Шифровальщик вирус что это: Что представляют собой вирусы-шифровальщики

Содержание

Что представляют собой вирусы-шифровальщики

Если ваш компьютер заражен вирусом шифровальщиком, вам необходимо произвести переустановку Windows.

Это позволит полностью удалить вирус шифровальщик на вашем компьютере.

Наши компьютерные мастера могут произвести переустановку Windows в Уфе и попытаться восстановить зашифрованные файлы

Звоните 8-927-237-48-09

Вирусы-шифровальщики, или по другому их еще называют — криптографические вирусы — особый вид программного обеспечения, который осуществляет шифрование всех файлов на жестком диске. Что подразумевается под словом «шифрование»? При шифровании все файлы превращаются в набор нулей и единиц, то есть представляют собой бессмысленный набор информации, который невозможно открыть ни одной программой.

Это означает, что после шифрования, все файлы Word, Excel и прочие рабочие документы будет невозможно открыть и получить к ним доступ. А если в этих файлах находится ваша курсовая работа, которую вы так старательно выполняли в течении всего месяца? Возмущения от шифрования ваших данных не будет предела, скажу я вам. А если учесть, что большинство студентов хранит свои работы в чаще в одном экземпляре — на рабочем компьютере, то после шифрования жесткого диска того самого рабочего компьютера, студент теряет все наработки по документам. Не спорю, может повезти, если копия курсовой осталась на флешке, однако, есть еще весьма хитрый факт работы вирусов шифровальщиков.

Как и любой вирус, функции, который он выполняет — зависят напрямую от разработчика этого вируса. Что я имею ввиду под функциями? Приведу пример.

После шифрования жесткого диска и всех файлов на нем — вирус сразу не выдает себя. То есть, вы спокойно продолжаете открывать все свои документы и изменять их. При этом, во время правки — вы пользуетесь флешкой, на которой эти документы также есть. Что делает в этом случае вирус-шифровальщик? Вирус отслеживает все устройства, которые вы подсоединяете к USB портам: флешки, медиа-устройства — и постепенно шифрует на них информацию. После некоторого времени, вирус активизируется и блокирует доступ ко всем файлам на компьютере, в том числе успев зашифровать данные и на ваших флешках.

Что имеем в данном случае? Все ваши документы, курсовые, ДИПЛОМНЫЕ РАБОТЫ, и прочие документы — зашифрованы и к ним нет доступа.

Что же делать, чтобы не поймать вирус-шифровальщик?

Ответ весьма прост — включать свою голову и не открывать подряд все файлы. Еще может помочь установка антивируса. Но нужно учесть обязательный факт, что антивирус должен постоянно обновляться. Это очень важный момент, так как любой антивирус, который не обновляется — теряет свою актуальность.

Разновидностью вируса-шифровальщика можно представить на примере наиболее популярного его вида — сомалийские пираты. У разработчика вируса-шифровальщика есть чувство юмора, когда вирус шифрует все данные, на рабочем столе появляется фото, на котором изображены современные пираты на лодке и сообщение, которое гласит о том, что сомалийские пираты захватили вашу яхту — компьютер. И не отдадут вам файлы, пока вы не оплатите им выкуп. Выкуп оплачивается при помощи популярных платежных систем.

Сразу скажу — платить не нужно. Большая вероятность, что имеется возможность расшифровать файлы. Расшифровка может произойти в том случае, если вирус-шифровальщик старой версии. Это значит, что антивирусные компании уже нашли способ расшифровать файлы, которые были зашифрованы этим вирусом.

Что нужно делать, если файлы зашифрованы вирусом

Первым делом, заходим на сайт антивирусной компании Doctor Web. Данная компания часто выкладывает в открытый доступ специальные утилиты, которые позволяют расшифровать файлы. Но есть одно но. Нужно обязательно иметь лицензию на антивирус Doctor Web, тогда сотрудники данной компании вышлют вам данную утилиту. Но, как я уже говорил, часто эти утилиты находятся в открытом доступе на сайте антивирусной компании Doctor Web, где вы можете их скачать и попытаться расшифровать свои файлы.

Почему именно «попытаться расшифровать»?

Потому что новые версии вирусов-шифровальщиков, шифруют файлы по особому алгоритму, который часто не поддаются расшифровке. Что делать в этом случае? В этом случае необходимо скопировать все зашифрованные файлы на отдельный носитель: флешку, жесткий диск, DVD, CD диск. И ждать, пока антивирусные компании не разработают утилиту по расшифровке файлов, которые были зашифрованы этим вирусом.

Что делать дальше, когда все зашифрованные файлы на отдельном устройстве

После копирования зашифрованных файлов на флешку или жесткий диск, необходимо произвести полное форматирование жесткого диска компьютера и новую установку Windows. После установки Windows, необходимо установить антивирус, который будет обновляться и защищать ваши файлы от вирусов-шифровальщиков.

В этом случае, вы можете обратиться в нашу компанию по телефону 8-927-237-48-09 и воспользоваться услугами компьютерной помощи.

 

 

Шифровальщики: кто, как и зачем использует их в 2021 году

Этой весной мы во второй раз отмечаем День борьбы с шифровальщиками. Стоит признать, что именно этот вид вредоносного ПО чаще всего вспоминают, когда идет речь о киберугрозах. И не без причин — хотя кибератаки с целью вымогательства происходят давно, за прошедшие годы их характер сильно изменился. Киберпреступники стали смелее, их методы — совершеннее, а список жертв не перестает пополняться. Большинство СМИ, рассказывая о шифровальщиках, уделяют основное внимание пострадавшим от них компаниям, однако в этом отчете мы хотели бы отвлечься от актуальной новостной повестки и рассказать о том, как устроена сама экосистема преступного сообщества.

Мы начнем с разоблачения трех основных мифов, мешающих правильному пониманию феномена шифровальщиков. Затем погрузимся в глубины теневого интернета — увидим, как преступники взаимодействуют друг с другом и какие услуги предлагают. И наконец, расскажем о двух крупных операторах шифровальщиков — REvil и Babuk.

Чтобы создать этот отчет, мы проделали большую работу. Мы хотим, чтобы он помог вам защититься от киберугроз, и просим начать с простого шага: перед тем как приступить к чтению, убедитесь, что ваши данные надежно защищены с помощью резервного копирования.

Часть I. Три мифа о шифровальщиках

Миф 1: банды кибервымогателей — это автономные группировки

2020 год был отмечен ростом числа кампаний «охоты на крупную дичь» (целенаправленного вымогательства значительных сумм у компаний, способных их выплатить). Тогда же мы узнали о появлении нескольких группировок, использующих шифровальщики для проведения таких высокоприбыльных операций. Преступники обнаружили, что жертвы охотнее платят группировкам с репутацией. Чтобы никто не усомнился в их возможности восстановить зашифрованные файлы, они активно расширяют свое онлайн-присутствие, публикуют пресс-релизы, добиваясь, чтобы их имя стало известно всем потенциальным жертвам.

Кроме того, фокусируя внимание на себе, такие группы одновременно отвлекают его от стоящей за ними сложной экосистемы. Кажется, что они действуют как самостоятельные единицы, но на самом деле это лишь верхушка айсберга. В большинстве атак задействовано множество участников, которые оказывают друг другу услуги на площадках теневого интернета.

