Профессия шифровальщик (криптограф): где учиться, зарплата, плюсы и минусы, востребованность
Шифр — фр. chiffre — цифра; от араб. ifr — ноль. Кстати, в 2021 году центр профориентации ПрофГид разработал точный тест на профориентацию. Он сам расскажет вам, какие профессии вам подходят, даст заключение о вашем типе личности и интеллекте.
Криптография — тайнопись. от греч. Kryptos — тайный и grapho — пишу) тайнопись.
Особенности профессии
Для чего шифруют информацию? Для того, чтобы она не досталась противнику. Разумеется, это касается не всей информации, а только действительно важной и секретной. Шифр применяют, когда информацию нужно передать своим, но высока вероятность, что она попадёт в чужие руки. Её обязательно нужно защитить, например, при передаче по рации, по электронной почте. Другой вариант: информация хранится в секретной базе данных, но её всё равно зашифровывают на случай проникновения хакеров. «Ключ» от шифра есть только у посвящённых, допущенных к секрету. Информация может быть и военной, и дипломатической, и касаться государственной разведки. А может принадлежать какой-либо коммерческой структуре.
С военной информацией работают военные шифровальщики, если она касается международной разведки и контрразведки — это дело сотрудников ФСБ. В коммерческих структурах ею занимаются сотрудники отделов информационной безопасности.
Иногда шифровка довольно проста: с помощью условного знака, слова или фразы можно предупредить о каком-то событии. Все помнят знаменитый провал связного Штирлица на явочной квартире. Тогда профессор Плейшнер не обратил внимания на выставленный в окно горшок с цветком — предупреждение, что явка провалена, и ходить туда не нужно.
Однако настоящая, профессиональная шифровка не ограничивается одним условным знаком. Это система знаков, которой владеют как отправляющая, так и получающая сторона. «Алекс — Юстасу…», — по тому же фильму про Штирлица многие помнят, как может выглядеть шифровка.
Рядовой шифровальщик, как правило, не разрабатывает шифр самостоятельно, но умеет им пользоваться. По существу, он выполняет роль оператора: получает зашифрованный текст и, применяя «ключ», расшифровывает его. Или наоборот, шифрует для дальнейшей передачи. Каждый раз для передачи послания используется новый шифр. Рядовой шифровальщик берёт его из специального шифровального блокнота, который тщательно оберегается от посторонних.
Разработкой систем шифров, шифрующих программ занимаются криптографы. Для этой работы требуется высокая квалификация. Это же касается и работы криптоаналитика, специалиста по взлому шифров. Имена некоторых криптографов и разработчиков защитных программ широко известны. Среди них — Евгений Касперский, окончивший в своё время технический факультет Высшей краснознамённой школы КГБ (ныне Институт криптографии, связи и информатики Академии ФСБ России).
К минусам профессии шифровальщика можно отнести повышенную секретность. Если шифровальщик допущен серьёзным секретам государственной важности, он не вправе говорить о своей работе никому, даже о том, как именно называется его специальность и в какой структуре он работает. От его умения молчать, а также от его уровня квалификации могут зависеть успехи (или провалы) спецслужб. Если шифровальщик служит в Армии, то ещё несколько лет после службы он не может выезжать за рубеж.
Также весьма секретна информация коммерческая. В коммерческих структурах этот минус оборачивается плюсом: даже у рядовых шифровальщиков отдела информационной безопасности весьма высокие зарплаты.
Рабочее место
Шифровальщик может работать в IT-службах, отделах информационной безопасности компаний. Военные шифровальщики и шифровальщики системы федеральной безопасности —это связисты. Они находятся на службе в соответствующих структурах Министерства обороны или ФСБ.
Важные качества
Для успешной работы необходимы усидчивость, умение концентрировать внимание, математические способности.
Знания и навыки
Шифровальщик должен уметь применять шифры для расшифровки и расшифровки информации. Для разработки методов шифрования информации требуются серьёзные познания в области математики, программирования.
Обучение на шифровальщика
Специальность шифровальщика можно получить в Армии. Например, во время срочной службы, если повезёт, можно попасть в школу шифровальщиков при военном училище. Шанс повышается, если у вас есть диплом техникума связи.
Можно поступить на учёбу и самостоятельно.
Вузы
• Краснодарское высшее военное училище имени генерала армии С.М.Штеменко (КВВУ им. Штеменко)
Специальность «Комплексная защита объектов информатизации».
Квалификация «Специалист по защите информации».
• Институт криптографии, связи и информатики (ИКСИ) Академии ФСБ России
Специальность «Криптография»
Для работы в бизнесе необходимо высшее образование в области IT.
Среди лучших гражданских вузов:
• Московский государственный технический университет им. Н.Э.Баумана (МГТУ им. Баумана)
Факультет «Информатика и системы управления».
Оплата труда
Что такое вирус-шифровальщик и другие вымогатели
Этот текст предназначен для тех людей, которые либо вообще не слышали ничего о троянах-вымогателях, либо слышали, но особо не вникали. Здесь мы постараемся максимально просто и наглядно объяснить, что за звери такие трояны-вымогатели, почему их стоит опасаться и как от них защититься.
Что такое Ransomware?
Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которая за последнее время из просто распространенной стала очень-очень распространенной.
По тому, как они портят жизнь людям, их можно разделить на два основных типа — шифровальщики (крипторы, cryptoransomware) и блокировщики (blockers, блокеры).
Шифровальщики, попадая на ваш компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее — таким образом, что их нельзя открыть. То есть вы не сможете ими воспользоваться. А за расшифровку создатели шифровальщиков требуют выкуп — в среднем около $300, то есть совсем уж дешево от них не отделаться.
Блокировщики получили свое имя за то, что они просто блокируют доступ к устройству. То есть воспользоваться не получится не просто файлами, а всем компьютером целиком. Они тоже требуют выкуп, но обычно не такой большой, как шифровальщики.
Почему о вымогателях стоит знать и что в них страшного
Начнем с того, что вымогателей стало уж очень много и встречаются они уж очень часто. Они есть для всех операционных систем: для Windows, для Mac OS X, для Linux и для Android. То есть трояны-вымогатели встречаются не только для компьютеров, но и для смартфонов и планшетов. Больше всего их для Windows и Android.
К тому же заразиться довольно просто: трояны-вымогатели чаще всего попадают в компьютер, когда пользователи открывают нехорошие почтовые вложения, переходят по сомнительным ссылкам или устанавливают приложения из неофициальных источников. Но могут проникать и с абсолютно добропорядочных сайтов — например, злоумышленники навострились подсовывать их в рекламу.
Также преступники научились убеждать людей, что им предлагается скачать или открыть что-то полезное — письмо из банка, счет, какую-нибудь ценную программу и так далее. При этом на самом деле на компьютер попадает блокировщик или шифровальщик.
Пожалуй, главная проблема шифровальщиков состоит в том, что просто вылечить их вы не сможете. То есть если вы попытаетесь вылечить шифровальщика антивирусом или специальной утилитой, то у вас это, скорее всего, получится — вот только файлы это не вернет: они так и останутся зашифрованными.
Более того, заплатить выкуп — тоже не универсальное лекарство. Во-первых, это дорого. Во-вторых, это поощряет преступников делать новых и новых шифровальщиков. А в-третьих, это еще и не всегда помогает. Согласно нашей статистике, 20% тех, кто все-таки заплатил мошенникам выкуп, так и не получили обратно свои файлы. Просто потому, что преступники — это преступники. Не стоит ждать от них честности.
Как расшифровать файлы?
Если шифровальщик проник в систему и успел натворить дел, то просто так сами вы файлы не расшифруете. Вариантов, по сути, два. Можно, конечно, заплатить выкуп злоумышленникам, но мы бы этого делать не советовали по вышеуказанным причинам.
Второй вариант — зайти на сайт noransom.kaspersky.com и посмотреть, нет ли там декриптора, который помог бы вам расшифровать файлы. Все наши декрипторы абсолютно бесплатны, но, к сожалению, далеко не от всех шифровальщиков получается создать такое лекарство. Так что лучше не доводить до крайностей и защищаться от них заранее.
Как защититься от вымогателей?
Не открывайте подозрительные вложения в почте, не ходите по сомнительным сайтам и не скачивайте программы с каких-либо сайтов, кроме официальных магазинов и сайтов самих разработчиков.
Регулярно делайте резервные копии важных файлов. Если все ваши файлы есть не только на компьютере, но и на отдельном жестком диске или в облаке, то можно просто вылечить шифровальщика и скопировать файлы обратно на компьютер.
На нашем блоге есть более подробный текст, из которого вы можете узнать больше о различных видах вымогателей и о том, откуда они берутся, а также почерпнуть еще несколько полезных советов по борьбе с ними. Ну а чтобы какой-нибудь новый шифровальщик не застал вас врасплох, советуем следить за новостями.
Что представляют собой вирусы-шифровальщики
Если ваш компьютер заражен вирусом шифровальщиком, вам необходимо произвести переустановку Windows.
Это позволит полностью удалить вирус шифровальщик на вашем компьютере.
Наши компьютерные мастера могут произвести переустановку Windows в Уфе и попытаться восстановить зашифрованные файлы
Звоните 8-927-237-48-09
Вирусы-шифровальщики, или по другому их еще называют — криптографические вирусы — особый вид программного обеспечения, который осуществляет шифрование всех файлов на жестком диске. Что подразумевается под словом «шифрование»? При шифровании все файлы превращаются в набор нулей и единиц, то есть представляют собой бессмысленный набор информации, который невозможно открыть ни одной программой.
Это означает, что после шифрования, все файлы Word, Excel и прочие рабочие документы будет невозможно открыть и получить к ним доступ. А если в этих файлах находится ваша курсовая работа, которую вы так старательно выполняли в течении всего месяца? Возмущения от шифрования ваших данных не будет предела, скажу я вам. А если учесть, что большинство студентов хранит свои работы в чаще в одном экземпляре — на рабочем компьютере, то после шифрования жесткого диска того самого рабочего компьютера, студент теряет все наработки по документам. Не спорю, может повезти, если копия курсовой осталась на флешке, однако, есть еще весьма хитрый факт работы вирусов шифровальщиков.
Как и любой вирус, функции, который он выполняет — зависят напрямую от разработчика этого вируса. Что я имею ввиду под функциями? Приведу пример.
После шифрования жесткого диска и всех файлов на нем — вирус сразу не выдает себя. То есть, вы спокойно продолжаете открывать все свои документы и изменять их. При этом, во время правки — вы пользуетесь флешкой, на которой эти документы также есть. Что делает в этом случае вирус-шифровальщик? Вирус отслеживает все устройства, которые вы подсоединяете к USB портам: флешки, медиа-устройства — и постепенно шифрует на них информацию. После некоторого времени, вирус активизируется и блокирует доступ ко всем файлам на компьютере, в том числе успев зашифровать данные и на ваших флешках.
Что имеем в данном случае? Все ваши документы, курсовые, ДИПЛОМНЫЕ РАБОТЫ, и прочие документы — зашифрованы и к ним нет доступа.
Что же делать, чтобы не поймать вирус-шифровальщик?
Ответ весьма прост — включать свою голову и не открывать подряд все файлы. Еще может помочь установка антивируса. Но нужно учесть обязательный факт, что антивирус должен постоянно обновляться. Это очень важный момент, так как любой антивирус, который не обновляется — теряет свою актуальность.
Разновидностью вируса-шифровальщика можно представить на примере наиболее популярного его вида — сомалийские пираты. У разработчика вируса-шифровальщика есть чувство юмора, когда вирус шифрует все данные, на рабочем столе появляется фото, на котором изображены современные пираты на лодке и сообщение, которое гласит о том, что сомалийские пираты захватили вашу яхту — компьютер. И не отдадут вам файлы, пока вы не оплатите им выкуп. Выкуп оплачивается при помощи популярных платежных систем.
Сразу скажу — платить не нужно. Большая вероятность, что имеется возможность расшифровать файлы. Расшифровка может произойти в том случае, если вирус-шифровальщик старой версии. Это значит, что антивирусные компании уже нашли способ расшифровать файлы, которые были зашифрованы этим вирусом.
Что нужно делать, если файлы зашифрованы вирусом
Первым делом, заходим на сайт антивирусной компании Doctor Web. Данная компания часто выкладывает в открытый доступ специальные утилиты, которые позволяют расшифровать файлы. Но есть одно но. Нужно обязательно иметь лицензию на антивирус Doctor Web, тогда сотрудники данной компании вышлют вам данную утилиту. Но, как я уже говорил, часто эти утилиты находятся в открытом доступе на сайте антивирусной компании Doctor Web, где вы можете их скачать и попытаться расшифровать свои файлы.
Почему именно «попытаться расшифровать»?
Потому что новые версии вирусов-шифровальщиков, шифруют файлы по особому алгоритму, который часто не поддаются расшифровке. Что делать в этом случае? В этом случае необходимо скопировать все зашифрованные файлы на отдельный носитель: флешку, жесткий диск, DVD, CD диск. И ждать, пока антивирусные компании не разработают утилиту по расшифровке файлов, которые были зашифрованы этим вирусом.
Что делать дальше, когда все зашифрованные файлы на отдельном устройстве
После копирования зашифрованных файлов на флешку или жесткий диск, необходимо произвести полное форматирование жесткого диска компьютера и новую установку Windows. После установки Windows, необходимо установить антивирус, который будет обновляться и защищать ваши файлы от вирусов-шифровальщиков.
В этом случае, вы можете обратиться в нашу компанию по телефону 8-927-237-48-09 и воспользоваться услугами компьютерной помощи.
Как работает шифровальщик Ryuk, который атакует предприятия / Хабр
Ryuk – это один из самых известных вариантов шифровальщиков за последние несколько лет. С тех пор как он впервые появился летом 2018 года, он собрал внушительный список жертв, особенно в бизнес-среде, которая является главным объектом его атак.
