15.05.2017, Пн, 13:33, Мск , Текст: Павел Притула

На днях в России произошла одна из самых крупных и «шумных», судя по прессе, кибератак: нападению злоумышленников подверглись сети нескольких ведомств и крупнейших организаций, включая МВД. Вирус шифровал данные на компьютерах сотрудников и вымогал крупную сумму денег за то, чтобы они могли продолжить свою работу. Это наглядный пример того, что никто не застрахован от вымогателей. Тем не менее, с этой угрозой можно бороться – мы покажем несколько способов, которые предлагает Microsoft.

Что мы знаем о вымогателях? Вроде бы это преступники, которые требуют от вас деньги или вещи под угрозой наступления неблагоприятных последствий. В бизнесе такое время от времени случается, все примерно представляют, как нужно поступать в таких ситуациях. Но что делать, если вирус-вымогатель поселился на ваших рабочих компьютерах, блокирует доступ к вашим данным и требует перевести деньги определенным лицам в обмен на код разблокировки? Нужно обращаться к специалистам по информационной безопасности. И лучше всего сделать это заранее, чтобы не допустить проблем.

Число киберпреступлений в последние годы выросло на порядок. По данным исследования SentinelOne, половина компаний в крупнейших европейских странах подверглась атакам вирусов-вымогателей, причем более 80% из них стали жертвами три и более раз. Аналогичная картина наблюдается по всему миру. Специализирующаяся на информационной безопасности компания Clearswift называет своеобразный «топ» стран, более всего пострадавших от ransomware – программ-вымогателей: США, Россия, Германия, Япония, Великобритания и Италия. Особый интерес злоумышленников вызывают малый и средний бизнес, потому что у них больше денег и более чувствительные данные, чем у частных лиц, и нет мощных служб безопасности, как у крупных компаний.

Что делать и, главное, как предотвратить атаку вымогателей? Для начала оценим саму угрозу. Атака может проводиться несколькими путями. Один из самых распространенных – электронная почта. Преступники активно пользуются методами социальной инженерии, эффективность которой нисколько не снизилась со времен знаменитого хакера ХХ века Кевина Митника. Они могут позвонить сотруднику компании-жертвы от имени реально существующего контрагента и после беседы направить письмо с вложением, содержащим вредоносный файл. Сотрудник, конечно же, его откроет, потому что он только что говорил с отправителем по телефону. Или бухгалтер может получить письмо якобы от службы судебных приставов или от банка, в котором обслуживается его компания. Не застрахован никто, и даже МВД страдает не в первый раз: несколько месяцев назад хакеры прислали в бухгалтерию Казанского линейного управления МВД фальшивый счет от «Ростелекома» с вирусом-шифровальщиком, который заблокировал работу бухгалтерской системы.

Источником заражения может стать и фишинговый сайт, на который пользователь зашел по обманной ссылке, и «случайно забытая» кем-то из посетителей офиса флешка. Все чаще и чаще заражение происходит через незащищенные мобильные устройства сотрудников, с которых они получают доступ к корпоративным ресурсам. А антивирус может и не сработать: известны сотни вредоносных программ, обходящих антивирусы, не говоря уже об «атаках нулевого дня», эксплуатирующих только что открытые «дыры» в программном обеспечении.

Что представляет собой «кибервымогатель»?

Программа, известная как «вымогатель», «шифровальщик», ransomware блокирует доступ пользователя к операционной системе и обычно шифрует все данные на жестком диске. На экран выводится сообщение о том, что компьютер заблокирован и владелец обязан передать злоумышленнику крупную сумму денег, если хочет вернуть себе контроль над данными. Чаще всего на экране включается обратный отсчет за 2-3 суток, чтобы пользователь поспешил, иначе содержимое диска будет уничтожено. В зависимости от аппетитов преступников и размеров компании суммы выкупа в России составляют от нескольких десятков до нескольких сотен тысяч рублей.

Типы вымогателей

Источник: Microsoft, 2017

Эти зловреды известны уже много лет, но в последние два-три года они переживают настоящий расцвет. Почему? Во-первых, потому, что люди платят злоумышленникам. По данным «Лаборатории Касперского», 15% российских компаний, атакованных таким образом, предпочитают заплатить выкуп, а 2/3 компаний в мире, подвергшихся такой атаке, потеряли свои корпоративные данные полностью или частично.

Второе – инструментарий киберпреступников стал более совершенным и доступным. И третье – самостоятельные попытки жертвы «подобрать пароль» ничем хорошим не заканчиваются, а полиция редко может найти преступников, особенно за время обратного отсчета.

