Вірус шифрувальник файлів Wanna Cry - як захиститися та врятувати дані. Вірус-шифрувальник WannaCry: що робити? Новий вірус шифрувальник оновлення windows 7

Вірус шифрувальник файлів Wanna Cry - як захиститися та врятувати дані. Вірус-шифрувальник WannaCry: що робити? Новий вірус шифрувальник оновлення windows 7

Атаки вірусів-шифрувальників, витоку хакерських інструментів американських спецслужб, перевірка на міцність об'єктів енергетики, удари по ICO і перша успішна крадіжка грошей з російського банку з системою SWIFT - 2017 рік, що минає, був сповнений неприємних сюрпризів. Не всі виявилися готові до них. Скоріше навпаки. Кіберзлочинність стає швидшим і масштабнішим. Продержавні хакери – вже не лише шпигуни, вони крадуть гроші та влаштовують кібердиверсії.
Будь-яка протидія кіберзагрозам – це завжди змагання броні та снаряда. І події цього року показали, що багато компаній і навіть держави поступаються кіберзлочинцям. Тому що не знають, хто ворог, як він діє і де слід чекати наступного удару. Більшість атак потрібно запобігати ще на етапі їхньої підготовки за допомогою технологій раннього попередження Threat Intelligence. Бути на кілька кроків наперед кіберзлочинців, значить зберегти свої гроші, інформацію та репутацію.

Віруси-шифрувальники

Наймасштабнішими як з погляду поширення, так і збитків у 2017 році стали кібератаки з використанням вірусів-шифрувальників. За ними стоять продержавні хакери. Згадаймо їх поіменно.

Наслідки атаки WonnaCry: супермаркет "Рост", Харків, Україна.

Lazarus (відома також як Dark Seoul Gang) – ім'я північнокорейської групи хакерів, за якими, ймовірно, стоїть Bureau 121 – один із підрозділів Розвідувального Управління Генштабу КНА (КНДР), який відповідає за проведення кібероперацій. Хакери з північнокорейської групи Lazarus довгі роки шпигунили за ідеологічними ворогами режиму - держустановами та приватними корпораціями США та Південної Кореї. Тепер Lazarus атакує банки та фінансові установи по всьому світу: на їхньому рахунку спроба вкрасти у лютому 2016 року майже $1 млрд із центрального банку Бангладеш, атаки на банки Польщі, а також співробітників ЦБ РФ, ЦБ Венесуели, ЦБ Бразилії, ЦБ Чилі та спроба вивести з Far Eastern International Bank $60 млн (див. "Цільові атаки на банки"). Наприкінці 2017 року північнокорейські хакери були помічені в атаках на криптовалютні сервіси та атаки з використанням мобільних троянів.

Тренд року

24 жовтня в Україні та Росії відбулася масштабна кібератака з використанням вірусу-шифрувальника «BadRabbit». Вірус атакував комп'ютери та сервери Київського метрополітену, Міністерства інфраструктури, Міжнародного аеропорту "Одеса". Декілька жертв опинилися і в Росії - в результаті атаки постраждали редакції федеральних ЗМІ, а також зафіксовано факти спроб заражень банківських інфраструктур. За атакою, як встановила Group-IB, стоїть група Black Energy.

Цільові атаки на банки

Злочинні групи, які атакували російські банки, навесні та влітку 2017 року переключили свою увагу на інші країни та регіони: США, Європа, Латинська Америка, Азія та Близький Схід. Наприкінці року вони знову запрацювали у Росії.

У 2017 році у продержавних хакерів змінилися цілі – вони почали проводити кібердиверсії на фінансовий сектор. Для шпигунства або крадіжки грошей зломщики намагаються отримати доступ до SWIFT, карткового процесингу. Навесні цього року група BlackEnergy зламала інтегратора в Україні та отримала доступ до мережі українських банків. Через кілька місяців почалася епідемія WannyCry та NotPetya, за якими стоять гурти Lazarus та BlackEnergy.

Тим не менш, на початок жовтня, коли команда Group-IB здавала щорічний звіт, ми були сповнені стриманого оптимізму: цілеспрямовані атаки на банки в Росії впали на 33%. Усі злочинні групи, які атакували російські банки, поступово переключили свою увагу на інші країни та регіони: США, Європа, Латинська Америка, Азія та Близький Схід. Кінець року зіпсував статистику - ми зафіксували цілу низку кібератак на банки, у грудні відбулася перша успішна атака на російський банк зі SWIFT у виконанні групи Cobalt.

