Le nouveau malware ransomware WannaCry (qui porte également plusieurs autres noms - WannaCry Decryptor, WannaCrypt, WCry et WanaCrypt0r 2.0) s'est fait connaître dans le monde entier le 12 mai 2017, lorsque les fichiers des ordinateurs de plusieurs établissements de santé au Royaume-Uni ont été cryptés. . Comme il est vite devenu évident que des entreprises de dizaines de pays se sont retrouvées dans une situation similaire, la Russie, l’Ukraine, l’Inde et Taiwan étant les plus touchées. Selon Kaspersky Lab, dès le premier jour de l’attaque, le virus a été détecté dans 74 pays.

Pourquoi WannaCry est-il dangereux ? Le virus crypte différents types de fichiers (en utilisant l'extension .WCRY, ce qui rend les fichiers complètement illisibles) puis demande une rançon de 600 $ pour le décryptage. Pour accélérer la procédure de transfert d'argent, l'utilisateur est intimidé par le fait que dans trois jours le montant de la rançon augmentera, et après sept jours, les fichiers ne seront plus déchiffrables.

Les ordinateurs exécutant les systèmes d'exploitation Windows risquent d'être infectés par le virus ransomware WannaCry. Si vous utilisez des versions sous licence de Windows et mettez régulièrement à jour votre système, vous n'avez pas à vous soucier d'un virus pénétrant votre système de cette façon.

Les utilisateurs de MacOS, ChromeOS et Linux, ainsi que des systèmes d'exploitation mobiles iOS et Android, ne devraient pas du tout avoir peur des attaques WannaCry.

Que faire si vous êtes victime de WannaCry ?

La National Crime Agency (NCA) du Royaume-Uni recommande aux petites entreprises victimes de ransomware et préoccupées par la propagation du virus en ligne de prendre les mesures suivantes :

• Isolez immédiatement votre ordinateur, ordinateur portable ou tablette de votre réseau d'entreprise/interne. Désactivez le Wi-Fi.
• Changez de pilote.
• Sans vous connecter à un réseau Wi-Fi, connectez votre ordinateur directement à Internet.
• Mettez à jour votre système d'exploitation et tous les autres logiciels.
• Mettez à jour et exécutez votre logiciel antivirus.
• Reconnectez-vous au réseau.
• Surveillez le trafic réseau et/ou exécutez une analyse antivirus pour vous assurer que le ransomware a disparu.

Important!

Les fichiers cryptés par le virus WannaCry ne peuvent être déchiffrés par personne, à l'exception des attaquants. Par conséquent, ne perdez pas de temps et d’argent avec ces « génies informatiques » qui promettent de vous épargner ce casse-tête.

Vaut-il la peine de payer de l’argent aux attaquants ?

Les premières questions posées par les utilisateurs confrontés au nouveau virus ransomware WannaCry sont : comment récupérer des fichiers et comment supprimer un virus. Ne trouvant pas de solutions gratuites et efficaces, ils se retrouvent confrontés à un choix : verser de l'argent à l'extorsion ou non ? Étant donné que les utilisateurs ont souvent quelque chose à perdre (les documents personnels et les archives photo sont stockés sur l'ordinateur), le désir de résoudre le problème de l'argent se pose réellement.

Mais la NCA exhorte vivement Pasverser de l'argent. Si vous décidez de le faire, gardez les points suivants à l’esprit :

• Premièrement, rien ne garantit que vous aurez accès à vos données.
• Deuxièmement, votre ordinateur peut toujours être infecté par un virus même après le paiement.
• Troisièmement, vous donnerez probablement simplement votre argent aux cybercriminels.

Comment se protéger de WannaCry ?