Например, владельцы бот-сетей и продавцы учетных данных

обеспечивают первоначальный доступ к целевой сети, который другие преступники (здесь мы будем называть их red team — это термин из сферы тестирования на проникновение, означающий команду атакующих испытываемую систему) используют для получения полного контроля над ней. В процессе они собирают информацию о жертве и похищают внутренние документы. Эти данные они могут передать внешним аналитикам, чтобы узнать текущие финансовые показатели жертвы и определить максимально возможную сумму выкупа. Аналитики способны добыть и другую конфиденциальную или компрометирующую информацию для более эффективного шантажа и давления на ключевых сотрудников атакуемой организации. Подготовившись к атаке, red team приобретает программу-шифровальщик у
разработчиков
в теневом интернете — как правило, в обмен на часть выкупа. Еще один возможный участник операции — упаковщик, который добавит программе дополнительные уровни защиты. Это усложнит ее обнаружение и даст преступникам время, необходимое для шифрования целой сети. Переговоры с жертвой может вести еще одна команда, а затем, когда преступники получат выкуп, им понадобятся навыки отмывания полученной криптовалюты.

Интересно, что участники этой «цепочки создания ценности» чаще всего не знают друг друга лично.

Они общаются в интернете, скрываясь за псевдонимами, а за услуги расплачиваются криптовалютой. Поэтому задержание участников одной из группировок хоть и будет полезно для устрашения других преступников, но почти не скажется на работе системы в целом. Личности сообщников установить не получится, а освободившееся место сразу же займут новые поставщики услуг.

Таким образом, шифровальщики — это часть целой экосистемы. Единственная возможность разрушить ее — перекрыть циркулирующий внутри денежный поток. А значит, прежде всего не платить злоумышленникам.

Миф 2: цели вымогательских атак определяются заранее

По приведенному выше описанию экосистемы шифровальщиков можно сделать некоторые важные выводы о том, как преступники выбирают жертву. Да, они действуют все более смело и стремятся получить все больше денег. Но все же в атаках вымогателей есть элемент случайности — объекты для шантажа они ищут не в рейтингах Forbes.

Как ни странно, люди, получающие первоначальный доступ к сети жертвы, — совсем не те, кто затем развертывает в ней вредоносное ПО. Сбор данных для проникновения — это отдельный бизнес. И чтобы оставаться рентабельным, он нуждается в регулярных поставках «товара». Какой смысл тратить недели на заведомо сложную цель — например, компанию из списка Fortune 500 — если успех не гарантирован? Вместо этого продавцы доступа выбирают объекты попроще. Вот два основных источника, из которых вымогатели получают данные для доступа к потенциальным целям:

  • Владельцы бот-сетей. Используя известные семейства вредоносного ПО, они организуют масштабные атаки, цель которых — создание сети зараженных компьютеров. Какое-то время зловред в них остается неактивным. Затем владелец бот-сети (бот-мастер) продает доступ к ней как к ресурсу для монетизации: организации DDoS-атак, рассылки спама или, в случае с шифровальщиками, для внедрения в сеть потенциальной жертвы с помощью этого первоначального заражения.
  • Продавцы доступа. Эти злоумышленники отслеживают публично раскрытые уязвимости ПО (уязвимости первого дня), имеющего выход в интернет, — например, VPN-устройств или почтовых шлюзов.
    Узнав об уязвимости, они стараются скомпрометировать как можно больше серверов до выхода обновления, которое ее устранит.

Пример предложения доступа к корпоративным ресурсам через удаленные рабочие столы (RDP)

В обоих случаях злоумышленники только после вторжения понимают, кого им удалось взломать и могут ли они рассчитывать на получение выкупа. Поэтому их атаки лишь условно можно считать целевыми: вымогатели редко выбирают в качестве жертв конкретные организации. Все это еще раз подчеркивает, как важно своевременно обновлять сервисы, имеющие выход в интернет, и выявлять неактивные заражения до того, как их могут использовать злоумышленники.

Миф 3: киберпреступники — это компьютеризированные уголовники

Да, формально это так. Но экосистема шифровальщиков обширна, и в ней присутствуют не самые очевидные участники. Есть подтвержденные свидетельства ее связи с другими видами преступной деятельности, такими как кардинг и взлом платежных терминалов. Однако в ней замешан и криминалитет другого сорта. В прошлом крупномасштабные атаки с использованием шифровальщиков применялись в деструктивных целях. Вполне вероятно, что некоторые APT-группы до сих пор используют подобную тактику для дестабилизации конкурирующих экономических систем, но скрывают свою причастность к таким кампаниям.

В прошлом году мы выпустили отчет о группировке Lazarus, которая решила попробовать свои силы в «охоте на крупную дичь», а компания ClearSky рассказала об аналогичной активности APT-группы Fox Kitten. По наблюдениям экспертов, прибыльность атак с использованием шифровальщиков привлекла внимание некоторых злоумышленников, имеющих государственную поддержку, которые используют такие атаки для обхода международных санкций.

По нашим данным, такие инциденты составляют лишь малую часть от общего числа атак вымогателей. Нельзя сказать, что для защиты от них компаниям нужны какие-то специальные средства, но само их существование создает дополнительные риски.

1 октября 2020 года Управление по контролю за иностранными активами Министерства финансов США выпустило бюллетень, уточняющий, что перед переводом денег вымогателям компании должны убедиться, что получателя нет в санкционных списках. Это заявление уже оказало заметное влияние на рынок шифровальщиков. Однако нельзя не отметить, что аудит операторов вредоносного ПО — задача нетривиальная.

Часть II. Махинации в теневом интернете

Вдоль рыночных рядов

Большая часть объявлений о продаже незаконных продуктов или услуг в теневом интернете размещается на нескольких крупных площадках, хотя существует и множество мелких тематических ресурсов. Мы проанализировали три основных форума, на которых предлагают услуги, связанные с использованием шифровальщиков. На этих площадках киберпреступники общаются и заключают сделки. Из сотен размещенных там объявлений мы выбрали для анализа несколько десятков — опубликованных известными группировками и прошедших проверку администрации форума.

Это были самые разные сообщения: от предложений по продаже исходного кода до регулярно обновляемых объявлений о вакансиях на русском и английском языках.

Виды предложений

Как мы уже сказали, экосистема шифровальщиков состоит из участников, выполняющих разные функции. Форумы теневого интернета частично отражают это положение вещей, несмотря на то что большая часть сообщений там — это объявления о продаже или вакансиях. Как и на любой торговой площадке, их авторы регулярно обновляют актуальные сообщения, а неактуальные — удаляют. Предложения разработчиков и операторов партнерских программ «шифровальщик как услуга» (RaaS) обычно являются:

  • приглашениями для операторов присоединиться к партнерским сетям или партнерским программам;
  • рекламой исходного кода или программ для сборки шифровальщиков.

Первый тип объявлений предполагает долговременное сотрудничество между оператором группировки, использующей шифровальщик, и ее партнером. Обычно оператор получает от 20% до 40% прибыли, тогда как остальные 60–80% достаются партнеру.

Примеры объявлений с указанием условий партнерской программы

Пока одни операторы ищут партнеров, другие занимаются продажей исходного кода или создают пакеты для самостоятельной сборки шифровальщиков. Цены на такие продукты варьируются от 300 до 5000 долларов США.

Продажа исходного кода или образцов вредоносного ПО, полученных в результате утечки, — это самый простой способ заработать на шифровальщиках, не требующий специальных технических навыков или больших усилий. Правда, не очень прибыльный, поскольку и код, и образцы быстро теряют свою ценность. Существует два типа таких предложений — с технической поддержкой и без нее. Если шифровальщик приобретается без поддержки, то, как только его обнаружат защитные решения, покупателю придется самостоятельно перепаковывать его или искать кого-то, кто сможет это сделать, — но в любом случае это слабо защитит от повторных обнаружений.

Предложения с технической поддержкой (более распространенные на рынке вредоносного ПО для финансовых систем) включают регулярные обновления для шифровальщиков.

В этом смысле ситуация на форумах теневого интернета мало изменилась по сравнению с 2017 годом.

