Защита информации от вируса шифровальщика

Заказать услугу

или задать вопрос можно здесь

 Задать вопрос  Заказать

Получить консультацию по телефону:

8 904 904 00 77

Защита данных на компьютере чаще всего ассоциируется с установкой антивирусных программ, шифрованием критически важных директорий и своевременным резервным копированием. Однако (и это актуально при работе с базами 1С) шифрование директорий с  базами данных (БД) невозможно, а резервное копирование происходит на соседний жёсткий диск сервера или персонального компьютера, или даже на другой раздел этого же жёсткого диска (HDD). Антивирусная защита так же может оказаться недостаточной: вредоносная программа может быть не сразу идентифицирована или клиент может пренебрегать средствами защиты.


Кроме того, последние 5 лет малый и средний бизнес во всём мире столкнулся с вирусами-шифровальщиками, а для этого типа вредоносного ПО не имеет значения, на каком HDD лежит свежий backup вашей базы данных 1С — если уж вы допустили проникновение и запуск шифровальщика, он сделает бесполезными все найденные на ПК резервные копии (бэкапы).


Рассказать о том, как защитить базу данных 1С от шифровальщиков мы попросили нашего специалиста, отвечающего за организацию защиты данных.


Целый «букет» симптомов недавно преподнёс нам один клиент (это один из известных ресторанов на пешеходной улице Нижнего Новгорода). С самого начала клиентом было сделано всё для того, чтобы сработал первый закон Мэрфи: «если какая-нибудь неприятность может произойти — она произойдёт».


Во-первых, на сервере долгое время отсутствовало любое антивирусное ПО (одна из отговорок клиента была «дорого»). Приблизительно полгода назад, преодолев ожесточённое сопротивление сотрудников ресторана, нам удалось установить на сервер антивирус Kaspersky Free с очень ограниченным функционалом (только базовая защита, отсутствие контроля за сетевыми атаками, и, самое главное в данной ситуации, в нём отсутствует т.н. эвристический анализ поведения подозрительных программ). По тем же соображениям «дорого» не было антивирусного ПО и на других компьютерах ресторана (бухгалтерия, кассы, рабочие места официантов и поваров).

Во-вторых, все сотрудники ресторана имели неограниченный, и, самое главное, прямой доступ в интернет без какого-либо межсетевого экрана (firewall). Отговорка была примерно такой же: «платный firewall дорого, а бесплатный бесполезен».

В-третьих, регулярный backup базы данных 1С ресторана производился на второй HDD этого же сервера.

В четвёртых, один из сотрудников ресторана использовал в качестве своей рабочей станции сервер ресторана (как вы уже догадались, отговорка: «лишний компьютер — дорого»).


У нас с клиентом заключён договор абонентского обслуживания компьютеров этого ресторана (подробнее о таких услугах см. в статье «Обслуживание информационных систем предприятия») по которому, помимо разовых вызовов, наш специалист раз в месяц в любом случае посещает клиента для обслуживания. Специалиста уже ждали. Произошло заражение сервера вирусом-шифровальщиком panzer (источник заражения уже неизвестен, скорее всего, кто-то из сотрудников открыл ссылку в письме или посетил подозрительный сайт).  Поведение вируса panzer следующее: сначала на ПК жертвы попадает «разведывательный» модуль, который некоторое время (иногда довольно длительное) внешне никак не проявляет себя, а занимается просто анализом компьютера и пользовательских данных, и, не обнаруживаясь при этом базовой защитой, незаметно отправляет злоумышленникам информацию. На этом этапе, кстати, ситуацию уже мог бы спасти эвристический анализатор полноценного антивируса и грамотно настроенный firewall. Обнаружив что-то потенциально интересное (в данном случае, 1С базу, что говорит о, скорее всего, коммерческом назначении ПК) вирус по команде злоумышленников скачивает модуль шифрования, который работает примерно 45 минут, в течении которых успевает зашифровать алгоритмом AES-256 все файлы (кроме файлов ОС), в том числе и backup базы данных 1С на соседнем жёстком диске. После этого в каждой директории появляется текстовый файл с сообщением о том, что ваш ПК зашифрован и предложение связаться по любому из трёх e-mail со злоумышленниками для оплаты ключа дешифровки. При этом несложный анализ показывает, что восстановление зашифрованной алгоритмом AES-256  коммерческой информации сравнимо по стоимости или даже дороже суммы, запрашиваемой злоумышленниками, а время на расшифровку может измеряться месяцами или годами (в зависимости от доступных вычислительных мощностей). Сумма запрашивается в биткойнах для того, чтобы очень сложно (или невозможно) было отследить транзакции.