Vyacheslav Belashov, chef du département de mise en œuvre des systèmes de sécurité de l'information chez SKB Kontur, explique les mesures à prendre pour prévenir l'infection par le virus :

La particularité du virus WannaCry est qu’il peut pénétrer dans un système sans intervention humaine, contrairement aux autres virus de chiffrement. Auparavant, pour que le virus agisse, il fallait que l'utilisateur soit inattentif - qu'il suive un lien douteux provenant d'un e-mail qui ne lui était pas réellement destiné ou qu'il télécharge une pièce jointe malveillante. Dans le cas de WannaCry, une vulnérabilité qui existe directement dans le système d'exploitation lui-même est exploitée. Par conséquent, les ordinateurs Windows qui n’ont pas installé les mises à jour du 14 mars 2017 étaient les plus exposés. Un seul poste de travail infecté sur le réseau local suffit pour que le virus se propage à d'autres postes présentant des vulnérabilités existantes.

Les utilisateurs touchés par le virus se posent naturellement une question principale : comment décrypter leurs informations ? Malheureusement, il n’existe pas encore de solution garantie et il est peu probable qu’elle soit prévisible. Même après avoir payé le montant spécifié, le problème n'est pas résolu. De plus, la situation peut être aggravée par le fait qu'une personne, dans l'espoir de récupérer ses données, risque d'utiliser des décrypteurs soi-disant « gratuits », qui sont en réalité aussi des fichiers malveillants. Par conséquent, le principal conseil que l’on peut donner est d’être prudent et de faire tout son possible pour éviter une telle situation.

Que peut-on et doit-on faire exactement à l’heure actuelle :

1. Installez les dernières mises à jour.

Cela s'applique non seulement aux systèmes d'exploitation, mais également aux outils de protection antivirus. Des informations sur la mise à jour de Windows peuvent être trouvées ici.

2. Faites des copies de sauvegarde des informations importantes.

3. Soyez prudent lorsque vous travaillez avec le courrier et Internet.

Vous devez faire attention aux e-mails entrants contenant des liens et des pièces jointes douteux. Pour travailler avec Internet, il est recommandé d'utiliser des plugins qui vous permettent de vous débarrasser des publicités inutiles et des liens vers des sources potentiellement malveillantes.

Le monde de la cybercriminalité évolue de la quantité vers la qualité : il y a moins de nouveaux malwares, mais leur complexité augmente. Les agences de renseignement de l'État se sont jointes à la course à la technologie des hackers, ce qui a été confirmé par le plus grand incident de 2016-2017 lié à la fuite de cyberarmes de la NSA. Il a fallu quelques jours aux pirates pour utiliser les développements des services secrets accessibles au public à des fins frauduleuses. Des incidents de cybersécurité très médiatisés ont attiré l'attention sur la question de la protection des données, et le marché mondial de la sécurité de l'information continue de croître à un rythme rapide.

À l’heure actuelle, la croissance de la cybercriminalité en général n’est pas aussi importante qu’elle l’était entre 2007 et 2010. « Au cours de cette période, le nombre de programmes malveillants créés a véritablement augmenté de façon exponentielle, des centaines et des milliers de fois plus élevé que les années précédentes. Ces dernières années, nous avons atteint un plateau et les chiffres annuels des trois dernières années sont restés stables », déclare Youri Namestnikov, directeur du centre de recherche russe Kaspersky Lab. "Dans le même temps, plusieurs processus intéressants sont observés à la fois, qui ensemble donnent une idée de la plus grande ampleur des actions des hackers", note l'interlocuteur de CNews.

Parmi les tendances de 2016-2017 Tout d’abord, il convient de noter qu’il y a eu une augmentation significative du nombre d’attaques « parrainées par l’État » visant à l’espionnage ou à des dommages critiques aux infrastructures. Dans le domaine de la cybercriminalité traditionnelle, les plus développées sont les attaques ciblées complexes contre les grandes entreprises et les institutions financières, qui sont développées en tenant compte du paysage unique de l'infrastructure informatique d'une organisation particulière. De plus, les programmes rançongiciels qui exigent une rançon pour décrypter les données sont très populaires parmi les attaquants. « Pris ensemble, ces processus donnent une idée de la plus grande portée des actions des pirates », commente Yuri Namestnikov.