Кстати. Далеко не все хакеры тратят свое время на то, чтобы сообщить пароль жертве, перечислившей им требуемую сумму.

В чем проблема бизнеса

Главная проблема в области информационной безопасности у малого и среднего бизнеса в России состоит в том, что денег на мощные специализированные средства ИБ у них нет, а ИТ-систем и сотрудников, с которыми могут происходить разного рода инциденты, более, чем достаточно. Для борьбы с ransomwareнедостаточно иметь только настроенные фаервол, антивирус и политики безопасности. Нужно использовать все доступные средства, в первую очередь предоставляемые поставщиком операционной системы, потому что это недорого (или входит в стоимость ОС) и на 100% совместимо с его собственным ПО.

Подавляющее большинство клиентских компьютеров и значительная часть серверов работают под управлением ОС Microsoft Windows. Всем известны встроенные средства безопасности, такие, как «Защитник Windows» и «Брандмауэр Windows», которые вместе со свежими обновлениями ОС и ограничением прав пользователя обеспечивают вполне достаточный для рядового сотрудника уровень безопасности при отсутствии специализированных средств.

Но особенность взаимоотношений бизнеса и киберпреступников заключается в том, что первые часто не знают о том, что они атакованы вторыми. Они полагают себя защищенными, а на самом деле зловреды уже проникли через периметр сети и тихо делают свою работу – ведь не все из них ведут себя так нагло, как трояны-вымогатели.

Microsoft изменила подход к обеспечению безопасности: теперь она расширила линейку продуктов ИБ, а также делает акцент не только на том, чтобы максимально обезопасить компании от современных атак, но и на том, чтобы дать возможность расследовать их, если заражение все же произошло.

Защита почты

Почтовую систему как главный канал проникновения угроз в корпоративную сеть необходимо защитить дополнительно. Для этого Microsoft разработала систему Exchange ATP (Advanced Treat Protection), которая анализирует почтовые вложения или интернет-ссылки и своевременно реагирует на выявленные атаки. Это отдельный продукт, он интегрируется в Microsoft Exchange и не требует развертывания на каждой клиентской машине.

Система Exchange ATP способна обнаруживать даже «атаки нулевого дня», потому что запускает все вложения в специальной «песочнице», не выпуская их в операционную систему, и анализирует их поведение. Если оно не содержит признаков атаки, то вложение считается безопасным и пользователь может его открыть. А потенциально вредоносный файл отправляется в карантин и о нем оповещается администратор.

Что касается ссылок в письмах, то они тоже проверяются. Exchange ATP подменяет все ссылки на промежуточные. Пользователь кликает по линку в письме, попадает на промежуточную ссылку, и в этот момент система проверяет адрес на безопасность. Проверка происходит так быстро, что пользователь не замечает задержки. Если ссылка ведет на зараженный сайт или файл, переход по ней запрещается.

Как работает Exchange ATP

Источник: Microsoft, 2017

Почему проверка происходит в момент клика, а не при получении письма – ведь тогда на исследование есть больше времени и, следовательно, потребуются меньшие вычислительные мощности? Это сделано специально для защиты от трюка злоумышленников с подменой содержимого по ссылке. Типичный пример: письмо в почтовый ящик приходит ночью, система проводит проверку и ничего не обнаруживает, а к утру на сайте по этой ссылке уже размещен, например, файл с трояном, который пользователь благополучно скачивает.

И третья часть сервиса Exchange ATP – встроенная система отчетности. Она позволяет проводить расследования произошедших инцидентов и дает данные для ответов на вопросы: когда произошло заражение, как и где оно произошло. Это позволяет найти источник, определить ущерб и понять, что это было: случайное попадание или целенаправленная, таргетированная атака против этой компании.

Полезна эта система и для профилактики. Например, администратор может поднять статистику, сколько было переходов по ссылкам, помеченным как опасные, и кто из пользователей это делал. Даже если не произошло заражения, все равно с этими сотрудниками нужно провести разъяснительную работу.

Правда, есть категории сотрудников, которых должностные обязанности заставляют посещать самые разные сайты – таковы, например, маркетологи, исследующие рынок. Для них технологии Microsoft позволяют настроить политику так, что любые скачиваемые файлы перед сохранением на компьютере будут проверяться в «песочнице». Причем правила задаются буквально в несколько кликов.

Защита учетных данных

Одна из целей атак злоумышленников – учетные данные пользователей. Технологии краж логинов и паролей пользователей достаточно много, и им должна противостоять прочная защита. Надежд на самих сотрудников мало: они придумывают простые пароли, применяют один пароль для доступа на все ресурсы и записывают их на стикере, который приклеивают на монитор. С этим можно бороться административными мерами и задавая программно требования к паролям, но гарантированного эффекта все равно не будет.

