Услуги по расшифровке файлов. Миф или реальность?

Как писалось выше, если ключ для расшифровки файлов, храниться не на заражённом (компьютере) носителе информации, значит, получить ключ для расшифровки, можно только от сервера злоумышленников. Исходя из этого, можно предпринять попытку обмана сервера злоумышленников, для перехвата ключа расшифровки. Это сложный метод и не всегда успешный, так как всё большее число вирусов-шифровальщиков, используют анонимную и зашифрованную сеть Tor, а это, сильно усложняет перехват пакетных данных и делает невозможным их анализ. 

Данный способ сложен и для большинства пользователей, является неприемлемым. В такой ситуации, переходим к последнему способу или создайте тему с запросом о помощи по расшифровке файлов на специализированном форуме. 

Посетите форум фан-клуба Лаборатории Касперского где вы сможете получить бесплатную помощь в уничтожении вирусов и помощь/консультацию по расшифровке файлов: «Техническая помощь» и можете посетить раздел форума «Помощь в борьбе с шифровальщиками-вымогателями».

Создавайте тему только на одном форуме и не дублируйте их на двух.

Данный способ, заключается в попытке восстановить копии зашифрованных файлов, при помощи восстановления данных из теневых резервных копий (не путайте с программным методом восстановления удалённых данных). Вы можете самостоятельно воспользоваться утилитой ShadowExplorer, для анализа теневых копий. К сожалению, многие вирусы-шифровальщики, удаляют все копии теневого копирования или шифруют их. Но, бывают исключения, поэтому, если ваши данные очень для вас ценны, не стоит пренебрегать данной попыткой восстановить данные.

Они оказывают помощь в восстановлении на программно уровне, только самих баз данных 1С и Mssql. Повторюсь, речь идет не о расшифровке всех файлов/баз, речь идет о программном восстановлении именно только самих баз данных. Связанно это с тем, что вирусы-шифровальщики не шифруют полностью большие файлы (зачастую, шифруют начало и конец файла). Однако, это не подходит для других файлов и способ актуален только для 1С/Mssql.

Если ничего не получилось, стоит попробовать обратиться к специалистам, которые занимаются восстановлением удаленных данных. Речь идет не о тех, кто предлагает свои услуги на OLX, Авито, Юле… Речь идет о специализированных компаниях, которые занимаются восстановлением данных на профессиональном уровне и имеют для этого все необходимые условия. 

При этом, не стоит думать, что вы сможете самостоятельно при помощи программ для поиска удаленных данных, восстановить файлы. В большинстве случаев, шифровальщики удаляют теневые копии, шифруют файлы и файловые таблицы. Да, вы можете самостоятельно поискать файлы посредством сторонних программ. 

Например:

Попытки самостоятельно восстановить удаленные файлы могут быть опасными. Это не маркетинговая страшилка, а реальный факт.

Однако, если финансы позволяют, настоятельно рекомендую сразу обратитесь к специалистам, ведь ваши действия малоэффективны и бесспорно уменьшают шансы на успех.

Если у вас есть лицензия на антивирус (купленная и действующая), напишите запрос в техническую поддержку. Если технически возможно, они вам помогут. 

Если у вас нет лицензии, вы можете купить лицензию на один из антивирусных продуктов и написать запрос в техподдержку.

Для пользователей Украины.  

Можно купить лицензию на антивирус, по выгодной цене:

Для пользователей РФ и СНГ.

Есть ряд базовых советов, по защите от атак шифровальщиков и неизвестных угроз:

ВАЖНО! Предупреждение!

Сейчас, развелось немало умельцев и контор, которые занимаются «якобы» расшифровкой файлов зашифрованных вирусами-шифровальщиками. Такие «товарищи» покупают лицензию на антивирусное ПО ДокторВеб, отправляют ваши файлы в антивирусную лабораторию ДокторВеб и после этого, создавая «бурную» деятельность и сообщают о результатах «своей» работы. При этом, часто берутся деньги наперёд без гарантии, а иногда и с гарантией расшифровки всех файлов, больше, чем стоит лицензия на само антивирусное ПО. В худшем случае (чаще всего, вы найдете именно посредников), это будут посредники между вами и настоящими злоумышленниками. 

Пример данных схем:  

Как сообщить о преступлении в правоохранительные органы своей страны?

Если вы пострадали от атаки шифровальщика, перейдите по соответствующей ссылке ниже, – для информирования местных правоохранительных органов в режиме онлайн. Если в вашей стране не существует онлайн-информирование правоохранительных органов, обратитесь с заявлением в полицейский участок.

Для жителей Украины:

https://cyberpolice.gov.ua

Оставить заявление (выберите вариант «Несанкціоноване втручання (ШПЗ, втручання в ЕОМ, несанкціонований доступ до облікових записів, ШПЗ, тощо»):

https://ticket.cyberpolice.gov.ua

Для жителей России:

https://мвд.рф

Оставить заявление (выберите вариант «Управление «К» МВД России»):

https://мвд. рф/request_main

Для общего представления о том, что такое RANSOMWARE и какую они угрозу предоставляют, можно ознакомиться с подробной статистикой из заметки «Программы-вымогатели: факты, тенденции и статистика».

Есть полезный блог, с большим количеством статей, советов и дешифраторов:
https://id-ransomware.blogspot.com который стоит посмотреть.

Что делать для расшифровки данных при атаке вирусом-шифровальщиком?

Есть ли у вас план действий на случай, когда вы увидите на экране своего компьютера требование заплатить киберпреступникам деньги за расшифровку ваших файлов? Что предпринять в первую очередь? Какие программы можно использовать для спасения своих данных? Есть ли гарантии расшифровки ваших данных, если заплатить злоумышленникам выкуп? На эти и другие подобные вопросы вы найдете ответы в статье.

1. Введение

2. Как работают криптолокеры?

3. Как владелец файлов может расшифровать их?

4. Существуют ли гарантии расшифровки файлов?

5. Создание копии ОЗУ: зачем это надо?

6. Восстановление криптографического ключа

7. Выводы

Введение

Вирусы-шифровальщики (криптолокеры, вирусы-вымогатели) — бич нашего времени. Никто не застрахован от того, что не получит от злоумышленников требование заплатить деньги за собственные же данные. Как правило, для того чтобы человек заплатил, киберпреступники шифруют файлы пользователя, которые могут быть важны для него.

C сожалением приходится признать, что мы находимся в начале большого пути, на котором человечество ждут масштабные пандемии вирусов-вымогателей и подобных им вредоносных программ. На сегодня мир пережил две пандемии: WannaCry и NonPetya. Проанализировов итоги этих атак, в статье мы предложим метод, который поможет спасти данные пользователя после их шифрования вредоносной программой.

Как работают криптолокеры?

Наиболее часто вирусы-шифровальщики используют следующие приемы для ограничения доступа пользователя к его данным:

1. Меняют расширение пользовательских файлов на другое. Это не позволяет Windows открывать файлы в соответствующей программе — просмотрщике или редакторе. Как правило, такое поведение характерно для тестовых версий вредоносных программ или предварительной их «обкатки».
2. Меняют несколько первых байт в файле. При этом измененный файл воспринимается Windows как поврежденный и также не позволяет пользователю просмотреть его содержимое. Такое поведение характерно для тестовых версий вредоносных программ. Еще известны случаи целевых атак, когда злоумышленники не ставили целью нанести максимальный урон атакуемой сети, а стремились получить иную выгоду от атаки, ограничив на короткий срок доступ пользователей к их файлам.
3. Шифруют файлы. В наши дни этот способ является самым распространенным. Каждый компьютер шифруется уникальным криптоключом — он после окончания шифрования передается на управляющий сервер, который принадлежит киберпреступникам.

На этом сервере криптоключ хранится в течение некоторого времени. Для того чтобы знать, кто заплатил деньги, для каждого зашифрованного компьютера создается отдельный bitcoin-кошелек. 

Как владелец файлов может расшифровать их?

Владелец зашифрованных файлов может выкупить криптографический ключ и получить от злоумышленников программу, которая, используя этот ключ, расшифрует его файлы.

Но даже если зашифрованные файлы важны для пользователя, он может не заплатить по следующим причинам:

1. У владельца компьютера может просто не быть нужной суммы денег.
2. Владелец компьютера не сможет собрать нужную сумму в течение установленного вымогателями периода, по истечении которого криптоключ будет удален с командного сервера.
3. Владелец компьютера не сможет понять, как осуществить платеж злоумышленникам. Большинство пострадавших являются людьми, имеющими опосредованное отношение к компьютерным технологиям, и поэтому им трудно разобраться в том, как создать bitcoin-кошелек, как положить на него деньги и как осуществить платеж.

Можно обратиться за специализированной помощью, например, в сервис «Помогите+ VirusInfo.info»  В этом случае есть шанс с профессиональной помощью расшифровать файлы или получить консультации о принципиальной возможности сделать это (можно или нет).

Существуют ли гарантии расшифровки файлов?

Нет никаких гарантий того, что если владелец зашифрованных файлов заплатит кибепреступникам деньги, то ему пришлют программу для расшифровки файлов. Это может произойти по следующим причинам:

1. Ошибки программирования. Злоумышленники могут создать криптолокер, который не будет отправлять ключи шифрования на управляющий сервер.
2. Еще ошибки программирования. Киберпреступники могут создать программу-вымогатель, которая не будет генерировать bitcoin-кошелек для каждого компьютера, и тогда они просто не будут знать, кто им заплатил деньги. (Именно так и случилось с компьютерами, файлы на которых были зашифрованы WannaCry).
3. И снова ошибки программирования. Ключ пришлют, но расшифровка будет произведена некорректно, файлы не восстановятся. Винить будет некого — извините, так вышло.
4. Если владелец зашифрованных файлов не заплатил злоумышленникам в течение определенного срока, его криптоключ может быть удален, и восстановить его они уже не смогут.
5. Киберпреступники могут просто затаиться и перестать высылать оплаченные ключи для расшифровки файлов.
6. Полиция может изъять управляющий сервер, и тогда криптоключи, хранящиеся на нем, будут недоступны для владельцев зашифрованных компьютеров.
7. Полиция (или частная компания) могут заблокировать почтовый ящик (почтовый сервер), на который приходят сообщения пользователей о заплаченном выкупе, и тогда злоумышленники не будут знать, кто именно заплатил им деньги.