Атаки на SWIFT

У жовтні пограбували банк Far Eastern International Bank Тайваню. Добравшись до системи міжнародних міжбанківських переказів (SWIFT), до якої було підключено банк, хакери змогли вивести майже $60 мільйонів на рахунки в Шрі-Ланці, Камбоджі та США. За атакою, попередньо, стоїть гурт Lazarus. У листопаді найбільший недержавний банк Непалу NIC Asia Bank зазнав цілеспрямованої атаки кіберзлочинців, які отримали доступ до системи SWIFT і вивели $4,4 млн на рахунки в США, Великій Британії, Японії та Сінгапурі.

У середині грудня стало відомо про успішну атаку на російський банк з використанням SWIFT ( міжнародна системапередачі фінансової інформації). Нагадаємо, що раніше в Росії цільові атаки проходили з використанням систем карткового процесингу, банкоматів та АРМ КБР (автоматизоване). робоче місцеклієнта банку Росії).

До атаки, ймовірно, причетне угруповання Cobalt. Проникнення в банк сталося через шкідливе програмне забезпечення, яке розсилалося угрупуванням кілька тижнів тому по банках - такий спосіб атаки характерний для Cobalt. ЗМІ повідомляли, що злочинці спробували вкрасти близько $1 млн, але вдалося вивести близько 10%. FinCERT, структурний підрозділ ЦБ з інформбезпеки, у своєму звіті назвав групу Cobalt головною загрозою для кредитних організацій.

За даними Group-IB, на рахунку угруповання не менше 50 успішних атак на банки по всьому світу: у Росії, Великій Британії, Нідерландах, Іспанії, Румунії, Білорусії, Польщі, Естонії, Болгарії, Грузії, Молдові, Киргизії, Вірменії, Тайвані та Малайзії . Все літо та осінь вони атакували банки по всьому світу, тестували нові інструменти та схеми, і під кінець року не знизили обертів – практично щотижня ми фіксуємо їхні поштові розсилки зі шкідливими програмами всередині.

Безтілесність та шкідливі скрипти – новий (і тепер уже основний) принцип проведення атак. Хакери намагаються залишатися непоміченими і для цього використовують безтілесні програми, які працюють тільки в оперативній пам'яті і знищуються після перезавантаження. Крім того, скрипти на PowerShell, VBS, PHP допомагають забезпечувати персистентність (закріплення) в системі, а також автоматизувати деякі етапи атаки. Ще ми зауважуємо, що хакери атакують банки не в лоб, а через довірених партнерів – інтеграторів, підрядників. Вони атакують співробітників, коли ті перебувають удома, перевіряють особисту пошту, соцмережі.

Тренд року

Відкриття року: MoneyTaker

10 цікавих фактів про MoneyTaker

  • Їхньою жертвою ставали невеликі банки - у Росії регіональні, у США - ком'юніті-банки з невисоким рівнем захисту. В один із російських банків хакери проникли через домашній комп'ютерсісадміну.
  • Один із американських банків зламали аж двічі.
  • Здійснивши успішну атаку, продовжували шпигувати за співробітниками банку за допомогою пересилання вхідних листів на адреси Yandex та Mail.ru.
  • Це угруповання завжди знищувало сліди після атаки.
  • Гроші з одного російського банку намагалися вивести через банкомати, але вони не працювали - у їхнього власника незадовго до цього ЦБ забрав ліцензію. Вивели гроші через АРМ КБР.
  • Викрадали не лише гроші, а й внутрішні документи, інструкції, регламенти, журнали транзакцій. Судячи з вкрадених документів, пов'язаних із роботою SWIFT, хакери готують атаки на об'єкти в Латинській Америці.
  • У деяких випадках хакери вносили зміни до коду програми «на льоту» - прямо під час проведення атаки.
  • Зломщики використовували файл SLRSideChannelAttack.exe., який був викладений у публічний доступдослідниками.
  • MoneyTaker використовували загальнодоступні інструменти, цілеспрямовано приховували будь-які елементи атрибуції, воліючи залишатися в тіні. Автор у програм один - це видно з типових помилок, які кочують з однієї самописної програми до іншої.

Витікання хакерських інструментів спецслужб

Експлойти з витоків АНБ та ЦРУ почали активно використовуватись для проведення цілеспрямованих атак. Вони вже включені до основних інструментів для проведення тестів на проникнення фінансово мотивованих та деяких продержавних хакерів.