Une fuite de la NSA a conduit à une épidémie

Parmi les événements dans le domaine de la sécurité de l'information, le scandale lié à l'ingérence des pirates informatiques dans les élections américaines a tout d'abord retenu l'attention. Le marché de la sécurité de l'information est influencé non seulement par l'économie, mais aussi par la situation géopolitique du monde, selon Ilya Chetvertnev, directeur technique adjoint de la société Informzashchita : « Un exemple frappant a été la récente élection présidentielle américaine, qui a montré à quel point le piratage des systèmes d'information peut affecter l'ensemble du pays. C’est pourquoi, à l’heure actuelle, les infrastructures critiques des entreprises destinées à l’espionnage industriel ont été ajoutées aux cibles classiques des attaques.»

De plus, en 2016, des hackers du groupe Shadow Brokers ont volé des outils secrets de piratage de réseaux informatiques à la NSA (National Security Agency) américaine, et la source de la fuite est toujours . Certains développements ont été rendus publics, ce qui a entraîné de tristes conséquences. En mai 2017, une épidémie du ver malveillant WannaCry a éclaté, qui s'est propagée à l'aide de l'exploit EternalBlue développé par la NSA, qui exploite une vulnérabilité jusqu'alors inconnue du système d'exploitation Windows. WannaCry crypte les données sur l'ordinateur infecté et exige une rançon en crypto-monnaie. Au total, des centaines de milliers d’ordinateurs dans le monde ont été infectés.

Manque d’hygiène numérique

Selon Maxima Filippova, directeur du développement commercial chez Positive Technologies en Russie, après la publication d'un nouvel exploit, il ne s'écoule que 2-3 jours avant qu'il ne soit utilisé par des cybercriminels : « Après la fuite des archives de la NSA, de nombreuses personnes ont adopté les techniques et tactiques publiées, et par conséquent, ils seront utilisés plus souvent et modifiés par les attaquants, notamment pour « couvrir » plus efficacement leurs traces.

« Les attaquants se concentrent désormais moins sur les vulnérabilités des applications que sur les vulnérabilités des systèmes d'exploitation », commente le directeur technique de la société Security Code. Dmitri Zryachikh. – Les informations sur ces vulnérabilités sont obtenues par les agences de renseignement, puis divulguées sur le marché libre. De plus, le problème persiste même après la publication des mises à jour du logiciel de base : trois mois avant l'épidémie de WannaCry, Microsoft avait publié un correctif qui empêchait l'infection, mais malgré cela, WannaCry a infecté plus de 500 000 ordinateurs dans le monde.

Le problème est que de nombreux utilisateurs ignorent les mises à jour et ne les installent pas à temps. Directeur du centre de sécurité de l'information "Jet Infosystems" Alexeï Grishine constate l'impact négatif du facteur humain : « Les entreprises oublient souvent la sécurité de base, ce qu'on appelle l'hygiène numérique : gestion des mises à jour et des vulnérabilités, protection antivirus, minimisation des droits des utilisateurs, gestion raisonnable des droits d'accès, etc. Même les systèmes de sécurité les plus récents ne peuvent pas vous sauver dans de telles conditions.

De plus, les entreprises modernes ne parviennent pas toujours à organiser correctement les droits d'accès de certains utilisateurs. « Les accès non contrôlés par des utilisateurs privilégiés (tant internes qu'externes : sous-traitants, services supports, auditeurs, etc.) peuvent entraîner de graves conséquences. Les clients ont partagé des cas où leurs infrastructures étaient pratiquement hors de leur contrôle en raison de la toute-puissance des entrepreneurs et du manque d'organisation adéquate de leur travail », explique Oleg Chabourov, Responsable du Département Cybersécurité du groupe de sociétés Softline.

