Как защититься от вирусов-шифровальщиков: пять советов

Программы-шифровальщики за последние годы из экзотики превратились в проблему, с которой уже столкнулись сотни тысяч людей — и может столкнуться каждый. Кибервымогательство стало целой массовой индустрией, в которой даже сформировалось разделение труда: одни преступники пишут вредоносный код, а другие выбирают цели и используют этот код для их заражения, получая процент от выкупа.

В последние пару лет вымогатели сосредоточились на организациях, но это не значит, что обычные пользователи могут забыть об угрозе — по-прежнему есть шанс «попасть под раздачу», в том числе случайно. Так что если вы не хотите остаться без любимых фотографий, важных документов или других файлов, вам не обойтись без навыков защиты от шифровальщиков. Рассказываем о них подробнее.

Что такое вирус-шифровальщик

Это вредоносная программа, которая ищет на диске ценную для пользователя информацию, например документы, таблицы, изображения и базы данных, и шифрует все, что сумела найти. Зашифрованные файлы невозможно открыть и использовать. После этого шифровальщик выводит на экран сообщение с требованием выкупа за восстановление вашей информации.

Дальше бывает несколько вариантов:

• Иногда злоумышленники действительно высылают ключ и инструкции по расшифровке.
• Бывает, что преступники не заморачиваются такими мелочами и просто собирают деньги с жертв, ничего не отдавая взамен.
• Иногда злоумышленники в принципе не могут восстановить данные жертвы — некоторые зловреды повреждают файлы таким образом, что вернуть их уже не получится.

Вирус-шифровальщик может попасть на ваш компьютер разными путями — к примеру, если вы подобрали и подключили чью-то флешку или скачали что-то с незнакомого сайта. Чаще всего для заражения используют электронные письма с опасными вложениями или ссылками на вредоносные сайты. Самое неприятное, что многие шифровальщики могут распространяться среди подключенных к единой сети устройств. Это значит, что поймав зловреда на домашний компьютер, ожидайте атаки и на ноутбук. А один шифровальщик на рабочем устройстве может привести к коллапсу всех коммуникаций компании.

Что делать, если ваши данные зашифровали

Если случилось страшное и ваши данные зашифровали, не паникуйте. Стать жертвой программы-шифровальщика крайне неприятно, но, возможно, вам еще удастся восстановить свои файлы. Вот несколько советов в этой ситуации:

• Ни в коем случае не платите вымогателям. Каждый выкуп — это финансовый вклад в развитие зловредов и сигнал злоумышленникам о том, что продолжать в том же духе выгодно. Кроме того, даже выполнив требования злоумышленников, вы можете ничего не получить взамен.
• На специальном сайте No More Ransom с помощью сервиса «Крипто-шериф» узнайте, какой зловред поразил ваш диск. Возможно, для него уже существует программа-декриптор, с помощью которой можно бесплатно восстановить данные.
• Десятки декрипторов выложены на том же сайте No More Ransom. Ресурс поддерживают Европол и десятки компаний, которые профессионально борются с киберпреступностью.
• Если вы не нашли декриптор для того шифровальщика, который на вас напал, не отчаивайтесь и следите за новостями — возможно, его скоро выпустят.
• Как не стать жертвой шифровальщика

Теперь, когда вы знаете врага в лицо, самое время выучить несколько правил информационной гигиены, которые помогут вам не стать жертвой вымогателей.

1. Делайте резервные копии

Регулярно сохраняйте важные файлы и документы в облачное хранилище типа диска Google или Yandex и на внешний жесткий диск. Если фото можно бэкапить раз в неделю или даже в месяц, то важные документы, над которыми вы работаете прямо сейчас, хорошо бы копировать раз в пару дней или даже каждый день. Долго и лениво? У нас есть советы по автоматизации бэкапов. Только не откладывайте это важное дело: резервная копия поможет и в случае атаки шифровальщика, и если ваш отчет случайно удалит прогулявшийся по клавиатуре кот — но только если копии свежие.

Для успешного бэкапа не забывайте пару важных правил. Во-первых, подключайте резервный жесткий диск, только когда копируете или считываете что-то с него: если он окажется соединен с компьютером в момент нападения шифровальщика, его тоже зашифруют, так что вся затея с бэкапом потеряет смысл. Во-вторых, защитите доступ к облачным хранилищам надежным паролем и двухфакторной аутентификацией, чтобы никто не смог в них набезобразничать.

2. Будьте осторожны с сообщениями

Как мы уже говорили, чаще всего трояны-шифровальщики прячутся во вложениях писем или на зараженных сайтах. Поэтому относитесь к каждому неожиданному письму или сообщению как к потенциальному источнику опасности.

Прежде всего убедитесь, что знаете отправителя. В письмах (впрочем, и в сообщениях в мессенджерах, соцсетях и на форумах) от незнакомцев с максимальным скепсисом оцените содержание и приложенные файлы или ссылки. При малейших сомнениях отправляйте послание в спам — особенно если вам сулят нежданные выплаты и выигрыши.

Чтобы пореже сталкиваться с такими письмами, настройте спам-фильтр и включите проверку почтового трафика в защитном решении, если она там есть.

Если подозрительную ссылку или файл прислал знакомый, хотя вы ни о чем не просили, — свяжитесь с ним по телефону или в другом мессенджере: его аккаунт или почтовый ящик могли взломать.

3. Избегайте подозрительных сайтов

Чтобы заставить жертву скачать троян, киберпреступники используют внушительный арсенал уловок, не ограничиваясь ссылками в сообщениях. Так что если после клика на баннер появляется совсем не тот веб-ресурс, который вы ожидали, или на экране вдруг возникает предложение загрузить что-то на ваш компьютер — немедленно закрывайте страницу. Скорее всего, ваш компьютер пытаются заразить.

4. Вовремя обновляйте программы

Чтобы проникнуть на устройства, злоумышленники часто эксплуатируют известные уязвимости, для которых разработчики программ уже выпустили заплатки. Поэтому те, кто забывает обновлять программы, находятся в зоне особого риска. Включите автоматическое обновление везде, где это можно сделать, и регулярно проверяйте наличие апдейтов для приложений, которые не имеют такой функции.

5. Установите защитное решение

Современные защитные решения умеют распознавать и оперативно блокировать вредоносные программы. К примеру, Kaspersky Internet Security включает целый спектр средств для защиты от шифровальщиков. Даже если особенно хитрый зловред проберется через файловый антивирус, то он не сможет сделать свое черное дело: специальная система анализирует действия запущенных файлов и блокирует попытки шифровать файлы — или отменяет действия вредоносных программ, если они все же успели как-то навредить данным.

Шифровальщики: кто, как и зачем использует их в 2021 году

Этой весной мы во второй раз отмечаем День борьбы с шифровальщиками. Стоит признать, что именно этот вид вредоносного ПО чаще всего вспоминают, когда идет речь о киберугрозах. И не без причин — хотя кибератаки с целью вымогательства происходят давно, за прошедшие годы их характер сильно изменился. Киберпреступники стали смелее, их методы — совершеннее, а список жертв не перестает пополняться. Большинство СМИ, рассказывая о шифровальщиках, уделяют основное внимание пострадавшим от них компаниям, однако в этом отчете мы хотели бы отвлечься от актуальной новостной повестки и рассказать о том, как устроена сама экосистема преступного сообщества.

Мы начнем с разоблачения трех основных мифов, мешающих правильному пониманию феномена шифровальщиков. Затем погрузимся в глубины теневого интернета — увидим, как преступники взаимодействуют друг с другом и какие услуги предлагают. И наконец, расскажем о двух крупных операторах шифровальщиков — REvil и Babuk.

Чтобы создать этот отчет, мы проделали большую работу. Мы хотим, чтобы он помог вам защититься от киберугроз, и просим начать с простого шага: перед тем как приступить к чтению, убедитесь, что ваши данные надежно защищены с помощью резервного копирования.

Часть I. Три мифа о шифровальщиках

Миф 1: банды кибервымогателей — это автономные группировки

2020 год был отмечен ростом числа кампаний «охоты на крупную дичь» (целенаправленного вымогательства значительных сумм у компаний, способных их выплатить). Тогда же мы узнали о появлении нескольких группировок, использующих шифровальщики для проведения таких высокоприбыльных операций. Преступники обнаружили, что жертвы охотнее платят группировкам с репутацией. Чтобы никто не усомнился в их возможности восстановить зашифрованные файлы, они активно расширяют свое онлайн-присутствие, публикуют пресс-релизы, добиваясь, чтобы их имя стало известно всем потенциальным жертвам.

Кроме того, фокусируя внимание на себе, такие группы одновременно отвлекают его от стоящей за ними сложной экосистемы. Кажется, что они действуют как самостоятельные единицы, но на самом деле это лишь верхушка айсберга. В большинстве атак задействовано множество участников, которые оказывают друг другу услуги на площадках теневого интернета.

Например, владельцы бот-сетей и продавцы учетных данных обеспечивают первоначальный доступ к целевой сети, который другие преступники (здесь мы будем называть их

red team — это термин из сферы тестирования на проникновение, означающий команду атакующих испытываемую систему) используют для получения полного контроля над ней. В процессе они собирают информацию о жертве и похищают внутренние документы. Эти данные они могут передать внешним аналитикам, чтобы узнать текущие финансовые показатели жертвы и определить максимально возможную сумму выкупа. Аналитики способны добыть и другую конфиденциальную или компрометирующую информацию для более эффективного шантажа и давления на ключевых сотрудников атакуемой организации. Подготовившись к атаке, red team приобретает программу-шифровальщик у разработчиков в теневом интернете — как правило, в обмен на часть выкупа. Еще один возможный участник операции — упаковщик, который добавит программе дополнительные уровни защиты. Это усложнит ее обнаружение и даст преступникам время, необходимое для шифрования целой сети. Переговоры с жертвой может вести еще одна команда, а затем, когда преступники получат выкуп, им понадобятся навыки

отмывания полученной криптовалюты.

Интересно, что участники этой «цепочки создания ценности» чаще всего не знают друг друга лично. Они общаются в интернете, скрываясь за псевдонимами, а за услуги расплачиваются криптовалютой. Поэтому задержание участников одной из группировок хоть и будет полезно для устрашения других преступников, но почти не скажется на работе системы в целом. Личности сообщников установить не получится, а освободившееся место сразу же займут новые поставщики услуг.

Таким образом, шифровальщики — это часть целой экосистемы. Единственная возможность разрушить ее — перекрыть циркулирующий внутри денежный поток. А значит, прежде всего не платить злоумышленникам.

Миф 2: цели вымогательских атак определяются заранее

По приведенному выше описанию экосистемы шифровальщиков можно сделать некоторые важные выводы о том, как преступники выбирают жертву. Да, они действуют все более смело и стремятся получить все больше денег. Но все же в атаках вымогателей есть элемент случайности — объекты для шантажа они ищут не в рейтингах Forbes.

Как ни странно, люди, получающие первоначальный доступ к сети жертвы, — совсем не те, кто затем развертывает в ней вредоносное ПО. Сбор данных для проникновения — это отдельный бизнес. И чтобы оставаться рентабельным, он нуждается в регулярных поставках «товара». Какой смысл тратить недели на заведомо сложную цель — например, компанию из списка Fortune 500 — если успех не гарантирован? Вместо этого продавцы доступа выбирают объекты попроще. Вот два основных источника, из которых вымогатели получают данные для доступа к потенциальным целям:

• Владельцы бот-сетей. Используя известные семейства вредоносного ПО, они организуют масштабные атаки, цель которых — создание сети зараженных компьютеров. Какое-то время зловред в них остается неактивным. Затем владелец бот-сети (бот-мастер) продает доступ к ней как к ресурсу для монетизации: организации DDoS-атак, рассылки спама или, в случае с шифровальщиками, для внедрения в сеть потенциальной жертвы с помощью этого первоначального заражения.
• Продавцы доступа. Эти злоумышленники отслеживают публично раскрытые уязвимости ПО (уязвимости первого дня), имеющего выход в интернет, — например, VPN-устройств или почтовых шлюзов. Узнав об уязвимости, они стараются скомпрометировать как можно больше серверов до выхода обновления, которое ее устранит.

Пример предложения доступа к корпоративным ресурсам через удаленные рабочие столы (RDP)

В обоих случаях злоумышленники только после вторжения понимают, кого им удалось взломать и могут ли они рассчитывать на получение выкупа. Поэтому их атаки лишь условно можно считать целевыми: вымогатели редко выбирают в качестве жертв конкретные организации. Все это еще раз подчеркивает, как важно своевременно обновлять сервисы, имеющие выход в интернет, и выявлять неактивные заражения до того, как их могут использовать злоумышленники.

Миф 3: киберпреступники — это компьютеризированные уголовники

Да, формально это так. Но экосистема шифровальщиков обширна, и в ней присутствуют не самые очевидные участники. Есть подтвержденные свидетельства ее связи с другими видами преступной деятельности, такими как кардинг и взлом платежных терминалов. Однако в ней замешан и криминалитет другого сорта. В прошлом крупномасштабные атаки с использованием шифровальщиков применялись в деструктивных целях. Вполне вероятно, что некоторые APT-группы до сих пор используют подобную тактику для дестабилизации конкурирующих экономических систем, но скрывают свою причастность к таким кампаниям.

В прошлом году мы выпустили отчет о группировке Lazarus, которая решила попробовать свои силы в «охоте на крупную дичь», а компания ClearSky рассказала об аналогичной активности APT-группы Fox Kitten. По наблюдениям экспертов, прибыльность атак с использованием шифровальщиков привлекла внимание некоторых злоумышленников, имеющих государственную поддержку, которые используют такие атаки для обхода международных санкций.

По нашим данным, такие инциденты составляют лишь малую часть от общего числа атак вымогателей. Нельзя сказать, что для защиты от них компаниям нужны какие-то специальные средства, но само их существование создает дополнительные риски. 1 октября 2020 года Управление по контролю за иностранными активами Министерства финансов США выпустило бюллетень, уточняющий, что перед переводом денег вымогателям компании должны убедиться, что получателя нет в санкционных списках. Это заявление уже оказало заметное влияние на рынок шифровальщиков. Однако нельзя не отметить, что аудит операторов вредоносного ПО — задача нетривиальная.

Часть II. Махинации в теневом интернете

Вдоль рыночных рядов

Большая часть объявлений о продаже незаконных продуктов или услуг в теневом интернете размещается на нескольких крупных площадках, хотя существует и множество мелких тематических ресурсов. Мы проанализировали три основных форума, на которых предлагают услуги, связанные с использованием шифровальщиков. На этих площадках киберпреступники общаются и заключают сделки. Из сотен размещенных там объявлений мы выбрали для анализа несколько десятков — опубликованных известными группировками и прошедших проверку администрации форума. Это были самые разные сообщения: от предложений по продаже исходного кода до регулярно обновляемых объявлений о вакансиях на русском и английском языках.

Виды предложений

Как мы уже сказали, экосистема шифровальщиков состоит из участников, выполняющих разные функции. Форумы теневого интернета частично отражают это положение вещей, несмотря на то что большая часть сообщений там — это объявления о продаже или вакансиях. Как и на любой торговой площадке, их авторы регулярно обновляют актуальные сообщения, а неактуальные — удаляют. Предложения разработчиков и операторов партнерских программ «шифровальщик как услуга» (RaaS) обычно являются:

• приглашениями для операторов присоединиться к партнерским сетям или партнерским программам;
• рекламой исходного кода или программ для сборки шифровальщиков.

Первый тип объявлений предполагает долговременное сотрудничество между оператором группировки, использующей шифровальщик, и ее партнером. Обычно оператор получает от 20% до 40% прибыли, тогда как остальные 60–80% достаются партнеру.

Примеры объявлений с указанием условий партнерской программы

Пока одни операторы ищут партнеров, другие занимаются продажей исходного кода или создают пакеты для самостоятельной сборки шифровальщиков. Цены на такие продукты варьируются от 300 до 5000 долларов США.

Продажа исходного кода или образцов вредоносного ПО, полученных в результате утечки, — это самый простой способ заработать на шифровальщиках, не требующий специальных технических навыков или больших усилий. Правда, не очень прибыльный, поскольку и код, и образцы быстро теряют свою ценность. Существует два типа таких предложений — с технической поддержкой и без нее. Если шифровальщик приобретается без поддержки, то, как только его обнаружат защитные решения, покупателю придется самостоятельно перепаковывать его или искать кого-то, кто сможет это сделать, — но в любом случае это слабо защитит от повторных обнаружений.