WikiLeaks та Vault7

Весь рік WikiLeaks методично розкривав секрети ЦРУ, публікуючи в рамках проекту Vault 7 інформацію про інструменти хакерів спецслужб. Один з них – CherryBlossom («Вишневий колір») дозволяє відстежувати місцезнаходження та інтернет-активність користувачів, підключених до бездротовому роутеру Wi-Fi. Такі пристрої повсюдно використовуються у будинках, офісах, ресторанах, барах, готелях, аеропортах та держустановах. WikiLeaks навіть розкрив технологію шпигунства ЦРУ за колегами з ФБР, МВБ, АНБ. Управління технічних служб (OTS) у ЦРУ розробило шпигунське ПЗ ExpressLane для таємного вилучення даних із біометричної системи збору інформації, яку ЦРУ поширює своїм колегам із розвідуспільноти США. Трохи раніше WikiLeaks розкрила інформацію про шкідливу програму Pandemic, призначену для злому комп'ютерів з спільними папками, та про програму ELSA, яка також відстежує геолокацію пристроїв з підтримкою Wi-Fi та дозволяє відстежувати звички користувача. Wikileaks розпочав серію публікацій Vault-7 у лютому 2017 року. Витоку містили інформацію з описом уразливостей програмне забезпечення, зразками шкідливих програм та техніками проведення комп'ютерних атак

Хакерські інструменти з іншого не менш популярного джерела - витоку АНБ, які публікує група Shadow Brokers, не тільки мала підвищений попит, але ще вдосконалювалася і допрацьовувалась. На андеграундних форумах з'явився скрипт для автоматизації пошуку машин з уразливістю SMB-протоколу, заснований на утилітах американських спецслужб, опублікованих угрупуванням Shadow Brokers у квітні цього року. В результаті витоку утиліта fuzzbunch та експлойт ETERNALBLUE опинилися в відкритому доступіАле після проведеного доопрацювання повністю готовий продукт спрощує зловмисникам процес атаки.

Нагадаємо, що саме SMB-протокол використовувався шифрувальником WannaCry для зараження сотень тисяч комп'ютерів у 150 країнах світу. Місяць тому творець пошукової системи Shodan Джон Мазерл (John Matherly) заявив, що в Мережі виявлено 2306820 пристроїв з відкритими портамидля доступу до SMB-протоколу. 42% (близько 970 тис.) з них надають гостьовий доступ, тобто будь-який бажаючий за допомогою протоколу SMB може отримати доступ до даних без авторизації.

Влітку група Shadow Brokers пообіцяла щомісяця публікувати для своїх передплатників нові експлойти, у тому числі для роутерів, браузерів, мобільних пристроїв, скомпрометовані дані з банківських мереж та SWIFT, інформацію про ядерні та ракетні програми. Натхнені увагою Shadow Brokers підняли первісну вартість передплати зі 100 монет Zcash (близько $30 000) до 200 монет Zcash (близько $60 000). Статус VIP-передплатника коштує 400 монет Zcash і дозволяє отримувати експлойти на замовлення.

Атаки на критичну інфраструктуру

Енергетичний сектор став тестовим полігоном для дослідження нової кіберзброї. Злочинна група BlackEnergy продовжує атаки на фінансові та енергетичні компанії. Інструменти, що опинилися в їх розпорядженні, дозволяють віддалено керувати Remote terminal unit (RTU), які відповідають за фізичне розмикання/замикання енергомережі.

Першим вірусом, який реально зміг вивести обладнання з ладу, був Stuxnet, який використовується Equation Group (Five Eyes/Tilded Team). У 2010 році вірус проник у систему іранського заводу зі збагачення урану в Натані і вразив контролери SIMATIC S7 Siemens, що обертали центрифуги з ураном із частотою 1000 обертів за секунду. Stuxnet розігнав ротори центрифуг до 1400 оборотів, так що вони почали вібрувати і руйнуватися. З 5000 центрифуг, встановлених у залі, з ладу було виведено близько 1000 штук. Іранська ядерна програма на декілька років відкотилася назад.

Після цієї атаки кілька років спостерігалося затишшя. Виявилося, що весь цей час хакери шукали можливість впливати на ICS і виводити їх з ладу, коли це буде потрібно. Далі за інших у цьому напрямку просунувся гурт Black Energy, також відомий як Sandworm.

Їхня тестова атака на українську підстанцію наприкінці минулого року показала, на що здатний новий набір інструментів, який отримав назву Industroyer або CRASHOVERRIDE. На конференції Black Hat програмне забезпечення Industroyer було названо «найбільшою загрозою промисловим системам управління з часів Stuxnet». Наприклад, інструменти BlackEnergy дозволяють дистанційно керувати Remote terminal unit (RTU), які відповідають за фізичне розмикання/замикання енергомережі. Озброїлася такими інструментами, що хакери можуть перетворити його на грізну кіберзброю, яка дозволить залишати без світла і води цілі міста.

Проблеми можуть виникнути не лише в Україні: нові атаки на енергосистеми у липні були зафіксовані у Великій Британії та Ірландії. Збоїв у роботі енергомереж не було, але, як вважають експерти, хакери могли викрасти паролі до систем безпеки. У США після розсилки співробітникам енергетичних компанії? шкідливих листів ФБР попередило компанії про можливі кібератаки.

