Доклад содержит рекомендации по защите от вирусов-шифровальщиков и фишинга, включая меры по улучшению безопасности удаленного доступа и настройкам антивирусного ПО. Важные аспекты включают обновление ОС, создание учетных записей с ограниченными правами и регулярное резервное копирование данных. Также подчеркивается необходимость осторожности при работе с электронной почтой и проверке ссылок на поддельные сайты.

1. Защита от вирусов-крипторов,
фишинга и других актуальных угроз

2. Докладчик
Сергей Борисов
Заместитель генерального директора по ИБ,
ООО Информационные системы и аутсорсинг
ГК РосИнтеграци
http://isoit.ru/
http://docshell.ru/
s.borisov@krasnodar.pro
Вирусы
шифровальщики

3. Примеры свежих вирусов-крипторов

4. Вирусы-шифровальщики.
WannaCry
Вирусы
шифровальщики

5. Вирусы-шифровальщики.
XTBL
Вирусы
шифровальщики

6. Вирусы-шифровальщики.
Petya Misha
https://www.youtube.com/watch?v=QJkUwfa1Yvg
Вирусы
шифровальщики

7. Вирусы для маршрутизаторов
Switcher
https://www.youtube.com/watch?v=QJkUwfa1Yvg
Вирусы
шифровальщики

8. Пути распространения вредоносного
ПО

9. Пути заражения.
Фишинг по электронной почте
Вирусы
шифровальщики

10. Пути заражения.
Фишинг по электронной почте
Вирусы
шифровальщики

11. Пути заражения.
Фишинг по электронной почте
Вирусы
шифровальщики

12. Пути заражения.
Фишинг по электронной почте
Вирусы
шифровальщики

13. Пути заражения.
Фишинг по электронной почте
Вирусы
шифровальщики

14. Пути заражения.
Фишинг по электронной почте
Вирусы
шифровальщики

15. Пути заражения.
Фишинг по электронной почте
Вирусы
шифровальщики

16. Пути заражения.
Фишинг по электронной почте
Вирусы
шифровальщики

17. Пути заражения.
Поддельные сайты
Вирусы
шифровальщики

18. Пути заражения.
Поддельные сайты
Вирусы
шифровальщики
mendeleevscazot.ru (фальшивка) вместо mendeleevskazot.ru (настоящий сайт)
kuazot.ru и kyazot.ru
amonni.ru и ammoni.ru
tender-rosneft.ru и tender.rosneft.ru

19. Пути заражения.
Поддельные сайты
Вирусы
шифровальщики
Отдельные контрагенты компании с 25 января 2017 года стали получать
по электронной почте предложения приобрести по низким ценам качественную
полимерную продукцию.
В сообщениях, распространяемых с помощью спам-рассылки, как правило, указаны
фамилия и имя работника Блока продаж Дирекции базовых полимеров
и фиктивные контактные данные для обращения: номера телефонов +7 (495) 241-
04-687, +7 499) 348-92-05 и адреса электронной почты info@sibur.info,
proposal@sibur.info, kp_property@sibur.info. Также мошенники зарегистрировали
сайт-двойник официального сайта ПАО «СИБУР Холдинг» (www.sibur.info),
на котором размещена ложная информация в разделе «Контакты».
— ПАО «СИБУР Холдинг» (настоящий сайт: sibur.ru)

20. Пути заражения.
Поддельные сайты
Вирусы
шифровальщики

21. Пути заражения.
Распространение по сети
Вирусы
шифровальщики

22. Памятка администраторам ИТ и ИБ о
мерах защиты

23. Меры защиты. Защита удаленного доступа
и подключения к сети Интернет.
Вирусы
шифровальщики
Наличие удаленного доступа к локальной сети и серверам из сети Интернет существенно повышает
вероятность заращения вредоносным программным обеспечением. Там, где это возможно, необходимо
отключить или заблокировать удаленный доступ.
Если удаленного доступа не избежать (например, необходимость подключения по RDP), используйте
межсетевые экраны, назначайте нестандартные сетевые порты приложениям, к которым необходим
доступ из сети Интернет, используйте сложные пароли и средства усиленной аутентификации
пользователей для удаленного доступа, предоставляйте доступ к служебным сервисам через VPN.
Для защиты от WannaCry и подобных сетевых вирусов необходимо максимально ограничить
использование сетевых TCP-портов 139 и 445 (Server Message Block/SMB), а также запретить поддержку
устаревшего протокола SMB v1 в пользу SMB v3.
access-list 110 deny tcp any any eq 445
access-list 110 deny tcp any any eq 139
set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

24. Меры защиты. Обновление операционной
системы и ПО
Вирусы
шифровальщики
Злоумышленники часто используют известные уязвимости в
программном обеспечении в надежде на то, что пользователи еще не
успели установить последние обновления. В первую очередь это
касается операционных систем семейства Windows, поэтому следует
проверить и, при необходимости, активировать автоматические
обновления ОС.
(Пуск — Панель управления — Центр обновления Windows —
Настройка параметров — Выбираем способ загрузки и установки
обновлений)
Либо установщик обновлений для защиты от WannaCry
https://drive.google.com/file/d/0ByTve-wKShjmVEE2ZXNaZ184MWs/view

25. Меры защиты. Настройка средств защиты
информации
Вирусы
шифровальщики
Необходимо убедиться, что на всех АРМ и серверах организации
установлены, запущены и регулярно обновляются средства антивирусной
защиты. Производители таких средств выпускают дополнительные
рекомендации по настройке для защиты от вирусов-шифровальщиков:
Kaspersky - https://support.kaspersky.ru/10905,
https://blog.kaspersky.ru/wannacry-ransomware/16147/
Dr. Web - http://support.drweb.ru/video/security_space/?lng=ru
В большинстве антивирусов по умолчанию используются не все имеющиеся
проверки и механизмы. Это сделано для того, чтобы не занимать слишком
много ресурсов на АРМ и серверах. Следует выделить один АРМ для
проверки подозрительной электронной почты и настроить на нем антивирус
в режим максимальной защиты. Аналогичные настройки средств
антивирусной защиты необходимо использовать на сервере электронной
почты.