Предложения с технической поддержкой (более распространенные на рынке вредоносного ПО для финансовых систем) включают регулярные обновления для шифровальщиков.

В этом смысле ситуация на форумах теневого интернета мало изменилась по сравнению с 2017 годом.

Некоторые разработчики предлагают покупателям только исходный код и программы для сборки без дальнейшей технической поддержки

Предложение оформить подписку на шифровальщик очень похоже на рекламу легитимного программного продукта с указанием предлагаемых услуг и цен

Не всех крупных игроков можно встретить в теневом интернете

Ассортимент предложений на рынках теневого интернета хоть и довольно велик, но все же не отражает все разнообразие экосистемы шифровальщиков. Некоторые крупные группировки вымогателей находят партнеров самостоятельно (так, по нашим данным, Ryuk получала доступ к системам некоторых жертв после заражения их вирусом Trickbot, что указывает на потенциальную связь между двумя группами). В результате на форумах в основном можно встретить менее крупных игроков — операторов RaaS-сервисов, продавцов исходного кода и новичков.

Правила партнерства в теневом интернете

Рынок программ-шифровальщиков закрытый, поэтому операторы очень осторожно выбирают, с кем работать. Это видно из размещаемых ими объявлений и требований, которые предъявляются к потенциальным партнерам.

Первое и главное из них касается географических ограничений: оператор не позволяет партнерам использовать шифровальщики в зоне юрисдикции того государства, где он базируется. За выполнением этого правила строго следят. Партнеры, нарушившие его, немедленно теряют доступ к предоставленным им программам.

Кроме того, операторы тщательно изучают потенциальных контрагентов, чтобы отсеять сотрудников спецслужб, работающих под прикрытием: например, проверяют, насколько хорошо те знают историю страны, которую называют родной (см. пример ниже). Они также могут установить национальные ограничения на основе собственных политических взглядов (опять же из соображений безопасности).

Участники этой группировки проверяют новых партнеров, задавая им вопросы о странах бывшего СНГ, ответить на которые могут только жители этих стран

Группа Avaddon готова рассмотреть кандидатуры англоязычных партнеров при наличии хорошей репутации или депозита

Крупные игроки

Для подробного разбора мы выбрали двух наиболее интересных участников «охоты на крупную дичь» в 2021 году. Первый из них — группировка REvil (также известная как Sodinokibi). Она начала предлагать свои услуги на теневых форумах в 2019 году, и сегодня их RaaS-сервис пользуется отличной репутацией на рынке. Название группировки часто мелькает в новостных заголовках публикаций, связанных с информационной безопасностью. Именно операторы REvil запрашивали самые высокие суммы выкупа в 2021 году.

Другая известная группировка — Babuk. Шифровальщик Babuk стал первой из новых RaaS-угроз, обнаруженных в 2021 году, и используется очень активно.

REvil

Реклама партнерской программы REvil, размещенная на теневом форуме

REvil — один из самых успешных RaaS-сервисов. Активность группировки была впервые замечена в апреле 2019 года, после прекращения работы GandCrab — еще одной, уже несуществующей группы вымогателей.

Для его распространения REvil использует партнеров, найденных на теневых форумах.  Распространители получают 60–75% выкупа, который назначается на основании данных о годовом доходе жертвы. Расчеты ведутся в криптовалюте Monero (XMR). По словам оператора REvil, в 2020 году группировка заработала 100 млн долларов США.

Разработчики регулярно обновляют шифровальщик REvil, чтобы защитить его от обнаружения и повысить эффективность следующих атак. Информация о масштабных обновлениях и новых вакансиях в партнерской программе размещается в тематических ветках на теневых форумах. 18 апреля 2021 года разработчики объявили о проведении закрытого тестирования *nix-реализации шифровальщика.

REvil сообщает о внутреннем тестировании *nix-реализации шифровальщика

Технические подробности

REvil использует симметричный поточный алгоритм Salsa20 для шифрования содержимого файлов, а для ключей к шифру — асимметричный алгоритм на основе эллиптических кривых. Образец вредоносного ПО содержит зашифрованный раздел конфигурации со множеством полей, который позволяет атакующим индивидуально настраивать полезную нагрузку. Исполняемый файл способен завершать перед началом шифрования процессы, внесенные в черный список, извлекать базовую информацию о хосте, шифровать файлы и каталоги на локальных устройствах и в общих сетевых папках, не включенные в белый список. Более подробная информация о технических возможностях REvil доступна в наших приватном и общедоступном отчетах.

Сейчас шифровальщик распространяется в основном путем компрометации RDP-доступа, через уязвимости ПО и с помощью фишинга. Партнеры должны самостоятельно получить первоначальный доступ к корпоративным сетям и внедрить вредоносную программу — это стандартная практика для RaaS-сервисов. Стоит отметить, что у REvil очень высокие требования к новым контрагентам: группировка нанимает исключительно русскоязычных квалифицированных специалистов, имеющих опыт получения доступа к сетям.

За успешным взломом следует повышение привилегий, сбор информации и распространение заражения. Затем операторы оценивают, извлекают и шифруют конфиденциальные файлы. Следующий этап — проведение переговоров с пострадавшей компанией. Если жертва отказывается платить, операторы REvil начинают выкладывать ее конфиденциальную информацию на onion-сайте Happy Blog. В последнее время такая тактика — публиковать похищенные данные на специальных сайтах в качестве меры воздействия на жертву — распространена среди участников «охоты на крупную дичь».

Записи в блоге REvil, содержащие похищенные данные жертв

Примечательно, что в последнее время вымогатели начали использовать голосовые звонки деловым партнерам и журналистам, а также DDoS-атаки, чтобы заставить пострадавших платить. По словам представителя REvil, в марте 2021 года группировка запустила бесплатный партнерский сервис для связи со СМИ и контрагентами жертвы в целях оказания дополнительного давления на нее, а также начала оказывать платные услуги по организации DDoS-атак уровней L3 и L7.

REvil сообщает о новых возможностях шантажа — звонках в прессу и партнерам жертвы

По данным нашего предыдущего исследования, от шифровальщика REvil пострадало около 20 отраслей. Больше всего жертв (30%) пришлось на инженерно-производственный сектор. Далее следуют финансовые организации (14%), поставщики услуг (9%), юридические фирмы (7%) и компании, работающие в сфере IT и телекоммуникаций (7%).

В списке пострадавших оказались Travelex, Brown-Forman Corp, группа фармацевтических компаний Pierre Fabre, а также юридическая фирма Grubman Shire Meiselas & Sacks, обслуживающая звезд шоу-бизнеса. В марте 2021 года группировка атаковала компанию Acer, запросив рекордно большой выкуп — 50 млн долларов США.

18 апреля участники REvil написали, что готовы заявить о своей самой крупномасштабной атаке, на форуме, где киберпреступники набирают новых партнеров. 20 апреля группа опубликовала на сайте Happy Blog ряд документов, которые, по утверждению REvil, являлись чертежами устройств Apple. По словам злоумышленников, данные были похищены из корпоративной сети тайваньской компании Quanta Computer — одного из партнеров Apple. Первоначальный размер выкупа, который преступники потребовали от Quanta, составил 50 млн долларов США.

За последние несколько кварталов группировка REvil стала проводить целевые атаки значительно активнее

REvil — характерный пример группы «охотников на крупную дичь». В 2021 году мы наблюдаем тенденцию к увеличению размеров выкупа, который преступники запрашивают за конфиденциальную информацию скомпрометированных компаний. Появление новых методов давления на жертв, активная разработка вредоносного ПО для других платформ помимо Windows и регулярная вербовка новых партнеров говорят о том, что частота и масштаб атак вымогателей будут только расти.

Babuk

Еще один участник «охоты на крупную дичь» — группировка Babuk. В начале 2021 года мы наблюдали несколько инцидентов с участием ее шифровальщика.

В конце апреля 2021 года участники группы Babuk объявили о прекращении работы, заявив, что собираются сделать исходный код зловреда общедоступным и создать «что-то вроде RaaS с открытыми исходниками». Если менее крупные группировки смогут использовать этот код для своих операций, нас, вероятно, ждет новая волна атак вымогателей. Подобное уже случалось с другими проектами RaaS («шифровальщик как услуга») и MaaS («вредоносное ПО как услуга») — достаточно вспомнить прошлогодний пример с банковским Android-троянцем Cerberus.

Babuk объявляет о прекращении работы

Участники группировки конфигурируют каждый экземпляр программы под конкретную жертву: в нем содержится название компании, индивидуальное сообщение с требованием выкупа и список расширений для зашифрованных файлов. Babuk также использует модель RaaS. Перед заражением партнеры или операторы компрометируют целевую сеть, проводя разведку. Это помогает им решить, как эффективнее внедрить шифровальщик и выбрать наиболее ценные конфиденциальные данные для шантажа. Участники группировки называют себя «киберпанками», которые «проверяют на прочность защиту случайно выбранных корпоративных сетей», используя RDP как вектор заражения. 80% прибыли группировка отдает партнерам.

Реклама партнерской программы Babuk

Babuk рекламирует свои услуги на русскоязычных и англоязычных теневых форумах. В начале января 2021 года участник одного из этих форумов объявил о разработке нового шифровальщика Babuk. Следующие сообщения были посвящены обновлениям и поиску партнеров.

Сообщение для прессы, в котором участники Babuk рассказывают о стратегии группировки и выборе жертв

Белый список группировки включает Китай, Вьетнам, Кипр, а также Россию и другие страны СНГ. Кроме того, операторы отказываются атаковать больницы, некоммерческие благотворительные организации, а также компании с годовым доходом менее 30 млн долларов США по данным ZoomInfo. Чтобы присоединиться к партнерской программе, потенциальные контрагенты должны пройти собеседование, посвященное гипервизорам Hyper-V и ESXi.

Babuk попала в новостные заголовки как первая группировка операторов шифровальщиков, открыто выступающая против ЛГБТ-сообщества и движения Black Lives Matter (BLM). Такой вывод был сделан в связи с тем, что Babuk исключила поддерживающие их организации из своего белого списка. Однако в отчете об итогах работы за два месяца, размещенном на сайте для публикации скомпрометированных данных, преступники сообщили, что изменили свое решение и не будут атаковать фонды и благотворительные организации, помогающие ЛГБТ и BLM.

Технические подробности

Babuk использует симметричный алгоритм шифрования в сочетании с протоколом Диффи — Хеллмана на эллиптических кривых (ECDH). В каждой из обработанных папок зловред оставляет сообщение в формате TXT с заголовком How To Restore Your Files.txt («Как восстановить ваши файлы»). Помимо текста, она содержит ссылки на скриншоты похищенных данных. Это доказывает, что образец вредоносного ПО создается уже после похищения данных, — как мы уже упоминали, каждый экземпляр программы конфигурируется с учетом особенностей конкретной цели.

В записке преступники также предлагают жертве начать переговоры в закрытом чате. Подобные требования характерны не только для группировки Babuk, но и для всех «охотников на крупную дичь». Интересно, что в тексте также есть приватная ссылка на публикацию на onion-сайте, недоступная с его главной страницы. По ссылке злоумышленники размещают несколько скриншотов, текстовое описание украденных данных и угрозы общего характера в адрес жертвы. Если она решает не вступать в переговоры, ссылку делают общедоступной.

Сайт группировки Babuk для публикации скомпрометированных данных

Целями Babuk обычно становятся крупные промышленные организации в Европе, США и Океании: транспортные предприятия, учреждения здравоохранения, поставщики промышленного оборудования и др. Однако недавние события говорят о том, что Babuk расширяет зону своих интересов. Так, 26 апреля о взломе сообщил полицейский департамент округа Колумбия. Ответственность за инцидент взяли на себя операторы Babuk, рассказав о результатах атаки на собственном onion-сайте.

Сообщение Babuk об успешной атаке на полицейский департамент округа Колумбия

По словам участников группировки, им удалось похитить более 250 ГБ данных из внутренней сети департамента. На момент создания этого отчета полицейским оставалось три дня, чтобы начать переговоры, — злоумышленники пообещали, что в противном случае начнут передавать похищенные данные преступным группировкам. Они также предупредили, что продолжат атаки на государственный сектор США.

Скриншоты файлов, украденных из сети полицейского департамента округа Колумбия, размещенные операторами Babuk на сайте для публикации скомпрометированных данных в теневом интернете

Заключение

23 апреля 2021 года мы опубликовали отчет об активности шифровальщиков. Из него следует, что пользователей, столкнувшихся с этим видом угрозы, стало намного меньше. Однако эти данные нужно правильно интерпретировать: для частных лиц вероятность стать жертвой шифровальщика действительно снизилась, но для компаний этот риск как никогда высок.

Аппетиты преступников растут, поэтому экосистема шифровальщиков продолжает развиваться и уже представляет собой серьезную угрозу для корпораций по всему миру.

Малым и средним компаниям тоже стоит быть начеку. Раньше им не приходилось всерьез беспокоиться об информационной безопасности: они были недостаточно крупными, чтобы привлечь внимание APT-групп, и при этом вполне могли защититься от типовых и случайных атак. Но все изменилось. Сегодня любой бизнес должен быть готов дать отпор преступным группировкам. К счастью, большинство злоумышленников предпочитают легкие цели, поэтому для защиты от них достаточно основных процедур.

12 мая, в День борьбы с шифровальщиками, «Лаборатория Касперского» призывает соблюдать правила безопасности, которые помогут защитить ваш бизнес от вымогателей:

• Своевременно обновляйте ПО на всех устройствах, чтобы злоумышленники не могли использовать его уязвимости для проникновения в сеть.
• В своей стратегии защиты сфокусируйтесь на том, чтобы не допустить распространения вредоносного ПО и утечки данных в интернет. Отслеживайте исходящий трафик, чтобы выявить несанкционированные подключения. Сохраняйте резервные копии своих данных в офлайн-хранилища — так преступники не смогут добраться до них. Обеспечьте быстрый доступ к ним на случай экстренной ситуации.
• Чтобы защитить корпоративную среду, обучайте своих сотрудников правилам информационной безопасности. Используйте для этого специальные учебные курсы — например, представленные на платформе Kaspersky Automated Security Awareness Platform. Бесплатное занятие на тему защиты от шифровальщиков доступно здесь.
• Проводите аудиты кибербезопасности, устраняйте уязвимости периметра и сетей.
• Обеспечьте все рабочие места защитой от шифровальщиков. Бесплатная утилита Kaspersky Anti-Ransomware для бизнеса защищает компьютеры и серверы от шифровальщиков и других видов вредоносного ПО и предотвращает эксплойты. При этом она не будет конфликтовать с уже установленными защитными решениями.
• Установите решения для контроля рабочих мест и защиты от целевых атак с функциями обнаружения продвинутых угроз, расследования инцидентов и ликвидации последствий атак. Обеспечьте сотрудникам своего центра мониторинга и реагирования (SOC) доступ к актуальным данным по угрозам и регулярно повышайте их квалификацию. Если вам не хватает собственных специалистов по ИБ, обратитесь за помощью к поставщику MDR-сервисов — управляемых услуг непрерывного поиска, обнаружения и устранения угроз, направленных на ваше предприятие. Решение Kaspersky Expert Security может предоставить все перечисленные возможности.
• Если вы стали жертвой вымогателей, ни в коем случае не платите им. Выкуп — это поддержка преступного бизнеса, но не гарантия того, что вы вернете доступ к своим данным. Лучше сообщите об инциденте в правоохранительные органы и попробуйте найти дешифратор в интернете, например на сайте https://www.nomoreransom.org/ru/index.html

Kaspersky обнаружил новый вирус-шифровальщик — РИА Новости, 03.03.2021

https://ria.ru/20210303/virus-1599715234.html

Kaspersky обнаружил новый вирус-шифровальщик

Kaspersky обнаружил новый вирус-шифровальщик — РИА Новости, 03.03.2021

Kaspersky обнаружил новый вирус-шифровальщик

«Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании с использованием ранее неизвестного… РИА Новости, 03.03.2021

2021-03-03T11:23

2021-03-03T11:23

2021-03-03T12:41

технологии

лаборатория касперского

/html/head/meta[@name=’og:title’]/@content

/html/head/meta[@name=’og:description’]/@content

https://cdnn21.img.ria.ru/images/154800/83/1548008319_0:178:3008:1870_1920x0_80_0_0_d5ed97cedc2d1b5215b343df24d6e3a0.jpg

МОСКВА, 3 мар — РИА Новости. «Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании с использованием ранее неизвестного вируса-шифровальщика.»С декабря 2020 года по настоящее время жертвами злоумышленников стали уже около десяти организаций. В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter», — говорится в пресс-релизе компании.Первичное заражение происходило через фишинговые письма. Злоумышленники выбирали тему, которая должна была заинтересовать получателя: например, «повестка в суд», «заявка на возврат» или «копии документов». Далее, переходя по ссылке или открывая вложение, жертва автоматически загружала на свое устройство троянец.После закрепления в системе и распространения по сети авторы схемы пытались перевести деньги через бухгалтерские программы, подменяя вирусом реквизиты в платежных поручениях или вручную с использованием средств удаленного доступа. Если же злоумышленникам это не удавалось, они задействовали Quoter.Программа шифровала данные и оставляла контакты для связи с атакующими. Если жертва не реагировала, ее шантажировали публикацией украденных конфиденциальных данных. В качестве выкупа взломщики требовали в среднем около миллиона долларов. Примечательно, что с момента закрепления в системе до применения шифровальщика проходило несколько месяцев, отметили в «Лаборатории Касперского».Сегодня стало широко известно еще об одной мошеннической схеме с использованием фишингового сайта, который имитирует интерфейс портала «Госуслуги». Это рассылка по электронной почте: в послании были типичные для сервиса госуслуг элементы — логотипы в начале и конце письма, похожий шрифт и гиперссылки голубого цвета. В самом e-mail говорилось, что адресату положены социальные компенсации. Для их оформления предлагалось перейти в личный кабинет и обратиться к ведущему юристу, а для идентификации — указать СНИЛС. Злоумышленников выдал адрес отправителя, не имеющий отношения к государственному порталу.

https://ria.ru/20201203/spam-zvonki-1587513070.html

https://ria.ru/20210303/skhema-1599726712.html

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

2021

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

https://cdnn21.img.ria.ru/images/154800/83/1548008319_139:0:2870:2048_1920x0_80_0_0_f369b8a8260fbf33e9a53fe5ff61957a.jpg

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

технологии, лаборатория касперского

МОСКВА, 3 мар — РИА Новости. «Лаборатория Касперского» зафиксировала серию целевых атак на российские финансовые и транспортные компании с использованием ранее неизвестного вируса-шифровальщика.