Чем закончилась история с зашифрованным сервером мы расскажем позже, а пока ответим на вопрос:

Так что же наша компания предлагает своим клиентам как средства обеспечения защиты информационных данных? Какие средства защиты баз данных в особенности мы предлагаем?

Защита от вируса-шифровальщика, чей модуль не обнаруживается антивирусным ПО — это регулярная выгрузка архива (backup БД клиента) в платное или бесплатное «облако».

1. На сервере клиента настраивается теневая архивация базы данных. При этом, перед выполнением архивации, специальный скрипт закрывает БД 1С на запись, чтобы не потерять данные, если в момент архивации начнётся запись в файлы базы данных.

2. На сервер клиента устанавливается безконсольное (или невидимое) приложение. Задача приложения: сохранить 4 бэкапа за три последних дня и 1 недельный бэкап. Перед выгрузкой бэкапы сжимаются в формат ZIP разделённый на несколько частей для того, чтобы упростить отправку при плохом или неуверенном соединении с интернет (в случае неудачной отправки делаются три попытки отправки). Для запуска используется стандартный планировщик задач Windows или Linux (приложение умеет архивировать файлы по маске или исключать ненужные).

3. После каждой успешной выгрузки специальный скрипт отправляет в нашу систему электронную отметку ОК. Если от клиента перестали выгружаться в «облако» резервные копии (например, скрипт перестал работать) то через некоторое время диспетчер автоматически получает СМС или уведомление о событии.

Таким образом, если допустить, что шифровальщик «пробился» через антивирусную защиту и зашифровал все данные на сервере (в том числе и последний бэкап), то, выгрузка данных в облако будет приостановлена (вирус зашифровал и само приложение, которое отвечает за выгрузку в «облако»), наш диспетчер получит уведомление о неудачи процедуры бэкапа и создаст задание на выезд технического специалиста к клиенту.


Хотелось бы особо подчеркнуть, что защита от шифровальщика файлов сама по себе не должна являться единственной мерой защиты вашего сервера. Мы настоятельно рекомендуем нашим клиентам установку современного антивирусного ПО как на сервер так и на рабочие места сотрудников, организовывать доступ в Интернет через межсетевой экран (в том числе и ограничивать доступ в Интернет при необходимости) и регулярно выполнять процедуру резервного копирования.

К сожалению, не все клиенты готовы прислушиваться к этим рекомендациям, руководствуюсь своими соображениями.


Ну а чем закончилась история с зашифрованным сервером? После долгих консультаций и анализа ситуации, заказчик решил не платить злоумышленникам «выкуп» (хотя они и прислали обратно расшифрованными выбранные нашим специалистом наугад некоторые файлы, чтобы подтвердить тот факт, что они действительно могут их расшифровать). Такой выбор клиент сделал не только из-за сложностей с переводом в биткойнах, но и из-за того, что по статистике каждая пятая российская компания в секторе малого или среднего бизнеса, заплатившая выкуп, так и не получила доступ к своим данным.

Клиенту, можно сказать, немного «повезло»: наши технические специалисты нашли HDD клиента полугодовой давности с актуальной на тот момент БД 1С и другими документами (HDD остался у нас после upgrade сервера) что и было отправной точкой для восстановления. Документы и БД 1С за последние полгода восстанавливали «руками» объединив силы бухгалтерии ресторана и наших технических специалистов. При этом мы не делаем секрета из того, что такая работа по восстановлению в сумме получилась ощутимо дороже той, что запросили злоумышленники (сверхурочные, надбавки за срочность).

Приобрести защиту от вируса шифровальщика, защитить данные на компьютере, звоните нам или закажите обратный звонок!


Отзывы

Отзывов нет.

Написать отзыв

* - Обязательные поля

Заказать услугу или задать вопрос