Стратегии защиты OneDrive от программ-вымогателей

Многие пользователи считают OneDrive хранилищем для облачного резервного копирования. Они склонны думать, что файлы, хранящиеся в OneDrive, невосприимчивы к потере и повреждению. Другими словами, некоторые считают, что файлы, хранящиеся в общедоступном облаке, не могут быть повреждены рансомваром, в отличие от файлов, хранящихся на дисковых накопителях локальных компьютеров и серверов на местах. Это не совсем так! Файлы, хранящиеся в OneDrive, могут быть атакованы рансомваром, зашифрованы и потеряны в результате.

Популярность атак рансомвара растет каждый год. Однако, если следовать рекомендациям и соблюдать политику безопасности, вы можете защитить свои данные, даже если храните их в OneDrive. В этом блоге описаны стратегии защиты данных в OneDrive и объясняется, как защититься от атак рансомвара.

О OneDrive и рансомваре

Может ли рансомвар заразить OneDrive? Да, файлы, хранящиеся на OneDrive, могут быть заражены и зашифрованы рансомваром в следующих случаях:

• OneDrive примонтирован к локальной папке на локальном компьютере, и файлы, хранящиеся в OneDrive, синхронизируются с соответствующей локальной папкой. Если локальный компьютер заражен рансомваром, рансомвар шифрует все доступные файлы, включая файлы, хранящиеся в папке, синхронизированной с OneDrive. В результате, если вы получите доступ к OneDrive через веб-интерфейс, вы увидите зашифрованные (другими словами, поврежденные) файлы. Рансомвар может начать шифрование OneDrive, а затем зашифровать другие диски и все доступные места хранения.
• Если злоумышленник получит ваши учетные данные, файлы, доступные из вашей учетной записи, могут быть зашифрованы рансомваром.
• Щелчок по фишинговым ссылкам вызывает загрузку и выполнение вирусов, вредоносных программ и вымогательского ПО на компьютере жертвы. Вымогательское ПО портит файлы, к которым оно получает доступ.
• Вредоносные дополнения и расширения, которые просят вас предоставить разрешения на доступ к OneDrive, опасны и могут быть точками входа для заражения вымогательским ПО. Внимательно читайте описание дополнений и расширений, и проверяйте поставщика перед их установкой.

Насколько безопасен OneDrive? Насколько безопасен OneDrive? Насколько безопасен OneDrive? Эти вопросы популярны среди новых пользователей Microsoft 365. OneDrive достаточно безопасен и надёжен. Тем не менее, вы должны знать, как защититься от атак вымогательского ПО, следовать рекомендациям по безопасности и знать, что делать, если вы видите, что OneDrive взломан. Microsoft представила новую встроенную функцию обнаружения вымогательского ПО, которая обнаруживает подозрительную активность, такую как массовые удаления или шифрование файлов, хранящихся в OneDrive. Пользователь получает уведомление с помощью сообщения на устройстве пользователя и по электронной почте. Также отображается список рекомендаций. Но то, что вам нужно, это избежать заражения файлов вымогательским ПО OneDrive. Прочтите, как защитить папки от вымогательского ПО, в следующем разделе этого сообщения в блоге.

Как защитить OneDrive от атак вымогательского ПО

В этом разделе я объясняю, как защититься от вымогательского ПО и определяю стратегии защиты от вымогательского ПО для OneDrive. Следуя этим рекомендациям, вы снижаете риск заражения вымогательским ПО и потери данных.

Защита учётных данных

Защитите учетные данные учетной записи администратора Microsoft 365. Воруя учетные данные администратора, злоумышленник может украсть и повредить все данные организации, хранящиеся в хранилище OneDrive (включая данные всех пользователей организации).

Защитите учетные данные пользователей. Взлом учетных записей пользователей позволяет злоумышленникам получить доступ к их личным данным и общим данным, распространять программное обеспечение-вымогателя и инфицировать файлы. Когда файлы, хранящиеся в общих папках OneDrive, заражены, другие пользователи, получающие доступ к общему хранилищу, также могут быть заражены.

Включите двухфакторную аутентификацию. Microsoft 365 поддерживает многофакторную аутентификацию. Этот дополнительный шаг безопасности может помочь пользователям защитить свои учетные записи от компрометации и кражи учетных данных. Рекомендуется использовать многофакторную аутентификацию или двухэтапную верификацию для защиты учетных записей Microsoft 365 с административными правами. Вот блог-пост о двухфакторной аутентификации для Microsoft 365.

Защитите каждый компьютер

Защитите компьютеры в вашей организации. Установите и настройте антивирусное и антималware-программное обеспечение. Следуя этому рекомендации, вы снижаете риск заражения компьютеров пользователей программным обеспечением-вымогателем и файлов, хранящихся в синхронизированных папках OneDrive на этих компьютерах (хранилище OneDrive сопоставлено с локальными папками). Не забывайте о серверах и виртуальных машинах.

