Une nouvelle vague d’attaques de ransomwares a déferlé sur le monde, faisant parmi les victimes les médias russes et les entreprises ukrainiennes. En Russie, Interfax a souffert du virus, mais l'attaque n'a touché qu'une partie de l'agence, puisque ses services informatiques ont réussi à arrêter une partie de l'infrastructure critique, a indiqué la société russe Group-IB dans un communiqué. Ils ont appelé le virus BadRabbit.

Le directeur adjoint de l'agence, Yuri Pogorely, a rendu compte sur sa page Facebook de l'attaque virale sans précédent contre Interfax. Deux employés d'Interfax ont confirmé à Vedomosti que les ordinateurs avaient été éteints. Selon l'un d'eux, l'écran visuellement bloqué est similaire au résultat des actions du célèbre virus Petya. Le virus qui a attaqué Interfax vous avertit de ne pas essayer de décrypter les fichiers vous-même et exige de payer une rançon de 0,05 bitcoin (285 dollars au tarif d'hier), pour laquelle il vous invite à un site spécial du réseau Tor. Le virus a attribué un code d'identification personnel à l'ordinateur crypté.

Outre Interfax, deux autres médias russes ont été touchés par le virus du cryptage, dont le journal de Saint-Pétersbourg Fontanka, comme le sait le groupe IB.

Le rédacteur en chef de Fontanka, Alexander Gorshkov, a déclaré à Vedomosti que les serveurs de Fontanka avaient été attaqués par des attaquants inconnus. Mais Gorshkov assure qu'il n'est pas question d'une attaque par un virus ransomware sur Fontanka : les ordinateurs de la rédaction fonctionnent, et le serveur chargé du fonctionnement du site a été piraté.

Les divisions d'Interfax au Royaume-Uni, en Azerbaïdjan, en Biélorussie et en Ukraine, ainsi que le site Internet Interfax-religion, continuent de fonctionner, a déclaré Pogorely à Vedomosti. On ne sait pas pourquoi les dégâts n'ont pas touché d'autres divisions ; cela est peut-être dû à la topologie du réseau Interfax, où se trouvent géographiquement les serveurs, et au système d'exploitation qui y est installé, dit-il.

Le journal ukrainien Interfax a fait état mardi après-midi d'une attaque de pirate informatique contre l'aéroport international d'Odessa. L'aéroport a présenté ses excuses aux passagers sur son site Internet « pour l'augmentation forcée du temps de service », mais à en juger par son tableau de bord en ligne, il a quand même continué à envoyer et à recevoir des avions mardi.

Le métro de Kiev a également signalé la cyberattaque sur son compte Facebook – il y avait des problèmes pour payer les voyages avec des cartes bancaires. Front News a rapporté que le métro avait été attaqué par un virus de cryptage.

Le Groupe-IB conclut à l'existence d'une nouvelle épidémie. Ces derniers mois, deux vagues d'attaques de ransomwares ont déjà déferlé sur le monde : le 12 mai, le virus WannaCry est apparu, et le 27 juin, le virus Petya (également connu sous les noms de NotPetya et ExPetr). Ils ont pénétré dans des ordinateurs équipés du système d'exploitation Windows sur lesquels aucune mise à jour n'était installée, ont crypté le contenu des disques durs et ont exigé 300 $ pour le décryptage. Il s’est avéré plus tard que Petya n’avait même pas pensé à décrypter les ordinateurs des victimes. La première attaque a touché des centaines de milliers d’ordinateurs dans plus de 150 pays, la seconde a touché 12 500 ordinateurs dans 65 pays. Les Russes ont également été victimes des attaques. Mégaphone », Évraz , « Gazprom" Et " Rosneft" Les centres médicaux In vitro ont également souffert du virus, car ils n’ont pas accepté les tests des patients pendant plusieurs jours.

Petya n'a réussi à collecter que 18 000 dollars en près d'un mois et demi, mais les dégâts ont été incomparablement plus importants. L'une des victimes, le géant danois de la logistique Moller-Maersk, a estimé la perte de revenus due à la cyberattaque entre 200 et 300 millions de dollars.

Parmi les divisions de Moller-Maersk, le coup principal est tombé sur Maersk Line, spécialisée dans le transport maritime de conteneurs (en 2016, Maersk Line a gagné un total de 20,7 milliards de dollars, la division emploie 31 900 personnes).

Les entreprises se sont rapidement remises de l’attaque, mais les entreprises et les régulateurs sont restés prudents. Ainsi, en août, les directeurs de ses succursales ont été avertis d'une possible cyberattaque de chiffreur par la Federal Grid Company UES (qui gère le réseau électrique panrusse), et quelques jours plus tard les banques russes ont reçu un avertissement similaire de la part de FinCERT (le Structure de la Banque Centrale traitant de la cybersécurité).

La nouvelle attaque du virus de cryptage a également été remarquée par Kaspersky Lab, selon lequel la plupart des victimes de l'attaque se trouvent en Russie, mais il y a des infections en Ukraine, en Turquie et en Allemagne. Tous les signes indiquent qu'il s'agit d'une attaque ciblée contre les réseaux d'entreprise, explique Vyacheslav Zakorzhevsky, chef du département de recherche antivirus de Kaspersky Lab : des méthodes similaires aux outils ExPetr sont utilisées, mais aucun lien avec ce virus ne peut être retracé.