«С декабря 2020 года по настоящее время жертвами злоумышленников стали уже около десяти организаций. В атаках, за которыми стоит русскоговорящая группа RTM, применяется ранее неизвестная программа-шифровальщик Quoter», — говорится в пресс-релизе компании.

3 декабря 2020, 14:50

В Kaspersky назвали долю спам-звонков на мобильники россиян

Первичное заражение происходило через фишинговые письма. Злоумышленники выбирали тему, которая должна была заинтересовать получателя: например, «повестка в суд», «заявка на возврат» или «копии документов». Далее, переходя по ссылке или открывая вложение, жертва автоматически загружала на свое устройство троянец.

После закрепления в системе и распространения по сети авторы схемы пытались перевести деньги через бухгалтерские программы, подменяя вирусом реквизиты в платежных поручениях или вручную с использованием средств удаленного доступа. Если же злоумышленникам это не удавалось, они задействовали Quoter.

Программа шифровала данные и оставляла контакты для связи с атакующими. Если жертва не реагировала, ее шантажировали публикацией украденных конфиденциальных данных. В качестве выкупа взломщики требовали в среднем около миллиона долларов. Примечательно, что с момента закрепления в системе до применения шифровальщика проходило несколько месяцев, отметили в «Лаборатории Касперского».

3 марта, 12:14

Россиян предупредили о схеме мошенничества с «ошибочным» переводом денег

Сегодня стало широко известно еще об одной мошеннической схеме с использованием фишингового сайта, который имитирует интерфейс портала «Госуслуги». Это рассылка по электронной почте: в послании были типичные для сервиса госуслуг элементы — логотипы в начале и конце письма, похожий шрифт и гиперссылки голубого цвета.

В самом e-mail говорилось, что адресату положены социальные компенсации. Для их оформления предлагалось перейти в личный кабинет и обратиться к ведущему юристу, а для идентификации — указать СНИЛС. Злоумышленников выдал адрес отправителя, не имеющий отношения к государственному порталу.

Вирус шифровальщик шифрует файлы, ставит расширение .no_more_ransom

Примерно месяц назад в сети появился новый вирус-шифровальщик NO_MORE_RANSOM. Назван он так по расширению, которое ставит на файлы после шифрования. Внешне вирус похож на da_vinci_code и скорее всего является его клоном или более современной реализацией. Ведет он себя похожим образом в системе. Да и в целом похож на предыдущий вирус.

Описание вируса шифровальщика no_more_ransom

Первое, что бросается в глаза это название нового шифровальщика — no_more_ransom. Не так давно был анонсирован международный совместный проект по борьбе с вирусами шифровальщиками — https://www.nomoreransom.org. Инициатором создания проекта выступил антивирус Касперского. И как ответ на открытие проекта появляется новый вирус с одноименным названием. На наших глазах разворачивается картина противостояния вирусов и антивирусов. Возможно, через некоторое время об этом будут снимать фильмы. Хотя я не уверен на 100%, что это противостояние существует. Вдруг это действуют одни и те же структуры, достоверно мы об этом не можем сейчас судить. Это только предположение.

Основывается мое предположение на похожих случаях в фармакологии, когда уже не раз всплывали истории создания для людей определенных проблем со здоровьем, которые потом успешно лечились дорогостоящими лекарствами. А тут по сути то же самое. Кому выгоднее всего наличие в интернете вирусов? Очевидно, что антивирусам. А кому выгодно распространение рака?

«Обеспечьте 10 процентов, и капитал согласен на всякое применение, при 20 процентах он становится оживлённым, при 50 процентах положительно готов сломать себе голову, при 100 процентах он попирает все человеческие законы, при 300 процентах нет такого преступления, на которое он не рискнул бы, хотя бы под страхом виселицы. Если шум и брань приносят прибыль, капитал станет способствовать тому и другому. Доказательство: контрабанда и торговля рабами.»

Ведь с тех времен принципиально ничего не изменилось. Мы все живем на том же нравственном фундаменте в настоящее время. В какой-то момент наша страна попыталась его изменить, но проиграла борьбу, значит еще не время, люди в большинстве своем не готовы меняться и становиться человеками. Но это я отвлекся от темы. Вернемся к вирусу.

Все происходит как обычно:

1. На почту приходит письмо нейтрального содержания, которое многие принимают за рабочую переписку.
2. В письме вложение с определенным кодом. После запуска вложения, скачивается вирус на компьютер и заражает его.
3. Начинается шифрование файлов, после окончания пользователь видит информацию о том, что все зашифровано и контакты куда обращаться за расшифровкой.

Конкретно вирус no_more_ransom оставляет в системе на дисках и рабочем столе текстовые файлы README1.txt следующего содержания:

Bаши фaйлы былu зaшuфрованы.
Чmобы paсшuфрoваmь ux, Вам нeобxoдuмo отnpавить koд:
E0188ABF32FC305B50BF|722|6|10
нa электpонный адрec [email protected] .
Дaлeе вы пoлучите вcе нeобxодимые инcmрyкцuи.
Поnытku раcшифpoвamь cамoсmoятeльно нe npивeдyт ни k чему, kрoмe бeзвoзвpатной поmepu инфopмaциu.
Ecли вы вcё же хoтume noпытaтьcя, то прeдвaриmельнo cдeлaйтe peзeрвные кonuи файлoв, uначe в cлучаe
их uзменения pасшифpовkа cтaнeт нeвoзмoжнoй нu пpи каkиx ycлoвuях.
Ecлu вы не nолyчuлu omвеma по вышеуkaзанномy адрeсу в течeнue 48 чaсoв (u mолькo в эmoм cлyчае!),
вocпользyйтeсь формой oбpаmной связu. Этo можно cдeлать двумя споcoбамu:
1) Сkачайme и yсmaновuтe Tor Browser nо cсылke: https://www.torproject.org/download/download-easy.html.en
В aдрeсной cmрokе Tor Browser-а ввeдите aдрес:
http://cryptsen7fo43rr6.onion/
u нaжмume Enter. Загpyзumcя cmpaница с формoй обpаmной cвязи.
2) В любом браузepe перeйдume пo одному uз адресoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Текст письма похож на все предыдущие версии шифровальщиков — Enigma, Vault. Про да винчи я уже упомянул. Это наводит на мысль, что пишутся они одними и теми же людьми. Я рекомендую ознакомиться с описанием выше приведенных вирусов, особенно da_vinci_code. По сути это то же самое, поэтому дальше я буду в основном повторяться.

Как только поняли, что ваши файлы зашифрованы, сразу же выключайте компьютер. И на всякий случай вытащите сетевой провод, чтобы отключить компьютер от сети и по ошибке потом не загрузить его с активной сетью. Некоторые вариации вирусов, например ваулт, шифруют и сетевые диски. Ниже я расскажу, как действовать дальше, чтобы восстановить хотя бы часть, а при удаче и все файлы.

Вирус ставит расширение no_more_ransom на файлы

После работы вируса на компьютере все ваши полезные файлы будут переименованы, и заменено расширение на no_more_ransom. Плохо еще то, что имена файлов будут тоже изменены. Вы не сможете достоверно узнать, какие именно файлы зашифрованы, если не помните точно, где и что у вас лежало. Названия файлов приобретут следующий вид:

• 1uUxn+rIgpjNG0NbxMJG2EVGVlVujSiGY+ZEaodVYkPZ276fgzxSH5XVJZ+m62HrJj-jvVz0A+c5CH9H9htVpqZibtcArKoO8ublF5NiPK4=.E0188ABF32FC305B50BF.no_more_ransom
• —B8vyQyK-L0cKbW5G77ptS8svf2ZZpJZPuVdxBkpZ13-raxNiehV2C-AlYhAxqasDM6gP8j9vwAb1AN0lOCeAUMO00YyedzSsIJrOXlkh2Mvg1VhAavFVQPtg98zPzYKsmmhazTO9Bz+lA+NImS8A==.E0188ABF32FC305B50BF.no_more_ransom
• DIRInxdjashCXts6MVT7kMAvE91nzNvP0jaXMvNas7vTEWGrNLVj9IDeIqW3XvOSsjzetxglc-SDuNqN2FlghQ==.E0188ABF32FC305B50BF.no_more_ransom

и так далее. То есть вообще не понятно, что конкретно было в этих файлах. Из-за этого выборочно расшифровать файлы не получится — либо все, либо ничего. Вам повезет, если будут зашифрованы только локальные файлы. Хуже, если вирус пройдется и по сетевым дискам. Это вообще может парализовать работу всей организации. Даже если есть бэкапы, восстановление может занять значительное время. А если бэкапов нет, то беда.

Как лечить компьютер и удалить вирус no_more_ransom

Вирус no_more_ransom уже у вас на компьютере. Первый и самый главный вопрос — как вылечить компьютер и как удалить из него вирус, чтобы предотвратить дальнейшее шифрование, если оно еще не было закончено. Сразу обращаю ваше внимание на то, что после того, как вы сами начнете производить какие-то действия со своим компьютером, шансы на расшифровку данных уменьшаются. Если вам во что бы то ни стало нужно восстановить файлы, компьютер не трогайте, а сразу обращайтесь к профессионалам. Ниже я расскажу о них и приведу ссылку на сайт и опишу схему их работы.

А пока продолжим самостоятельно лечить компьютер и удалять вирус. Традиционно шифровальщики легко удаляются из компьютера, так как у вируса нет задачи во что бы то ни стало остаться на компьютере. После полного шифрования файлов ему даже выгоднее самоудалиться и исчезнуть, чтобы было труднее расследовать иницидент и расшифровать файлы.

Описать ручное удаление вируса трудно, хотя я пытался раньше это делать, но вижу, что чаще всего это бессмысленно. Названия файлов и пути размещения вируса постоянно меняются. То, что видел я уже не актуально через неделю-две. Обычно рассылка вирусов по почте идет волнами и каждый раз там новая модификация, которая еще не детектится антивирусами. Помогают универсальные средства, которые проверяют автозапуск и детектят подозрительную активность в системных папках.

Для удаления вируса no_more_ransom можно воспользоваться следующими программами:

1. Kaspersky Virus Removal Tool — утилитой от касперского http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! — похожий продукт от др.веб http://free.drweb.ru/cureit.
3. Если не помогут первые две утилиты, попробуйте MALWAREBYTES 3.0 — https://ru.malwarebytes.com.

Скорее всего, что-то из этих продуктов очистит компьютер от шифровальщика no_more_ransom. Если вдруг так случится, что они не помогут, попробуйте удалить вирус вручную. Методику по удалению я приводил на примере вируса да винчи, можете посмотреть там. Если кратко по шагам, то действовать надо так:

1. Смотрим список процессов, предварительно добавив несколько дополнительных столбцов в диспетчер задач.
2. Находим процесс вируса, открываем папку, в которой он сидит и удаляем его.
3. Чистим упоминание о процессе вируса по имени файла в реестре.
4. Перезагружаемся и убеждаемся, что вируса no_more_ransom нет в списке запущенных процессов.

Где скачать дешифратор no_more_ransom

Вопрос простого и надежного дешифратора встает в первую очередь, когда дело касается вируса-шифровальщика. Первое, что я посоветую, это воспользоваться сервисом https://www.nomoreransom.org. А вдруг вам повезет у них будет дешифратор под вашу версию шифровальщика no_more_ransom. Скажу сразу, что шансов у вас не много, но попытка не пытка. На главной странице нажимаете Yes:

Затем загружаете пару зашифрованных файлов и нажимаете Go! Find out:

На момент написания статью дешифратора на сайте не было.

Возможно вам повезет больше. Можно еще ознакомиться со списком дешифраторов для скачивания на отдельной странице — https://www.nomoreransom.org/decryption-tools.html. Может быть там найдется что-то полезное. Когда вирус совсем свежий шансов на это мало, но со временем возможно что-то появится. Есть примеры, когда в сети появлялись дешифраторы к некоторым модификациям шифровальщиков. И эти примеры есть на указанной странице.

Где еще можно найти дешифратор я не знаю. Вряд ли он реально будет существовать, с учетом особенностей работы современных шифровальщиков. Полноценный дешифратор может быть только у авторов вируса.

Как расшифровать и восстановить файлы после вируса no_more_ransom

Как и с любым другим вирусом-шифровальщиком, расшифровать файлы без закрытого ключа, который находится у злоумышленников, невозможно. Единственным вариантом для самостоятельного возврата файлов является их восстановление из теневых копий, либо с помощью программ для восстановления удаленных файлов.

Нам понадобится программа shadow explorer для восстановления файлов из теневых копий. Чтобы попытаться восстановить остальные файлы, воспользуемся программой для восстановления удаленных файлов photorec. Обе программы бесплатные, можно без проблем качать и пользоваться. Дальше расскажу как их использовать.

Для начала попробуем восстановить архивные копии файлов, которые хранятся в теневых копиях диска. По-умолчанию, начиная с Windows 7 технология теневых копий включена. Проверить это можно в свойствах компьютера, в разделе защита системы.

Если у вас она включена, то запускайте программу ShadowExplorer, которую я предлагал скачать чуть выше. Распаковывайте из архива и запускайте. Нас встречает главное окно программы. В левом верхнем углу можно выбрать диск и дату резервной копии. Скорее всего у вас их будет несколько, нужно выбрать необходимую. Чтобы восстановить как можно больше файлов, проверьте все даты на наличие нужных файлов.

В моем примере на рабочем столе лежат 4 документа, которые там были до работы вируса. Я их могу восстановить. Выделяю нужную папку, в данном случае Desktop и нажимаю правой кнопкой мышки, жму на Export и выбираю папку, куда будут восстановлены зашифрованные файлы.

Если у вас не была отключена защита системы, то с большой долей вероятности вы восстановите какую-то часть зашифрованных файлов. Некоторые восстанавливают 80-90%, я знаю такие случаи.

Если у вас по какой-то причине нет теневых копий, то все значительно усложняется. У вас остается последний шанс бесплатно расшифровать свои файлы — восстановить их с помощью программ по поиску и восстановлению удаленных файлов. Я предлагаю воспользоваться бесплатной программой Photorec. Скачивайте ее и запускайте.

После запуска выберите ваш диск, на котором будем проводить восстановление данных. Затем укажите папку, куда будут восстановлены найденные файлы. Лучше, если это будет какой-то другой диск или флешка, но не тот же самый, где осуществляете поиск.

Поиск и восстановление файлов будет длиться достаточно долго. После окончания процесса восстановления вам будет показано, сколько и каких файлов было восстановлено.