Атаки на ICO

Довгий часбанки та його клієнти були головною метою кіберзлочинців. Але тепер у них сильні конкуренти в особі ICO та блокчейн-стартапів - все, що пов'язане з криптовалютами привертає увагу хакерів.

ICO (Initial Coin Offering – процедура первинного розміщення токенів) – мрія будь-якого хакера. Блискавична, досить проста атака на криптовалютні сервіси і блокчейн-стартапи приносить мільйони доларів прибутку з мінімальним ризиком для злочинців. За даними Chainalysis, хакерам вдалося вкрасти 10% усіх коштів, інвестованих в ICO-проекти у 2017 році у Ethereum. Загальні збитки склали майже $225 мільйонів, 30 000 інвесторів втратили в середньому по $7500.

Ми проаналізували близько сотні атак на блокчейн-проекти (біржі, обмінники, гаманці, фонди) і дійшли висновку, що основна маса проблем криється у вразливості самих криптосервісів, які використовують технологію блокчейну. У випадку з Ethereum проблеми спостерігалися не біля самої платформи, а криптосервісів: вони зіткнулися з уразливістю у власних смарт-контрактах, deface, компрометацією адмінських акаунтів (Slack, Telegram), фішинговими сайтами, що копіюють контент сайтів компаній, що виходять на ICO.

Є кілька вразливих місць:

  • Фішингові сайти – клони офіційного ресурсу
  • Вразливості сайту / веб-додатки
  • Атаки через співробітників компанії
  • Атаки на IT-інфраструктуру
Нас дуже часто питають, на що звертати увагу, що перевіряти насамперед? Є три великі блоки, на які треба звернути увагу: захистити людей, захистити процеси та захистити інфраструктуру.

Крадіжки грошей за допомогою Android-троянів

Ринок банківських Android-троянів виявився найдинамічнішим і зростаючим. Збитки від банківських троянів під Android у Росії зросли на 136% - вони склали $13,7 млн. - і перекрили збитки від троянів для персональних комп'ютерівна 30%.

Ми передбачали це зростання ще торік, оскільки зараження шкідливим програмним забезпеченням стають непомітнішими, а розкрадання автоматизуються за допомогою методу автозатоки. За нашими оцінками, збитки від цього виду атак у Росії за минулий рік становили $13,7 млн.

Затримання учасників злочинної групи Cron

Продовжує свою пригнічуючу ходу по Мережі, заражаючи комп'ютери та шифруючи важливі дані. Як захиститися від шифрувальника, захистити Windows від здирника – чи випущені латки, патчі, щоб розшифрувати та вилікувати файли?

Новий вірус-шифрувальник 2017 Wanna Cryпродовжує заражати корпоративні та приватні ПК. У щерб від вірусної атаки налічує 1 млрд доларів. За 2 тижні вірус-шифрувальник заразив щонайменше 300 тисяч комп'ютерівнезважаючи на попередження та заходи безпеки.

Вірус-шифрувальник 2017, що це- Як правило, можна «підчепити», здавалося б, на найнешкідливіших сайтах, наприклад, банківських серверах з доступом користувача. Потрапивши на жорсткий дискжертви, шифрувальник «осідає» в системній папці System32. Звідти програма відразу відключає антивірус і потрапляє до «Автозапуску». Після кожного перезавантаження програма-шифрувальник запускається до реєструпочинаючи свою чорну справу. Шифрувальник починає завантажувати собі подібні копії програм типу Ransom та Trojan. Також нерідко відбувається самореплікація шифрувальника. Процес цей може бути миттєвим, а може відбуватися тижнями – доти, доки жертва помітить недобре.

Шифрувальник часто маскується під звичайні картинки, текстові файли , Але сутність завжди одна - це виконувані файли з розширенням.exe, .drv, .xvd; іноді – бібліотеки.dll. Найчастіше файл несе цілком невинне ім'я, наприклад « документ. doc», або « картинка.jpg», де розширення прописано вручну, а істинний тип файлу прихований.

Після завершення шифрування користувач бачить замість знайомих файлів набір «рандомних» символів у назві та всередині, а розширення змінюється на досі невідоме - .NO_MORE_RANSOM, .xdataта інші.

Вірус-шифрувальник 2017 Wanna Cry - як захиститися. Хотілося б відразу відзначити, що Wanna Cry – скоріше збірний термін всіх вірусів шифрувальників і здирників, оскільки останнім часом заражав комп'ютери найчастіше. Отже, мова піде про з захистіть від шифрувальників Ransom Ware, яких безліч: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Як захистити Windows від шифрувальника.EternalBlue через протокол SMB портів.