Et selon la société antivirus Eset, le ransomware est toujours un parent de Petya. L'attaque a utilisé le malware Diskcoder.D, une nouvelle modification du chiffreur.

Pogorely a déclaré que l'antivirus Symantec était installé sur les ordinateurs Interfax. Les représentants de Symantec n'ont pas répondu hier à la demande de Vedomosti.

15/05/2017, lundi, 13h33, heure de Moscou , Texte : Pavel Pritula

L'autre jour, l'une des cyberattaques les plus importantes et les plus « bruyantes », à en juger par la presse, a eu lieu en Russie : les réseaux de plusieurs départements et des plus grandes organisations, dont le ministère de l'Intérieur, ont été attaqués par des attaquants. Le virus a crypté les données sur les ordinateurs des employés et leur a extorqué une grosse somme d'argent afin qu'ils puissent continuer leur travail. C’est un exemple clair que personne n’est à l’abri des ransomwares. Cependant, cette menace peut être combattue - nous montrerons plusieurs méthodes proposées par Microsoft.

Que savons-nous des ransomwares ? Il semble que ce soient des criminels qui vous demandent de l'argent ou des choses sous la menace de conséquences néfastes. Cela arrive de temps en temps dans les affaires et tout le monde a une idée générale de ce qu'il faut faire dans de telles situations. Mais que faire si un virus ransomware s’est installé sur vos ordinateurs de travail, bloque l’accès à vos données et vous demande de transférer de l’argent à certaines personnes en échange d’un code de déverrouillage ? Vous devez contacter des spécialistes de la sécurité de l'information. Et il est préférable de le faire à l’avance pour éviter les problèmes.

Le nombre de cybercriminalités a augmenté d’un ordre de grandeur ces dernières années. La moitié des entreprises des principaux pays européens ont été attaquées par des ransomwares, et plus de 80 % d'entre elles ont été ciblées trois fois ou plus, selon une étude SentinelOne. Une situation similaire est observée partout dans le monde. Clearswift, une société spécialisée dans la sécurité de l'information, cite une sorte de « top » des pays les plus touchés par les ransomwares – les ransomwares : les États-Unis, la Russie, l'Allemagne, le Japon, le Royaume-Uni et l'Italie. Les petites et moyennes entreprises intéressent particulièrement les attaquants car elles disposent de plus d’argent et de données plus sensibles que les particuliers, et ne disposent pas des services de sécurité puissants des grandes entreprises.

Que faire et surtout, comment prévenir une attaque de ransomware ? Tout d’abord, évaluons la menace elle-même. L'attaque peut être menée de plusieurs manières. L’un des plus courants est le courrier électronique. Les criminels utilisent activement des méthodes d'ingénierie sociale, dont l'efficacité n'a pas du tout diminué depuis l'époque du célèbre hacker du 20e siècle, Kevin Mitnick. Ils peuvent appeler un employé de l'entreprise victime au nom d'une contrepartie réelle et, après la conversation, envoyer un e-mail avec une pièce jointe contenant un fichier malveillant. Bien entendu, l’employé l’ouvrira car il vient de parler au téléphone avec l’expéditeur. Ou encore, un comptable peut recevoir une lettre prétendant provenir du service d'huissier ou de la banque qui dessert son entreprise. Personne n'est à l'abri, et ce n'est pas la première fois que même le ministère de l'Intérieur en souffre : il y a quelques mois, des pirates ont envoyé une fausse facture de Rostelecom au service comptable de la direction de la ligne Kazan du ministère de l'Intérieur avec un virus de cryptage qui a bloqué le travail du système comptable.

La source de l'infection peut être un site de phishing auquel l'utilisateur a accédé via un lien frauduleux, ou une clé USB « accidentellement oubliée » par l'un des visiteurs du bureau. De plus en plus souvent, les infections surviennent via les appareils mobiles non protégés des employés, à partir desquels ils accèdent aux ressources de l'entreprise. Et l’antivirus peut ne pas fonctionner : on connaît des centaines de logiciels malveillants qui contournent les antivirus, sans parler des « attaques zero-day » qui exploitent les « failles » nouvellement découvertes dans le logiciel.

Qu’est-ce qu’un « cyber-ransomware » ?

Le programme, connu sous le nom de ransomware, ransomware ou ransomware, bloque l'accès de l'utilisateur au système d'exploitation et crypte généralement toutes les données du disque dur. Un message s'affiche à l'écran indiquant que l'ordinateur est verrouillé et que le propriétaire est obligé de transférer une grosse somme d'argent à l'attaquant s'il souhaite reprendre le contrôle des données. Le plus souvent, un compte à rebours de 2-3 jours est affiché à l'écran afin que l'utilisateur se dépêche, sinon le contenu du disque sera détruit. Selon les appétits des criminels et la taille de l'entreprise, le montant des rançons en Russie varie de plusieurs dizaines à plusieurs centaines de milliers de roubles.