1. Общая информация
Данный документ содержит анализ варианта шифровальщика Ryuk, а также загрузчика, отвечающего за загрузку вредоносной программы в систему.
Шифровальщик Ryuk впервые появился летом 2018 года. Одно из отличий Ryuk от других шифровальщиков заключается в том, что он нацелен на атаку корпоративных окружений.
В середине 2019 года кибер-криминальные группировки атаковали огромное количество испанских компаний с помощью этого шифровальщика.
Рис. 1: Отрывок из El Confidencial по поводу атаки шифровальщика Ryuk [1]
Рис. 2: Отрывок из El País об атаке, произведенной с помощью шифровальщика Ryuk [2]
В этом году Ryuk атаковал большое число компаний в различных странах. Как Вы можете видеть на приведенных ниже рисунках, больше всего пострадали Германия, Китай, Алжир и Индия.
Сравнивая количество кибер-атак, мы можем видеть, что от Ryuk пострадали миллионы пользователей и скомпрометирован огромный объем данных, что привело к серьезному экономическому ущербу.
Рис. 3: Иллюстрация глобальной активности Ryuk.
Рис. 4: 16 стран, наиболее пострадавших от Ryuk
Рис. 5: Количество пользователей, атакованных шифровальщиком Ryuk (в миллионах)
Согласно обычному принципу работы подобных угроз, данный шифровальщик после завершения шифрования показывает жертве уведомление о выкупе, который должен быть уплачен в биткоинах на указанный адрес для восстановления доступа к зашифрованным файлам.
Эта вредоносная программа изменилась с момента своего первого появления.
Анализируемый в данном документе вариант этой угрозы был обнаружен при попытке осуществления атаки в январе 2020 года.
В силу своей сложности данная вредоносная программа часто приписывается организованным кибер- преступным группировкам, известным также как APT-группы.
Часть кода Ryuk имеет заметное сходство с кодом и структурой другого известного шифровальщика Hermes, с которым они имеют ряд одинаковых функций. Именно поэтому изначально Ryuk связывали с северокорейской группой Lazarus, которая в то время подозревалась в том, что стоит за шифровальщиком Hermes.
Впоследствии служба Falcon X компании CrowdStrike отметила, что фактически Ryuk был создан группой WIZARD SPIDER [4].
Есть несколько доказательств в поддержку этого предположения. Во-первых, этот шифровальщик рекламировался на веб- сайте exploit.in, который является известным российским рынком вредоносных программ и ранее был связан с некоторыми российскими APT-группами.
Этот факт исключает теорию о том, что Ryuk мог быть разработан APT-группой Lazarus, т.к. это не соответствует тому, как действует группа.
Кроме того, Ryuk рекламировался как шифровальщик, который не будет работать на российских, украинских и белорусских системах. Такое поведение определяется функцией, обнаруженных в некоторых версиях Ryuk, где она проверяет язык системы, в которой запущен данный шифровальщик, и останавливает его работу в том случае, если у системы русский, украинский или белорусский язык. Наконец, при проведении экспертного анализа машины, которая была взломана группой WIZARD SPIDER, было обнаружено несколько «артефактов», которые предположительно были использованы при разработке Ryuk как варианта шифровальщика Hermes.
С другой стороны, эксперты Габриэла Николао и Лючано Мартинс предположили, что шифровальщик, возможно, был разработан APT-группой CryptoTech [5].
Это следует из того факта, что за несколько месяцев до появления Ryuk эта группа разместила на форуме того же сайта информацию о том, что они разработали новую версию шифровальщика Hermes.
Несколько пользователей форума задались вопросом, действительно ли CryptoTech создал Ryuk. После этого данная группа защитила себя и заявила, что у нее имеются доказательства того, что они разработали 100% этого шифровальщика.
2. Характеристики
Мы начинаем с загрузчика, чья задача заключается в том, чтобы идентифицировать систему, в которой он находится, чтобы можно было запустить «правильную» версию шифровальщика Ryuk.
Хэш загрузчика следующий:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Одна из особенностей этого загрузчика заключается в том, что он не содержит никаких мета- данных, т.е. создатели этой вредоносной программы не включили в него никаких сведений.
Иногда они включают ошибочные данные для того, чтобы заставить пользователя думать, что он якобы запускает легитимное приложение. Однако, как мы увидим позже, в том случае, если заражение не предполагает взаимодействие с пользователем (как в случае с этим шифровальщиком), то злоумышленники не считают необходимым использовать мета-данные.
Рис. 6: Мета-данные образца
Образец был скомпилирован в 32-разрядном формате, чтобы его можно было запускать как в 32-разрядных, так и в 64-разрядных системах.
3. Вектор проникновения
Образец, который загружает и запускает Ryuk, попал в нашу систему через удаленное соединение, а параметры доступа были получены благодаря предварительной RDP-атаке.
Рис. 7: Реестр атаки
Злоумышленнику удалось удаленно войти в систему. После этого он создал исполняемый файл с нашим образцом.
Этот исполняемый файл был заблокирован антивирусным решением перед запуском.
Рис. 8: Блокировка образца
Рис. 9: Блокировка образца
Когда вредоносный файл был заблокирован, злоумышленник попытался загрузить зашифрованную версию исполнительного файла, который также был заблокирован.
Рис. 10: Набор образцов, которые злоумышленник пытался запустить
Наконец, он попытался загрузить другой вредоносный файл через зашифрованную консоль
PowerShell для того, чтобы обойти антивирусную защиту. Но он также был заблокирован.
Рис. 11: PowerShell с заблокированным вредоносным контентом
Рис. 12: PowerShell с заблокированным вредоносным контентом
4. Загрузчик
Когда он выполняется, он записывает файл ReadMe в папку
%temp%, что типично для Ryuk. Данный файл — это требование о выкупе, содержащее адрес электронной почты в домене protonmail, который довольно часто встречается в этом семействе вредоносных программ:
[email protected]
Рис. 13: Требование о выкупе
Во время выполнения загрузчика Вы можете увидеть, что он запускает несколько исполняемых файлов со случайными названиями. Они хранятся в скрытой папке PUBLIC, но если в операционной системе не активна опция «Показывать скрытые файлы и папки», то они так и останутся скрытыми. Более того, эти файлы 64-разрядные в отличие от родительского файла, который 32-разрядный.
Рис. 14: Исполняемые файлы, запускаемые образцом
Как Вы можете видеть на приведенном выше рисунке, Ryuk запускает icacls.exe, который будет использоваться для изменения всех списков контроля доступа ACL (Access control list), таким образом гарантируя доступ и изменение флагов.
Он получает полный доступ под всеми пользователями ко всем файлам на устройстве (/T) независимо от ошибок (/C) и без показа каких-либо сообщений (/Q).
Рис. 15: Параметры выполнения icacls.exe, запущенного образцом
Важно учитывать, что Ryuk проверяет, какая запущена версия Windows. Для этого он
выполняет проверку версии с помощью GetVersionExW, в котором он проверяет значение флага lpVersionInformation, показывающего, является ли текущая версия Windows более поздней, чем Windows XP.
В зависимости от того, работает ли у Вас более поздняя версия нежели Windows XP, загрузчик будет записывать в папку локального пользователя — в данном случае в папку %Public%.
Рис. 17: Проверка версии операционной системы
Записываемый файл — это Ryuk. Затем он запускает его, передавая свой собственный адрес в качестве параметра.
Рис. 18: Выполнение Ryuk через ShellExecute
Первое, что делает Ryuk, — это получение входных параметров. На этот раз существует два входных параметра (сам исполняемый файл и адрес дроппера), которые используются для удаления собственных следов.
Рис. 19: Создание процесса
Вы также можете видеть, что как только он запустил свои исполняемые файлы, он удаляет себя, таким образом не оставляя никаких следов собственного присутствия в той папке, где он был выполнен.
Рис. 20: Удаление файла
5. RYUK
5.1 Присутствие
Ryuk, подобно другим вредоносным программам, пытается оставаться в системе как можно дольше. Как было показано выше, один из способов для достижения этой цели — это скрытное создание и запуск исполняемых файлов. Для этого наиболее распространенной практикой является изменение ключа реестра
CurrentVersion\Run.
В данном случае Вы можете видеть, что для этой цели первый запускаемый файл
VWjRF.exe(название файла генерируется случайным образом) запускает
cmd.exe.
Рис. 21: Выполнение файла VWjRF.exe
Затем вводится команда RUN с именем «svchos«. Таким образом, если Вы захотите в любое время проверить ключи реестра, то Вы достаточно легко сможете не заметить это изменение, учитывая схожесть этого названия с svchost. Благодаря этому ключу Ryuk обеспечивает свое присутствие в системе. Если система до сих пор не была заражена, то когда Вы перезагрузите систему, исполняемый файл повторит попытку снова.
Рис. 22: Образец обеспечивает присутствие в ключе реестра
Мы также можем увидеть, что этот исполняемый файл останавливает две службы:
«audioendpointbuilder«, которая, как следует из ее названия, соответствует системному аудио,
Рис. 23: Образец останавливает службу системного аудио
и samss, которая является службой управления учетными записями. Остановка этих двух служб является характеристикой Ryuk. В данном случае, если система связана с SIEM-системой, то шифровальщик пытается остановить отправку в SIEM каких-либо предупреждений. Таким образом, он защищает свои следующие шаги, поскольку некоторые SAM-службы не смогут правильно начать свою работу после выполнения Ryuk.
Рис. 24: Образец останавливает службу Samss
5.2 Привилегии
Вообще говоря, Ryuk начинается с горизонтального перемещения внутри сети или он запускается другой вредоносной программой, такой как Emotet или Trickbot, которые в случае эскалации привилегий передают эти повышенные права шифровальщику.
Заранее, в качестве прелюдии к процессу внедрения, мы видим, что он выполняет процесс ImpersonateSelf, а это означает, что содержимое безопасности токена доступа будет передано в поток, где оно будет немедленно получено с помощью GetCurrentThread.
Рис. 25: Вызов ImpersonateSelf
Затем мы видим, что он свяжет токен доступа с потоком. Мы также видим, что один из флагов — это DesiredAccess, который может использоваться для контроля доступа, который будет иметь поток. В этом случае значение, которое получит edx, должно быть TOKEN_ALL_ACESS или в противном случае — TOKEN_WRITE.
Рис. 26: Создание токена потока
Затем он будет использовать SeDebugPrivilege и сделает вызов для получения отладочных прав Debug по отношению к потоку, в результате чего, указав PROCESS_ALL_ACCESS, он сможет получить доступ к любому требуемому процессу. Теперь, учитывая, что шифровальщик уже имеет подготовленный поток, остается только приступить к завершающей стадии.
Рис. 27: Вызов SeDebugPrivilege и функция эскалации прав
С одной стороны, мы имеем LookupPrivilegeValueW, предоставляющий нам необходимую информацию о привилегиях, которые мы хотим повысить.
Рис. 28: Запрос информации о привилегиях для их эскалации
С другой стороны, мы имеем AdjustTokenPrivileges, который позволяет получить необходимые права на наш поток. В этом случае самое важное — это NewState, чей флаг будет предоставлять привилегии.
Рис. 29: Настройка прав для токена
5.3 Внедрение
В этом разделе мы покажем, как образец выполняет процесс внедрения, ранее уже упомянутый в данном отчете.
Основной целью процесса внедрения, как и эскалации, является получение доступа к теневым копиям. Для этого ему нужно работать с потоком с правами выше, чем у локального пользователя. Как только он получит такие более высокие права, он удалит копии и внесет изменения в другие процессы для того, чтобы сделать невозможным возврат к более ранней точки восстановления в операционной системе.
Как это обычно бывает с таким видом вредоносных программ, для выполнения внедрения он использует CreateToolHelp32Snapshot, поэтому он делает снимок запущенных в данный момент процессов и пытается получить доступ к этим процессам с помощью OpenProcess. Как только он получает доступ к процессу, он также открывает токен с его информацией для получения параметров процесса.
Рис. 30: Получение процессов с компьютера
Мы можем динамически видеть, как он получает список запущенных процессов в подпрограмме 140002D9C с помощью CreateToolhelp32Snapshot. После их получения он проходит по списку, пытаясь один за другим открыть процессы с помощью OpenProcess до тех пор, пока у него не получится это сделать. В данном случае первый процесс, который он смог открыть, — это «taskhost.exe».
Рис. 31: Динамическое выполнение процедуры для получения процесса
Мы можем видеть, что впоследствии он считывает информацию токена процесса, поэтому он вызывает OpenProcessToken с параметром «20008«
Рис. 32: Чтение информации токена процесса
Он также проверяет, что процесс, в который он будет внедряться, не является csrss.exe, explorer.exe, lsaas.exe или что он имеет набор прав NT authority.
Рис. 33: Исключенные процессы
Мы можем динамически видеть, как он сначала выполняет проверку с помощью информации токена процесса в 140002D9C с целью узнать, является ли учетная запись, чьи права используются для выполнения процесса, учетной записью NT AUTHORITY.
Рис. 34: Проверка NT AUTHORITY
А позже, вне процедуры, он проверяет, что это не csrss.exe, explorer.exe или lsaas.exe.
Рис. 35: Проверка NT AUTHORITY
После того как он сделал снимок процессов, открыл процессы и проверил, что ни один из них не является исключенным, он готов записывать в память процессы, которые будут внедрены.
Для этого он сперва резервирует область в памяти (VirtualAllocEx), записывает в нее (WriteProcessmemory) и создает поток (CreateRemoteThread). Для работы с этими функциями он использует PID-ы выбранных процессов, которые он предварительно получил с помощью CreateToolhelp32Snapshot.