Boom des ransomwares

WannaCry n'est pas le seul ransomware à avoir gagné en popularité en 2016 et 2017. Auparavant, les utilitaires malveillants Petya et BadRabbit, qui cryptaient également les données sur un PC et exigeaient une rançon en Bitcoin pour y accéder, se sont répandus. Dans le même temps, les attaques utilisant BadRabbit étaient plus ciblées, touchant principalement les ordinateurs des infrastructures en Ukraine.

Selon Kaspersky Lab, au cours de l'année écoulée, 32 % des entreprises russes ont été attaquées par des ransomwares et 37 % d'entre elles ont chiffré d'importantes quantités de données. 31 % des entreprises ont perdu toutes leurs données précieuses ou n'ont pas pu restaurer l'accès à une partie importante de celles-ci. Et 15 % des entreprises interrogées ont choisi de payer la rançon (même si cela ne garantit pas la restitution des fichiers). "Le principal problème actuel des chiffreurs et des ransomwares est que les victimes acceptent souvent de payer les attaquants parce qu'elles ne voient pas d'autre moyen de retrouver l'accès à leurs précieuses données", commente Yuri Namestnikov.

Les investissements dans la sécurité de l’information augmentent

Les dernières années et demie à deux ont été riches en incidents dans le domaine de la sécurité de l'information, qui ont contribué à la croissance des investissements dans la protection des systèmes d'information. Selon IDC, d'ici fin 2017, les revenus mondiaux provenant de la fourniture de produits de sécurité de l'information augmenteront de 8,2 % pour atteindre 81,7 milliards de dollars. Les analystes de Gartner fournissent des chiffres similaires : ils prévoient une augmentation de 7 % pour atteindre 86,4 milliards de dollars d'ici la fin de l'année. . Dans le même temps, le segment de la sécurité de l'information se développe plus rapidement que le marché informatique dans son ensemble : selon Gartner, les dépenses mondiales en informatique fin 2017 n'augmenteront que de 2,4 %. Le marché russe démontre une dynamique similaire : selon le classement CNews Security, fin 2016, les livraisons nationales de sécurité de l'information ont augmenté de 8 % en dollars et de 18 %.

Volume du marché mondial de la sécurité de l'information en 2016 et prévisions pour 2017, en$ milliard

Il poursuit sa progression oppressive sur Internet, infectant les ordinateurs et cryptant des données importantes. Comment vous protéger contre les ransomwares, protéger Windows contre les ransomwares - des correctifs ont-ils été publiés pour décrypter et désinfecter les fichiers ?

Nouveau virus ransomware 2017 Wanna Cry continue d’infecter les PC d’entreprise et privés. U Les dégâts causés par une attaque virale s'élèvent à 1 milliard de dollars. En 2 semaines, le virus ransomware a infecté au moins 300 mille ordinateurs, malgré les avertissements et les mesures de sécurité.

Virus Ransomware 2017, qu’est-ce que c’est ?- en règle générale, vous pouvez « récupérer » sur les sites apparemment les plus inoffensifs, par exemple les serveurs bancaires avec accès utilisateur. Une fois sur le disque dur de la victime, le ransomware « s’installe » dans le dossier système System32. À partir de là, le programme désactive immédiatement l'antivirus et va dans "Autorun"" Après chaque redémarrage, un ransomware court dans le registre, commençant son sale boulot. Le ransomware commence à télécharger des copies similaires de programmes comme Ransom et Trojan. Cela arrive aussi souvent auto-réplication du ransomware. Ce processus peut être momentané ou prendre des semaines avant que la victime ne remarque que quelque chose ne va pas.

Le ransomware se déguise souvent en images ou en fichiers texte ordinaires., mais l'essence est toujours la même - il s'agit d'un fichier exécutable avec l'extension .exe, .drv, .xvd; Parfois - bibliothèques.dll. Le plus souvent, le fichier porte un nom totalement anodin, par exemple « document. doc", ou " image.jpg", où l'extension est écrite manuellement, et le vrai type de fichier est masqué.