Можно закрыть программу и пройти в папку, которую указали для восстановления. Там будет набор других папок, в которых будут файлы. Все, что получилось расшифровать, находится в этих папках. Вам придется вручную смотреть, искать и разбирать файлы.

Если результат вас не удовлетворит, то есть другие программы для восстановления удаленных файлов. Вот список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

• R.saver
• Starus File Recovery
• JPEG Recovery Pro
• Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Это все, что я знал и мог подсказать на тему того, как расшифровать и восстановить файлы после вируса no_more_ransom. В принципе, шансы на восстановление есть, но не в полном объеме. Наверняка может помочь только своевременно сделанная архивная копия.

Касперский, eset nod32 и другие в борьбе с шифровальщиком

Современные антивирусы, к сожалению, до сих пор пасуют перед угрозой шифровальщиков. Они и пропускают их на компьютер, и не могут ничего предложить по расшифровке. К примеру, вот ответ с форма Eset Nod 32 по поводу расшифровки файлов после no_more_ransom:

http://forum.esetnod32.ru/messages/forum35/topic13688/message96440/#message96440

Kaspersky тоже не может расшифровать no_more_ransom

https://forum.kasperskyclub.ru/index.php?showtopic=52990&p=777596

Это хоть и не официальный форум касперского, но с него отправляют писать запросы именно сюда. Можно, конечно, попробовать написать в техподдержку, но вряд ли они смогут предложить готовое решение по расшифровке. Но тем не менее, попробовать стоит, если у вас есть лицензия антивируса.

Если у вас лицензия Dr.Web, попробуйте обратиться в их техподдержку. У них есть отдельная форма для отправки запросов по поводу расшифровки файлов — https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru. Хотя они принимают запросы даже от тех, кто не приобретал их антивирус, но тем не менее в приоритете будет обращение клиента компании.

Методы защиты от вируса no_more_ransom

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву. К примеру no_more_ransom показывает сначала очень замыленное изображение файла и предлагает скачать версию с четким изображением. И люди ведутся.
4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe, .vbs, .src. В повседеневной работе с документами вам вряд ли попадаются подобные расширения файлов.

Постарался дополнить то, что уже писал раньше в каждой статье про вирус шифровальщик. Постараюсь в скором времени сделать единую компиляцию по всем известным мне вирусам-шифровальщикам, чтобы охватить все аспекты в одном месте. А пока прощаюсь. Буду рад полезным замечаниям по статье и вирусу-шифровальщику no_more_ransom в целом.

Видео c расшифровкой и восстановлением файлов

Здесь пример предыдущей модификации вируса, но видео полностью актуально и для no_more_ransom.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Вирус шифровальщик и как с ним бороться

23.11.2020г. 22:53

История существования компьютерных вирусов насчитывает не один десяток лет. С каждым годом они все более совершенствуются, учатся обходить различные степени защиты антивирусных программ, проникать в компьютеры пользователей и на серверы организации, наводя там свои «порядки».

Подписаться на дайджест Получить консультацию

История существования компьютерных вирусов насчитывает не один десяток лет. С каждым годом они все более совершенствуются, учатся обходить различные степени защиты антивирусных программ, проникать в компьютеры пользователей и на серверы организации, наводя там свои «порядки».

Один из наиболее современных и получивших широкое распространенных вирусов – это вирус шифровальщик. «Напав», на ваш файл, шифровальщик вирус редактирует его под свой формат или проще говоря зашифровывает. Файлы после вируса шифровальщика «прочитать» вы уже не можете. После этого, вирус перевоплощается в вымогателя и начинает требовать денег, обещая вернуть все данные пользователя.

Последнее время участились случаи, когда такие вирусы «нападают» на компьютеры бухгалтеров и зашифровывают базы 1С. Ведь в большинстве своем, защита у обычного пользователя на домашнем компьютере слабее, чем на рабочем месте в организации.

Самый простой способ борьбы – это не включать интернет на рабочем компьютере бухгалтера. Выглядит сомнительно. Другой способ — внимательно относиться к тому, какие сайты посещаете, обновить антивирусную программу и надеяться, что вирус не пробьётся через нее. Как говорится, болезнь легче предупредить, чем лечить. Третий способ – перенос данных в облако, и настройка многоступенчатого бэкапа данных. О нем чуть позже.

Если вы уже столкнулись с вирусом вымогателем, то вот несколько простых рекомендаций:

1. Не впадайте с панику! Не обращайте внимания на предложения или угрозы «шифровальщиков». Обещая 100% расшифровку баз, они только выманивают у вас деньги. На самом же деле, интерес к «лечению» у них минимальный.

2. Вы можете воспользоваться бесплатными программами по расшифровке баз, которых сейчас в интернете как «грибов после дождя». Действуют они по принципу подбора ключа к кодовому замку сейфа. Шансов, данные расшифровать после вируса шифровальщика немного, да и отнимает такой способ очень уж много времени. И не забывайте, что «бесплатный сыр бывает только в мышеловке», часто такие бесплатные программы сами являются вирусными.

3. Платные программы – дешифровщики. Те же программы, что и в пункте 2, только их авторы чуть понаглее и хотят на этом заработать. Недостатки, как вы понимаете, те же, плюс потеря денег.

4. Отправить зашифрованные файлы на сайт производителя антивируса установленного на вашем компьютере. Естественно, антивирус должен быть официально приобретен.

5. Обратиться к специалистам, которые занимаются не расшифровкой в прямом ее понимании (т.е не подбирают ключ к замку), а восстановлением ваших данных. Самый надежный способ, хотя и признаемся, что 100% гарантии он тоже не дает. (читай п.1, 100% гарантии только у мошенников).

Поэтому, если вас уже поймал вирус шифровальщик, расшифровать файлы могут помочь грамотные специалисты.

Стоит отметить, что лучшим решением по защите от атаки вирусов шифровальщиков, на текущий момент, является перенос базы в «облако».

Компания «Деловые решения» обеспечивает безопасность хранения данных в облаке:

• Создаем и храним бэкапы (копий базы) глубиной до 10 дней.
• Размещаем базы на защищенных серверах в дата центрах, риск поражения которых вредоносными программами в разы меньше, чем у обычных домашних или рабочих компьютеров;
• Несем финансовую ответственность перед клиентами за сохранность данных и постоянный доступ к ним.

Если вы заранее хотите позаботиться об удобстве и безопасности хранения своих баз 1С, переходите к нам в облако и протестируйте первые 15 дней бесплатно.

ВАС ТАК ЖЕ МОЖЕТ ЗАИНТЕРЕСОВАТЬ

Вирусы-шифровальщики или вирусы-вымогатели

Что такое вирус-шифровальщик

Вирус-шифровальщик, он же вирус-вымогатель — это программа, которая зашифровывает всю информацию на Вашем компьютере или сервере. Главная цель хакеров-создателей таких программ — получить от владельцев зараженных компьютеров выкуп за расшифровку информации.

Зараженные компьютеры обычно демонстрируют почтовый адрес, через который можно связаться со злоумышленниками, которые за выкуп пришлют (а может быть, и не пришлют) дешифратор. Деньги обычно требуют в криптовалюте, например, в биткоинах. Сумма выкупа может быть различной. В практике БелАдминГрупп встречались суммы выкупа в размере от $300 до $5 000 в криптовалютном эквиваленте. Примечательно, что все “плохие парни”, с которыми мы имели дело, легко вели с нами переписку на русском языке!

Как вирус-шифровальщик попадает на Ваш компьютер или сервер?

Обычно это происходит двумя основными способами.

1. Автоматическое заражение вашего компьютера через запуск исполняемого файла. Этот способ работает за счет доверчивости людей их и пренебрежения правилами безопасности. Пример — вам на почту приходит письмо от знакомой вам лично или известной в вашем регионе компании, с вложенным файлом вроде коммерческого предложения, информирования о проверке, акта сверки и т.п. Письма могут быть даже от имени налоговой инспекции. Одному из клиентов БелАдминГрупп вирус прислали от имени БелПочты!

Суть этого способа — доставить на ваш компьютер замаскированный файл с вирусом и заставить вас его открыть. Чаще всего операционная система и антивирусные программы предупреждают, что этот файл может быть опасен. Но, как правило, люди игнорируют подобные сообщения, ведь посмотреть акт сверки от БелПочты кажется намного более важным.

2. Заражение путем проникновения на ваш сервер. В 99% случаев хакеры проникают на серверы через неправильно или небрежно настроенный удаленный доступ. В нашей практике это всегда происходило через приложение “Удаленный рабочий стол” (Remote Desktop Protocol, RDP) и порт 3389.

Поэтому если вы в данный момент находитесь за компьютером, то рекомендуем прямо сейчас на сайте 2ip.ru найти ссылку «Проверка порта» и проверить там состояние порта 3389. Если вам ответят, что «Порт закрыт», радуйтесь — вы “в домике”. Но, к сожалению, это не точно. Возможна ситуация, когда ваш сисадмин решил изменить порт для доступа к “Удаленному рабочему столу”. Лучше выяснить у него, закрыт ли порт доступа к RDP.

Если же вы увидите сообщение «Порт открыт», это значит, что в вашей компьютерной безопасности здоровенная дыра, и вам остается только ждать, когда к вам наведаются хакеры. Нужно как можно скорее закрыть порт и организовать VPN-туннель. Спросите вашего сисадмина — он знает, как это сделать. А если не знает — звоните нам.

Что делает вирус-шифровальщик?

В случае, если на ваш компьютер проник вирус-шифровальщик, он просто начинает шифровать все, что видит. Причем он может делать это открыто, полностью заняв всю мощность процессора и весь объем памяти, потому что сам процесс шифрования очень ресурсоемкий. А может делать это более “элегантно”, шифруя не все подряд, а по несколько файлов из каждой папки, причем делать это скрыто, незаметно, чтобы пользователь его как можно дольше не замечал. Если вирус доберется, к примеру, до файловой базы данных 1С и зашифрует там некоторые файлы, то перестанет работать вся программа.

Удаленное проникновение хакера на ваш сервер еще более опасно. Хакер видит, что нужно шифровать в первую очередь, он постарается найти и другие сервера в вашей рабочей сети. А самое опасное, что хакер не только зашифрует данные, он еще и безвозвратно удалит все резервные копии ваших баз данных, до которых доберется. В практике БелАдминГрупп были случаи, когда хакеры сумели зашифровать все резервные копии программы 1С одной из компаний. Не помогло и распределение копий по нескольким серверам — хакеры нашли их все и зашифровали.  

Что делать, если вирус-шифровальщик попал на мой компьютер?

Если вы открыли подозрительный файл из непонятного письма и заметили, что после этого компьютер резко начал “тормозить”, стали пропадать файлы и иконки, или наоборот, стали беспричинно появляться странные иконки и файлы с незнакомыми расширениями — немедленно выключайте компьютер. Причем если он не хочет выключаться или делает это медленно — просто выдерните шнур питания из розетки, хуже не будет. Как вариант, нажмите на кнопку включения питания и держите 5 секунд — компьютер должен отключиться.

Пока компьютер выключен, шифровальщик не работает. Срочно звоните своему сисадмину, чтобы он спас хотя бы ту информацию, которую вирус не успел зашифровать. К сожалению, полной гарантии спасения зашифрованной информации никто дать не может.

В том случае, если хакеры побывали на вашем сервере, все может быть намного хуже. Обычно взломы серверов происходят ночью или в выходные — чтобы у хакеров было достаточно времени для полной зашифровки серверов. В этом случае вероятность спасения хотя бы части важной информации почти нулевая, хотя кое-что все-таки можно предпринять.

Например, можно обратиться в антивирусные компании DrWeb или Kaspersky. Как правило, они попросят прислать им файл, который у вас есть и в незашифрованном, и в зашифрованном виде — это нужно для определения типа вируса и алгоритма шифрования. Однако в практике БелАдминГрупп не было ни одного случая, чтобы DrWeb или Kaspersky помогли расшифровать пораженные файлы. Дело в том, что алгоритмы шифрования постоянно меняются, а процесс расшифровки очень сложен и трудоемок.

Еще один вариант — обратиться к специалистам, которые восстанавливают данные с жестких дисков. Возможно, резервные копии ваших баз данных были не слишком качественно удалены хакерами, и их можно восстановить. Но нашим клиентам еще ни разу так не повезло.

Ну и наконец — можно узнать у хакеров, сколько они хотят за дешифратор. Может быть, размер выкупа будет приемлемым. Обычно антивирусные компании рекомендуют не платить выкуп, чтобы не провоцировать хакеров на новые заражения. Мы не призываем к сотрудничеству со злоумышленниками. Однако для большинства владельцев зараженных компьютеров уплата выкупа — единственно возможный путь возврата своей информации. Исходя из нашего опыта, получение дешифратора после уплаты выкупа занимает от 2 до 7 дней. Случаев, когда после уплаты выкупа дешифратор не присылали, в нашей практике еще не было.

Самое важное — как защититься от вирусов-шифровальщиков

От вредоносных файлов лучше всего защищает обычная бдительность. Проверяйте, что за письма вам приходят, и стоит ли открывать приложенные к ним файлы. В администрации БелАдминГрупп практикуется следующий очень простой, зато действенный метод защиты от вирусов-вымогателей. Если есть сомнения по поводу письма, но открыть его все же необходимо — письмо открывается и просматривается не на компьютере, а на смартфоне.

Суть этого метода — в наличии разных операционных систем (ОС) на компьютере и смартфоне. Вирусы-шифровальщики для Windows не будут работать на мобильных ОС. Если же все-таки вирус зашифрует содержимое вашего смартфона — его перепрошивка или даже покупка нового обойдутся гораздо дешевле, чем уплата выкупа хакерам.

Что касается проникновения хакеров на сервера, защиту от них могут обеспечить две вещи.

• Настройка безопасного удаленного доступа к вашим серверам — используйте протоколы VPN вместо RDP и проверяйте закрытость вашего порта 3389.
• Создание резервных копий ваших баз данных, недоступных для проникновения через сеть. Например, каждый день делайте резервную копию и записывайте ее на флэшку или в облако. НО! Обращаем ваше внимание, что популярные облачные сервисы Google и Яндекс работают по принципу сетевой папки. Если вирусы или хакеры зашифровали данные на вашем компьютере, синхронизация с папками Google и Яндекс приведет к тому, что туда также будут записаны зашифрованные данные. БелАдминГрупп для хранения резервных копий баз данных клиентов использует облачные сервисы MicroSoft, которые защищены от удаления и несанкционированной перезаписи резервных копий.

Осторожно, новый вирус-шифровальщик атакует корпоративных клиентов!

Хотя с момента появления первого вируса-шифровальщика прошло уже более 10 лет, проблема эта становится все более актуальной. В этом случае целью злоумышленников является получение прибыли. Модель отъёма денег предельно проста. Часть вашей информации, к примеру, файлы Word, Excel, и база данных 1С шифруются, а за расшифровку от вас требуют определенную сумму. Формы оплаты в последних итерациях вируса – крипто валюта Bitcoin. Сегодня рассылка писем идет адресно, вручную через домены бесплатной почты, а атаки сегодня в основном идут на организации, которым некогда ждать, информация нужна срочно, а значит, и вероятность оплаты возрастает.

Вирус проникает в компьютер через электронную почту. Более того, рассылка может быть и с украденного почтового ящика партнеров компании. Чаще всего это письма от имени банков, налоговой, в которых сообщается о задолженности либо срочной проверке регистрационных данных после сбоя и, в нашем случае, вложена счёт-фактура в архиве. На самом деле это не документ, а файл с набором команд (это видно в описании типа файла, Jscript Script File), при запуске начинающим шифрование документов на компьютере. После окончания процесса шифрования вирус сохраняет на заражённом компьютере файл с информацией, что файлы зашифрованы, и рекомендации по их дешифровке (имеется в виду методы оплаты). Вы можете и не платить, однако о доступе к своим данным можно будет забыть.
Как же защитить себя и корпоративную сеть организации от последствий заражения вирусом-шифровальщиком?

Методы противодействия
• Резервное копирование служебной информации. Наиболее очевидным методом противодействия на сегодняшний день является создание резервных копий.

• Централизованное хранение документов, файлов почты и т. д. При этом решается и проблема резервного копирования информации с рабочих станций, так как если вся информация хранится на серверах, то и делать их резервные копии куда как проще.

• Использование в организации облачных антивирусных технологий. В сеть антивирусного вендора передаются на анализ не сами подозрительные исполняемые файлы, а только их хеши. Ваши документы при этом не передаются. Это существенно ускоряет процесс обнаружения вредоносного ПО, ведь обнаружив его на одном ПК не нужно ждать его включения в сигнатуры, можно просто включить его хеш в базу вредоносного ПО и пополнить базу антивирусного облака практически в реальном времени.