Рис. 36: Код для внедрения
Здесь мы можем динамически наблюдать, как он использует PID процесса для вызова функции VirtualAllocEx.
Рис. 37: Вызов VirtualAllocEx
5.4 Шифрование
В данном разделе мы рассмотрим часть этого образца, связанного с шифрованием. На следующем рисунке Вы можете увидеть две подпрограммы под названием «LoadLibrary_EncodeString» и «Encode_Func«, которые отвечают за выполнение процедуры шифрования.
Рис. 38: Процедуры шифрования
Вначале мы можем видеть, как он загружает строку, которая позже будет использоваться для деобфускации всего, что необходимо: импорты, DLL, команды, файлы и CSP.
Рис. 39: Цепь деобфускации
На следующем рисунке показан первый импорт, который он деобфускирует в регистре R4, LoadLibrary. Это будет использоваться позже для загрузки необходимых DLL. Мы также можем видеть другую строку в регистре R12, которая используется вместе с предыдущей строкой для выполнения деобфускации.
Рис. 40: Динамическая деобфускация
Он продолжает загружать команды, которые он выполнит позже, чтобы отключить резервные копии, точки восстановления и безопасные режимы загрузки.
Рис. 41: Загрузка команд
Затем он загружает локацию, куда он бросит 3 файла: Windows.bat, run.sct и start.bat.
Рис. 42: Локации файлов
Эти 3 файла используются для проверки привилегий, которыми обладают каждая из локаций. Если требуемые привилегии недоступны, Ryuk останавливает выполнение.
Он продолжает загружать строки, соответствующие трем файлам. Первая, DECRYPT_INFORMATION.html, содержит информацию, необходимую для восстановления файлов. Вторая, PUBLIC, содержит открытый ключ RSA.
Рис. 43: Строка DECRYPT INFORMATION.html
Третья, UNIQUE_ID_DO_NOT_REMOVE, содержит зашифрованный ключ, который будет использоваться в следующей подпрограмме для выполнения шифрования.
Рис. 44: Строка UNIQUE ID DO NOT REMOVE
Наконец, он загружает необходимые библиотеки вместе с требуемыми импортами и CSP (Microsoft Enhanced RSA и AES Cryptographic Provider).
Рис. 45: Загрузка библиотек
После того как вся деобфускация завершена, он переходит к выполнению действий, требуемых для шифрования: перебор всех логических дисков, выполнение того, что было загружено в предыдущей подпрограмме, усиление присутствия в системе, заброска файла RyukReadMe.html, шифрование, перебор всех сетевых дисков, переход на обнаруженные устройства и их шифрование.
Все начинается с загрузки «cmd.exe» и записи открытого RSA-ключа.
Рис. 46: Подготовка к шифрованию
Затем он получает все логические диски с помощью GetLogicalDrives и отключает все резервные копии, точки восстановления и безопасные режимы загрузки.
Рис. 47: Деактивация средств восстановления
После этого он усиливает свое присутствие в системе, как мы видели выше, и записывает первый файл RyukReadMe.html в TEMP.
Рис. 48: Публикация уведомления о выкупе
На следующем рисунке Вы можете увидеть, как он создает файл, загружает содержимое и записывает его:
Рис. 49: Загрузка и запись содержимого файла
Чтобы иметь возможность выполнить эти же действия на всех устройствах, он использует
«icacls.exe«, как мы показывали выше.
Рис. 50: Использование icalcls.exe
И, наконец, он начинает шифрование файлов за исключением файлов «*.exe», «*.dll», системных файлов и других локаций, указанных в виде зашифрованного белого списка. Для этого он использует импорты: CryptAcquireContextW (где указано использование AES и RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey и т.д. Также предпринимается попытка расширить свое действие на обнаруженные сетевые устройства с помощью WNetEnumResourceW и затем зашифровать их.
Рис. 51: Шифрование системных файлов
6. Импорты и соответствующие флаги
Ниже приведена таблица со списком наиболее релевантных импортов и флагов, используемых образцом:
7. IOC
Ссылки
- users\Public\run.sct
- Start Menu\Programs\Startup\start.bat AppData\Roaming\Microsoft\Windows\Start
- Menu\ProgramsStartup\start.bat
Технический отчет о шифровальщике Ryuk составлен экспертами антивирусной лаборатории PandaLabs.
8. Ссылки
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/ everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas españolas.”https: //elpais.com/ tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “VB2019 paper: Shinigami’s revenge: the long tail of the Ryuk malware.”https://securelist.com/ story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11/12/2019
4. “Big Game Hunting with Ryuk: Another LucrativebTarge- ted Ransomware.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.
5. “VB2019 paper: Shinigami’s revenge: the long tail of the Ryuk malware.”https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder)
Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder) появились еще в 2005 году вместе с вымогателями. Сейчас криптовирусы обладают более качественным кодом, более серьезными и сложными методами работы и в целом представляют большую опасность, чем раньше. Попав в систему, они зашифровывают все пользовательские файлы или их часть, требуя выкуп за ключ расшифрования или специальную программу-декриптор. Многие создатели шифровальщиков используют для оплаты биткойны, чтобы избежать отслеживания и обнаружения. В 2016 году был замечен огромный всплеск активности таких инфекций; «Лаборатория Касперского» назвала шифровальщики главной темой в информационной безопасности этого года.
Классификация вирусов-шифровальщиков
Поскольку шифровальщики относятся к вредоносным программам, для них справедливы те же типовые классификационные основания, что и для других образцов опасного кода. Например, можно подразделять их по способу распространения: через фишинговые или спам-рассылки, загрузку зараженных файлов, использование файлообменных сервисов и т.д. Преобразовав файлы пользователя, вирус-шифровальщик (virus-encoder) обычно оставляет инструкцию: в виде фона рабочего стола, как текстовый документ на рабочем столе или в каждой папке с зашифрованными файлами.
Предполагается, что после выплаты выкупа пользователь получит подробные инструкции по расшифровке файлов либо специальную утилиту для обратного криптографического преобразования. В среднем шифровальщики требуют за разблокировку 300 долларов США, но не все из них действительно восстанавливают файлы после оплаты. Например, некоторые образцы имеют ошибки в криптопроцедурах, делающие расшифрование невозможным, или вообще не содержат соответствующих функций. Больше всего шифровальщиков написано для операционных систем Windows и Android, хотя существуют разновидности и для macOS или Linux.
Объект воздействия вирусов-шифровальщиков
Обычно целями этих специфических вымогателей являются небольшие организации, но были случаи атак и на крупные компании. Потому создание шифровальщиков — очень прибыльное дело. Так, создатели CryptoLocker в период с октября по декабрь 2013 года заработали около 27 миллионов долларов. Подробнее об их деятельности можно прочитать в статье «Check Point заблокировала кибервымогателя Cryptolocker».
Тем не менее, объектом воздействия могут быть и персональные компьютеры обычных пользователей. В связи с этим полезно помнить, что заражение криптовирусом проще предупредить, чем вылечить:
- Делайте резервные копии важных файлов. Желательно размещать их в облачном хранилище или на внешнем накопителе, который обычно отключен от компьютера.
- Не открывайте подозрительные файлы или ссылки в электронных письмах.
- Скачивайте программы только с сайта разработчика или с проверенных ресурсов.
- Установите себе на компьютер хороший антивирус. Некоторые антивирусные решения предлагают проактивную защиту от вымогателей: например, функция защиты папок с важными данными от любых изменений на уровне файловой системы недавно появилась во встроенном антивирусе Windows Defender.
Если же вы все-таки заразились шифровальщиком, вам может помочь только одно — декриптор, т.е. специальное средство расшифрования. В некоторых случаях его можно найти (и бесплатно скачать) на сайтах производителей антивирусов.
Источник угрозы
Вирусы-шифровальщики распространяются так же, как и любые другие программы-вымогатели. Методы и способы их доставки жертве постепенно усложняются: злоумышленники маскируют их под официальное приложение банка, новую версию известного ПО (зафиксированы даже случаи, когда шифровальщики устанавливались под видом обновления Adobe Flash Player или Oracle Java). Однако самым популярным способом распространения шифровальщиков остается спам.
Анализ риска
В 2016 году произошел всплеск активности шифровальщиков, отголоски которого заметны до сих пор. Современный уровень развития технологий дает возможность легко зашифровать файлы с помощью сверхстойких алгоритмов, расчетное время взлома которых превышает время жизни Вселенной. В ряде случаев производителям антивирусного ПО удается найти изъяны, позволяющие создать декриптор, но иногда восстановление данных оказывается вообще невозможным. Поэтому риск потери важной и ценной информации при атаке шифровальщика очень велик.
Как уже говорилось, основными целями криптовирусов являются предприятия и организации: они более платежеспособны, чем рядовой пользователь. Поэтому в случае масштабной вирусной атаки распространите среди сотрудников информацию о ней и расскажите им о той роли, которую они играют в защите цифровых активов компании. Осведомленность коллег крайне важна. Прежде всего сообщите сотрудникам, что они ни при каких обстоятельствах не должны открывать файлы или переходить по ссылкам, если не знают источника. В случае сомнений им следует обращаться в ИТ-отдел.
В свою очередь, ИТ-специалисты могут использовать программные комплексы, позволяющие создать виртуальную клиентскую программу электронной почты. Это обеспечит защиту от заражения через ссылки в сообщениях или вложения. Используя такие программы в масштабах всей компании, можно гарантировать наличие всех необходимых настроек безопасности. Использование антивируса, технологии DLP (предотвращения утечек информации), «белых» списков и других защитных решений совместно с виртуальной клиентской программой электронной почты создаст дополнительные барьеры на пути инфекции.
Мобильные устройства представляют собой первоочередную цель для вредоносных программ. Использование технологии контейнеризации (containerization) позволяет предотвратить атаки на мобильные устройства за счет централизации операций по управлению, защите и контролю для приложений и данных, не затрагивая личную информацию пользователя. Cистемы виртуализации для мобильных устройств могут блокировать не соответствующие корпоративным требованиям гаджеты сотрудников, выполнять проверку отсутствия взлома («джейлбрейка») для установки пиратских или непроверенных приложений.
Важно и необходимо выполнять резервное копирование всей ценной информации с помощью сервисов синхронизации и обмена файлами: даже если вы заплатили злоумышленнику выкуп, у вас нет никаких гарантий, что данные будут восстановлены. Подобные сервисы хранят несколько версий одного файла, поэтому компании-клиенты могут восстановить доступ к нужной информации, не соглашаясь на условия злоумышленников.
в чём опасность и как защищаться?
Шифровальщики и другие программы класса «ransomware» ежедневно атакуют организации по всему миру. Киберпреступников интересуют в том числе и медицинские учреждения. Как шифровальщики попадают в систему? Как предотвратить заражение? Нужно ли платить организаторам атаки? Обсудим истоки проблемы, ущерб, который может быть нанесён, а также методы противодействия.
- Введение
- Шифруем данные: гарантия, анонимность
- Чем происходящее опасно для медиков?
- Пути проникновения в систему
- 4.1. Заражение через внешние службы удалённого доступа
- 4.2. Атаки «drive-by»
- 4.3. Фишинговые рассылки через электронную почту
- Громкие атаки на медучреждения с использованием шифровальщиков
- 5.1. Прогнозы на будущее
- Как защититься?
- 6.1. Платить или не платить?
- 6.2. Локализация и ликвидация заражений
- 6.2.1. Изоляция
- 6.2.2. Расследование и восстановление
- 6.2.3. Последующие работы
- Выводы
Введение
В 2020 году популярность вирусов-вымогателей взлетела до недостижимых прежде высот и сегодня продолжает бить рекорды. Программы этого типа, попадая в компьютер, шифруют все данные и требуют выкуп за доступ к заблокированной информации. Эксперты Check Point Research (CPR) подсчитали, что за первые четыре месяца нынешнего года с вирусами-вымогателями столкнулось на 102 % больше компаний, чем за аналогичный период прошлого года. Основная цель атакующих — компьютеры работающих удалённо сотрудников крупных компаний, потому что это позволяет получать доступ в корпоративные сети.
Злоумышленники сместили фокус атак с индивидуальных пользователей на крупные организации, в том числе — на государственные и медицинские учреждения. В топ-5 наиболее атакуемых отраслей входят производство, ретейл, государственные учреждения, здравоохранение, строительство. По данным CPR, чаще всего с хакерами-вымогателями сталкиваются в сфере здравоохранения: в среднем за неделю происходит 109 атак на одну организацию (см. рис. 1).
Рисунок 1. Количество атак хакеров-вымогателей в мире за неделю, 2021 г.
Статистика Positive Technologies гласит, что в большинстве случаев при атаках на крупные организации предметами интереса злоумышленников становятся персональные данные, коммерческая тайна и учётные записи, позволяющие получить расширенный доступ к системам организации (рис. 2).
По оценкам Group-IB, в 2020 году минимальный ущерб от атак с применением вирусов-шифровальщиков превысил миллиард долларов. Реальных цифр не знает никто — многие организации предпочитают не предавать огласке факт компрометации системы.
Рисунок 2. Какие данные интересны хакерам-вымогателям
Шифруем данные: гарантия, анонимность
В современных программах-вымогателях злоумышленники используют гибридное шифрование, совмещая высокие скорости симметричных систем и преимущества ключей ассиметричных алгоритмов, когда для расшифровки данных необходим ключ, которым владеет только злоумышленник. Если владелец отказывается платить выкуп за доступ к своей информации, злоумышленники обычно выставляют данные на продажу.