Une fois le cryptage terminé, l'utilisateur voit, au lieu des fichiers familiers, un ensemble de caractères « aléatoires » dans le nom et à l'intérieur, et l'extension devient une extension auparavant inconnue - .NO_MORE_RANSOM, .xdata et d'autres.

Virus ransomware Wanna Cry 2017 – comment vous protéger. Je voudrais immédiatement noter que Wanna Cry est plutôt un terme collectif désignant tous les virus de cryptage et de ransomware, car récemment, il a infecté le plus souvent les ordinateurs. Alors, nous parlerons de Protégez-vous des ransomwares Ransom Ware, qui sont très nombreux : Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Comment protéger Windows contre les ransomwares. – EternalBlue via le protocole de port SMB.

Protéger Windows contre les ransomwares 2017 – règles de base :

• Mise à jour Windows, transition rapide vers un système d'exploitation sous licence (remarque : la version XP n'est pas mise à jour)
• mise à jour des bases antivirus et des pare-feu à la demande
• une extrême prudence lors du téléchargement de fichiers (de jolis « sceaux » peuvent entraîner la perte de toutes les données)
• Sauvegarde des informations importantes sur un support amovible.

Virus Ransomware 2017 : comment désinfecter et décrypter les fichiers.

En vous appuyant sur un logiciel antivirus, vous pouvez oublier le décrypteur pendant un moment. Dans les laboratoires Kaspersky, Dr. Web, Avast! et d'autres antivirus pour l'instant aucune solution pour traiter les fichiers infectés n'a été trouvée. À l'heure actuelle, il est possible de supprimer le virus à l'aide d'un antivirus, mais il n'existe pas encore d'algorithmes permettant de tout ramener « à la normale ».

Certains essaient d'utiliser des décrypteurs comme l'utilitaire RectorDecryptor, mais cela n'aidera pas : un algorithme pour décrypter les nouveaux virus n'a pas encore été compilé. On ne sait absolument pas non plus comment le virus se comportera s'il n'est pas supprimé après l'utilisation de tels programmes. Souvent, cela peut entraîner l'effacement de tous les fichiers - pour avertir ceux qui ne veulent pas payer les attaquants, les auteurs du virus.

À l'heure actuelle, le moyen le plus efficace de récupérer les données perdues est de contacter le support technique. l'assistance du fournisseur du programme antivirus que vous utilisez. Pour ce faire, vous devez envoyer une lettre ou utiliser le formulaire de commentaires sur le site Web du fabricant. Assurez-vous d'ajouter le fichier crypté à la pièce jointe et, si disponible, une copie de l'original. Cela aidera les programmeurs à composer l'algorithme. Malheureusement, pour beaucoup, une attaque de virus est une surprise totale et aucune copie n'est trouvée, ce qui complique grandement la situation.

Méthodes cardiaques pour traiter Windows contre les ransomwares. Malheureusement, il faut parfois recourir à un formatage complet du disque dur, ce qui implique un changement complet de système d'exploitation. Beaucoup penseront à restaurer le système, mais ce n'est pas une option - même un « rollback » éliminera le virus, mais les fichiers resteront toujours cryptés.

En bref : pour protéger les données contre les virus ransomware, vous pouvez utiliser un disque crypté basé sur un conteneur cryptographique, dont une copie doit être conservée dans le stockage cloud.

• Une analyse des cryptolockers a montré qu'ils chiffrent uniquement les documents et que le conteneur de fichiers du disque crypté n'intéresse pas les cryptolockers.
• Les fichiers contenus dans un tel conteneur cryptographique sont inaccessibles au virus lorsque le disque est déconnecté.
• Et comme le disque crypté n'est activé qu'au moment où il est nécessaire de travailler avec des fichiers, il y a une forte probabilité que le cryptolocker n'ait pas le temps de le crypter ou se révèle avant ce moment.
• Même si un cryptolocker crypte les fichiers sur un tel disque, vous pouvez facilement restaurer une copie de sauvegarde du conteneur cryptographique du disque à partir du stockage cloud, qui est automatiquement créée tous les 3 jours ou plus souvent.
• Le stockage d'une copie d'un conteneur de disque dans le stockage cloud est sûr et simple. Les données contenues dans le conteneur sont cryptées de manière sécurisée, ce qui signifie que Google ou Dropbox ne pourront pas y accéder. Étant donné que le conteneur cryptographique est un seul fichier, lorsque vous le téléchargez sur le cloud, vous téléchargez en fait tous les fichiers et dossiers qui s'y trouvent.
• Un conteneur cryptographique peut être protégé non seulement par un mot de passe long, mais également par une clé électronique telle que le rutoken avec un mot de passe très fort.