Types de rançongiciels

Source : Microsoft, 2017

Ces malwares sont connus depuis de nombreuses années, mais ces deux ou trois dernières années, ils ont connu un véritable essor. Pourquoi? Premièrement, parce que les gens paient les attaquants. Selon Kaspersky Lab, 15 % des entreprises russes ainsi attaquées choisissent de payer la rançon, et 2/3 des entreprises dans le monde soumises à une telle attaque ont perdu tout ou partie de leurs données d'entreprise.

Deuxièmement, les outils des cybercriminels sont devenus plus sophistiqués et accessibles. Et troisièmement, les tentatives indépendantes de la victime pour « deviner le mot de passe » ne se terminent pas bien, et la police parvient rarement à retrouver les criminels, surtout pendant le compte à rebours.

D'ailleurs. Tous les pirates ne passent pas leur temps à donner le mot de passe à la victime qui leur a transféré la somme requise.

Quel est le problème commercial

Le principal problème dans le domaine de la sécurité de l'information pour les petites et moyennes entreprises en Russie est qu'elles n'ont pas d'argent pour de puissants outils spécialisés de sécurité de l'information, mais il existe plus qu'assez de systèmes informatiques et d'employés avec lesquels divers types d'incidents peuvent survenir. . Pour lutter contre les ransomwares, il ne suffit pas de configurer uniquement un pare-feu, un antivirus et des politiques de sécurité. Vous devez utiliser tous les outils disponibles, principalement ceux fournis par le fournisseur du système d'exploitation, car ils sont peu coûteux (ou inclus dans le coût du système d'exploitation) et 100 % compatibles avec son propre logiciel.

La grande majorité des ordinateurs clients et une partie importante des serveurs exécutent Microsoft Windows. Tout le monde connaît les outils de sécurité intégrés, tels que Windows Defender et Windows Firewall, qui, associés aux dernières mises à jour du système d'exploitation et aux restrictions des droits des utilisateurs, offrent un niveau de sécurité tout à fait suffisant pour l'employé moyen en l'absence d'outils spécialisés.

Mais la particularité de la relation entre entreprises et cybercriminels est que les premiers ignorent souvent qu’ils sont attaqués par les seconds. Ils se croient protégés, mais en réalité, les logiciels malveillants ont déjà pénétré le périmètre du réseau et font discrètement leur travail. Après tout, ils ne se comportent pas tous aussi effrontément que les chevaux de Troie rançongiciels.

Microsoft a changé son approche de la sécurité : il a désormais élargi sa gamme de produits de sécurité de l'information et se concentre également non seulement sur la maximisation de la protection des entreprises contre les attaques modernes, mais également sur la possibilité d'enquêter sur celles-ci en cas d'infection.

Protection du courrier

Le système de messagerie, principal canal permettant aux menaces de pénétrer dans le réseau de l'entreprise, doit être davantage protégé. Pour ce faire, Microsoft a développé le système Exchange ATP (Advanced Treat Protection), qui analyse les pièces jointes aux e-mails ou les liens Internet et répond rapidement aux attaques détectées. Il s'agit d'un produit distinct, il s'intègre à Microsoft Exchange et ne nécessite pas de déploiement sur chaque ordinateur client.

Exchange ATP peut même détecter les attaques Zero Day car il exécute toutes les pièces jointes dans un bac à sable sans les transmettre au système d'exploitation et analyse leur comportement. Si elle ne contient aucun signe d’attaque, la pièce jointe est considérée comme sûre et l’utilisateur peut l’ouvrir. Un fichier potentiellement malveillant est envoyé en quarantaine et l'administrateur en est informé.

Quant aux liens dans les lettres, ils sont également vérifiés. Exchange ATP remplace tous les liens par des liens intermédiaires. L'utilisateur clique sur le lien dans la lettre, accède à un lien intermédiaire et, à ce moment, le système vérifie l'adresse pour des raisons de sécurité. La vérification est si rapide que l'utilisateur ne remarque pas le retard. Si un lien mène vers un site ou un fichier infecté, il est interdit de cliquer dessus.

Comment fonctionne Exchange ATP

Source : Microsoft, 2017

Pourquoi la vérification a-t-elle lieu au moment du clic, et non à la réception d'une lettre - car il y a alors plus de temps pour la recherche et, par conséquent, moins de puissance de calcul sera nécessaire ? Cela a été fait spécifiquement pour se protéger contre l’astuce des pirates informatiques consistant à remplacer le contenu via un lien. Un exemple typique : une lettre arrive dans la boîte aux lettres la nuit, le système vérifie et ne trouve rien, et le matin, un fichier contenant un cheval de Troie, par exemple, est déjà publié sur le site via ce lien, que l'utilisateur télécharge avec succès.

Et la troisième partie du service Exchange ATP est le système de reporting intégré. Il vous permet d'enquêter sur les incidents survenus et fournit des données pour répondre aux questions : quand l'infection s'est produite, comment et où s'est-elle produite. Cela vous permet de trouver la source, de déterminer les dégâts et de comprendre s'il s'agit d'un coup accidentel ou d'une attaque délibérée et ciblée contre cette entreprise.