Захист Windows від шифрувальника 2017 – основні правила:

  • оновлення Windows, своєчасний перехід на ліцензійну ОС (примітка: версія XP не оновлюється)
  • оновлення антивірусних баз та файрволлів на вимогу
  • гранична уважність при завантаженні будь-яких файлів (милі «котики» можуть обернутися втратою всіх даних)
  • резервне копіювання важливої ​​інформаціїна змінний носій.

Вірус-шифрувальник 2017: як вилікувати та розшифрувати файли.

Сподіваючись на антивірусне програмне забезпечення, можна забути про дешифратора на деякий час. У лабораторіях Касперського, Dr. Web, Avast!та інших антивірусів поки не знайдено рішення щодо лікування заражених файлів. на Наразіє можливість видалити вірус за допомогою антивірусу, але алгоритмів повернути всі «на круги своя» поки що немає.

Деякі намагаються застосувати дешифратори типу утиліти RectorDecryptorале це не допоможе: алгоритм для дешифрування нових вірусів поки не складено. Також абсолютно невідомо, як поведеться вірус, якщо він не видалений, після застосування таких програм. Часто це може обернутися стиранням всіх файлів – для науки тим, хто не хоче платити зловмисникам, авторам вірусу.

На даний момент самим ефективним способомповернути втрачені дані – це звернення до тих. підтримку постачальника антивірусної програмиВи використовуєте . Для цього слід надіслати лист, або скористатися формою для зворотнього зв'язкуна сайті виробника. У вкладення обов'язково додати зашифрований файл і, якщо така є копія оригіналу. Це допоможе програмістам у складанні алгоритму. На жаль, для багатьох вірусна атака стає повною несподіванкою, і копій немає, що в рази ускладнює ситуацію.

Кардіальні методи лікування Windowsвід шифрувальника. На жаль, іноді доводиться вдаватися до повному форматуваннювінчестера, що тягне у себе повну зміну ОС. Багатьом спаде на думку відновлення системи, але це не вихід – навіть є «відкат» дозволить позбутися вірусу, то файли все одно залишаться зашированими.

  • Зараження зазнали вже понад 200 000 комп'ютерів!
Основні цілі атаки були спрямовані на корпоративний сектор, за ним потягнуло вже телекомунікаційні компанії Іспанії, Португалії, Китаю та Англії.
  • Найбільшого удару було завдано по російським користувачам та компаніям. У тому числі «Мегафон», РЗ та, за непідтвердженою інформацією, Слідчий Комітет та МВС. Ощадбанк і МОЗ також повідомили про атаки на свої системи.
За розшифровку даних зловмисники вимагають викуп від 300 до 600 доларів у биткоинах (близько 17 000-34 000 рублів).

Як встановити офіційний ISO-образ Windows 10 без використання Media Creation Tool

Інтерактивна карта зараження (КЛІКНІ ПО КАРТІ)
Вікно з вимогою викупу
Шифрує файли наступних розширень

Незважаючи на націленість вірусу атаки корпоративного сектору, звичайний користувачтак само не застрахований від проникнення WannaCry та можливої ​​втрати доступу до файлів.
  • Інструкція із захисту комп'ютера та даних у ньому від зараження:
1. Виконайте інсталяцію програми Kaspersky System Watcher , яка оснащена вбудованою функцією відкату змін, що виникли від дій шифрувальника, якій таки вдалося обійти засоби захисту.
2. Користувачам антивірусника від «Лабораторії Касперського» рекомендується перевірити, щоб було включено функцію «Моніторинг системи».
3. Користувачам антивірусника від ESET NOD32 для Windows 10 впроваджено функцію перевірки нових доступних оновлень ОС. Якщо ви потурбувалися заздалегідь і вона була у вас включена, то всі необхідні нові оновлення Windows будуть встановлені і ваша система буде повністю захищена від цього вірусу WannaCryptor та інших схожих атак.
4. Також у користувачів продуктів ESET NOD32 є така функція в програмі, як детектування ще невідомих загроз. Цей методзаснований на використання поведінкових, евристичних технологій.

Якщо вірус веде себе як вірус – найімовірніше, це вірус.