Шифровальщики — понятный и прибыльный для хакеров инструмент, поэтому стоит ожидать дальнейшего развития этого направления и усложнения атак. Вокруг этой темы уже вырос большой рынок. «Энтузиасты» предлагают готовые решения, услуги разработчиков, а также продажу доступов в корпоративные сети компаний и корпораций. Так, хакерская группировка DarkSide в течение многих месяцев сдавала в аренду вирусы-вымогатели для атак на промышленные предприятия, государственные и медицинские учреждения и заработала миллионы.
Чем происходящее опасно для медиков?
Медучреждения занимают первое место по числу совершаемых против них атак с применением шифровальщиков. Количество инцидентов в этой сфере, по оценкам аналитиков, продолжает стремительно расти. Почему так происходит? Большинство медицинских организаций не имеет надёжной защиты, не стремится предавать огласке инциденты в области утечек, но вместе с тем осознаёт опасность отсутствия доступа к данным в течение продолжительного периода и нередко платит преступникам.
Всё это вкупе с понятной и действенной схемой реализации атак открывает хакерам неплохие перспективы. Получив доступ к данным в корпоративной сети медучреждения, атакующие могут реализовать несколько вредоносных сценариев. Вот основные из них:
- блокирование нормальной деятельности медицинских систем, которое может привести к простою в работе, угрожать репутации организации, а также, что самое страшное, непосредственно повлиять на здоровье и жизни людей;
- блокирование данных и их копирование с целью дальнейшего шантажа; иногда после получения выкупа хакеры не останавливаются и через некоторое время переходят к угрозам выложить данные в публичный доступ, что может обернуться серьёзным ударом по репутации.
Пути проникновения в систему
Есть три основных способа первичной компрометации сети с помощью вируса-шифровальщика, с которых начинаются атаки.
Заражение через внешние службы удалённого доступа
Технологии удалённой работы и обучения используются сегодня повсеместно в связи с пандемией. При этом большинство организаций не в состоянии быстро внедрять решения для безопасной удалённой работы сотрудников вне офисов, а одна только уязвимость протокола удалённого рабочего стола (RDP) позволяет злоумышленникам получать административный доступ и, например, использовать те же вирусы-шифровальщики на компьютере жертвы.
Процесс атаки с использованием внешних служб удалённого доступа, как правило, реализуется следующим образом:
- Сканирование открытых RDP-портов.
- Вход в систему: злоумышленник может попытаться получить доступ физически или воспользоваться данными для авторизации, предлагаемыми на рынке соответствующих услуг.
- Отключение системы безопасности: в зависимости от уровня доступа злоумышленник нацелен на отключение максимального количества средств защиты на компьютере жертвы.
- Осуществление вредоносной деятельности: злоумышленник устанавливает вредоносные программы, использует заражённые машины для последующей атаки по сети, осуществляет кражу данных и др.
- Требование выкупа в случае установки вируса-шифровальщика.
Атаки «drive-by»
Метод «drive-by download», или скрытой загрузки, актуален в тех случаях, когда пользователь посещает сайт с вредоносными скриптами в HTTP- или PHP-коде, внедрёнными злоумышленниками вследствие взлома. Также подобная атака может быть реализована при попытках открытия заражённых HTML-сообщений, полученных иным путём. Скрипт способен установить вредоносный код — в том числе вирус-шифровальщик — напрямую на компьютер пользователя.
Для распространения такой атаки злоумышленники могут использовать, например, механизм автоматической установки элементов управления Internet Explorer — ActiveX. В медицинских учреждениях часто встречается устаревшее программное обеспечение, поэтому угроза вполне реальна. Последующая активация вредоносной нагрузки произойдёт в автоматизированном режиме без потребности в каких-то особых действиях со стороны пользователя. Стоит отметить, что для реализации атак типа «drive-by» используются обычные («законные») сайты, предварительно взломанные злоумышленником.
Как правило, атака производится за счёт встроенных в плавающие фреймы ссылок на взломанных веб-ресурсах. Злоумышленники размещают вредоносные скрипты во фреймах веб-страниц, которые могут показаться пользователю достойными доверия.
Другим распространённым способом реализации данного типа атаки является помещение скрипта загрузки стороннего ПО во всплывающие окна. Последние могут представлять собой рекламу или другую активную часть веб-ресурса, причём даже попытка закрытия всплывающего окна может привести к запуску скрипта злоумышленника.
Фишинговые рассылки через электронную почту
Основным каналом распространения шифровальщиков была и остаётся электронная почта. Злоумышленник маскирует письма с вредоносным кодом под обычную рабочую переписку: уведомления из налоговой инспекции, информацию о найме сотрудников и т. д.
Обычная схема выглядит так: злоумышленник отправляет короткое письмо от имени сотрудника компании, партнёра, заказчика и т. п., в тексте указывается минимум подробностей, прикрепляется вложение или URL для перехода в облачное хранилище документов. Также для «достоверности» злоумышленник может добавить отметку имитирующую сведения о проверке письма средствами защиты.
Несмотря на то что такие письма похожи на настоящие, в них обычно несложно распознать фишинговое послание. Если присмотреться, можно увидеть, что адрес отправителя не соответствует подписи и домен отличается от официального.
Громкие атаки на медучреждения с использованием шифровальщиков
Итак, чего конкретно ждать от шифровальщиков, к чему может привести реализация атаки с использованием подобных программ? Назовём некоторые из самых масштабных случаев.
Один из громких кейсов прошлого года, хорошо иллюстрирующий масштаб, — атака вымогателя Ryuk на организацию Universal Health Services (UHS), в состав которой входит 400 медучреждений в США, Великобритании и других странах. Атака затронула не все больницы и клиники, но многие. Компьютеры пользователей не загружались, на некоторых появлялось требование о выкупе. Затронута была и телефонная сеть. Какое-то время медучреждения работали без ИТ-сервисов, а некоторых пациентов пришлось перенаправить в другие больницы.
В марте этого года UHS опубликовала отчёт, где сообщила, что эта атака обошлась ей в 67 млн долларов США. Сюда включены расходы на восстановление данных из бэкапов, упущенная прибыль из-за простоя и снижения потока пациентов и так далее.
А вот инцидент в Ascend Clinical — компании специализирующейся на анализах для пациентов, которые страдают хронической болезнью почек — привёл к утечке данных свыше 77 тысяч больных. Причина заражения: один из сотрудников «неудачно» перешёл по ссылке из фишингового письма. Проникнув в систему, злоумышленники добрались в том числе до персональных данных пациентов — имён, дат рождения и номеров соцстрахования.
Интересно, что при атаках на здравоохранение злоумышленники часто предпочитают шифровать и воровать данные именно с серверов, а не с рабочих станций — как это случилось с серверами Florida Orthopaedic Institute, когда злоумышленники зашифровали (предварительно похитив) данные 640 тысяч пациентов. Впоследствии институт столкнулся с весьма неприятным иском от компании представляющей интересы пострадавших пациентов.
Рисунок 3. Распределение атак хакеров-вымогателей по странам
Прогнозы на будущее
На основе статистики можно с уверенностью сказать, что рост количества площадок для торговли данными по доступу к корпоративным сетям продолжится, что, в свою очередь, повысит число атак на крупные организации.
Не стоит ожидать снижения количества атак на почтовые сервисы с применением шифровальщиков: возможно хищение данных из локальных почтовых сервисов или выведение почтовой системы из строя.
Также стоит отметить нарастающую в России популярность фишинговых партнёрских программ и использование одноразовых ссылок на веб-фишинг через почтовые сервисы.
Как защититься?
Рассмотрим основные пути защиты компьютеров и сети организации от вирусов-шифровальщиков. Действовать нужно проактивно. Прежде всего необходимо внедрить способы, методы, программные решения, позволяющие проводить мониторинг, собирать и анализировать индикаторы компрометации. С учётом быстрого развития методов атак с использованием вирусов-шифровальщиков необходимо также уделять внимание обновлению инструментов мониторинга и обучению персонала.
Приведём основные рекомендации по техническому оснащению инфраструктуры организаций для предотвращения атак:
- Рассмотреть возможность использования решений типа Threat Intelligence для выявления возможных угроз и подозрительной активности до возникновения инцидента. Платформы Threat Intelligence предоставляют возможность сбора информации об угрозах, их классификации, а также выполнения действий направленных на последующий анализ и выгрузку данных в средства защиты и SIEM-системы в режиме реального времени. Рынок российских решений данного класса находится на стадии развития и представлен такими продуктами, как Group-IB Threat Intelligence, Kaspersky Threat Intelligence, Positive Technologies Cybersecurity Intelligence, R-Vision Threat Intelligence.
- Внедрить в организации практику по применению решений класса Malware Detonation Platform, которые эмулируют исполнение кода подозрительного программного обеспечения в изолированной среде для анализа действий. В России соответствующий сегмент рынка представлен такими решениями, как Group-IB Threat Hunting Framework / Polygon, Kaspersky Anti Targeted Attack (KATA), PT Sandbox.
- Обратить внимание на резервное копирование данных в организации. Резервирование должно производиться на постоянной основе, ему должны подлежать все критически важные данные. Копии следует хранить отдельно от основной среды, чтобы злоумышленники не могли получить к ним доступ даже в случае компрометации корпоративной сети. Для защиты файлов на конечных устройствах пользователей пригодится резервное копирование в облачные хранилища.
- Для постоянного поддержания уровня защищённости в сети необходимо развернуть систему безопасности, которая осуществляла бы круглосуточный мониторинг событий по информационной безопасности. Для каждого инцидента должны устанавливаться сложность и значимость для быстрого реагирования и анализа. Также стоит подготовить второй уровень реагирования на инциденты: в крупных компаниях возможна подготовка команды и высококвалифицированных специалистов, а в более мелких организациях — использование услуг сторонних ИТ-компаний (например, MSSP — провайдеров по решению задач информационной безопасности).
- Фишинг и социальная инженерия — в числе главных векторов компрометации, поэтому специалистам по информационной безопасности стоит уделять внимание не только техническим средствам защиты, но и рядовым сотрудникам организации. Необходимо актуализировать организационные документы в части информационной безопасности, проводить обучение по ним, а также осуществлять внеплановый контроль исполнения документов и политик — не только по угрозам фишинга, но и по всем аспектам безопасности при работе с сетью.
- Для достижения необходимого и постоянного уровня защищённости в организации необходимо регулярно проводить аудит безопасности, проверку специалистов и внутренних процессов. Следует разработать систему внутренних проверок, а также включить возможность привлечения третьей независимой стороны. Помимо аудита документации и настроек сети стоит проводить проверки имитирующие действия злоумышленников (испытания на проникновение) для выявления слабых мест в выстроенной системе безопасности.
- Если организация имеет в своём распоряжении крупную распределённую сеть, то необходимо развернуть SIEM-систему для аккумуляции информации о безопасности сети со всех средств защиты для быстрого анализа и реагирования. На российском рынке представлены такие решения, как MaxPatrol SIEM, RuSIEM, КОМРАД, SearchInform SIEM.
- Для обеспечения высокого уровня защиты данных внутри корпоративной сети необходимо сегментировать последнюю и установить межсетевые экраны, например используя такие решения, как Threat Detection System от Group-IB, PT Network Attack Discovery от Positive Technologies, межсетевой экран UserGate, Kaspersky Industrial CyberSecurity, ViPNet IDS и ViPNet xFirewall от компании «ИнфоТеКС», АПКШ «Континент» от компании «Код Безопасности».
- Атаки с использованием вирусов-шифровальщиков в большинстве случаев начинаются с конечных точек, где необходимо установить надёжные средства антивирусной защиты. Такие средства должны быть установлены на все устройства, которые имеют доступ как в корпоративную сеть организации, так и в интернет. Примером отечественного продукта такого рода может быть Kaspersky Endpoint Security.
Платить или не платить?
Здесь всё индивидуально, каждая организация решает сама и универсальных советов быть не может. В большинстве случаев восстановление доступа к похищенным или зашифрованным данным невозможно без ключа или декриптора, находящихся в руках злоумышленника, даже если применяется слабая криптография. Конечно, возможны и ошибки разработчиков вредоносных программ, однако это крайне редко приводит к дешифровке данных.
Также стоит обратить внимание на нежелание организаций афишировать факты компрометации системы и потери значимых данных. В таком случае предпочтение отдаётся варианту выкупа данных у злоумышленника.
О чём стоит помнить, когда вы платите злоумышленникам:
- При такой сделке нет никакой гарантии, что после перевода денег злоумышленник действительно предоставит декриптор для расшифровывания информации.
- В случае удачного расшифровывания данных предоставленным декриптором организация возвращает критически важную информацию и может восстановить работу, однако копия базы всё ещё может быть у злоумышленника. Тогда могут последовать продолжительные требования материального вознаграждения за нераспространение этих данных или информации о самом факте компрометации.
- Как правило, если злоумышленник смог успешно проникнуть в сеть и запустить вирус-шифровальщик, то это говорит о недостаточной защищённости системы. В таком случае нет гарантий, что злоумышленник не получил доступа к другим ресурсам или базам данных организации, что может привести к повторным атакам или вымогательству.
- Также в случае быстрого принятия решения о выплате выкупа у злоумышленника появляется мотивация для повторения мошенничества в сторону данной организации для получения лёгкого заработка.
Таким образом, в случае компрометации ресурсов в первую очередь стоит сконцентрироваться на предотвращении распространения шифровальщика по сети.
Локализация и ликвидация заражений
Как восстанавливаться после атаки? К сожалению, далеко не всегда удаётся обеспечить надлежащий уровень безопасности корпоративных сетей и сервисов организаций, в том числе по причине постоянного развития инструментария злоумышленников и из-за человеческого фактора. В таком случае встаёт вопрос о плане по устранению последствий инцидентов.
Изоляция
В случае обнаружения активности вируса-шифровальщика в корпоративной сети необходимо определить зону заражения, поскольку степень распространения на момент первого появления признаков неизвестна. Нужно изолировать все заражённые компьютеры и сегменты, чтобы вирус не распространялся на другие части сети.