Ce système est également utile pour la prévention. Par exemple, un administrateur peut établir des statistiques sur le nombre de clics effectués sur des liens marqués comme dangereux et sur les utilisateurs qui l'ont fait. Même si aucune infection n’a eu lieu, un travail de sensibilisation reste à mener auprès de ces salariés.

Certes, il existe des catégories d'employés dont les responsabilités professionnelles les obligent à visiter une variété de sites - comme, par exemple, les spécialistes du marketing qui étudient le marché. Pour eux, les technologies Microsoft permettent de configurer une politique afin que tous les fichiers téléchargés soient vérifiés dans le bac à sable avant d'être enregistrés sur l'ordinateur. De plus, les règles se définissent littéralement en quelques clics.

Protection des informations d'identification

L’une des cibles des attaques cybercriminelles concerne les identifiants des utilisateurs. Il existe de nombreuses technologies permettant de voler les identifiants et les mots de passe des utilisateurs, et elles doivent être contrées par une protection renforcée. Il y a peu d'espoir pour les employés eux-mêmes : ils inventent des mots de passe simples, utilisent un mot de passe pour accéder à toutes les ressources et les notent sur un post-it qu'ils collent sur le moniteur. Cela peut être combattu par des mesures administratives et en définissant par programmation des exigences en matière de mot de passe, mais l'effet ne sera toujours pas garanti.

Si une entreprise se soucie de la sécurité, elle différencie les droits d'accès et, par exemple, un ingénieur ou un directeur commercial ne peut pas accéder au serveur de comptabilité. Mais les pirates ont encore un tour dans leur sac : ils peuvent envoyer une lettre depuis le compte capturé d'un employé ordinaire à un spécialiste ciblé qui dispose des informations nécessaires (données financières ou secrets commerciaux). Ayant reçu une lettre d'un « collègue », le destinataire va absolument l'ouvrir et lancer la pièce jointe. Et le ransomware aura accès à des données précieuses pour l'entreprise, pour lesquelles l'entreprise peut payer beaucoup d'argent.

Pour garantir qu'un compte capturé ne donne pas la possibilité aux attaquants de pénétrer dans un système d'entreprise, Microsoft propose de le protéger avec Azure Multifactor Authentication. Autrement dit, pour vous connecter, vous devez saisir non seulement une paire login/mot de passe, mais également un code PIN envoyé par SMS, une notification Push générée par une application mobile ou répondre à un appel téléphonique du robot. L'authentification multifacteur est particulièrement utile lorsque vous travaillez avec des employés distants qui peuvent se connecter au système de l'entreprise depuis différentes parties du monde.

Authentification multifacteur Azure

Il poursuit sa progression oppressive sur Internet, infectant les ordinateurs et cryptant des données importantes. Comment vous protéger contre les ransomwares, protéger Windows contre les ransomwares - des correctifs ont-ils été publiés pour décrypter et désinfecter les fichiers ?

Nouveau virus ransomware 2017 Wanna Cry continue d’infecter les PC d’entreprise et privés. U Les dégâts causés par une attaque virale s'élèvent à 1 milliard de dollars. En 2 semaines, le virus ransomware a infecté au moins 300 mille ordinateurs, malgré les avertissements et les mesures de sécurité.

Virus Ransomware 2017, qu’est-ce que c’est ?- en règle générale, vous pouvez « récupérer » sur les sites apparemment les plus inoffensifs, par exemple les serveurs bancaires avec accès utilisateur. Une fois sur le disque dur de la victime, le ransomware « s’installe » dans le dossier système System32. À partir de là, le programme désactive immédiatement l'antivirus et va dans "Autorun"" Après chaque redémarrage, un ransomware court dans le registre, commençant son sale boulot. Le ransomware commence à télécharger des copies similaires de programmes comme Ransom et Trojan. Cela arrive aussi souvent auto-réplication du ransomware. Ce processus peut être momentané ou prendre des semaines avant que la victime ne remarque que quelque chose ne va pas.

Le ransomware se déguise souvent en images ou en fichiers texte ordinaires., mais l'essence est toujours la même - il s'agit d'un fichier exécutable avec l'extension .exe, .drv, .xvd; Parfois - bibliothèques.dll. Le plus souvent, le fichier porte un nom totalement anodin, par exemple « document. doc", ou " image.jpg", où l'extension est écrite manuellement, et le vrai type de fichier est masqué.

Une fois le cryptage terminé, l'utilisateur voit, au lieu des fichiers familiers, un ensemble de caractères « aléatoires » dans le nom et à l'intérieur, et l'extension devient une extension auparavant inconnue - .NO_MORE_RANSOM, .xdata et d'autres.

Virus ransomware Wanna Cry 2017 – comment vous protéger. Je voudrais immédiatement noter que Wanna Cry est plutôt un terme collectif désignant tous les virus de cryptage et de ransomware, car récemment, il a infecté le plus souvent les ordinateurs. Alors, nous parlerons de Protégez-vous des ransomwares Ransom Ware, qui sont très nombreux : Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Comment protéger Windows contre les ransomwares. – EternalBlue via le protocole de port SMB.