Создание копии ОЗУ: зачем это надо?

Классика учит нас, что спасение утопающих — дело рук самих утопающих. В этой главе будет рассказано о том, какие действия может предпринять пользователь инфицированного компьютера, чтобы спасти свои данные. Этот способ не является универсальным и не гарантирует стопроцентного спасения данных. Однако это лучше, чем ничего.

Единственное, в чем можно быть уверенным в момент осуществления атаки криптолокера — это то, что, когда владелец компьютера впервые видит на экране монитора требование заплатить деньги, криптографический ключ, использованный для шифрования файлов, скорее всего еще находится в памяти компьютера. В этот момент следует сделать криминалистическую копию оперативной памяти компьютера (ОЗУ). В дальнейшем специалисты могут извлечь из этой копии криптографический ключ и расшифровать файлы владельца компьютера.

Одним из инструментов, которым можно сделать копию оперативной памяти, является Belkasoft Live RAM Capturer.

Пройдите на сайт Belkasoft (https://belkasoft.com/get) и заполните форму запроса этой программы.

Рисунок 1. Форма запроса Belkasoft

После этого вы получите электронное письмо, в котором будет ссылка на скачивание Belkasoft Live RAM Capturer. Загрузите эту программу и поместите ее на флешку. Подключите флешку к компьютеру, подвергнувшемуся атаке вируса-вымогателя.

Существует 32-битная (файл RamCapture.exe) и 64-битная (файл RamCapture64.exe) версии Belkasoft Live RAM Capturer.

Рисунок 2. Файлы Belkasoft Live RAM Capturer

Кликните на файл, разрядность которого соответствует разрядности вашей операционной системы.

Ничего страшного не произойдет, если вы случайно ошибетесь. В этом случае вы просто увидите сообщение об ошибке.

Рисунок 3. Сообщение об ошибке

После запуска Belkasoft Live RAM Capturer вы увидите основное окно программы.

Рисунок 4. Главное окно Belkasoft Live RAM Capturer

Belkasoft Live RAM Capturer предложит сохранить создаваемую копию оперативной памяти компьютера на подключенную флешку. Кликните кнопку Capture!

Если ваша флешка имеет файловую систему FAT (FAT32), а объем оперативной памяти компьютера превышает 4Гб, то вы увидите сообщение Insufficient disk space for the dump file.

Рисунок 5. Сообщение Insufficient disk space for the dump file

Это связано с тем, что Windows не может записать файл размером более 4Гб в файловую систему FAT (FAT32). Для того чтобы сохранить создаваемую копию памяти на флешку, предварительно отформатируйте ее в exFAT или NTFS. Если не сделать этого, можно указать иное место на жестком диске компьютера, где будет сохранена эта копия. В качестве примера был использован путь C:\Users\Igor\Document. Как показано на рисунке 6, такая копия была успешно создана.

Рисунок 6. Сообщение о том, что создание копии оперативной памяти закончено

Имя файла, который содержит копию RAM, соответствует дате его создания.

Рисунок 7. Файл, содержащий данные из ОЗУ компьютера

Восстановление криптографического ключа

В качестве примера рассмотрим восстановление криптографического ключа, с помощью которого осуществляется шифрование файлов вирусом-вымогателем WannaCry. Как известно, этот вымогатель осуществляет шифрование файлов пользователя с использованием RSA-ключа. Существует несколько плагинов (например, плагин MoVP II) к Volatility – бесплатной утилиты, используемой для анализа дампов оперативной памяти компьютеров, с помощью которых можно восстановить RSA-ключ и его сертификаты.

Однако в статье будет показан пример восстановления RSA-ключа с помощью GREP-анализа. Для этого загрузите полученную ранее копию ОЗУ зараженного компьютера в WinHex и произведите поиск по заголовку RSA-ключа – 308202 (в шестнадцатеричном виде). В нашем случае было обнаружено 2486 совпадений.

Рисунок 8. Результаты поиска RSA-ключа в копии ОЗУ компьютера, подвергнутого атаке вируса-вымогателя WannaCry

Конечно же, не все эти совпадения являются криптографическим ключом. Однако количество вариантов ключей, которые могут быть использованы для расшифровки пользовательских данных, существенно сокращается, что повышает вероятность успеха спасения зашифрованных данных пользователя.

Выводы

В статье были рассмотрены приемы, которые используют криптолокеры для вымогания денег у пользователей компьютеров; дан ответ на вопросы: как владелец может расшифровать зашифрованные файлы? существуют ли гарантии расшифровки файлов? Рассмотрен способ создания криминалистической копии оперативной памяти компьютера, подвергнувшегося атаке вируса-вымогателя, и приведен пример восстановления криптографического ключа из нее.

Создание копии ОЗУ компьютера, подвергнувшегося атаке вируса-вымогателя, в совокупности с методами предотвращения дальнейшего заражения, изложенными в статье «Защита от вымогателя WannaCry – методы предотвращения заражения», не только поможет в предотвращении дальнейшего распространения вредоносной программы, в расследовании инцидента и установлении возможных путей проникновения вируса в компьютерную систему, но и в отдельных случаях может помочь извлечь криптографические ключи, которые получится использовать для расшифровки пользовательских данных.

В будущем атаки криптолокеров будут только возрастать. Известные миру криптолокеры портируются под новые операционные системы, и поэтому мир может снова услышать об их атаках, а количество устройств, которые они способны заразить, возрастет в разы. WikiLeaks продолжает выкладывать новые образцы кибероружия, похищенного киберпреступниками у правительственных организаций (Wikileaks рассекретил еще один шпионский вирус ЦРУ). Поэтому каждый должен иметь такой набор программ, который позволит ему спасти свои данные.  

Расшифровка файлов, удаление шифровальщика — ПК Мастер

Вирусы-шифровальщики, известные также как криптографические вирусы — отдельный тип софта, выполняющий кодирование всех файлов носителя. В чем суть шифрования? С помощью данной операции все документы преобразуются в последовательность нулей и единиц, другими словами являются бессмысленным набор данных и не открываются ни одной программой.

Что необходимо делать, при обнаружении шифровальщика на компьютере?

Конечно первым делом необходимо выдернуть шнур, выдавить стекло выключить компьютер. Пока компьютер включен — файлы будут продолжать шифроваться, а что еще хуже — вирус может поразить и другие компьютеры в сети! Поэтому обесточив зараженный компьютер, вы прекратите процесс шифрования, а также предотвратите распространение вируса.

Далее необходимо оценить масштаб бедствия, удалить вирус, собрать всю имеющуюся информацию по ситуации, чтобы понять, как действовать дальше. Неправильные действия на данном этапе могут существенно усложнить процесс расшифровки или восстановления файлов. В худшем случае могут сделать его невозможным. Так что не торопитесь, будьте аккуратны и последовательны.

Немедленно передавайте зараженный компьютер в наш сервисный центр! Специалисты нашего сервиса не по наслышке знают о шифровальщиках-вымогателях, например [[email protected]].blm, и действуют согласно инструкции, что в разы сэкономит Вам время в решении этой неприятной ситуации.

В интернете появился вирус [DHARMA], меняющий расширение файлов на .HARMA. Подцепить этот вирус можно скачивая отдельные бесплатные программы, либо открывая вредоносный спам. После зашифровки данных появится информация о том, что нужно заплатить биткоины, чтобы получить код расшифровки. Не стоит этого делать! Отключите компьютер и незамедлительно обращайтесь в наш сервисный центр.

Что мы делаем с вашим компьютером в сервисном центре? Немедленно беремся за устранение вируса с компьютера: загружаем параллельную вашей операционную систему, с помощью нее запускаем самые мощные средства проверки и удаления вирусов, а также вручную проводим поиск по автозагрузке, реестру и планировщику задач. Это позволит с вероятностью близкой к 100% найти и обезвредить вирус-вымогатель, а также предотвратить её последующий запуск и распространение.

На этом этапе очень важно сделать несколько действий:

Во-первых: сохранить и изолировать тело вируса. Это требуется для того, чтобы понять с кем мы имеем дело, и подобрать алгоритм дешифрации. А также для дальнейшего его изучения и передачи в антивирусные компании.
Во-вторых: сохранить требование о выкупе (всё по тем же причинам)
В-третьих: сохранить несколько зашифрованных файлов. Они в дальнейшем понадобятся для тестирования вариантов дешифрации.

Часто встречаемые вирусы:

• Coronavirus (NCOV) Этот шифровальщик использует почту [email protected] или [email protected], также замечен с почтой [email protected], [email protected], [email protected] и day_0@aol. com.
  Данный вирус как и все проникает через RDP, Шифрует все файлы и ставит расширение .NcOv (кодовое название коронавирусов). Поможем расшифровать и его, оставляйте заявку!


• Harma Шифровальщик, шифрует абсолютно все файлы и добавляет к ним расширение .harma. Вирус, как правило проникает через RDP, в качестве инструмента шифрования использует легальное ПО, что создает определенные трудности для его расшифровки. Но не стоит сразу паниковать, обратитесь к нам. Специалисты нашего сервисного центра помогут расшифровать любые зашифрованные файлы вирусом .harma.
  Самые распространенные варианты шифровальщика Harma: [email protected], [email protected], [email protected] и [email protected]


• Crylock Шифровальщик, проникает через слабо защищенное RDP соединение и шифрует всё, до чего дотянется, добавляя айди, а также почту fairexchange@qq. com или [email protected]. В открытом доступе дешифраторов для такого случая нет, но мы всегда готовы разработать уникальный под ваш случай!