Если сеть предприятия — небольшая и нераспределённая, то данную зону можно определить по логам антивируса, оповещениям от EDR и брандмауэров. В случае больших организаций стоит перед этим провести анализ логов от SIEM-систем.
Отсечение заражённых узлов от сети возможно по сетевому кабелю, через отключение сетевого интерфейса или порта на коммутаторе. Необходимо блокировать межсегментный трафик, исключая необходимые и незаражённые узлы внутри сети, с помощью межсетевых экранов и списков контроля доступа (ACL-листов) на коммутаторах.
На этапе локализации также стоит озаботиться сохранностью улик для последующего анализа путей распространения шифровальщика: следует обратить внимание на сохранность логов и других следов действия вируса на заражённых компьютерах. Также после локализации инцидента необходимо снять образы дисков и сохранить дампы памяти для последующего расследования.
Расследование и восстановление
После локализации инцидента и обеспечения работы незаражённой части сети в штатном режиме необходимо провести анализ действий шифровальщика: определить пути распространения и причины появления. В большинстве случаев источник вируса-шифровальщика — это другие вредоносные программы из семейства троянов, например дроппер, RAT, загрузчик и др. Необходимо найти первичную причину возникновения инцидента, локализовать её и начать процедуры по удалению стороннего программного обеспечения. Также стоит обратить внимание на причины отсутствия блокировки вируса на конечном компьютере.
По итогу анализа путей и причин возникновения шифровальщика необходимо:
- Уничтожить вредоносный код на всех единицах техники в корпоративной сети.
- Выявить уязвимость системы, послужившую причиной возникновения инцидента, и закрыть её через установку средств защиты или изменение настроек.
- Провести обучающие беседы с сотрудниками организации для предотвращения повторного возникновения угрозы.
- Установить все обновления для средств защиты и антивирусных баз.
Последующие работы
После устранения как самой угрозы, так и уязвимости, которая привела к её появлению, возможно введение ранее заражённых машин в общую сеть организации. Если нет необходимости сохранять данные на машинах для последующего анализа и расследования, то по возможности стоит отформатировать компьютеры и восстановить на них данные из резервных копий, сделанных ранее.
Для восстановления последних данных (или всей информации в случае отсутствия системы резервирования) возможно прибегнуть к помощи компаний предоставляющих услуги в сфере кибербезопасности или же попытаться найти открытый декриптор (например, на сайте проекта No More Ransom) для определённого вида шифровальщика.
Также стоит принять решение о том, раскрывать ли информацию об инциденте сотрудникам и акционерам, а также публике через СМИ. Обнародование информации о компрометации сети и возможной утечке данных может привести к репутационным рискам. Вместе с тем, появление данной информации в сети без участия организации может привести к ещё большим потерям.
Выводы
Всем компаниям, которые сталкиваются с действиями киберпреступников (и особенно когда речь идёт о шифровальщиках), необходимо помнить о том, что количество инцидентов будет расти, атаки будут повторяться, если не противостоять хакерам. Необходимо приложить максимум усилий к защищённости своих ресурсов, а также к созданию мощного информационного поля, которое поможет другим организациям. Ведь каждый обнародованный и тщательно изученный инцидент позволяет специалистам по ИБ улучшать стратегию защиты. Когда мы начнём противостоять злоумышленникам единым фронтом, хакерам станет намного сложнее атаковать, их инструменты перестанут работать, стоимость атак возрастёт. В первую очередь следует обеспечить надёжную защиту в медицинской сфере, где под ударом оказываются не только и не столько информационные ресурсы, сколько человеческие жизни.
Особенно важно вести такую работу по противостоянию кибератакам в России, поскольку в нашей стране не развита система страхования рисков для ИБ и отсутствует судебная практика по инцидентам с программами-вымогателями.
Как работает шифровальщик Ryuk, который атакует предприятия
Как работает шифровальщик Ryuk, который атакует предприятия
В 2019 году шифровальщики были одним из ключевых инструментов при совершении кибер-преступлений . Компании и организации в разных странах мира были поражены кибер-атаками, которые использовали этот вид вредоносных программ для шифрования их файлов и требования выкупа. Для проведения волны этих атак использовался целый ряд вариантов шифровальщиков. Однако есть один вариант, который очень часто использовался тогда и который все еще можно увидеть сегодня: Ryuk.Ryuk – это один из самых известных вариантов шифровальщиков за последние несколько лет. С тех пор как он впервые появился летом 2018 года, он собрал внушительный список жертв , особенно в бизнес-среде, которая является главным объектом его атак. В середине 2019 года огромное количество испанских компаний подверглось серьезным атакам, при проведении которых использовался Ryuk для шифрования их систем. Пострадавшие компании представляли различные отрасли и различались по размеру. Например, среди таких компаний оказалась компания Everis и несколько муниципальных органов власти .Но Испания – это единственная страна, которая пострадала от рук этого шифровальщика: среди стран, которые больше всего пострадали от Ryuk, можно увидеть Германию, Китай, Алжир и Индию. За последние три года от Ryuk пострадали миллионы пользователей, он сумел скомпрометировать огромные объемы данных и привести к серьезным экономическим потерям.
Как работает Ryuk
Подобно другим программам-шифровальщикам, после завершения шифрования файлов своих жертв, Ryuk оставляет уведомление с требованием выкупа, в которой говорится, что для восстановления своих файлов жертве необходимо произвести платеж в биткоинах по адресу, указанному в уведомлении.
В образце, проанализированном в компании Panda Security, Ryuk пробрался в систему через удаленное соединение, созданное благодаря RDP-атаке. Злоумышленнику удалось удаленно войти в систему. После входа в систему он создал исполняемый файл с образцом.
Ryuk, как и другие вредоносные программы, пытается оставаться в системе как можно дольше. Один из способов, которым он пытается это сделать, заключается в создании исполняемых файлов и их скрытом запуске. Чтобы иметь возможность шифровать файлы своей жертвы, он также должен иметь соответствующие привилегии. Вообще говоря, Ryuk начинается с горизонтального передвижения по сети жертвы или запускается другой вредоносной программой, такой как Emotet или Trickbot. Они отвечают за расширение привилегий, после чего предоставляют эти более широкие права шифровальщикам.
Как защитить свою компанию от Ryuk
Шифровальщик Ryuk использует множество «трюков», чтобы получить доступ, усилить свое присутствие в системе и зашифровать файлы своих жертв. Как и в случае со всеми шифровальщиками, если у вас нет надлежащей защиты и если вы не следуете соответствующим рекомендациям, эту угрозу будет очень сложно сдержать
.
Компания Panda Security борется с этой угрозой с помощью семейства решений Panda Adaptive Defense , которые сочетают в себе передовую защиту конечных устройств с возможностями EDR-технологий, системой непрерывного мониторинга всех конечных устройств в системе и сервисом 100% классификации. Решение использует в своей работе подход «нулевого доверия»: любой неизвестный процесс или приложение блокируется до тех пор, пока они не будут проанализированы в антивирусной лаборатории. Таким образом, решение способно остановить практически любую угрозу до момента ее запуска, даже такие сложные и «продвинутые» атаки, как Ryuk.Вы можете получить детальную техническую информацию о шифровальщике Ryuk в отчете об этом шифровальщике, составленном экспертами антивирусной лаборатории PandaLabs:
Panda Security в России и СНГ
+7(495)105 94 51, [email protected]
мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на
, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как
Как программы-вымогатели заражают компьютеры | McAfee
Одна из самых быстрорастущих областей киберпреступности — программы-вымогатели — семейство вредоносных программ, которые захватывают компьютер или его данные в заложники, чтобы вымогать деньги у своих жертв. Программы-вымогатели ответственны за повреждение или уничтожение компьютерных файлов и причинение убытков предприятиям со скомпрометированными компьютерами.Вы можете помочь избежать этой растущей онлайн-опасности, узнав больше о том, как программы-вымогатели нацелены на жертв.
Вот несколько способов заражения компьютеров и мобильных устройств:
- Ссылки в электронных письмах или сообщениях в социальных сетях — В этом типе атаки жертва щелкает вредоносную ссылку во вложении электронной почты или сообщении на сайте социальной сети.
- Pay per install — этот популярный метод атакует компьютеры, которые уже являются частью ботнета (группа зараженных компьютеров под контролем преступников, называемых ботмастерами), дополнительно заражая их дополнительным вредоносным ПО.Пастухи ботов, преступники, которые ищут уязвимости в системе безопасности, получают деньги за то, чтобы найти эти возможности.
- Попутные загрузки — эта форма вымогателя устанавливается, когда жертва нажимает на взломанный веб-сайт. Исследователи McAfee Labs отметили увеличение количества скачиваний. В частности, пострадали пользователи некоторых порталов потокового видео.
Программы-вымогатели сложно отследить, потому что многие люди не осознают, что они стали жертвами преступления, а даже если и осознают, они не хотят сообщать об этом.Но есть свидетельства того, что это всемирная проблема киберпреступности с большим количеством жертв. Власти со всего мира сделали предупреждения об этой угрозе. Европол провел совещание экспертов по борьбе с распространением «полицейских программ-вымогателей», а Федеральное управление по информационной безопасности Германии и ФБР выступили с многочисленными предупреждениями о программах-вымогателях.
Многие жертвы не знают, что им делать, кроме удаления инфекции со своего компьютера. Центр жалоб на Интернет-преступления ФБР предлагает жертв:
- Подайте жалобу в Центр рассмотрения жалоб на Интернет-преступления ФБР (IC3).
- Регулярно обновляйте операционные системы и законное антивирусное и антишпионское ПО.
Кроме того, пользователь может связаться с авторитетным компьютерным экспертом для помощи в удалении вредоносного ПО, если он не может сделать это самостоятельно.
Программы-вымогатели продолжают развиваться. Исследователи McAfee Labs предсказывают, что появятся «комплекты» программ-вымогателей для мобильных телефонов, которые позволят злоумышленникам, не обладающим навыками программирования, вымогать платежи. По мере роста этой угрозы мировые правоохранительные органы прилагают все усилия для борьбы с ней.
Что такое Stuxnet? | McAfee
Наследие Stuxnet
Хотя производители Stuxnet, как сообщается, запрограммировали истечение срока его действия в июне 2012 года, а компания Siemens выпустила исправления для своего программного обеспечения PLC, наследие Stuxnet продолжает существовать в других атаках вредоносного ПО, основанных на исходном коде. Эти «сыновья Stuxnet» включают:
- Duqu (2011). Основанный на коде Stuxnet, Duqu был разработан для регистрации нажатий клавиш и сбора данных с промышленных объектов, предположительно для запуска более поздней атаки.
- Пламя (2012). Flame, как и Stuxnet, передавался через USB-накопитель. Flame представлял собой сложную шпионскую программу, которая, помимо прочего, записывала разговоры по Skype, регистрировала нажатия клавиш и собирала снимки экрана. Он был нацелен на правительственные и образовательные организации, а также на некоторых частных лиц, в основном в Иране и других странах Ближнего Востока.
- Havex (2013). Компания Havex намеревалась собрать информацию, в частности, от энергетических, авиационных, оборонных и фармацевтических компаний. Вредоносное ПО Havex нацелено в основном на организации из США, Европы и Канады.
- Industroyer (2016). Это адресные энергообъекты. Ему приписывают отключение электроэнергии на Украине в декабре 2016 года.
- Тритон (2017). Это было нацелено на системы безопасности нефтехимического завода на Ближнем Востоке, что вызвало обеспокоенность по поводу намерений производителя вредоносного ПО причинить физический вред рабочим.
- Самый последний (2018 г.). Сообщается, что неназванный вирус с характеристиками Stuxnet поразил неуказанную сетевую инфраструктуру в Иране в октябре 2018 года.
В то время как обычные пользователи компьютеров не имеют особых причин для беспокойства об этих атаках вредоносного ПО на основе Stuxnet, они явно представляют собой серьезную угрозу для ряда критически важных отраслей, включая производство электроэнергии, электрические сети и оборону. В то время как вымогательство — обычная цель создателей вирусов, вирусы семейства Stuxnet, похоже, больше заинтересованы в атаках на инфраструктуру.Как компания может защитить себя от атаки вредоносных программ, связанных со Stuxnet? Ниже приведены некоторые рекомендации McAfee.
Что такое бесфайловое вредоносное ПО? | McAfee
Требуется защита от определенных типов бесфайловых угроз?
В наши группы по исследованию угроз McAfee входят более 250 исследователей со всего мира, которые анализируют подозрительные объекты и поведение на предмет вредоносных угроз и разрабатывают инструменты, которые напрямую блокируют различные варианты бесфайловых угроз.Мы выпустили несколько сигнатур, блокирующих различные варианты бесфайловых угроз. К ним относятся:
Безфайловая угроза: отражающий самовпрыск
Отражательная загрузка относится к загрузке переносимого исполняемого файла (PE) из памяти, а не с диска. Созданная функция / сценарий может отражать загрузку переносимого исполняемого файла без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения этих созданных сценариев.Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытается внедрить PE в сам процесс PowerShell.
Безфайловая угроза: самовпрыск, отражающий EXE
Отражательная загрузка относится к загрузке PE из памяти, а не с диска. Созданная функция / сценарий может отражать загрузку исполняемого файла (EXE) без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения этих созданных сценариев.Это событие указывает на бесфайловую атаку, при которой сценарий PowerShell пытается внедрить EXE в сам процесс PowerShell.
Безфайловая угроза: дистанционное внедрение отражающей DLL
Отражательная загрузка относится к загрузке PE из памяти, а не с диска. Созданная функция / скрипт может отражать загрузку DLL без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения этих созданных сценариев.Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытался внедрить DLL в удаленный процесс.
