Участились случаи шифрования злоумышленниками данных бухгалтерского сектора — televid.by
Новая аптека в Речице
АПТЕКА

Участились случаи шифрования злоумышленниками данных бухгалтерского сектора

В насто­я­щее вре­мя на тер­ри­то­рии Гомельской обла­сти уча­сти­лись слу­чаи шиф­ро­ва­ния дан­ных бух­гал­тер­ско­го сек­то­ра зло­умыш­лен­ни­ка­ми, с целью после­ду­ю­ще­го полу­че­ния мате­ри­аль­ных выгод для рас­шиф­ров­ки фай­лов.

Программы-​шифровальщики отно­сят­ся к клас­су троянцев-​вымогателей — это вре­до­нос­ное про­грамм­ное обес­пе­че­ние, кото­рое вно­сит несанк­ци­о­ни­ро­ван­ные изме­не­ния в поль­зо­ва­тель­ские дан­ные или бло­ки­ру­ет нор­маль­ную рабо­ту ком­пью­те­ра. Для рас­шиф­ров­ки дан­ных и раз­бло­ки­ров­ки ком­пью­те­ра зло­умыш­лен­ни­ки обыч­но тре­бу­ют денеж­но­го пере­во­да (выкуп).

Принцип их дей­ствия заклю­ча­ет­ся в поис­ке и шиф­ро­ва­нии най­ден­ных на ком­пью­те­ре фай­лов с опре­де­лен­ны­ми рас­ши­ре­ни­я­ми (для дело­вой сфе­ры осо­бен­но опас­ны вари­ан­ты виру­сов, охо­тя­щи­е­ся на фай­лы 1C). Затем поль­зо­ва­те­лю пред­ла­га­ет­ся запла­тить зло­умыш­лен­ни­кам за ключ для рас­шиф­ров­ки. Отметим, что неко­то­рые вер­сии виру­сов могут быть реа­ли­зо­ва­ны таким обра­зом, что воз­мож­ность рас­шиф­ров­ки дан­ных не преду­смат­ри­ва­ет­ся вовсе и никак не зави­сит от полу­че­ния выку­па. Восстановление же зара­жен­ных дан­ных крайне слож­но и не все­гда воз­мож­но.

Вариантов зара­же­ния несколь­ко:

Во-​первых, пря­мое под­клю­че­ние зло­умыш­лен­ни­ка к компьютеру-​жертве, на кото­ром не отклю­че­ны сред­ства уда­лен­но­го управ­ле­ния Windows и исполь­зу­ют­ся лег­кие паро­ли для досту­па к систе­ме.

Во-​вторых, внед­ре­ние в ком­пью­тер виру­са под видом дру­гой про­грам­мы или при­креп­лен­но­го к элек­трон­но­му пись­му фай­ла. В этом слу­чае рас­чет сде­лан на ошиб­ку поль­зо­ва­те­ля, кото­рый дол­жен открыть или запу­стить такой файл. Как пра­ви­ло, зло­умыш­лен­ни­ки мас­ки­ру­ют адрес отпра­ви­те­ля, в резуль­та­те такое пись­мо может выгля­деть как сооб­ще­ние от извест­но­го поль­зо­ва­те­лю кон­так­та. В теме пись­ма могут содер­жать­ся важ­ные све­де­ния (напри­мер, о задол­жен­но­сти или воз­мож­ной выго­де). К сожа­ле­нию, такие вре­до­нос­ные про­грам­мы не все­гда обна­ру­жи­ва­ют­ся анти­ви­ру­са­ми — зна­чи­тель­но эффек­тив­нее меры про­фи­лак­ти­ки.

Для про­фи­лак­ти­ки тако­го вида пре­ступ­ле­ний необ­хо­ди­мо при­сталь­ное вни­ма­ние обра­тить на защи­ту дело­вой инфор­ма­ции и исполь­зо­вать для это­го резерв­ные копии важ­ных фай­лов, а так­же под­дер­жи­вать их в акту­аль­ном состо­я­нии. Помимо защи­ты от виру­сов и тро­ян­ских про­грамм, дан­ная мера поз­во­лит предот­вра­тить поте­рю дан­ных, напри­мер в слу­чае физи­че­ско­го повре­жде­ния исход­но­го носи­те­ля. Резервные копии долж­ны хра­нить­ся на отдель­ном ком­пью­те­ре или внеш­нем носи­те­ле.