• Shade аналогичные названия: Troldesh и Encoder.858 Авторы данного вируса разработали вредоносную программу Trojan-Ransom.Win32.Shade, которая шифрует пользовательские файлы, чтобы сделать невозможной работу с ними.
  С нашей помощью Вы можете расшифровать файлы с расширениями: xtbl; breaking_bad; ytbl; heisenberg; better_call_saul; los_pollos; da_vinci_code; magic_software_syndicate; windows10; windows8; no_more_ransom; tyson; crypted000007; crypted000078; dexter; miami_california; rsa3072; decrypt_it и многими другими
  


• WANNACASH Данный вирус распространяется через различные сайты под видом полезного софта, а также рассылается через спам. При проникновении на компьютер вирус шифрует абсолютно все пользовательские файлы: фото, видео — перестают открываться .
  С нашей помощью Вы можете расшифровать абсолютно все поврежденные файлы! Отличить этого вымогателя от других просто: в имени ваших файлов появится один из тих имейлов: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]
  Также можно встретить текст: Файл зашифрован. wаппасаsh

ПРОЧИЕ ШИФРОВАЛЬЩИКИ:

• FAIR — Этот шифровальщик добавляет расширение .fair, ко всем зашифрованным файлам, а также почту [email protected].
  
• PGP — Этот шифровальщик добавляет расширение .PGP, ко всем зашифрованным файлам, а также почту [email protected].
  
• Word — шифровальщик добавляет расширение .word, ко всем зашифрованным файлам, а также почту [email protected].
  
• VWA — Добавляет расширение . VWA, ко всем зашифрованным файлам, а также почту [email protected].
  
• DOP — Добавляет расширение .DOP. Также в имени можно обнаружить уникальный айди и почту [email protected] или [email protected].
  
• USAR — шифрует файлы используя расширение .usar, и почту [email protected] в имени всех файлов.
  
• ACT — использует расширение .ACT, и имейл [email protected] либо [email protected].
  
• LaB — использует расширение .LaB, и имейл [email protected] либо [email protected].
  
• PAYB — расширение .payB, имейл [email protected].
  
• ROCK — расширение .ROCK, а имейл [email protected] или medecrypt0@aol. com.
  
• REC — расширение .rec, имейлы [email protected] и [email protected].
  
• CL — расширение .cl, имейл [email protected].
  
• ZXCV — расширение .zxcv, имейл [email protected].
  
• HOW — расширение .HOW, а имейл [email protected].
  
• BASE — расширение .ba5e, а имейл [email protected].
  
• R3F5S — расширение .r3f5s, а имейл [email protected].
  
• SMPL — расширение .smpl, а имейл [email protected].
  
• BMTF — расширение .bmtf, имейл [email protected].
  
• BOOT — расширение . BOOT, имейл [email protected].
  
• DDoS — расширение .DDoS, имейл [email protected].
  
• MNBZR — расширение .mnbzr, имейл [email protected].
  
• USAR — расширение .usar, имейл [email protected].
  
• 1DEC — расширение .1dec, имейл [email protected].
  

Впрочем, если вы самостоятельно сможете провести этапы по удалению и изолированию вируса, то мы сможем помочь в расшифровке зашифрованных файлов. Для этого передайте нам (по почте или через облачное хранилище или через любой мессенджер (viber, telegram) набор из следующего списка:

• сам вирус,
• файлы (или фото) с требованием выкупа,
• несколько зашифрованных файлов распространенных типов: например картинки (jpg, png, gif) или word (doc, docx),
• зашифрованный файл и его оригинал (возможно вы накануне отправляли его через мессенджер или по почте коллеге.

Получив от Вас запрос, мы сразу же приступаем к поиску возможности возврата (дешифровки) ваших файлов

Обращайтесь за услугой в наш сервисный центр, у нас бесплатная диагностика, на основании которой оцениваются трудозатраты и формируется стоимость услуги. Учитывая различную сложность задачи стоимость может варьироваться в очень широком диапазоне.

Без должного опыта и знаний самостоятельно справится с шифровальщиками невозможно. Главное, что следует учесть – платить деньги вымогателям нельзя. Обычно после оплаты вымогатели просят дополнительную сумму, либо перестают выходить на связь. Обратитесь в нашу компанию. Мы знаем, как расшифровать зашифрованные вирусом файлы и помочь восстановить документы. Чтобы минимизировать потери от вируса-шифровальщика – регулярно делайте резервные копии своей системы.

Наши преимущества:

• Быстро — как правило, расшифровка занимает от 1 до 7 дней. Также мы можем работать удалённо.
• Надёжно — весь процесс закреплен договором с предоставлением гарантии.
• Доступно — самые доступные цены на возвращение всех ваших файлов к исходному состоянию
• Официально — полный пакет документов. Наличный и безналичный рассчет. Выдаем чек.

Также мы предлагаем провести аудит и настройку системы безопасности в Вашей айти инфраструктуре, чтобы минимизировать риски проникновения и распространения вирусов-вымогателей!

Цены на удаление шифровальщика и восстановление данных

Закажите звонок!

: как она работает и как ее удалить

Определение программы-вымогателя

Программа-вымогатель — это форма вредоносной программы , которая шифрует файлы жертвы. Затем злоумышленник требует от жертвы выкуп за восстановление доступа к данным после оплаты.

Пользователям показаны инструкции по оплате сбора за ключ дешифрования. Стоимость может варьироваться от нескольких сотен до тысяч долларов, выплачиваемых злоумышленникам в биткойнах.

Как работает программа-вымогатель

Существует ряд векторов, с помощью которых программы-вымогатели могут получить доступ к компьютеру. Одной из наиболее распространенных систем доставки является фишинговый спам — вложения, которые приходят жертве в электронном письме, маскируясь под файл, которому она должна доверять. После загрузки и открытия они могут захватить компьютер жертвы, особенно если у них есть встроенные инструменты социальной инженерии, которые обманом заставляют пользователей предоставлять административный доступ. Некоторые другие, более агрессивные формы программ-вымогателей, такие как NotPetya, используют бреши в безопасности для заражения компьютеров без необходимости обманывать пользователей.

Есть несколько вещей, которые вредоносная программа может сделать после захвата компьютера жертвы, но, безусловно, наиболее распространенным действием является шифрование некоторых или всех файлов пользователя. Если вам нужны технические подробности, в Infosec Institute есть очень подробный анализ того, как несколько разновидностей программ-вымогателей шифруют файлы. Но самое важное, что нужно знать, это то, что в конце процесса файлы не могут быть расшифрованы без математического ключа, известного только злоумышленнику. Пользователь получает сообщение, объясняющее, что его файлы теперь недоступны и будут расшифрованы только в том случае, если жертва отправит злоумышленнику не отслеживаемый платеж в биткойнах.

В некоторых формах вредоносного ПО злоумышленник может заявить, что является правоохранительным органом, который выключает компьютер жертвы из-за наличия на нем порнографии или пиратского программного обеспечения и требует уплаты «штрафа», возможно, чтобы уменьшить количество жертв. скорее всего, сообщит о нападении властям. Но большинство атак не беспокоит это предлогом. Существует также вариант, называемый leckware или doxware , в котором злоумышленник угрожает опубликовать конфиденциальные данные на жестком диске жертвы, если не будет уплачен выкуп.Но поскольку поиск и извлечение такой информации — очень сложная задача для злоумышленников, шифровальщики-вымогатели являются наиболее распространенным типом.

Кто является целью для программ-вымогателей?

Злоумышленники могут выбирать организации, на которые они нацелены с помощью программ-вымогателей, несколькими способами. Иногда это вопрос возможностей: например, злоумышленники могут нацеливаться на университеты, потому что они, как правило, имеют меньшие группы безопасности и разрозненную базу пользователей, которая много общается с файлами, что упрощает проникновение в их защиту.

С другой стороны, некоторые организации являются заманчивыми жертвами, потому что они с большей вероятностью заплатят выкуп быстро. Например, государственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим файлам. Юридические фирмы и другие организации, располагающие конфиденциальными данными, могут быть готовы платить, чтобы держать в секрете новости о компрометации, и эти организации могут быть исключительно чувствительны к атакам с использованием утечек.

Но не думайте, что вы в безопасности, если не подходите под эти категории: как мы уже отмечали, некоторые программы-вымогатели автоматически и без разбора распространяются по Интернету.

Как предотвратить заражение программами-вымогателями

Существует ряд защитных мер, которые вы можете предпринять, чтобы предотвратить заражение программами-вымогателями. Эти шаги, конечно, являются хорошими практиками безопасности в целом, поэтому их выполнение улучшает вашу защиту от всех видов атак:

• Держите свою операционную систему в исправлении и обновляйте , чтобы уменьшить количество уязвимостей, которые можно использовать.
• Не устанавливайте программное обеспечение и не предоставляйте ему административные привилегии , если вы точно не знаете, что это такое и что оно делает.
• Установите антивирусное программное обеспечение , которое обнаруживает вредоносные программы, такие как программы-вымогатели, по мере их поступления, и заносит в белый список программное обеспечение , , которое в первую очередь предотвращает выполнение неавторизованных приложений.
• И, конечно же, выполняет резервное копирование файлов, — часто и автоматически! Это не остановит атаку вредоносного ПО, но может сделать ущерб, нанесенный одной, гораздо менее значительным.

Удаление программ-вымогателей

Если ваш компьютер был заражен программой-вымогателем, вам необходимо восстановить контроль над своей машиной.У Стива Рагана из CSO есть отличное видео, демонстрирующее, как это сделать на машине с Windows 10:

В видео есть все подробности, но важные шаги:

• Перезагрузите Windows 10 в безопасный режим
• Установить антивредоносное ПО
• Просканируйте систему , чтобы найти программу-вымогатель
• Восстановить компьютер в предыдущее состояние

Но вот важная вещь, о которой нужно помнить: во время выполнения этих шагов можно удалить вредоносное ПО с вашего компьютера и восстановить его под вашим контролем, но не сможет расшифровать ваши файлы. Их преобразование в нечитаемость уже произошло, и если вредоносная программа хоть сколько-нибудь сложна, то никому будет математически невозможно расшифровать их без доступа к ключу, хранящемуся у злоумышленника. Фактически, удалив вредоносное ПО, вы исключили возможность восстановления ваших файлов, заплатив злоумышленникам выкуп, который они запросили.

Факты и цифры о программах-вымогателях

Программы-вымогатели — это большой бизнес. Программы-вымогатели приносят большие деньги, и с начала десятилетия рынок быстро рос.В 2017 году программы-вымогатели принесли убытки в размере 5 миллиардов долларов, как с точки зрения уплаченного выкупа, так и затрат, а также потери времени на восстановление после атак. Это в 15 раз больше, чем в 2015 году. В первом квартале 2018 года только одна программа-вымогатель, SamSam, собрала выкуп в размере 1 миллиона долларов.