Блокируйте выполнение файлов, хранящихся в %appdata%, %localappdata%. По умолчанию эти каталоги используются приложениями в Windows для хранения данных. Временные файлы и загруженные данные могут находиться там. Когда загружаются файлы вымогателя, их можно маскировать и скрывать в этих папках, а затем их можно выполнить.

Блокировать макросы в документах Microsoft Office. Макросы редко используются для деловых задач, но они являются серьезным источником проблем. Один из широко используемых методов заражения – распространение документов с вредоносными макросами, которые запускают атаку вымогателя для заражения компьютера, а затем распространяются по сети для заражения других компьютеров.

Обновляйте программное обеспечение и устанавливайте обновления безопасности, чтобы исправить известные уязвимости программного обеспечения, которые могут быть использованы вымогателями для проникновения и заражения системы. Вы можете включить автоматические обновления программного обеспечения для Windows и приложений. Если ваша конфигурация безопасности несовершенна, злоумышленники могут использовать необновленные уязвимости программного обеспечения для запуска атаки вымогателя. Поэтому важно устанавливать обновления.

Обучайте пользователей

Обучайте пользователей распознавать фишинговые атаки. Злоумышленники часто предполагают, что пользователи неопытны, и что они загружают все файлы, прикрепленные к электронным письмам, открывают файлы и переходят по всем ссылкам. Наша задача – информировать пользователей о угрозах и учить их распознавать подозрительный контент.

Самый популярный вектор атаки вымогательного программного обеспечения – отправка фишинговых электронных писем пользователям. Злоумышленники создают вредоносные ссылки, которые выглядят как легитимные, но перенаправляют пользователя на загрузку и установку вымогательного программного обеспечения. Наведите курсор на ссылку и проверьте правильность написания в адресной строке URL-адреса. Если хотя бы один символ неправильный, лучше не нажимать на ссылку. Адрес электронной почты отправителя, аналогично ссылкам, может быть подделан. Если вы не знаете отправителя и не хотите получать сообщения от него, лучше пропустить или отклонить письмо от этого отправителя. Не загружайте и не открывайте файлы, прикрепленные к электронным сообщениям. Помните о угрозе открытия документов Word/Excel с макросами.

Вредоносные ссылки в электронных сообщениях и фальшивые веб-страницы опасны. Злоумышленники могут создавать фальшивые страницы и отправлять ссылки на эти фальшивые страницы в электронных сообщениях. Фальшивая страница выглядит как оригинальная страница, но нажатие на элементы на странице или ввод учетных данных может привести к потере учетной записи или заражению вымогательным программным обеспечением.

Даже если адрес веб-сайта реален и легитимен, помните, что злоумышленники могут взломать веб-сайты и внедрить вредоносные инъекции на этот сайт. После посещения такого веб-сайта пользователь может быть заражен вымогательным программным обеспечением. Хорошее антивирусное программное обеспечение, которое обновлено, может предотвратить инфицирование в этом случае.

Злоумышленник может использовать методы социальной инженерии и метки вроде “срочно”, “важно” и т. д. в электронных сообщениях, чтобы поторопить жертву и отвлечь ее внимание от проверки содержимого. Будьте осторожны, когда получаете сообщения от Skype и других служб. Имейте в виду, что злоумышленник может взломать учетную запись пользователя и отправлять сообщения от имени этого пользователя. В этом случае учетная запись пользователя реальна, но ссылка или файл, отправленные с взломанного аккаунта, могут представлять угрозу.

Когда пользователи обучены распознавать подозрительный контент, риски атаки вымогателя через фишинговые электронные письма значительно снижаются. Всегда лучше предотвратить атаки вымогателя OneDrive, чем восстанавливать поврежденные файлы.

Используйте системы защиты почты

Используйте Exchange Online Protection. Этот встроенный инструмент Microsoft 365 позволяет настраивать дополнительные фильтры защиты, такие как фильтр безопасных ссылок и фильтр безопасных вложений.

Настройте антифишинговые политики. Exchange Online Protection может определить доверенных отправителей, подозрительных отправителей, прикрепленные файлы, представляющие угрозу, а также подделанные и вредоносные ссылки на зараженные сайты. Поддельные отправители и нежелательная электронная почта могут быть заблокированы в настройках.

Блокируйте активный контент в прикрепленных файлах, такие как макросы в документах Word/Excel, VBScript и JavaScript. Прочтите статью в блоге о Exchange Online Protection для получения дополнительной информации об этой функции.

Используйте системы облачной защиты

Включите Microsoft 365 Defender в вашей среде Microsoft 365. Microsoft 365 Defender – это новое название Office 365 Advanced Threat Protection (Microsoft Defender для Office 365). Эта функция помогает снизить риск заражения рансомваром для пользователей Microsoft 365 в вашей организации. Основные возможности Microsoft 365 Defender – это интеллектуальное обнаружение угроз, автоматизированное расследование и интегрированная защита от сложных атак рансомвара. Microsoft 365 Defender можно настроить в центре безопасности Microsoft 365. Когда пользователи обучены, и активировано интеллектуальное программное обеспечение, уровень защиты значительно выше.