Некоторые разработчики предлагают покупателям только исходный код и программы для сборки без дальнейшей технической поддержки

Предложение оформить подписку на шифровальщик очень похоже на рекламу легитимного программного продукта с указанием предлагаемых услуг и цен

Не всех крупных игроков можно встретить в теневом интернете

Ассортимент предложений на рынках теневого интернета хоть и довольно велик, но все же не отражает все разнообразие экосистемы шифровальщиков. Некоторые крупные группировки вымогателей находят партнеров самостоятельно (так, по нашим данным, Ryuk получала доступ к системам некоторых жертв после заражения их вирусом Trickbot, что указывает на потенциальную связь между двумя группами). В результате на форумах в основном можно встретить менее крупных игроков — операторов RaaS-сервисов, продавцов исходного кода и новичков.

Правила партнерства в теневом интернете

Рынок программ-шифровальщиков закрытый, поэтому операторы очень осторожно выбирают, с кем работать. Это видно из размещаемых ими объявлений и требований, которые предъявляются к потенциальным партнерам.

Первое и главное из них касается географических ограничений: оператор не позволяет партнерам использовать шифровальщики в зоне юрисдикции того государства, где он базируется. За выполнением этого правила строго следят. Партнеры, нарушившие его, немедленно теряют доступ к предоставленным им программам.

Кроме того, операторы тщательно изучают потенциальных контрагентов, чтобы отсеять сотрудников спецслужб, работающих под прикрытием: например, проверяют, насколько хорошо те знают историю страны, которую называют родной (см. пример ниже). Они также могут установить национальные ограничения на основе собственных политических взглядов (опять же из соображений безопасности).

Участники этой группировки проверяют новых партнеров, задавая им вопросы о странах бывшего СНГ, ответить на которые могут только жители этих стран

Группа Avaddon готова рассмотреть кандидатуры англоязычных партнеров при наличии хорошей репутации или депозита

Крупные игроки

Для подробного разбора мы выбрали двух наиболее интересных участников «охоты на крупную дичь» в 2021 году. Первый из них — группировка REvil (также известная как Sodinokibi). Она начала предлагать свои услуги на теневых форумах в 2019 году, и сегодня их RaaS-сервис пользуется отличной репутацией на рынке. Название группировки часто мелькает в новостных заголовках публикаций, связанных с информационной безопасностью. Именно операторы REvil запрашивали самые высокие суммы выкупа в 2021 году.

Другая известная группировка — Babuk. Шифровальщик Babuk стал первой из новых RaaS-угроз, обнаруженных в 2021 году, и используется очень активно.

REvil

Реклама партнерской программы REvil, размещенная на теневом форуме

REvil — один из самых успешных RaaS-сервисов. Активность группировки была впервые замечена в апреле 2019 года, после прекращения работы GandCrab — еще одной, уже несуществующей группы вымогателей.

Для его распространения REvil использует партнеров, найденных на теневых форумах.  Распространители получают 60–75% выкупа, который назначается на основании данных о годовом доходе жертвы. Расчеты ведутся в криптовалюте Monero (XMR). По словам оператора REvil, в 2020 году группировка заработала 100 млн долларов США.

Разработчики регулярно обновляют шифровальщик REvil, чтобы защитить его от обнаружения и повысить эффективность следующих атак. Информация о масштабных обновлениях и новых вакансиях в партнерской программе размещается в тематических ветках на теневых форумах. 18 апреля 2021 года разработчики объявили о проведении закрытого тестирования *nix-реализации шифровальщика.

REvil сообщает о внутреннем тестировании *nix-реализации шифровальщика

Технические подробности

REvil использует симметричный поточный алгоритм Salsa20 для шифрования содержимого файлов, а для ключей к шифру — асимметричный алгоритм на основе эллиптических кривых. Образец вредоносного ПО содержит зашифрованный раздел конфигурации со множеством полей, который позволяет атакующим индивидуально настраивать полезную нагрузку. Исполняемый файл способен завершать перед началом шифрования процессы, внесенные в черный список, извлекать базовую информацию о хосте, шифровать файлы и каталоги на локальных устройствах и в общих сетевых папках, не включенные в белый список. Более подробная информация о технических возможностях REvil доступна в наших приватном и общедоступном отчетах.

Сейчас шифровальщик распространяется в основном путем компрометации RDP-доступа, через уязвимости ПО и с помощью фишинга. Партнеры должны самостоятельно получить первоначальный доступ к корпоративным сетям и внедрить вредоносную программу — это стандартная практика для RaaS-сервисов. Стоит отметить, что у REvil очень высокие требования к новым контрагентам: группировка нанимает исключительно русскоязычных квалифицированных специалистов, имеющих опыт получения доступа к сетям.

За успешным взломом следует повышение привилегий, сбор информации и распространение заражения. Затем операторы оценивают, извлекают и шифруют конфиденциальные файлы. Следующий этап — проведение переговоров с пострадавшей компанией. Если жертва отказывается платить, операторы REvil начинают выкладывать ее конфиденциальную информацию на onion-сайте Happy Blog. В последнее время такая тактика — публиковать похищенные данные на специальных сайтах в качестве меры воздействия на жертву — распространена среди участников «охоты на крупную дичь».

Записи в блоге REvil, содержащие похищенные данные жертв

Примечательно, что в последнее время вымогатели начали использовать голосовые звонки деловым партнерам и журналистам, а также DDoS-атаки, чтобы заставить пострадавших платить. По словам представителя REvil, в марте 2021 года группировка запустила бесплатный партнерский сервис для связи со СМИ и контрагентами жертвы в целях оказания дополнительного давления на нее, а также начала оказывать платные услуги по организации DDoS-атак уровней L3 и L7.

REvil сообщает о новых возможностях шантажа — звонках в прессу и партнерам жертвы

По данным нашего предыдущего исследования, от шифровальщика REvil пострадало около 20 отраслей. Больше всего жертв (30%) пришлось на инженерно-производственный сектор. Далее следуют финансовые организации (14%), поставщики услуг (9%), юридические фирмы (7%) и компании, работающие в сфере IT и телекоммуникаций (7%).

В списке пострадавших оказались Travelex, Brown-Forman Corp, группа фармацевтических компаний Pierre Fabre, а также юридическая фирма Grubman Shire Meiselas & Sacks, обслуживающая звезд шоу-бизнеса. В марте 2021 года группировка атаковала компанию Acer, запросив рекордно большой выкуп — 50 млн долларов США.

18 апреля участники REvil написали, что готовы заявить о своей самой крупномасштабной атаке, на форуме, где киберпреступники набирают новых партнеров. 20 апреля группа опубликовала на сайте Happy Blog ряд документов, которые, по утверждению REvil, являлись чертежами устройств Apple. По словам злоумышленников, данные были похищены из корпоративной сети тайваньской компании Quanta Computer — одного из партнеров Apple. Первоначальный размер выкупа, который преступники потребовали от Quanta, составил 50 млн долларов США.

За последние несколько кварталов группировка REvil стала проводить целевые атаки значительно активнее

REvil — характерный пример группы «охотников на крупную дичь». В 2021 году мы наблюдаем тенденцию к увеличению размеров выкупа, который преступники запрашивают за конфиденциальную информацию скомпрометированных компаний. Появление новых методов давления на жертв, активная разработка вредоносного ПО для других платформ помимо Windows и регулярная вербовка новых партнеров говорят о том, что частота и масштаб атак вымогателей будут только расти.

Babuk

Еще один участник «охоты на крупную дичь» — группировка Babuk. В начале 2021 года мы наблюдали несколько инцидентов с участием ее шифровальщика.

В конце апреля 2021 года участники группы Babuk объявили о прекращении работы, заявив, что собираются сделать исходный код зловреда общедоступным и создать «что-то вроде RaaS с открытыми исходниками». Если менее крупные группировки смогут использовать этот код для своих операций, нас, вероятно, ждет новая волна атак вымогателей. Подобное уже случалось с другими проектами RaaS («шифровальщик как услуга») и MaaS («вредоносное ПО как услуга») — достаточно вспомнить прошлогодний пример с банковским Android-троянцем Cerberus.

