Российские организации подверглись атаке: по ним идет масштабная рассылка вируса-шифровальщика Troldesh.
Если ранее вирус рассылался от лица банков, то сейчас — от имени авиакомпаний и СМИ. Этот вирус умеет не только шифровать файлы, но и майнить криптовалюту, и генерировать трафик на сайты. Эксперты «Кода безопасности» разобрались в сути зловреда и в том, как защитить свою организацию от угрозы потери данных и воздействия на рабочие станции.
Суть атаки вируса-шифровальщика Troldesh состоит в том, что по электронной почте рассылается запароленный архив, в котором лежит вредоносный Javascript-файл. Так как архив запаролен — почтовый антивирус его не проверяет. В теле письма содержится пароль, который пользователь вводит, открывает архив и запускает скрипт. После этого вирус шифрует данные на устройстве жертвы и требует денежный выкуп за восстановление доступа к ним.
В качестве основных методов защиты от атаки Troldesh «Код безопасности» рекомендует:
- обеспечение должного уровня грамотности сотрудников при соблюдении стандартных норм информационной безопасности: не открывать запароленные архивы из почтовых вложений, проверять адрес отправителя, не запускать исполняемые файлы подозрительного содержания ит.п.;
- использование антивируса с актуальными базами, уже содержащими данный тип шифровальщика. В этом случае сигнатура антивируса сработает при попытке запуска вредоносного скрипта;
- использование средства защиты информации, в частности, с функционалом контроля запуска приложений и скриптов. В составе таких продуктов эту задачу выполняет модуль замкнутой программной среды, предотвращающий запуск всех не входящих в «белый список» скриптов и процессов;
- не менее важным аспектом является организация сегментации внутренней сети организации. Это позволит не допустить распространение зловреда с зараженных компьютеров на более значимые конечные точки организации через каналы внутренней сети.