Если в компании заботятся о безопасности, в ней разграничиваются права доступа, и, например, инженер или менеджер по продажам не может зайти на бухгалтерский сервер. Но в запасе у хакеров есть еще один трюк: они могут отправить с захваченного аккаунта рядового сотрудника письмо целевому специалисту, который владеет нужной информацией (финансовыми данными или коммерческой тайной). Получив письмо от «коллеги», адресат стопроцентно его откроет и запустит вложение. И программа-шифровальщик получит доступ к ценным для компании данным, за возврат которых компания может заплатить большие деньги.

Чтобы захваченная учетная запись не давала злоумышленникам возможности проникнуть в корпоративную систему, Microsoft предлагает защитить ее средствами многофакторной аутентификации Azure Multifactor Authentication. То есть для входа нужно ввести не только пару логин/пароль, но и ПИН-код, присланный в СМС, Push-уведомлении, сгенерированный мобильным приложением, или ответить роботу на телефонный звонок. Особенно полезна многофакторная аутентификация при работе с удаленными сотрудниками, которые могут заходить в корпоративную систему из разных точек мира.

Azure Multifactor Authentication

Продолжает свое угнетающее шествие по Сети, заражая компьютеры и шифруя важные данные. Как защититься от шифровальщика, защитить Windows от вымогателя – выпущены ли заплатки, патчи, чтобы расшифровать и вылечить файлы?

Новый вирус-шифровальщик 2017 Wanna Cry продолжает заражать корпоративные и частные ПК. Ущерб от вирусной атаки насчитывает 1 млрд долларов . За 2 недели вирус-шифровальщик заразил по меньшей мере 300 тысяч компьютеров , несмотря на предупреждения и меры безопасности.

Вирус-шифровальщик 2017, что это - как правило, можно «подцепить», казалось бы, на самых безобидных сайтах, например, банковских серверах с доступом пользователя. Попав на жесткий диск жертвы, шифровальщик «оседает» в системной папке System32 . Оттуда программа сразу отключает антивирус и попадает в «Автозапуск ». После каждой перезагрузки программа-шифровальщик запускается в реестр , начиная свое черное дело. Шифровальщик начинает скачивать себе подобные копии программ типа Ransom и Trojan . Также нередко происходит саморепликация шифровальщика . Процесс этот может быть сиюминутным, а может происходить неделями – до тех пор, пока жертва заметит неладное.

Шифровальщик часто маскируется под обычные картинки, текстовые файлы , но сущность всегда одна – это исполняемы файл с расширением.exe, .drv, .xvd ; иногда – библиотеки.dll . Чаще всего файл несет вполне безобидное имя, например «документ. doc », или «картинка.jpg », где расширение прописано вручную, а истинный тип файла скрыт .

После завершения шифровки пользователь видит вместо знакомых файлов набор «рандомных» символов в названии и внутри, а расширение меняется на доселе неизвестное - .NO_MORE_RANSOM, .xdata и другие.

Вирус-шифровальщик 2017 Wanna Cry – как защититься . Хотелось бы сразу отметить, что Wanna Cry – скорее собирательный термин всех вирусов шифровальщиков и вымогателей, так как за последнее время заражал компьютеры чаще всех. Итак, речь пойдет о защите от шифровальщиков Ransom Ware, коих великое множество: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry .

Как защитить Windows от шифровальщика. – EternalBlue через протокол SMB портов .

Защита Windows от шифровальщика 2017 – основные правила:

• обновление Windows, своевременный переход на лицензионную ОС (примечание: версия XP не обновляется)
• обновление антивирусных баз и файрволлов по требованию
• предельная внимательность при скачивании любых файлов (милые «котики» могут обернуться потерей всех данных)
• резервное копирование важной информации на сменный носитель.

Вирус-шифровальщик 2017: как вылечить и расшифровать файлы.

Надеясь на антивирусное ПО, можно забыть о дешифраторе на некоторое время . В лабораториях Касперского, Dr. Web, Avast! и других антивирусов пока не найдено решение по лечению зараженных файлов . На данный момент есть возможность удалить вирус с помощью антивируса, но алгоритмов вернуть все «на круги своя» пока нет.

Некоторые пытаются применить дешифраторы типа утилиты RectorDecryptor , но это не поможет: алгоритм для дешифровки новых вирусов пока не составлен . Также абсолютно неизвестно, каким образом поведет себя вирус, если он не удален, после применения таких программ. Часто это может обернуться стиранием всех файлов – в назидание тем, кто не хочет платить злоумышленникам, авторам вируса.