Технологія хмарної системи ESET LiveGrid з 12 травня відбивала дуже успішно всі напади атак даного вірусу і все це відбувалося ще до надходження до оновлення сигнатурних баз.
5. Технології ESET надають захищеність у тому числі й пристроям з попередніми системами Windows XP, Windows 8 та Windows Server 2003 (рекомендуємо відмовитися від використання даних застарілих систем). З-за виникла дуже високого рівняПогрози, для даних ОС, Microsoft вирішила випустити оновлення. Завантажити їх.
6. Для зниження до мінімуму загрози заподіяння шкоди вашому ПК, необхідно в терміновому порядку виконати оновлення своєї версії Windows 10: Пуск - Параметри - Оновлення та безпека - Перевірка наявності оновлень (в інших випадках: Пуск - Всі програми - Windows Update - Пошук оновлень - Завантажити та інсталювати).
7. Виконайте встановлення офіційного патчу (MS17-010) від Microsoft, який виправляє помилку сервера SMB, через яку може проникнути вірус. Цей сервер задіяний у цій атаці.
8. Перевірте, щоб на вашому комп'ютері були запущені та у робочому стані всі наявні інструменти безпеки.
9. Перевірте віруси всієї системи. При оголенні шкідливої ​​атаки під назвою MEM: Trojan.Win64.EquationDrug.gen, перезавантажте систему.
І ще раз вам рекомендую перевірити, щоб були встановлені патчі MS17-010.

В даний час фахівці "Лабораторії Касперського", "ESET NOD32" та інших антивірусних продуктів, ведуть активну роботу над написанням програми для дешифрування файлів, що допоможе користувачам заражених ПК для відновлення доступу до файлів.

Facebook

Twitter

VK

Odnoklassniki

Telegram

Природознавство

Вірус-шифрувальник WannaCry: що робити?

По всьому світу прокотилася хвиля нового вірусу-шифрувальника WannaCry (інші назви Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), який зашифровує документи на комп'ютері і вимагає 300-600 USD за їхнє декодування. Як дізнатися, чи заражено комп'ютер? Що потрібно зробити, щоб не стати жертвою? І що зробити, щоб вилікуватись?

Чи заражений комп'ютер вірусом-шифрувальником Wana Decryptor?


За даними Якоба Крустека з Avast, вже заражено понад 100 тисяч комп'ютерів. 57% з них припадає на Росію (чи не так дивна вибірковість?). повідомляє про реєстрацію понад 45 тисяч заражень. Зараженню піддаються як сервери, а й комп'ютери звичайних людей, у яких встановлено операційні системи Windows XP, Windows Vista, Windows 7, Windows 8 та Windows 10. Усі зашифровані документи у своїй назві одержують приставку WNCRY.

Захист від вірусу знайшли ще в березні, коли Microsoft опублікувала «латку», але, судячи з епідемії, що вибухнула, багато користувачів, включаючи системних адміністраторів, проігнорували оновлення системи безпеки комп'ютера І сталося те, що сталося – Мегафон, РЗ, МВС та інші організації працюють над лікуванням своїх заражених комп'ютерів.

Враховуючи глобальний масштаб епідемії, 12 травня Майкрософт опублікувала оновлення захисту і для продуктів, що давно вже не підтримуються – Windows XP і Windows Vista.

Перевірити, чи заражений комп'ютер, можна скориставшись антивірусною утилітою, наприклад Kaspersky або (теж рекомендується на форумі підтримки компанії Касперського).

Як не стати жертвою вірусу-шифрувальника Wana Decryptor?

Перше, що Ви повинні зробити – закрити дірку. Для цього скачайте

15.05.2017, Пн, 13:33, Мск Текст: Павло Притула

Днями в Росії сталася одна з найбільших і найшумніших, судячи з преси, кібератак: напад зловмисників зазнали мережі кількох відомств і найбільших організацій, включаючи МВС. Вірус шифрував дані на комп'ютерах співробітників та вимагав велику суму грошей за те, щоб вони могли продовжити свою роботу. Це приклад того, що ніхто не застрахований від здирників. Тим не менш, з цією загрозою можна боротися - ми покажемо кілька способів, які пропонує Microsoft.

Що ми знаємо про здирників? Начебто це злочинці, які вимагають від вас гроші чи речі під загрозою настання несприятливих наслідків. У бізнесі таке іноді трапляється, всі приблизно уявляють, як треба чинити в таких ситуаціях. Але що робити, якщо вірус-здирник оселився на ваших робочих комп'ютерах, блокує доступ до ваших даних і вимагає переказати гроші певним особам в обмін на код розблокування? Потрібно звертатися до фахівців з інформаційної безпеки. І найкраще зробити це наперед, щоб не допустити проблем.

Число кіберзлочинів у Останніми рокамивиросло на порядок. За даними дослідження SentinelOne, половина компаній у найбільших європейських країнах зазнала атак вірусів-вимагачів, причому більше 80% з них стали жертвами три і більше разів. Аналогічна картина спостерігається у всьому світі. Компанія Clearswift, що спеціалізується на інформаційній безпеці, називає своєрідний «топ» країн, найбільше постраждалих від ransomware – програм-вимагачів: США, Росія, Німеччина, Японія, Великобританія та Італія. Особливий інтерес зловмисників викликають малий і середній бізнес, тому що вони мають більше грошей і більш чутливі дані, ніж приватні особи, і немає потужних служб безпеки, як великі компанії.