Некоторые рынки особенно уязвимы для программ-вымогателей и выплаты выкупа. В больницах или других медицинских организациях произошло множество громких атак с использованием программ-вымогателей, которые представляют собой заманчивые цели: злоумышленники знают, что, когда жизни буквально на волоске, эти предприятия с большей вероятностью просто заплатят относительно небольшой выкуп, чтобы проблема исчезла. .По оценкам, 45 процентов атак программ-вымогателей нацелены на медицинские организации, и, наоборот, 85 процентов заражений вредоносными программами в медицинских организациях являются программами-вымогателями. Еще одна соблазнительная индустрия? Сектор финансовых услуг, который, как классно заметил Уилли Саттон, является источником денег. По оценкам, 90% финансовых учреждений подверглись атаке программ-вымогателей в 2017 году.

Ваше антивирусное программное обеспечение не обязательно защитит вас. Ransomware постоянно пишется и настраивается разработчиками, поэтому его сигнатуры часто не улавливаются типичными антивирусными программами.Фактически, 75% компаний, ставших жертвами программ-вымогателей, использовали на зараженных машинах новейшую защиту конечных точек.

Программы-вымогатели не так распространены, как раньше. Если вам нужны хорошие новости, то вот что: количество атак с использованием программ-вымогателей после резкого роста в середине 10-х годов пошло на спад, хотя первоначальные цифры были достаточно высокими, чтобы оставаться до сих пор. Но в первом квартале 2017 года атаки программ-вымогателей составили 60 процентов полезной нагрузки вредоносных программ; сейчас он упал до 5 процентов.

Программы-вымогатели на спаде?

Что стоит за этим большим провалом? Во многом это экономическое решение, основанное на выбранной киберпреступником валюте: биткойне. Взыскание выкупа с жертвы всегда было неудачным; они могут не решить платить, или даже если захотят, они могут быть недостаточно знакомы с биткойнами, чтобы понять, как на самом деле это сделать.

Как указывает Касперский, снижение количества программ-вымогателей сопровождалось ростом так называемого вредоносного ПО , добывающего криптовалюту , которое заражает компьютер жертвы и использует свои вычислительные мощности для создания (или шахты, на языке криптовалют) владелец знает.Это удобный способ использования чужих ресурсов для получения биткойнов, который позволяет обойти большинство трудностей, связанных с получением выкупа, и он стал еще более привлекательным в качестве кибератаки, когда цена биткойнов резко выросла в конце 2017 года.

Это не так. означают, что угроза миновала. Существует два различных типа атакующих программ-вымогателей: «массовые» атаки, которые пытаются заражать компьютеры без разбора в чистом виде и включают так называемые «программы-вымогатели как услугу», которые преступники могут арендовать; и целевые группы, ориентированные на особо уязвимые сегменты рынка и организации.Вы должны быть начеку, если вы относитесь к последней категории, независимо от того, прошел ли большой бум вымогателей.

В связи с падением цены на биткойны в течение 2018 года анализ затрат и выгод для злоумышленников может вернуться назад. В конечном итоге, по словам Стива Гробмана, технического директора McAfee, использование программ-вымогателей или вредоносных программ для майнинга криптовалют — это бизнес-решение для злоумышленников. «Поскольку цены на криптовалюту падают, естественно видеть возврат [к программам-вымогателям]».

Стоит ли платить выкуп?

Если ваша система была заражена вредоносным ПО, и вы потеряли жизненно важные данные, которые вы не можете восстановление из резервной копии, стоит ли платить выкуп?

Если говорить теоретически, большинство правоохранительных органов убеждают вас не платить злоумышленникам-вымогателям, исходя из логики того, что это только побуждает хакеров создавать новые программы-вымогатели. Тем не менее, многие организации, которые сталкиваются с вредоносным ПО, быстро перестают думать о «большем благе» и начинают проводить анализ затрат и выгод, взвешивая цену выкупа и ценность зашифрованных данных. Согласно исследованию Trend Micro, в то время как 66 процентов компаний заявляют, что они никогда не будут платить выкуп из принципиальных соображений, на практике 65 процентов действительно платят выкуп, когда их ударили.

Злоумышленники-вымогатели поддерживают относительно низкие цены — обычно от 700 до 1300 долларов — сумму, которую компании обычно могут позволить себе заплатить в короткие сроки.Некоторые особо изощренные вредоносные программы обнаруживают страну, в которой работает зараженный компьютер, и корректируют размер выкупа в соответствии с экономикой этой страны, требуя большего от компаний из богатых стран и меньшего — от компаний из бедных регионов.

За быстрые действия часто предлагаются скидки, чтобы побудить жертв быстро заплатить, прежде чем слишком много думать об этом. Как правило, цена устанавливается так, чтобы она была достаточно высокой, чтобы оправдать затраты преступника, но достаточно низкой, чтобы она часто была дешевле, чем то, что жертва должна была бы заплатить за восстановление своего компьютера или восстановление потерянных данных.Имея это в виду, некоторые компании начинают встраивать потенциальную необходимость выплаты выкупа в свои планы безопасности: например, некоторые крупные британские компании, которые в противном случае не имеют отношения к криптовалюте, держат некоторое количество биткойнов в резерве специально для выплат выкупа.

Здесь нужно запомнить пару хитрых вещей, помня, что люди, с которыми вы имеете дело, конечно же, преступники. Во-первых, то, что выглядит как программа-вымогатель, возможно, вообще не зашифровало ваши данные; убедитесь, что вы не имеете дело с так называемыми «пугающими программами», прежде чем отправлять кому-либо деньги.Во-вторых, оплата злоумышленников не гарантирует, что вы вернете свои файлы. Иногда злоумышленники просто берут деньги и убегают, и, возможно, даже не встроили в вредоносную программу функции дешифрования. Но любое такое вредоносное ПО быстро приобретет репутацию и не принесет дохода, поэтому в большинстве случаев — по оценке Гэри Сокрайдера, главного технолога по безопасности в Arbor Networks, от 65 до 70 процентов времени — злоумышленники проникают, и ваши данные восстанавливаются. .

Видео по теме:

Примеры программ-вымогателей

Хотя программы-вымогатели технически существуют с 90-х годов, они стали популярны только в последние пять лет или около того, в основном из-за доступности неотслеживаемых способов оплаты, таких как биткойны.Вот некоторые из худших злоумышленников:

• CryptoLocker , атака 2013 года, запустила эпоху современных программ-вымогателей и заразила до 500 000 компьютеров на своем пике.
• TeslaCrypt нацелился на игровые файлы и постоянно совершенствовался во время своего террора.
• SimpleLocker была первой широко распространенной атакой программ-вымогателей, направленных на мобильные устройства
• WannaCry автономно распространяется с компьютера на компьютер с помощью EternalBlue, эксплойта, разработанного АНБ, а затем украденного хакерами.
• NotPetya также использовал EternalBlue и, возможно, был частью направленной Россией кибератаки против Украины.
• Locky начал распространяться в 2016 году и был «похож по способу атаки на печально известное банковское программное обеспечение Dridex». Вариант, Osiris , был распространен посредством фишинговых кампаний.
• Leatherlocker был впервые обнаружен в 2017 году в двух приложениях для Android: Booster & Cleaner и Wallpaper Blur HD. Вместо того, чтобы шифровать файлы, он блокирует главный экран, чтобы предотвратить доступ к данным.
• Wysiwye, , также обнаруженный в 2017 году, сканирует Интернет на предмет открытых серверов протокола удаленного рабочего стола (RDP). Затем он пытается украсть учетные данные RDP для распространения по сети.
• Cerber оказался очень эффективным, когда он впервые появился в 2016 году, заработав злоумышленникам 200 000 долларов в июле того же года. Он воспользовался уязвимостью Microsoft для заражения сетей.
• BadRabbit распространился по медиа-компаниям в Восточной Европе и Азии в 2017 году.
• SamSam существует с 2015 года и ориентирован в первую очередь на медицинские организации.
• Ryuk впервые появился в 2018 году и используется в целевых атаках на уязвимые организации, такие как больницы. Он часто используется в сочетании с другими вредоносными программами, такими как TrickBot.
• Maze — это относительно новая группа программ-вымогателей, известная тем, что раскрывает украденные данные общественности, если жертва не платит за их расшифровку.
• RobbinHood — еще один вариант EternalBlue, который поставил город Балтимор, штат Мэриленд, на колени в 2019 году.
• GandCrab может быть самой прибыльной программой-вымогателем. Его разработчики, которые продали программу киберпреступникам, по состоянию на июль 2019 года требуют выплат жертвам на сумму более 2 миллиардов долларов.
• Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы, кроме файлов конфигурации. Это связано с GandCrab
• Thanos — новейшая программа-вымогатель в этом списке, обнаруженная в январе 2020 года. Она продается как программа-вымогатель как услуга. Это первая программа, использующая технологию RIPlace, которая может обойти большинство методов защиты от программ-вымогателей.

Этот список будет становиться длиннее. Следуйте приведенным здесь советам, чтобы защитить себя.

Видео по теме:

Copyright © 2020 IDG Communications, Inc.

Как мне расшифровать файлы, зашифрованные с помощью программ-вымогателей?

У вас может быть немного вариантов, если вам не повезет или вы не подготовитесь.

После того, как ваши файлы будут зашифрованы программой-вымогателем, у вас будет немного вариантов. Если вы не готовы, есть несколько соломинок, за которые можно ухватиться.

… некоторые из моих файлов исчезли, так как они были зашифрованы открытым ключом. Файлы вроде моих фото и тд. Конечно, они взимают высокую плату за то, чтобы я мог их вернуть. У тебя есть решение?

Это был вопрос, который я получил в утреннем письме от друга.

Хотя есть несколько соломинок, за которые стоит ухватиться, новости на самом деле не очень хорошие. Весь смысл программ-вымогателей в том, что нет простого и легкого способа исправить ущерб. Если бы это было так, вымогателей не было бы.