Babuk объявляет о прекращении работы

Участники группировки конфигурируют каждый экземпляр программы под конкретную жертву: в нем содержится название компании, индивидуальное сообщение с требованием выкупа и список расширений для зашифрованных файлов. Babuk также использует модель RaaS. Перед заражением партнеры или операторы компрометируют целевую сеть, проводя разведку. Это помогает им решить, как эффективнее внедрить шифровальщик и выбрать наиболее ценные конфиденциальные данные для шантажа. Участники группировки называют себя «киберпанками», которые «проверяют на прочность защиту случайно выбранных корпоративных сетей», используя RDP как вектор заражения. 80% прибыли группировка отдает партнерам.

Реклама партнерской программы Babuk

Babuk рекламирует свои услуги на русскоязычных и англоязычных теневых форумах. В начале января 2021 года участник одного из этих форумов объявил о разработке нового шифровальщика Babuk. Следующие сообщения были посвящены обновлениям и поиску партнеров.

Сообщение для прессы, в котором участники Babuk рассказывают о стратегии группировки и выборе жертв

Белый список группировки включает Китай, Вьетнам, Кипр, а также Россию и другие страны СНГ. Кроме того, операторы отказываются атаковать больницы, некоммерческие благотворительные организации, а также компании с годовым доходом менее 30 млн долларов США по данным ZoomInfo. Чтобы присоединиться к партнерской программе, потенциальные контрагенты должны пройти собеседование, посвященное гипервизорам Hyper-V и ESXi.

Babuk попала в новостные заголовки как первая группировка операторов шифровальщиков, открыто выступающая против ЛГБТ-сообщества и движения Black Lives Matter (BLM). Такой вывод был сделан в связи с тем, что Babuk исключила поддерживающие их организации из своего белого списка. Однако в отчете об итогах работы за два месяца, размещенном на сайте для публикации скомпрометированных данных, преступники сообщили, что изменили свое решение и не будут атаковать фонды и благотворительные организации, помогающие ЛГБТ и BLM.

Технические подробности

Babuk использует симметричный алгоритм шифрования в сочетании с протоколом Диффи — Хеллмана на эллиптических кривых (ECDH). В каждой из обработанных папок зловред оставляет сообщение в формате TXT с заголовком How To Restore Your Files.txt («Как восстановить ваши файлы»). Помимо текста, она содержит ссылки на скриншоты похищенных данных. Это доказывает, что образец вредоносного ПО создается уже после похищения данных, — как мы уже упоминали, каждый экземпляр программы конфигурируется с учетом особенностей конкретной цели.

В записке преступники также предлагают жертве начать переговоры в закрытом чате. Подобные требования характерны не только для группировки Babuk, но и для всех «охотников на крупную дичь». Интересно, что в тексте также есть приватная ссылка на публикацию на onion-сайте, недоступная с его главной страницы. По ссылке злоумышленники размещают несколько скриншотов, текстовое описание украденных данных и угрозы общего характера в адрес жертвы. Если она решает не вступать в переговоры, ссылку делают общедоступной.

Сайт группировки Babuk для публикации скомпрометированных данных

Целями Babuk обычно становятся крупные промышленные организации в Европе, США и Океании: транспортные предприятия, учреждения здравоохранения, поставщики промышленного оборудования и др. Однако недавние события говорят о том, что Babuk расширяет зону своих интересов. Так, 26 апреля о взломе сообщил полицейский департамент округа Колумбия. Ответственность за инцидент взяли на себя операторы Babuk, рассказав о результатах атаки на собственном onion-сайте.

Сообщение Babuk об успешной атаке на полицейский департамент округа Колумбия

По словам участников группировки, им удалось похитить более 250 ГБ данных из внутренней сети департамента. На момент создания этого отчета полицейским оставалось три дня, чтобы начать переговоры, — злоумышленники пообещали, что в противном случае начнут передавать похищенные данные преступным группировкам. Они также предупредили, что продолжат атаки на государственный сектор США.

Скриншоты файлов, украденных из сети полицейского департамента округа Колумбия, размещенные операторами Babuk на сайте для публикации скомпрометированных данных в теневом интернете

Заключение

23 апреля 2021 года мы опубликовали отчет об активности шифровальщиков. Из него следует, что пользователей, столкнувшихся с этим видом угрозы, стало намного меньше. Однако эти данные нужно правильно интерпретировать: для частных лиц вероятность стать жертвой шифровальщика действительно снизилась, но для компаний этот риск как никогда высок.

Аппетиты преступников растут, поэтому экосистема шифровальщиков продолжает развиваться и уже представляет собой серьезную угрозу для корпораций по всему миру.

Малым и средним компаниям тоже стоит быть начеку. Раньше им не приходилось всерьез беспокоиться об информационной безопасности: они были недостаточно крупными, чтобы привлечь внимание APT-групп, и при этом вполне могли защититься от типовых и случайных атак. Но все изменилось. Сегодня любой бизнес должен быть готов дать отпор преступным группировкам. К счастью, большинство злоумышленников предпочитают легкие цели, поэтому для защиты от них достаточно основных процедур.

12 мая, в День борьбы с шифровальщиками, «Лаборатория Касперского» призывает соблюдать правила безопасности, которые помогут защитить ваш бизнес от вымогателей:

  • Своевременно обновляйте ПО на всех устройствах, чтобы злоумышленники не могли использовать его уязвимости для проникновения в сеть.
  • В своей стратегии защиты сфокусируйтесь на том, чтобы не допустить распространения вредоносного ПО и утечки данных в интернет. Отслеживайте исходящий трафик, чтобы выявить несанкционированные подключения. Сохраняйте резервные копии своих данных в офлайн-хранилища — так преступники не смогут добраться до них. Обеспечьте быстрый доступ к ним на случай экстренной ситуации.
  • Чтобы защитить корпоративную среду, обучайте своих сотрудников правилам информационной безопасности. Используйте для этого специальные учебные курсы — например, представленные на платформе Kaspersky Automated Security Awareness Platform. Бесплатное занятие на тему защиты от шифровальщиков доступно здесь.
  • Проводите аудиты кибербезопасности, устраняйте уязвимости периметра и сетей.
  • Обеспечьте все рабочие места защитой от шифровальщиков. Бесплатная утилита Kaspersky Anti-Ransomware для бизнеса защищает компьютеры и серверы от шифровальщиков и других видов вредоносного ПО и предотвращает эксплойты. При этом она не будет конфликтовать с уже установленными защитными решениями.
  • Установите решения для контроля рабочих мест и защиты от целевых атак с функциями обнаружения продвинутых угроз, расследования инцидентов и ликвидации последствий атак. Обеспечьте сотрудникам своего центра мониторинга и реагирования (SOC) доступ к актуальным данным по угрозам и регулярно повышайте их квалификацию. Если вам не хватает собственных специалистов по ИБ, обратитесь за помощью к поставщику MDR-сервисов — управляемых услуг непрерывного поиска, обнаружения и устранения угроз, направленных на ваше предприятие. Решение Kaspersky Expert Security может предоставить все перечисленные возможности.
  • Если вы стали жертвой вымогателей, ни в коем случае не платите им. Выкуп — это поддержка преступного бизнеса, но не гарантия того, что вы вернете доступ к своим данным. Лучше сообщите об инциденте в правоохранительные органы и попробуйте найти дешифратор в интернете, например на сайте https://www.nomoreransom.org/ru/index.html

Эксперты рассказали о новом способе кибератак на корпоративные данные — РБК

Фото: Nicolas Armer / dpa / Global Look Press

Новые атаки отличаются от кибератак с применением вирусов-шифровальщиков тем, что мошенники используют не специально созданную вредоносную программу, а штатную технологию шифрования дисков BitLocker, включенную в состав операционной системы Windows. Об этом рассказали РБК в «Лаборатории Касперского».