Бесфайловая угроза: выполнение вредоносного кода с использованием метода DotNetToJScript
Это событие указывает на попытку выполнить вредоносный шелл-код с использованием техники DotNetToJScript, которая используется в распространенных бесфайловых атаках, таких как CACTUSTORCH. Векторы атак DotNetToJScript позволяют загружать и выполнять вредоносные сборки .NET (DLL, EXE и т. Д.) Прямо из памяти с помощью файлов.NET-библиотеки, доступные через COM. Как и любой другой типичный метод бесфайловой атаки, DotNetToJScript не записывает какую-либо часть вредоносной .NET DLL или EXE на жесткий диск компьютера.
Что такое программы-вымогатели? Определение программы-вымогателя
Программа-вымогатель представляет угрозу для вас и вашего устройства, но что делает эту форму вредоносной программы такой особенной? Слово «выкуп» говорит вам все, что вам нужно знать об этом вредителе. Программа-вымогатель — это программа-вымогатель, которая может заблокировать ваш компьютер, а затем потребовать выкуп за его выпуск.
В большинстве случаев заражение программами-вымогателями происходит следующим образом. Вредоносная программа сначала получает доступ к устройству. В зависимости от типа вымогателя шифруется вся операционная система или отдельные файлы. Затем от жертвы требуют выкуп. Если вы хотите, чтобы минимизировала риск атаки программ-вымогателей , вам следует положиться на высококачественное программное обеспечение для защиты от программ-вымогателей .
Программы-вымогатели: часть семейства вредоносных программ
Вредоносное ПО — это комбинация слов «вредоносный» и «программное обеспечение».Таким образом, термин «вредоносное ПО» охватывает все вредоносные программы, которые могут быть опасны для вашего компьютера. Сюда входят вирусы и трояны.
Как обнаружить программы-вымогатели и защититься от них
Когда дело доходит до защиты от программ-вымогателей, профилактика лучше лечения. Для этого критически важны зоркий взгляд и правильное программное обеспечение безопасности . Сканирование уязвимостей также может помочь вам найти злоумышленников в вашей системе. Во-первых, важно убедиться, что ваш компьютер не является идеальной целью для программ-вымогателей.Программное обеспечение устройства должно всегда обновляться, чтобы пользоваться последними исправлениями безопасности . Кроме того, очень важны осторожные действия, особенно в отношении мошеннических веб-сайтов и вложений электронной почты. Но даже самые лучшие превентивные меры могут потерпеть неудачу, поэтому еще более важно иметь план действий на случай непредвиденных обстоятельств. В случае программ-вымогателей план действий в чрезвычайных обстоятельствах состоит из резервной копии ваших данных . Чтобы узнать, как создать резервную копию и какие дополнительные меры вы можете принять для защиты своего устройства, прочитайте статью Защита от программ-вымогателей: как сохранить ваши данные в безопасности в 2021 году .
Борьба с троянами-шифровальщиками — вы справитесь!
Наиболее распространенные пути заражения вымогателями включают посещение вредоносных веб-сайтов, загрузку вредоносного вложения или через нежелательные надстройки во время загрузок . Одного неосторожного момента достаточно, чтобы спровоцировать атаку программы-вымогателя. Поскольку вредоносная программа разработана таким образом, чтобы оставались необнаруженными как можно дольше , выявить заражение сложно. Атака программ-вымогателей, скорее всего, будет обнаружена программным обеспечением безопасности .
Очевидно, что изменения расширений файлов, повышенная активность ЦП и другая сомнительная активность на вашем компьютере могут указывать на заражение. При удалении программы-вымогателя вам доступны три основных варианта. Первый — это заплатить выкуп , который определенно не рекомендуется . Поэтому лучше попытаться удалить программу-вымогатель с вашего компьютера. Если это невозможно, остается только один шаг: вам нужно будет сбросить настройки компьютера до заводских.
Какие виды программ-вымогателей существуют и что это значит для вас?
Как упоминалось выше, угроза, исходящая от программ-вымогателей, зависит от варианта вируса. Первое, что следует учитывать, это то, что существует две основные категории программ-вымогателей: программа-вымогатель шкафчик-вымогатель и шифровальщик-вымогатель . Их можно выделить следующим образом:
- Locker ransomware — затронуты основные функции компьютера
- Crypto ransomware — отдельные файлы зашифрованы
Тип вредоносного ПО также имеет большое значение, когда дело доходит до выявления и работы с программами-вымогателями.В рамках этих двух основных категорий проводится различие между многочисленными дополнительными типами программ-вымогателей. К ним относятся, например, Locky , WannaCry, и Bad Rabbit.
История программ-вымогателей
Такой шантаж компьютерных пользователей — это не изобретение 21 века. Еще в 1989 году был использован примитивный первопроходец вымогателей. первых конкретных случаев вымогательства было зарегистрировано в России в 2005 году . С тех пор программы-вымогатели распространились по всему миру, и новые типы продолжают приносить успех.В 2011 году наблюдался резкий рост атак программ-вымогателей. В ходе дальнейших атак производители антивирусного программного обеспечения все больше сосредотачивают свои антивирусные сканеры на программах-вымогателях, особенно с 2016 года.
Региональные различия часто можно увидеть в различных атаках программ-вымогателей. Например:
- Некорректные сообщения о нелицензионных приложениях:
В некоторых странах трояны уведомляют жертву о том, что на их компьютере установлено нелицензионное программное обеспечение.Затем сообщение предлагает пользователю произвести платеж.
- Ложные заявления о незаконном содержании:
В странах, где нелегальная загрузка программного обеспечения является обычной практикой, этот подход не особенно эффективен для киберпреступников. Вместо этого в сообщениях вымогателей утверждается, что они исходят от правоохранительных органов и что на компьютере жертвы была обнаружена детская порнография или другой незаконный контент. В сообщении также содержится требование уплаты пени.
Крупнейшая атака программ-вымогателей
Одна из самых крупных и серьезных атак с использованием программ-вымогателей произошла весной 2017 года и получила название WannaCry . В ходе атаки примерно 200 000 жертв из примерно 150 стран попросили заплатить выкуп в биткойнах.
Заключение
Программа-вымогатель во всех ее формах и вариантах представляет значительную угрозу как для частных пользователей , так и для компаний .Это делает еще более важным следить за угрозой, которую она представляет, и быть готовым ко всем непредвиденным обстоятельствам. Поэтому важно знать о программах-вымогателях, хорошо понимать, как вы используете устройства, и устанавливать лучшее программное обеспечение для обеспечения безопасности. Благодаря нашим информативным сообщениям в блогах и отмеченному наградами программному обеспечению безопасности, Kaspersky всегда готов помочь.
Статьи по теме:
Программа-вымогатель — определение, предотвращение и удаление
KasperskyЧто такое программа-вымогатель, что она делает с моим компьютером и как я могу от нее защититься? Вот что вам нужно знать о троянах-шифровальщиках.
Что такое программы-вымогатели? — Определение, профилактика и др.
ИсторияRansomware восходит к 1989 году, когда «вирус СПИДа» использовался для вымогательства денег у получателей вымогателей. Оплата за эту атаку производилась по почте в Панаму, после чего пользователю также был отправлен ключ дешифрования.
В 1996 году программа-вымогатель была известна как «криптовирусное вымогательство», введенное Моти Юнгом и Адамом Янгом из Колумбийского университета. Эта идея, родившаяся в академических кругах, проиллюстрировала прогресс, силу и создание современных криптографических инструментов.Янг и Юнг представили первую криптовирологическую атаку на конференции IEEE Security and Privacy в 1996 году. Их вирус содержал открытый ключ злоумышленника и зашифровал файлы жертвы. Затем вредоносная программа побуждала жертву послать злоумышленнику асимметричный зашифрованный текст для расшифровки и возврата ключа дешифрования — за определенную плату.
Злоумышленники за эти годы проявили изобретательность, требуя платежей, которые практически невозможно отследить, что помогает киберпреступникам оставаться анонимными. Например, печально известный мобильный вымогатель Fusob требует, чтобы жертвы платили подарочными картами Apple iTunes вместо обычной валюты, например долларов.
Атаки программ-вымогателей стали набирать популярность с ростом криптовалют, таких как биткойны. Криптовалюта — это цифровая валюта, в которой используются методы шифрования для проверки и защиты транзакций и управления созданием новых единиц. Помимо Биткойна, существуют и другие популярные криптовалюты, которые злоумышленники предлагают жертвам использовать, например Ethereum, Litecoin и Ripple.
Программа-вымогательатаковала организации практически во всех сферах, причем одним из самых известных вирусов были атаки на Пресвитерианский мемориальный госпиталь.Эта атака высветила потенциальный ущерб и риски программ-вымогателей. Пострадали лаборатории, аптеки и отделения неотложной помощи.
Злоумышленники с социальной инженерией со временем стали более инновационными. The Guardian писал о ситуации, когда новых жертв вымогателей попросили, чтобы двое других пользователей установили ссылку и заплатили выкуп, чтобы их файлы были расшифрованы.
Дополнительная информация о Locky Ransomware>
Атака программ-вымогателей Пресвитерианской мемориальной больницы>
Ransomware | Что такое программа-вымогатель
Все об атаках программ-вымогателей
О программе-вымогателев 2021 году довольно часто говорили в новостях.Возможно, вы слышали истории об атаках на крупные компании, организации или правительственные учреждения, или, возможно, вы, как частное лицо, испытали атаку программы-вымогателя на свое собственное устройство. Заложить все ваши файлы и данные, пока вы не заплатите, — серьезная проблема и пугающая перспектива. Если вы хотите узнать больше об этой угрозе, читайте дальше, чтобы узнать о различных формах программ-вымогателей, о том, как вы их получаете, откуда они поступают, на кого они нацелены и, в конечном итоге, о том, что вы можете сделать для защиты от них.
Не позволяйте программам-вымогателям захватить ваше устройство
Убедитесь, что ваше устройство защищено от программ-вымогателей.
Попробуйте Malwarebytes Premium бесплатно в течение 14 дней.
ПОДРОБНЕЕ
Что такое программа-вымогатель? Определение программы-вымогателя
Вредоносные программы-вымогатели, или программы-вымогатели, — это тип вредоносного ПО, которое не позволяет пользователям получить доступ к их системным или личным файлам и требует уплаты выкупа для восстановления доступа. Хотя некоторые люди могут подумать, что «вирус заблокировал мой компьютер», программы-вымогатели обычно классифицируются как вредоносные программы, отличные от вирусов.Самые ранние варианты программ-вымогателей были разработаны в конце 1980-х годов, и оплата должна была производиться по обычной почте. Сегодня авторы программ-вымогателей приказывают отправлять платеж через криптовалюту или кредитную карту, а злоумышленники нацелены на частных лиц, предприятия и организации всех видов. Некоторые авторы программ-вымогателей продают услугу другим киберпреступникам, известную как «Программа-вымогатель как услуга» или RaaS.
Атаки программ-вымогателей
Как именно злоумышленник проводит атаку программы-вымогателя? Во-первых, они должны получить доступ к устройству или сети.Наличие доступа позволяет им использовать вредоносное ПО, необходимое для шифрования или блокировки вашего устройства и данных. Существует несколько различных способов заражения вашего компьютера программами-вымогателями
Как получить программу-вымогатель?
Malspam
Для получения доступа некоторые злоумышленники используют спам, в котором они рассылают электронное письмо с вредоносным вложением как можно большему количеству людей, видя, кто открывает вложение и, так сказать, «клюет на приманку». Вредоносный спам или вредоносный спам — это незапрашиваемая электронная почта, которая используется для доставки вредоносного ПО.Электронное письмо может включать в себя прикрепленные файлы, например PDF-файлы или документы Word. Он также может содержать ссылки на вредоносные веб-сайты.
Вредоносная реклама
Еще один популярный метод заражения — это вредоносная реклама. Вредоносная реклама или вредоносная реклама — это использование онлайн-рекламы для распространения вредоносных программ практически без вмешательства пользователя. При просмотре веб-сайтов, даже законных, пользователи могут быть перенаправлены на криминальные серверы, даже не нажимая на рекламу. Эти серверы вносят в каталог сведения о компьютерах-жертвах и их местонахождении, а затем выбирают вредоносное ПО, которое лучше всего подходит для доставки.Часто это вредоносное ПО.
Вредоносная реклама часто использует для своей работы зараженный iframe или невидимый элемент веб-страницы. Iframe перенаправляет на целевую страницу эксплойта, и вредоносный код атакует систему с целевой страницы с помощью набора эксплойтов. Все это происходит без ведома пользователя, поэтому это часто называют «потайной загрузкой».
Копирование фишинга
Более целенаправленным средством атаки программ-вымогателей является целевой фишинг.Примером целевого фишинга может быть рассылка электронных писем сотрудникам определенной компании, в которых утверждается, что генеральный директор просит вас пройти важный опрос сотрудников или отдел кадров требует, чтобы вы загрузили и прочитали новую политику. Термин «китобойный промысел» используется для описания таких методов, предназначенных для лиц, принимающих решения на высоком уровне в организации, таких как генеральный директор или другие руководители.
Социальная инженерия
Вредоносная реклама, вредоносная реклама и целевой фишинг могут содержать (и часто содержат) элементы социальной инженерии.Злоумышленники могут использовать социальную инженерию, чтобы обманным путем заставить людей открывать вложения или переходить по ссылкам, выдавая себя законными, будь то из надежного учреждения или друга. Киберпреступники используют социальную инженерию в других типах атак с использованием программ-вымогателей, например, выдавая себя за ФБР, чтобы запугать пользователей и заставить их заплатить им определенную сумму за разблокировку их файлов.