Protéger Windows contre les ransomwares 2017 – règles de base :

• Mise à jour Windows, transition rapide vers un système d'exploitation sous licence (remarque : la version XP n'est pas mise à jour)
• mise à jour des bases antivirus et des pare-feu à la demande
• une extrême prudence lors du téléchargement de fichiers (de jolis « sceaux » peuvent entraîner la perte de toutes les données)
• Sauvegarde des informations importantes sur un support amovible.

Virus Ransomware 2017 : comment désinfecter et décrypter les fichiers.

En vous appuyant sur un logiciel antivirus, vous pouvez oublier le décrypteur pendant un moment. Dans les laboratoires Kaspersky, Dr. Web, Avast! et d'autres antivirus pour l'instant aucune solution pour traiter les fichiers infectés n'a été trouvée. À l'heure actuelle, il est possible de supprimer le virus à l'aide d'un antivirus, mais il n'existe pas encore d'algorithmes permettant de tout ramener « à la normale ».

Certains essaient d'utiliser des décrypteurs comme l'utilitaire RectorDecryptor, mais cela n'aidera pas : un algorithme pour décrypter les nouveaux virus n'a pas encore été compilé. On ne sait absolument pas non plus comment le virus se comportera s'il n'est pas supprimé après l'utilisation de tels programmes. Souvent, cela peut entraîner l'effacement de tous les fichiers - pour avertir ceux qui ne veulent pas payer les attaquants, les auteurs du virus.

À l'heure actuelle, le moyen le plus efficace de récupérer les données perdues est de contacter le support technique. l'assistance du fournisseur du programme antivirus que vous utilisez. Pour ce faire, vous devez envoyer une lettre ou utiliser le formulaire de commentaires sur le site Web du fabricant. Assurez-vous d'ajouter le fichier crypté à la pièce jointe et, si disponible, une copie de l'original. Cela aidera les programmeurs à composer l'algorithme. Malheureusement, pour beaucoup, une attaque de virus est une surprise totale et aucune copie n'est trouvée, ce qui complique grandement la situation.

Méthodes cardiaques pour traiter Windows contre les ransomwares. Malheureusement, il faut parfois recourir à un formatage complet du disque dur, ce qui implique un changement complet de système d'exploitation. Beaucoup penseront à restaurer le système, mais ce n'est pas une option - même un « rollback » éliminera le virus, mais les fichiers resteront toujours cryptés.

WannaCry, Petya, Mischa et autres virus ransomware ne vous menaceront pas si vous suivez des recommandations simples pour prévenir l'infection du PC !

La semaine dernière, l’Internet tout entier a été secoué par l’annonce d’un nouveau virus de chiffrement. Cela a provoqué une épidémie bien plus importante dans de nombreux pays du monde que le tristement célèbre WannaCry, dont la vague s'est produite en mai de cette année. Le nouveau virus porte de nombreux noms : Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, mais le plus souvent il apparaît simplement sous le nom de Petya.

Les attaques se poursuivent cette semaine. Même notre bureau a reçu une lettre astucieusement déguisée en mise à jour logicielle mythique ! Heureusement, personne n'a pensé à ouvrir l'archive envoyée sans moi :) Par conséquent, je voudrais consacrer l'article d'aujourd'hui à la question de savoir comment protéger votre ordinateur contre les virus ransomware et ne pas devenir victime de Petya ou d'un autre crypteur.

Que font les virus ransomwares ?

Les premiers virus ransomware sont apparus au début des années 2000. Beaucoup de ceux qui ont utilisé Internet au fil des années se souviennent probablement de Trojan.WinLock. Il bloquait le démarrage de l'ordinateur et, pour recevoir un code de déverrouillage, nécessitait le transfert d'un certain montant vers un portefeuille WebMoney ou un compte de téléphone mobile :

Les premiers bloqueurs de Windows étaient plutôt inoffensifs. Leur fenêtre avec le texte sur la nécessité de transférer des fonds dans un premier temps pourrait simplement être « clouée » via le gestionnaire de tâches. Puis sont apparues des versions plus complexes du cheval de Troie, qui apportaient des modifications au niveau du registre et même du MBR. Mais même cela pourrait être « guéri » si vous saviez quoi faire.

Les virus ransomware modernes sont devenus des choses très dangereuses. Ils bloquent non seulement le fonctionnement du système, mais chiffrent également le contenu du disque dur (y compris l'enregistrement de démarrage principal MBR). Pour déverrouiller le système et décrypter les fichiers, les attaquants facturent désormais des frais en BitCoins, équivalents à un montant de 200 à 1 000 dollars américains ! De plus, même si vous transférez les fonds convenus vers le portefeuille spécifié, cela ne garantit pas du tout que les pirates informatiques le feront. je vous envoie la clé de déverrouillage.

Le point important est qu'aujourd'hui, il n'existe pratiquement aucun moyen efficace de se débarrasser du virus et de récupérer vos fichiers. Par conséquent, à mon avis, il est préférable de ne pas se laisser prendre à toutes sortes d'astuces au départ et de protéger votre ordinateur de manière plus ou moins fiable contre les attaques potentielles.