26. Меры защиты. Отключение EFS Вирусы
шифровальщики
В ОС Windows предусмотрена специальная встроенная служба
шифрования данных. Если вы не используете данную службу в
служебных целях, следует ее отключить — некоторые модификации
шифровальщиков могут использовать эту функцию в своих целях. Для
отключения службы шифрования следует выполнить следующие
действия:
Пуск — Панель управления — Администрирование — Службы —
Шифрованная файловая система (EFS) и перезагрузить систему.

27. Меры защиты. Использование в работе
учетных записей пользователей
Вирусы
шифровальщики
Для пользователей и администраторов следует создать учетные записи с
ограниченными правами в ОС. Такое ограничение прав учетной записи
позволит минимизировать вред при заражении АРМ. (Включить учетную
запись администратора — Задать пароль — Лишить текущего пользователя
административных прав — Добавить в группу «Пользователи»).
Для выполнения действий с правами администратора в Windows
предусмотрен специальный инструмент — «Контроль учетных записей»,
который запросит пароль для выполнения той или иной операции.
Проверить настройки можно здесь: Пуск — Панель управления — Учетные
записи пользователей — Изменение параметров контроля учетных
записей — По умолчанию — Уведомлять только при попытках внести
изменения в компьютер.

28. Меры защиты. Использовать контрольные
точки восстановления системы
Вирусы
шифровальщики
По умолчанию при установке операционной системы защита включена
только для системного диска, однако шифровальщик затронет
содержимое всех разделов на вашем ПК. Для обеспечения возможности
восстановления файлов стандартными средствами настройте защиту
других ваших данных.
Настроить автоматическое создание контрольных точек можно так: Мой
компьютер — ПКМ — Свойства — Защита системы — Параметры защиты.

29. Меры защиты. Резервное копирование Вирусы
шифровальщики
Следует сделать архивные копии важной информации на внешние
носители и настроить текущее регулярное резервное копирование на
сетевые диски. Эти меры помогут не только защититься от вирусов, но
послужит страховкой на случай выхода жесткого диска из строя.

30. Памятка пользователям по защите от
фишинга и вирусов

31. Памятка пользователю.
Остерегайтесь фишинга
Вирусы
шифровальщики
! Фишинг – это разновидность мошенничества, целью которого является получение паролей, банковских
данных, личной информации пользователей или заражения АРМ и серверов. Как правило,
злоумышленники рассылают ссылки на поддельные сайты новостных агенств, социальных сетей, банков
или государственных органов.
Для поддельных сайтов злоумышленники обычно используют похожие имена. Например, подделка “s-
mail-google.com” на официальный сайт “mail.google.com”. Подделка “online.sberblank.ru” на
официальный сайт “online.sberbank.ru”. Как правило поддельные сайты и сообщения электронной почты
содержат опечатки и орфографические ошибки, чтобы избежать спам фильтров. Благодаря этому
внимательный пользователь может определить подделку.
Будьте осторожны и не переходите по необычным ссылкам во время работы в сети Интернет, не
скачивайте файлы или не открывайте вложения электронной почты, если вы не уверены в их
надежности.
Для проверки безопасности вложений, пришедших по электронной почте, обращайтесь к
администратору антивирусной защиты в вашей организации. Для проверки надежности сайтов сети
Интернет используйте сервисы: https://virustotal.com/ и https://rescan.pro

32. Памятка пользователю. Не отключайте
антивирус и другие средства защиты
Вирусы
шифровальщики
! В последнее время злоумышленники сопровождают вредоносные файлы
сообщениями о “важности”, “срочности” и “необходимостью отключить
антивирус”.
Не отключайте защитные механизмы антивируса и не препятствуйте
получению обновлений антивирусных программ. Не отключайте
персональный межсетевой экран и иные средства защиты информации,
установленные на вашем компьютере.
Помните, что злоумышленники, преследующие материальную выгоду,
используют вредоносное программное обеспечение для отправки,
блокирования конфиденциальных данных или дистанционного
управления вашим компьютером.

33. Памятка пользователю. Сохраняйте в тайне
данные учетных записей
Вирусы
шифровальщики
Создавайте свой пароль с применением заглавных и строчных букв, а
также цифр, не используя простые для угадывания варианты. Не
используйте во внешних сервисах сети Интернет те же пароли, которые
используете в служебной деятельности. Никогда не сообщайте свой пароль
по электронной почте или телефону.
При вводе логина, пароля или другой ценной информации на сайте
убедитесь, что используется защищенное HTTPS соединения и
действительный сертификат сайта – зеленый “замочек” слева от адреса
сайта.