На данный момент самым эффективным способом вернуть потерянные данные – это обращение в тех. поддержку поставщика антивирусной программы, которую вы используете . Для этого следует отправить письмо, либо воспользоваться формой для обратной связи на сайте производителя. Во вложение обязательно добавить зашифрованный файл и, если таковая имеется – копия оригинала. Это поможет программистам в составлении алгоритма. К сожалению, для многих вирусная атака становится полной неожиданностью, и копий не находится, что в разы осложняет ситуацию.

Кардиальные методы лечения Windows от шифровальщика . К сожалению, иногда приходится прибегать к полному форматированию винчестера, что влечет за собой полную смену ОС. Многим придет в голову восстановление системы, но это не выход – даже есть «откат» позволит избавиться от вируса, то файлы все равно останутся зашированными.

Facebook

Twitter

VK

Odnoklassniki

Telegram

Естествознание

Вирус-шифровальщик WannaCry: что делать?

По всему миру прокатилась волна нового вируса-шифровальщика WannaCry (другие названия Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), который зашифровывает документы на компьютере и вымогает 300-600 USD за их декодирование. Как узнать, заражен ли компьютер? Что надо сделать, чтобы не стать жертвой? И что сделать, чтобы вылечиться?

Заражен ли компьютер вирусом-шифровальщиком Wana Decryptor?

После установки обновлений, компьютер надо будет перегрузить – теперь шифровальщик вирус к вам не проникнет.

Как вылечится от вируса-шифровальщика Wana Decrypt0r?

Когда антивирусная утилита обнаружит вирус, она либо удалит его сразу, либо спросит у вас: лечить или нет? Ответ – лечить.

Как восстановить зашифрованные Wana Decryptor файлы?

Ничего утешительного на данный момент сообщить мы не можем. Пока инструмента по расшифровке файлов не создали. Остается только подождать, когда дешифровщик будет разработан.

По данным Брайана Кребса (Brian Krebs), эксперта по компьютерной безопасности, на данный момент преступники получили лишь 26’000 USD, то есть только около 58 человек согласилось заплатить выкуп вымогателям. Восстановили ли они свои документы при этом, никто не знает.

компьютерный вирус

Добавьте «Э Вести» в свои избранные источники

Навигация по записям

Последние новости раздела

Рейчел Бронсон – глава бюллетеня “Учёные-атомщики за мир” сообщила, что часы Судного Дня переведены на 20 секунд вперёд. По её мнению, осталось всего условные 100…

По миру прокатилась новая волна атак вируса-шифровальщика, в числе пострадавших российские СМИ и украинские компании. В России от вируса пострадал «Интерфакс», но атака затронула лишь часть агентства, поскольку его IT-службы успели отключить часть критически важной инфраструктуры, говорится в сообщении российской компании Group-IB. Они назвали вирус BadRabbit.

О беспрецедентной вирусной атаке на «Интерфакс» на своей странице в Facebook сообщил замдиректора агентства Юрий Погорелый. Два сотрудника «Интерфакса» подтвердили «Ведомостям» отключение компьютеров. По словам одного из них, визуально заблокированный экран похож на результат действий известного вируса Petya. Атаковавший «Интерфакс» вирус предупреждает, что не стоит пытаться самостоятельно расшифровать файлы, и требует заплатить выкуп в 0,05 биткойна ($285 по вчерашнему курсу), для чего приглашает на специальный сайт в сети Tor. Зашифрованному компьютеру вирус присвоил персональный идентификационный код.

Помимо «Интерфакса» от вируса-шифровальщика пострадали еще два российских СМИ, одно из которых – петербургское издание «Фонтанка», знает Group-IB.

Главный редактор «Фонтанки» Александр Горшков сообщил «Ведомостям», что серверы «Фонтанки» были атакованы неизвестными злоумышленниками. Но Горшков уверяет, что об атаке вируса-шифровальщика на «Фонтанку» речи не идет: компьютеры сотрудников редакции функционируют, был взломан сервер, отвечавший за работу сайта.

Подразделения «Интерфакса» в Великобритании, Азербайджане, Белоруссии и на Украине, а также сайт «Интерфакс-религия» продолжают работать, сказал «Ведомостям» Погорелый. Не ясно, по какой причине повреждения не коснулись других подразделений, возможно, это связано с топологией сети «Интерфакса», с тем, где территориально находятся серверы, и с операционной системой, которая на них установлена, говорит он.

Украинский «Интерфакс» днем во вторник сообщил о хакерской атаке на международный аэропорт Одесса. Аэропорт на своей странице извинился перед пассажирами «за вынужденное увеличение времени обслуживания», но, судя по его онлайн-табло, во вторник он все же продолжал отправлять и принимать самолеты.