Компьютеры с кри­ти­че­ски важ­ной инфор­ма­ци­ей, в част­но­сти база­ми дан­ных 1C, а так­же резерв­ны­ми копи­я­ми, не реко­мен­ду­ет­ся под­клю­чать к Интернету.

Обязательной долж­на стать анти­ви­рус­ная про­вер­ка фай­лов — вло­же­ний в элек­трон­ных пись­мах. Подозрительные фай­лы, осо­бен­но архи­вы, нель­зя откры­вать и запус­кать, даже если они при­шли по почте от извест­но­го вам чело­ве­ка, посколь­ку адрес мог быть под­ме­нен. Совершенно недо­пу­сти­мо откры­вать подоб­ные вло­же­ния, полу­чен­ные от неиз­вест­ных отпра­ви­те­лей.

Основываясь на выше­из­ло­жен­ной инфор­ма­ции мож­но пред­ло­жить сле­ду­ю­щие прак­ти­че­ские меры про­фи­лак­ти­че­ско­го харак­те­ра, реко­мен­ду­е­мые к испол­не­нию на пред­при­я­ти­ях и орга­ни­за­ци­ях:

  1. Контроль за рабо­той сотруд­ни­ков в сети Интернет с мони­то­рин­гом посе­ща­е­мых ресур­сов и уста­нов­кой филь­тров на ресур­сы раз­вле­ка­тель­но­го харак­те­ра, доступ к кото­рым не преду­смот­рен слу­жеб­ной необ­хо­ди­мо­стью (соци­аль­ные сети, видео- аудиохо­стин­ги, новост­ные ресур­сы и т. п.). Избирательный под­ход к предо­став­ле­нию досту­па в сеть Интернет каж­до­му кон­крет­но­му сотруд­ни­ку для выпол­не­ния сво­их слу­жеб­ных обя­зан­но­стей. Обеспечение раз­гра­ни­че­ния локаль­ной сети пред­при­я­тия и сети с досту­пом в Интернет.
  2. Установка лицен­зи­он­но­го анти­ви­рус­но­го про­грамм­но­го обес­пе­че­ния на все пер­со­наль­ные ком­пью­те­ры (далее — ком­пью­те­ры) рабо­та­ю­щие в сети Интернет и обес­пе­че­ние свое­вре­мен­но­го обнов­ле­ния анти­ви­рус­ных баз. Установка на ком­пью­те­ры, рабо­та­ю­щие в сети Интернет, про­грамм­но­го обес­пе­че­ния поз­во­ля­ю­ще­го исклю­чить под­клю­че­ние неже­ла­тель­ных съем­ных носи­те­лей.
  3. Исключение исполь­зо­ва­ния сотруд­ни­ка­ми лич­ных поч­то­вых ящи­ков в слу­жеб­ных целях. Всю слу­жеб­ную доку­мен­та­цию отправ­лять и полу­чать толь­ко через офи­ци­аль­ные ящи­ки пред­при­я­тия. Назначить лиц ответ­ствен­ных за получение/​отправку элек­трон­ной почты.
  4. Инструктирование лиц ответ­ствен­ных за получение/​отправку почты о необ­хо­ди­мо­сти про­вер­ки файлов-​вложений в элек­трон­ных пись­мах анти­ви­рус­ны­ми про­грам­ма­ми до их запус­ка либо разар­хи­ва­ции.
  5. Архивация важ­ных баз дан­ных пред­при­я­тия (в том чис­ле 1 С), с их запи­сью на внеш­ний носи­тель инфор­ма­ции, долж­на про­из­во­дит­ся ответв­лен­ным лицом, не реже одно­го раза в неде­лю.

ОРПСВТ КМ УВД Гомельского обл­ис­пол­ко­ма.