Я рассмотрю несколько вариантов, которые у вас есть, а затем выясню, как предотвращение до появления программ-вымогателей может дать вам душевное спокойствие.

Ransomware — это вредоносная программа, которая шифрует ваши файлы, делая их непригодными для использования. Они обещают расшифровать файлы, если вы заплатите комиссию (или выкуп). Возможно, вам повезет и вы найдете ключи расшифровки вымогателей в общедоступной коллекции, но это маловероятно. Правильное резервное копирование — единственный верный способ восстановить систему после вымогательства, не говоря уже о том, чтобы вообще ее избежать.

Зашифровано программой-вымогателем

Ransomware — это особый тип вредоносного ПО. Он шифрует ваши файлы, чтобы вы не могли получить к ним доступ или использовать их, а затем предлагает расшифровать их, если вы заплатите выкуп.

К сожалению, используемая технология — «шифрование с открытым ключом» — в целом хорошая. Это та же технология шифрования, которую мы с вами используем для защиты наших данных и конфиденциальности наших разговоров в Интернете.

Если все сделано правильно, файл, зашифрованный с использованием криптографии с открытым ключом, практически невозможно восстановить, если у вас нет соответствующего закрытого ключа.

И, разумеется, хакеры все делают правильно. По сути, невозможно расшифровать файлы, зашифрованные программами-вымогателями, без их закрытого ключа.

Коллекции закрытых ключей программ-вымогателей

По мере роста угрозы и воздействия программ-вымогателей специалисты по безопасности и органы власти работают над отслеживанием хакеров и прекращением их операций. Иногда им это удается, и эта конкретная угроза вымогателей устраняется.

Когда это происходит, личные ключи хакеров иногда, хотя и не всегда, обнаруживаются и становятся общедоступными.

Проект No More Ransom поддерживает базу данных известных ключей вымогателей. Цитата их сайта:

… иногда возможно помочь зараженным пользователям восстановить доступ к их зашифрованным файлам или заблокированным системам без необходимости платить. Мы создали репозиторий ключей и приложений, которые могут расшифровать данные, заблокированные различными типами программ-вымогателей.

Я специально выделил слово «иногда». Нет никаких гарантий.На самом деле, по моему опыту, «иногда» действительно должно быть «в редких случаях».

Если ваши файлы зашифрованы с помощью программы-вымогателя, это соломинка, которую стоит принять. На самом деле, если вы не подготовились заранее, это действительно ваш единственный выход.

Лекарства от программ-вымогателей

Лучшее лекарство — это в первую очередь избегать шифрования файлов с помощью программ-вымогателей. Это означает безопасное использование Интернета и все, что с этим связано. Избегайте вредоносных программ, схем фишинга и всех других способов, которыми хакеры могут получить вымогательское ПО на вашем компьютере.

Второе лучшее лекарство — иметь резервную копию. Если вы обнаружите, что ваш компьютер заражен программой-вымогателем, а ваши файлы зашифрованы, восстановление их из резервной копии — единственный 100% надежный метод восстановления.

И поскольку программы-вымогатели могут в некоторых (к счастью, нечастых) случаях даже зашифровать ваши резервные копии, вам необходимо понимать и планировать надежное решение, позволяющее выполнять восстановление. Обычно это означает автоматическое ежедневное резервное копирование и периодическое создание автономных копий вне досягаемости программ-вымогателей.

Восстановление после программ-вымогателей

Безусловно, самым простым, быстрым и надежным решением для восстановления файлов, зашифрованных программой-вымогателем, является их восстановление из резервной копии, созданной до того, как программа-вымогатель завладела. Вы восстанавливаете резервную копию всей вашей машины до состояния, которое было до заражения, и создается впечатление, что вымогателя никогда не было.

Надеюсь, после восстановления вы будете знать, что не следует делать то, что изначально вызвало заражение.

Если у вас нет полной резервной копии образа вашей машины, но у вас есть резервная копия ваших данных, восстановление возможно, хотя и немного больше.Рекомендую:

• Сделайте резервную копию образа зараженной машины. Это сделано для того, чтобы сохранить копию машины в ее текущем состоянии на случай, если в будущем потребуется восстановить что-то с нее.
• Протрите машину и установите Windows с нуля.
• Устанавливайте приложения с нуля.
• Восстановите ваши данные.

Если у вас нет резервной копии ваших данных, дела обстоят гораздо хуже.

Расшифровка файлов, зашифрованных программами-вымогателями

Не существует волшебного решения для расшифровки сильно зашифрованного файла.Если вы не найдете ключ дешифрования в сервисе вроде No More Ransom, то вам сильно не повезло.

Отсюда остается главный вопрос: стоит ли платить?

Во-первых, давайте проясним: это преступников , с которыми вы думаете разобраться. Нет никаких гарантий, что они выполнят платеж, если вы решите произвести платеж. Это может быть эквивалентом того, что вы просто выбрасываете деньги.

Или… он может восстановить ваши файлы.

Только вы можете решить, платить преступникам выкуп или нет.

Моя позиция: нет. Это только поощряет их преступную деятельность и подвергает еще больше людей риску обнаружить свои файлы зашифрованными с помощью программ-вымогателей.

Вместо этого учитесь на собственном опыте. Самое главное, начнет резервное копирование , чтобы этого больше никогда с вами не повторилось.

Медленный компьютер?

Ускорьтесь с моим специальным отчетом: 10 причин, по которым ваш компьютер работает медленно , теперь обновлено для Windows 10.

СЕЙЧАС: назовите свою цену! Вы сами решаете, сколько платить — и да, это означает, что вы можете получить этот отчет совершенно бесплатно , если захотите.Получите свою копию прямо сейчас!

Как восстановить и предотвратить атаку

Представьте себе это.

Поздний вечер. Может быть, вы открыли свой ноутбук, чтобы проверить электронную почту «в последний раз». Только на этот раз что-то не так.

Это медленно. Файлы не открываются. Вы получаете такие сообщения об ошибках, как «неизвестный тип файла» на вашем компьютере с Windows или, если вы пользователь Mac, «нет связанного приложения». Или, может быть, вы уже полностью заблокированы.

Затем звонит телефон.Это ваша ИТ-команда, и вы слышите слова, которые надеялись и молили богам ИТ, чтобы они не слышали: «Нас взломали».

Вы снова смотрите на свой ноутбук, а там он черно-белый (и обычно красный).

Вы были заражены программой-вымогателем. У тебя много компании.

Этот пост был первоначально опубликован в апреле 2019 года и обновлен в октябре 2020 года. К сожалению, с тех пор программы-вымогатели стали только более распространенными. Мы обновили сообщение, чтобы отразить текущее состояние программ-вымогателей и помочь частным лицам и компаниям защитить свои данные.

В 2020 году Центр жалоб на Интернет-преступления ФБР получил 2474 жалобы на вымогателей, и это только те, о которых было сообщено. Cybersecurity Ventures ожидает, что предприятия будут становиться жертвами атак программ-вымогателей каждые 11 секунд в 2021 году, по сравнению с каждыми 14 секундами в 2019 году и каждые 40 секунд в 2016 году.

Число атак программ-вымогателей растет, и в последние годы они становятся все более опасными. Атака на корпоративные сети с шифрованием конфиденциальной информации может стоить предприятиям сотни тысяч или даже миллионы долларов.В 2020 году общее количество глобальных отчетов о вымогателях увеличилось на 485% по сравнению с прошлым годом, согласно последнему отчету Bitdefender о ландшафте угроз за 2020 год.

Тенденция усугубляется тем, что все больше людей работают удаленно, поскольку глобальная пандемия продолжает изменять бизнес-среду, а киберпреступники извлекают выгоду из возможности атаковать пользователей, работающих за пределами корпоративного брандмауэра. Рост числа мошенничества и попыток фишинга на всех платформах показал, что злоумышленники использовали проблемы, связанные с COVID-19, для использования страха и дезинформации.Bitdefender отметил, что в первой половине 2020 года атаки были сосредоточены на обмене сообщениями, связанными с COVID-19, а во второй половине они перешли на имитацию банковских услуг, услуг доставки и путешествий.

Суммы выкупа также достигают новых высот. Попытки достигли 50 миллионов долларов — это самая крупная попытка выкупа за всю историю. Из-за астрономических требований многие компании говорили: «Достаточно, достаточно» и отказывались производить платежи к концу 2020 года. В ежеквартальном отчете Coveware о программах-вымогателях за 4 квартал 2020 года отмечается, что средние платежи снизились на 34% до 154 108 долларов с 233 817 долларов в третьем квартале 2020 года.Они связывают это снижение с подрывом уверенности в том, что хакеры действительно удалят конфиденциальные данные, и многие отчеты о данных публикуются после совершения платежей.

Программа-вымогатель поражает все отрасли, от технологий до здравоохранения, от нефти и газа до высшего образования. По данным Coveware, даже во время глобальной пандемии в четвертом квартале 2020 года сектор здравоохранения был наиболее распространенной отраслью, на которую ориентировались программы-вымогатели, за которыми следовали профессиональные услуги и государственный сектор. Так что, если есть какие-либо ожидания, что бизнес-миссия или услуга для мира могут отпугнуть злоумышленников, это предположение следует оставить в прошлом.

Программа-вымогатель продолжает оставаться серьезной угрозой для предприятий во всех секторах, причем некоторые области особенно сильно пострадали, особенно в сфере образования и здравоохранения. Согласно отчету Emsisoft, поставщика решений безопасности, в 2020 году от программ-вымогателей пострадали 1681 школа, а также 560 медицинских учреждений.

В марте 2021 года злоумышленники потребовали астрономические 40 миллионов долларов от государственных школ округа Бровард, шестого по величине школьного округа страны.В августе и сентябре 2020 года 57% атак с использованием программ-вымогателей, о которых было сообщено в федеральный Межгосударственный центр обмена и анализа информации, касались школ, по сравнению с 28% всех зарегистрированных инцидентов с использованием программ-вымогателей с января по июль.

Сектор образования оставляет желать лучшего для хакеров, особенно в прошлом году — школы с ограниченными бюджетами и устаревшим ИТ-оборудованием вступили в беспрецедентный год дистанционного обучения, основанного на ИТ. Школы также хранят конфиденциальную информацию об учащихся, которую они обязаны защищать, что делает их более склонными платить выкуп, а не публиковать свои данные.

