Шифрувальники роздмухали іб-бюджети. WannaCry: як захиститися від вірусу-шифрувальника Нестача цифрової гігієни

Продовжує свою пригнічуючу ходу по Мережі, заражаючи комп'ютери та шифруючи важливі дані. Як захиститися від шифрувальника, захистити Windows від здирника – чи випущені латки, патчі, щоб розшифрувати та вилікувати файли?

Новий вірус-шифрувальник 2017 Wanna Cryпродовжує заражати корпоративні та приватні ПК. У щерб від вірусної атаки налічує 1 млрд доларів. За 2 тижні вірус-шифрувальник заразив щонайменше 300 тисяч комп'ютерівнезважаючи на попередження та заходи безпеки.

Вірус-шифрувальник 2017, що це- Як правило, можна «підчепити», здавалося б, на найнешкідливіших сайтах, наприклад, банківських серверах з доступом користувача. Потрапивши на жорсткий дискжертви, шифрувальник «осідає» у системній папці System32. Звідти програма відразу відключає антивірус і потрапляє до «Автозапуску». Після кожного перезавантаження програма-шифрувальник запускається до реєструпочинаючи свою чорну справу. Шифрувальник починає завантажувати собі подібні копії програм типу Ransom та Trojan. Також нерідко відбувається самореплікація шифрувальника. Процес цей може бути миттєвим, а може відбуватися тижнями – доти, доки жертва помітить недобре.

Шифрувальник часто маскується під звичайні картинки, текстові файли, Але сутність завжди одна - це виконувані файли з розширенням.exe, .drv, .xvd; іноді – бібліотеки.dll. Найчастіше файл несе цілком невинне ім'я, наприклад « документ. doc», або « картинка.jpg», де розширення прописано вручну, а істинний тип файлу прихований.

Після завершення шифрування користувач бачить замість знайомих файлів набір «рандомних» символів у назві та всередині, а розширення змінюється на досі невідоме - .NO_MORE_RANSOM, .xdataта інші.

Вірус-шифрувальник 2017 Wanna Cry - як захиститися. Хотілося б відразу відзначити, що Wanna Cry – скоріше збірний термін всіх вірусів шифрувальників і здирників, оскільки останнім часом заражав комп'ютери найчастіше. Отже, мова піде про з захистіть від шифрувальників Ransom Ware, яких безліч: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Як захистити Windows від шифрувальника. – EternalBlue через протокол SMB портів.

Захист Windows від шифрувальника 2017 – основні правила:

• оновлення Windows, своєчасний перехід на ліцензійну ОС (примітка: версія XP не оновлюється)
• оновлення антивірусних базта файрволлів на вимогу
• гранична уважність при завантаженні будь-яких файлів (милі «котики» можуть обернутися втратою всіх даних)
• резервне копіювання важливої ​​інформаціїна змінний носій.

Вірус-шифрувальник 2017: як вилікувати та розшифрувати файли.

Сподіваючись на антивірусне програмне забезпечення, можна забути про дешифратора на деякий час. У лабораторіях Касперського, Dr. Web, Avast!та інших антивірусів поки не знайдено рішення щодо лікування заражених файлів. На даний момент є можливість видалити вірус за допомогою антивірусу, але алгоритмів повернути всі «на круги своя» поки що немає.

Деякі намагаються застосувати дешифратори типу утиліти RectorDecryptor, але це не допоможе: алгоритм для дешифрування нових вірусів поки не складено. Також абсолютно невідомо, як поведеться вірус, якщо він не видалений, після застосування таких програм. Часто це може обернутися стиранням всіх файлів – для науки тим, хто не хоче платити зловмисникам, авторам вірусу.

На даний момент самим ефективним способомповернути втрачені дані – це звернення до тих. підтримку постачальника антивірусної програми, яку ви використовуєте. Для цього слід надіслати лист, або скористатися формою для зворотнього зв'язкуна сайті виробника. У вкладення обов'язково додати зашифрований файл і, якщо така є копія оригіналу. Це допоможе програмістам у складанні алгоритму. На жаль, для багатьох вірусна атака стає повною несподіванкою, і копій не виявляється, що в рази ускладнює ситуацію.

Кардіальні методи лікування Windowsвід шифрувальника. На жаль, іноді доводиться вдаватися до повного форматування вінчестера, що тягне повну зміну ОС. Багатьом спаде на думку відновлення системи, але це не вихід – навіть є «відкат» дозволить позбавитися вірусу, то файли все одно залишаться зашированими.

• Зараження зазнали вже понад 200 000 комп'ютерів!

