В последнее время многие компании сталкиваются с письмами, в которых содержится вирус-шифратор. Обычно такие письма маскируются под официальные: «письмо от судебного пристава», «налоговая задолженность» и так далее. Немногие пользователи могут заставить себя не открывать такое письмо и сразу удалить его. Обычно дело кончается зашифрованными данными. Восстановить данные, не заплатив пиратам за расшифровку, обычно невозможно.
Ситуация становится намного серьезнее, когда шифруются не только личные данные пользователя, но и корпоративное файловое хранилище. Деятельность организации без рабочих документов практически останавливается на неопределенный срок.
К нам обратились клиенты с задачей противостоять этой угрозе, и вот что мы сделали.
Антивирусные решения мы отмели сразу — ни платные, ни бесплатные просто не защищают от шифраторов. С точки зрения антивируса не происходит ничего вредоносного, обычное изменение файлов от имени пользователя, и антивирус никак не реагирует.
Наша защита состоит из следующих компонентов:
- механизм Software Restriction Policy, ограничивающий запуск программ по принципу «где можно писать — нельзя запускать» и наоборот
- механизм на базе технологии File Server Resource Manager, который быстро обнаруживает работу шифратора на файловом сервере, блокирует его деятельность и предупреждает системного администратора
- механизм теневых копий, позволяющий быстро откатить краткосрочные изменения файлов
- регулярное резервное копирование, дающее возможность восстановить данные при любом сбое хранилища
Внедрив такую многоступенчатую защиту, мы получили такие результаты:
- шифраторы не могут запуститься ни действиями пользователя (например, запуск зараженного файла из письма), ни автоматически (в результате заражения компьютера)
- если шифратор вдруг как-то запустился, его работа сразу блокируется, а системный администратор получает сообщение и может сразу начать лечение и восстановление
- если какие-то данные пострадали, их можно восстановить быстро и без потерь.
Плюсом является то, что для работы не требуется дополнительный софт, задействованы только штатные средства ОС Windows… и немного магии 🙂