По данным «Лаборатории Касперского», несколько российских компаний пострадали от атак вымогателей, которые заблокировали доступ к корпоративным данным и требовали выкуп.

В компании объяснили, что мошенники попадают в корпоративную сеть с помощью фишинговых писем, которые рассылаются от имени разных компаний с целью получения данных пользователя или уязвимостей в системе. После этого они находят в панели управления функцию BitLocker, производят шифрование и присваивают себе ключи, логины и пароли, которые генерирует эта программа, уточнили в «Лаборатории Касперского».

Как рассказали в компании, как только мошенники получают доступ к серверу, в котором содержится информация о всех корпоративных устройствах, они могут полностью зашифровать IT-инфраструктуру организации.

Осторожно, новый вирус-шифровальщик атакует корпоративных клиентов!

Хотя с момента появления первого вируса-шифровальщика прошло уже более 10 лет, проблема эта становится все более актуальной. В этом случае целью злоумышленников является получение прибыли. Модель отъёма денег предельно проста. Часть вашей информации, к примеру, файлы Word, Excel, и база данных 1С шифруются, а за расшифровку от вас требуют определенную сумму. Формы оплаты в последних итерациях вируса – крипто валюта Bitcoin. Сегодня рассылка писем идет адресно, вручную через домены бесплатной почты, а атаки сегодня в основном идут на организации, которым некогда ждать, информация нужна срочно, а значит, и вероятность оплаты возрастает.

Вирус проникает в компьютер через электронную почту. Более того, рассылка может быть и с украденного почтового ящика партнеров компании. Чаще всего это письма от имени банков, налоговой, в которых сообщается о задолженности либо срочной проверке регистрационных данных после сбоя и, в нашем случае, вложена счёт-фактура в архиве. На самом деле это не документ, а файл с набором команд (это видно в описании типа файла, Jscript Script File), при запуске начинающим шифрование документов на компьютере. После окончания процесса шифрования вирус сохраняет на заражённом компьютере файл с информацией, что файлы зашифрованы, и рекомендации по их дешифровке (имеется в виду методы оплаты). Вы можете и не платить, однако о доступе к своим данным можно будет забыть.
Как же защитить себя и корпоративную сеть организации от последствий заражения вирусом-шифровальщиком?

Методы противодействия
Резервное копирование служебной информации. Наиболее очевидным методом противодействия на сегодняшний день является создание резервных копий.

Централизованное хранение документов, файлов почты и т. д. При этом решается и проблема резервного копирования информации с рабочих станций, так как если вся информация хранится на серверах, то и делать их резервные копии куда как проще.

• Использование в организации облачных антивирусных технологий. В сеть антивирусного вендора передаются на анализ не сами подозрительные исполняемые файлы, а только их хеши. Ваши документы при этом не передаются. Это существенно ускоряет процесс обнаружения вредоносного ПО, ведь обнаружив его на одном ПК не нужно ждать его включения в сигнатуры, можно просто включить его хеш в базу вредоносного ПО и пополнить базу антивирусного облака практически в реальном времени.

• Использование контроля приложений. Суть его в том, что на предприятии заводится основной список разрешенного «белого» программного обеспечения.

• Контроль запуска программ (контроль использования приложений) позволяет установить ограничения на запуск программ на клиентских компьютерах. При этом разрешения на запуск устанавливаются с помощью правил. При запуске проверяются: категория, к которой относится программа (категория — это набор условий и исключений, позволяющих идентифицировать программу или группу программ), учетная запись, от имени которой запускается программа и правила, с помощью которых регулируется запуск программ данной категории для данной учетной записи. Если есть хотя бы одно подходящее правило, разрешающее запуск программы, и нет запрещающих — запуск будет разрешен. Если разрешающих правил нет или для данной учетной записи одновременно есть правила, разрешающие и запрещающие запуск программ данной категории, запуск будет запрещен.

Очень важно понимать, что в случае вирусов-шифровальщиков основную роль в противодействии угрозе играют не подразделения IT, а в первую очередь бизнес-подразделения при их своевременном информировании о существующей вирусной угрозе.

Хотите защититься от вирусных атак на вашу организацию? Уже пострадали от вируса и нуждаетесь в оперативной помощи? Закажите консультацию нашего специалиста отдела корпоративного обслуживания или срочный выезд нашего технического специалиста к вам прямо сейчас!

Компания «Скайлайн Электроникс» — более 20-ти лет предлагает своим клиентам передовые решения в сфере информационной безопасности для бизнеса.

Чем опасны программы-шифровальщики и как не пострадать от них

Несколько лет назад шифровальщики, разновидность троянов-вымогателей, заставили говорить о себе весь мир. Эти зловредные программы, попадая на компьютер, шифруют ценные файлы, от документов до баз данных, и воспользоваться ими становится невозможно. За возвращение доступа к информации просят заплатить выкуп, причем в случае с крупными компаниями он может достигать более чем существенных размеров. С годами программы-вымогатели никуда не исчезли, напротив, злоумышленники стали действовать более изощренно — как технически, так и логистически, и для борьбы с ними нужен комплексный подход.

Было ваше – стало наше

Глобальную известность троянам-вымогателям обеспечила серия атак группировки WannaCry: в результате заражения этим вирусом пользователи в 150 странах понесли убытки на сумму не менее 4 млрд долларов. На сегодняшний день тенденции остаются неутешительными, несмотря на то, что доля программ-вымогателей в общей массе вредоносного ПО постепенно уменьшается. Согласно данным «Лаборатории Касперского», доля программ-вымогателей в общем объеме обнаруженного зловредного ПО в 2019 году составила 1,49%, а в 2020 году — 1,08%. Но дело не в том, что вымогателей-шифровальщиков становится меньше, просто все больше и больше киберпреступников переключились за это время с массовых заражений обычных пользователей на схему с атаками на корпоративный сектор.

Но полностью с массового сегмента они не ушли: киберпреступники постоянно изобретают новые способы нажиться. В 2019 году наблюдался очередной всплеск активности вымогателей, связанный с появлением двух новых семейств вредоносного ПО. Первое — Bluff, блокировщик браузера, который создает фальшивую вкладку, откуда пользователь не может выйти, и угрожает печальными последствиями в случае отказа платить выкуп. Второе — Rakhni, шифровальщик, распространяемый преимущественно через спам-письма с вредоносными вложениями.

Хотя шифровальщики никуда не делись и деваться не собираются, за последние пять лет подобные программы претерпели некоторую эволюцию: из угрозы персональным компьютерам они превратились в серьезную опасность для корпоративных сетей и государственных структур, причем применяться стали и легитимные инструменты для шифрования. И если раньше злоумышленники фокусировались на количестве зараженных компьютеров, то теперь они атакуют крупные цели, чтобы в случае успеха получить выкуп крупных размеров вплоть до миллионов долларов.

close

100%

Появилась и еще одна новая тенденция — теперь киберпреступники не только шифруют данные, но и предварительно крадут их, чтобы затем угрожать их публикацией. Таким образом, пострадавшая организация сталкивается с куда более серьезными проблемами, чем раньше: если риск шифрования данных можно частично компенсировать продвинутой системой резервного копирования, то разглашение информации несет репутационные риски, может вызвать гнев акционеров или стать причиной штрафов регуляторов. В совокупности эти последствия могут обернуться куда большими убытками, чем простая уплата выкупа злоумышленникам. Например, 20 апреля участники группировки REvil опубликовала на сайте Happy Blog ряд документов, которые, по утверждению злоумышленников, являлись чертежами устройств Apple. По словам киберпреступников, данные были похищены из корпоративной сети тайваньской компании Quanta Computer — одного из партнеров Apple. Первоначальный размер выкупа, который преступники потребовали от Quanta, составил 50 млн долларов, однако убытки в случае обнародования подобных сведений были бы еще значительнее. И все же Quanta никак не отреагировала на угрозы, после чего злоумышленники переключились на саму компанию Apple, чьи чертежи техники и были похищены. Официальной реакции так и не поступило, но в определенный момент мошенники удалили всю информацию о взломе.

