище резервных копий за пределами среды
    . Создайте хранилище за пределами среды, рассчитанное как минимум на четырехнедельный объем инкрементных резервных копий, создаваемых ежедневно и еженедельно.
  2. Храните автономные резервные копии в среде
    . Создавайте резервные копии без соединения с сетью, чтобы предотвратить их шифрование программами-вымогателями. Удаление наиболее эффективно в системе без подключения к сети, так как это предотвращает потенциальное распространение угрозы.
  3. Проверьте и протестируйте решение для резервного копирования на уровне сервера.
    Эта мера уже должна быть внедрена в процесс аварийного восстановления.
  4. Предусмотрите разрешения на уровне файлов для резервных копий и резервных баз данных.
    Запретите шифрование резервных копий.
  5. Протестируйте функцию восстановления.
    Убедитесь, что функции восстановления отвечают потребностям бизнеса.
Защитите подключенные сетевые диски с помощью пароля и механизмов контроля доступа. Старайтесь не предоставлять права записи на сетевые диски, если только это не продиктовано абсолютной необходимостью. Ограничение доступа позволит защитить файлы от шифрования вредоносными программами.

Что делать, если обнаружена программа-вымогатель?

Средства удаления программ-вымогателей не существует. Ни один продукт безопасности не может расшифровывать файлы, зашифрованные программами-вымогателями. Если ваши данные оказались зашифрованы вследствие проникновения на клиентский компьютер программы-вымогателя, следуйте рекомендациям ниже:
  1. Не платите выкуп.
    Что произойдет, если вы заплатите выкуп:
    • Нет никакой гарантии, что после оплаты злоумышленник сообщит вам, как разблокировать компьютер или расшифровать файлы.
    • Атакующий может использовать полученные деньги для проведения новых атак на другие компьютеры.
  2. Изолируйте зараженный компьютер, прежде чем программа-вымогатель сможет атаковать сетевые диски, к которым ей удастся получить доступ.
  3. Обновите описания вирусов и выполните сканирование клиентских компьютеров с помощью
    Symantec Endpoint Protection Manager
    или SES.
    Есть вероятность, что благодаря новым описаниям программы-вымогатели будут выявлены и соответствующие проблемы будут устранены.
    Symantec Endpoint Protection Manager
    автоматически загружает в клиент описания вирусов (если клиент является управляемым и подключен к серверу управления или облачной консоли).
    • В окне
      Symantec Endpoint Protection Manager
      нажмите
      Клиенты
      , затем в контекстном меню группы выберите
      Запустить команду в группе
      >
      Обновить содержимое и просканировать
      .
    • В Symantec Endpoint Security запустите команду
      Сканировать сейчас
      .
      Запуск команд на клиентских устройствах
  4. В случае необходимости переустановки выполните установку заново.
    Если зашифрованные файлы восстанавливаются из резервной копии, данные можно восстановить, но в ходе атаки могли быть установлены другие вредоносные программы.
  5. Отправьте вредоносную программу в Symantec Security Response.
    Если вам удалось идентифицировать вредоносное сообщение или исполняемый файл, отправьте его в Symantec Security Response. Примеры зараженных файлов помогут специалистам Symantec создать новые сигнатуры и улучшить работу систем защиты от программ-вымогателей.