Що робити і, головне, як запобігти атакі здирників? Спочатку оцінимо саму загрозу. Атака може проводитись кількома шляхами. Один із найпоширеніших – електронна пошта. Злочинці активно користуються методами соціальної інженерії, ефективність якої не знизилася з часів знаменитого хакера ХХ століття Кевіна Мітника. Вони можуть зателефонувати співробітнику компанії-жертви від імені реально існуючого контрагента і після розмови направити лист із вкладенням, що містить шкідливий файл. Співробітник, звичайно ж, його відкриє, бо він щойно розмовляв із відправником по телефону. Або бухгалтер може отримати листа нібито від служби судових приставів або від банку, в якому обслуговується його компанія. Не застрахований ніхто, і навіть МВС страждає не вперше: кілька місяців тому хакери надіслали до бухгалтерії Казанського лінійного управління МВС фальшивий рахунок від «Ростелекому» із вірусом-шифрувальником, який заблокував роботу бухгалтерської системи.

Джерелом зараження може стати і фішинговий сайт, на який користувач зайшов за обманним посиланням, та «випадково забута» кимось із відвідувачів офісу флешка. Все частіше і частіше зараження відбувається через незахищені мобільні пристрої співробітників, з яких вони отримують доступ до корпоративних ресурсів. А антивірус може і не спрацювати: відомі сотні шкідливих програм, що обходять антивіруси, не кажучи вже про «атаки нульового дня», які експлуатують щойно відкриті «дірки» у програмному забезпеченні.

Що є «кібервимагачем»?

Програма, відома як "вимагач", "шифрувальник", ransomware блокує доступ користувача до операційної системи і зазвичай шифрує всі дані на жорсткому диску. На екрані виводиться повідомлення про те, що комп'ютер заблокований і власник зобов'язаний передати зловмиснику велику суму грошей, якщо хоче повернути собі контроль над даними. Найчастіше на екрані включається зворотний відлік за 2-3 доби, щоб користувач поспішив, інакше вміст диска буде знищено. Залежно від апетитів злочинців та розмірів компанії суми викупу в Росії становлять від кількох десятків до кількох сотень тисяч рублів.

Типи здирників

Джерело: Microsoft, 2017

Ці шкідники відомі вже багато років, але останні два-три роки вони переживають справжній розквіт. Чому? По-перше, тому, що люди платять зловмисникам. За даними «Лабораторії Касперського», 15% російських компаній, атакованих таким чином, воліють заплатити викуп, а 2/3 компаній у світі, які зазнали такої атаки, втратили свої корпоративні дані повністю або частково.

Друге – інструментарій кіберзлочинців став більш досконалим та доступним. І третє – самостійні спроби жертви «підібрати пароль» нічим добрим не закінчуються, а поліція рідко може знайти злочинців, особливо за зворотного відліку.

До речі. Не всі хакери витрачають свій час на те, щоб повідомити пароль жертві, яка перерахувала їм необхідну суму.

У чому проблема бізнесу

Головна проблема в галузі інформаційної безпеки у малого та середнього бізнесу в Росії полягає в тому, що грошей на потужні спеціалізовані засоби ІБ у них немає, а ІТ-систем та співробітників, з якими можуть відбуватися різного роду інциденти, більш ніж достатньо. Для боротьби з ransomwareнедостатньо мати лише налаштовані фаєрвол, антивірус і безпекову політику. Потрібно використовувати всі доступні кошти, що насамперед надаються постачальником операційної системитому що це недорого (або входить у вартість ОС) і на 100% сумісне з його власним ПЗ.

Переважна більшість клієнтських комп'ютерів та значна частина серверів працюють під керуванням ОС Microsoft Windows. Всім відомі вбудовані засоби безпеки, такі, як Захисник Windows» та «Брандмауер Windows», які разом з свіжими оновленнямиОС та обмеженням прав користувача забезпечують цілком достатній для пересічного співробітника рівень безпеки за відсутності спеціалізованих засобів.

Але особливість взаємин бізнесу та кіберзлочинців полягає в тому, що перші часто не знають про те, що вони атаковані іншими. Вони вважають себе захищеними, а насправді зловреди вже проникли через периметр мережі і тихо роблять свою роботу – адже не всі з них поводяться так нахабно, як трояни-вимагачі.