С 2019 года эксперты наблюдают регулярные кампании целой серии таргетированных шифровальщиков (так называемые «big game hunting ransomware»), за которыми стоят преступные группировки с большими техническими возможностями. Например, в 2020 году при помощи программы-вымогателя WastedLocker был атакован производитель навигационного оборудования и устройств для фитнеса Garmin, с которого злоумышленники потребовали выкуп в размере 10 млн долларов. Использованное вредоносное ПО было разработано специально для этой атаки.

На данный момент эксперты «Лаборатории Касперского» выявили 28 семейств программ-вымогателей для целевых атак — например, печально известный шифровальщик Hades, который используется для атак на компании капитализацией не менее миллиарда долларов. По состоянию на конец марта 2021 года операторы Hades атаковали как минимум трех неназванных жертв, включая транспортно-логистическую службу США, американскую организацию по производству потребительских товаров и глобальную производственную организацию. Также была атакована логистическая компания Forward Air. В результате кибератаки с использованием вымогательского ПО транспортная компания понесла убытки в размере $7,5 млн.

В период с 2019 по 2020 год количество объектов, подвергшихся атакам программ-вымогателей, разработанных специально для целевых атак (созданных для нападения на конкретную цель), выросло с 985 до 8538, т. е. на 767%. Свежий пример — хакерская атака на одного из крупнейших трубопроводных операторов в США Colonial Pipeline, которая была совершена 6 мая. Уже на следующий день компания была вынуждена остановить работу трубопровода, обеспечивающего горючим автозаправки сразу в нескольких густонаселенных штатах на Восточном побережье. Colonial Pipeline заявляла, что заплатила хакерам почти $5 млн за восстановление доступа к компьютерной сети.

А в конце мая хакерская атака на JBS, крупнейшего в мире производителя мяса, вынудила эту бразильскую компанию закрыть все мясокомбинаты компании в США. Компания пошла на уступки и приняла решение выплатить выкуп в размере $11 млн, таким образом организация надеялась избежать дальнейших сбоев в работе и обезопасить себя и партнеров.

close

100%

Всеобщая угроза и комплексная защита

Принимая во внимание вышесказанное, становится очевидным, что позаботиться о защите от вымогателей необходимо компаниям и организациям любого размера, причем речь идет не только о резервном копировании данных.

Эффективная защита строится из, казалось бы, базовых соображений и правил, однако, профессионалы напоминают, что пренебрегать ими нельзя. Например, чтобы защитить компанию от атак с использованием программ-вымогателей, специалисты «Лаборатории Касперского» рекомендуют:

— Не подключаться к службам удаленного рабочего стола (таким как RDP) через общественные сети и всегда использовать надежные пароли.
— Своевременно обновлять ПО на всех используемых устройствах для предотвращения эксплуатации уязвимостей.
— Оперативно устанавливать доступные исправления для коммерческих VPN-сервисов, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов сети.
— Всегда обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.
— Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников.
— Регулярно создавать резервные копии данных и обеспечить быстрый доступ к бэкапу в критических ситуациях.
— Использовать актуальные данные об угрозах (Threat Intelligence), чтобы оставаться в курсе актуальных тактик и техник, используемых злоумышленниками.
— Проводить обучение сотрудников по вопросам информационной безопасности. В этом лучше всего помогают курсы в игровой форме, пример которых можно найти на платформе Kaspersky Automated Security Awareness Platform. Бесплатный урок по защите от атак программ-вымогателей доступен здесь.
— Использовать надежные решения для защиты рабочих мест, например, такое как Kaspersky Endpoint Security для бизнеса, в котором реализована функция обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий.
— Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например, решение класса EDR — Kaspersky Endpoint Detection and Response, класса XDR – Kaspersky Anti Targeted Attack, класса SIEM — Kaspersky Unified Monitoring and Analysis Platform и класса MDR — Kaspersky Managed Detection and Response.

close

100%

— Применение комплексного подхода к построению защиты от сложных атак и в частности от разного рода шифровальщиков.

Важно понимать, что некоторые атаки долго и тщательно готовятся: преступники внедряются в сеть потенциальной жертвы и месяцами собирают информацию об организации, прежде чем нанести финальный удар. Например, в атаке против Travelex с использованием вредоносной программы REvil злоумышленники проникли в сеть компании за полгода до того, как зашифровали данные и потребовали выкуп. Кроме того, в последнее время использование ransomware является финальной точкой для увеличения прибыли злоумышленников от проводимых атак, оригинальной целью которых в большинстве случаев является получение денег, в то время как кража данных является дополнительным способом давления на жертву.

Вымогатели постоянно совершенствуют свой инструментарий, и компании должны отвечать тем же. Эффективная комплексная защита строится по нескольким направлениям, которые в совокупности обеспечивают безопасность компании в киберпространстве. Примером комплексного подхода к безопасности является, например, наиболее продвинутый уровень защиты от «Лаборатории Касперского» — Kaspersky Expert Security. В данном случае речь идет не просто об установке на компьютеры антивирусных программ, а о настоящей «круговой обороне» от злоумышленников.

Первое, на что необходимо обратить внимание — грамотный выбор программного обеспечения для защиты от киберугроз: в соответствии с ИБ-нуждами каждой конкретной компании, регулярно обновляемое и дополняемое. ПО должно быть разработано профессионалами, которые понимают, как эффективно выстраивать систему защиты, в том числе с учетом необходимости соответствия требованиям регуляторов.

Второй аспект — важно своевременно получать информацию об актуальных угрозах, чтобы затем применять эти сведения с использованием имеющегося инструментария. Также важно повышать квалификацию ИБ-экспертов компании, которые должны справляться с обработкой огромного массива поступающих данных: грамотно его анализировать, отсеивая ненужное, и эффективно реагировать. «Лаборатория Касперского» в рамках Kaspersky Expert Security решает обе эти задачи: предоставляет богатое портфолио решений по информированию об угрозах, а также проводит тренинги для ИБ-специалистов.

Третье обстоятельство — необходим комплексный подход, при котором поставщик защитных средств или иной партнер взаимодействует с защищаемой компанией и при необходимости может оказать ей поддержку в решении задач по кибербезопасности (например, предоставить круглосуточную управляемую защиту MDR, провести анализ защищенности или обеспечить незамедлительную помощь в реагировании на инцидент). Что бы ни случилось, даже если атака уже произошла, у специалистов компании всегда будет возможность быстро обратиться за квалифицированной помощью, а не решать проблемы в одиночку.

Все эти составляющие эффективной обороны от киберпреступников обеспечивает уровень защиты Kaspersky Expert Security, предлагаемый «Лабораторией Касперского». Компания предоставляет своим клиентам необходимые инструменты классов EDR, XDR, SIEM (Kaspersky EDR, Kaspersky Anti Targeted Attack, Kaspersky Unified Monitoring and Analysis Platform), актуальную информацию об угрозах (Kaspersky Threat Intelligence), тренинги для ИБ-специалистов (Kaspersky Security Training), а также экспертные ИБ-сервисы (Kaspersky MDR, Kaspersky Security Assessment, Kaspersky Incident Response). Создание защитной экосистемы на основе решений и сервисов «Лаборатории Касперского» решит проблему совместимости разных ИБ-продуктов, что сэкономит силы и средства. В результате компания получит комплексную защиту от угроз при оптимизации ИБ-ресурсов и помощь в соответствии требованиям регуляторов.