Comment éviter d'être victime du virus

Les virus Ransomware se propagent généralement de deux manières. Le premier exploite divers Vulnérabilités techniques de Windows. Par exemple, WannaCry a utilisé l'exploit EternalBlue, qui permettait d'accéder à un ordinateur via le protocole SMB. Et le nouveau chiffreur Petya peut pénétrer dans le système via les ports TCP ouverts 1024-1035, 135 et 445. Une méthode d'infection plus courante est Hameçonnage. En termes simples, les utilisateurs eux-mêmes infectent leur PC en ouvrant des fichiers malveillants envoyés par mail !

Protection technique contre les virus de chiffrement

Bien que les infections directes par des virus ne soient pas si fréquentes, elles surviennent. Il est donc préférable de remédier de manière proactive aux failles de sécurité potentielles déjà connues. Tout d'abord, vous devez mettre à jour votre antivirus ou l'installer (par exemple, le logiciel gratuit 360 ​​Total Security fait un bon travail en reconnaissant les virus ransomware). Deuxièmement, assurez-vous d'installer les dernières mises à jour Windows.

Ainsi, pour éliminer un bug potentiellement dangereux dans le protocole SMB, Microsoft a publié des mises à jour extraordinaires pour tous les systèmes, à commencer par Windows XP. Vous pouvez les télécharger pour la version de votre système d'exploitation.

Pour vous protéger contre Petya, il est recommandé de fermer un certain nombre de ports sur votre ordinateur. Le moyen le plus simple de procéder consiste à utiliser la norme pare-feu. Ouvrez-le dans le Panneau de configuration et sélectionnez la section dans la barre latérale "Options supplémentaires". La fenêtre de gestion des règles de filtrage s'ouvrira. Sélectionner "Règles pour les connexions entrantes" et sur le côté droit, cliquez "Créer une règle". Un assistant spécial s'ouvrira dans lequel vous devrez créer une règle "Pour le port", puis sélectionnez l'option "Ports locaux spécifiques" et écris ce qui suit : 1024-1035, 135, 445 :

Après avoir ajouté la liste des ports, définissez l'option sur l'écran suivant "Bloquer la connexion" pour tous les profils et spécifiez un nom (description facultative) pour la nouvelle règle. Si vous croyez aux recommandations sur Internet, cela empêchera le virus de télécharger les fichiers dont il a besoin même s'il pénètre sur votre ordinateur.

De plus, si vous résidez en Ukraine et utilisez le logiciel de comptabilité Me.Doc, vous pouvez installer des mises à jour contenant des portes dérobées. Ces portes dérobées ont été utilisées pour infecter des ordinateurs à grande échelle avec le virus Petya.A. Parmi celles analysées aujourd’hui, au moins trois mises à jour présentant des failles de sécurité sont connues :

• 10.01.175-10.01.176 du 14 avril ;
• 10.01.180-10.01.181 à partir du 15 mai ;
• 10.01.188-10.01.189 à partir du 22 juin.

Si vous avez installé ces mises à jour, vous courez un risque !

Protection contre le phishing

Comme nous l’avons déjà mentionné, le facteur humain reste responsable de la plupart des infections. Les pirates informatiques et les spammeurs ont lancé une campagne de phishing à grande échelle dans le monde entier. Dans ce cadre, des courriels ont été envoyés, prétendument en provenance d'organisations officielles, avec diverses pièces jointes présentées comme des factures, des mises à jour de logiciels ou d'autres données « importantes ». Il suffisait à l'utilisateur d'ouvrir un fichier malveillant déguisé et il a installé un virus sur l'ordinateur qui a crypté toutes les données !

Comment distinguer un e-mail de phishing d'un véritable e-mail. C'est assez facile à faire si vous suivez le bon sens et les recommandations suivantes :

1. De qui est la lettre? Tout d'abord, nous prêtons attention à l'expéditeur. Les hackers peuvent signer une lettre même avec le nom de votre grand-mère ! Il y a cependant un point important. Vous devez connaître l'e-mail de la « grand-mère », et l'adresse de l'expéditeur d'un e-mail de phishing sera, en règle générale, constituée d'un ensemble de caractères indéfini. Quelque chose comme: " [email protégé]". Et une autre nuance : le nom de l'expéditeur et son adresse, s'il s'agit d'une lettre officielle, sont généralement en corrélation. Par exemple, un e-mail d'une certaine société « Pupkin and Co » peut ressembler à " [email protégé]", mais il est peu probable qu'il ressemble à " [email protégé]" :)
2. De quoi parle la lettre? En règle générale, les e-mails de phishing contiennent une sorte d’appel à l’action ou une suggestion d’action dans la ligne d’objet. Dans ce cas, le corps de la lettre ne dit généralement rien ou fournit une motivation supplémentaire pour ouvrir les fichiers joints. Les mots « URGENT ! », « Facture pour services » ou « Mise à jour critique » dans les lettres d'expéditeurs inconnus peuvent être un exemple clair qu'ils tentent de vous pirater. Pensez logiquement ! Si vous n'avez demandé aucune facture, mise à jour ou autre document à une entreprise en particulier, il y a 99 % de probabilité qu'il s'agisse d'un phishing...
3. Qu'y a-t-il dans la lettre ? L’élément principal d’un e-mail de phishing réside dans ses pièces jointes. Le type de pièce jointe le plus évident serait un fichier EXE contenant une fausse « mise à jour » ou « programme ». De tels investissements sont une contrefaçon assez grossière, mais ils existent.