В сфере здравоохранения с 2016 года было совершено 270 атак с использованием программ-вымогателей, направленных на 2100 клиник, больниц и других предприятий, связанных со здравоохранением, с приблизительной общей стоимостью в 31 миллион долларов.

Нападения на здравоохранение и государственный сектор создают угрозы для жизни. «Тот факт, что в прошлом году в США не было смертей, связанных с программами-вымогателями, объясняется просто удачей», — сказал в своем отчете технический директор Emsisoft Фабиан Восар. «Необходимо укрепить безопасность во всем государственном секторе, прежде чем удача закончится и человеческие жизни не будут потеряны.”

Первым шагом к усилению безопасности является понимание того, как работают программы-вымогатели и как можно защитить свой бизнес или организацию от атаки. Прочтите, чтобы узнать, как защитить себя от программ-вымогателей.

Ransomware обычно распространяется через спам, фишинговые сообщения электронной почты или с помощью социальной инженерии. Кроме того, он может распространяться через веб-сайты или скачиваться автоматически, чтобы заразить конечную точку и проникнуть в сеть. Методы заражения постоянно развиваются, и существует бесчисленное множество способов заражения технологий (см. Раздел шесть «Как предотвратить атаку программ-вымогателей»).Оказавшись на месте, вымогатель блокирует все файлы, к которым он может получить доступ, с помощью надежного шифрования. Наконец, вредоносная программа требует выкупа (обычно выплачиваемого в биткойнах) для расшифровки файлов и восстановления полных операций в затронутых ИТ-системах.

Шифрование программ-вымогателей или шифровальщиков на сегодняшний день является наиболее распространенной разновидностью программ-вымогателей. Другие типы, которые могут встретиться:

• Программы-вымогатели без шифрования или блокировки экранов (ограничивает доступ к файлам и данным, но не шифрует их).
• Программа-вымогатель, которая шифрует основную загрузочную запись (MBR) диска или файловую систему NTFS от Microsoft, что предотвращает загрузку компьютеров жертв в среде операционной системы.
• Утечка или вымогательское ПО (крадет компрометирующие или повреждающие данные, которые злоумышленники затем угрожают выпустить, если не будет уплачен выкуп).
• Программа-вымогатель для мобильных устройств (заражает сотовые телефоны через скрытые загрузки или поддельные приложения).

Последние тенденции вредоносного ПО:

За последний год социальное дистанцирование заставило людей работать, делать покупки и учиться из дома способами, которые никто не мог себе представить.Этот рост активности в Интернете приводит к увеличению рисков для безопасности в Интернете, причем целевые ориентиры сосредоточены на правительственных учреждениях и организациях здравоохранения. Несмотря на то, что эти учреждения необходимы во время пандемии, киберпреступников это не отпугнет. Они продолжают развивать свою стратегию и методы атаки, концентрируясь на областях, которые обеспечивают максимальную отдачу при минимальных усилиях.

Сегодня, с появлением программы-вымогателя как услуги (RaaS), киберпреступникам даже не нужно быть очень смекалистыми, чтобы провести атаку.Они могут покупать партнерское программное обеспечение в темной сети, где разработчик получает долю прибыли. Олег Скулкин, ведущий специалист по цифровой криминалистике в компании Group-IB, занимающейся кибербезопасностью, поделился с ZDNet, что «партнерские программы делают этот вид атак более привлекательным для киберпреступников. Огромная популярность таких атак сделала почти каждую компанию, независимо от ее размера и отрасли, потенциальной жертвой ».

Не должно быть вопроса: «Когда произойдет следующая атака с использованием программ-вымогателей?» а скорее: «Была ли брешь уже сегодня?» При отсутствии признаков того, что атаки программ-вымогателей замедляются, лучше быть чрезмерно подготовленными, когда дело доходит до ИТ-безопасности, а важность резервного копирования и безопасности должна стать обычной практикой как для больших, так и для малых организаций.

шагов при типичной атаке программ-вымогателей

Типичные шаги атаки программ-вымогателей:

1. Заражение: после доставки в систему через вложение электронной почты, фишинговое письмо, зараженное приложение или другим способом программа-вымогатель устанавливает себя на конечную точку и любые сетевые устройства, к которым она имеет доступ.

2. Безопасный обмен ключами: программа-вымогатель связывается с сервером управления и контроля, управляемым киберпреступниками, стоящими за атакой, для генерации криптографических ключей, которые будут использоваться в локальной системе.

3. Шифрование: программа-вымогатель начинает шифрование любых файлов, которые может найти на локальных машинах и в сети.

4. Вымогательство. После завершения работы по шифрованию программа-вымогатель отображает инструкции по вымогательству и выплате выкупа, угрожая уничтожением данных, если платеж не будет произведен.

5. Разблокировка: организации могут либо заплатить выкуп и надеяться, что киберпреступники действительно расшифруют затронутые файлы, либо они могут попытаться восстановить, удалив зараженные файлы и системы из сети и восстановив данные из чистых резервных копий. К сожалению, переговоры с киберпреступниками часто проигрывают, поскольку недавний отчет показал, что 42% организаций, заплативших выкуп, не смогли расшифровать свои файлы.

Кто подвергнется нападению?

Атаки программ-вымогателей нацелены на компании любого размера — атаковано 5% или более предприятий в 10 ведущих отраслевых секторах, и любой крупный бизнес, от малого и среднего бизнеса до предприятий, не застрахован. Количество атак растет во всех секторах и во всех масштабах бизнеса.

Кроме того, попытка фишинга, направленная на Всемирную организацию здравоохранения (ВОЗ), хотя и безуспешная, доказывает, что злоумышленники не проявляют никакого чувства «выходящих за рамки» целей, когда дело доходит до выбора своих жертв.Эти попытки указывают на то, что организациям, которые часто имеют более слабые средства контроля и устаревшие или несложные ИТ-системы, следует проявлять особую осторожность, чтобы защитить себя и свои данные.

США занимают первое место по количеству атак с использованием программ-вымогателей, за ними следуют Германия, а затем Франция. Компьютеры Windows являются основными целями, но штаммы вымогателей существуют также для Macintosh и Linux.

К сожалению, правда заключается в том, что программы-вымогатели стали настолько распространенными, что для большинства компаний можно с уверенностью сказать, что они будут в той или иной степени подвержены атакам программ-вымогателей или вредоносных программ.Лучшее, что они могут сделать, — это подготовиться и понять, как минимизировать воздействие программ-вымогателей.

«Программы-вымогатели больше предназначены для манипулирования уязвимостями человеческой психологии, чем с технологической изощренностью противника». — Джеймс Скотт, Институт технологий критической инфраструктуры

Фишинговые электронные письма, вредоносные вложения в сообщениях электронной почты и посещение взломанных веб-сайтов были обычными средствами заражения (мы писали о фишинге в «10 основных способах защиты от фишинговых атак»), но в последнее время стали более распространенными другие методы. Слабые места в блоке сообщений сервера (SMB) и протоколе удаленного рабочего стола (RDP) Microsoft позволили распространиться криптовалютам. Настольные приложения — в одном случае бухгалтерский пакет — и даже Microsoft Office (Microsoft Dynamic Data Exchange (DDE)) также были агентами заражения.

Недавние штаммы программ-вымогателей, такие как Petya, CryptoLocker и WannaCry, включают в себя червей, которые распространяются по сетям, получив прозвище «криптовалюты».

Итак, вы подверглись атаке программы-вымогателя.Что делать дальше?

• 1. Изолируйте инфекцию. Предотвратите распространение инфекции, отделив все зараженные компьютеры друг от друга, общего хранилища и сети.
• 2. Определите инфекцию: по сообщениям, уликам на компьютере и средствам идентификации определите, с какой вредоносной программой вы имеете дело.
• 3. Отчет: Сообщите властям о поддержке и координации мер по противодействию атаке.
• 4.Определите свои варианты: у вас есть несколько способов справиться с инфекцией. Определите, какой подход лучше всего подходит для вас.
• 5. Восстановление и обновление. Используйте безопасные резервные копии, а также программы и источники программного обеспечения, чтобы восстановить свой компьютер или оснастить новую платформу.
• 6. Планируйте предотвращение повторения: оцените, как произошло заражение, и что вы можете сделать, чтобы принять меры, которые предотвратят его повторение.

1.Изолировать инфекцию

Скорость и скорость обнаружения программ-вымогателей критически важны для борьбы с быстро распространяющимися атаками, прежде чем они успеют распространиться по сети и зашифровать важные данные.

Первое, что нужно сделать при подозрении на заражение компьютера, — это изолировать его от других компьютеров и запоминающих устройств. Отключите его от сети (как проводной, так и Wi-Fi) и от любых внешних запоминающих устройств. Крипто-черви активно ищут соединения и другие компьютеры, поэтому вы хотите предотвратить это.Вы также не хотите, чтобы программа-вымогатель обменивалась данными по сети со своим центром управления и контроля.

Имейте в виду, что может быть больше, чем один нулевой пациент , а это означает, что программа-вымогатель могла проникнуть в вашу организацию или дом через несколько компьютеров или может быть неактивной и еще не проявлять себя в некоторых системах. Относитесь ко всем подключенным и подключенным к сети компьютерам с подозрением и принимайте меры, чтобы гарантировать, что все системы не заражены.

2. Определите инфекцию

Чаще всего программа-вымогатель идентифицирует себя, когда запрашивает выкуп.Существует множество сайтов, которые помогают идентифицировать программы-вымогатели, в том числе ID Ransomware. Нет больше выкупа! Project предоставляет крипто-шерифа для выявления программ-вымогателей.

Идентификация программы-вымогателя поможет вам понять, какой тип программы-вымогателя у вас есть, как она распространяется, какие типы файлов шифрует и, возможно, какие у вас есть варианты удаления и лечения. Это также позволит вам сообщить об атаке властям, что рекомендуется.