И напоследок

Аппетиты преступников растут, поэтому экосистема шифровальщиков продолжает развиваться и уже представляет собой серьезную угрозу для корпораций по всему миру. В современных реалиях начеку необходимо быть всем, от частных пользователей до больших организаций с тысячами сотрудников. Чтобы обеспечить себя эффективной защитой от угроз, необходимо понимать их специфику в каждом конкретном случае и готовить контрмеры сообразно имеющимся условиям. С поддержкой и помощью профессионалов эту задачу, при всей ее сложности, можно будет решить без лишних затрат денег, нервов и времени.

Что за вирусы-вымогатели и как от них защититься? | Технологии | Техника

Сотни тысяч россиян могут стать жертвами вирусов-шифровальщиков, или вирусов-вымогателей. Это прогнозируют эксперты Центра цифровой экспертизы Роскачества. По данным организации, популярность этих вредоносных программ стремительно растет.

Что такое вирус-шифровальщик?

Вирус-шифровальщик, или вирус-вымогатель (ransomware) — это вредоносная программа, которая при попадании на компьютер атакует важнейшие системные разделы с документами, таблицами, изображениями и пр. Затем вирус шифрует все файлы этого типа и лишает владельца доступа к ним. Злоумышленники предлагают жертве заплатить деньги в биткоинах за восстановление доступа к данным.

Кто совершает атаку?

Зачастую атаки вирусом-шифровальщиком совершают непрофессиональные хакеры, взявшие программу-вымогатель в аренду.

Совершают ли атаки вирусом-шифровальщиком в России?

Механизм атаки вирусом-вымогателем известен с начала 2000-х, но широкое распространение они получили несколько лет назад. В 2017 году появились сразу три вируса-вымогателя — WannaCry, Petya и Bad Rabbit, которые в совокупности атаковали сотни тысяч компьютеров и стратегических объектов.

За последний год число вирусов-шифровальщиков выросло в 10 раз, свидетельствуют данные специалистов по кибербезопасности из FortiGuard. Эксперты Центра цифровой экспертизы Роскачества предупреждают, что в ближайшие месяцы распространение этих вирусов в России может приобрести характер эпидемии.

В мае 2021 года эксперты компании по кибербезопасности Group IB сообщали об атаках на территории РФ группы вымогателей OldGremlin. Также они предупреждали, что до конца года ожидается волна атак шифровальщиков в СНГ.

Как предостеречься от заражения вирусом-шифровальщиком?

Рекомендации о том, как не заразиться опасным вирусом-вымогателем, дал старший специалист по тестированию цифровых продуктов Роскачества Сергей Кузьменко:

1. Не переходите по подозрительным ссылкам из электронных писем и мессенджеров, не открывайте файлы, если не уверены в их отправителе.

2. Используйте антивирус на компьютере и на смартфоне, регулярно его обновляйте и проводите проверку устройства на вирусы.

3. Не пользуйтесь чужими флэш-картами и съемными дисками.

4. Регулярно делайте резервную копию важных данных, храните их в облаке или на внешних съемных дисках;

5. Обновляйте программное обеспечение устройства, в особенности операционную систему, так как вирусы могут распространяться автоматически, используя уязвимости в архитектуре системы.

Что делать, если шифровальщик уже атаковал?

В случае, если на ваше устройство совершил атаку вирус-шифровальщик, эксперт Роскачества советует:

1. Ни в коем случае не платите выкуп. 

Нет никаких гарантий, что злоумышленник вернет доступ к данным. Также он может скопировать информацию и продолжить шантажировать тем, что опубликует ее в Сети.

2. Отключите компьютер от сети, а лучше отключите всю электрическую сеть в доме.

3. Обратитесь к IT-специалистам.

Для многих известных вирусов-шифровальщиков есть программы-дешифраторы. IT-специалисту нужно определить тип вируса и применить против нее дешифратор, если он существует.

Однако вероятность успеха не велика и гарантий восстановления системы никто не может дать. Нужно морально подготовиться к тому, что вы потеряете данные, которые зашифровал вирус-вымогатель.

Защита от шифровальщиков / Поддержка / Kaspersky.antivirus.lv

Шифрующие вирусы-вымогатели в последнее время стали одной из главных угроз и мы ежедневно узнаем о новых атаках, новых вирусах-вымогателях или их версиях и, к сожалению, о жертвах, с которых киберпреступники требуют выкуп за возвращение доступа к зашифованным данным. Поэтому Kaspersky Lab в компоненту System Watcher (Мониторинг активности) новейших продуктов включила особую подсистему борьбы с шифрующими вредоносными программами Kaspersky Cryptomalware Countermeasures Subsystem. Благодаря набору уникальных технологий, в Латвии и в мире среди пользователей новейших продуктов Kaspersky, которые корректно использовали предоставленные продуктами возможности, практически нет пострадавших от атак шифрующих вирусов-вымогателей! И это не магия и не заговор, как иногда говорят даже специалисты, видя, как в отличии от пользователей других антивирусов поклонники продуктов Kaspersky остаются невредимыми в атаках шифрующих вирусов-вымогателей. Это просто изобретенные и реализованные разработчиками Kaspersky Lab технологии!

В какие продукты влючены System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

Особые технологии для борьбы с шифрующими вирусами-вымогателями включены в текущие версии следующих ниже перечисленных продуктов для операционной системы Windows или их компонет для Windows.

Персональные продукты:

Kaspersky Lab ежедневно в среднем обрабатывает 315 000 новых образцов вредоносного ПО. При таком большом наплыве новых вредоносных программ антивирусным компаниям очень часто приходится защищать пользователей от атак вредоносных программ, которые им еще неизвестны. По аналогии с реальным миром это было бы также, как идентифицировать преступника до того, как получены его отпечатки пальцев, фотография и другие данные. Как это сделать? Наблюдая и анализируя поведение. Именно этим и занимается встроенная в новейшие продукты Kaspersky Lab непрерывно наблюдающая за компьютерной системой компонента под названием System Watcher (Мониторинг активности).

System Watcher наблюдает происходящие в системе процессы и детектирует вредоносные действия, используя сигнатуры последовательностей поведения Behaviour Stream Signatures (BSS) и позволяя таким образом определить и остановить работу совсем новых и неизвестных вредоносных программ по их поведению. Но это не все. Пока становится ясным, что какая-нибудь программа является вредоносной, она может успеть кое-что сделать. Поэтому еще одной особенностью System Watcher является способность откатывать обратно изменения в системе сделанные вредоносной программой.

Для того, чтобы откатывать обратно изменения сделанные новой шифрующей вредоносной программой, специалисты Kaspersky Lab добавили к компоненте System Watcher подсистему борьбы с шифрующими вирусами Kaspersky Cryptomalware Countermeasures Subsystem, которая создает резервные копии файлам, если их открывает подозрительная программа, и в последствии при необходимости восстанавливает их с сохраненных копий. Таким образом, даже если шифрующий вирус является новым, то есть у антивируса нет его «отпечатков пальцев», и он неидентифицируется другими механизмами, System Watcher детектирует его по поведению и, используя уже упомянутую подсистему, возвращает компьютерную систему с состояние, какое было до атаки вредоносной программы.

Распознавание неизвестной шифрующей вредоносной программы по поведению, остановку ее работы и откат изменений произведенных ею (замену зашифрованных файлов нешифрованными копиями) можно увидеть в демонастрационном видео ниже.