• Использование контроля приложений. Суть его в том, что на предприятии заводится основной список разрешенного «белого» программного обеспечения.

• Контроль запуска программ (контроль использования приложений) позволяет установить ограничения на запуск программ на клиентских компьютерах. При этом разрешения на запуск устанавливаются с помощью правил. При запуске проверяются: категория, к которой относится программа (категория — это набор условий и исключений, позволяющих идентифицировать программу или группу программ), учетная запись, от имени которой запускается программа и правила, с помощью которых регулируется запуск программ данной категории для данной учетной записи. Если есть хотя бы одно подходящее правило, разрешающее запуск программы, и нет запрещающих — запуск будет разрешен. Если разрешающих правил нет или для данной учетной записи одновременно есть правила, разрешающие и запрещающие запуск программ данной категории, запуск будет запрещен.

Очень важно понимать, что в случае вирусов-шифровальщиков основную роль в противодействии угрозе играют не подразделения IT, а в первую очередь бизнес-подразделения при их своевременном информировании о существующей вирусной угрозе.

Хотите защититься от вирусных атак на вашу организацию? Уже пострадали от вируса и нуждаетесь в оперативной помощи? Закажите консультацию нашего специалиста отдела корпоративного обслуживания или срочный выезд нашего технического специалиста к вам прямо сейчас!

Компания «Скайлайн Электроникс» — более 20-ти лет предлагает своим клиентам передовые решения в сфере информационной безопасности для бизнеса.

атак и типов программ-вымогателей | Чем отличаются Locky, Petya и другие программы-вымогатели?

Что такое программы-вымогатели?

Программа-вымогатель — это тип вредоносного ПО (вредоносное ПО), используемого киберпреступниками. Если компьютер или сеть были заражены программой-вымогателем, программа-вымогатель блокирует доступ к системе или шифрует свои данные . Киберпреступники требуют от своих жертв выкуп в обмен на раскрытие данных.Чтобы защитить от заражения программами-вымогателями, рекомендуется внимательно следить и обеспечивать безопасность программного обеспечения. Жертвы атак вредоносных программ имеют три варианта после заражения : они могут либо заплатить выкуп , либо попытаться удалить вредоносного ПО , либо перезагрузить устройство . Векторы атак , часто используемые троянами-вымогателями, включают протокол удаленного рабочего стола , фишинговых писем и программных уязвимостей .Таким образом, атака программы-вымогателя может быть нацелена как на человек , так и на компаний .

Выявление программ-вымогателей — необходимо проводить основное различие

В частности, очень популярны два типа программ-вымогателей:

• Locker вымогатель. Этот тип вредоносного ПО блокирует основные функции компьютера . Например, вам может быть отказано в доступе к рабочему столу, а мышь и клавиатура частично отключены. Это позволяет вам продолжить взаимодействие с окном, содержащим требование выкупа, чтобы произвести платеж.Кроме того, компьютер вышел из строя. Но есть и хорошие новости: вредоносные программы Locker обычно не нацелены на важные файлы; обычно он просто хочет заблокировать вас. Поэтому полное уничтожение ваших данных маловероятно.
• Шифровальщик-вымогатель. Цель программы-вымогателя — зашифровать ваши важных данных , таких как документы, изображения и видео, но не вмешиваться в основные функции компьютера . Это вызывает панику, потому что пользователи могут видеть свои файлы, но не могут получить к ним доступ.Разработчики криптографии часто добавляют обратный отсчет к своему требованию выкупа: «Если вы не заплатите выкуп до установленного срока, все ваши файлы будут удалены». и из-за большого количества пользователей, которые не подозревают о необходимости резервного копирования в облаке или на внешних физических устройствах хранения, шифровальщики-вымогатели могут иметь разрушительные последствия. Следовательно, многие жертвы платят выкуп просто для того, чтобы вернуть свои файлы.

Локки, Петя и Ко.

Теперь вы знаете, что такое программы-вымогатели и два основных типа.Далее вы узнаете о некоторых хорошо известных примерах , которые помогут вам определить опасности, исходящие от программ-вымогателей:

Локки

Locky — программа-вымогатель, впервые использованная для атаки в 2016 году группой организованных хакеров. Locky зашифровал более 160 типов файлов и был распространен с помощью поддельных писем с зараженных вложений. Пользователи попались на уловку с электронной почтой и установили вымогатель на свои компьютеры. Этот метод распространения называется фишингом и представляет собой разновидность так называемой социальной инженерии.Программа-вымогатель Locky нацелена на типы файлов, которые часто используются дизайнерами, разработчиками, инженерами и тестировщиками.

WannaCry

WannaCry — это атака программы-вымогателя, которая распространилась на более чем 150 стран в 2017 году. Она была разработана для использования уязвимости системы безопасности в Windows , созданной АНБ и просочившейся хакерской группой Shadow Brokers. WannaCry затронул 230 000 компьютеров по всему миру. Атака поразила треть всех больниц NHS в Великобритании, причинив ущерб в 92 миллиона фунтов стерлингов.Пользователи были заблокированы, и потребовался выкуп в биткойнах. Атака выявила проблему устаревших систем, поскольку хакер использовал уязвимость операционной системы, для которой на момент атаки уже давно существовал патч. Мировой финансовый ущерб, нанесенный WannaCry, составил около 4 миллиардов долларов США.

Плохой кролик

Bad Rabbit — это атака с использованием программ-вымогателей с 2017 года, которая распространялась с помощью так называемых атак наезд . Небезопасные веб-сайты использовались для проведения атак.В ходе скрытой атаки программы-вымогателя пользователь посещает реальный веб-сайт, не подозревая, что он был взломан хакерами. Для большинства атак типа drive-by все, что требуется от пользователя, — это вызвать страницу, которая была взломана таким образом. Однако в этом случае запуск установщика, содержащего замаскированную вредоносную программу, привел к заражению. Это называется дроппер вредоносных программ . Bad Rabbit попросил пользователя запустить поддельную установку Adobe Flash, тем самым заразив компьютер вредоносным ПО.

Рюк

Ryuk — это троян-шифровальщик, который распространился в августе 2018 года и отключил функцию восстановления операционных систем Windows.Это сделало невозможным восстановление зашифрованных данных без внешней резервной копии. Ryuk также зашифрованных сетевых жестких дисков . Воздействие было огромным, и многие американские организации, подвергшиеся нападению, выплатили требуемые суммы выкупа. Общий ущерб оценивается более чем в 640 000 долларов.

Тень / Тролдеш

Атака программы-вымогателя Shade или Troldesh произошла в 2015 году и распространялась через спам-писем , содержащих зараженные ссылки или файловые вложения.Интересно, что злоумышленники Тролдеш напрямую общались со своими жертвами по электронной почте. Жертвы, с которыми у них сложились «хорошие отношения», получали скидки. Однако такое поведение — скорее исключение, чем правило.

Головоломка

Jigsaw — это атака с использованием программ-вымогателей, которая началась в 2016 году. Атака получила свое название от изображения известной марионетки из франшизы фильма «Пила». С каждым дополнительным часом выкупа оставалась невыплаченной, и программа-вымогатель Jigsaw удаляла все больше файлов.Дополнительный стресс у пользователей вызвало использование изображения из фильма ужасов.

Криптолокер

CryptoLocker — это программа-вымогатель, которая была впервые обнаружена в 2007 году и распространялась через зараженных вложений электронной почты . Программа-вымогатель искала важные данные на зараженных компьютерах и зашифровывала их. Пострадало около 500 000 компьютеров. Правоохранительным органам и охранным компаниям в конечном итоге удалось захватить контроль над всемирной сетью захваченных домашних компьютеров, которые использовались для распространения CryptoLocker.Это позволило агентствам и компаниям перехватывать данные, передаваемые по сети, незаметно для злоумышленников. В конечном итоге это привело к созданию онлайн-портала , где жертвы могли получить ключ для разблокировки своих данных. Это позволило раскрыть их данные без необходимости платить преступникам выкуп.

Петя

Petya (не путать с ExPetr) — это атака программы-вымогателя, которая произошла в 2016 году и была возрождена как GoldenEye в 2017 году.Вместо того, чтобы зашифровать определенные файлы, эта вредоносная программа-вымогатель зашифровала весь жесткий диск жертвы. Это было сделано путем шифрования главной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске. Программа-вымогатель Petya распространилась по корпоративным отделам кадров через поддельное приложение, содержащее зараженную ссылку Dropbox.

Другой вариант Пети — Петя 2.0, который отличается некоторыми ключевыми особенностями. Однако с точки зрения того, как осуществляется атака, оба одинаково фатальны для устройства.

Золотой глаз

Воскрешение Пети как GoldenEye привело к всемирному заражению программами-вымогателями в 2017 году. GoldenEye , известный как «смертельный брат» WannaCry, поразил более 2000 целей, включая известных производителей нефти в России и несколько банков. В тревожном повороте событий GoldenEye заставил персонал Чернобыльской АЭС вручную проверять уровень радиации там, после того как они были заблокированы на своих компьютерах с Windows.

GandCrab

GandCrab — сомнительный вымогатель, который угрожал от до раскрыть порнографические привычки своих жертв .Он утверждал, что взломал веб-камеру жертвы и потребовал выкуп. Если выкуп не будет уплачен, в сети будут опубликованы неловкие кадры жертвы. После своего первого появления в 2018 году программа-вымогатель GandCrab продолжала развиваться в различных версиях. В рамках инициативы «No More Ransom» поставщики служб безопасности и полицейские агентства разработали инструмент для дешифрования программ-вымогателей, чтобы помочь жертвам восстановить свои конфиденциальные данные из GandCrab.

B0r0nt0k

B0r0nt0k — это программа-вымогатель, предназначенная специально для серверов под управлением Windows и Linux.Этот вредоносный вымогатель шифрует и файлов сервера Linux и прикрепляет к файлу расширение «.rontok». Вредоносная программа не только представляет угрозу для файлов, но также вносит изменения в параметры запуска, отключает функции и приложения, а также добавляет записи, файлы и программы в реестр.

Программа-вымогатель Dharma Brrr

Brrr , новая программа-вымогатель Dharma, устанавливается вручную хакерами , которые затем взламывают настольные службы, подключенные к Интернету.Как только вымогатель активируется хакером, он начинает шифровать найденные файлы. Зашифрованным данным присваивается расширение файла «.id- [id]. [Email] .brrr».

Программа-вымогатель FAIR RANSOMWARE

FAIR RANSOMWARE — это программа-вымогатель, предназначенная для шифрования данных. С помощью мощного алгоритма шифруются все личные документы и файлы жертвы. К файлам, зашифрованным с помощью этой вредоносной программы, добавлено расширение «.FAIR RANSOMWARE».

Программа-вымогатель MADO

MADO ransomware — еще один тип крипто-вымогателей.Данные, зашифрованные этой программой-вымогателем, получают расширение «.mado» и, таким образом, больше не могут быть открыты.

Атаки программ-вымогателей

Как уже упоминалось, программы-вымогатели находят свои цели во всех сферах жизни. Обычно требуемый выкуп составляет от 100 до 200 долларов. Однако некоторые корпоративные атаки требуют гораздо большего, особенно если злоумышленник знает, что блокируемые данные представляют собой значительные финансовые потери для атакуемой компании. Таким образом, киберпреступники могут зарабатывать огромные суммы денег с помощью этих методов.В двух приведенных ниже примерах жертва кибератаки является или была более значительной, чем тип используемого вымогателя.

WordPress вымогатель

WordPress вымогатель , как следует из названия, нацелен на файлы веб-сайтов WordPress. У жертвы вымогают выкуп, что типично для программ-вымогателей. Чем более востребован сайт WordPress, тем , скорее всего, будет атакован киберпреступниками, использующими программы-вымогатели.

Дело Росомахи

Wolverine Solutions Group (поставщик медицинских услуг) стала жертвой атаки программы-вымогателя в сентябре 2018 года.Вредоносная программа зашифровала большое количество файлов компании, что сделало невозможным их открытие для многих сотрудников. К счастью, криминалисты смогли расшифровать и восстановить данные 3 октября. Однако в результате атаки было скомпрометировано данных пациентов. Имена, адреса, медицинские данные и другая личная информация могли попасть в руки киберпреступников.

Программа-вымогатель как услуга

Программа-вымогатель как услуга дает киберпреступникам с низкими техническими возможностями возможность проводить атаки программ-вымогателей.Вредоносная программа предоставляется покупателям , что означает меньший риск и большую выгоду для программистов программного обеспечения.

Заключение

Атаки программ-вымогателей имеют различных форм и различных форм и размеров. Вектор атаки является важным фактором для типов используемых программ-вымогателей. Чтобы оценить размер и масштаб атаки, необходимо всегда учитывать, что поставлено на карту или какие данные могут быть удалены или опубликованы .Независимо от типа вымогателя, резервное копирование данных заранее и правильное использование программного обеспечения безопасности может значительно снизить интенсивность атаки .

Статьи по теме:

Описание программы-вымогателя

: как она работает и как ее удалить

Определение программы-вымогателя

Программа-вымогатель — это форма вредоносной программы , которая шифрует файлы жертвы. Затем злоумышленник требует от жертвы выкуп за восстановление доступа к данным после оплаты.

Пользователям показаны инструкции по оплате сбора за ключ дешифрования. Стоимость может варьироваться от нескольких сотен до тысяч долларов, выплачиваемых злоумышленникам в биткойнах.

Как работает программа-вымогатель

Программа-вымогатель может использовать несколько векторов для доступа к компьютеру. Одна из наиболее распространенных систем доставки — это фишинговый спам — вложения, которые приходят жертве в электронном письме, маскируясь под файл, которому она должна доверять. После загрузки и открытия они могут захватить компьютер жертвы, особенно если у них есть встроенные инструменты социальной инженерии, которые обманом заставляют пользователей предоставлять административный доступ.Некоторые другие, более агрессивные формы программ-вымогателей, такие как NotPetya, используют бреши в безопасности для заражения компьютеров без необходимости обманывать пользователей.

Есть несколько вещей, которые вредоносная программа может сделать после захвата компьютера жертвы, но, безусловно, наиболее распространенным действием является шифрование некоторых или всех файлов пользователя. Если вам нужны технические подробности, в Infosec Institute есть очень подробный анализ того, как несколько разновидностей программ-вымогателей шифруют файлы. Но самое важное, что нужно знать, это то, что в конце процесса файлы не могут быть расшифрованы без математического ключа, известного только злоумышленнику.Пользователь получает сообщение о том, что его файлы теперь недоступны и будут расшифрованы только в том случае, если жертва отправит злоумышленнику не отслеживаемый платеж в биткойнах.

В некоторых формах вредоносного ПО злоумышленник может заявить, что является правоохранительным органом, который выключает компьютер жертвы из-за наличия на нем порнографии или пиратского программного обеспечения и требует уплаты «штрафа», возможно, для уменьшения количества жертв. скорее всего, сообщит о нападении властям. Но большинство нападений не обращают внимания на это отговорку.Существует также вариант, называемый leckware или doxware , в котором злоумышленник угрожает опубликовать конфиденциальные данные на жестком диске жертвы, если не будет уплачен выкуп. Но поскольку поиск и извлечение такой информации — очень сложная задача для злоумышленников, шифровальщики-вымогатели являются наиболее распространенным типом.

Кто является целью для программ-вымогателей?

Злоумышленники могут выбирать организации, на которые нацелены программы-вымогатели, несколькими способами. Иногда это вопрос возможностей: например, злоумышленники могут нацеливаться на университеты, потому что они, как правило, имеют меньшие группы безопасности и разрозненную базу пользователей, которая много обменивается файлами, что упрощает проникновение в их защиту.

С другой стороны, некоторые организации являются заманчивыми жертвами, потому что они с большей вероятностью заплатят выкуп быстро. Например, государственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим файлам. Юридические фирмы и другие организации, располагающие конфиденциальными данными, могут быть готовы платить за то, чтобы держать в секрете новости о взломе, и эти организации могут быть исключительно чувствительны к атакам с использованием утечек.

Но не думайте, что вы в безопасности, если не подходите под эти категории: как мы уже отмечали, некоторые программы-вымогатели автоматически и без разбора распространяются по Интернету.