   Des moyens plus « élégants » de tromper l’utilisateur consistent à déguiser le script qui télécharge le virus en document Excel ou Word. Le masquage peut être de deux types. Dans la première option, le script lui-même est présenté comme un document bureautique et peut être reconnu par la « double » extension de nom, par exemple « Facture ». .xls.js" ou " Reprendre .doc.vbs". Dans le second cas, la pièce jointe peut être constituée de deux fichiers : un document réel et un fichier avec un script appelé comme macro à partir d'un document bureautique Word ou Excel.

   Dans tous les cas, vous ne devez pas ouvrir de tels documents, même si « l’expéditeur » vous le demande fortement ! Même si soudain parmi vos clients il y a quelqu'un qui pourrait théoriquement vous envoyer une lettre avec un contenu similaire, mieux vaut prendre la peine de le contacter directement et savoir s'il vous a envoyé des documents. Dans ce cas, des mouvements corporels supplémentaires peuvent vous éviter des tracas inutiles !

Je pense que si vous comblez toutes les lacunes techniques de votre ordinateur et ne succombez pas aux provocations des spammeurs, alors vous n'aurez peur d'aucun virus !

Comment récupérer des fichiers après une infection

Et pourtant, vous avez réussi à infecter votre ordinateur avec un virus de chiffrement... N'ÉTEIGNEZ JAMAIS VOTRE PC APRÈS L'APPARITION DU MESSAGE DE CHIFFREMENT !!!

Le fait est qu'en raison d'un certain nombre d'erreurs dans le code des virus eux-mêmes, avant de redémarrer l'ordinateur, il est possible de supprimer de la mémoire la clé nécessaire pour décrypter les fichiers ! Par exemple, pour obtenir la clé de décryptage WannaCry, l'utilitaire wannakiwi convient. Hélas, il n'existe pas de telles solutions pour récupérer des fichiers après une attaque Petya, mais vous pouvez essayer de les extraire à partir de clichés instantanés de données (si vous avez activé l'option pour les créer sur une partition du disque dur) à l'aide du programme miniature ShadowExplorer :

Si vous avez déjà redémarré votre ordinateur ou si les conseils ci-dessus ne vous ont pas aidé, vous ne pouvez récupérer des fichiers qu'à l'aide de programmes de récupération de données. En règle générale, les virus de cryptage fonctionnent selon le schéma suivant : ils créent une copie cryptée d'un fichier et suppriment l'original sans l'écraser. Autrement dit, seule l'étiquette du fichier est réellement supprimée et les données elles-mêmes sont enregistrées et peuvent être restaurées. Il existe deux programmes sur notre site Internet : il est plus adapté à la réanimation de fichiers multimédias et de photos, tandis que R.Saver s'adapte bien aux documents et archives.

Naturellement, vous devez supprimer le virus lui-même du système. Si Windows démarre, Malwarebytes Anti-Malware est un bon outil pour cela. Si un virus a bloqué le téléchargement, le disque de démarrage Dr.Web LiveCD avec un utilitaire éprouvé pour lutter contre divers logiciels malveillants Dr.Web CureIt intégré vous aidera. Dans ce dernier cas, vous devrez également commencer à restaurer le MBR. Étant donné que le LiveCD de Dr.Web est basé sur Linux, je pense que les instructions de Habr sur ce sujet vous seront utiles.

conclusions

Le problème des virus sous Windows est d'actualité depuis de nombreuses années. Et chaque année, nous constatons que les auteurs de virus inventent des méthodes de plus en plus sophistiquées pour endommager les ordinateurs des utilisateurs. Les dernières épidémies de virus de chiffrement nous montrent que les attaquants se tournent progressivement vers l'extorsion active !

Malheureusement, même si vous payez, il est peu probable que vous receviez une réponse. Très probablement, vous devrez restaurer vos données vous-même. Il vaut donc mieux être vigilant à temps et prévenir l'infection que de passer longtemps à essayer d'éliminer ses conséquences !

P.S. L'autorisation est accordée de copier et de citer librement cet article, à condition qu'un lien actif ouvert vers la source soit indiqué et que la paternité de Ruslan Tertyshny soit préservée.

Le nouveau malware ransomware WannaCry (qui porte également plusieurs autres noms - WannaCry Decryptor, WannaCrypt, WCry et WanaCrypt0r 2.0) s'est fait connaître dans le monde entier le 12 mai 2017, lorsque les fichiers des ordinateurs de plusieurs établissements de santé au Royaume-Uni ont été cryptés. . Comme il est vite devenu évident que des entreprises de dizaines de pays se sont retrouvées dans une situation similaire, la Russie, l’Ukraine, l’Inde et Taiwan étant les plus touchées. Selon Kaspersky Lab, dès le premier jour de l’attaque, le virus a été détecté dans 74 pays.

