Госполиция предупреждает о распространении шифровальных вирусов
фото: LETA
В Латвии

Госполиция предупреждает о распространении шифровальных вирусов

Valsts policija

Должностные лица Управления по борьбе с экономическими преступлениями Государственной полиции при проведении проверки информации о кибератаках и активно сотрудничая со специалистами по предотвращению инцидентов безопасности информационных технологий cert.lv, периодически получают жалобы как от физических, так и юридических лиц о нападениях различных криптографических вирусов (ransomware). Эти вирусы шифруют файлы и жесткий диск, содержащиеся на компьютере, запрещая пользователям пользоваться компьютером, а также получать доступ к содержанию информации.

В конце 2019 года Управление по борьбе с экономическими преступлениями Государственной полици зафиксировало информацию о том, чтона один из образовательных учреждений Латвии, возможно, была совершена кибератака, в результате которой была нарушена деятельность серверов и рабочих станций. Во время атак была зашифрована информация на серверах и отдельных жестких дисках, а также на рабочих станциях (компьютерах).

С такого рода вирусами в Латвии в течение последних двух лет чаще всего сталкивались именно малые и средние предприятия, которым не хватает информации для снижения киберугроз ресурсов. В течение последнего года в Латвии были распространены шифровальные вирусы семейства dharma. Распространение этого вируса чаще всего происходит с помощью Microsoft RDP (отдаленный доступ MS Remote Desktop Protocol) из общедоступного интернета, защищенного слишком слабым паролем. Принимая во внимание периодическое распространение вирусов, Государственная полиция и CERT.LV повторно просят латвийцев быть осторожными и регулярно проводить стандартные меры безопасности:

  • в обязательном порядке создавать резервные копии компьютерной информации, хранить их отдельно от системы, а также регулярно проверять наличие этих копий,
  • проверять права на запись или удаление папок в общих папках,
  • повысить безопасность удаленного доступа в компьютерной системе и инструментах администрирования (например, RDP и SSH). Однако рекомендуется вообще не публиковать сервис RDP в Интернете, разрешая ему, например, подключаться только через корпоративный VPN. Microsoft предлагает также специфический прокси-сервис, предназначенный для защиты RDP – “remote Desktop Gateway”. Если по техническим причинам требуется сервис RDP, который должен быть публично доступным, хорошая практика - защитить учетные записи пользователей смарт-картами (smartcards), а не только паролями, регулярно обновлять rdp-сервис, использовать IPsec (Network level Authentication), убедиться, что пользователи, которым разрешено заходить через RDP, пользуются длинными и сложными паролями,
  • скачать антивирусную программу на своем компьютере. При загрузке и обновлении антивирусной программы можно защитить компьютер от большинства вирусов. Антивирусные программы ищут вирусы, которые пытаются получить доступ к электронной почте, операционной системе или файлам. Новые вирусы появляются каждый день, поэтому необходимо регулярно обновлять антивирусную программу. Некоторые антивирусные программы продаются как годовая подписка, но многие программы доступны бесплатно,
  • не открывать сообщения электронной почты от неизвестных отправителей или неизвестные вложения электронной почты. Многие вирусы добавлены в сообщения электронной почты или вложения и распространяются, как только открывается вложение сообщения электронной почты. При получении подозрительного вида, содержания, языка электронной почты, ни в коем случае не следует открывать указанную в них ссылку или вложение, нужно убедиться в легитимности отправителя. В таких случаях лучше использовать альтернативные средства связи – мобильные связи, факсы, фиксированные телефонные линии. Но стоит помнить, что отправитель вируса не всегда чужак. Например, в случае вируса “Emotet” при попадании в оборудование жертвы вирус пытается размножаться, создав список адресов электронной почты, с которым пользователь инфицированного компьютера ранее общался, и отправляя каждому из этих пользователей электронную почту с инфицированным вложением. Получатели инфицированных таким способом электронных писем видят электронную почту от какого-либо знакомого человека или организации, с которой они действительно переписывались, поэтому более высока вероятность того, что вложение будет открыто,
  • удалять файлы cookies и избегать сохранять или синхронизировать пароли через общедоступные компьютеры. Хорошая практика - не заходить в свою частную или рабочую электронную почту через  публичные компьютеры (в т.ч. также Dropbox и подобные сервисы). Если все же заходить, то следует по крайней мере помнить о выходе из упомянутых сервисов после окончания сессии,
  • использовать брандмауэр. Брандмауэр ПО по умолчанию или любая другая программа брандмауэра предупреждает о подозрительных действиях, если вирус или “компьютерный червь” пытается подключиться к компьютеру. Это также может блокировать попытки вирусов, червей или пользователей скачать потенциально опасные программы на компьютере,
  • важно соблюдать меры безопасности для снижения рисков, а также продуманно действовать в случае, если инцидент все же произошел. Государственная полиция и CERT.LV ни в коем случае не рекомендуют платить злодеям требуемый выкуп, так как это только способствует появлению новых вирусов, а также не гарантирует возврат потерянных файлов. Вместо этого рекомендуется сообщить о случившемся в Госполицию или CERT.LV, которые предложат, как правильно поступить.