Как предотвратить заражение программами-вымогателями

Существует ряд защитных мер, которые вы можете предпринять, чтобы предотвратить заражение программами-вымогателями. Эти шаги, конечно, являются хорошими практиками безопасности в целом, поэтому их выполнение улучшает вашу защиту от всех видов атак:

• Держите свою операционную систему в исправном состоянии и обновляйте , чтобы уменьшить количество уязвимостей, которые можно использовать.
• Не устанавливайте программное обеспечение и не давайте ему права администратора , если вы точно не знаете, что это такое и что оно делает.
• Установите антивирусное программное обеспечение , которое обнаруживает вредоносные программы, такие как программы-вымогатели, по мере их поступления, и , заносящее в белый список программное обеспечение , , которое в первую очередь предотвращает выполнение неавторизованных приложений.
• И, конечно же, — резервное копирование файлов, — часто и автоматически! Это не остановит атаку вредоносного ПО, но может сделать ущерб, нанесенный одной, гораздо менее значительным.

Удаление программ-вымогателей

Если ваш компьютер был заражен программой-вымогателем, вам необходимо восстановить контроль над своей машиной.У Стива Рагана из CSO есть отличное видео, демонстрирующее, как это сделать на машине с Windows 10:

В видео есть все подробности, но важные шаги следующие:

• Перезагрузите Windows 10 в безопасный режим
• Установить программу защиты от вредоносных программ
• Просканируйте систему , чтобы найти программу-вымогатель
• Восстановить компьютер в предыдущее состояние

Но вот важная вещь, о которой нужно помнить: во время выполнения этих шагов можно удалить вредоносное ПО с вашего компьютера и восстановить его под вашим контролем, но не сможет расшифровать ваши файлы. Их преобразование в нечитаемость уже произошло, и если вредоносная программа вообще сложна, никто не сможет математически расшифровать ее без доступа к ключу, который держит злоумышленник. Фактически, удалив вредоносное ПО, вы исключили возможность восстановления ваших файлов, заплатив злоумышленникам выкуп, который они запросили.

Факты и цифры о программах-вымогателях

Программы-вымогатели — это большой бизнес. Программы-вымогатели приносят большие деньги, и с начала десятилетия рынок быстро рос.В 2017 году программы-вымогатели принесли убытки в размере 5 миллиардов долларов, как с точки зрения уплаченного выкупа, так и затрат, а также потери времени на восстановление после атак. Это в 15 раз больше, чем в 2015 году. В первом квартале 2018 года только одна программа-вымогатель, SamSam, собрала выкуп в размере 1 миллиона долларов.

Некоторые рынки особенно уязвимы для программ-вымогателей и выплаты выкупа. В больницах или других медицинских организациях произошло множество громких атак с использованием программ-вымогателей, которые представляют собой заманчивые цели: злоумышленники знают, что, когда жизни буквально на волоске, эти предприятия с большей вероятностью просто заплатят относительно небольшой выкуп, чтобы проблема исчезла. .По оценкам, 45 процентов атак программ-вымогателей нацелены на медицинские организации, и, наоборот, 85 процентов заражений вредоносными программами в медицинских организациях являются программами-вымогателями. Еще одна соблазнительная индустрия? Сектор финансовых услуг, который, как классно заметил Уилли Саттон, является источником денег. По оценкам, 90% финансовых учреждений подверглись атаке программ-вымогателей в 2017 году.

Ваше антивирусное программное обеспечение не обязательно защитит вас. Ransomware постоянно пишется и настраивается разработчиками, поэтому его сигнатуры часто не улавливаются типичными антивирусными программами.Фактически, 75% компаний, ставших жертвами программ-вымогателей, использовали на зараженных машинах новейшую защиту конечных точек.

Программы-вымогатели не так распространены, как раньше. Если вы хотите хороших новостей, то вот что: количество атак программ-вымогателей после резкого роста в середине 10-х годов пошло на спад, хотя первоначальные цифры были достаточно высокими, и они все еще остаются. Но в первом квартале 2017 года атаки программ-вымогателей составили 60 процентов полезной нагрузки вредоносных программ; сейчас он упал до 5 процентов.

Программы-вымогатели на спаде?

Что стоит за этим большим провалом? Во многом это экономическое решение, основанное на выбранной киберпреступником валюте: биткойне. Взыскание выкупа с жертвы всегда было удачным решением; они могут не решить платить, или, даже если они захотят, они могут быть недостаточно знакомы с биткойнами, чтобы понять, как на самом деле это сделать.

Как указывает Касперский, снижение количества программ-вымогателей сопровождалось ростом так называемого вредоносного ПО , которое заражает компьютер жертвы и использует свои вычислительные мощности для создания (или шахты, на языке криптовалют) биткойнов без владелец знает.Это удобный способ использования чужих ресурсов для получения биткойнов, который позволяет обойти большинство трудностей, связанных с получением выкупа, и он стал еще более привлекательным в качестве кибератаки, когда цена на биткойны резко выросла в конце 2017 года.

Это не так. означают, что угроза миновала. Существует два различных типа атакующих программ-вымогателей: «обычные» атаки, которые пытаются заразить компьютеры без разбора в чистом виде и включают в себя так называемые «программы-вымогатели как услугу», которые преступники могут арендовать; и целевые группы, ориентированные на особо уязвимые сегменты рынка и организации.Вам следует быть настороже, если вы относитесь к последней категории, независимо от того, прошел ли большой бум вымогателей.

В связи с падением цены на биткойны в течение 2018 года анализ затрат и выгод для злоумышленников может вернуться назад. В конечном счете, использование программ-вымогателей или вредоносных программ для майнинга криптовалют — это бизнес-решение для злоумышленников, — говорит Стив Гробман, технический директор McAfee. «Поскольку цены на криптовалюту падают, естественно видеть возврат [к программам-вымогателям]».

Стоит ли платить выкуп?

Если ваша система была заражена вредоносным ПО, и вы потеряли жизненно важные данные, которые вы не можете восстановление из резервной копии, стоит ли платить выкуп?

Говоря теоретически, большинство правоохранительных органов призывают вас не платить злоумышленникам-вымогателям, исходя из логики, что это только побуждает хакеров создавать новые программы-вымогатели.Тем не менее, многие организации, которые сталкиваются с вредоносным ПО, быстро перестают думать о «большем благе» и начинают проводить анализ затрат и выгод, взвешивая цену выкупа и ценность зашифрованных данных. Согласно исследованию Trend Micro, в то время как 66 процентов компаний заявляют, что они никогда не будут платить выкуп из принципиальных соображений, на практике 65 процентов действительно платят выкуп, когда их ударили.

Злоумышленники-вымогатели поддерживают относительно низкие цены — обычно от 700 до 1300 долларов — сумму, которую компании обычно могут позволить себе заплатить в короткие сроки.Некоторые особо изощренные вредоносные программы обнаруживают страну, в которой работает зараженный компьютер, и корректируют размер выкупа в соответствии с экономикой этой страны, требуя большего от компаний из богатых стран и меньшего — от компаний из бедных регионов.

За быстрые действия часто предлагаются скидки, чтобы побудить жертв быстро заплатить, прежде чем слишком много думать об этом. В целом, цена устанавливается так, чтобы она была достаточно высокой, чтобы оправдать затраты преступника, но достаточно низкой, чтобы она часто была дешевле, чем то, что жертва должна была бы заплатить за восстановление своего компьютера или восстановление потерянных данных.Имея это в виду, некоторые компании начинают встраивать потенциальную необходимость выплаты выкупа в свои планы безопасности: например, некоторые крупные британские компании, которые в противном случае не имеют отношения к криптовалюте, держат некоторое количество биткойнов в резерве специально для выплат выкупа.

Здесь нужно запомнить пару хитрых вещей, помня, что люди, с которыми вы имеете дело, конечно же, преступники. Во-первых, то, что выглядит как программа-вымогатель, могло вообще не зашифровать ваши данные; убедитесь, что вы не имеете дело с так называемыми «пугающими программами», прежде чем отправлять кому-либо деньги.Во-вторых, оплата злоумышленников не гарантирует, что вы вернете свои файлы. Иногда злоумышленники просто берут деньги и бегут, и, возможно, даже не встроили в вредоносную программу функции дешифрования. Но любое такое вредоносное ПО быстро приобретет репутацию и не принесет дохода, поэтому в большинстве случаев — по оценкам Гэри Сокрайдер, главного технолога по безопасности в Arbor Networks, от 65 до 70 процентов времени — мошенники проникают, и ваши данные восстанавливаются. .

Примеры программ-вымогателей

Хотя программы-вымогатели технически существуют с 90-х годов, они стали популярны только в последние пять лет или около того, в основном из-за доступности неотслеживаемых способов оплаты, таких как биткойны.Вот некоторые из худших злоумышленников:

• CryptoLocker , атака 2013 года, запустила эпоху современных программ-вымогателей и заразила до 500 000 компьютеров на пике своего развития.
• TeslaCrypt нацелился на игровые файлы и постоянно совершенствовался во время своего террора.
• SimpleLocker была первой широко распространенной атакой программ-вымогателей, направленных на мобильные устройства.
• WannaCry автономно распространяется с компьютера на компьютер с помощью EternalBlue, эксплойта, разработанного АНБ, а затем украденного хакерами.
• NotPetya также использовал EternalBlue и, возможно, был частью направленной Россией кибератаки против Украины.
• Locky начал распространяться в 2016 году и был «похож по способу атаки на печально известное банковское программное обеспечение Dridex». Вариант Osiris распространялся посредством фишинговых кампаний.
• Leatherlocker был впервые обнаружен в 2017 году в двух приложениях для Android: Booster & Cleaner и Wallpaper Blur HD. Вместо того, чтобы шифровать файлы, он блокирует главный экран, чтобы предотвратить доступ к данным.
• Wysiwye, , также обнаруженный в 2017 году, сканирует Интернет на предмет открытых серверов протокола удаленного рабочего стола (RDP). Затем он пытается украсть учетные данные RDP для распространения по сети.
• Cerber оказался очень эффективным, когда он впервые появился в 2016 году, собрав злоумышленникам 200 000 долларов в июле того же года. Он воспользовался уязвимостью Microsoft для заражения сетей.
• BadRabbit распространился по медиа-компаниям в Восточной Европе и Азии в 2017 году.
• SamSam существует с 2015 года и ориентирован в первую очередь на медицинские организации.
• Ryuk впервые появился в 2018 году и используется в целевых атаках на уязвимые организации, такие как больницы. Его часто используют в сочетании с другими вредоносными программами, такими как TrickBot.
• Maze — это относительно новая группа программ-вымогателей, известная тем, что раскрывает украденные данные общественности, если жертва не платит за их расшифровку.
• RobbinHood — еще один вариант EternalBlue, который поставил город Балтимор, штат Мэриленд, на колени в 2019 году.
• GandCrab может быть самой прибыльной программой-вымогателем из когда-либо существовавших. Его разработчики, которые продали программу киберпреступникам, по состоянию на июль 2019 года требуют выплат жертвам на сумму более 2 миллиардов долларов.
• Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы, кроме файлов конфигурации. Это связано с GandCrab
• Thanos — новейшая программа-вымогатель в этом списке, обнаруженная в январе 2020 года. Она продается как программа-вымогатель как услуга. Это первая программа, использующая технологию RIPlace, которая может обойти большинство методов защиты от программ-вымогателей.

Этот список будет продолжаться. Следуйте приведенным здесь советам, чтобы защитить себя.

Видео по теме:

Copyright © 2020 IDG Communications, Inc.

Часто задаваемые вопросы — Ransomware

Инфекции могут быть разрушительными для человека или организации, а восстановление может быть сложным процессом, который может потребовать услуг авторитетного специалиста по восстановлению данных.

US-CERT рекомендует пользователям и администраторам принимать следующие превентивные меры для защиты своих компьютерных сетей от заражения программами-вымогателями:

• Используйте план резервного копирования и восстановления всей важной информации.Выполняйте и тестируйте регулярное резервное копирование, чтобы ограничить влияние потери данных или системы и ускорить процесс восстановления. Обратите внимание, что на резервные копии, подключенные к сети, также могут влиять программы-вымогатели; критические резервные копии должны быть изолированы от сети для оптимальной защиты.
• Держите свою операционную систему и программное обеспечение в актуальном состоянии с помощью последних исправлений. Уязвимые приложения и операционные системы являются объектами большинства атак. Обеспечение их исправления с помощью последних обновлений значительно сокращает количество уязвимых точек входа, доступных злоумышленнику.
• Поддерживайте антивирусное программное обеспечение в актуальном состоянии и проверяйте все программное обеспечение, загруженное из Интернета, перед запуском.
• Ограничить возможность (разрешения) пользователей устанавливать и запускать нежелательные программные приложения и применять принцип «наименьших прав» ко всем системам и службам. Ограничение этих привилегий может помешать запуску вредоносного ПО или ограничить его способность распространяться по сети.
• Избегайте включения макросов из вложений электронной почты. Если пользователь открывает вложение и включает макросы, встроенный код запускает вредоносную программу на машине.
• Не переходите по нежелательным веб-ссылкам в электронных письмах. Дополнительные сведения см. В ресурсах по фишингу на этом веб-сайте.

Физическим лицам или организациям не рекомендуется платить выкуп, поскольку это не гарантирует, что файлы будут выпущены. Однако ФБР сообщило, что, если задействованы Cryptolocker, Cryptowall или другие сложные формы вымогателей, жертва не сможет вернуть свои данные, не заплатив выкуп.

Защитите свой компьютер от программ-вымогателей

Программы-вымогатели — это вредоносная программа, которая шифрует ваши файлы или не дает вам использовать компьютер до тех пор, пока вы не заплатите деньги (выкуп) за их разблокировку.Если ваш компьютер подключен к сети, программа-вымогатель также может распространиться на другие компьютеры или устройства хранения в сети.

Некоторые из способов заражения вымогателями включают:

• Посещение небезопасных, подозрительных или поддельных веб-сайтов.

• Открытие вложенных файлов, которых вы не ожидали или от людей, которых вы не знаете.

• Открытие вредоносных или плохих ссылок в сообщениях электронной почты, Facebook, Twitter и других социальных сетях, а также в мессенджерах или SMS-чатах.

Поддельный адрес электронной почты или веб-страницу часто можно распознать по орфографии или просто по необычному виду. Обратите внимание на странное написание названий компаний (например, «PayePal» вместо «PayPal») или необычные пробелы, символы или знаки препинания (например, «iTunesCustomer Service» вместо «iTunes Customer Service»).

Программа-вымогатель может быть нацелена на любой ПК — будь то домашний компьютер, ПК в корпоративной сети или серверы, используемые государственным учреждением.

Внимание! Мобильные устройства тоже могут быть заражены программами-вымогателями! Узнать больше

Как я могу защитить свой компьютер?

• Убедитесь, что на вашем компьютере установлена ​​последняя версия Windows и все последние исправления. Узнайте больше о Центре обновления Windows.

• Убедитесь, что безопасность Windows включена, чтобы защитить вас от вирусов и вредоносных программ (или Центр безопасности Защитника Windows в предыдущих версиях Windows 10).

• В Windows 10 или 11 включите контролируемый доступ к папкам, чтобы защитить важные локальные папки от неавторизованных программ, таких как программы-вымогатели или другие вредоносные программы.

• Обнаружение и восстановление программ-вымогателей с помощью расширенной защиты Microsoft 365.

• Создайте резервную копию файлов с помощью истории файлов, если она еще не была включена производителем вашего компьютера.Узнайте больше об истории файлов.

• Храните важные файлы в Microsoft OneDrive. OneDrive включает встроенные средства обнаружения и восстановления программ-вымогателей, а также управление версиями файлов, поэтому вы можете восстановить предыдущую версию файла. А когда вы редактируете файлы Microsoft Office, хранящиеся в OneDrive, ваша работа автоматически сохраняется по мере использования.

• Используйте безопасный современный браузер, например Microsoft Edge.

• Периодически перезагружайте компьютер; по крайней мере раз в неделю. Это поможет обеспечить актуальность приложений и операционной системы, а также поможет вашей системе работать лучше.

Если вы подозреваете, что заразились

Используйте программы защиты от вредоносных программ, такие как Windows Security, всякий раз, когда опасаетесь, что ваш компьютер может быть заражен.Например, если вы слышите о новых вредоносных программах в новостях или замечаете странное поведение на своем ПК. См. Раздел «Защита от вирусов и угроз» в разделе «Безопасность Windows», чтобы узнать, как сканировать ваше устройство.

Если вы действительно заразились программой-вымогателем

К сожалению, заражение программой-вымогателем обычно не проявляется до тех пор, пока вы не увидите какое-либо уведомление, будь то в окне, приложении или полноэкранном сообщении, с требованием денег для восстановления доступа к вашему компьютеру или файлам.Эти сообщения часто отображаются после шифрования файлов.