Основні цілі атаки були спрямовані на корпоративний сектор, за ним потягнуло вже телекомунікаційні компанії Іспанії, Португалії, Китаю та Англії.

• Найбільшого удару було завдано по російським користувачам та компаніям. У тому числі «Мегафон», РЗ та, за непідтвердженою інформацією, Слідчий Комітет та МВС. Ощадбанк і МОЗ також повідомили про атаки на свої системи.

За розшифровку даних зловмисники вимагають викуп від 300 до 600 доларів у биткоинах (близько 17 000-34 000 рублів).

Як встановити офіційний ISO-образ Windows 10 без використання Media Creation Tool

Інтерактивна карта зараження (КЛІКНІ ПО КАРТІ)
Вікно з вимогою викупу
Шифрує файли наступних розширень

Незважаючи на націленість вірусу атаки корпоративного сектору, звичайний користувачтак само не застрахований від проникнення WannaCry та можливої ​​втрати доступу до файлів.

• Інструкція із захисту комп'ютера та даних у ньому від зараження:

1. Виконайте установку програми Kaspersky System Watcher , яка оснащена вбудованою функцією відкату змін, що виникли від дій шифрувальника, якому все-таки вдалося обійти засоби захисту.

2. Користувачам антивірусника від «Лабораторії Касперського» рекомендується перевірити, щоб було включено функцію «Моніторинг системи».

3. Користувачам антивірусника від ESET NOD32 для Windows 10 впроваджено функцію перевірки нових доступних оновлень ОС. Якщо ви потурбувалися заздалегідь і вона була у вас включена, то всі необхідні нові оновлення Windows будуть встановлені і ваша система буде повністю захищена від цього вірусу WannaCryptor та інших схожих атак.

4. Також у користувачів продуктів ESET NOD32 є така функція в програмі, як детектування ще невідомих загроз. Цей методзаснований на використання поведінкових, евристичних технологій.

Якщо вірус веде себе як вірус – найімовірніше, це вірус.

Технологія хмарної системи ESET LiveGrid з 12 травня відбивала дуже успішно всі напади атак даного вірусу і все це відбувалося ще до надходження до оновлення сигнатурних баз.

5. Технології ESET надають захищеність у тому числі й пристроям з минулими системами Windows XP, Windows 8 та Windows Server 2003 (рекомендуємо відмовитися від використання даних застарілих систем). Через високій рівень загрози, для даних ОС, Microsoft прийняла рішення випустити оновлення. Завантажити їх.

6. Для зниження до мінімуму загрози заподіяння шкоди вашому ПК, необхідно в терміновому порядку виконати оновлення своєї версії Windows 10: Пуск - Параметри - Оновлення та безпека - Перевірка наявності оновлень (в інших випадках: Пуск - Всі програми - Windows Update - Пошук оновлень - Завантажити та встановити).

7. Виконайте встановлення офіційного патчу (MS17-010) від Microsoft, який виправляє помилку сервера SMB, через яку може проникнути вірус. Цей сервер задіяний у цій атаці.

8. Перевірте, щоб на вашому комп'ютері були запущені та у робочому стані всі наявні інструменти безпеки.

9. Перевірте віруси всієї системи. При оголенні шкідливої ​​атаки під назвою MEM: Trojan.Win64.EquationDrug.gen, перезавантажте систему.

І ще раз вам рекомендую перевірити, щоб були встановлені патчі MS17-010.

В даний час фахівці "Лабораторії Касперського", "ESET NOD32" та інших антивірусних продуктів, ведуть активну роботу над написанням програми для дешифрування файлів, що допоможе користувачам заражених ПК для відновлення доступу до файлів.

12 квітня 2017 року з'явилася інформація про стрімке поширення у всьому світі вірусу-шифрувальника під назвою WannaCry, що можна перекласти як «Хочеться плакати». У користувачів з'явилися питання оновлення Windows від вірусу WannaCry.

Вірус на екрані комп'ютера виглядає так:

Негативний вірус WannaCry, який все шифрує

Вірус шифрує всі файли на комп'ютері і вимагає викуп на гаманець Біткоїна в сумі 300 $ або 600 $ для розшифровки комп'ютера. Зараження зазнали комп'ютери в 150 країнах світу, найбільше постраждала – Росія.

Мегафон, РЗ, МВС, МОЗ та інші компанії впритул зіткнулися з цим вірусом. Серед постраждалих є і прості користувачіІнтернет.

Перед вірусом майже всі рівні. Різниця, мабуть, у тому, що у компаніях вірус поширюється по всій локальної мережівсередині організації та миттєво заражає максимально можливу кількість комп'ютерів.