3. Сообщить властям

Вы окажете всем услугу, сообщив властям обо всех атаках с использованием программ-вымогателей.ФБР призывает жертв программ-вымогателей сообщать об инцидентах с программами-вымогателями независимо от результата. Сообщения о жертвах позволяют правоохранительным органам лучше понять угрозу, обосновать расследование программ-вымогателей и внести соответствующую информацию в текущие дела о программах-вымогателях. Более подробная информация о жертвах и их опыте работы с программами-вымогателями поможет ФБР определить, кто стоит за атаками и как они выявляют жертв или нацелены на них.

Вы можете отправить отчет в ФБР в Центр жалоб на Интернет-преступления.

Есть и другие способы сообщить о программах-вымогателях.

4. Определитесь с вашими вариантами

Ваши варианты при заражении программой-вымогателем:

• Чтобы заплатить выкуп.
• Чтобы попытаться удалить вредоносную программу.
• Чтобы стереть систему (ы) и переустановить с нуля.

Обычно считается плохой идеей платить выкуп. Выплата выкупа способствует увеличению количества программ-вымогателей, и во многих случаях разблокировка зашифрованных файлов оказывается неудачной.

В ходе недавнего опроса более трех четвертей респондентов заявили, что их организация вряд ли заплатит выкуп за восстановление их данных (77%). Лишь незначительное меньшинство заявило, что они готовы заплатить некоторый выкуп (3% компаний уже создали учетную запись Биткойн в процессе подготовки).

Даже если вы решите заплатить, вполне возможно, что вы не получите обратно свои данные.

Осталось два других варианта: удаление вредоносного ПО и выборочное восстановление системы или удаление всего и установка с нуля.

5. Восстановите или начните заново

У вас есть выбор: попытаться удалить вредоносное ПО из ваших систем или стереть ваши системы и переустановить из безопасных резервных копий и чистых источников ОС и приложений.

Избавьтесь от инфекции

Существуют интернет-сайты и программные пакеты, которые утверждают, что могут удалять программы-вымогатели из систем. Нет больше выкупа! Проект один. Могут быть найдены и другие варианты.

Вопрос о том, можно ли успешно и полностью удалить инфекцию, остается предметом обсуждения.Не существует рабочего дешифратора для всех известных программ-вымогателей, и, к сожалению, верно, что чем новее программа-вымогатель, тем сложнее она может быть и тем меньше времени у хороших парней на разработку дешифратора.

Лучше всего полностью стереть все системы

Самый надежный способ убедиться, что вредоносные программы или программы-вымогатели были удалены из системы, — это выполнить полную очистку всех устройств хранения и переустановить все с нуля. Форматирование жестких дисков в вашей системе гарантирует, что не останется никаких остатков вредоносного ПО.

Если вы следовали надежной стратегии резервного копирования, у вас должны быть копии всех ваших документов, носителей и важных файлов до момента заражения.

Обязательно определите дату заражения, а также по датам файлов вредоносных программ, сообщениям и другой обнаруженной вами информации о том, как работает ваша конкретная вредоносная программа. Учтите, что инфекция могла бездействовать в вашей системе какое-то время, прежде чем она активировалась и внесла существенные изменения в вашу систему.Выявление и изучение конкретной вредоносной программы, атаковавшей ваши системы, позволит вам понять, как эта вредоносная программа функционирует, и какой должна быть ваша лучшая стратегия восстановления ваших систем.

Выберите резервную копию или резервные копии, которые были сделаны до даты первоначального заражения программой-вымогателем. С помощью расширенной истории версий вы можете вернуться во времени и указать дату, до которой вы хотите восстановить файлы.

Если вы следовали хорошей политике резервного копирования как с локальным, так и с удаленным резервным копированием, вы должны иметь возможность использовать резервные копии, которые, как вы уверены, не были подключены к вашей сети после атаки и, следовательно, защищены от заражения. Диски резервного копирования, которые были полностью отключены, должны быть в безопасности, как и файлы, хранящиеся в облаке.

Восстановление системы — не лучшая стратегия борьбы с программами-вымогателями и вредоносными программами

У вас может возникнуть соблазн использовать точку восстановления системы, чтобы восстановить работоспособность вашей системы. Восстановление системы не является хорошим решением для удаления вирусов или других вредоносных программ. Поскольку вредоносное ПО обычно зарыто во всевозможных местах системы, вы не можете рассчитывать на то, что восстановление системы сможет искоренить все части вредоносного ПО.Кроме того, восстановление системы не сохраняет старые копии ваших личных файлов как часть своего моментального снимка. Он также не удалит и не заменит какие-либо ваши личные файлы при выполнении восстановления, поэтому не рассчитывайте, что восстановление системы работает как резервная копия. У вас всегда должна быть хорошая процедура резервного копирования для всех ваших личных файлов.

Локальные резервные копии также могут быть зашифрованы с помощью программ-вымогателей. Если ваше решение для резервного копирования является локальным и подключено к компьютеру, на котором установлена ​​программа-вымогатель, велика вероятность, что ваши резервные копии будут зашифрованы вместе с остальными вашими данными.

С помощью хорошего решения для резервного копирования, изолированного от ваших локальных компьютеров, вы можете легко получить файлы, необходимые для восстановления работы вашей системы. Вы можете гибко определять, какие файлы восстанавливать, с какой даты вы хотите восстанавливать и как получить файлы, необходимые для восстановления вашей системы.

Вам потребуется переустановить операционную систему и программное обеспечение с исходного носителя или из Интернета. Если вы правильно управляли своей учетной записью и учетными данными программного обеспечения, у вас должна быть возможность повторно активировать учетные записи для приложений, которым это необходимо. Если вы используете менеджер паролей для хранения номеров ваших учетных записей, имен пользователей, паролей и другой важной информации, вы можете получить доступ к этой информации через их веб-интерфейс или мобильные приложения. Вам просто нужно быть уверенным, что вы все еще знаете свое главное имя пользователя и пароль, чтобы получить доступ к этим программам.

«Программы-вымогатели находятся на беспрецедентном уровне и требуют международного расследования» — Европейское полицейское агентство EuroPol

Атака программы-вымогателя может иметь разрушительные последствия для дома или бизнеса.Ценные и незаменимые файлы могут быть потеряны, и могут потребоваться десятки или даже сотни часов усилий, чтобы избавиться от инфекции и восстановить работу систем.

Атаки программ-вымогателей продолжают развиваться, а методы атак становятся все более изощренными. Вы не обязаны участвовать в статистике. При правильном планировании и разумных методах вы можете предотвратить заражение ваших систем программами-вымогателями.

Ноу-хау вирусы проникают в ваше рабочее место и компьютер

Чтобы подготовиться, вам необходимо знать, как программы-вымогатели могут проникнуть в вашу систему.Эти методы получения доступа к вашим системам известны как векторы атак.

Векторы атак можно разделить на два типа: векторы атаки человека и векторы атаки машины.

Векторы атак человека

Часто вирусам требуется помощь человека, чтобы проникнуть в компьютеры, поэтому они используют так называемую социальную инженерию. В контексте информационной безопасности социальная инженерия — это использование обмана для манипулирования людьми с целью разглашения конфиденциальной или личной информации, которая может быть использована в мошеннических целях.Другими словами, людей можно обмануть, заставив отказаться от информации, которую они в противном случае не разглашали бы.

Распространенные векторы атак на человека включают:

1. Фишинг

Phishing использует поддельные электронные письма, чтобы обманом заставить людей щелкнуть ссылку или открыть вложение, содержащее вредоносное ПО. Электронное письмо может быть отправлено одному или нескольким сотрудникам организации. Иногда электронные письма предназначены для того, чтобы они казались более убедительными. Злоумышленники находят время, чтобы исследовать отдельные цели и предприятия, чтобы их электронная почта выглядела законной.Отправитель может быть выдуман из-за того, что он известен получателю или является предметом, имеющим отношение к работе получателя. При такой персонализации этот метод известен как целевой фишинг. Подробнее об этом типе вектора атаки читайте в нашем посте «10 лучших способов защиты от фишинговых атак».

2. SMSishing

SMSishing использует текстовые сообщения, чтобы заставить получателей перейти на сайт или ввести личную информацию на своем устройстве. Обычные подходы используют сообщения аутентификации или сообщения, которые кажутся от поставщика финансовых или других услуг.Некоторые программы-вымогатели с помощью SMS-рассылки пытаются распространиться, рассылая себя всем контактам в списке контактов устройства.

3. Вишинг

Подобно электронной почте и SMS, Вишинг использует голосовую почту для обмана жертвы. Получатель голосовой почты получает указание позвонить на номер, который часто подделывают, чтобы он выглядел законным. Если жертва звонит по номеру, она предпринимает ряд действий, чтобы исправить какую-то надуманную проблему. В инструкции содержится указание жертве установить вредоносное ПО на свой компьютер.Киберпреступники могут выглядеть профессиональными и использовать звуковые эффекты и другие средства, чтобы выглядеть законными. Подобно целевому фишингу, вишинг может быть нацелен на человека или компанию с использованием информации, собранной киберпреступниками.

4. Социальные сети

Социальные сети могут быть мощным средством убедить жертву открыть загруженное изображение с сайта социальной сети или предпринять другие компрометирующие действия. Носителем может быть музыка, видео или другой активный контент, который после открытия заражает систему пользователя.

5. Обмен мгновенными сообщениями

Клиенты обмена мгновенными сообщениями могут быть взломаны киберпреступниками и использованы для распространения вредоносных программ по списку контактов жертвы. Этот метод был одним из методов распространения программы-вымогателя Locky среди ничего не подозревающих получателей.

Векторы машинной атаки

Другой тип вектора атаки — машина к машине. В некоторой степени вовлечены люди, поскольку они могут способствовать атаке, посетив веб-сайт или используя компьютер, но процесс атаки автоматизирован и не требует явного вмешательства человека для вторжения на ваш компьютер или сеть.

1. Подъезд

Drive-by получил это прозвище, потому что все, что нужно жертве, чтобы заразиться, — это открыть веб-страницу с вредоносным кодом в изображении или активном содержимом.

2. Уязвимости системы

Киберпреступники изучают уязвимости конкретных систем и используют эти уязвимости для взлома и установки программ-вымогателей на машину. Чаще всего это происходит с системами, в которых не установлены последние версии безопасности.