Попробуйте полностью очистить компьютер с помощью службы безопасности Windows. Вы должны сделать это, прежде чем пытаться восстановить ваши файлы. Также см. Раздел «Резервное копирование и восстановление в Windows» для получения справки по резервному копированию и восстановлению файлов для вашей версии Windows.

Не платите деньги за восстановление файлов. Даже если вы заплатите выкуп, нет гарантии, что вы восстановите доступ к своему компьютеру или файлам.

Что делать, если вы уже заплатили

Если вы уже заплатили выкуп, немедленно обратитесь в свой банк и в местные органы власти.Если вы производили оплату кредитной картой, ваш банк может заблокировать транзакцию и вернуть вам деньги.

Вы также можете связаться со следующими государственными веб-сайтами, сообщающими о мошенничестве и мошенничестве:

Если вашего региона нет в списке, Microsoft рекомендует обратиться в федеральную полицию или службу связи вашего региона.

Иллюстрированный обзор программ-вымогателей и того, что вы можете сделать, чтобы защитить себя, см. В разделе «5Ws и 1H ransomware».

Если вы работаете на предприятии, см. Подробную информацию о программах-вымогателях в Центре защиты от вредоносных программ Microsoft.

См. Также

Как вредоносное ПО может заразить ваш компьютер

Защитите себя от онлайн-мошенничества и атак

Что такое программы-вымогатели? Как можно защититься от программ-вымогателей?

С одним из самых высоких показателей обнаружения на рынке (99.99%), 18 различных антивирусных сканеров проверяют почтовый трафик. Зараженное вложение, которое несколько раз упаковывалось и делалось до неузнаваемости, распознается антивирусным сканером Hornetsecurity и классифицируется как спам.

365 Threat Monitor идет еще дальше и надежно обнаруживает атаки программ-вымогателей, а также различные типы вредоносных программ, которые до сих пор неизвестны. Hornetsecurity Advanced Threat Protection (ATP) предлагает широкий спектр решений. К ним относятся перезапись URL-адресов и сканирование URL-адресов.

Если атака успешна, важно иметь актуальные резервные копии . Таким образом можно загрузить более старую версию без заражения. Это минимизирует потерю данных. Резервное копирование может быть выполнено вручную или автоматически. Облачное решение для компаний было бы отличной возможностью для резервного копирования данных.

Для атак программ-вымогателей в основном используется электронная почта. Хорошо замаскированные электронные письма попадают на компьютер сотрудника целевой компании в виде файлов PDF, EXE или JPEG. Отображение расширений файлов по умолчанию отключено в большинстве почтовых клиентов , поэтому пользователь обычно не может распознать формат файла с первого взгляда.

Случайно открываются зараженные файлы и запускается программа-вымогатель. Поэтому важно, чтобы вы разрешили просмотр расширений файлов в настройках вашего почтового клиента.

Закрытие уязвимостей также очень важно. Протокол удаленного рабочего стола Microsoft часто используется в качестве уязвимости .Эта функция позволяет в отдельных случаях распространять программы-вымогатели в локальной сети. Таким образом, вредоносное ПО распространяется в сети за очень короткое время. Обновление систем также абсолютно необходимо. Чем старше программное обеспечение, тем больше точек входа известно и доступно. Если вы все еще используете Windows 7 или даже Windows XP, не удивляйтесь, если ваш компьютер заражен и зашифрован. Поэтому WannaCry использовали пробел в устаревших системах Windows (EternalBlue). Многие компании его просто проигнорировали.Обновления или патчи не применялись. Это привело к большому количеству успешных атак программ-вымогателей на компании.

Virus Ransomware | Mimecast

Часто задаваемые вопросы: вирусы-вымогатели

Что такое вирус-вымогатель?

Вирус-вымогатель — это разновидность вредоносного ПО или вредоносного программного обеспечения, которое может быть загружено на компьютер пользователя, запрещая доступ к компьютеру или данным на нем до тех пор, пока не будет выплачен выкуп.Программы-вымогатели — это форма киберпреступности, которая обычно распространяется через фишинговые электронные письма, которые убеждают пользователей поделиться информацией для входа в систему, щелкнуть вредоносную ссылку или посетить веб-сайт, с которого вирус-вымогатель может быть тайно загружен на их компьютер.

Как удалить вирус-вымогатель?

Когда вирус-вымогатель успешно загружен на компьютер и запущена атака, организациям следует немедленно изолировать вирус, отключив компьютер от сети и от любых устройств хранения, совместно используемых с другими компьютерами.После идентификации вируса-вымогателя по языку записки о выкупе организация должна сообщить о вирусе федеральным властям в Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) по адресу www.us-cert.gov/report, а также в местное отделение ФБР. . Чтобы восстановить данные, организации могут либо попытаться расшифровать файлы с помощью инструментов дешифрования или специалистов по программам-вымогателям, либо полностью очистить систему и переустановить данные из последней резервной копии.

Как избежать вируса-вымогателя?

Лучший способ предотвратить атаку — избежать заражения вирусом-вымогателем.Программное обеспечение для защиты от вредоносных программ и спама может выявлять и блокировать многие стандартные или известные вирусные угрозы-вымогатели. Защищенный шлюз электронной почты с расширенными возможностями проверки и фильтрации может блокировать новые и возникающие угрозы программ-вымогателей, определяя такие индикаторы, как методы социальной инженерии, а также аномалии заголовков, сходство доменов и подозрительный язык. Средства защиты, проверяющие URL-адреса и вложения в сообщениях электронной почты, могут блокировать открытие пользователями подозрительных ссылок или файлов. А службы аутентификации DNS могут обнаруживать электронную почту, которая может использовать спуфинг отправителя для запуска вируса-вымогателя.

Как обучить сотрудников предотвращать заражение вирусом-вымогателем?

Обучение безопасности является неотъемлемой частью защиты от атак вирусов-вымогателей. Человеческая ошибка является ведущим фактором нарушений безопасности, таких как атаки программ-вымогателей, и обучение сотрудников большей бдительности может превратить их из самых слабых звеньев в цепочке безопасности в самых эффективных защитников организации. Обучение обычно фокусируется на том, как распознать фишинговые электронные письма, которые могут использоваться вместе с вирусом-вымогателем, и как избежать тех методов социальной инженерии, которые киберпреступники часто используют для взлома защиты.

Как обнаружить вирус-вымогатель?

Существует ряд общих индикаторов фишинговых писем, которые могут быть предназначены для установки на компьютер вируса-вымогателя. К ним относятся:

• Подозрительные вложения, например неожиданные счета или файлы.
• Грамматические и орфографические ошибки или нехарактерный язык, указывающие на то, что отправитель может не быть тем, кем он себя называет.
• Неперсонализированное общение с приветствиями без упоминания имени получателя.
• Угрозы негативных последствий и / или срочный тон, призванный побудить получателей к быстрым действиям.
• Запросы личной информации, например учетных данных.
• Несоответствия в адресах электронной почты, доменах и URL-адресах, где адрес электронной почты в заголовке не совпадает с точным соответствием компании, источником которой, как утверждается, является электронное письмо, или где ссылки в теле сообщения электронной почты не соответствуют фактическому целевому URL-адресу в связь.

Что такое программы-вымогатели? Как это работает и как удалить

Что такое программа-вымогатель?

Программа-вымогатель — это подмножество вредоносных программ, в которых данные на компьютере жертвы блокируются — обычно с помощью шифрования — и требуется оплата до того, как выкупленные данные будут расшифрованы и доступ будет возвращен жертве.Мотив атак программ-вымогателей обычно носит денежный характер, и, в отличие от других типов атак, жертва обычно уведомляется о том, что произошел эксплойт, и получает инструкции о том, как восстановиться после атаки. Платежи часто требуются в виртуальной валюте, например в биткойнах, поэтому личность киберпреступника неизвестна.

Вредоносные программы-вымогатели могут распространяться через вредоносные вложения в сообщениях электронной почты или в зараженных вредоносных программных приложениях, на зараженных внешних запоминающих устройствах и на взломанных веб-сайтах.В атаках также использовался протокол удаленного рабочего стола и другие подходы, которые не полагаются на какие-либо формы взаимодействия с пользователем.

Как работают атаки программ-вымогателей? Наборы программ-вымогателей

в глубокой сети позволяют киберпреступникам приобретать и использовать программные инструменты для создания программ-вымогателей с определенными возможностями. Затем они могут сгенерировать это вредоносное ПО для собственного распространения с уплатой выкупа на свои биткойн-счета. Как и в случае с большей частью остального мира информационных технологий, теперь для тех, у кого мало или совсем нет технической подготовки, есть возможность заказать недорогую программу-вымогатель как услугу (RaaS) и запускать атаки с минимальными усилиями.

Один из наиболее распространенных методов доставки атак программ-вымогателей — это фишинговые сообщения электронной почты. Вложение, которому жертва считает, что она может доверять, добавляется к электронному письму в виде ссылки. Как только жертва нажимает на эту ссылку, вредоносная программа в файле начинает загрузку.

Другие, более агрессивные формы программ-вымогателей используют бреши в безопасности для заражения системы, поэтому им не нужно полагаться на обман пользователей. Вредоносная программа также может распространяться через сообщения чата, съемные USB-накопители или плагины для браузера.

Как только вредоносная программа попадает в систему, она начинает шифрование данных жертвы. Затем он добавит расширение к файлам, что сделает их недоступными. После этого файлы не могут быть расшифрованы без ключа, известного только злоумышленнику. Затем программа-вымогатель отобразит сообщение для жертвы, объясняя, что файлы недоступны и могут быть доступны снова только после уплаты выкупа злоумышленникам — обычно в форме биткойнов.

Типы программ-вымогателей

Злоумышленники могут использовать один из нескольких различных подходов для вымогательства цифровой валюты у своих жертв:

• Scareware. Эта вредоносная программа выдает себя за программное обеспечение безопасности или службу технической поддержки. Жертвы программ-вымогателей могут получать всплывающие уведомления о том, что в их системе обнаружено вредоносное ПО. Программное обеспечение безопасности, которым пользователь не владеет, не будет иметь доступа к этой информации. Отсутствие ответа ни к чему не приведет, кроме как приведет к появлению новых всплывающих окон.
• Шкафчики для экрана. Также известный как шкафчик-вымогатель , это тип программы-вымогателя, предназначенный для полной блокировки доступа пользователей к их компьютерам.После запуска компьютера жертва может увидеть нечто похожее на официальную правительственную печать, что заставляет ее думать, что они являются объектом официального расследования. После сообщения о том, что на компьютере обнаружено нелицензионное программное обеспечение или незаконный веб-контент, жертва получает инструкции о том, как оплатить штраф в электронном виде. Однако официальные правительственные организации этого не сделали; вместо этого они будут проходить через надлежащие юридические каналы и процедуры.
• Шифрование программ-вымогателей. Также известные как атаки по кражи данных , они предоставляют злоумышленнику доступ к данным жертвы, зашифровывают их и запрашивают плату за разблокировку файлов. Как только это произойдет, нет никакой гарантии, что жертва получит доступ к своим данным обратно, даже если она договорится об этом. Злоумышленник также может шифровать файлы на зараженных устройствах и зарабатывать деньги, продавая продукт, который обещает помочь жертве разблокировать файлы и предотвратить будущие атаки вредоносных программ.
• Doxware . С помощью этого вредоносного ПО злоумышленник может пригрозить опубликовать данные жертвы в Интернете, если жертва не заплатит выкуп.
• Программа-вымогатель с основной загрузочной записью. При этом шифруется весь жесткий диск, а не только личные файлы пользователя, что делает невозможным доступ к операционной системе.
• Мобильный вымогатель. Эта программа-вымогатель поражает мобильные устройства. Злоумышленник может использовать мобильные программы-вымогатели, чтобы украсть данные с телефона или заблокировать его, а также потребовать выкуп, чтобы вернуть данные или разблокировать устройство.

В то время как ранние экземпляры этих атак иногда просто блокировали доступ к веб-браузеру или рабочему столу Windows — и делали это способами, которые часто можно было довольно легко перепроектировать и повторно открыть — с тех пор хакеры создали версии программ-вымогателей, которые используют сильные , шифрование с открытым ключом для запрета доступа к файлам на компьютере.

Блокировщики экрана и программы-вымогатели для шифрования — два основных типа программ-вымогателей. Знание разницы между ними поможет организации определить, что делать дальше в случае заражения.

Как описано выше, шкафчики экрана полностью блокируют доступ пользователей к их компьютерам до тех пор, пока не будет произведена оплата. Блокировщики экрана запрещают пользователю доступ к пораженной системе и файлам; однако данные не зашифрованы. В системах Windows шкафчик экрана также блокирует доступ к системным компонентам, таким как диспетчер задач Windows и редактор реестра. Экран заблокирован, пока не будет произведена оплата. Обычно жертве дают инструкции, как заплатить. Блокировщики экрана также пытаются обманом заставить пользователя заплатить, выдавая себя за официальную правительственную организацию.

Шифрование программ-вымогателей — одна из самых эффективных форм программ-вымогателей на сегодняшний день. Как упоминалось выше, злоумышленник получает доступ к данным жертвы и шифрует их, запрашивая плату за разблокировку файлов. Злоумышленники используют сложные алгоритмы шифрования для шифрования всех данных, хранящихся на устройстве. Обычно в пораженной системе оставляется примечание с информацией о том, как получить зашифрованные данные после оплаты. По сравнению с блокировщиками экрана, шифрование программ-вымогателей подвергает данные жертвы более непосредственной опасности, и нет никакой гарантии, что данные вернутся жертве после переговоров.

В обоих случаях жертва может получить всплывающее сообщение или электронное письмо с уведомлением о выкупе с предупреждением о том, что, если требуемая сумма не будет выплачена к определенной дате, закрытый ключ, необходимый для разблокировки устройства или дешифрования файлов, будет уничтожен.

Кто является целью программ-вымогателей?

Цели программы-вымогателя могут варьироваться от одного человека, малого и среднего бизнеса (SMB) или организации на уровне предприятия до целого города.

Государственные учреждения особенно уязвимы для программ-вымогателей, поскольку им не хватает кибербезопасности для адекватной защиты от них.То же самое и с малым и средним бизнесом. Помимо нестандартной кибербезопасности, у государственных учреждений есть незаменимые данные, которые могут нанести им вред, если станут недоступны. Это увеличивает вероятность их оплаты.

Статистика вымогателей

Один из способов, которым мошенничество с программами-вымогателями может вырасти до таких разрушительных масштабов, — это отсутствие отчетности. В 2018 году сайт safeatlast.co, предлагающий пользователям рейтинги, обзоры и статистику по различным системам безопасности, обнаружил, что менее четверти малых и средних предприятий сообщают о своих атаках с использованием программ-вымогателей.Это, скорее всего, связано с низкой вероятностью того, что они вернут свои деньги.

Однако отсутствие отчетов не означает, что атаки программ-вымогателей — редкость, особенно среди малых предприятий. По оценкам Symantec, небольшие организации с числом сотрудников от 1 до 250 имеют самый высокий уровень целевых вредоносных писем среди всех демографических групп: одно из 323 электронных писем является вредоносным.

Согласно одному анализу safeatlast.co, в 2019 году компания каждые 14 секунд подвергалась атакам программ-вымогателей.Ожидается, что к 2021 году этот интервал сократится до каждых 11 секунд. Частично это может быть связано с растущим распространением устройств Интернета вещей (IoT), которые, по данным Symantec, подвергаются в среднем 5200 атакам в месяц.

По оценкам

Safeatlast.co в 2018 году, 77% предприятий, подвергшихся атаке программ-вымогателей, использовали новейшие технологии защиты конечных точек. Это доказывает, что использования и правильного обслуживания программного обеспечения средней защиты конечных точек недостаточно для защиты от новейших программ-вымогателей.

Программа-вымогатель потенциально является проблемой № 1 для предприятий, поскольку она способна связать огромные суммы денег и может быстро распространяться и развиваться, выходя за рамки стандартной защиты. Кроме того, по данным safeatlast.co, сами выкупы трудно отследить: около 95% всей прибыли обменивается с использованием криптовалютной платформы.

Дополнительные статистические данные о программах-вымогателях показывают тревожное влияние программ-вымогателей на бизнес в 2019 году.

Как вымогатели влияют на бизнес?