Еще о кибератаке сообщил в своем Facebook-аккаунте метрополитен Киева – возникли проблемы с оплатой проезда банковскими картами. Издание Front News сообщило, что метрополитен был атакован вирусом-шифровальщиком.

Group-IB делает вывод о новой эпидемии. За последние месяцы по миру прокатились уже две волны атак вирусов-шифровальщиков: 12 мая появился вирус WannaCry, а 27 июня – вирус Petya (он же NotPetya и ExPetr). Они проникали на компьютеры с операционной системой Windows, куда не были установлены обновления, шифровали содержимое жестких дисков и требовали $300 за расшифровку. Как позже выяснилось, Petya и не думал расшифровывать компьютеры жертв. Первая атака затронула сотни тысяч компьютеров более чем в 150 странах, вторая – 12 500 компьютеров в 65 странах. Жертвами атак стали и российские «Мегафон », Evraz , «Газпром » и «Роснефть ». Еще от вируса пострадали медицинские центры Invitro, которые не принимали у пациентов анализы несколько дней.

Petya почти за полтора месяца сумел собрать лишь $18 000. Но урон нанес несопоставимо больший. Одна из его жертв – датский логистический гигант Moller-Maersk оценил недополученную выручку от кибератаки в $200–300 млн.

Среди подразделений Moller-Maersk основной удар пришелся на Maersk Line, занимающуюся морской транспортировкой контейнеров (в 2016 г. Maersk Line заработала в общей сложности $20,7 млрд, в подразделении работает 31 900 человек).

Бизнес быстро пришел в себя после атаки, но компании и регуляторы оставались настороже. Так, в августе о возможной кибератаке шифровальщика предупреждала директоров своих филиалов Федеральная сетевая компания ЕЭС (управляет общероссийской электрической сетью), а спустя несколько дней российские банки получили аналогичное предупреждение от FinCERT (структура ЦБ, занимающаяся кибербезопасностью).

Новую атаку вируса-шифровальщика заметила и «Лаборатория Касперского», по наблюдениям которой большинство жертв атаки находятся в России, но есть заражения и на Украине, в Турции и Германии. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети, уверен руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский: используются методы, похожие на инструменты ExPetr, но связи с этим вирусом не прослеживается.

А по мнению антивирусной компании Eset, шифровальщик все же родственник Petya. В атаке использовалась вредоносная программа Diskcoder.D – это новая модификация шифратора.

Погорелый сообщил, что на компьютерах «Интерфакса» был установлен антивирус Symantec. Представители Symаntec вчера не ответили на запрос «Ведомостей».

12 апреля 2017 года появилась информация о стремительном распространении по всему миру вируса-шифровальщика под названием WannaCry, что можно перевести как «Хочется плакать». У пользователей появились вопросы про обновление Windows от вируса WannaCry.

Вирус на экране компьютера выглядит так:

Нехороший вирус WannaCry, который все шифрует

Вирус шифрует все файлы на компьютере и требует выкуп на кошелек Биткоина в сумме 300$ или 600$ для якобы расшифровки компьютера. Заражению подверглись компьютеры в 150 странах мира, самая пострадавшая – Россия.

Мегафон, РЖД, МВД, Минздрав и другие компании вплотную столкнулись с этим вирусом. Среди пострадавших есть и простые пользователи Интернета.

Перед вирусом практически все равны. Разница, пожалуй, в том, что в компаниях вирус распространяется по всей локальной сети внутри организации и мгновенно заражает максимально возможное количество компьютеров.

Вирус WannaCry шифрует файлы на компьютерах, использующих Windows. В компании Microsoft еще в марте 2017 года были выпущены обновления MS17-010 для различных версий Windows XP, Vista, 7, 8, 10.

Получается, что те, у кого настроено автоматическое обновление Windows, находятся вне зоны риска для вируса, ибо своевременно получили обновление и смогли его избежать. Не берусь утверждать, что так оно и есть на самом деле.

Рис. 3. Сообщение при установке обновления KB4012212

Обновление KB4012212 после установки потребовало перезагрузки ноутбука, что мне не очень понравилось, ибо неизвестно, чем это может закончиться, но куда деваться пользователю? Впрочем, перезагрузка прошла нормально. Значит, живем спокойно до следующей вирусной атаки, а что такие атаки будут – сомневаться, увы, не приходится.

В любом случае, важно иметь , чтобы было откуда восстанавливать операционную систему и свои файлы.

Обновление Windows 8 от WannaCry

Для ноутбука с лицензионной Windows 8 было установлено обновление KB 4012598, ибо