3. Вредоносная реклама

Вредоносная реклама похожа на проезжающие мимо машины, но использует рекламу для доставки вредоносного ПО. Эти объявления могут быть размещены в поисковых системах или популярных социальных сетях, чтобы охватить большую аудиторию. Обычным хостом вредоносной рекламы являются сайты только для взрослых.

4. Распространение сети

Как бы то ни было, программа-вымогатель попадает в систему, после чего она может сканировать общие файловые ресурсы и доступные компьютеры и распространяться по сети или общей системе.Компании без надлежащей защиты могут также заразить файловый сервер своей компании и другие общие сетевые ресурсы. Оттуда вредоносное ПО будет распространяться как можно дальше, пока не закончит доступ к доступным системам или не встретит барьеры безопасности.

5. Распространение через общие службы

Интернет-службы, такие как службы обмена файлами или синхронизации, могут использоваться для распространения программ-вымогателей. Если программа-вымогатель попадает в общую папку на домашнем компьютере, заражение может быть передано в офис или на другие подключенные машины.Если служба настроена на автоматическую синхронизацию при добавлении или изменении файлов, как многие службы обмена файлами, то вредоносный вирус может широко распространяться всего за миллисекунды.

Важно соблюдать осторожность и учитывать настройки, которые вы используете для систем, которые автоматически синхронизируются, и проявлять осторожность при обмене файлами с другими, если вы точно не знаете, откуда они.

Эксперты по безопасности предлагают несколько мер предосторожности для предотвращения атаки программ-вымогателей.

• 1. Используйте антивирусное и антивирусное программное обеспечение или другие политики безопасности, чтобы заблокировать запуск известных полезных данных.
• 2. Часто создавайте комплексные резервные копии всех важных файлов и изолируйте их от локальных и открытых сетей.
• 3. Неизменяемые параметры резервного копирования, такие как Object Lock, предлагают пользователям способ поддерживать резервные копии по-настоящему без пропусков. Данные фиксированы, неизменны и не могут быть удалены в течение периода времени, установленного конечным пользователем.Установив неизменяемость критически важных данных, вы можете быстро восстановить незараженные данные из неизменяемых резервных копий, развернуть их и вернуться в бизнес без перебоев.
Функция блокировки объектов для резервных копий позволяет хранить объекты с использованием модели «один раз записать, много читать» (WORM), то есть после записи данные не могут быть изменены. Используя Object Lock, никто не может зашифровать, подделать или удалить ваши защищенные данные в течение определенного периода времени, создавая прочную линию защиты от атак программ-вымогателей.
• 4. Храните автономные резервные копии данных, хранящихся в местах, недоступных для потенциально зараженных компьютеров, таких как отключенные внешние накопители или облако, что предотвращает доступ к ним программ-вымогателей.
• 5. Установите последние обновления безопасности, выпущенные поставщиками программного обеспечения для вашей ОС и приложений. Не забывайте вносить исправления как можно раньше и часто исправлять, чтобы закрыть известные уязвимости в операционных системах, браузерах и веб-плагинах.
• 6.Рассмотрите возможность развертывания программного обеспечения безопасности для защиты конечных точек, серверов электронной почты и сетевых систем от заражения.
• 7. Соблюдайте кибергигиену, например будьте осторожны при открытии вложений и ссылок в сообщениях электронной почты.
• 8. Сегментируйте свои сети, чтобы изолировать критически важные компьютеры и предотвратить распространение вредоносных программ в случае атаки. Отключите ненужные сетевые ресурсы.
• 9. Отключите права администратора для пользователей, которым они не требуются. Предоставьте пользователям минимальные системные разрешения, необходимые им для работы.
• 10. Максимально ограничьте права на запись на файловых серверах.
• 11. Обучите себя, своих сотрудников и членов своей семьи передовым методам предотвращения проникновения вредоносных программ в ваши системы. Сообщите всем о последних фишинговых атаках по электронной почте и инженерных разработках, направленных на превращение жертв в пособников.

Очевидно, что лучший способ ответить на атаку программы-вымогателя — это вообще не иметь такой атаки. Кроме того, если вы убедитесь, что ваши ценные данные защищены и недоступны для заражения программами-вымогателями, время простоя и потеря данных будут минимальными или отсутствием вообще, если вы когда-либо подвергнетесь атаке.

Вы подверглись атаке программы-вымогателя или у вас есть стратегия, чтобы не стать жертвой? Сообщите нам об этом в комментариях.

CryptoLocker Virus: «Ваши личные файлы зашифрованы!» Руководство по удалению

Что такое CryptoLocker?

Сентябрь 2013 г. оказался плодотворным и прибыльным для одного из синдикатов киберпреступников, но по-настоящему тревожным для частных пользователей и организаций, находящихся на другой стороне поля битвы за ИТ-безопасность.Причина — запуск опасной компьютерной инфекции, известной как CryptoLocker, которая по серьезности и последствиям для зараженных компьютеров превзошла типичную программу-вымогатель «Police», доминирующую в то время в сфере вымогательства.

В то время как обычные шкафчики экрана поддаются удалению и полному восстановлению зараженной системы с помощью специальной процедуры, CryptoLocker шифрует файлы пользователей и не позволяет восстановить их, если не будет уплачена определенная сумма денег. Кроме того, в отличие от программ-вымогателей, которые пытаются замаскироваться под что-то законное, этот тип вредоносного ПО действует напрямую на жертву и никоим образом не скрывает своего истинного вымогательства.Он шифрует ваши личные файлы с помощью асимметричного шифрования, что означает, что в процессе дешифрования используются открытый и закрытый ключи, причем последний хранится на удаленном сервере злоумышленников.

Для того, чтобы пользователи могли расшифровать свои файлы, им нужно было заплатить комиссию в размере 100-300 долларов через биткойны (самый дешевый вариант согласно уведомлению мошенников). Более новые версии могут потребовать криптовалюты на сумму до 1000 долларов. Оплата должна быть произведена в течение 96 часов, в противном случае все зашифрованные файлы будут потеряны.Обратите внимание, что исходная версия вымогателя дополнительно принимала платежи через Green Dot MoneyPak (только для США), Ukash или cashU — очевидно, это был какой-то неубедительный OPSEC, и мошенники в конечном итоге исключили эти легко отслеживаемые каналы из своих методов работы.

На заре своего существования CryptoLocker, как было известно, распространялся посредством рассылки электронных писем, замаскированных под сообщения о проблемах клиентов, связанных с FedEx, DHS, UPS и т. Д. Само заражение происходило, когда ничего не подозревающий пользователь открывал прикрепленный ZIP-файл, содержащий вредоносный исполняемый файл, выглядящий так, как будто это элемент PDF.Шесть лет спустя эта хищническая программа значительно расширила сферу своей деятельности за счет использования большего количества шаблонов фишинговых писем, а также использования наборов эксплойтов для распространения.

Варианты CryptoLocker

Хотя сейчас, в 2019 году, вышеперечисленные моменты кажутся отголоском из далекого прошлого, CryptoLocker все еще жив и работает, превратившись в современную угрозу, вмещающую первоклассный вредоносный инструментарий. Он существует в нескольких различных воплощениях, некоторые из которых являются копиями знаменитого прародителя, в то время как другие могут быть дополнительными продуктами, распространяемыми на основе RaaS (Ransomware-as-a-Service).Вот список широко распространенных вариантов CryptoLocker, обнаруженных на сегодняшний день:

• Crypt0L0cker — добавляет расширение .encrypted или .enc к зашифрованным данным, отбрасывает записку о выкупе с именем HOW_TO_RESTORE_FILES.txt
• CryptoLocker-v3 — использует расширение .crypted для маркировки файлов заложников
• Cryptographic Locker — объединяет строку .clf с именами файлов
• PCLock — не переименовывает файлы, создает записку о выкупе с именем last_chance.txt или Ваши файлы заблокированы !!!. txt
• CryptoTorLocker2015 — добавлен суффикс .CryptoTorLocker2015 к затронутым файлам, удалено КАК РАСШИФРОВАТЬ FILES.txt примечание о спасении на рабочем столе
• Crypt0 — использует расширение файла ._crypt0 и HELP_DECRYPT.txt руководство по выкупу
• Cryptolocker3 — использует криптографический алгоритм XOR, окрашивает имена файлов с помощью .cryptolocker расширение
• CryptoLocker 5.1 — добавляет хвост .locked к именам файлов, требует 250 евро биткойнов для восстановления в течение 48-часового срока
• MNS Cryptolocker — заменяет обои рабочего стола запиской о выкупе с требованием 0,2 BTC и указанием жертве связаться с вымогателями по адресу [email protected]
• CryptoLocker EU — имеет российские корни, использует самоочевидное .отправить 0,3 BTC crypt , расширение файла
• CryptON — нацелена на португалоговорящих пользователей, бросает записку с требованием выкупа под названием COMO_ABRIR_ARQUIVOS.txt

Большинство этих персонажей CryptoLocker имеют похожий или идентичный стиль окна предупреждений, что позволяет злоумышленникам отдать дань уважения печально известному прототипу всех современных программ-вымогателей для шифрования файлов. Некоторые побочные продукты выглядят и работают по-другому, указывая имя прародителя в своих предупреждениях, как в случае с вышеупомянутой версией PCLock, показанной ниже.

 !!! Ваши файлы зашифрованы !!! ♦ ваши файлы заблокированы с помощью самого надежного алгоритма криптографии ♦
♦ невозможно расшифровать ваши файлы, не заплатив и не купив инструмент дешифрования ♦
♦ но после 48 часов расшифровки цена будет вдвое больше ♦
♦ вы можете отправить несколько небольших файлов для проверки расшифровки ♦
♦ тестовый файл не должен содержать ценных данных ♦
♦ после оплаты вы получаете инструмент для расшифровки (оплата должна быть биткойнами) ♦
♦ поэтому, если вы хотите, чтобы ваши файлы не стеснялись, свяжитесь с нами и договоритесь о цене ♦
♦ !!! или Удалите файлы, если они вам не нужны !!! ♦ Ваш ID: GY0ZUXN421RIA6D
наш адрес электронной почты: EnceryptedFiles @ tutanota.ком
В случае отсутствия ответа: [email protected]