Les virus ransomware tels que Locky, TeslaCrypt, CryptoLocker et WannaCry cryptolocker sont conçus pour extorquer de l'argent aux propriétaires d'ordinateurs infectés, c'est pourquoi ils sont également appelés « ransomware ». Après avoir infecté un ordinateur, le virus crypte les fichiers de tous les programmes connus (doc, pdf, jpg...) puis extorque de l'argent pour les décrypter. La partie lésée devra très probablement payer quelques centaines de dollars pour décrypter les fichiers, puisque c'est le seul moyen de récupérer les informations.

Si les informations coûtent très cher, la situation est désespérée et se complique du fait que le virus comporte un compte à rebours et est capable de s'autodétruire sans vous donner la possibilité de restituer les données si vous réfléchissez très longtemps.

Avantages du programme Rohos Disk Encryption pour protéger les informations contre les virus cryptographiques :

• Crée un conteneur Crypto pour une protection fiable des fichiers et des dossiers.
  Le principe du cryptage à la volée et un algorithme de cryptage puissant AES 256 bits sont utilisés.
• S'intègre à Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.
  Rohos Disk permet à ces services d'analyser périodiquement le conteneur cryptographique et de télécharger uniquement les modifications des données cryptées vers le cloud, grâce auquel le cloud stocke plusieurs révisions du disque cryptographique.
• L'utilitaire Rohos Disk Browser vous permet de travailler avec un disque cryptographique afin que d'autres programmes (y compris les virus) n'aient pas accès à ce disque.

Conteneur cryptographique Rohos Disk

Le programme Rohos Disk crée un conteneur cryptographique et une lettre de lecteur pour celui-ci sur le système. Vous travaillez avec un tel disque comme d'habitude, toutes les données qu'il contient sont automatiquement cryptées.

Lorsque le disque cryptographique est désactivé, il est inaccessible à tous les programmes, y compris les virus ransomware.

Intégration avec les stockages cloud

Le programme Rohos Disk vous permet de placer un conteneur cryptographique dans le dossier du service de stockage cloud et d'exécuter périodiquement le processus de synchronisation du conteneur cryptographique.

Services pris en charge : Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.

Si le disque cryptographique a été activé, qu'une infection virale s'est produite et que le virus a commencé à crypter les données sur le disque cryptographique, vous avez la possibilité de restaurer l'image du conteneur cryptographique à partir du cloud. Pour information - Google Drive et Dropbox sont capables de suivre les modifications des fichiers (révisions), de stocker uniquement les parties modifiées du fichier et vous permettent donc de restaurer l'une des versions du conteneur crypto du passé récent (généralement 30 à 60 jours selon sur l'espace libre sur Google Drive) .

Utilitaire Rohos Disk Browser

Rohos Disk Browser vous permet d'ouvrir un conteneur crypto en mode Explorateur sans rendre le disque disponible au niveau du pilote pour l'ensemble du système.

Avantages de cette approche :

• Les informations sur le disque sont affichées uniquement dans Rohos Disk Browser
• Aucune autre application ne peut accéder aux données sur le disque.
• L'utilisateur de Rohos Disk Browser peut ajouter un fichier ou un dossier, ouvrir un fichier et effectuer d'autres opérations.

Protection complète des données contre les logiciels malveillants :

• Les fichiers ne sont pas accessibles à d'autres programmes, y compris les composants Windows.