Еще один пример социальной инженерии: злоумышленник собирает информацию из ваших общедоступных профилей в социальных сетях о ваших интересах, местах, которые вы часто посещаете, вашей работе и т. Д.и использовать часть этой информации, чтобы отправить вам сообщение, которое вам кажется знакомым, в надежде, что вы нажмете кнопку, прежде чем поймете, что это незаконно.
Шифрование файлов и требование выкупа
Какой бы метод ни использовал злоумышленник, как только он получит доступ и программа-вымогатель (обычно активируемая жертвой, щелкнув ссылку или открыв вложение) зашифрует ваши файлы или данные, чтобы вы не смогли получить к ним доступ, вы увидите сообщение требуя выкупа, чтобы восстановить то, что они взяли.Часто злоумышленник требует оплаты криптовалютой.
Типы программ-вымогателей
Существует три основных типа программ-вымогателей, от умеренно отталкивающих до опасных для кубинского ракетного кризиса. Это следующие:
Пугающие программы
Scareware, как оказалось, не так уж и страшно. Он включает мошенническое программное обеспечение безопасности и мошенничество с техподдержкой. Вы можете получить всплывающее сообщение о том, что вредоносное ПО было обнаружено и единственный способ избавиться от него — это заплатить.Если вы ничего не сделаете, вас, скорее всего, и дальше будут засыпать всплывающими окнами, но ваши файлы в основном в безопасности.
Законное программное обеспечение для обеспечения кибербезопасности не будет привлекать клиентов таким образом. Если на вашем компьютере еще нет программного обеспечения этой компании, они не будут отслеживать вас на предмет заражения программами-вымогателями. Если у вас есть программное обеспечение для обеспечения безопасности, вам не нужно будет платить за удаление инфекции — вы уже заплатили за программное обеспечение, которое выполняет эту работу.
Шкафчики для экрана
Обновите до оранжевого цвета для этих парней.Когда программа-вымогатель с заблокированным экраном попадает на ваш компьютер, это означает, что вы полностью зависаете от компьютера. После запуска компьютера появится полноразмерное окно, часто сопровождаемое печатью ФБР или Министерства юстиции США официального вида, в которой говорится, что на вашем компьютере обнаружена незаконная деятельность, и вы должны заплатить штраф. Однако ФБР не будет отключать вас от вашего компьютера или требовать оплаты за незаконную деятельность. Если они заподозрят вас в пиратстве, детской порнографии или других киберпреступлениях, они будут использовать соответствующие законные каналы.
Шифрование программ-вымогателей
Это действительно мерзкая штука. Это ребята, которые захватывают ваши файлы и шифруют их, требуя оплаты за расшифровку и повторную отправку. Причина, по которой этот тип программ-вымогателей настолько опасен, заключается в том, что, как только киберпреступники завладевают вашими файлами, никакое программное обеспечение безопасности или восстановление системы не могут вернуть их вам. Если вы не заплатите выкуп — по большей части они ушли. И даже если вы заплатите, нет никакой гарантии, что киберпреступники вернут вам эти файлы.
Программа-вымогатель для Mac
Создатели вредоносных программ для Mac, не оставаясь в стороне от игры с вымогателями, выпустили первую программу-вымогатель для Mac OS в 2016 году. Вымогатель, получивший название KeRanger, заразил приложение Transmission, которое при запуске копировало вредоносные файлы, которые продолжали работать в фоновом режиме. в течение трех дней, пока они не взорвали и не зашифровали файлы. К счастью, встроенная программа Apple для защиты от вредоносных программ XProtect вскоре после обнаружения программы-вымогателя выпустила обновление, которое блокирует заражение пользовательских систем.Тем не менее, программа-вымогатель Mac больше не является теоретической.
Следом за KeRanger были Findzip и MacRansom, обнаруженные в 2017 году. Совсем недавно, в 2020 году, существовало то, что выглядело как программа-вымогатель (ThiefQuest, также известная как EvilQuest), но оказалось, что на самом деле это так называемый «очиститель». Он выдавал себя за программу-вымогатель, чтобы прикрыть тот факт, что он перехватывает все ваши данные, и, хотя он зашифровывал файлы, у пользователей никогда не было возможности расшифровать их или связаться с бандой по поводу платежей.
Мобильный вымогатель
Только в 2014 году на пике популярности печально известного CryptoLocker и других подобных семейств шифровальщики стали широко использоваться на мобильных устройствах.Мобильные программы-вымогатели обычно отображают сообщение о том, что устройство заблокировано из-за незаконной деятельности. В сообщении указано, что телефон будет разблокирован после оплаты комиссии. Мобильные программы-вымогатели часто доставляются через вредоносные приложения и требуют, чтобы вы загрузили телефон в безопасном режиме и удалили зараженное приложение, чтобы получить доступ к вашему мобильному устройству.
На кого нацелены авторы программ-вымогателей?
Когда программа-вымогатель была представлена (а затем повторно представлена), ее первоначальными жертвами были отдельные системы (также известные как обычные люди).Однако киберпреступники начали полностью осознавать свой потенциал, когда развернули программы-вымогатели для бизнеса. Программа-вымогатель оказалась настолько успешной в борьбе с предприятиями, снизив производительность и привела к потере данных и доходов, что ее авторы направили большую часть своих атак на них. К концу 2016 года 12,3 процента глобальных обнаружений предприятий были вымогателями, в то время как только 1,8 процента обнаружений потребителей были программами-вымогателями во всем мире. А к 2017 году 35% предприятий малого и среднего бизнеса подверглись атакам с использованием программ-вымогателей.
Отчет о программах-вымогателях для малого и среднего бизнеса.
Географически атаки программ-вымогателей по-прежнему сосредоточены на западных рынках, при этом Великобритания, США и Канада входят в тройку наиболее целевых стран соответственно. Как и в случае с другими участниками угроз, авторы программ-вымогателей будут следить за деньгами, поэтому они ищут области, которые имеют как широкое распространение на ПК, так и относительное богатство. По мере того, как развивающиеся рынки в Азии и Южной Америке набирают обороты в связи с экономическим ростом, можно ожидать роста числа программ-вымогателей (и других форм вредоносного ПО) и там.
Как удалить программу-вымогатель?
Говорят, унция профилактики стоит фунта лечения. Это, безусловно, верно, когда речь идет о программах-вымогателях. Если злоумышленник зашифровывает ваше устройство и требует выкуп, нет гарантии, что он расшифровывает его вне зависимости от того, заплатите вы или нет.
Вот почему очень важно быть готовым до того, как вас поразит программа-вымогатель. Необходимо предпринять два основных шага:
- Установите программное обеспечение безопасности , прежде чем вы попадете под удар программы-вымогателя
- Создайте резервную копию важных данных (файлов, документов, фотографий, видео и т. Д.).)
Если вы действительно заразились вирусом-вымогателем, первое правило — никогда не платить выкуп. (Теперь это совет, одобренный ФБР.) Все, что он делает, — это побуждает киберпреступников совершать дополнительные атаки против вас или кого-то еще.
Одним из возможных вариантов удаления программ-вымогателей является получение некоторых зашифрованных файлов с помощью бесплатных дешифраторов. Для ясности: не для всех семейств программ-вымогателей были созданы дешифраторы, во многих случаях из-за того, что программа-вымогатель использует передовые и сложные алгоритмы шифрования.И даже если есть дешифратор, не всегда ясно, подходит ли он для правильной версии вредоносного ПО. Вы не хотите дополнительно шифровать файлы, используя неправильный скрипт дешифрования. Поэтому вам нужно будет внимательно следить за самим сообщением о выкупе или, возможно, спросить совета у специалиста по безопасности / ИТ, прежде чем что-либо предпринимать.
Другие способы борьбы с заражением программой-вымогателем включают загрузку продукта безопасности, известного для исправления, и запуск сканирования для удаления угрозы. Вы можете не вернуть свои файлы, но можете быть уверены, что заражение будет устранено.Для программ-вымогателей с блокировкой экрана может потребоваться полное восстановление системы. Если это не помогло, вы можете попробовать запустить сканирование с загрузочного компакт-диска или USB-накопителя.
Если вы хотите попытаться предотвратить заражение шифровальщиком-вымогателем в действии, вам нужно проявлять особую бдительность. Если вы заметили, что ваша система замедляется без всякой причины, выключите ее и отключите от Интернета. Если после повторной загрузки вредоносная программа все еще активна, она не сможет отправлять или получать инструкции от сервера управления и контроля.Это означает, что без ключа или способа получения платежа вредоносная программа может бездействовать. На этом этапе загрузите и установите продукт безопасности и запустите полное сканирование.
Однако эти варианты удаления программ-вымогателей работают не во всех случаях. Как отмечалось выше, будьте активны в своей защите от программ-вымогателей, устанавливая программное обеспечение безопасности, такое как Malwarebytes Premium, и создавая резервные копии всех ваших важных данных.
Как защитить себя от программ-вымогателей?
Эксперты по безопасностисогласны с тем, что лучший способ защиты от программ-вымогателей — это в первую очередь предотвратить их появление.
Прочтите о лучших способах предотвращения заражения программами-вымогателями.
Несмотря на то, что существуют методы борьбы с заражением программ-вымогателей, они в лучшем случае являются несовершенными решениями и часто требуют гораздо больших технических навыков, чем средний пользователь компьютера. Итак, вот что мы рекомендуем делать людям, чтобы избежать последствий атак программ-вымогателей.
Первым шагом в предотвращении программ-вымогателей является инвестирование в надежную кибербезопасность — программу с защитой в реальном времени, разработанную для предотвращения атак сложных вредоносных программ, таких как программы-вымогатели.Вам также следует обратить внимание на функции, которые будут защищать уязвимые программы от угроз (технология защиты от эксплойтов), а также блокировать захват файлов программами-вымогателями (компонент защиты от программ-вымогателей). Например, клиенты, которые использовали расширенную версию Malwarebytes для Windows, были защищены от всех основных атак с использованием программ-вымогателей в 2017 году.
Далее, как бы вам ни было больно, вам необходимо регулярно создавать безопасные резервные копии ваших данных. Мы рекомендуем использовать облачное хранилище с высокоуровневым шифрованием и многофакторной аутентификацией.Однако вы можете приобрести USB-накопители или внешний жесткий диск, на котором вы можете сохранять новые или обновленные файлы — просто обязательно физически отключите устройства от вашего компьютера после резервного копирования, иначе они также могут быть заражены программами-вымогателями.
Затем убедитесь, что ваши системы и программное обеспечение обновлены. Вспышка программы-вымогателя WannaCry воспользовалась уязвимостью в программном обеспечении Microsoft. Хотя компания выпустила исправление для лазейки в безопасности еще в марте 2017 года, многие люди не установили обновление, что сделало их уязвимыми для атак.Мы понимаем, что трудно оставаться на вершине постоянно растущего списка обновлений из постоянно растущего списка программного обеспечения и приложений, используемых в повседневной жизни. Вот почему мы рекомендуем изменить настройки, чтобы включить автоматическое обновление.
Наконец, будьте в курсе. Один из наиболее распространенных способов заражения компьютеров программами-вымогателями — это социальная инженерия. Научите себя (и своих сотрудников, если вы являетесь владельцем компании), как обнаруживать вредоносный спам, подозрительные веб-сайты и другие виды мошенничества. И прежде всего проявляйте здравый смысл.Если это кажется подозрительным, вероятно, так оно и есть.
Как программы-вымогатели влияют на мой бизнес?
GandCrab, SamSam, WannaCry, NotPetya — все это разные типы программ-вымогателей, и они сильно бьют по бизнесу. Фактически, количество атак программ-вымогателей на предприятия выросло на 88% во второй половине 2018 года, поскольку киберпреступники отказываются от атак, ориентированных на потребителей. Киберпреступники признают, что крупный бизнес ведет к крупным выплатам, нацеливаясь на больницы, государственные учреждения и коммерческие учреждения. В целом, средняя стоимость утечки данных, включая исправление, штрафы и выплаты вымогателей, составляет до 3 долларов.86 миллионов.
Большинство случаев вымогательства в последнее время были идентифицированы как GandCrab. Впервые обнаруженный в январе 2018 года, GandCrab уже прошел несколько версий, поскольку авторы угроз усложняют защиту от своих программ-вымогателей и усиливают его шифрование. Подсчитано, что GandCrab уже заработал где-то около 300 миллионов долларов в виде уплаченных выкупов, причем индивидуальный размер выкупа составляет от 600 до 700 000 долларов.
В ходе еще одной заметной атаки, произошедшей в марте 2018 года, программа-вымогатель SamSam нанесла вред городу Атланта, отключив несколько важных городских служб, включая систему сбора доходов и систему ведения полицейского учета.В целом, устранение атаки SamSam обошлось Атланте в 2,6 миллиона долларов.
Принимая во внимание поток атак программ-вымогателей и связанные с ними огромные затраты, сейчас хорошее время, чтобы по-умному защитить свой бизнес от программ-вымогателей. Ранее мы подробно рассматривали эту тему, но вот краткий обзор того, как защитить ваш бизнес от вредоносных программ.
- Сделайте резервную копию ваших данных. Предполагая, что у вас есть резервные копии, устранить атаку программы-вымогателя так же просто, как очистить зараженные системы и заново создать их образ.Вы можете сканировать свои резервные копии, чтобы убедиться, что они не заражены, потому что некоторые программы-вымогатели предназначены для поиска общих сетевых ресурсов. Соответственно, лучше хранить резервные копии данных на безопасном облачном сервере с высокоуровневым шифрованием и многофакторной аутентификацией.