Используйте версионирование

Включите версионирование (историю версий) в настройках OneDrive. Если рансомвар шифрует объекты, хранящиеся в OneDrive, шифруется только последняя версия файлов. Вы можете выбрать предыдущую версию файла и восстановить необходимые файлы. Не забывайте, что прежде чем перейти к восстановлению файлов, вы должны удалить рансомвар с зараженных компьютеров, чтобы избежать повторного шифрования файлов. Обратите внимание, что восстановление тысяч файлов путем восстановления предыдущих версий файлов занимает много времени, и наличие правильного резервного копирования OneDrive сэкономит вам время и ресурсы в этом случае. История версий OneDrive позволяет восстанавливать файлы, хранящиеся в OneDrive, к любой версии, измененной в течение последних 30 дней. Проверьте настройки удержания для удаленных (файлы, хранящиеся в корзине) для OneDrive.

Настройка политик сохранения. Политики сохранения Microsoft 365 определяют, сколько времени данные сохраняются после удаления, прежде чем эти данные будут удалены навсегда. Обратите внимание, что хранение сохранённых данных в облаке использует пространство для хранения, что может привести к дополнительным затратам.

Резервирование данных, сохранённых в OneDrive

Резервирование данных, сохранённых в OneDrive. Некоторые из вышеуказанных вариантов могут не быть доступны для всех планов подписки Microsoft 365 и, скорее всего, доступны только для высших планов подписки. Microsoft позволяет вам обратиться за поддержкой и восстановить все данные в облачном хранении Office 365 в течение двух недель после инцидента потери данных, но не существует варианта гибкой реcupерции и вы не можете выбрать необходимые объекты для восстановления.

Сохранять резервные копии в облаке или на месте в безопасном месте. Репозиторий резервных копий должен быть хорошо защищён и не shares с другими пользователями (он должен быть доступен только для резервного софта и администраторов).

Резервирование данных с помощью NAKIVO Backup & Replication.

Используйте NAKIVO Backup & Replication для защиты OneDrive. NAKIVO Backup & Replication поддерживает резервное копирование данных Microsoft 365, включая данные, хранящиеся в OneDrive, Exchange Online и SharePoint Online. Вы можете резервировать данные OneDrive и создавать до 4 000 точек восстановления, а затем восстанавливать необходимые версии файлов, используя эти точки восстановления. Детальное восстановление позволяет восстановить пользовательские файлы и папки в исходное местоположение или в пользовательское местоположение. Одна копия NAKIVO Backup & Replication может защищать тысячи учетных записей пользователей Office 365. Данные OneDrive резервируются на резервные репозитории, хранящиеся на локальных серверах. Конфигурация выполняется в интуитивном веб-интерфейсе.

Читайте больше блог-постов о восстановлении после вымогательского вируса, а также о атаках вымогательского вируса на устройства NAS, чтобы узнать больше о принципе работы и защите от вымогательских вирусов.

Как восстановить файлы OneDrive

Если ваши файлы были зашифрованы вымогательским вирусом, никогда не платите выкуп. Плата за выкуп стимулирует злоумышленников запускать больше атак, чтобы получить больше денег. Если вы заплатите выкуп, вы не имеете никаких гарантий, что ваши файлы будут восстановлены полностью или частично. Если вы понимаете, что ваши файлы OneDrive были зашифрованы после атаки вымогательского вируса, вы должны восстановить данные, используя встроенные инструменты Microsoft или из резервной копии с использованием стороннего программного обеспечения для защиты данных.

Прежде всего удалите программное обеспечение для выкупа данных, установленное на всех компьютерах в вашей организации. Если для учетных записей пользователей в вашей организации включены собственные функции Microsoft 365, восстановите файлы OneDrive из предыдущих версий или из корзины (включая вторую стадию корзины). Если есть резервная копия, восстановите данные из резервной копии.

Узнайте больше о резервном копировании и восстановлении OneDrive с помощью NAKIVO Backup & Replication в этом посте блога.

Заключение

Этот блог охватывает стратегии защиты OneDrive от атак программного обеспечения для выкупа данных и дает некоторые рекомендации высокого уровня, которые могут помочь вам предотвратить атаки программного обеспечения для выкупа данных на OneDrive. Вы должны защитить свои данные технически – настройте настройки безопасности для всего используемого программного обеспечения на всех компьютерах и настройте резервное копирование данных. Кроме того, вы должны обучить пользователей, как распознавать возможные попытки запуска атак программного обеспечения для выкупа данных, потому что злоумышленники часто используют один из нескольких методов для запуска атак программного обеспечения для выкупа данных на OneDrive через обычных пользователей.

Резервное копирование – самый надежный метод восстановления данных, если файлы вашего программного обеспечения для выкупа данных повреждаются. Используйте NAKIVO Backup & Replication для защиты ваших данных, хранящихся на OneDrive.