Pourquoi WannaCry est-il dangereux ? Le virus crypte différents types de fichiers (en utilisant l'extension .WCRY, ce qui rend les fichiers complètement illisibles) puis demande une rançon de 600 $ pour le décryptage. Pour accélérer la procédure de transfert d'argent, l'utilisateur est intimidé par le fait que dans trois jours le montant de la rançon augmentera, et après sept jours, les fichiers ne seront plus déchiffrables.

Les ordinateurs exécutant les systèmes d'exploitation Windows risquent d'être infectés par le virus ransomware WannaCry. Si vous utilisez des versions sous licence de Windows et mettez régulièrement à jour votre système, vous n'avez pas à vous soucier d'un virus pénétrant votre système de cette façon.

Les utilisateurs de MacOS, ChromeOS et Linux, ainsi que des systèmes d'exploitation mobiles iOS et Android, ne devraient pas du tout avoir peur des attaques WannaCry.

Que faire si vous êtes victime de WannaCry ?

La National Crime Agency (NCA) du Royaume-Uni recommande aux petites entreprises victimes de ransomware et préoccupées par la propagation du virus en ligne de prendre les mesures suivantes :

• Isolez immédiatement votre ordinateur, ordinateur portable ou tablette de votre réseau d'entreprise/interne. Désactivez le Wi-Fi.
• Changez de pilote.
• Sans vous connecter à un réseau Wi-Fi, connectez votre ordinateur directement à Internet.
• Mettez à jour votre système d'exploitation et tous les autres logiciels.
• Mettez à jour et exécutez votre logiciel antivirus.
• Reconnectez-vous au réseau.
• Surveillez le trafic réseau et/ou exécutez une analyse antivirus pour vous assurer que le ransomware a disparu.

Important!

Les fichiers cryptés par le virus WannaCry ne peuvent être déchiffrés par personne, à l'exception des attaquants. Par conséquent, ne perdez pas de temps et d’argent avec ces « génies informatiques » qui promettent de vous épargner ce casse-tête.

Vaut-il la peine de payer de l’argent aux attaquants ?

Les premières questions posées par les utilisateurs confrontés au nouveau virus ransomware WannaCry sont : comment récupérer des fichiers et comment supprimer un virus. Ne trouvant pas de solutions gratuites et efficaces, ils se retrouvent confrontés à un choix : verser de l'argent à l'extorsion ou non ? Étant donné que les utilisateurs ont souvent quelque chose à perdre (les documents personnels et les archives photo sont stockés sur l'ordinateur), le désir de résoudre le problème de l'argent se pose réellement.

Mais la NCA exhorte vivement Pasverser de l'argent. Si vous décidez de le faire, gardez les points suivants à l’esprit :

• Premièrement, rien ne garantit que vous aurez accès à vos données.
• Deuxièmement, votre ordinateur peut toujours être infecté par un virus même après le paiement.
• Troisièmement, vous donnerez probablement simplement votre argent aux cybercriminels.

Comment se protéger de WannaCry ?

Vyacheslav Belashov, chef du département de mise en œuvre des systèmes de sécurité de l'information chez SKB Kontur, explique les mesures à prendre pour prévenir l'infection par le virus :

La particularité du virus WannaCry est qu’il peut pénétrer dans un système sans intervention humaine, contrairement aux autres virus de chiffrement. Auparavant, pour que le virus agisse, il fallait que l'utilisateur soit inattentif - qu'il suive un lien douteux provenant d'un e-mail qui ne lui était pas réellement destiné ou qu'il télécharge une pièce jointe malveillante. Dans le cas de WannaCry, une vulnérabilité qui existe directement dans le système d'exploitation lui-même est exploitée. Par conséquent, les ordinateurs Windows qui n’ont pas installé les mises à jour du 14 mars 2017 étaient les plus exposés. Un seul poste de travail infecté sur le réseau local suffit pour que le virus se propage à d'autres postes présentant des vulnérabilités existantes.

Les utilisateurs touchés par le virus se posent naturellement une question principale : comment décrypter leurs informations ? Malheureusement, il n’existe pas encore de solution garantie et il est peu probable qu’elle soit prévisible. Même après avoir payé le montant spécifié, le problème n'est pas résolu. De plus, la situation peut être aggravée par le fait qu'une personne, dans l'espoir de récupérer ses données, risque d'utiliser des décrypteurs soi-disant « gratuits », qui sont en réalité aussi des fichiers malveillants. Par conséquent, le principal conseil que l’on peut donner est d’être prudent et de faire tout son possible pour éviter une telle situation.

Que peut-on et doit-on faire exactement à l’heure actuelle :

1. Installez les dernières mises à jour.

Cela s'applique non seulement aux systèmes d'exploitation, mais également aux outils de protection antivirus. Des informations sur la mise à jour de Windows peuvent être trouvées ici.

2. Faites des copies de sauvegarde des informations importantes.

3. Soyez prudent lorsque vous travaillez avec le courrier et Internet.

Vous devez faire attention aux e-mails entrants contenant des liens et des pièces jointes douteux. Pour travailler avec Internet, il est recommandé d'utiliser des plugins qui vous permettent de vous débarrasser des publicités inutiles et des liens vers des sources potentiellement malveillantes.