- Исправьте и обновите свое программное обеспечение. Программы-вымогатели часто используют наборы эксплойтов для получения незаконного доступа к системе или сети (например, GandCrab). Пока программное обеспечение в вашей сети обновлено, атаки программ-вымогателей не причинят вам вреда.В этой связи, если ваш бизнес работает на устаревшем или устаревшем программном обеспечении, вы подвергаетесь риску заражения программами-вымогателями, потому что производители программного обеспечения больше не выпускают обновления безопасности. Избавьтесь от ненужного ПО и замените его программным обеспечением, которое все еще поддерживается производителем.
- Обучите конечных пользователей вредоносному спаму и созданию надежных паролей. Предприимчивые киберпреступники, стоящие за Emotet, используют бывшего банковского трояна в качестве средства доставки программ-вымогателей. Emotet использует вредоносный спам, чтобы заразить конечного пользователя и закрепиться в вашей сети.Попадая в вашу сеть, Emotet демонстрирует поведение, похожее на червя, распространяясь от системы к системе, используя список общих паролей. Научившись распознавать вредоносный спам и внедряя многофакторную аутентификацию, вы, конечные пользователи, будете на шаг впереди киберпреступников.
- Инвестируйте в хорошие технологии кибербезопасности. Например, Malwarebytes Endpoint Detection and Response предоставляет вам возможности обнаружения, реагирования и исправления с помощью одного удобного агента во всей вашей сети. Вы также можете запросить бесплатную пробную версию технологии защиты от программ-вымогателей Malwarebytes, чтобы подробнее узнать о нашей технологии защиты от программ-вымогателей.
Что делать, если вы уже стали жертвой программы-вымогателя? Никто не хочет иметь дело с программами-вымогателями постфактум.
- Проверьте, есть ли дешифратор. В некоторых редких случаях вы можете расшифровать свои данные без оплаты, но угрозы программ-вымогателей постоянно развиваются с целью усложнять расшифровку ваших файлов, поэтому не надейтесь.
- Не платите выкуп. Мы давно выступаем за неуплату выкупа, и ФБР (после некоторых разговоров) соглашается.У киберпреступников нет сомнений, и нет гарантии, что вы вернете свои файлы. Более того, платя выкуп, вы демонстрируете киберпреступникам, что атаки программ-вымогателей работают.
Будьте в курсе последних новостей о программах-вымогателях в Malwarebytes Labs.
Программа-вымогатель Malwarebytes для бизнеса
Malwarebytes Endpoint Detection and Response предоставляет варианты ответа, помимо предупреждений, в том числе проприетарный механизм исправления связей и откат от программ-вымогателей.
ПОДРОБНЕЕ
Новости о программах-вымогателях
В 2021 году произошло несколько крупных атак программ-вымогателей. Последние новости об атаках программ-вымогателей читайте в Malwarebytes Labs:
ноябрь 2021
Октябрь 2021 г.
Сентябрь 2021 г.
Август 2021 г.
июль 2021 г.
июнь 2021
Май 2021 года
Апрель 2021 г.
март 2021 г.
Подкасты о программах-вымогателях
Lock and Code — это подкаст Malwarebytes, посвященный кибербезопасности.Слушайте последние выпуски программ-вымогателей:
История атак программ-вымогателей
Первая программа-вымогатель, известная как PC Cyborg или AIDS, была создана в конце 1980-х годов. PC Cyborg зашифрует все файлы в каталоге C: после 90 перезагрузок, а затем потребует от пользователя продлить лицензию, отправив 189 долларов по почте в PC Cyborg Corp. Используемое шифрование было достаточно простым для отмены, поэтому оно не представляло опасности для тех, кто были компьютерной смекалкой.
Поскольку в течение следующих 10 лет появится несколько вариантов, настоящая угроза вымогателей появится только в 2004 году, когда GpCode применил слабое шифрование RSA для хранения личных файлов с целью выкупа.
В 2007 году WinLock возвестил о появлении нового типа программ-вымогателей, которые вместо шифрования файлов блокировали доступ людей к своим рабочим столам. WinLock захватил экран жертвы и отображал порнографические изображения. Затем он потребовал оплату через платное СМС, чтобы удалить их.
С появлением в 2012 году семейства вымогателей Reveton появилась новая форма вымогателя: программа-вымогатель правоохранительных органов. Жертвы будут заблокированы от их рабочего стола и показаны официальной странице, которая включает учетные данные для правоохранительных органов, таких как ФБР и Интерпол.Программа-вымогатель будет утверждать, что пользователь совершил преступление, такое как взлом компьютера, загрузка незаконных файлов или даже участие в детской порнографии. Большинство семейств программ-вымогателей правоохранительных органов требовали уплаты штрафа в размере от 100 до 3000 долларов с помощью предоплаченной карты, такой как UKash или PaySafeCard.
Обычные пользователи не знали, что с этим делать, и полагали, что они действительно находятся под следствием правоохранительных органов. Эта тактика социальной инженерии, теперь называемая подразумеваемой виной, заставляет пользователя сомневаться в собственной невиновности и вместо того, чтобы быть вызванным на действия, которыми они не гордятся, платит выкуп, чтобы все это исчезло.
В 2013 году CryptoLocker заново представил миру шифрование программ-вымогателей — только на этот раз это было намного опаснее. CryptoLocker использовал шифрование военного уровня и хранил ключ, необходимый для разблокировки файлов на удаленном сервере. Это означало, что пользователям было практически невозможно вернуть свои данные, не заплатив выкуп. Этот тип программ-вымогателей-шифровальщиков используется до сих пор, поскольку доказал, что они являются невероятно эффективным инструментом для зарабатывания денег киберпреступниками. Крупномасштабные вспышки программ-вымогателей, такие как WannaCry в мае 2017 г. и Petya в июне 2017 г., использовали шифрование программ-вымогателей, чтобы заманить в ловушку пользователей и компании по всему миру.
В конце 2018 года Рюк ворвался на сцену вымогателей, совершив серию атак на американские новостные издания, а также на Управление Онслоу Уотер и Канализацию Северной Каролины. Интересно отметить, что целевые системы сначала были заражены Emotet или TrickBot, двумя троянами, крадущими информацию, которые теперь используются для доставки других форм вредоносного ПО, например, Ryuk. Директор Malwarebytes Labs Адам Куджава предполагает, что Emotet и TrickBot используются для поиска ценных целей. Как только система заражена и помечена как хорошая цель для вымогателей, Emotet / TrickBot повторно заражает систему с помощью Ryuk.
В 2019 году преступники, стоящие за вымогателем Sodinokibi (предполагаемое ответвление GandCrab), начали использовать поставщиков управляемых услуг (MSP) для распространения инфекций. В августе 2019 года сотни стоматологических кабинетов по всей стране обнаружили, что у них больше нет доступа к своим записям пациентов. Злоумышленники использовали скомпрометированный MSP, в данном случае компанию по разработке программного обеспечения для медицинских записей, чтобы напрямую заразить более 400 стоматологических кабинетов с помощью программного обеспечения для ведения документации.
Также в 2019 году Malwarebytes обнаружил семейство программ-вымогателей Maze.Согласно отчету Malwarebytes о состоянии вредоносного ПО за 2021 год, «Maze вышел за рамки удержания данных в заложниках — он включал дополнительную угрозу публичного обнародования украденных данных в случае невыплаты выкупа». Еще одна банда вымогателей, впервые появившаяся в том же году, — REvil, также известная как «Содин» или «Содинокиби». Изощренная банда программ-вымогателей REvil использует модель «Программа-вымогатель как услуга» (RaaS) для продажи другим лицам, которые хотят использовать их программное обеспечение для совершения атак программ-вымогателей.
В 2020 году появилось еще одно новое семейство программ-вымогателей под названием Egregor.Считается, что это своего рода преемник семейства программ-вымогателей Maze, поскольку многие киберпреступники, работавшие с Maze, перешли на Egregor. Подобно Maze, Egregor использует атаку «двойного вымогательства», при которой они шифруют файлы и крадут данные жертвы, которые они угрожают опубликовать в сети, если не будет уплачен выкуп.
В то время как атаки программ-вымогателей на отдельных лиц были проблемой в течение нескольких лет, атаки программ-вымогателей на предприятия, больницы и системы здравоохранения, школы и школьные округа, органы местного самоуправления и другие организации были в заголовках газет в 2021 году.От Colonial Pipeline до крупного мясоперерабатывающего предприятия JBS и Steamship Authority, крупнейшего паромного сообщения в Массачусетсе, злоумышленники-вымогатели продемонстрировали, что они могут и хотят нарушить работу крупных компаний, которые поставляют товары повседневного спроса, такие как бензин, продукты питания и транспорт.
На протяжении 2021 года мы видели заголовок за заголовком о крупных атаках программ-вымогателей на крупные компании и организации (о многих из них см. В разделе новостей выше). В середине года правительство США заявило, что программы-вымогатели следует расследовать как терроризм, и создало веб-сайт StopRansomware.gov, чтобы собрать воедино информацию о том, как остановить атаки программ-вымогателей и выжить в них. Что принесет оставшаяся часть 2021 и 2022 годов в ландшафте угроз вымогателей? Пока мы не знаем, мы будем здесь, чтобы держать вас в курсе. Следите за обновлениями на этой странице и следите за блогом Malwarebytes Labs, чтобы быть в курсе последних новостей в области кибербезопасности.
Программы-вымогатели
Что такое программы-вымогатели?
Программы-вымогатели — это тактика кибер-вымогательства, при которой вредоносное программное обеспечение удерживает компьютерную систему пользователя в заложниках до тех пор, пока не будет выплачен выкуп.Злоумышленники-вымогатели часто требуют выкуп в криптовалюте, такой как биткойн, из-за ее предполагаемой анонимности и простоты онлайн-платежей. Вредоносное программное обеспечение, используемое при атаке программы-вымогателя, блокирует компьютер пользователя на ограниченное время, после чего выкуп увеличивается в цене или данные пользователя уничтожаются.
Ключевые выводы
- Программы-вымогатели — это разновидность вредоносного ПО, которое шифрует компьютерные файлы пользователя в течение определенного периода времени, делая их недоступными до тех пор, пока злоумышленнику не будет выплачен выкуп.
- Выкуп часто требуется в криптовалюте, такой как биткойн, что облегчает онлайн-анонимные платежи.
- Если выкуп не уплачен своевременно, требуемая сумма может увеличиваться до тех пор, пока в конечном итоге данные пользователя не будут полностью уничтожены.
- Атаки программ-вымогателей были выявлены по всему миру, ежегодно выплачивая вознаграждение в миллиарды долларов.
Общие сведения о программах-вымогателях
Программы-вымогатели — это быстро развивающаяся преступная деятельность, которая затрагивает предприятия, финансовые учреждения, государственные учреждения, медицинские учреждения и другие организации; это продукт развития цифровых технологий.Хотя развитие цифровых технологий дало возможность компаниям улучшить свои отношения с потребителями, предлагая более персонализированные услуги по индивидуальной цене, технологии используются не только законными пользователями для улучшения своих процессов. Злоумышленники также используют новые технологические инструменты для улучшения своих сетевых атак — для развлечения или для получения прибыли. Нарушения данных совершаются для кражи личной информации людей, которая будет продаваться через подпольные веб-каналы за законное платежное средство или криптовалюту.
Кибератаки, такие как отказ в обслуживании (DoS), могут проводиться для развлечения или для заявления. Некоторые злоумышленники отказывают бизнесу в доступе к своему компьютеру, требуя в качестве оплаты определенную сумму биткойнов для повторного входа в систему. Этот последний недобросовестный способ получения зарплаты осуществляется с помощью программ-вымогателей, которые в некотором смысле являются формой DoS-атаки.
20 миллиардов долларов
Предполагается, что программа-вымогательобошлась мировой экономике в 20 миллиардов долларов в 2020 году.
Как работает программа-вымогатель
Программы-вымогатели — это тип вредоносного ПО, которое шифрует системные данные компьютера с помощью ключа, который есть только у злоумышленника. Вредоносное ПО обычно внедряется во вложение электронной почты, программное обеспечение или незащищенный веб-сайт. Пользователь, который пытается получить доступ к любой из этих зараженных программ, запускает программу-вымогатель, которая либо блокирует экран компьютера, либо шифрует файлы в системе. Появляется полноэкранное окно с информацией о том, что компьютер пользователя заблокирован, сумма в деньгах или биткойнах, необходимая для разблокировки системы, и таймер обратного отсчета, который указывает количество времени, оставшееся до уничтожения данных, удерживаемых заложником, или до того, как выкуп увеличен.Злоумышленники-вымогатели обычно требуют, чтобы оплата проводилась через Western Union или посредством специального текстового сообщения. Некоторые злоумышленники требуют оплаты в виде подарочных карт, таких как подарочная карта Amazon или iTunes. Спрос на программы-вымогатели может составлять от нескольких сотен долларов до 50 000 долларов. После оплаты хакеры расшифровывают файлы и освобождают систему.
Злоумышленники могут заразить сразу несколько компьютеров с помощью ботнетов. Ботнет — это сеть устройств, взломанных злоумышленниками без ведома владельцев устройств.Хакеры заражают компьютеры вредоносным ПО, которое дает им контроль над системами, и используют эти взломанные устройства для отправки миллионов скомпрометированных вложений электронной почты на другие устройства и системы. Похищая несколько систем и ожидая выплаты выкупа, преступники рассчитывают получить огромную зарплату.
Пример программы-вымогателя
Корпоративная информация компании, которая оказалась заложником программ-вымогателей, может быть уничтожена, операции могут быть нарушены, репутация может быть повреждена, а финансы потеряны.В 2016 году Голливудский пресвитерианский медицинский центр заплатил около 17000 долларов в биткойнах злоумышленникам, которые взяли в заложники данные о пациентах больницы. Во время кризиса некоторые пациенты были переведены в другие больницы для лечения, и система медицинской документации была недоступна в течение десяти дней, что нарушило повседневную работу больницы.