Статья написана по просьбе компании «Доктор Веб«
Как метко выразился однажды начальник германской тайной полиции Генрих Мюллер устами замечательного советского киноактера Леонида Броневого, «верить в наше время нельзя никому, порой даже самому себе». Уж сколько раз твердили миру: не доверяйте электронным сообщениям, присылаемым от имени арбитражного суда, ГИБДД, судебных приставов, Международного Гаагского трибунала и Комитета по борьбе с внеземными цивилизациями. Все эти учреждения (за исключением, пожалуй, последнего — они пользуются телепатической связью) предпочитают электронной почте обычную, бумажную.
И все равно регулярно находятся индивидуумы, чьи личные файлы оказываются зашифрованными троянцами-энкодерами, основные каналы распространения которых давно известны: либо пользователь запускает вредоносное приложение самостоятельно, получив его в виде вложения в сообщение e-mail, либо злодеи активируют его удаленно, подобрав пароль. А ведь в новостных публикациях множество раз повторялась одна и та же мысль: при регистрации учетных записей используйте сложные пароли, которые затруднительно получить простым перебором по словарю. Наша вирусная лаборатория ежедневно получает более 30 запросов от таких пострадавших, а это, поверьте, действительно много. Причем указанное количество жертв — лишь надводная часть айсберга: сколько несчастных пользователей, смирившись с потерей данных, попросту форматируют диск и переустанавливают систему, никому не сообщив о своей проблеме?
Вместе с тем, наиболее эффективный способ борьбы с троянцами-шифровальщиками очевиден: своевременное резервное копирование. Поэтому сегодня мы, пожалуй, поговорим именно об этом немаловажном аспекте информационной безопасности.
Очевидно, что копировать данные на тот же физический диск, где установлена операционная система, или даже на соседний логический раздел — занятие бессмысленное чуть менее чем полностью, поскольку современные энкодеры весьма хитры и коварны: запустившись на инфицированной машине, они радостно пошифруют все обнаруженные на локальных дисках архивы. Некоторые версии троянцев способны шифровать и содержимое сетевых дисков. Вывод прост, как диодный мост: копировать нужно на внешнее устройство или на другую машину, например, доступную в сетевом окружении. Лично у меня эта задача решена методом двухфакторного резервирования данных: ежесуточно наиболее актуальные файлы скидываются на сетевое дисковое хранилище, реализованное с использованием «бесшумной» платформы IntelAtomс пассивным охлаждением, а раз в неделю самое ценное из необходимого копируется на внешний жесткий диск. Казалось бы, такая схема обеспечивает весьма надежное хранение информации, однако тут отлаженный технологический процесс может быть нарушен вмешательством потусторонних сил, а именно, древнего и коварного божества по имени Впадлу, буквально нашептывающего в ухо пользователю: «да ладно, сегодня лень переносить файлы на другой диск, давай займемся этим когда-нибудь потом…». Самая большая неприятность заключается в том, что это самое «потом» может и не наступить вовсе.
Соответственно, напрашивается необходимость автоматизировать процесс. Как ни странно, проще всего эта задача решается в ОС Linux, если компьютер под управлением данной платформы используется в качестве файлового хранилища, причем решается она средствами самой ОС. Во-первых, линуксу энкодеры не страшны, во-вторых, в этой системе имеется чудесная штука под названием cron. Достаточно настроить расписание в crontab и подготовить скрипт, который будет монтировать сетевые папки, чье содержимое вы желаете добавить в резервную копию, собственно копировать и архивировать файлы, а затем размонтировать директории. Подобным способом можно бекапить даже файлы из облачных хранилищ, таких как Яндекс.Диск и Dropbox.
С «виндой» дела обстоят чуть сложнее. Безусловно, для Windows есть продвинутые, мощные (и, как правило, платные) системы резервного копирования, есть и бесплатные альтернативы, большая часть которых, увы, обладает ограниченным функционалом. Например, некоторые из них не умеют работать с локальной сетью, другие — использовать более одной папки для хранения копий, третьи — создавать несколько параллельных заданий. Счастливым исключением является, пожалуй, бесплатная программа Bacula, но она весьма нетривиальна в плане настроек. Однако есть в системе и штатные средства создания резервных копий.
Первое, о чем следует помнить пользователю Windows — настраивать резервное копирование с использованием локальной сети лучше не на самой рабочей станции (троянцы-энкодеры могут без труда зашифровать содержимое папок, подключенных в качестве сетевых дисков), а на файловом сервере. Увы, стандартная утилита «Архивация и восстановление» из комплекта поставки Windows 7 по какой-то удивительной причине умеет копировать данные в сетевую директорию, но не позволяет архивировать файлы из таковых. Да и копирование в сетевые папки работает не всегда стабильно: на моей практике утилита периодически не могла «достучаться» до локальной сети по совершенно непонятным причинам. В качестве выхода из этого положения можно использовать сочетание batch-файла и планировщика заданий для автоматизации подключения к сетевым папкам, копирования с них данных на файловый сервер и последующего отключения папок: в этой схеме «Центр архивации и восстановления» можно задействовать для создания дополнительной архивной копии ранее сохраненных на локальном диске файлов. Также можно настроить регулярное резервное копирование на рабочем хосте, а на сервер переносить уже готовый архив. Хорошо, если предыдущие резервные копии при этом не будут затираться — может сложиться ситуация, при которой в архив будут автоматически добавлены поврежденные файлы. В Windows 8 разработчики усовершенствовали механизм создания резервных копий, внедрив специальную технологию «История файла», позволяющую восстановить любую ревизию хранящихся на дисках файлов за любой временной период, причем даже из сетевых источников. Так что пользователи «восьмерки» лишены счастливой возможности устраивать по этому поводу пляски с бубном.
Как бы то ни было, резервное копирование — очень важный, но далеко не единственный способ обезопасить себя от действия вредоносных программ. Использование актуального антивирусного ПО, своевременная установка обновлений безопасности операционной системы, осторожность при работе с сообщениями электронной почты (особенно — полученными от подозрительного адресата и содержащими вложения) — не менее необходимые меры. И помните: верить в наше время нельзя никому, порой даже самому себе.