Система защиты от шифровальщиков-вымогателей

Файрволл или межсетевой экран — это компонент защитного решения, который выполняет множество задач, главные из которых:

• Защита компьютеров внутренней сети от несанкционированного доступа со стороны интернета
• Трансляция сетевых адресов (Network Address Translation)
• Публикация внутренних служб в интернете
• Контроль доступа внутренних пользователей к интернет-ресурсам

Межсетевой экран позволяет закрыть для доступа все неиспользуемые порты, что ограничит для многих вредоносов возможности распространения

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) значительно улучшает безопасность сети, поскольку позволяет обнаружить и заблокировать:

• использование скомпрометированных SSL-сертификатов
• эксплуатацию уязвимостей в протоколах DNS, FTP, ICMP, IMAP, POP3, HTTP, NetBIOS, DCERPC, SNMP, TFTP, VOIP-протоколы
• использование эксплойтов и уязвимостей сетевых приложений
• DOS-атаки
• случаи сетевого сканирования
• трафик ботнетов и скомпрометированных хостов
• трафик от хостов, заражённых троянским ПО и сетевыми червями
• трафик от спам-сетей

Модуль IDS/IPS анализирует трафик до того, как он попадёт внутрь сети, поэтому кибер-преступники не смогут воспользоваться уязвимостями внутренних систем для внедрения шифровальщиков. Система обнаружит и отбросит все вредоносные сетевые пакеты. Если шифровальщик сумеет проникнуть в локальную сеть по другим каналам, IDS/IPS заблокирует его попытки связаться с управляющим сервером, что в некоторых случаях позволит избежать дальнейшего заражения

Сайты с вредоносным содержимым — один из популярных каналов распространения шифровальщиков. Фальшивые обновления для Adobe Flash Player и другого популярного ПО, мошенническая реклама и фишинговые сайты активно распространяют вымогателей, создание которых поставлено на поток благодаря применению модели Ransomware-as-Service (Вымогатель-как-Услуга)

Для противодействия этому вектору заражения имеется модуль контентной фильтрации веб-трафика. Среди его функциональных возможностей — фильтрация по белым и черным спискам. Допускается использование общедоступных списков категорий сайтов, создание своих, а также фильтрация по типу загружаемого контента. Это позволяет в режиме реального времени защитить пользователей от посещения мошеннических сайтов, а также запретить загрузку потенциально опасных типов файлов

К сожалению, даже добропорядочные сайты иногда становятся жертвами взлома. Нередко злоумышленники используют такие сайты для распространения шифровальщиков и другого вредоносного ПО

Для защиты в таких ситуациях добавлен модуль антивирусной проверки трафика, который позволяет использовать плагин от Лаборатории Касперского, ClamAV или внешний антивирус, установленный на отдельном хосте

Антивирусный модуль от Лаборатории Касперского обладает богатой функциональностью, позволяя не только проверять http/https-трафик, но и удалять вирусные вложения из почтовых сообщений и даже сканировать веб-адреса по базе данных фишинга. Кроме локальной проверки можно включить Kaspersky Security Network — облачное сканирование на ресурсах Лаборатории Касперского, где применяются новейшие технологии распознавания вредоносного ПО