Михал Салат, директор департамента по исследованию угроз Avast
13 марта 2020 года университетская больница в городе Брно в Чешской Республике, которая также является центром тестирования на коронавирус, столкнулась с атакой с применением программ-вымогателей, которая парализовала работу их ПК.
Позже, 22 марта, массированной DDoS-атаке подвергся комплекс французских больниц, который включает 39 государственных учреждений с общим штатом более 100 000 человек. Последним повезло больше: атака была успешно отбита через час после начала.
Больницы становятся все более привлекательными целями для атак киберпреступников. Злоумышленники всегда используют повестку дня для своих атак, а пандемия коронавируса дала злоумышленникам просто идеальную возможность для нападения. Конечно, не все больницы подвергнутся нападениям хакеров, однако даже одна атака может иметь для них катастрофические последствия. Могут быть утеряны истории болезни пациентов — из-за этого возникнут задержки или отмены лечения.
Так как больницам критически важна информация о пациентах (особенно в период коронавируса), они с большей вероятностью, чем другие организации, заплатят выкуп. Это мотивирует киберпреступников на новые атаки на медицинские организации.
Как больницам стать устойчивей к атакам вымогателей?
Обновлять ПО сразу
В мае 2017 года вирус-вымогатель WannaCry атаковал миллионы компьютеров по всему миру, используя уязвимость, для которой Microsoft выпустила исправление за два месяца до массовой атаки. Миллионы людей и компаний не установили это обновление и пострадали от действий злоумышленников. Больницы тоже были в числе пострадавших.
Очень важно регулярно обновлять все программное обеспечение: Microsoft постоянно выпускает необходимые исправления. Например, совсем недавно Microsoft выпустила экстренное исправление для критической уязвимости Windows 10, названной «EternalDarkness», уязвимости, которая затрагивает протокол SMB. Этот протокол используется для обмена файлами и является тем же протоколом, который использовался для распространения WannaCry три года назад. Microsoft призвала пользователей незамедлительно обновить свои устройства, и учреждения здравоохранения должны серьезно отнестись к этому.
Ограничивать доступ
Больницам рекомендуется приостановить все онлайн-услуги. Важно, чтобы на больничных компьютерах могли работать только известные и проверенные приложения.
Обучать сотрудников цифровой гигиене
Больницы обучают своих сотрудников передовым методам гигиены, но при этом часто забывают о цифровой гигиене. Персонал больницы должен быть осведомлен о текущих мошенничествах и тактиках, используемых киберпреступниками: электронная почта остается одним из самых популярных методов проникновения киберпреступников. Сотрудники должны аккуратно относиться к электронным письмам от неизвестных отправителей и избегать кликов по ссылкам или загрузки любых вложений, если они не уверены в них на 100%.
Регулярное делать резервное копирование всех важных данных
При резервном копировании файлов атака вымогателями теряет свою актуальность, поскольку системы и данные могут быть восстановлены. Необходимо регулярно создавать резервные копии важных документов (в том числе и все данные пациентов), чтобы в больницах всегда была их запасная версия их файлов. Лучше всего сохранять данные как в облаке, так и на съемном носителе.
Действия в случае заражения вымогателями
К сожалению, от этого никто не застрахован. Важно знать, что делать, если такое произойдет.
Шаг 1: Немедленное изолирование зараженных устройств
Если компьютер с операционной системой Windows подвергся атаке вымогателей, нужно найти и отключить все зараженные компьютеры и другие устройства в сети. Неважно, как именно они были подключены: через кабель или нет. Это предотвратит распространение вымогателей и заражение новых компьютеров, планшетов и смартфонов.
Рекомендуется отключать все, что подключено к устройствам в сети, включая внешнее хранилище. Чтобы это сделать, жертвы должны проверить, был ли кто-то из них подключен к зараженному ПК. Если да, системы также должны быть проверены.
Шаг 2: Сбор логов и описание картины киберпреступления
После того, как зараженное устройство изолировано и не может нанести дальнейшего вреда сетевому окружению, необходимо создать детальное описание действующей системы для последующего анализа. Это заморозит все журналы и события и поможет ИБ- команде выяснить, откуда была атака и как она осуществлялась.
Шаг 3: Определение типа атаки вымогателей
Далее нужно выяснить, какой тип вымогателей злоумышленники использовали при атаке: благодаря этому можно найти решение. Чтобы определить тип вымогателей на компьютере, мы рекомендуем использовать Crypto Sheriff от No Ransom. Это удобный инструмент, предоставляемый Европейским центром по борьбе с киберпреступностью. Он проверяет файлы, зашифрованные злоумышленником, и их записку с требованием выкупа. Если Crypto Sheriff распознает шифрование и находит решение, он предлагает ссылку для загрузки необходимой программы дешифровки. На форумах, посвященных поиску и устранению неисправностей ПК, можно также найти информацию о виде вымогателя, который необходимо удалить. Даже если это новая разновидность, можно найти обсуждение, где участники форума работают над решением.
Некоторые вирусы-вымогатели переименовывают файлы и расширения файлов (например: .exe, .docx, .dll) после их шифрования. Посещая технические форумы, пользователи могут искать имена и расширения зашифрованных файлов; каждый может внести свой вклад.
Здесь можно найти больше информации:
- Bleeping Computer Forums
- Computer Hope Forum
- Microsoft Community
- Reddit (r/Ransomware)
Шаг 4: Удаление вымогателей
Важно избавиться от вредоносного ПО, которое заражает устройство. Существуют следующие варианты действий при удалении вымогателей на Windows 10, 8 и 7:
- Проверьте, удалил ли вымогатель сам себя (так часто бывает)
Б. Удалите его с помощью антивирусного решения, такого как Avast Antivirus
- Удалите вредоносную программу вручную
- Переустановите систему
ИТ-специалисты найдут здесь больше подробностей.
До сих пор мы пытаемся защитить себя и близких от распространения коронавируса. Но также важно защищать себя и от кибервирусов. Команда Avast работает над тем, чтобы остановить эти угрозы и контролировать дальнейшее развитие ситуации.
https://www.avast.ru/index#pc