Атака с использованием программ-вымогателей может иметь разрушительные последствия для бизнеса.Согласно сайту safeatlast.co, за последний год программы-вымогатели обошлись компаниям более чем в 8 миллиардов долларов, и более половины всех атак вредоносных программ были атаками программ-вымогателей. Некоторые эффекты включают следующее:

• потеря бизнес-данных;
• простой в результате взлома инфраструктуры;
• потеря производительности в результате простоя;
• потеря потенциальной выручки;
• дорогостоящих усилий по восстановлению, которые потенциально перевешивают сам выкуп;
• долгосрочный ущерб как данным, так и инфраструктуре данных;
• ущерб прежней репутации бизнеса как надежного; и
• потеря клиентов и, в худшем случае, возможность причинения личного вреда, если бизнес имеет дело с общественными услугами, такими как здравоохранение.

Как предотвратить атаки программ-вымогателей?

Для защиты от угроз программ-вымогателей и других видов кибеэкстракции эксперты по безопасности призывают пользователей сделать следующее:

• Регулярно выполняйте резервное копирование вычислительных устройств.
• Провести инвентаризацию всех активов.
• Обновление программного обеспечения, включая антивирусное ПО.
• Попросите конечных пользователей не переходить по ссылкам в сообщениях электронной почты или открывать вложения к сообщениям от незнакомцев.
• Избегайте уплаты выкупа.
• Избегайте разглашения личной информации.
• Не используйте неизвестные USB-накопители.
• Используйте только известные источники загрузки.
• Персональные настройки защиты от спама.
• Отслеживать подозрительную активность в сети.
• Используйте сегментированную сеть.
• Настройте программное обеспечение безопасности для сканирования сжатых и заархивированных файлов.
• Отключить Интернет после обнаружения подозрительного процесса на компьютере.

Хотя атаки программ-вымогателей практически невозможно остановить, отдельные лица и организации могут принимать важные меры по защите данных, чтобы гарантировать минимальный ущерб и максимально быстрое восстановление.Стратегии включают следующее:

• Разделите системы аутентификации и домены.
• Поддерживайте в актуальном состоянии моментальные снимки хранилища за пределами основного пула хранения.
• Установить жесткие ограничения на то, кто может получать доступ к данным и когда разрешен доступ.

Стоит ли платить выкуп?

Большинство правоохранительных органов рекомендуют не платить злоумышленникам-вымогателям, мотивируя это тем, что они будут приглашать хакеров только для совершения новых атак с использованием программ-вымогателей.Однако, когда организация сталкивается с возможностью восстановления в течение нескольких недель или более, мысль об упущенной прибыли может начать оседать, и организация может начать рассматривать цену выкупа по сравнению со стоимостью зашифрованных данных. По данным Trend Micro, в то время как 66% компаний заявляют, что не будут платить выкуп, около 65% все же платят выкуп, когда сталкиваются с таким решением. Злоумышленники устанавливают цену так, чтобы она окупалась, но достаточно низкой, чтобы целевой организации было дешевле заплатить злоумышленникам, а не восстанавливать зашифрованные данные.

Несмотря на то, что было бы понятно, почему некоторые организации захотят заплатить выкуп, это все же не рекомендуется по ряду причин:

• Преступники по-прежнему занимаются. По-прежнему нет гарантии, что злоумышленники выполнят свое слово и расшифруют данные. Бюллетень Kaspersky Security Bulletin за 2016 год утверждал, что 20% предприятий, которые решили заплатить требуемый от них выкуп, не получили свои файлы обратно.
• Потенциально опасное ПО. Сообщение о выкупе можно было использовать без доступа к данным организации.
• Неверный ключ дешифрования или тот, который практически не работает. После уплаты выкупа дешифратор, который получает организация, может сработать только для того, чтобы преступники заявили, что выполнили то, что обещали.
• Возможность повторного требования выкупа . Киберпреступники теперь будут знать, что целевая организация уже платила выкуп.

Как удалить программу-вымогатель

Нет гарантии, что жертвы смогут остановить атаку программы-вымогателя и восстановить свои данные; однако есть методы, которые могут работать в некоторых случаях. Например, жертвы могут остановить и перезагрузить свою систему в безопасном режиме, установить программу защиты от вредоносных программ, просканировать компьютер и вернуть компьютер в предыдущее незараженное состояние.

Жертвы также могли восстановить свою систему из файлов резервных копий, хранящихся на отдельном диске. Если они находятся в облаке, жертвы могут переформатировать свой диск и восстановить данные из предыдущей резервной копии.

Пользователи Windows, в частности, могут использовать Восстановление системы, то есть функцию, которая откатывает устройства Windows и их системные файлы до определенного отмеченного момента времени — в данном случае до того, как компьютер был заражен. Чтобы это сработало, необходимо заранее включить восстановление системы, чтобы оно могло отметить место во времени, в которое компьютер должен вернуться. Windows включает восстановление системы по умолчанию.

Для получения общих пошаговых инструкций по выявлению и удалению программы-вымогателя выполните следующие рекомендации:

1. Создайте резервную копию системы и сделайте резервную копию всех важных или неотъемлемых файлов.Если организация не может восстановить свои файлы, она сможет выполнить восстановление из резервной копии.
2. Убедитесь, что программное обеспечение для оптимизации или очистки системы не удаляет инфекцию или другие необходимые файлы программ-вымогателей. Файлы должны быть сначала изолированы и идентифицированы.
3. Поместить вредоносное ПО в карантин с помощью программного обеспечения для защиты от вредоносных программ. Также убедитесь, что злоумышленники не создали бэкдор, который может позволить им получить доступ к той же системе позже.
4. Определите тип программы-вымогателя и какой именно метод шифрования был использован.Декриптор и средства восстановления программ-вымогателей могут помочь определить тип программы-вымогателя.
5. После идентификации файлы вымогателей можно использовать для расшифровки файлов. Из-за различных и постоянно развивающихся методов программ-вымогателей нет абсолютной гарантии, что этот инструмент сможет помочь.

Средства восстановления программ-вымогателей включают такие продукты, как McAfee Ransomware Recover и Trend Micro Ransomware File Decryptor.

Мобильный вымогатель

Мобильный вымогатель — это вредоносная программа, которая удерживает в заложниках данные жертвы и поражает мобильные устройства, обычно смартфоны.Мобильные программы-вымогатели работают по той же схеме, что и другие типы программ-вымогателей, когда злоумышленник блокирует доступ пользователя к данным на своем устройстве до тех пор, пока он не произведет платеж злоумышленнику. После загрузки вредоносного ПО на зараженное устройство появляется сообщение с требованием оплаты перед разблокировкой устройства. Если выкуп уплачен, отправляется код для разблокировки устройства или расшифровки его данных.

Как правило, мобильные программы-вымогатели скрываются как законные приложения в сторонних магазинах приложений. Хакеры обычно выбирают популярные приложения для имитации, ожидая, пока ничего не подозревающий пользователь загрузит их, а вместе с ними и вредоносное ПО.Пользователи смартфонов также могут заразиться мобильными программами-вымогателями, посетив веб-сайты или щелкнув ссылку, которая появляется в электронном письме или текстовом сообщении.

Советы, как не стать жертвой мобильных программ-вымогателей, включают следующее:

• Не загружайте приложения из сторонних магазинов приложений. Придерживайтесь Apple App Store и Google Play Store.
• Своевременно обновляйте мобильные устройства и мобильные приложения.
• Не предоставляйте права администратора приложениям, если им не доверяете.
• Не нажимайте на ссылки, которые появляются в спам-письмах или текстовых сообщениях из неизвестных источников.

Пользователи мобильных устройств также должны иметь резервную копию своих данных в другом месте на случай заражения их устройства. В худшем случае это, по крайней мере, гарантирует, что данные на устройстве не будут потеряны навсегда.

Известные программы-вымогатели: CryptoLocker и WannaCry

Возможно, первым примером широко распространенной атаки с использованием шифрования с открытым ключом был CryptoLocker, троянский конь, который был активен в Интернете с сентября 2013 года по май 2014 года.Вредоносная программа требовала оплаты либо биткойнами, либо предоплаченным ваучером, и эксперты в целом полагали, что использованная криптография Ривест-Шамир-Адлеман (RSA) при правильной реализации была по существу неприступной. Однако в мае 2014 года охранная фирма получила доступ к командно-административному серверу, участвовавшему в атаке, и восстановила использованные ключи шифрования. Онлайн-инструмент, позволяющий бесплатно восстанавливать ключи, эффективно защищал от атаки.

В мае 2017 года в результате атаки под названием WannaCry было зашифровано более четверти миллиона систем по всему миру.Вредоносная программа использует асимметричное шифрование, поэтому нельзя разумно ожидать, что жертва восстановит закрытый и нераспределенный ключ, необходимый для расшифровки выкупленных файлов.

Платежи были запрошены в биткойнах, что означает, что получателя выкупа установить не удалось. Кроме того, транзакции были видны, и, таким образом, можно было подсчитать общие выплаты выкупа. В течение недели, когда WannaCry был наиболее опасным, было переведено около 100000 долларов в биткойнах, но нет сообщений о том, что данные были расшифрованы после оплаты.

Влияние WannaCry было заметно в некоторых случаях. Например, Национальная служба здравоохранения Великобритании сильно пострадала и была вынуждена отключить службы во время атаки. Опубликованные отчеты предполагают, что ущерб, нанесенный тысячам пострадавших компаний, превысит 1 миллиард долларов.

Программа-вымогатель IoT, возможно, не отстает. Два исследователя, Эндрю Тирни и Кен Манро, продемонстрировали вредоносное ПО, которое атаковало, блокировало и требовало выкуп в 1 биткойн за общедоступный интеллектуальный термостат на хакерской конференции Def Con в 2016 году.

Как работает программа-вымогатель WannaCry

Другие примеры программ-вымогателей

11 декабря 2021 года Ultimate Kronos Group (UKG) подверглась атаке программы-вымогателя, отключившей системы. Эта атака затронула системы начисления заработной платы ряда клиентов. В результате многим клиентам пришлось прибегать к оформлению бумажных чеков для сотрудников. Среди пострадавших клиентов — город Спрингфилд, штат Массачусетс, Управление транспорта Нью-Йорка и город Кливленд, штат Огайо.

UKG — поставщик систем управления персоналом, известный своими системами расчета заработной платы и рабочего времени. Атака затронула частное облако Kronos, в котором размещены UKG Workforce Central, UKG Telestaff, Healthcare Extensions и Banking Scheduling Solutions.

7 мая 2021 года колониальный нефтепровод в США был закрыт после атаки программы-вымогателя, заразившей системы в его материнской компании. Атака была направлена ​​злоумышленником, известным как DarkSide. Несмотря на то, что ни одна из его критически важных систем управления производством не была затронута, Colonial Pipeline по-прежнему объявила, что временно прекращает работу, чтобы предотвратить распространение программы-вымогателя.Остановка крупнейшего в США трубопровода протяженностью 5500 миль привела к нехватке газа в некоторых частях страны.

Позже The Wall Street Journal сообщила, что генеральный директор Colonial Pipeline Джозеф Блаунт санкционировал выплату выкупа в размере 4,4 миллиона долларов. Решение было принято потому, что в то время руководители не были уверены, насколько серьезно кибератака повредила их системы, а также сколько времени потребуется, чтобы снова запустить трубопровод.

Инцидент привел к остановке одного из основных нефтепроводов страны и вызвал обеспокоенность у Белого дома и Федерального бюро расследований по поводу последствий для безопасности и проблем с инфраструктурой из-за остановки на несколько дней.

В декабре 2019 года город Пенсакола, штат Флорида, также стал жертвой атаки с использованием программ-вымогателей. Это повлияло на обслуживание клиентов и онлайн-оплату счетов для ряда департаментов города, включая Pensacola Energy и Pensacola Sanitation Services.

В 2018 году вирус-вымогатель SamSam использовал атаку методом перебора для подбора слабых паролей, охраняющих важную инфраструктуру в Атланте. Приложения, которые жители использовали для оплаты счетов и доступа к судебной информации, были закрыты, что вызвало серьезные разногласия в инфраструктуре города.Результатом стали неисчислимые объемы скомпрометированных данных и миллионы долларов затрат на восстановление.

История программ-вымогателей

Первое задокументированное появление программы-вымогателя связано с вирусом «Троянский конь СПИДа» в 1989 году. Троянская программа AIDS была создана биологом по имени Джозеф Попп, прошедшим обучение в Гарварде, который распространил 20 000 зараженных дискет с надписью «Информация о СПИДе — вводная дискета». исследователям синдрома приобретенного иммунодефицита на международной конференции Всемирной организации здравоохранения по СПИДу.Участники, решившие вставить дискету, столкнулись с вирусом, который блокировал файлы пользователя на диске компьютера, делая их персональный компьютер (ПК) непригодным для использования. Чтобы разблокировать свои файлы, пользователи были вынуждены отправить 189 долларов на почтовый ящик, принадлежащий PC Cyborg Corp. В конце концов, пользователи смогли обойти вирус и расшифровать свои файлы, потому что вирус использовал легко решаемые инструменты симметричной криптографии.

Помимо вируса Поппа 1989 года, программы-вымогатели были относительно редки до середины 2000-х, когда злоумышленники использовали более изощренное шифрование для вымогательства у своих жертв.Например, вымогатель Archievus использовал асимметричное шифрование RSA. Reveton, вирус с 2012 года, обвинил зараженную систему в использовании для незаконной деятельности и использовал веб-камеру системы, чтобы имитировать съемку пользователя, используя тактику запугивания, чтобы получить выкуп в размере 200 долларов.

Сегодня вектор атаки программ-вымогателей распространился на приложения, используемые в IoT и мобильных устройствах, а вирусы включают более сложное шифрование. Частично это связано с наличием готовых к использованию наборов программ-вымогателей — RaaS — доступных в темной сети, в которых используется шифрование в результате сотрудничества между сообществами разработчиков программ-вымогателей в темной сети.В настоящее время программы-вымогатели гораздо лучше ориентируются на более крупные организации, чем на отдельных лиц, что означает, что на карту поставлены экспоненциально большие суммы денег. Со времен Джозефа Поппа программа-вымогатель превратилась из незначительной неприятности в серьезную угрозу.

Будущие тенденции программ-вымогателей

Наиболее значительная тенденция, которую следует ожидать от программ-вымогателей в ближайшие годы, — это увеличение числа атак на коммунальные предприятия и общественную инфраструктуру, поскольку они являются критически важными учреждениями с доступом к большим суммам денег и часто используют старую или устаревшую технологию кибербезопасности.По мере того как технологии вымогателей продолжают развиваться, технологическая разница между злоумышленниками и общедоступными целями может еще больше увеличиться. В этих целевых государственных секторах, особенно в здравоохранении, в ближайшие годы атаки могут оказаться более дорогостоящими, чем когда-либо прежде.

Прогнозы

также указывают на растущее внимание к малым предприятиям, использующим устаревшее программное обеспечение безопасности. По мере роста количества бизнес-устройств IoT малые предприятия больше не могут думать, что они слишком малы, чтобы их можно было атаковать.Вектор атаки растет в геометрической прогрессии, а методы защиты — нет. По этой же причине предполагается, что домашние устройства будут все более вероятными целями.

Более широкое использование мобильных устройств также усиливает использование атак социальной инженерии, которые открывают дверь для атак программ-вымогателей. Методы атак социальной инженерии, такие как фишинг, травля, услуга за услугу, претекст и совмещение, основываются на манипулировании психологией человека.

Одно исследование IBM показало, что пользователи в три раза чаще реагируют на фишинговую атаку на мобильное устройство, чем на настольный компьютер, отчасти потому, что именно здесь пользователи, скорее всего, первыми увидят сообщение.

Verizon также опубликовал исследование, в котором говорится, что успех социальной инженерии на мобильных устройствах вероятен потому, что экраны меньшего размера ограничивают объем отображаемой подробной информации. Мобильные устройства компенсируют это меньшими уведомлениями и возможностью быстрого ответа на сообщения и открывать ссылки, что делает реагирование более эффективным, но также ускоряет процесс стать жертвой фишинг-атаки.

Еще одна тенденция — рост кражи или распространения кода.Например, было обнаружено, что в крупных кампаниях по вымогательству Ryuk и Hermes использовался похожий код. Официальные лица сначала предположили, что оба варианта вымогателей исходят от одной и той же группы вымогателей, но позже обнаружили, что большая часть кода Рюка была просто скопирована с Hermes. Фактически, Рюк происходил из отдельной, не связанной между собой группы злоумышленников из другой страны.

Программы-вымогатели становятся все более серьезной и серьезной угрозой, поскольку 56% организаций были атакованы в 2020 году, по данным CrowdStrike.Сегодня как никогда важно защищаться от программ-вымогателей и предотвращать атаки.

.