Microsoft змінила підхід до забезпечення безпеки: тепер вона розширила лінійку продуктів ІБ, а також наголошує не тільки на тому, щоб максимально убезпечити компанії від сучасних атак, але і на тому, щоб дати можливість розслідувати їх, якщо зараження все ж таки відбулося.

Захист пошти

Поштову систему, як головний канал проникнення загроз у корпоративну мережу, необхідно захистити додатково. Для цього Microsoft розробила систему Exchange ATP (Advanced Treat Protection), яка аналізує поштові вкладення або інтернет-посилання та своєчасно реагує на виявлені атаки. Це окремий продукт, він інтегрується в Microsoft Exchange і не вимагає розгортання на кожній машині клієнта.

Система Exchange ATP здатна виявляти навіть «атаки нульового дня», тому що запускає всі вкладення у спеціальній «пісочниці», не випускаючи їх в операційну систему, та аналізує їхню поведінку. Якщо воно не містить ознак атаки, то вкладення вважається безпечним і користувач може відкрити його. А потенційно шкідливий файл відправляється до карантину і про нього повідомляється адміністратор.

Щодо посилань у листах, то вони теж перевіряються. Exchange ATP замінює всі посилання на проміжні. Користувач кликає по лінку в листі, потрапляє на проміжне посилання, і система система перевіряє адресу на безпеку. Перевірка відбувається так швидко, що користувач не помічає затримки. Якщо посилання веде на заражений сайт або файл, перехід по ньому забороняється.

Як працює Exchange ATP

Джерело: Microsoft, 2017

Чому перевірка відбувається в момент кліку, а не при отриманні листа - адже тоді на дослідження є більше часу і, отже, знадобляться менші обчислювальні потужності? Це зроблено спеціально для захисту від трюку зловмисників із заміною вмісту за посиланням. Типовий приклад: лист у Поштова скринькаприходить вночі, система проводить перевірку і нічого не виявляє, а до ранку на сайті за цим посиланням вже розміщено, наприклад, файл з трояном, який користувач скачує.

І третина сервісу Exchange ATP – вбудована система звітності. Вона дозволяє проводити розслідування інцидентів, що відбулися, і дає дані для відповідей на запитання: коли сталося зараження, як і де воно сталося. Це дозволяє знайти джерело, визначити шкоду та зрозуміти, що це було: випадкове влучення або цілеспрямована, таргетована атака проти цієї компанії.

Корисна ця система для профілактики. Наприклад, адміністратор може підняти статистику, скільки було переходів за посиланнями, поміченими як небезпечні, і хто з користувачів це робив. Навіть якщо не відбулося зараження, все одно з цими співробітниками слід провести роз'яснювальну роботу.

Щоправда, є категорії співробітників, яких посадові обов'язки змушують відвідувати різні сайти – такі, наприклад, маркетологи, які досліджують ринок. Для них технології Microsoft дозволяють налаштувати політику так, що будь-які файли, що завантажуються, перед збереженням на комп'ютері будуть перевірятися в «пісочниці». Причому правила задаються буквально кілька кліків.

Захист облікових даних

Однією з цілей атак зловмисників є облікові дані користувачів. Технології крадіжок логінів та паролів користувачів досить багато, і їм має протистояти міцний захист. Надій на самих співробітників мало: вони вигадують прості паролі, застосовують один пароль для доступу на всі ресурси та записують їх на стікері, який приклеюють на монітор. З цим можна боротися адміністративними заходами та задаючи програмно вимоги до паролів, але гарантованого ефекту все одно не буде.

Якщо в компанії піклуються про безпеку, в ній розмежовуються права доступу, і, наприклад, інженер або менеджер з продажу не може зайти на бухгалтерський сервер. Але в запасі хакери мають ще один трюк: вони можуть надіслати із захопленого акаунта рядового співробітника лист цільовому фахівцю, який володіє потрібною інформацією (фінансовими даними або комерційною таємницею). Отримавши листа від «колеги», адресат стовідсотково його відкриє і запустить вкладення. І програма-шифрувальник отримає доступ до цінних для компанії даних, за повернення яких компанія може заплатити великі гроші.

Щоб захоплена обліковий записне давала зловмисникам можливості проникнути в корпоративну систему Microsoft пропонує захистити її засобами багатофакторної автентифікації Azure Multifactor Authentication. Тобто для входу потрібно ввести не тільки пару логін/пароль, але й ПІН-код, надісланий у SMS, Push-повідомленні, згенерований мобільним додатком, або відповісти на телефонний дзвінок. Особливо корисна багатофакторна автентифікація під час роботи з віддаленими співробітниками, які можуть входити до корпоративної системи з різних точок світу.

Azure Multifactor Authentication

 

 
Це цікаво: