Что такое вирус-шифровальщик и другие вымогатели
Этот текст предназначен для тех людей, которые либо вообще не слышали ничего о троянах-вымогателях, либо слышали, но особо не вникали. Здесь мы постараемся максимально просто и наглядно объяснить, что за звери такие трояны-вымогатели, почему их стоит опасаться и как от них защититься.
Что такое Ransomware?
Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которая за последнее время из просто распространенной стала очень-очень распространенной.
По тому, как они портят жизнь людям, их можно разделить на два основных типа — шифровальщики (крипторы, cryptoransomware) и блокировщики (blockers, блокеры).
Шифровальщики, попадая на ваш компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее — таким образом, что их нельзя открыть. То есть вы не сможете ими воспользоваться. А за расшифровку создатели шифровальщиков требуют выкуп — в среднем около $300, то есть совсем уж дешево от них не отделаться.
Блокировщики получили свое имя за то, что они просто блокируют доступ к устройству. То есть воспользоваться не получится не просто файлами, а всем компьютером целиком. Они тоже требуют выкуп, но обычно не такой большой, как шифровальщики.
Почему о вымогателях стоит знать и что в них страшного
Начнем с того, что вымогателей стало уж очень много и встречаются они уж очень часто. Они есть для всех операционных систем: для Windows, для Mac OS X, для Linux и для Android. То есть трояны-вымогатели встречаются не только для компьютеров, но и для смартфонов и планшетов. Больше всего их для Windows и Android.
К тому же заразиться довольно просто: трояны-вымогатели чаще всего попадают в компьютер, когда пользователи открывают нехорошие почтовые вложения, переходят по сомнительным ссылкам или устанавливают приложения из неофициальных источников. Но могут проникать и с абсолютно добропорядочных сайтов — например, злоумышленники навострились подсовывать их в рекламу.
Также преступники научились убеждать людей, что им предлагается скачать или открыть что-то полезное — письмо из банка, счет, какую-нибудь ценную программу и так далее. При этом на самом деле на компьютер попадает блокировщик или шифровальщик.
Пожалуй, главная проблема шифровальщиков состоит в том, что просто вылечить их вы не сможете. То есть если вы попытаетесь вылечить шифровальщика антивирусом или специальной утилитой, то у вас это, скорее всего, получится — вот только файлы это не вернет: они так и останутся зашифрованными.
Более того, заплатить выкуп — тоже не универсальное лекарство. Во-первых, это дорого. Во-вторых, это поощряет преступников делать новых и новых шифровальщиков. А в-третьих, это еще и не всегда помогает. Согласно нашей статистике, 20% тех, кто все-таки заплатил мошенникам выкуп, так и не получили обратно свои файлы. Просто потому, что преступники — это преступники. Не стоит ждать от них честности.
Как расшифровать файлы?
Если шифровальщик проник в систему и успел натворить дел, то просто так сами вы файлы не расшифруете.
Вариантов, по сути, два. Можно, конечно, заплатить выкуп злоумышленникам, но мы бы этого делать не советовали по вышеуказанным причинам.
Второй вариант — зайти на сайт noransom.kaspersky.com и посмотреть, нет ли там декриптора, который помог бы вам расшифровать файлы. Все наши декрипторы абсолютно бесплатны, но, к сожалению, далеко не от всех шифровальщиков получается создать такое лекарство. Так что лучше не доводить до крайностей и защищаться от них заранее.
Как защититься от вымогателей?
Не открывайте подозрительные вложения в почте, не ходите по сомнительным сайтам и не скачивайте программы с каких-либо сайтов, кроме официальных магазинов и сайтов самих разработчиков.
Регулярно делайте резервные копии важных файлов. Если все ваши файлы есть не только на компьютере, но и на отдельном жестком диске или в облаке, то можно просто вылечить шифровальщика и скопировать файлы обратно на компьютер.
Установите хороший антивирус. Например, Kaspersky Internet Security, в котором есть специальный модуль «Мониторинг активности», отлично защищающий от шифровальщиков.
Кстати, по данным одного из недавних независимых тестирований, Kaspersky Internet Security справляется со 100% троянов-вымогателей.
На нашем блоге есть более подробный текст, из которого вы можете узнать больше о различных видах вымогателей и о том, откуда они берутся, а также почерпнуть еще несколько полезных советов по борьбе с ними. Ну а чтобы какой-нибудь новый шифровальщик не застал вас врасплох, советуем следить за новостями.
10 методов защиты от шифровальщиков-вымогателей
Одной из самых опасных угроз в современном кибермире являются трояны-вымогатели. Попав в систему, эти программы по-тихому шифруют файлы пользователя — документы, видеозаписи и фотографии. Все процессы проходят в фоновом режиме, чтобы жертва не смогла обнаружить, что происходит.
Закончив свое мерзкое дело, троян выводит на экран сообщение, в котором рассказывает пользователю что-то вроде «ваши файлы зашифрованы, если хотите их вернуть, отправьте кругленькую сумму на этот счет».
Платить придется в биткойнах. Так как часто жертвами программ-вымогателей становятся неопытные пользователи, помимо сбора денег им еще придется разобраться, где и как эти самые биткойны можно купить.
Платить нельзя, не платить: как мы вернули файлы десяткам тысяч жертв программ-вымогателей https://t.co/uKQJ2h9zPG pic.twitter.com/FiZvoM1IzM
— Kaspersky Lab (@Kaspersky_ru) October 30, 2015
Этот метод мошенничества отличается особенно злой иронией: все файлы остаются у пользователя, только открыть их не получается — они надежно зашифрованы. Очень обидно.
«Вылечить» данные без ключа практически невозможно, новейшие версии вымогателей используют очень стойкое шифрование, а ключи хранят там, где до них не доберешься. Поэтому легче предотвратить заражение системы, чем иметь дело с последствиями.
Наш эксперт об эпидемии программ-вымогателей и о том, почему эта проблема касается всех: https://t.
co/j2Ln1R3jQg pic.twitter.com/biiui40a0q
— Kaspersky Lab (@Kaspersky_ru) July 17, 2015
10 советов по борьбе с вирусами-шифровальщиками.
- Регулярно делайте резервные копии всех важных файлов. Желательно, чтобы у вас было два бэкапа: один в облаке, например в Dropbox, Google Drive и других специализированных сервисах. А другой на сменном носителе (съемный жесткий диск, большая флешка, запасной ноутбук).
Резервные копии: надежно и без хлопот http://t.co/SsAKMtXeeq #crystal
— Kaspersky Lab (@Kaspersky_ru) April 9, 2013
- Регулярно проверяйте, в порядке ли сделанные бэкапы. Система бэкапов — это тоже программа. Она может поломаться и скопировать данные с ошибками.
Она может поломаться и скопировать данные с ошибками.- Преступники часто создают фальшивые письма, похожие на сообщения от интернет-магазинов или банков, чтобы распространять вредоносное ПО, — это называется «фишинг». Так что настройте спам-фильтр в почте и никогда не открывайте вложения к письмам, отправленным незнакомыми людьми.
10 советов как защититься от фишинга. Здесь же можно узнать что такое фишинг 😉 https://t.co/dDgEE3aHzV
— Евгений Касперский (@e_kaspersky_ru) November 13, 2015
- Не доверяйте никому. Такой вирус могут прислать со взломанного аккаунта вашего друга в Skype или «ВКонтакте», товарища по онлайн-играм или даже коллеги с работы.
Троянцы-шифровальщики переключились с офисных работников и бухгалтеров на геймеров: http://t.co/bVrlKT4Hcb pic.twitter.com/85tUvUzDO4
— Kaspersky Lab (@Kaspersky_ru) March 25, 2015
- Включите функцию «Показывать расширения файлов» в настройках.
10 способов спастись от программ-вымогателей #безопасность #вирусы #ransomware
Tweet
- Регулярно устанавливайте обновления для вашей ОС, браузера, антивируса и другого ПО. Преступники используют «дыры» в программном обеспечении, чтобы заразить устройства пользователей.
- Установите надежный антивирус, который умеет бороться с троянами-вымогателями. Мы можем предложить Kaspersky Internet Security, который в большинстве случаев просто не даст вирусам попасть к вам в систему, а если это произойдет, защитит важные файлы с помощью специальной функции.
Вирусы-вымогатели приносят своим создателям серьезный доход, даже если платит лишь 1% жертв: http://t.co/BReZ0s36Rw
— Kaspersky Lab (@Kaspersky_ru) December 15, 2014
- Если вам кажется, что вы обнаружили какой-то подозрительный процесс, отключите компьютер от Интернета. Если троян-вымогатель не успеет стереть ключ шифрования на вашем компьютере, то есть шанс восстановить файлы. Правда, новейшие версии этой заразы используют заранее заданный ключ, так что с ними этот совет не сработает.
- Если вы уже попались, то не платите выкуп, если в этом нет серьезной необходимости. Помните: каждый денежный перевод — это вливание в преступный бизнес, который будет развиваться и дальше, до тех пор, пока поступают деньги.
Обновили наш крутой дешифратор. Coinvault и Bitcryptor побеждены, пользуйтесь наздоровье: https://t.co/e7Q6LaYUTb pic.twitter.
— Kaspersky Lab (@Kaspersky_ru) October 29, 2015
com/Y2HqGGglWL- Еще один совет для уже заразившихся: проверьте — возможно, вам повезло, и вам попался один из старых шифровальщиков. Раньше вымогатели были далеко не такими продвинутыми, как сейчас, зашифрованные ими файлы сравнительно несложно восстановить.
Кроме того, полиция и специалисты по кибербезопасности (в том числе «Лаборатория Касперского») периодически ловят преступников и выкладывают инструменты для восстановления файлов в Сеть. Стоит проверить, можно ли вернуть свои файлы абсолютно бесплатно. Для этого посетите noransom.kaspersky.com.
Примеры ransomware: типы атак с использованием программ-вымогателей
Что бы вы сделали, если бы ваши личные данные стали предметом «торга» со злоумышленниками? Чтобы не оказаться в такой ситуации, следует использовать программны для защиты от троянов-вымогателей.
w3.org/1999/xhtml»>В этой статье рассматриваются типы вымогателей и известные примеры атак с их использованием.Мы обсудим следующие темы:
- Что такое программа-вымогатель?
- Типы вымогателей
- 10 примеров троянов-вымогателей
- Способы обнаружения вымогателей в электронной почте
- Использование программы для расшифровки файлов
Что такое программа-вымогатель (Ransomware)
Прежде чем мы рассмотрим типы вымогателей и известные примеры атак с их применением, давайте начнем с азов — что такое троянская программа-вымогатель или ransomware?
Ransomware — это тип вредоносного программного обеспечения, используемый киберпреступниками для получения выкупа.
Жертвами атак с применением вымогателей становятся как отдельные пользователи, так и организации.
Программы-вымогатели могут попадать на компьютеры через вложения или ссылки в фишинговых электронных сообщениях, через зараженные веб-сайты с помощью drive-by загрузок или в результате использования зараженных USB-накопителей.
Если компьютер или сеть подверглись заражению трояном-вымогателем, вредоносная программа блокирует доступ к системе или зашифровывает данные в ней. Киберпреступники требуют от жертвы уплаты выкупа за восстановление доступа к своему компьютеру или данным.
Типы вымогателей
Существует два основных типа вымогателей: шифровальщики и блокировщики.
Шифровальщики шифруют ценные файлы на компьютере так, что пользователь не может получить к ним доступ.
Злоумышленники, которые запускают атаки шифровальщиков-вымогателей, зарабатывают деньги, требуя от жертв уплаты выкупа за расшифровку своих файлов.
Блокировщики не шифруют файлы. Они просто блокируют нормальную работу компьютера или смартфона, а затем киберпреступники, стоящие за атакой вымогателей, требуют выкуп за разблокирование устройства.
10 примеров программ-вымогателей
Теперь вы знаете, что такое трояны-вымогатели и на какие две группы они делятся. Давайте рассмотрим 10 примеров известных вымогателей, разберемся, чем они отличаются и выясним, насколько опасен каждый из них.
Locky
Шифровальщик Locky впервые заявил о себе в 2016 году, когда был использован в атаке, организованной группировкой хакеров.
Locky, обладающий способностью зашифровать 160 различных типов файлов, доставлялся на компьютеры жертв с помощью поддельных писем с вредоносным вложением, которое злоумышленники обманом заставляли пользователей открывать и таким образом устанавливать троянскую программу на свое устройство.
Этот метод распространения вредоносного ПО называется фишингом — формой социальной инженерии.
Locky шифрует различные типы файлов, которые часто используются дизайнерами, разработчиками, инженерами и тестировщиками.
WannaCry
От эпидемии WannaCry, начавшейся 12 мая 2017 года, пострадали пользователи в 150 странах мира
Считается, что троян-шифровальщик WannaCry, предназначенный для использования уязвимости в Windows, был создан Агентством национальной безопасности США. Впоследствии информация об уязвимости и программы для её использования были украдены у АНБ хакерской группировкой The Shadow Brokers и опубликованы в общем доступе. WannaCry заразил более 230 000 компьютеров по всему миру.
В Великобритании были атакованы почти треть больниц, и устранение проблемы и ее последствий обошлось Системе медицинского обслуживания населения примерно в 92 миллиона фунтов стерлингов.
WannaCry заблокировал компьютеры медицинских учреждений и требовался уплаты выкупа в биткойнах. Атака стала следствием использования устаревших систем, из-за чего службы здравоохранения оказались уязвимыми для действий кибрепреступников.
Глобальный финансовый ущерб от WannaCry оценён в сумму 4 млрд долларов США.
Bad Rabbit
Bad Rabbit — вирус-шифровальщик, обнаруженный 24 октября 2017 года. Он распространяется по методу drive-by через зараженные веб-сайты.
Пользователи заходят на легитимный сайт, не подозревая о том, что он был взломан хакером.
Drive-by атаки как правило не требуют особо активных действий со стороны жертвы, кроме просмотра взломанной страницы. Находясь на ней, пользователи соглашаются на установку какой-либо программы, которая на самом деле является скрытым вирусом.
Этот элемент известен как вредоносная программа-дроппер.
Для своего распространения Bad Rabbit использовал фейковый запрос на установку Adobe Flash, выступавшего в роли установщика вредоносного ПО.
Ryuk
Вирус-шифровальщик Ryuk, который заявил о своем существовании в августе 2018 года, отключал функцию восстановления системы Windows System Restore, что делало невозможным восстановление зашифрованных файлов без резервной копии.
Ryuk также зашифровал сетевые диски.
Последствия были ужасными, и многие организации-жертвы в США заплатили требовавшийся выкуп. Сообщается, что только в августе 2018 года вредоносное ПО Ryuk принесло своим авторам более 640 000 долларов.
Troldesh
Атака вымогателя Troldesh случилась в 2015 году и распространялась через спам-сообщения, содержавшие зараженные ссылки или вложения.
Интересно, что злоумышленники, стоявшие за Troldesh, при требовании выкупа общались с пользователями напрямую по электронной почте. Жертвам, с которыми им удавалось установили связь, киберпреступники даже предоставляли «скидки» — действительно редкое явление.
Эта история определенно является исключением, а не правилом. Никогда не идите на договоренности с киберпреступниками. Не платить выкуп, поскольку этим вы только поощряете подобный тип киберпреступности.
Jigsaw
Атака троянца-вымогателя Jigsaw была обнаружена в 2016 году. Вымогатель получил свое название в честь культового персонажа из фильма ужасов «Пила» — «куклы Билли», к изображению которого прилагалась записка с угрозами и требованием заплатить выкуп.
В записке говорилось, что Jigsaw каждый час будет удалять всё больше и больше файлов, если пользователь не заплатит выкуп вовремя.
А изображение жуткой куклы призвано было запугать пользователя и заставить его расстаться с требуемой суммой.
CryptoLocker
CryptoLocker — это программа-вымогатель, впервые появившаяся в 2007 году и распространявшаяся через зараженные вложения электронной почты. Оказавшись на вашем компьютере, CryptoLocker искал ценные файлы для шифрования и последующего требования выкупа за их расшифровку.
Несмотря на то, что заражены были более 500 000 компьютеров по всему миру, правоохранительным органам и компаниям кибербезопасности в конечном итоге удалось отследить сеть взломанных домашних компьютеров, которые использовались для распространения Cryptolocker.
Это позволило втайне от киберпреступников взять под контроль часть преступной сети и получать данные о действиях в ней. В результате был создан онлайн-портал, где жертвы могли бесплатно получить ключ для разблокирования своих данных и, естественно, безо всяких выкупов.
Petya
В 2016 году была выявлена атака с использованием вируса-шифровальщика Petya (не путать с ExPetr), а в 2017 году атака повторилась под именем GoldenEye.
Petya шифрует на сами файлы, а весь жесткий диск жертвы. Это осуществляется путем шифрования MFT-таблицы — базы данных с информацией о всех файлах, хранящихся на диске, что делает невозможным доступ к файлам.
Petya попадает на ПК «притворяясь» письмом в HR от кандидата на ту или иную должность. HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме».
GoldenEye
27 июня 2017 года началась масштабная атака, в которой «принял участие» крипто-вымогатель GoldenEye, — преемник Petya.
Жертвами GoldenEye, которого назвали «смертоносным кровным братом» WannaCry, стали более 2000 организаций, включая крупных производителей нефти в России и несколько банков.
Ужасно — GoldenEye заставил работников Чернобыльской АЭС вручную измерять уровень радиации, поскольку их компьютеры Windows были заблокированы.
GandCrab
Атака с использованием вымогателя GandCrab эксплуатирует пикантную тему — угрожает раскрыть привычки жертвы смотреть порно.
Киберпреступники, стоящие за GandCrab, присылали пользователю сообщение, гласившее: «Мы взломали вашу веб-камеру и записали, как вы смотрите порно. А еще мы зашифровали ваши данные. И теперь хотим получить с вас выкуп!». В случае отказа злоумышленники угрожали выложить запись в общий доступ.
После первой атаки в январе 2018 года у GandCrab появились новые версии. В рамках инициативы «Больше никакого выкупа» провайдеры интернет-безопасности и полиция совместно разработали программу для расшифровки, позволяющую спасти конфиденциальные данные жертв GandCrab.
Как распознать вредоносное электронное сообщение
Мы познакомили вас с примерами атак с использованием программ-вымогателей, жертвами которых в последние годы стали как отдельные пользователи, так и целые компании.
Многие из них стали жертвами, потому что нажимали на ссылки в спам-письмах или открывали вредоносные вложения.
Итак, вы получили электронное письмо, содержащее вирус-вымогатель. Что вы должны сделать, чтобы не быть жертвой атаки?
Лучший способ распознать сообщение от шантажиста — проверить отправителя. Он вам известен? Если нет, будьте начеку.
Не нажимайте ссылки и не открывайте вложения в сообщениях электронной почты от отправителей, которых вы не знаете.
w3.org/1999/xhtml»>Будьте особенно осторожны, если во вложении вас попросят включить макросы. Это стандартный способ распространения вирусов-вымогателей.Использование программы для расшифровки данных
Если вы стали жертвой атаки вымогателей, не платите выкуп.
Уплата выкупа не гарантирует, что киберпреступники вернут ваши данные — в конце концов, это же воры. И кроме того, таким образом вы способствуете укреплению их бизнеса, а значит, атаки будут продолжаться.
Если у вас есть резервные копии ваших данных, которые хранятся на внешнем носителе или в удаленном хранилище данных, вы сможете восстановить их без всякого выкупа. А если нет? Мы рекомендуем связаться с вашим поставщиком интернет-безопасности и узнать, есть ли у него инструмент для расшифровки данных, зашифрованных конкретным вымогателем.
Вы также можете зайти на сайт No More Ransom – общеотраслевой инициативы, призванной помочь всем жертвам программ-шантажистов.
Как не стать жертвой новой атаки с использованием программ-вымогателей? Обеспечьте свою безопасность с помощью Kaspersky Internet Security.
Другие статьи по теме:
Вирус-шифровальщик. БОЛЬШАЯ статья / Хабр
В новости «ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.
Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку.
Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.
Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.
Теперь по порядку.
В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса — это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.
Негативное отступление.
И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том — что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)
Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…
ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?
И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт.
При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку — вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…
Попытка №1
Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar — «Неожиданный конец архива».
В общем полная неудача.
Попытка №2
Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда.
Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.
Попытка №3
Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.
Все счастливы, THE END.
«А где же история про вирус Trojan.
Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:
Что необходимо сделать в случае заражения вирусом-шифровальщиком:
— прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
— Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.
Что НЕ нужно делать:
— менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
— использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.
Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!
Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус — «бич» современности и брать «бабло» с однополчан — это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 — я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.
Новые сведенья!
Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» — Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке, так как использует очень устойчивый метод шифрования.
Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение . perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.
Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал — дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.
Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.
Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.
martyanov`у с форума «Доктор Вэб».
Как защититься от шифровальщиков на периметре сети
Хотя наиболее эффективная защита от шифровальщиков реализуется на конечных устройствах, тем не менее, стоит предпринять превентивные меры и на периметре сети. Расскажем, как это можно сделать с помощью Panda GateDefender.
События последних месяцев показали, что традиционные антивирусные решения не очень эффективны в борьбе против неизвестных угроз и атак, в том числе со стороны шифровальщиков. В своих статьях мы неоднократно пытались привлечь Ваше внимание к новой модели безопасности, основанной на использовании EDR-технологий, которые благодаря непрерывному мониторингу, отслеживанию взаимосвязи между всеми процессами и классификации 100% активных процессов позволяют значительно повысить уровень безопасности от современных неизвестных угроз: направленные атаки, безфайловые атаки, атаки без использования вредоносных программ, неизвестные эксплойты и шифровальщики и т.д. Например, семейство решений Panda Adaptive Defense, использующее EDR-технологии, как раз разработаны для борьбы с подобными «сюрпризами».
Но подобные решения представляют собой решения для защиты непосредственно конечных устройств. А что не мешало бы предпринять на периметре сети?
Сегодня в нашей статье мы расскажем о том, какие превентивные меры безопасности стоит реализовать на периметре сети, чтобы фильтровать шифровальщиков до проникновения в корпоративную сеть, а также снизить возможные последствия в том случае, если какие-то из представителей данного класса угроз все же будут активированы на конечных устройствах.
Немного о шифровальщиках
Как вы знаете, шифровальщики – это форма мошенничества, используемая для вымогательства денег у жертвы, чьи конечные устройства были заблокированы с помощью определенного типа вредоносных программ, в результате чего она (жертва) теряет доступ к данным на этих устройствах.
Шифровальщики – это тип вредоносных программ, который устанавливается на конечное устройство и шифрует содержимое (все или определенные типы файлов) его жестких дисков и на всех подключенных сетевых дисках.
В результате этого пользователь теряет доступ к хранящимся данным до тех пор, пока он не заплатит выкуп (и то не факт, что после этого можно будет получить полноценный доступ ко всем данным!). CryptoLocker – это один из наиболее «популярных» примеров шифровальщиков, который использует открытый RSA-ключ. В последнее время стали также известны и другие нашумевшие примеры.
Если говорить упрощенно, то шифровальщики, как правило, распространяются в замаскированном виде через вполне легитимный контент, например, счет в виде почтового вложения, zip-файл, содержащий фотографии, или другие типы файлов, которые потенциальная жертва, скорее всего, откроет, т.к. не предполагает какой-либо опасности. Однако, при открытии таких файлов, шифровальщик связывается со своим сервером управления (так называемый сервер C&C), который отвечает за генерацию новой пары RSA-ключей (открытый/закрытый) и хранение закрытого ключа, а также отправляет открытый ключ на устройство жертвы, после чего зловред шифрует все, что он может найти на жестких дисках и подключенных ресурсах в локальной сети.
После этого зашифрованные данные не могут быть доступны до тех пор, пока они не будут расшифрованы с помощью закрытого ключа, который доступен только на сервере C&C.
(Хотя стоит отметить, что последние экземпляры шифровальщиков «научились» активироваться и без действий со стороны потенциальной жертвы…).
Действительно, в силу того, что размер ключей, используемых для шифрования, как правило, составляет не менее 2048 бит, то расшифровать зашифрованные файлы без закрытого ключа практически невозможно: конечно, это возможно в теории, но на практике на это может потребоваться достаточно много времени. Таким образом, единственный способ восстановить доступ к данным – это либо переустановить все пострадавшие устройства и восстановить на них резервную копию, либо заплатить выкуп (что мы не рекомендуем делать!) и надеяться на получение закрытого ключа (хотя достаточно много случаев, когда жертвы не получали ключи после оплаты).
Поэтому мы советуем поддерживать все свои системы и приложения в обновленном состоянии, а также быть уверенным в том, что сотрудники вашего предприятия прекрасно осознают всю опасность открытия подозрительных файлов или сайтов.
Превентивные меры – это лучшее решение для предотвращения неприятных событий!
Почему стоит обратить внимание на периметр сети?
Обеспечивая борьбу с шифровальщиками и другими современными угрозами, необходимо предпринимать превентивные меры по различным направлениям. Да, наиболее эффективные меры (если исключить строгие запреты вообще на все, чтобы никто толком не мог работать) могут быть предприняты на уровне конечных устройств. Те же EDR-технологии показывают очень высокую эффективность в борьбе с шифровальщиками и новыми угрозами.
Но в силу того, что подавляющее большинство угроз проникают в корпоративную сеть из Интернета, то реализация определенных мер безопасности на периметре сети однозначно позволит фильтровать известные угрозы и усложнить «общение» шифровальщиков со своими внешними серверами управления. Тем более, что делать придется не так и много.
Пример защиты от шифровальщиков на периметре сети
В качестве примера рассмотрим решение Panda GateDefender – это UTM-решение для интегрированной и комплексной защиты периметра сети, которое предлагает следующие модули: антивирус, антиспам, контент-фильтрация, URL-фильтрация, прокси, файервол, IPS/IDS, VPN, Hotspot, контроль веб-приложений и многое другое.
Данное решение поставляется в аппаратной, программной и виртуальной версии.
С помощью этого решения мы покажем ряд методов, которые позволяют перехватывать эти угрозы на периметре сети, а также минимизировать их активность, блокируя каналы, используемые злоумышленниками для управления вредоносными процессами и распространения инфекции.
1. Используйте антивирус Panda
Panda GateDefender использует антивирусный движок Panda для фильтрации всех видов трафика. Он хранит свои сигнатуры в облаке, поэтому вы всегда будете использовать обновленные сигнатуры для идентификации и блокировки любых направлений заражений. Благодаря антивирусному движку Panda все проверки осуществляются в реальном времени с помощью самых «свежих» сигнатур и облачных баз знаний.
Чтобы включить антивирусный движок, в консоли управления Panda GateDefender перейдите к разделу Службы → Антивирусный движок, и на закладке Антивирус Panda настройте опции работы антивируса.
2. Используйте службу IPS
Система предотвращения вторжений (IPS) способна не только обнаруживать, но и блокировать трафик, генерируемый от шифровальщиков к своим серверам управления.
Чтобы включить защиту с помощью системы IPS, в консоли управления Panda GateDefender перейдите в раздел Службы → Предотвращение вторжений, где нажмите на переключатель Включить IPS, если он выключен.
После включения данной службы на закладке Система предотвращения вторжений можно будет настроить дополнительные опции работы IPS.
Но нас в данном вопросе больше интересует следующая закладка Правила. Здесь на третьей странице найдите набор правил auto/emerging-trojans.rules.
У данного набора правил смените политику с предупреждения на активное применение, нажав на иконку с восклицательным знаком. После применения изменения иконка сменится на красный щит.
Теперь весь трафик, идентифицируемый с троянами, будет заблокирован.
Вы также можете применить набор правил auto/emerging-tor.rules для дополнительной защиты.
3. Используйте файервол для исходящих соединений
Тот же CryptoLocker использует Torrents как вектор заражения, а TOR-соединения для взаимодействия со своими серверами управления C&C. Таким образом, еще один совет по повышению уровня безопасности – это заблокировать весь исходящий трафик, который использует эти два протокола.
В консоли управления Panda GateDefender перейдите в раздел Межсетевой экран → Исходящий трафик.
Здесь создайте новое правило с политикой отклонить или запретить для блокировки этого исходящего трафика. При этом для обеспечения более высокого уровня защиты, добавьте все сети или зоны, которые находятся после Panda GateDefender, указав значение <ЛЮБОЙ> у опции Источник/Тип.
Кроме того, данное правило обязательно должно быть первым в списке правил, поэтому необходимо поставить соответствующее значение у опции Политика/Позиция.
В результате в списке правил вы увидите примерно следующее:
4. Используйте HTTP-прокси 1/2: Веб-фильтр
Укажите профиль в HTTP-прокси, который блокирует вредоносные URL’ы, которые могут распространять шифровальщиков.
В консоли управления Panda GateDefender перейдите в раздел Прокси → HTTP.
Здесь перейдите на закладку Веб-фильтр, где внесите изменения в существующий профиль или создайте новый.
В блоке для выбора фильтруемых категорий веб-сайтов у категории Security заблокируйте доступ к категориям Anonymizers, Botnets, Compromised, Malware, Network Errors, Parked Domains, Phishing & Fraud, Spam Sites.
Кстати, этот метод лучше использовать в сочетании со следующим методом.
5. Используйте HTTP-прокси 2/2: Антивирусная проверка HTTP
На этой же странице с опциями проверьте, что опция Активировать антивирусное сканирование включена. По умолчанию, она как раз и включена, а потому мы рекомендуем оставить ее включенной.
6. Включите HTTPS-прокси
Для распространения заражения зачастую используются HTTPS-соединения. Таким образом, HTTPS-прокси может быть использован для перехвата соединений, разрешая только легитимные соединения с хорошо известными веб-сайтами.
Т.к. HTTPS-прокси работает только в паре с включенным HTTP-прокси, то предварительно проверьте, что последний включен в разделе Прокси → HTTP. После этого перейдите на закладку HTTPS-прокси и включите опцию Включить HTTPS-прокси.
7. Включите SMTP-прокси 1/2: Антивирусная проверка
Зачастую шифровальщики распространяются через вложения в электронные письма, которые на первый взгляд могут показаться письмами от известных и легитимных отправителей, но на самом деле они содержат ложную ссылку или поддельное опасное вложение. В связи с этим рекомендуется активировать в SMTP-прокси антивирусную проверку.
В консоли управления Panda GateDefender перейдите в раздел Прокси → SMTP и включите SMTP-прокси.
Затем в блоке Вирусные настройки включите опцию Проверять почту на вирусы, чтобы активировать антивирусный движок для почтового трафика.
Вы также можете настроить и то, что делать с письмами, которые будут помечаться как спам, а также ряд других опций.
После этого нажмите кнопку Сохранить для сохранения новой конфигурации, после чего в подтверждающем сообщении необходимо применить измененную конфигурацию, чтобы перезагрузить SMTP-прокси.
8. Включите SMTP-прокси 2/2: Расширения файлов и двойные расширения
Еще один способ доставки шифровальщиков в виде почтового вложения – это назвать вложенный файл с применением двойного расширения. (например, meeting.png.bat), в результате чего почтовый клиент показывает только первое расширение (meeting.png), в силу чего пользователь думает, что получил файл с картинкой. Дважды кликнув на этом файле, пользователь не увидит никакого изображения, но при этом без разрешения пользователя запустится bat-файл.
Так что еще одна хорошая рекомендация – это блокировка потенциально опасных расширений файлов и запрет на передачу почтовых вложений с двойным расширением.Для настройки в консоли управления Panda GateDefender перейдите в раздел Прокси -> SMTP и включите SMTP-прокси (если он был выключен).
Затем в блоке Файловые настройки включите опцию Блокировать файлы по расширению, чтобы активировать систему проверки почтовых вложений.
После этого в списке для выбора типов файлов для блокировки по расширению выберите все расширения, которые должны блокироваться SMTP-прокси, а также включите опцию для блокировки файлов с двойным расширением и выберите соответствующие значения в появившемся выпадающем меню.
9. Включите DNS-прокси
Когда CryptoLocker или другие шифровальщики запускаются, то они попытаются изменить настройки DNSна зараженной машине, чтобы иметь возможность связываться со своими серверами управления для корректной работы. Такого развития событий можно избежать, включив DNS-прокси в решении Panda GateDefender.
В этом случае все DNS-запросы от устройства, которое расположено за решением Panda GateDefender, будут всегда перехватываться им, блокируя любую возможность для шифровальщиков связаться со своим сервером управления.Для этого перейдите в раздел Прокси → DNS.
Кстати, на закладке Антишпион есть смысл поставить ежедневные обновления, чтобы блокировать известные вредоносные домены.
Заключение
В результате вышеуказанных несложных действий вы сможете настроить защиту периметра сети от шифровальщиков, попытавшись заблокировать их проникновение в корпоративную сеть из Интернета, а также усложнив им возможность взаимодействия со своими серверами управления. Такие превентивные меры позволят значительно сократить риск заражения, а также смогут минимизировать возможные последствия после запуска шифровальщиков в корпоративной сети.
Более подробная информация о Panda GateDefender
Также Вы можете заказать бесплатную версию Panda GateDefender сроком на 1 месяц, отправив заявку на адрес [email protected].
Выявляем атаку вируса-шифровальщика, получаем доступ к контроллеру домена и пробуем противостоять этим атакам / Блог компании Gals Software / Хабр
WannaCry, NotPetya, BadRabbit и другие — вирусы-шифровальщики, которые гремели на весь мир ещё около года-двух назад. Сегодня об атаках таким типов вирусов шума меньше, но истории с атаками всё равно происходят. В этой статье я покажу один из инструментов для остановки атаки такого вируса: быстро выявить вторжение и локализовать проблему. Всё это при помощи инструмента для лог-аналити и защиты от вторжений Quest InTrust. Под катом скриншоты и ссылка на репозитории вредоносных скриптов. Погнали!
Quest InTrust — это интегрированное решение, которое включает в себя сбор разных типов логов, syslog-данных и готовых парсеров для разного типа оборудования. Здесь же есть предустановленные правила для выполнения действий в целях предотвращения атак. Сейчас подробнее со всем этим разберёмся на примерах разбора атаки вируса-шифровальщика и получения доступа к контроллеру домена
Принцип атаки — создание новых зашифрованных файлов или папок и удаление оригинальных. Ну а дальше запрос выкупа в биткоинах или другим способом. Определение такого типа атаки основано на выявлении массового удаления и создания файлов. Особенно если это происходит во внеурочное время.
Для сбора событий по изменениям мы используем интеграцию с решением для аудита Quest Change Auditor (о нём уже писали в предыдущей статье и даже сравнивали с продуктом от конкурента). Для событий из этого источника в InTrust есть предустановленные правила для выявления аномалий. Конечно, сюда можно добавить любую логику обработки событий. В моём примере определено, что при массовом создании файлов (более 5 штук за 1 минуту) учётная запись пользователя будет блокирована и ему будет запрещён доступ к общим директориям.
В настройках политик указывается директория, на которую распространяется правило и список оповещаемых. Если в AD есть информация о подчинённости сотрудника, можно отправить письмо и его руководителю. Полезный кейс — выявление попыток доступа к файлам, которые, казалось бы, не нужны для исполнения обязанностей этим конкретным сотрудником. Особенно может быть актуально перед увольнением, когда хочется забрать с собой готовые наработки.
После проверки всех настроек, перейдём к заранее заготовленному скрипту-шифровальщику. И запустим его.
В настройках обнаружения атаки было указано «более 5 файлов», как видно, после 7 файла вирус был остановлен (заблокирован пользователь и отключен доступ к директории). Легко отделались. При этом ответственные сотрудники получили уведомления.
Ниже будет сценарий атаки, который позволяет получить доступ к административной учётной записи и в итоге к контроллеру домена. Обнаружение исполнения специализированных
При помощи скрипта invoke-mimikatz включается создание дампа реквизитов учётных записей. При этом на файловой системе никаких файлов не создаётся. Для начала проверим имя учётной записи, под которой выполнен вход. Как видно, этот пользователь из «белого списка», который беспрепятственно может выполнять любые командлеты.
Затем выполним заранее заготовленный скрипт. На выходе получаем вывод, в котором находим реквизиты нашего тестового пользователя.
На следующем шаге выясняем в какие группы входит этот пользователь. Группы администраторов присутствуют.
Теперь узнаём имена контроллеров домена. В моём примере он один.
Следующий шаг потенциально возможной атаки — вход на контроллер домена. Остаётся ввести уже засвеченный пароль.
И получить доступ к исполнению любых команд на контроллере домена.
Теперь попробуем проделать тот же алгоритм действий, но уже от имени пользователя, который не был добавлен в «белый список» в InTrust. Для чистоты эксперимента проверяем имя пользователя. Затем выполняем сценарий invoke-mimikatz.
Среди действий, указанных в InTrust, были прерывание сессии терминального доступа и блокировка пользователя. Что и произошло.
Теперь проверим эту учётную запись ещё раз.
Атака предотвращена, пользователь заблокирован, мир спасён.
Если у вас есть свои политики борьбы с вторжениями различных типов — их также можно указать в InTrust. Вместе с другими продуктами Quest (Change Auditor и Enterprise Reporter) на базе InTrust можно построить полноценную SIEM систему для выявления и предотвращения тяжёлых последствий цифровых атак для бизнеса.
InTrust и другие продукты Quest можно попробовать в вашем окружении в рамках пилотного проекта. Оставьте заявку, чтобы узнать подробности.
Другие наши статьи по тэгу gals software.
Ransomware — что это и как удалить?
Все о программах-вымогателях
Вы когда-нибудь задумывались, из-за чего вся суета с программами-вымогателями? Вы слышали об этом в офисе или читали об этом в Новости. Возможно, у вас сейчас есть всплывающее окно с предупреждением о заражении программой-вымогателем. Ну если вам интересно узнать все, что нужно знать о программах-вымогателях, вы попали в нужное место. Мы расскажем вам о различные формы программ-вымогателей, способы их получения, откуда они пришли, на кого они нацелены и что делать для защиты от Это.
Что такое программы-вымогатели?
Вредоносное ПО или программа-вымогатель тип вредоносного ПО, которое не позволяет пользователям получить доступ к их системным или личным файлам и требует выплаты выкупа в чтобы восстановить доступ. Самые ранние варианты программ-вымогателей были разработаны в конце 1980-х годов, и оплата должна была производиться отправлено обычной почтой. Сегодня авторы вымогателей приказывают отправлять платеж через криптовалюту или кредитную карту.
Не позволяйте программам-вымогателям захватить ваше устройство
Убедитесь, что ваше устройство защищено от программ-вымогателей.
Попробуйте Malwarebytes Premium бесплатно в течение 14 дней.
ПОДРОБНЕЕ
Как получить программу-вымогатель?
Существует несколько различных способов заражения вашего компьютера программами-вымогателями. Один из самых распространенных сегодня методов — это через вредоносный спам или вредоносный спам, который незапрошенная электронная почта, которая используется для доставки вредоносного ПО. Электронное письмо может содержать прикрепленные файлы с ловушкой, например PDF-файлы. или документы Word. Он также может содержать ссылки на вредоносные веб-сайты.
Malspam использует социальную инженерию, чтобы заставить людей открывать вложения или переходить по ссылкам. представляя себя законным — будь то из надежного учреждения или друга. Киберпреступники используют социальную инженерию в других типах атак с использованием программ-вымогателей, например, выдавая себя за ФБР, чтобы запугивать пользователей, заставляя их платить им за разблокировку файлов.
Еще один популярный метод заражения, который достиг своего пика в 2016 году, — это вредоносная реклама.Вредоносная реклама или вредоносная реклама — это использование интернет-рекламы для распространять вредоносное ПО практически без вмешательства пользователя. При просмотре веб-сайтов даже на законных сайтах пользователи могут быть перенаправлены на криминальные серверы, даже не нажимая на рекламу. Эти серверы каталогизируют подробную информацию о компьютеры-жертвы и их местонахождение, а затем выберите наиболее подходящую вредоносную программу. Часто это вредоносное ПО это программа-вымогатель.
Инфографика о вредоносной рекламе и программах-вымогателях.
Вредоносная реклама часто использует для своей работы зараженный iframe или невидимый элемент веб-страницы. Iframe перенаправляет на целевую страницу эксплойта, и вредоносный код атакует систему с целевой страницы с помощью набора эксплойтов. Все это происходит без ведома пользователя, поэтому это часто называют «потайной загрузкой».
Типы программ-вымогателей
Существует три основных типа программ-вымогателей: от умеренно отталкивающего до Cuban Missile Crisis. опасно.Они следующие:
Пугающее ПО
Scareware, как оказалось, не так уж и страшно. Он включает в себя мошенническое программное обеспечение безопасности и мошенничество со службой технической поддержки. Ты можешь получать всплывающее сообщение о том, что вредоносное ПО было обнаружено и единственный способ избавиться от него — заплатить. Если вы ничего не делаете, вы, вероятно, и дальше будете получать всплывающие окна, но ваши файлы в основном в безопасности.
Законное программное обеспечение для обеспечения кибербезопасности не будет привлекать клиентов таким образом.Если у вас еще нет программного обеспечения этой компании на вашем компьютере, то они не будут отслеживать вас на предмет заражения программами-вымогателями. Если у вас есть защитное программное обеспечение, вам не нужно платить за удаление инфекции — вы уже заплатил за программное обеспечение для выполнения этой самой работы.
Шкафчики для экрана
Обновите до оранжевого цвета для этих парней. Когда программа-вымогатель с заблокированным экраном попадает на ваш компьютер, это означает вы полностью отключились от своего ПК. При запуске компьютера появляется полноразмерное окно, часто в сопровождении официальной печати ФБР или Министерства юстиции США, говорящей об обнаружении незаконной деятельности на вашем компьютере, и вы должны заплатить штраф.Однако ФБР не станет отключать вас от компьютера или требовать плата за незаконную деятельность. Если они подозревают вас в пиратстве, детской порнографии или других киберпреступлений, они будут пройти через соответствующие законные каналы.
Шифрование программ-вымогателей
Это действительно мерзкая штука. Это парни, которые захватывают ваши файлы и шифруют их, требуя оплаты в чтобы расшифровать и повторно отправить. Причина, по которой этот тип программ-вымогателей так опасен, заключается в том, что однажды киберпреступники овладевают вашими файлами, никакое программное обеспечение безопасности или восстановление системы не могут вернуть их вам.Если только ты не заплатите выкуп — по большей части они ушли. И даже если вы заплатите, нет никакой гарантии, что киберпреступники вернут вам эти файлы.
Последние атаки программ-вымогателей
История программ-вымогателей
Первая программа-вымогатель, известная как PC Cyborg или AIDS, была создана в конце 1980-х годов. PC Cyborg зашифрует все файлы в каталоге C: после 90 перезагрузок, а затем потребовать от пользователя продлить лицензию, отправив 189 долларов США по почте на ПК. Cyborg Corp.Используемое шифрование было достаточно простым, чтобы его можно было отменить, поэтому оно не представляло опасности для тех, кто был компьютером. смекалка.
Поскольку в течение следующих 10 лет появится несколько вариантов, настоящая угроза вымогателей появится только тогда, когда 2004 год, когда GpCode использовал слабое шифрование RSA для хранения личных файлов с целью выкупа.
В 2007 году WinLock возвестил о появлении нового типа программ-вымогателей, которые вместо шифрования файлов блокировали людей. своих рабочих столов. WinLock взял на экране жертвы и отображается порнографические изображения.Затем потребовал оплаты через платное СМС, чтобы удалить их.
С появлением в 2012 году семейства вымогателей Reveton появилась новая форма вымогателя: программа-вымогатель правоохранительных органов. Жертвы будут заблокированы от своего рабочего стола, и им будет показана официальная страница, содержащая учетные данные для закона. правоохранительные органы, такие как ФБР и Интерпол. Программа-вымогатель будет утверждать, что пользователь совершил преступление, такие как компьютер взлома, загрузка нелегальных файлов, или даже быть связанным с детской порнографией.Большая часть закона Семьи программ-вымогателей требовали уплаты штрафа в размере от 100 до 3000 долларов с помощью предоплаченной карты, такой как UKash или PaySafeCard.
Обычные пользователи не знали, что с этим делать, и считали, что они действительно находятся под следствием закона. исполнение. Эта тактика социальной инженерии, теперь называемая подразумеваемой виной, заставляет пользователя сомневаться в собственном невиновность, и вместо того, чтобы быть вызванным на занятие, которым они не гордятся, заплатите выкуп, чтобы все уйти.
В 2013 году CryptoLocker заново представил миру шифрование программ-вымогателей — только на этот раз оно было намного опаснее. CryptoLocker использовал шифрование военного уровня и хранил ключ, необходимый для разблокировки файлов на удаленном сервере. Это означало, что пользователям было практически невозможно вернуть свои данные, не заплатив выкуп. Этот тип программ-вымогателей-шифровальщиков используется до сих пор, поскольку доказал, что они являются невероятно эффективным инструментом для зарабатывания денег киберпреступниками. Крупномасштабные вспышки программ-вымогателей, такие как WannaCry в мае 2017 г. и Petya в июне 2017 г., использовали шифрование программ-вымогателей, чтобы заманить в ловушку пользователей и компании по всему миру.
В конце 2018 года Рюк ворвался на сцену программ-вымогателей, совершив ряд атак на американские новостные издания, а также на Управление Онслоу Уотер и Канализацию Северной Каролины. Интересно отметить, что целевые системы сначала были заражены Emotet или TrickBot, двумя троянами, крадущими информацию, которые теперь используются для доставки других форм вредоносного ПО, например, Ryuk. Директор Malwarebytes Labs, Адам Куджава
Что такое программы-вымогатели и как предотвратить атаки программ-вымогателей
Идея программ-вымогателей, разновидности вредоносного программного обеспечения, проста: заблокируйте и зашифруйте данные компьютера или устройства жертвы, а затем потребуйте выкуп за восстановление доступа.
Во многих случаях жертва должна заплатить киберпреступнику в течение установленного периода времени, иначе она рискует потерять доступ навсегда. А поскольку атаки вредоносных программ часто осуществляются кибер-ворами, уплата выкупа не гарантирует восстановления доступа.
Ransomware держит ваши личные файлы в заложниках, не позволяя вам попасть в ваши документы, фотографии и финансовую информацию. Эти файлы все еще находятся на вашем компьютере, но вредоносная программа зашифровала ваше устройство, сделав недоступными данные, хранящиеся на вашем компьютере или мобильном устройстве.
Хотя идея, лежащая в основе программ-вымогателей, может быть простой, дать отпор, если вы стали жертвой вредоносной атаки программы-вымогателя, может быть сложнее. И если злоумышленники не предоставят вам ключ дешифрования, вы не сможете восстановить доступ к своим данным или устройству.
Знание существующих типов программ-вымогателей, а также некоторых рекомендаций и запретов, связанных с этими атаками, может иметь большое значение для защиты себя от того, чтобы стать жертвой программ-вымогателей.
Типы программ-вымогателей
Атаки программ-вымогателей могут быть развернуты в различных формах.Некоторые варианты могут быть более вредными, чем другие, но все они имеют одну общую черту: выкуп. Вот семь распространенных типов программ-вымогателей.
- Вредоносные программы для шифрования . Эта форма вымогателей может нанести большой ущерб, поскольку шифрует такие вещи, как ваши файлы, папки и жесткие диски. Один из наиболее известных примеров — разрушительная атака программы-вымогателя WannaCry 2017 года. Он нацелился на тысячи компьютерных систем по всему миру, работающих под управлением ОС Windows, и распространился в корпоративных сетях по всему миру.Жертв попросили заплатить выкуп в биткойнах, чтобы получить свои данные.
- Шкафчики . Locker-ransomware известен тем, что заражает вашу операционную систему и полностью блокирует доступ к вашему компьютеру или устройствам, делая невозможным доступ к вашим файлам или приложениям. Этот тип программ-вымогателей чаще всего основан на Android.
- Scareware . Scareware — это поддельное программное обеспечение, которое действует как антивирус или средство очистки. Программа Scareware часто заявляет, что обнаружила проблемы на вашем компьютере, и требует денег для их решения.Некоторые типы программ-угроз блокируют ваш компьютер. Другие наводняют ваш экран надоедливыми предупреждениями и всплывающими сообщениями.
- Doxware . Doxware, которое обычно называют программным обеспечением для утечки или вымогательством, угрожает опубликовать вашу украденную информацию в Интернете, если вы не заплатите выкуп. Поскольку все больше людей хранят конфиденциальные файлы и личные фотографии на своих компьютерах, понятно, что некоторые люди паникуют и платят выкуп, когда их файлы были похищены.
- RaaS .RaaS, иначе известный как «Программа-вымогатель как услуга», представляет собой тип вредоносного ПО, анонимно размещаемое хакером. Эти киберпреступники обрабатывают все: от распространения программ-вымогателей и сбора платежей до управления дешифраторами — программным обеспечением, восстанавливающим доступ к данным — в обмен на свою долю выкупа.
- Программа-вымогатель для Mac . Операционные системы Mac были заражены их первой программой-вымогателем в 2016 году. Это вредоносное ПО, известное как KeRanger, заразило пользовательские системы Apple через приложение Transmission, которое после запуска могло зашифровать файлы своих жертв.
- Программы-вымогатели на мобильных устройствах . В 2014 году программы-вымогатели начали более масштабно проникать на мобильные устройства. Что происходит? Мобильные программы-вымогатели часто доставляются через вредоносное приложение, которое оставляет на вашем устройстве сообщение о том, что оно было заблокировано из-за незаконной деятельности.
Истоки программ-вымогателей
Как появились программы-вымогатели? Первоначально нацеленные на отдельных лиц, позже атаки программ-вымогателей были адаптированы к более крупным группам, таким как компании, с целью получения более крупных выплат.Вот несколько примечательных дат на временной шкале вымогателей, которые показывают, как они появились, как они продвигались и где они сейчас находятся.
- PC Cyborg, также известный как СПИД-троянец, в конце 1980-х годов . Это была первая программа-вымогатель, выпущенная исследователем СПИДа Джозефом Поппом. Попп осуществил свою атаку, раздав 20 000 дискет другим исследователям СПИДа. Мало ли исследователи знали, что на этих дисках содержалось вредоносное ПО, которое шифрует их файлы каталога C: после 90 перезагрузок и требует оплаты.
- GpCode в 2004 году . Эта угроза использовала слабую форму RSA-шифрования личных файлов жертв, пока они не заплатили выкуп.
- WinLock в 2007 году . Вместо шифрование файлов, эта форма вымогателей заперла свои жертва из своих рабочих столов, а затем отображается порнографические изображения на экранах. Чтобы удалить изображения, жертвы должны были заплатить выкуп с помощью платного SMS.
- Reveton в 2012 году .Эта так называемая правоохранительная программа-вымогатель блокировала доступ своих жертв к их рабочим столам, показывая при этом то, что выглядело как страница из правоохранительного органа, такого как ФБР. Эта фальшивая страница обвиняла жертв в совершении преступлений и велела им заплатить штраф предоплаченной картой.
- CryptoLocker в 2013 году . Тактика программ-вымогателей продолжала развиваться, особенно к 2013 году с использованием этого шифрования военного уровня, в котором использовалось хранилище ключей на удаленном сервере. Эти атаки проникли в более 250 000 систем и собрали 3 миллиона долларов, прежде чем были отключены.
- Локки в 2016 году . Так называемая программа-вымогатель Locky использовала социальную инженерию для доставки по электронной почте. Когда он был впервые выпущен, потенциальные жертвы были соблазнены щелкнуть прикрепленный документ Microsoft Word, думая, что вложение было счетом, который необходимо оплатить. Но вложение содержало вредоносные макросы. Более поздняя программа-вымогатель Locky превратилась в использование файлов JavaScript, которые представляют собой файлы меньшего размера, которым легче избежать защиты от вредоносных программ.
- WannaCry в 2017 году . Эти недавние атаки являются примерами шифрования программ-вымогателей, которые могли анонимно распространяться между компьютерами и нарушать работу предприятий по всему миру.
- Sodinokibi в 2019 году . Киберпреступники, создавшие эту программу-вымогатель, использовали поставщиков управляемых услуг (MSP), таких как стоматологические кабинеты, для проникновения в жертву в более крупных масштабах.
Программы-вымогатели остаются популярным средством атак и продолжают развиваться по мере обнаружения новых семейств программ-вымогателей.
Кто является целью атак программ-вымогателей?
Программа-вымогатель может распространяться через Интернет без определенных целей. Но природа этой вредоносной программы для шифрования файлов означает, что киберпреступники также могут выбирать свои цели. Эта способность нацеливания позволяет киберпреступникам преследовать тех, кто может — и с большей вероятностью — заплатит более крупный выкуп.
Вот четыре целевые группы и то, как на каждую из них можно повлиять.
- Группы, которые считаются имеющими меньшие группы безопасности .Университеты попадают в эту категорию, потому что они часто имеют меньшую безопасность и высокий уровень обмена файлами.
- Организации, которые могут и будут быстро платить . Государственные учреждения, банки, медицинские учреждения и подобные группы составляют эту группу, потому что им нужен немедленный доступ к своим файлам — и они могут быть готовы заплатить быстро, чтобы получить их.
- Фирмы, хранящие конфиденциальные данные . Юридические фирмы и аналогичные организации могут стать мишенью, потому что киберпреступники полагаются на правовые споры, которые могут возникнуть в случае утечки данных, хранящихся для выкупа.
- Бизнес на западных рынках . Киберпреступники стремятся к более крупным выплатам, что означает нацеливание на юридические лица. Частично это связано с сосредоточением внимания на Великобритании, США и Канаде из-за большего благосостояния и использования персональных компьютеров.
Что можно и чего нельзя делать с программами-вымогателями
Ransomware — прибыльный рынок для киберпреступников, и его сложно остановить. Профилактика — самый важный аспект защиты ваших личных данных.Чтобы сдержать киберпреступников и защитить себя от атак программ-вымогателей, помните о восьми правилах, которые можно и нельзя.
1. Используйте программное обеспечение безопасности . Чтобы защитить ваши данные, установите и используйте надежный пакет безопасности, который предлагает больше, чем просто антивирусные функции. Например, Norton 360 с LifeLock Select может помочь обнаружить и защитить от угроз вашей личности и вашим устройствам, включая мобильные телефоны.
2. Своевременно обновляйте программное обеспечение безопасности .Новые варианты программ-вымогателей продолжают появляться, поэтому наличие новейшего программного обеспечения для обеспечения безопасности в Интернете поможет защитить вас от кибератак.
3. Обновите операционную систему и другое программное обеспечение . Обновления программного обеспечения часто включают исправления для недавно обнаруженных уязвимостей безопасности, которые могут быть использованы злоумышленниками.
4. Не открывать автоматически вложения электронной почты . Электронная почта — один из основных способов доставки программ-вымогателей. Не открывайте электронные письма и вложения из незнакомых или ненадежных источников.В частности, фишинговый спам может обмануть вас, заставив щелкнуть законную ссылку в электронном письме, которое на самом деле содержит вредоносный код. Затем вредоносная программа блокирует доступ к вашим данным, удерживает эти данные в заложниках и требует выкупа.
5. Будьте осторожны с любыми вложениями электронной почты, которые советуют вам включить макросы для просмотра их содержимого. . После включения макросов вредоносные программы могут заразить несколько файлов. Если вы не уверены, что письмо подлинное и получено из надежного источника, удалите его.
6. Сделайте резервную копию важных данных на внешний жесткий диск . Злоумышленники могут получить контроль над своими жертвами, зашифровав ценные файлы и сделав их недоступными. Если у жертвы есть резервные копии, киберпреступник теряет некоторое преимущество. Резервные копии файлов позволяют жертвам
Что такое программы-вымогатели?
Если вы не знаете, что такое программа-вымогатель, читайте дальше. Вы рискуете потерять все файлы на своем компьютере. Программа-вымогатель — это небольшое преступное ПО, которое взламывает ваш компьютер, шифруя ваши файлы, отказывая вам в доступе к ним, а затем требуя онлайн-оплаты за их выпуск.Это одна из самых бесстыдных форм кибервымогательства, а в некоторых случаях и настоящего шантажа.
Определение
Ransomware — это тип вредоносного ПО, которое блокирует всю операционную систему или часть файлов и документов до тех пор, пока жертва не заплатит выкуп. Источники заражения программ-вымогателей такие же, как и для обычных компьютерных вирусов — через вложения электронной почты и зараженные файлы, загруженные вместе с мультимедиа с вредоносных сайтов
Угроза вполне реальна. Если вы пользуетесь электронной почтой, просматриваете веб-сайты, проводите время в социальных сетях, подключаетесь к локальным сетям (на работе, дома или в общественных местах) или используете съемные USB-накопители, будь то на компьютере, ноутбуке, смартфоне или планшете, вы всегда на расстоянии одного-двух кликов от проникновения программы-вымогателя.Предотвращайте программы-вымогатели — не становитесь жертвой. Перехитрите киберпреступников с помощью нескольких простых шагов. Это легко, но только если вы знаете, что искать.
Как получить программу-вымогатель?
Программа-вымогатель чаще всего распространяется через электронную почту, сообщения социальных сетей и зараженные веб-сайты.
Электронные фишинговые атаки
Большинство программ-вымогателей распространяется с помощью популярного метода заражения вредоносным ПО, известного как «фишинг», при котором вы получаете электронное письмо, которое выглядит так, будто оно отправлено кем-то, кого вы знаете или должны доверять.Цель состоит в том, чтобы заставить вас открыть вложение или щелкнуть веб-ссылку в электронном письме, которое затем загружает в вашу систему вредоносные программы, такие как программы-вымогатели. Преступники будут изучать ваши социальные сети и другую общедоступную информацию, чтобы узнать подробности о вас, чтобы сделать их фишинговые электронные письма более правдоподобными, например, узнав, где вы учились, и составив сообщение, которое выглядит так, как будто оно исходит от вашей ассоциации выпускников. Вот реальный пример программы-вымогателя:
Изображение 1. Электронное письмо от программы-вымогателя, обнаруженное спам-фильтром Gmail. Обратите внимание на заголовок «Требуется немедленное внимание» с указанием открыть прикрепленный файл.
Изображение 2. Еще одно письмо-вымогатель, пойманное спам-фильтром Gmail. Это электронное письмо содержит вложение «Bank.docx» с кодом макроса Microsoft Visual Basic для приложений (VBA). Когда вложение открывается, вложенный в него вредоносный код выполняет загрузку и автоматическую установку вымогателя в вашу систему.
Бесплатных дешифраторов программ-вымогателей — Kaspersky
0 инструмент соответствовал вашему запросу
Возможно вам понравится
| Название инструмента | Описание | Обновлено |
|---|---|---|
Расшифровщик теней | Расшифровывает файлы, затронутые всеми версиями Shade. Практическое руководство Скачать | 30 апреля 2020 |
Декриптор Рахни | Расшифровывает файлы, затронутые Рахни, агентом.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman Практическое руководство Скачать | 25 сен 2019 |
Декриптор Ранно | Расшифровывает файлы, затронутые Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (версии 1, 2 и 3), Polyglot aka Marsjoke. Практическое руководство Скачать | 20 декабря 2016 |
Декриптор CoinVault | Расшифровывает файлы, затронутые CoinVault и Bitcryptor.Создано в сотрудничестве с Национальным отделом по преступлениям в сфере высоких технологий (NHTCU) полиции Нидерландов и национальной прокуратурой Нидерландов. Практическое руководство Скачать | 15 апреля 2015 г. |
Декриптор Wildfire | Скачать | 24 августа 2016 |
Декриптор Xorist | Скачать | 23 августа 2016 |
Загрузите Kaspersky Internet Security
, чтобы избежать атак программ-вымогателей в будущем
Защита и удаление программ-вымогателей: как предприятиям лучше всего защититься от атак программ-вымогателей
Какие шаги следует предпринять предприятиям для защиты от программ-вымогателей? Принимают участие 44 эксперта по безопасности.
Число программ-вымогателей растет по мере того, как киберпреступники обращаются к все более хитрым и более жестким средствам предотвращения кибератак. Для предприятий, которые становятся жертвами атак программ-вымогателей, последствия могут быть разрушительными — программы-вымогатели, которые попадают в некоторые общие местоположения в сети, могут буквально парализовать работу организации. Таким образом, умение предотвращать такие атаки и защищаться от них жизненно важно для любого бизнеса — и не только для крупных предприятий, но и для предприятий любого размера.
Но, как известно, программы-вымогатели сложно полностью предотвратить, поэтому многие компании полагают, что реактивный подход — единственный выход. Знание того, как дать отпор, если ваша компания подверглась атаке программ-вымогателей, имеет решающее значение, однако принятие упреждающих мер для сведения к минимуму шансов, что ваша организация станет жертвой программ-вымогателей, также необходимо. Предотвращение атак программ-вымогателей в первую очередь может сэкономить вашему бизнесу десятки тысяч долларов — или, возможно, миллионы — убытков из-за прерывания операций, потери данных и других последствий.Чтобы получить представление о том, как современные компании защищаются от атак программ-вымогателей и защищаются от них, мы обратились к группе из 44 специалистов по безопасности и руководителей предприятий и попросили их ответить на следующий вопрос:
«Как предприятиям лучше всего защититься от программ-вымогателей атаки? »
Итак, как современные организации могут отражать атаки программ-вымогателей, и если ваш бизнес станет жертвой программ-вымогателей, какие действия вы должны предпринять для защиты своей компании? Читайте дальше, чтобы узнать, что говорят наши эксперты о том, что следует делать компаниям для лучшей защиты от атак программ-вымогателей.
Познакомьтесь с нашей группой экспертов по безопасности:
Тим Бандос
@ midnit3sec
Тим Бандос — директор по кибербезопасности в Digital Guardian. Он имеет более чем 15-летний опыт работы в сфере кибербезопасности в компании из списка Fortune 100, уделяя особое внимание внутреннему контролю, реагированию на инциденты и анализу угроз. На этом мировом производителе он создал группу реагирования на инциденты и руководил ею. Тим недавно присоединился к Digital Guardian, чтобы помочь создать нашу программу управляемой безопасности (MSP) для обеспечения расширенной защиты от угроз для нашей глобальной клиентской базы.Он обладает обширными практическими знаниями, полученными при отслеживании и обнаружении сложных угроз, нацеленных на кражу конфиденциальных данных.
«Не проходит и недели, чтобы мы не видели шквал заголовков, связанных с программами-вымогателями …»
Когда организации, больнице или предприятию пришлось выложить довольно большую сумму денег для расшифровки файлов который стал жертвой непрекращающегося вредоносного ПО. Читатели этих заголовков будут ломать голову в недоумении относительно того, зачем кому-то платить, пока, конечно, они сами не столкнутся с этим сценарием.Первый вопрос, который всегда приходит в голову: «Как мы могли это предотвратить?» Есть несколько шагов, которые можно предпринять для защиты предприятия от этого вида вредоносных программ, и, как и все в кибербезопасности, многоуровневый подход всегда лучше.
1. Убедитесь, что антивирус установлен и обновлен на всех конечных точках в компании. Имейте в виду, что AV основан на сигнатурах, поэтому новые варианты могут и будут проскальзывать сквозь трещины, но это легко может быть первой линией защиты.Кроме того, лучше всего иметь комплексное решение безопасности, в котором используются дополнительные технологии защиты, такие как эвристика, брандмауэры, предотвращение угроз на основе поведения и т. Д. Digital Guardian предлагает модуль «Расширенное предотвращение угроз», который содержит набор правил защиты от программ-вымогателей. в зависимости от того, как он поведенчески взаимодействует с операционной системой.
2. Проведите кампании по повышению осведомленности о безопасности , в которых подчеркивается необходимость избегать нажатия на ссылки и вложения в сообщениях электронной почты.Я буквально задаю себе эти вопросы, когда получаю электронное письмо со ссылкой или прикрепленным файлом: 1) Знаю ли я отправителя? 2) Мне действительно нужно открывать этот файл или переходить по этой ссылке? 3) Я действительно что-то заказывал в FedEx ?? Фишинг является распространенным вектором проникновения программ-вымогателей, и поскольку большинство конечных пользователей никогда не думают дважды, он чрезвычайно успешен.
3. Сделайте резервную копию данных. Здесь есть множество вариантов, от резервного копирования до облачных провайдеров, до локальных запоминающих устройств или даже сетевых дисков, но каждый из них связан с определенным уровнем риска.Крайне важно удалить внешнее запоминающее устройство после создания резервной копии, чтобы в случае заражения компьютера программой-вымогателем она не могла коснуться резервной копии.
4. Ограничения GPO — это простой и доступный метод ограничения установки не только программ-вымогателей, но и вредоносных программ в целом. У GPO есть возможность обеспечить детальный контроль над выполнением файлов на конечной точке, поэтому добавляются правила, блокирующие такие действия, как запуск файлов из каталога «Appdata», или даже отключение возможности запускать исполняемые файлы из вложений.
5. Исправление часто используемых сторонних программ, таких как Java, Flash и Adobe, несомненно, в первую очередь предотвратит успех многих из этих типов атак.
6. Ограничить права администратора на конечных точках. Я знаю, что это, конечно, очень политический и даже культурный запрос, однако снижение привилегий значительно уменьшит поверхность атаки. Конечным пользователям все равно не следует скачивать и устанавливать игры, верно?
Программа-вымогатель значительно эволюционировала с тех пор, как в 1989 году была впервые представлена как троян «PC Cyborg», и пользователю пришлось заплатить около 189 долларов за ремонт своего компьютера.Перенесемся на 20 с лишним лет вперед, и мы увидели множество различных типов образцов, использующих различные методы, чтобы авторы или дистрибьюторы получали деньги. Поскольку четкого конца не видно, мы продолжим наблюдать эти типы атак, поэтому затянуть пояс безопасности и заблокировать наши ПК — это самое мудрое, что мы могли бы сделать, чтобы защитить то, что наиболее важно на этих устройствах: ДАННЫЕ!
Ли Мансон
@Security_FAQs
Ли Мансон — исследователь безопасности компании Comparitech.Ли — постоянный участник блога Sophos Naked Security и менеджер по социальным сетям BH Consulting Брайана Хонана. Он также является гордым победителем в номинациях «Лучший блог по безопасности Великобритании» и «Лучший блог по европейской безопасности» на церемонии вручения наград European Security Blogger Awards 2015.
«Если бизнес хочет защитить себя от программ-вымогателей, ему нужно сосредоточиться на …»
И технологических решениях, и, что более важно, своих людях. Одним из наиболее важных способов защиты от программ-вымогателей является наличие надежной стратегии резервного копирования, которая включает внешнее хранилище и регулярное тестирование образов и других сохраненных данных для обеспечения их целостности.
Другие технические решения, такие как постоянное отображение скрытых расширений (ransomware.jpg на самом деле может быть ransomware.jpg.exe), фильтрация исполняемых файлов с почтовых серверов и отключение подключений к удаленному рабочему столу, — все они эффективны в предотвращении шантажа этого типа кода. закрепиться на устройстве или в сети.
Но ваши люди — это то место, где вам следует сосредоточиться. Персонал далеко не глуп, но он остается самым слабым звеном в любой системе безопасности из-за недостатка обучения и осведомленности.
Объясняя им, что такое программы-вымогатели, как они могут заразить их машины и что они могут сделать, чтобы этого не произошло (не открывая вложения в сообщениях электронной почты, крайне осторожно относясь к ссылкам в электронных письмах и т. Д.), Вы значительно улучшите самый важный уровень защиты в вашей организации.
Стивен Дж. Дж. Вейсман, эсквайр
@ Basicide
Стивен Вайсман, эсквайр. — юрист, профессор колледжа Университета Бентли, где он преподает преступления против белых воротничков, автор и один из ведущих экспертов страны в области мошенничества, кражи личных данных и кибербезопасности.Он также ведет блог www.scamicide.com, где ежедневно предоставляет обновляемую информацию о последних мошенничествах, схемах кражи личных данных и достижениях в области кибербезопасности.
«Есть несколько вещей, которые компании должны делать для борьбы с программами-вымогателями …»
1. Лучшая защита от программ-вымогателей — это ежедневное резервное копирование всех ваших данных. Фактически, мое правило — иметь три резервные копии в двух разных форматах с одной удаленной.
2. Хотя все слышали о черных списках, хорошей защитой от программ-вымогателей является использование программного обеспечения, занесенного в белый список, которое позволяет запускать только определенные программы на компьютерах компании и, следовательно, блокирует вредоносное ПО.
3. Установите программное обеспечение безопасности и поддерживайте его с помощью последних обновлений безопасности. Хотя это не защитит от эксплойтов нулевого дня, во многих атаках программ-вымогателей используются более старые версии, для которых есть средства защиты программного обеспечения.
4. Ограничьте возможности сотрудников, которым не требуются права на установку программного обеспечения, и ограничьте доступ сотрудников к данным только теми данными, к которым им нужен доступ.
5. Большинство программ-вымогателей доставляются с помощью целевого фишинга. Часто целевому фишингу способствует информация, собранная через социальные сети.Разработайте политику в отношении социальных сетей, которая ограничивает публикацию информации, связанной с работой, например названия должностей, в социальных сетях. Кроме того, организуйте постоянную программу обучения всех сотрудников тому, как распознавать целевой фишинг и избегать его.
Пол Кублер, CISSP, EnCE, SEC +, CCNA, ACE
@LIFARSLLC
Пол Кублер — эксперт по кибербезопасности и цифровой криминалистике в LIFARS LLC, международной фирме по кибербезопасности и цифровой криминалистике. Он бывший сотрудник Boeing в подразделении глобальной сетевой архитектуры, крупнейшей в стране цели частных кибератак.Ранее он работал в Flushing Bank в области сетевой и системной инфраструктуры, защищая ценные финансовые данные на различных уровнях сети и системы. Пол также проводил судебно-медицинские исследования мобильных устройств, помогая преследовать преступников.
«В последние годы мы наблюдаем резкое увеличение использования программ-вымогателей, поставляемых вместе с …»
Фишинговых писем. Обычно они отправляют вложения, такие как СРОЧНАЯ ИНФОРМАЦИЯ ОБ УЧЕТНОЙ ЗАПИСИ, с расширением файла.PDF.zip или .PDF.rar, который проскальзывает мимо ничего не подозревающей жертвы и доставляет полезную нагрузку. Эта атака часто шифрует весь жесткий диск (некоторые из менее опасных форм просто блокируют ваш доступ к компьютеру, но не шифруют — например, в этом примере) или документы и требуют оплаты биткойнами для разблокировки. К счастью, эти группы действительно разблокируют данные, так что будущие жертвы с большей вероятностью будут платить.
Что вы можете сделать, чтобы свести к минимуму ваши шансы стать жертвой этих грязных схем? Вот несколько шагов, которые вы можете предпринять:
- НЕ открывайте электронные письма в папке со спамом или письма, получателей которых вы не знаете.
- НЕ открывайте вложения в письмах неизвестного происхождения.
- Используйте надежное антивирусное программное обеспечение — мы рекомендуем Kaspersky, получивший наивысший рейтинг в наших тестах.
- Выполняйте регулярное резервное копирование на внешний носитель (внешний жесткий диск или облако).
- После резервного копирования отключите накопитель. Известно, что текущие программы-вымогатели также шифруют ваш резервный диск.
- НЕ платите выкуп. Причина, по которой преступники продолжают использовать эту форму шантажа, заключается в том, что люди продолжают платить.Чтобы попытаться вернуть свои данные, проконсультируйтесь со специалистом в вашем регионе.
Что ваша компания может сделать, чтобы не стать жертвой подобных атак?
- Людей нужно обучать — они самое слабое звено. Компании должны проводить как минимум двухгодичное обучение, ориентированное на каждую группу пользователей (конечные пользователи, ИТ-персонал, менеджеры и т. Д.), Чтобы все были в курсе последних атак.
- Сотрудники должны быть протестированы с привлечением сторонней организации для проведения теста социальной инженерии, например, из Rapid7 или LIFARS.Подобные тесты помогают держать сотрудников в напряжении и с большей вероятностью избежать атак.
- Поскольку количество таких атак растет, был разработан ряд новых средств защиты. AppRiver — отличный фильтр электронной почты для спама и вирусов, который может блокировать большое количество фишинговых эксплойтов еще до того, как они достигнут внутренних серверов.
В качестве последней линии защиты Cyphort предлагает хорошее решение IDS / IPS, которое может помочь обнаружить известные атаки и то, как далеко им удалось проникнуть в сеть по сигнатуре, поведению и знаниям сообщества.
Эял Беништи
@IronScales
Эял Беништи — основатель и генеральный директор компании IronScales, занимающейся фишингом. решения для снижения рисков и обучения для организаций любого размера для защиты против традиционного фишинга, целевого фишинга и китового фишинга. IronScales фокусируется на обеспечении того, чтобы люди могли защитить организацию в ситуации, когда традиционных технологий недостаточно.
«Программа-вымогатель на данный момент претерпела несколько изменений и, как таковая, требует… «
Пристальное внимание. В то время как первые программы-вымогатели просто шифровали локальный жесткий диск и просили денег, его последние разработки теперь шифруют сетевые диски. Они даже выдают утечку данных, чтобы сделать дело о вымогательстве еще более сильным. те, кто использует простые решения для восстановления, чтобы преодолеть препятствие шифрования, угрожая опубликовать данные компании публично. Поскольку вложения электронной почты являются наиболее распространенным способом доставки атаки программ-вымогателей внутри организации, вам необходимо предпринять следующие важные шаги:
1.Фильтруйте исполняемые и защищенные паролем файлы. Убедитесь, что ваш почтовый сканер шлюза не пропускает эти файлы без вашей проверки.
2. Фильтрация файлов с поддержкой макросов, например .docm. Поскольку макросы — это еще один способ выполнения кода на машине жертвы, заблокируйте их!
3. Примените систему управления исправлениями, убедившись, что все клиенты для настольных ПК полностью исправлены. Киберпреступники быстро используют нулевые дни, так что оставайтесь впереди.
4. Не предоставляйте сотрудникам права администратора на их машинах, если они им не нужны.
5. Выполните предотвращение утечки данных (DLP) и обнаружение аномалий. Убедитесь, что никто не пытается утечь данные из сети компании. Обратите особое внимание на подозрительные исходящие соединения.
6. Резервное копирование. Всегда храните актуальную резервную копию. Если вы получили удар, убедитесь, что вы не восстанавливаете вредоносное ПО вместе с данными!
7. Обучите сотрудников обнаруживать фишинговые письма. Это основная машина атаки, поэтому убедитесь, что ваш персонал хорошо обучен.
8. Поощряйте и поощряйте людей сообщать вам, когда они видят подозрительные электронные письма.Действуйте немедленно. Автоматизируйте процесс. Некоторые люди никогда не научатся, а новички в компании могут не знать процесса. Убедитесь, что вы используете тех, кто знает и умеет обнаруживать фишинг, чтобы компенсировать слабость тех, кто не знает.
Джеффри Лаурия
@iCorps_Tech
В качестве вице-президента по технологиям iCorps Technologies Джеффри Лаурия отвечает за управление учетными записями клиентов iCorps (малый и средний бизнес) и помогает им применять передовые методы безопасности.Джеффри — опытный руководитель службы информационной безопасности с более чем 20-летним опытом работы во всех сферах ИТ. Его сертификаты включают CISSP, CGEIT, CISA, CRISC, CCISO, CCSK и MCSE.
«Для защиты от программ-вымогателей …»
Есть несколько относительно простых и экономичных шагов, которые может предпринять любой бизнес. Кроме того, существуют продукты и услуги, которые могут обеспечить дополнительное смягчение последствий.
Как и в случае со всеми проблемами безопасности, редко можно найти «серебряную пулю» или единичный шаг, который полностью устранит проблему.Необходимо выполнить несколько шагов, чтобы снова иметь возможность разумно защитить программу-вымогатель. Некоторые шаги предназначены для предотвращения программ-вымогателей с самого начала, некоторые шаги уменьшат воздействие программ-вымогателей, а некоторые шаги позволят выполнить восстановление после программ-вымогателей. Ниже приведены быстрые контрольные списки для каждой категории с указанием соответствующих шагов.
- Практикуйте «наименьшие привилегии». Концепция наименьших привилегий гласит, что любая конкретная учетная запись должна иметь наименьшее количество привилегий, необходимых для выполнения соответствующих задач.Общие места, где эта концепция может быть применена, но часто не применяется, включают разрешения пользователей на конечных точках и разрешения пользователей на общие сетевые ресурсы. Все пользователи, включая персонал ИТ-администраторов, должны войти в систему с непривилегированной учетной записью и при необходимости повысить привилегии с помощью дополнительной учетной записи. Большинство общих задач, которые выполняет любой пользователь, например просмотр веб-страниц, проверка электронной почты в Outlook или редактирование документа, не требуют возможности останавливать и запускать службы или редактировать разделы реестра, поэтому удалите эти лишние права.Ключ к этой концепции заключается в том, что вредоносное ПО чаще всего запускается с уровнем привилегий текущего пользователя, вошедшего в систему. Если этот пользователь является администратором, вредоносное ПО тоже.
- Настройте белый список плагинов и надстроек для вашего браузера. Вместо того, чтобы разрешать Flash на каждом сайте, заблокируйте его на каждом сайте и внесите в белый список только те сайты, которым вы доверяете. Кроме того, установите программу для блокировки рекламы. В прошлом программы-вымогатели распространялись с помощью всплывающих окон и рекламы, которые можно было легко заблокировать.В известном случае в начале 2015 года CryptoLocker распространялся с помощью зараженной рекламы известного международного бренда. Однако имейте в виду, что этот шаг коренным образом изменит ваш опыт работы в Интернете.
- Убедитесь, что ваш антивирус установлен на конечных точках, что все параметры включены, что антивирус обновлен и что защита от несанкционированного доступа включена. Защита от взлома не позволит вредоносным программам выключить антивирусное приложение. Антивирус поможет поймать вредоносное ПО до его установки или предотвратить его распространение в случае его успешной установки.
- Обучение пользователей. Убедитесь, что все пользователи знают об угрозах и способах их предотвращения. Например, обучение конечных пользователей тому, как определять фальшивые сообщения электронной почты и не переходить по ссылкам в сообщениях электронной почты, не зная, что они получены из надежного источника, является важным шагом в предотвращении воздействия вредоносного программного обеспечения.
- Включите Unified Threat Management на пограничных устройствах, таких как межсетевой экран. Это может предложить обнаружение и предотвращение вторжений, фильтрацию веб-сайтов, где вы блокируете доступ к известному или предполагаемому вредоносному контенту, и еще один уровень антивируса.
Восстановление: Здесь мы рассмотрим шаги по восстановлению после программ-вымогателей, которые не связаны с поиском банкомата BitCoin и финансированием разработки дополнительных программ-вымогателей.
- Наименьшие привилегии снова здесь. На этот раз больше нужно отметить, что почти все варианты восстановления так или иначе основываются на концепции наименьших привилегий. Если вы вошли в систему как администратор, создание резервных копий может не иметь значения — вредоносное программное обеспечение, скорее всего, также может изменить ваши резервные копии.
- Убедитесь, что включены все параметры ОС для автоматического хранения предыдущих версий документов, например, теневое копирование Windows.Этот шаг позволит вам быстро восстановить предыдущую версию любого затронутого файла. Обратите внимание, что большинство хорошо написанных приложений-вымогателей попытаются отключить теневое копирование, но только администраторы могут отключить его. Если вы вошли в систему как администратор, программа-вымогатель успешно отключит это и изменит все предыдущие версии, которые у вас могли быть.
- Ежедневное резервное копирование данных на внешнее устройство с использованием специальной учетной записи для резервного копирования. Независимо от того, какой тип резервного копирования вы используете, резервное копирование на внешнее устройство или за его пределами поможет защитить резервные копии от изменений.
- В худшем случае инструменты восстановления файлов могут помочь в восстановлении после программ-вымогателей, если они будут использованы немедленно. Программы-вымогатели часто работают путем шифрования ваших файлов. В процессе они обычно создают новый файл и удаляют старый. Жесткие диски распределяют новые файлы и удаляют старые файлы, прежде всего, с помощью таблицы размещения файлов, которую можно представить себе как оглавление. Удаление файла аналогично удалению списка из таблицы содержания, а создание нового файла аналогично добавлению нового списка в оглавление.Очевидно, что это чрезмерное упрощение, но дело в том, что некоторые неизмененные данные могут все еще существовать на жестком диске. Однако время имеет существенное значение, и эта возможность, вероятно, исчезнет, поскольку программы-вымогатели станут более сложными и начнут шифрование свободного места на диске.
Роберт Сицилиано
@RobertSiciliano
Автор бестселлеров № 1 Роберт Сицилиано, CSP, генеральный директор IDTheftSecurity.com, веселый и забавный, но серьезно относится к обучению вас и ваших предотвращение мошенничества с аудиторией и личная безопасность.Роберт — США Офицер штаба вспомогательной флотилии береговой охраны Департамента США Национальная безопасность, девиз: Semper Paratus (Всегда готов) . Его программы являются передовыми, легко усваиваемыми и предоставляют передовой опыт держать вас, ваших клиентов и сотрудников в безопасности. Ваша аудитория будет уйти как эксперты по предотвращению кражи личных данных и репутации в Интернете управление, конфиденциальность в Интернете и безопасность данных.
«Киберпреступники пытались вымогать деньги у частных лиц и компании в течение многих лет, и последняя попытка воспользоваться другие — с помощью программ-вымогателей как услуги или RaaS.Вирус-вымогатель … «
Заражает компьютер, когда пользователь щелкает ссылку и неосознанно загружает вредоносный файл. Затем вирус-вымогатель шифрует файлы компьютера и обещает сделать их бесполезными, если жертва не заплатит выкуп. Стоимость варьируется значительно, и группы, рассылающие их, могут принести сотни миллионов долларов прибыли. RaaS еще больше упрощает злоумышленникам распространение вирусов-вымогателей. Все, что им нужно сделать, это выбрать вирус-вымогатель, установить сумму выкупа и крайний срок, а затем обманом заставить своих жертв загрузить его на свои компьютеры.
Что делать, если система заражена программой-вымогателем
Если вы подверглись атаке с помощью программы-вымогателя, примите во внимание следующее:
- Скажите хакеру, что вы заплатите, но вам нужно время, чтобы получить деньги.
- Соберите всю переписку у хакера.
- Сообщите провайдеру веб-хостинга и, возможно, вызовите полицию, но не ждите ничего. Если есть крупная потеря, обратитесь в ФБР; просто знайте, что они могут не посчитать это серьезным.
- Удалите все зараженные файлы и загрузите чистые версии из системы резервного копирования.Помните: если у вас есть качественная система резервного копирования, вам не нужно платить выкуп.
Работа с компьютерными вирусами
Программы-вымогатели — не единственный тип вирусов, на которые следует обратить внимание. Симптомы других типов вирусных инфекций включают запуск программ и медленный компьютер. Некоторые вирусы могут отправлять сообщения из вашей учетной записи электронной почты без вашего ведома. Вот еще несколько способов защитить себя от программ-вымогателей и других компьютерных вирусов:
- Используйте брандмауэр и антивирусное программное обеспечение.
- Не открывайте вложения, ссылки или программы из сообщений электронной почты, в том числе от людей, которых вы знаете, пока не проверите их на вирусы.
- Не используйте общедоступные соединения Wi-Fi, кроме как в виртуальной частной сети или с помощью программного обеспечения для шифрования.
- Поддерживайте актуальность программного обеспечения безопасности, используйте права администратора и используйте брандмауэр.
- Используйте самую последнюю версию вашей операционной системы и браузера.
- Сделайте резервную копию всех данных.
- Обучите сотрудников мерам безопасности для всех устройств.
Стю Сьюверман
@StuAllard
Стю Сьюверман является основателем и генеральным директором KnowBe4, на которой размещается самая популярная в мире интегрированная информация о безопасности. Платформа для обучения и имитации фишинга. Понимая, что человеческий фактор безопасности не уделялось должного внимания, Сджоуверман объединился с Кевином Митником, чтобы помочь организации решают проблему киберпреступности, тактика социальной инженерии через обучение по вопросам безопасности в новой школе.
«Независимо от того, были ли вы атакованы программой-вымогателем, защита ваша сеть от этих типов атак сейчас… »
Неотъемлемая часть любой структуры сетевой безопасности как для частных лиц, так и для компаний.
Глубокая защита
Для защиты от вторжений и атак необходимо обеспечить основные уровни защиты использование обучения по вопросам безопасности и антивирусного / антифишингового программного обеспечения. Если вы считаете, что компьютерная сеть (даже такая простая, как ваш домашний компьютер) состоит из ряда слоев, через которые должны проникать любые вредоносные программы или вирусы, самый внешний уровень будет состоять из самих ваших пользователей.В конце концов, для того, чтобы инициировать или разрешить сетевое вторжение, требуется взаимодействие пользователя. Только ПОСЛЕ того, как пользователь щелкнет или посетит вредоносную ссылку / сайт, в игру вступят ваши вторичные и третичные уровни (брандмауэры и антивирус). Таким образом, самый первый слой, который вам нужно будет укрепить, — это слой человека-оператора. Лишь в последние годы стали осознавать важность этого уровня безопасности. В прошлом программное обеспечение использовалось как универсальное средство для подобных ситуаций.Одного программного обеспечения уже недостаточно, пользователей необходимо обучить предотвращать такие атаки. происходит в первую очередь.
Обучение навыкам безопасности
Вам необходимо провести эффективное обучение навыкам безопасности. Несмотря на доказательства обратного, пользователи приходят на работу не с намерением щелкнуть фишинговые сообщения электронной почты и заразить свои компьютеры! Как могут подтвердить многие ИТ-профессионалы, простое знание того, о чем следует помнить, может иметь огромное значение для способности пользователя отличать вредоносные ссылки / программное обеспечение от легитимного трафика.Поскольку методы, используемые хакерами и создателями вредоносных программ для обмана пользователей, постоянно меняются, важно держать пользователей в курсе не только основ ИТ и безопасности электронной почты, но и постоянно меняющихся типов атак и векторов угроз. В конце концов, все знают, что нигерийского принца нет, и это просто мошенник, верно? Но что, если Бекки из бухгалтерской фирмы случайно пришлет вам таблицу заработной платы? Не все будут сомневаться в неоднозначном происхождении хорошо продуманного фишингового письма, особенно с таким сочным вложением, как Q4 Payroll.zip. HR может получать 20 резюме в день, но только одно из них должно быть злонамеренным, чтобы вызвать инцидент. Все чаще хакеры и атаки используют социальную инженерию, чтобы побудить или обманом заставить пользователя установить или открыть брешь в безопасности. Обучение хорошему пониманию безопасности охватывает не только векторы угроз и красные флажки, связанные с программным обеспечением, но и обучение физической безопасности. Обучение безопасности пользователей — жизненно важный элемент защиты вашей сети.
Если вы стали жертвой, вы можете скачать это бесплатное руководство по спасению заложников с помощью программ-вымогателей.
Дотан Бар Ной
@ReSecTech
Дотан Бар Ной — соучредитель и генеральный директор ReSec Technologies. более 10 лет опыта управления в сфере технологий и софтверные компании. Дотан имеет степень бакалавра экономики и менеджмента. из Израильского технологического института (Технион) и степень магистра в Закон от Университета Бар-Илан.
«Программы-вымогатели часто упоминаются в новостях, и это неудивительно. что атаки программ-вымогателей являются формой вредоносного ПО номер один… «
Согласно отчету Verizon о расследовании утечек данных за 2016 год (DBIR), с 2015 года количество атак программ-вымогателей увеличилось более чем на 16 процентов. Для защиты предприятия от такой угрозы все отделы предприятия должны работать вместе.
Сотрудники должны иметь общее представление о том, как выглядят угрозы программ-вымогателей, чтобы они знали, когда сообщать о чем-либо, а когда не нажимать ссылку или открывать файл. Некоторые ведущие компании предлагают такое измеримое обучение сотрудников, которое может помочь им в обучении.
Руководители высокого уровня должны полностью понимать риск и потенциальный ущерб от атак программ-вымогателей. После этого они смогут выделить достаточные ресурсы для обучения сотрудников и внедрения решения, которое может противостоять таким угрозам.
Киберпреступники более организованы, чем когда-либо прежде, и постоянно производятся новые индивидуализированные разновидности вредоносного ПО, чтобы обходить решения для обнаружения сигнатур и поведения, на которые полагаются многие предприятия. Задача директора по информационной безопасности и корпоративного специалиста — быстро действовать, оценивать и развертывать адекватные решения для предотвращения проникновения программ-вымогателей на периметр сети — и все это в соответствии с архитектурой предприятия и анализом рисков.
В отчете Verizon за 2016 год есть одна очень веская рекомендация для организаций: он призывает фильтровать входящие электронные письма и отмечать подозрительный контент. Все остальные рекомендации (обучение осведомленности и т. Д.) Вторичны.
Применяя нисходящий и восходящий подход к человеческой стороне безопасности, предприятия будут лучше подготовлены к атакам программ-вымогателей, даже если они обновят свой стек безопасности.
Тони Анскомб
@TonyAtAVG
Тони Анскомб — старший специалист по безопасности в компании AVG Technologies.Роль Тони в AVG состоит в том, чтобы предлагать нашим постоянно растущим бесплатным продуктам и решениям для пользователей, которые позволяют им наслаждаться онлайн-опытом, доверяя AVG в обеспечении защиты от вредоносных программ и потери данных.
«Программы-вымогатели похожи на цифровое похищение…»
Злоумышленник шифрует компьютер жертвы или даже отдельные файлы и взимает выкуп за их безопасное возвращение. Если выкуп не уплачен, файлы уничтожаются и, похоже, теряются навсегда. Частные лица, предприятия, колледжи и государственные учреждения — все стали жертвами программ-вымогателей.Любые организации или отдельные лица, у которых есть важные файлы или системы, являются потенциальными целями для злоумышленников. Поскольку небольшие компании становятся привлекательными целями для киберпреступников из-за предполагаемого более низкого уровня защиты, никто не застрахован от опасности программ-вымогателей. Это также означает, что вашим конечным клиентам потребуется повышенный уровень обслуживания и они будут ожидать вашего немедленного ответа на их потребности в безопасности. Здесь, в Соединенных Штатах, и ФБР, и Центр борьбы с преступностью «белых воротничков» советуют сообщать об угрозах или событиях вымогателей в агентство по адресу www.ic3.gov, и что немаловажно, они советуют не платить выкуп! Вот несколько основных советов по защите от программ-вымогателей:
- Узнайте себя и сотрудников о программах-вымогателях.
- Регулярно создавайте резервные копии своих данных — и убедитесь, что копия хранится в автономном режиме.
- Установите и включите антивирусную защиту.
- Обязательно обновляйте все свои системы и программы.
- Остерегайтесь ссылок и вложений. В случае сомнений не открывайте!
Как и в случае с заболеваниями в реальном мире, профилактика иногда является лучшим лекарством в цифровом мире.Это может показаться неприятным, но профилактическая стратегия может спасти вас от боли в долгосрочной перспективе.
Эяль Грюнер
Эял Грюнер, или мальчик-чудо-безопасность, как назвала его в своем блоге выдающийся аналитик Gartner Авива Литан, соучредитель и генеральный директор компании Cynet, занимающейся кибербезопасностью. Он также является соучредителем и бывшим генеральным директором BugSec, ведущей кибер-консалтинговой компании, и Versafe, приобретенной F5 Networks в 2013 году.
«Для защиты от атак программ-вымогателей.. »
Во-первых, предприятия должны действовать исходя из предположения, что они уже были взломаны, а неизвестные угрозы находятся в их системах, ожидая атаки. Существующие сегодня решения защиты, многие из которых работают на одном фронте — будь то сети, файлы, пользователи или конечные точки часто пропускают новые и ранее неизвестные угрозы.
Во-вторых, помимо покрытия своих баз путем внедрения защиты на всех фронтах, им следует внедрить решение для обнаружения. Это соответствует недавним рекомендациям исследовательской компании Gartner о том, что предприятия переходят от расходов бюджета на безопасность, предусматривающих разделение 90% защиты / 10% обнаружения, к разделению 60% защиты / 40% обнаружения.Мы рекомендуем организациям искать решение, которое знает, как:
A: Обнаруживать программы-вымогатели до того, как будут сброшены полезные данные, мгновенно завершая процесс, прежде чем он сможет начать шифрование.
B: обнаружение программ-вымогателей, которые уже начали шифрование, устранение угрозы его дальнейшего распространения и минимизация ущерба.
C: Ничего не делать и заплатить выкуп.
В-третьих, в более широком контексте, чтобы найти и быстро устранить программы-вымогатели и другие вредоносные программы, которые обошли существующие средства предотвращения, мы рекомендуем организации следовать этим передовым методам:
- Собирать индикаторы угроз по всей организации.
- Сопоставьте индикаторы для определения степени риска и минимизации ложных срабатываний.
- Вызов расширенного анализа угроз безопасности.
- Устранение всех потенциальных угроз.
Грег Эдвардс
@WatchPointData
Грег Эдвардс — генеральный директор Watch Point Data, стремящийся создать превосходную глобальную фирму по кибербезопасности для защиты малого и среднего бизнеса от киберпреступников, скрывающихся в тени Интернета.
«Лучший способ защиты от программ-вымогателей — это… «
Используйте несколько уровней защиты.
1) Хотя антивирус минимально эффективен, он, по крайней мере, остановит известные варианты программ-вымогателей.
2) Управление исправлениями; установка исправлений для Windows и всех вспомогательных приложений на уровне рабочего стола предотвратит запуск большинства программ-вымогателей.
3) Создайте ограничения групповой политики, чтобы ограничить возможность запуска программ-вымогателей локально.
4) Используйте программное обеспечение для блокировки рекламы в браузерах.
4) Используйте систему для мониторинга общих сетевых ресурсов и блокировки активно работающих программ-вымогателей .
5) Проверьте планы резервного копирования данных и обеспечения непрерывности бизнеса. Наличие хорошей резервной копии — это последняя линия защиты, если вы столкнулись с программой-вымогателем, вы можете восстановить ее и не платить киберпреступникам.
Майкл Горелик
@Morphisec
Вице-президент Morphisec по исследованиям и разработкам Майкл Горелик имеет более семи лет опыта руководства различными проектами разработки программного обеспечения для кибербезопасности. Ранее Майкл был вице-президентом по исследованиям и разработкам в MotionLogic GmbH, а также занимал руководящие должности в Deutsche Telekom Labs.Майкл имеет степени бакалавра и магистра Университета Бен-Гуриона и совместно владеет двумя патентами в области информационных технологий.
«Лучшая защита от атак программ-вымогателей — это …»
Не сосредотачиваться на программах-вымогателях. Программа-вымогатель — последняя часть в цепочке уничтожения атаки (так называемая полезная нагрузка). Правильный способ предотвратить программы-вымогатели — помешать злоумышленникам доставить программу-вымогатель на компьютер пользователя. Как? Благодаря стратегии защиты от движущейся цели (MTD). Программы-вымогатели и другие вредоносные программы распространяются с помощью наборов эксплойтов — инструментов взлома, которые ищут известные уязвимости в таких приложениях, как браузеры без исправлений или устаревшие плагины.MTD использует методы противодействия обману, чтобы постоянно изменять поверхность цели, так что злоумышленники не могут найти точку опоры — заставляя атакующего искать цель снова и снова, повышая вероятность их обнаружения и делая атаки дорогостоящими и невозможными.
Оскар Маркес
@iSheriffInc
Оскар Маркес — технический директор и один из основателей iSheriff, несущий общую ответственность за поддержку по всему миру, а также за разработку и поставку продуктов облачной безопасности мирового класса.
«Первый и самый важный шаг к защите от программ-вымогателей …»
Это осведомленность. Не открывайте электронные письма с нераспознанных, схематичных адресов электронной почты. Загрузка вложений из таких писем может оказаться дорогостоящей. И никогда не включайте макросы в своем Word. Если вы останетесь достаточно бдительными, то сможете значительно снизить шансы на успех таких атак.
Второй и очень важный шаг на пути к защите от программ-вымогателей — постоянное обновление антивируса.Патч в таком антивирусе может оказаться полезным для защиты от вредоносных программ, таких как Locky. Это одна из основных мер безопасности, о которой всегда должен помнить пользователь. Да, антивирусное программное обеспечение может засорить вашу память или сделать работу вашей системы нестабильной, но это также лучший шаг для защиты от вредоносных программ.
Наконец, вы всегда должны внимательно просматривать. Просматривая страницы в Интернете, внимательно проверяйте сайты, к которым вы обращаетесь. Полностью избегайте любых веб-сайтов, которые выглядят отрывочно и ненадежно.Вас могут соблазнить щелкнуть ссылку на своей странице в социальной сети и по незнанию установить недобросовестные элементы. Избегайте предоставления личной информации любому веб-сайту, которому вы не доверяете.
Стив Манзуик
@duo_labs
Стив — директор по исследованиям безопасности в Duo Labs Duo Security, где он отвечает за нашу команду сумасшедших исследователей. Стив обладает более чем 20-летним опытом работы в области информационной безопасности, включая должности в различных продуктовых компаниях, консультантах и исследовательских группах.
«Некоторые базовые советы по гигиене безопасности могут лучше всего помочь против атак программ-вымогателей …»
Вот несколько советов от экспертов:
- Убедитесь, что устройства в ваших сетях обновлены. Когда сотрудники приносят свои личные устройства на рабочее место, ИТ-администраторы должны убедиться, что эти устройства так же безопасны, как и их управляемые устройства — им нужно видеть, не устарели ли устройства, имеют ли они рутированный / взломанный код или иным образом создают риски для безопасности. В противном случае они оставляют известные уязвимости открытыми для хакеров.
- Паролей недостаточно. Самым популярным паролем в мире остается 123456, доказывая, что пароли легко угадываются и легко обходятся. Вместо этого используйте диспетчер паролей, такой как Lastpass, который автоматизирует создание сложных паролей и сохраняет их, поэтому запоминание больше не является проблемой.
- Использовать двухфакторную аутентификацию. Хакер может украсть ваши пароли, но украсть их, а также ваш смартфон или токен одновременно практически невозможно.
- Используйте здравый смысл в своей электронной почте и научите своих сотрудников делать то же самое.Никогда не открывайте вложения электронной почты и не нажимайте на ссылки отправителя, которого вы не знаете и которому не доверяете. Фишинг и социальная инженерия — это постоянные проблемы, которые часто являются главной открытой дверью, ведущей к утечке данных.
Джозеф Карсон
@Thycotic
Джозеф Карсон — профессионал в области кибербезопасности с более чем 20-летним опытом работы в сфере корпоративной безопасности и инфраструктуры. Джозеф является сертифицированным специалистом по безопасности информационных систем (CISSP). Активный член сообщества кибербезопасности, Джо является директором Thycotic.
«Лучшее, что могут сделать предприятия для защиты от атак программ-вымогателей, — это …»
Обучайте сотрудников. Последние статистические данные показывают, что каждый пятый сотрудник открывает и нажимает на электронные письма, содержащие вредоносное ПО. Программы повышения осведомленности о безопасности могут быть очень экономичным решением; они не только защищают сотрудников в корпоративных системах, но также позволяют сотрудникам использовать те же знания для защиты своих личных систем, информации и семей от тех же угроз.
Понимание того, как действуют хакеры, даст вам кибер-преимущество. В случае сложных угроз злоумышленник будет тратить много времени на изучение списка потенциальных целей, сбор информации о структуре организации, клиентах и т. Д. Активность людей в социальных сетях целевой компании будет отслеживаться для извлечения информации о системах. а также форумы, одобренные пользователем, и любые оцененные технологические уязвимости. Как только слабое место обнаружено, следующим шагом злоумышленника будет нарушение периметра кибербезопасности или отправка электронных писем, содержащих вредоносное ПО, такое как программы-вымогатели, и получение доступа, что для большинства злоумышленников легко сделать.Организации должны использовать аналогичные методы анализа для выявления потенциальных целей для программ-вымогателей и использовать эти знания для развертывания средств управления безопасностью для снижения рисков.
Управление паролями и привилегированными учетными записями должно стать серьезной проблемой для каждой организации. Внедрение эффективных мер безопасности может быть разницей между правильной защитой от простого нарушения периметра или испытанием кибер-катастрофы.
В большинстве случаев вымогательства использовались известные уязвимости и эксплойты, чтобы выявить слабые места в системах с целью заражения системы вредоносным ПО.Поддерживая обновления системы безопасности в актуальном состоянии, вы значительно снизите риски использования этих уязвимостей вредоносным ПО.
Ананд Адья
@greenlight_corp
Ананд Адия основал Greenlight Technologies в 2004 году, превратив компанию с момента ее создания в ведущего поставщика решений для киберуправления, регулирования и соблюдения нормативных требований. Будучи идейным лидером отрасли, он часто выступает на крупных конференциях по вопросам корпоративного управления, управления рисками и соблюдения нормативных требований.
«Программы-вымогатели быстро становятся растущей угрозой для компаний, и никто не застрахован …»
Даже медицинские учреждения, такие как Голливудский пресвитерианский медицинский центр, были атакованы программами-вымогателями, и им приходилось платить, чтобы разблокировать свои системы. Один из ключей к предотвращению атак такого типа — информировать ваших сотрудников о скрытых киберугрозах. Им необходимо понимать последствия, если они нажимают на сомнительную ссылку (или вложение) в электронном письме и по ошибке загружают программу-вымогатель.С точки зрения ИТ, очень важно часто выполнять резервное копирование данных и управлять подключенными дисками. Кроме того, вы должны убедиться, что ваше программное обеспечение, фильтры электронной почты, средства защиты периметра и антивирусные решения обновлены. Храните важные данные в изолированных или закрытых сетях, которые используют дополнительную защиту межсетевого экрана и контролируемый доступ с авторизованных устройств / пользователей. Кроме того, можно использовать инструменты безопасности контента, которые будут предупреждать вас о любых несоответствиях в расширениях файлов. Например, электронное письмо может содержать файл с расширением.pdf, но на самом деле это может быть программа-вымогатель .exe. Существует множество мер и процессов безопасности, и для этих элементов управления всегда будут исключения, предупреждения и сбои, и очень важно понимать влияние каждого из них на бизнес.
Раймонд Суарес
@CoreSecurity
В качестве директора по управлению продуктами Раймонд Суарес руководит стратегическим планированием и развитием рынка решений Core Security для тестирования на проникновение и управления уязвимостями.В течение своей карьеры Раймонд участвовал в разработке продуктов безопасности для сетей, баз данных, серверных и настольных технологий, жизненно важных для защиты критически важных систем и ИТ-услуг.
«Мы видели первый крупный экземпляр программы-вымогателя с взломом Sony Pictures в конце 2014 года …»
Хакеры держали информацию и медленно раскрывали ее, прося у Sony выкуп, чтобы остановить утечку. С тех пор мы стали свидетелями еще нескольких крупных атак программ-вымогателей, которые демонстрируют способность хакеров не только красть нашу информацию, но и использовать ее против нас.Чем крупнее компания, тем больше поверхность ее атаки. В результате создание традиционной многоуровневой защиты для всей поверхности атаки является сложной задачей. Простая защита периметра без защиты изнутри не сработает, а несогласованные исправления и устаревшее программное обеспечение подвергают опасности организации. Итак, что компании могут сделать, чтобы защитить себя?
- Сканируйте, чтобы найти уязвимости, которые могут открыть путь к критически важным системам и данным вашей организации.
- Создавайте процессы для исправления операционных систем, уделяя особое внимание рискам для критически важных активов.
- Используйте тестирование на проникновение для проверки уязвимостей и действий по управлению исправлениями.
- Совместите цели информационной безопасности с желаемыми бизнес-результатами и внедрите процессы, охватывающие информационную безопасность и ИТ-операции.
Рон Шлехт, младший
@btb_schlecht
Рон Шлехт младший является соучредителем и управляющим партнером BTB Security, поставщика услуг кибербезопасности, реагирования на взломы и цифровой криминалистики. Шлехт — сертифицированный специалист по безопасности информационных систем (CISSP) и сертифицированный компьютерный эксперт (CCE) с 16-летним опытом управления рисками безопасности и цифровой криминалистики.Он имеет обширный опыт работы в правоохранительных органах и в области информационной безопасности / судебной экспертизы.
«Для защиты от атак программ-вымогателей организации должны полагаться на …»
Средства защиты товаров, такие как фильтрация контента, фильтрация спама, антивирусные программы и обучение. Если они не проводят целостный мониторинг, это может быть причиной такой необходимости. Кроме того, они должны убедиться, что у них есть соответствующие резервные копии, чтобы полевые машины или даже серверы могли быть очищены и повторно развернуты в случае попадания вымогателя.Наконец, организациям необходимо составить план реагирования на инциденты, специально предназначенный для защиты от программ-вымогателей, включая шаги, которые им необходимо предпринять при их обнаружении.
Дилан Сакс
@BrandProtect
Дилан Сакс руководит деятельностью BrandProtect по борьбе с кражей личных данных и фишингом. Он работает напрямую с ведущими финансовыми учреждениями, поставщиками медицинских услуг и предприятиями из списка Fortune 500, помогая директорам по информационной безопасности и службам безопасности развернуть более эффективную защиту от современных атак на электронную почту и кражу личных данных, включая эксплойты с использованием социальной инженерии.
«Для лучшей защиты от атак программ-вымогателей и других вредоносных программ или атак BEC, проводимых с помощью электронной почты, созданной с помощью социальной инженерии, предприятиям необходимо …»
Начать проактивный мониторинг угроз, которые существуют за пределами их традиционных брандмауэров. Возьмем, к примеру, эти атаки с применением социальной инженерии. Наиболее эффективные атаки исходят из домена, который является близким вариантом фактического почтового домена компании. Вместо XYZ.com они зарегистрируют XYZ.biz или XYZ-finance.net.Преступники делают ставку на то, что целевой человек проскользнет мимо аналогичного домена и не заметит, что он незаконен. Это на удивление легко для преступников. Чтобы превратить домен киберсквоттинга в потенциальную платформу целевого фишинга, потенциальному фишеру достаточно активировать MX-запись домена.
Запись MX — это тип записи ресурса в системе доменных имен, который определяет почтовый сервер, ответственный за отправку и прием сообщений электронной почты от имени домена получателя, а также значение предпочтения, используемое для определения приоритета доставки почты, если доступно несколько почтовых серверов. .Активная запись MX позволяет домену связываться с другими доменами электронной почты для отправки и получения сообщений. Проще говоря, у преступника есть только одна причина для активации MX-записи домена-подражателя или приобретения аналогичного домена с активной MX-записью — для атаки.
Но руководители по информационной безопасности могут воспользоваться этим техническим требованием, чтобы опережать кибератаки и активно блокировать их. За счет упреждающего мониторинга за пределами своего периметра на предмет аналогичных доменов с активными записями MX, директора по информационной безопасности могут получить решающее преимущество.Когда запись MX становится активной в похожем домене, руководители по информационной безопасности могут немедленно заблокировать входящую электронную почту и предотвратить потенциальные атаки.
Скотт Браун
@ryancreektech
Скотт Браун — президент Ryan Creek Technology Associates и автор книг «Основные ИТ-концепции для малого бизнеса» и «Швейцарский сыр и кибербезопасность».
«Программы-вымогатели или любые другие вредоносные программы требуют устранения …»
Многоуровневая безопасность.Думайте об этом как о луке. Основные слои этого лука указаны ниже в порядке приоритета.
Прежде всего, это обучение конечных пользователей. Конечные пользователи без надлежащего образования могут случайно обойти самые лучшие средства технического контроля.
Во-вторых, должна быть установлена хорошая система резервного копирования, чтобы обеспечить восстановление в случае заражения, потому что ни один компьютер, подключенный к Интернету, не является полностью безопасным, независимо от установленной безопасности.
Затем получите межсетевой экран бизнес-класса и / или унифицированное устройство управления угрозами с механизмом сканирования на вирусы, предотвращением вторжений и фильтрацией веб-содержимого.Ограничьте активность пользователей только тем, что необходимо для достижения целей организации.
Запускать антивирусные и антивирусные приложения бизнес-класса на компьютерах и серверах конечных пользователей. Использование нескольких приложений позволит составить второе мнение относительно угроз. Нет идеальной антивирусной программы.
Акиб Назир
@NazirAqib
Акиб Назир — отец прекрасного сына, муж замечательной жене и сыну отличной маме, увлеченной ИТ.Он ИТ-консультант, веб-разработчик и блогер. Вы можете следить за его блогом, чтобы узнайте больше о создании блога и его монетизации.
«Лучший способ защититься от атак программ-вымогателей — это …»
Есть известная поговорка: «Профилактика лучше лечения», что абсолютно применяется в области информационных технологий. Даже крупный такие компании, как Sony и eBay, пострадали от серьезных кибератак в прошедшие годы. Лучший способ противодействовать атакам программ-вымогателей — это регулярно сохраняйте резервные копии своих данных.Когда происходит атака программы-вымогателя, вы есть только два варианта: либо вы заплатите выкуп и получите контроль, либо вы не платите выкуп и не теряйте данные. Вы лучше понимаете, насколько это хуже может получить, когда вы потеряете контроль над своими данными. Следовательно, лучший способ защиты от атак программ-вымогателей — это регулярно резервные копии данных. Вы можете настроить автоматическую систему резервного копирования в облаке или просто создайте резервные копии вручную на физическом запоминающем устройстве.
Доктор Эли Дэвид
@DeepInstinctSec
Dr.Эли Дэвид, технический директор Deep Instinct, опубликовал более 20 статей в ведущих журналах и конференциях по ИИ, посвященных приложениям генетических алгоритмов и нейронных сетей (особенно глубокому обучению) в различных областях реального мира.
«Количество программ-вымогателей растет в геометрической прогрессии, главным образом потому, что теперь их легче найти в Darkweb как услугу, поэтому они больше не ограничиваются …»
Опытные хакеры. Более того, тот факт, что жертвы во многих случаях готовы платить, делает это прибыльным.Несмотря на то, что это угроза, которая, согласно многим прогнозам на 2016 год, будет расти, вы можете защитить себя от нее: применять решения кибербезопасности, которые могут выявлять и блокировать атаки вредоносных программ в режиме реального времени; поддерживать свои системы и приложения в актуальном состоянии; Остерегайтесь нежелательных
Вирус-вымогатель поразил 100 тысяч компьютеров в 99 странах — RT World News
По последним данным, вирус-вымогатель агрессивно распространяется по всему миру. По последним данным, более 100 000 компьютеров в 99 странах стали жертвами.Вирус заражает компьютерные файлы, а затем требует биткойны для их разблокировки.
ЖИВЫЕ ОБНОВЛЕНИЯ: Массовая кибератака поражает компьютерные системы по всему миру
Рост активности вредоносного ПО был замечен начиная с 8:00 по центральноевропейскому времени (07:00 по Гринвичу) в пятницу, сообщила компания Avast по обеспечению безопасности, добавив, что « быстро переросло в массивное распространение . »
По заявлению компании, за считанные часы по всему миру было обнаружено более 75 000 атак.Между тем трекер MalwareTech обнаружил более 100 000 зараженных систем за последние 24 часа.
Десятки стран по всему миру пострадали, а число жертв продолжает расти, по данным российского международного провайдера кибербезопасности и антивирусной защиты, Лаборатории Касперского.
На данный момент мы зафиксировали более 45 000 атак вымогателя #WannaCry в 74 странах по всему миру. Номер по-прежнему быстро растет.
— Costin Raiu (@craiu) 12 мая 2017 г.
Программа-вымогатель, известная как WanaCrypt0r 2.0, или WannaCry, как полагают, заразили больницы Национальной службы здравоохранения (NHS) в Великобритании и крупнейшую национальную телекоммуникационную компанию Испании Telefonica.
ПОДРОБНЕЕ: компьютеры больниц по всей Великобритании отключены в результате кибератаки, хакеры требуют выкуп
Великобритания и Испания — одни из первых стран, которые официально признали атаку. В Испании, помимо телекоммуникационного гиганта Telefonica, вредоносным ПО было заражено большое количество других компаний, сообщает Reuters.
Сообщается, что вирус атакует компьютеры во внутренней сети, как и в случае с Telefonica, не затрагивая клиентов.
Компьютеры в МВД России были заражены вредоносной программой, сообщило министерство в пятницу вечером.
Пострадало около 1000 компьютеров под управлением Windows, что составляет менее одного процента от общего количества таких компьютеров в министерстве, сообщила пресс-секретарь Ирина Волк. Вирус локализован, и принимаются меры по его устранению.
Серверы министерства не пострадали, добавил Волк, заявив, что они обслуживаются различными системами для машин обработки данных, разработанных в России.
« Несколько » компьютеров МЧС России также стали мишенью, сообщил ТАСС его представитель, добавив, что «, все попытки атак были заблокированы, и ни один из компьютеров не был заражен вирусом ».
Подробнее
Российский телекоммуникационный гигант Мегафон также пострадал.
« Тот самый вирус, который распространяется по всему миру и требует 300 долларов для борьбы, сегодня был обнаружен на большом количестве наших компьютеров. », — сообщил RT официальный представитель «Мегафона» Петр Лидов.
Пострадала внутренняя сеть, сказал он, добавив, что с точки зрения обслуживания клиентов компании работа группы поддержки была временно затруднена: «, поскольку операторы используют компьютеры » для предоставления своих услуг.
Компания незамедлительно приняла соответствующие меры, сообщил представитель компании, добавив, что инцидент никак не повлиял на абонентские устройства или возможности связи «Мегафон».
Премьер-министр Великобритании Тереза Мэй заявила, что кибератака на британские больницы является частью более широкой международной атаки.
В Швеции мэр Тимры сказал, что «, примерно на 70 компьютерах установлен опасный код », сообщает Reuters.
По данным Avast, программа-вымогатель также нацелена на Украину и Тайвань.
Вирус, по-видимому, является обновленной версией вымогателя, впервые появившейся в феврале. Предполагается, что он влияет только на компьютеры под управлением Windows, он меняет имена расширений файлов на «.WNCRY. «
Затем он передает пользователю записку о выкупе в текстовом файле, требуя уплаты биткойнов на сумму 300 долларов за разблокировку зараженных файлов в течение определенного периода времени.
В свете сегодняшней атаки Конгрессу необходимо спрашивать @NSAgov, знает ли он о каких-либо других уязвимостях в программном обеспечении, используемом в наших больницах.
— Эдвард Сноуден (@Snowden) 12 мая 2017 г.
Во время смены обоев жертвы затронутые пользователи также видят таймер обратного отсчета, чтобы напомнить им ограниченного времени, которое они должны заплатить выкуп.