Вірус WannaCry шифрує файли на комп'ютерах, які використовують Windows. У компанії Microsoft ще в березні 2017 року було випущено оновлення MS17-010 для різних версій Windows XP, Vista, 7, 8, 10.

Виходить, що ті, у кого налаштовано автоматичне оновлення Windows знаходяться поза зоною ризику для вірусу, оскільки своєчасно отримали оновлення і змогли його уникнути. Не беруся стверджувати, що так воно є насправді.

Мал. 3. Повідомлення під час встановлення оновлення KB4012212

Оновлення KB4012212 після встановлення вимагало перезавантаження ноутбука, що мені не дуже сподобалося, бо невідомо, чим це може закінчитися, але куди подітися користувачеві? Втім, перезавантаження пройшло нормально. Значить, живемо спокійно до наступної вірусної атаки, а такі атаки будуть – сумніватися, на жаль, не доводиться.

У будь-якому випадку, важливо мати , щоб було звідки відновлювати операційну систему та свої файли.

Оновлення Windows 8 від WannaCry

Для ноутбука з ліцензійною Windows 8 було встановлено оновлення KB 4012598

Протягом десятиліть кіберзлочинці успішно використовували недоліки та вразливості у Всесвітнього павутиння. Однак останніми роками було відзначено явне збільшення кількості атак, а також зростання їхнього рівня - зловмисники стають небезпечнішими, а шкідливі програми поширюються такими темпами, яких раніше ніколи не бачили.

Вступ

Йтиметься про програми-вимагачі, які здійснили немислимий стрибок у 2017 році, завдавши збитків тисячам організацій по всьому світу. Наприклад, в Австралії атаки таких здирників, як WannaCry і NotPetya навіть викликали занепокоєння на урядовому рівні.

Підсумовуючи «успіхи» шкідливих здирників цього року, ми розглянемо 10 найнебезпечніших організацій, які завдали найбільших збитків. Сподіватимемося, що наступного року ми зробимо уроки і не допустимо проникнення в наші мережі подібної проблеми.

NotPetya

Атака цього здирника розпочалася з української програми бухгалтерської звітності M.E.Doc, яка змінила заборонену в Україні 1C. За кілька днів NotPetya заразив сотні тисяч комп'ютерів у більш ніж 100 країнах. Цей шкідливість є варіантом більш старого здирника Petya, їх відрізняє лише те, що в атаках NotPetya використовувався той же експлойт, що і в атаках WannaCry.

У міру поширення NotPetya торкнувся декількох організацій в Австралії, наприклад, шоколадну фабрику Cadbury в Тасманії, яким довелося тимчасово закрити всю свою ІТ-систему. Також цьому здирнику вдалося проникнути на найбільший у світі контейнерний корабель, що належить компанії Maersk, який, як повідомляється, втратив до 300 мільйонів доларів доходу.

WannaCry

Цей страшний за своїми масштабами здирник практично захопив увесь світ. У його атаках використовувався сумнозвісний експлойт EternalBlue, що експлуатує вразливість у протоколі. Microsoft Server Message Block (SMB).

WannaCry заразив жертв у 150 країнах та понад 200 000 машин тільки в перший день. Нами було опубліковано цього гучного шкідливості.

Locky

Locky був найпопулярнішим здирником у 2016 році, проте не припинив діяти і в 2017. Нові варіанти Locky, що отримали імена Diablo і Lukitus, виникли цього року, використовуючи той же вектор атаки (фішинг) для залучення експлойтів.

Саме Locky стояв за скандалом, пов'язаним із email-шахрайством на Пошті Австралії. Згідно з Австралійською комісією з питань конкуренції та захисту споживачів, громадяни втратили понад 80 000 доларів через цю аферу.

CrySis

Цей екземпляр відзначився майстерним використанням протоколу віддаленого робочого столу ( Remote Desktop Protocol, RDP). RDP є одним з найбільш популярних способів поширення здирників, оскільки таким чином кіберзлочинці можуть компрометувати машини, що контролюють цілі організації.

Жертви CrySis були змушені заплатити від $455 до $1022 за відновлення своїх файлів.

Nemucod

Nemucod розповсюджується за допомогою фішингового листа, який виглядає як рахунок-фактура на транспортні послуги. Цей здирник завантажує шкідливі файли, що зберігаються на зламаних веб-сайтах.

За використанням фішингових листів Nemucod поступається тільки Locky.

Jaff

Jaff схожий на Locky та використовує схожі методи. Цей здирник не примітний оригінальними методами поширення або шифрування файлів, а навпаки - поєднує найбільш успішні практики.

Зловмисники, що стоять за ним, вимагали до $3 700 за доступ до зашифрованих файлів.

Spora

Для поширення цього різновиду програми-здирника кіберзлочинці зламують легітимні сайти, додаючи на них код JavaScript. Користувачам, які потрапили на такий сайт, буде відображено попереджувальне попередження, що пропонує оновити браузер Chromeщоб продовжити перегляд сайту. Після завантаження так званого Chrome Font Pack, користувачі заражалися Spora.

Cerber

Один із численних векторів атаки, які використовує Cerber, називається RaaS (Ransomware-as-a-Service). За цією схемою зловмисники пропонують платити за поширення троянця, обіцяючи відсоток від отриманих грошей. Завдяки цій «послугі» кіберзлочинці розсилають здирник, а потім надають іншим зловмисникам інструменти для поширення.

Cryptomix

Це один з небагатьох здирників, які не мають певного типу платіжного порталу, доступного в межах дарквебу. Постраждалі користувачі повинні дочекатися, коли кіберзлочинці відправлять їм по електронній поштіінструкції.

Жертвами Cryptomix виявились користувачі з 29 країн, вони були змушені заплатити до $3 000.

Jigsaw

Ще один шкідливість зі списку, який розпочав свою діяльність у 2016 році. Jigsaw вставляє зображення клоуна із серії фільмів «Пила» в електронні спам-листи. Як тільки користувач натискає на зображення, здирник не тільки шифрує, але й видаляє файли у випадку, якщо користувач занадто затягує з оплатою викупу, розмір якого - $150.

Висновки

Як бачимо, сучасні загрози використовують дедалі витончені експлойти проти добре захищених мереж. Незважаючи на те, що підвищена поінформованість серед співробітників допомагає впоратися з наслідками заражень, підприємствам необхідно вийти за межі базових стандартів кібербезпеки, щоб захистити себе. Для захисту від сучасних загроз необхідні проактивні підходи, що використовують можливості аналізу в режимі реального часу, що базується на механізмі навчання, який включає розуміння поведінки та контексту загроз.

Світ кіберзлочинів еволюціонує від кількості до якості: нових шкідливих програмстає менше, зате їхня складність підвищується. У гонку хакерських технологій включилися державні спецслужби, що підтвердив найбільший інцидент 2016-2017 рр., пов'язаний із витоком кіберозброєнь із АНБ. Хакерам знадобилися лічені дні, щоб використовувати потрапили в відкритий доступрозробки спецслужб у шахрайських цілях. Гучні інциденти в галузі ІБ привернули увагу до проблеми захисту даних, і глобальний ринок засобів захисту продовжує зростати високими темпами.

На даний момент зростання кіберзлочинності в цілому не настільки значне, яким воно було в 2007-2010 роках. «В той період часу кількість шкідливих програм, що створювалися, зростала дійсно за експонентом, у сотні і тисячі разів перевищуючи показники попередніх років. Останніми роками ми вийшли на «плато», і щорічні цифри за останні три роки стабільні», – розповідає Юрій Намісников, керівник російського дослідницького центру "Лабораторії Касперського" "Водночас спостерігається відразу кілька цікавих процесів, які в сумі дають відчуття більшого розмаху дій хакерів", - зазначає співрозмовник CNews.

Серед трендів 2016-2017 років. Насамперед слід відзначити значне збільшення числа «state-sponsored» атак, які мають на меті шпигунство або критичне пошкодження інфраструктури. В області традиційної кіберзлочинності найбільшого розвитку набули складні таргетовані атаки проти великих компаній та фінансових інститутів, які розробляються з урахуванням унікального ландшафту ІТ-інфраструктури конкретної організації. Крім того, великою популярністю у зловмисників користуються програми-вимагачі, які вимагають викупу за дешифрування даних. "У сумі ці процеси дають відчуття більшого розмаху дій хакерів", - коментує Юрій Наместников.

Витік з АНБ призвів до епідемії

З подій в області ІБ насамперед звернув на себе увагу скандал, пов'язаний із втручанням хакерів у вибори в США. На ринок ІБ впливає не лише економіка, а й геополітична ситуація у світі, стверджує Ілля Четвертнєв, заступник технічного директора компанії «Інформзахист»: «Яскравим прикладом стали останні вибори президента США, які показали, наскільки злом інформаційних системможуть вплинути країну загалом. Тому зараз до класичних об'єктів атак додалася критична інфраструктура підприємств з метою промислового шпигунства».

Крім того, у 2016 році хакери з групи Shadow Brokers викрали з американської АНБ (NSA, National Security Agency) секретні інструменти для злому. комп'ютерних мереж, у своїй джерело витоку досі . Деякі з розробок потрапили у відкритий доступ, що призвело до сумних наслідків. У травні 2017 р. вибухнула епідемія шкідливого хробака WannaCry, який розповсюджується за допомогою розробленого в АНБ експлойту EternalBlue, який використовує раніше невідому вразливість у ОС Windows. WannaCry шифрує дані на зараженому комп'ютері та вимагає викуп у криптовалюті. Загалом зараження зазнали сотні тисяч комп'ютерів по всьому світу.

Нестача цифрової гігієни

За словами Максима Пилипова, директора з розвитку бізнесу Positive Technologies в Росії, після публікації нового експлойту проходить всього 2–3 дні перед тим, як його буде використано кіберзлочинцями: «Після витоку архівів АНБ дуже багато взяли на озброєння опубліковані техніки та тактики, а в результаті вони будуть використовуватися частіше й модифікуватися зловмисниками, зокрема й більш ефективного «замітання» слідів».

«Зловмисники зміщують фокус з уразливостей у додатках на вразливості операційні системи, - Коментує технічний директор компанії «Код безпеки» Дмитро Зрячих. – Інформація про ці вразливості видобувається спецслужбами, а потім витікає на вільний ринок. Причому проблема залишається навіть після виходу оновлень для базового ПЗ: за три місяці до епідемії WannaCry Microsoft випустив патч, що запобігає зараженню, але незважаючи на це, WannaCry заразив понад 500 тисяч комп'ютерів по всьому світу».

Проблема полягає в тому, що багато користувачів ігнорують оновлення та не встановлюють їх вчасно. Директор центру ІБ «Інфосистеми Джет» Олексій Гришинзазначає негативний вплив людського чинника: «Компанії часто забувають про базової безпеки, так званої цифрової гігієни: управління оновленнями та вразливістю, антивірусний захист, мінімізації прав користувачів, розумне управління правами доступу тощо. У таких умовах навіть не рятують нові системибезпеки».

Крім того, сучасним компаніям не завжди вдається правильно організувати права доступу тих чи інших користувачів. «Неконтрольований доступ привілейованих користувачів (як внутрішніх, так і зовнішніх: підрядників, служби підтримки, аудиторів тощо) може призвести до серйозних наслідків. Замовники ділилися випадками, коли їхні інфраструктури практично виходили з-під їхнього впливу через всемогутність підрядників та відсутність правильної організації їхньої роботи», – розповідає Олег Шабуров, керівник департаменту кібербезпеки групи компаній Softline

Бум шифрувальників

WannaCry виявилася не єдиною програмою-вимагачем, що здобула популярність у 2016-2017 р. Раніше набули поширення шкідливі утиліти Petya і BadRabbit, які також шифрують дані на ПК і вимагає викуп у біткойнах за доступ до них. При цьому атаки з використанням BadRabbit мали більш таргетований характер, вражаючи в основному комп'ютери на об'єктах інфраструктури в Україні.

За даними «Лабораторії Касперського», за минулий рік програмами-шифрувальниками було атаковано 32%. російських компаній, причому у 37% їх було зашифровано значні обсяги даних. Втратили всі свої цінні дані або так і не змогли відновити доступ до значної частини 31% підприємств. А заплатити викуп віддали перевагу 15% опитаних компаній (хоча це й не гарантує повернення файлів). «Основна проблема із шифрувальниками та здирниками сьогодні полягає в тому, що часто жертви погоджуються заплатити зловмисникам, оскільки не бачать іншого способу повернути доступ до своїх цінних даних», – коментує Юрій Наместников.

Інвестиції в ІБ зростають

Останні півтора-два роки були багаті на інциденти у сфері інформаційної безпеки, що сприяло зростанню інвестицій у захист інформаційних систем. За даними IDC, за підсумками 2017 р. глобальний виторг від поставок продуктів ІБ збільшиться на 8,2% до $81,7 млрд. Подібні цифри наводять аналітики Gartner, вони прогнозують зростання на 7% до $86,4 млрд за підсумками року. При цьому сегмент ІБ розвивається швидше, ніж ринок ІТ загалом: згідно з оцінкою Gartner, глобальні витрати на ІТ за підсумками 2017 р. збільшаться лише на 2,4%. Подібну динаміку демонструє російський ринок: згідно з даними рейтингу CNews Security, за підсумками 2016 р. вітчизняні постачання ІБ збільшилися на 8% у доларах та на 18%.

Обсяг глобального ринку ІБ у 2016 р. та прогноз на 2017 р.,$ млрд