Тут необходимо пояснить, что каждому конкретному пользователю ситуации, когда необходимо задействование Kaspersky Cryptomalware Countermeasures Subsystem, могут произойти крайне редко, так как информация о каждом инциденте с неизвестной вредоносной программой за считанные доли секунды попадает в облако Kaspersky Security Network и другие пользователи решений Kaspersky с этого момента уже защищены против новой угрозы системой раннего детектирования. Это означает, что любая дальнейшая попытка инфицирования компьютеров пользователей Kaspersky будет блокирована уже ранней сигнатурой. Именно действием таких уникальных механизмов объясняется факт, что в Латвии практически не было пострадавших среди пользователей новейших продуктов Kaspersky, так как это работает как глобальная иммунная система для всех 400 миллионов пользователей Kaspersky во всем мире!

Дополнительную информацию о System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem на английском языке можно найти в документах в формате PDF:

Что еще небходимо знать о System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

Важно! Не рекомендуется отключать System Watcher, так как это существенно понижает уровень защиты.

System Watcher и вместе с ним автоматически Kaspersky Cryptomalware Countermeasures Subsystem в соответсвии с началными установками производителя включены по умолчанию. Пользователю после инсталляции продуктов нет необходимости производить какие либо дополнительные действия для использование выше описанных технологий.

Особо надо отметить, что System Watcher не входит в состав продукта Kaspersky Anti-Virus for Windows Workstation 6.0 (выпущен в 2007 году), кторый еще иногда используется. Пользователи этого продукта призываются к использованию бесплатного перехода на более новый Kaspersky Endpoint Security for Windows. Легальные пользователи могут загружать и устанавливать новейшие версии продуктов бесплатно, к примеру, с раздела «Загрузить» этого сайта.

Как программы-вымогатели заражают компьютеры | McAfee

Одна из самых быстрорастущих областей киберпреступности — программы-вымогатели — семейство вредоносных программ, которые захватывают компьютер или его данные в заложники, чтобы вымогать деньги у своих жертв. Программы-вымогатели ответственны за повреждение или уничтожение компьютерных файлов и причинение убытков предприятиям со скомпрометированными компьютерами.Вы можете помочь избежать этой растущей онлайн-опасности, узнав больше о том, как программы-вымогатели нацелены на жертв.

Вот несколько способов заражения компьютеров и мобильных устройств:

  • Ссылки в электронных письмах или сообщениях в социальных сетях — В этом типе атаки жертва щелкает вредоносную ссылку во вложении электронной почты или сообщении на сайте социальной сети.
  • Pay per install — этот популярный метод атакует компьютеры, которые уже являются частью ботнета (группа зараженных компьютеров под контролем преступников, называемых ботмастерами), дополнительно заражая их дополнительным вредоносным ПО.Пастухи ботов, преступники, которые ищут уязвимости в системе безопасности, получают деньги за то, чтобы найти эти возможности.
  • Попутные загрузки — эта форма вымогателя устанавливается, когда жертва нажимает на взломанный веб-сайт. Исследователи McAfee Labs отметили увеличение количества скачиваний «попутно». В частности, пострадали пользователи некоторых порталов потокового видео.

Программы-вымогатели сложно отследить, потому что многие люди не осознают, что они стали жертвами преступления, и даже если они это осознают, они не хотят сообщать об этом.Но есть свидетельства того, что это всемирная проблема киберпреступности с большим количеством жертв. Власти со всего мира сделали предупреждения об этой угрозе. Европол провел совещание экспертов по борьбе с распространением «полицейских программ-вымогателей», а Федеральное управление по информационной безопасности Германии и ФБР выступили с многочисленными предупреждениями о программах-вымогателях.

Многие жертвы не знают, что им делать, кроме удаления инфекции со своего компьютера. Центр жалоб на Интернет-преступления ФБР предлагает жертв:

  • Подайте жалобу в Центр рассмотрения жалоб на Интернет-преступления ФБР (IC3).
  • Регулярно обновляйте операционные системы и законное антивирусное и антишпионское ПО.

Кроме того, пользователь может связаться с авторитетным компьютерным экспертом для помощи в удалении вредоносного ПО, если он не может сделать это самостоятельно.

Программы-вымогатели продолжают развиваться. Исследователи McAfee Labs предсказывают, что появятся «комплекты» программ-вымогателей для мобильных телефонов, которые позволят злоумышленникам, не обладающим навыками программирования, вымогать платежи. По мере роста этой угрозы мировые правоохранительные органы прилагают все усилия для борьбы с ней.

Что такое Stuxnet? | McAfee

Наследие Stuxnet

Хотя производители Stuxnet, как сообщается, запрограммировали истечение срока его действия в июне 2012 года, а компания Siemens выпустила исправления для своего программного обеспечения ПЛК, наследие Stuxnet продолжает существовать в других атаках вредоносных программ, основанных на исходном коде. Эти «сыновья Stuxnet» включают:

  • Duqu (2011). Основанный на коде Stuxnet, Duqu был разработан для регистрации нажатий клавиш и сбора данных с промышленных объектов, предположительно для запуска более поздней атаки.
  • Пламя (2012). Flame, как и Stuxnet, передавался через USB-накопитель. Flame представлял собой сложную шпионскую программу, которая, помимо прочего, записывала разговоры по Skype, регистрировала нажатия клавиш и собирала снимки экрана. Он был нацелен на правительственные и образовательные организации, а также на некоторых частных лиц, в основном в Иране и других странах Ближнего Востока.
  • Havex (2013). Компания Havex намеревалась собрать информацию, в частности, от энергетических, авиационных, оборонных и фармацевтических компаний. Вредоносное ПО Havex нацелено в основном на организации из США, Европы и Канады.
  • Industroyer (2016). Это адресные энергообъекты. Ему приписывают отключение электроэнергии на Украине в декабре 2016 года.
  • Тритон (2017). Это было нацелено на системы безопасности нефтехимического завода на Ближнем Востоке, что вызвало обеспокоенность по поводу намерений производителя вредоносного ПО причинить физический вред рабочим.
  • Самый последний (2018 г.). Сообщается, что неназванный вирус с характеристиками Stuxnet поразил неуказанную сетевую инфраструктуру в Иране в октябре 2018 года.

Хотя у обычных пользователей компьютеров нет причин для беспокойства об этих атаках вредоносного ПО на основе Stuxnet, они явно представляют собой серьезную угрозу для ряда критически важных отраслей, включая производство электроэнергии, электрические сети и оборону. В то время как вымогательство — обычная цель создателей вирусов, вирусы семейства Stuxnet, похоже, больше заинтересованы в атаках на инфраструктуру.Как компания может защитить себя от атаки вредоносного ПО, связанного со Stuxnet? Ниже приведены некоторые рекомендации McAfee.

Что такое бесфайловое вредоносное ПО? | McAfee

Требуется защита от определенных типов бесфайловых угроз?

В наши группы по исследованию угроз McAfee входят более 250 исследователей со всего мира, которые анализируют подозрительные объекты и поведение на предмет вредоносных угроз и разрабатывают инструменты, которые напрямую блокируют различные варианты бесфайловых угроз.Мы выпустили несколько сигнатур, блокирующих различные варианты бесфайловых угроз. К ним относятся:

Безфайловая угроза: отражающий самовпрыск
Отражательная загрузка относится к загрузке переносимого исполняемого файла (PE) из памяти, а не с диска. Созданная функция / сценарий может отражать загрузку переносимого исполняемого файла без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения этих созданных сценариев.Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытается внедрить PE в сам процесс PowerShell.

Безфайловая угроза: самовпрыск, отражающий EXE
Отражательная загрузка относится к загрузке PE из памяти, а не с диска. Созданная функция / сценарий может отражать загрузку исполняемого файла (EXE) без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения этих созданных сценариев.Это событие указывает на бесфайловую атаку, при которой сценарий PowerShell пытается внедрить EXE в сам процесс PowerShell.

Безфайловая угроза: удаленное внедрение отражающей DLL
Отражательная загрузка относится к загрузке PE из памяти, а не с диска. Созданная функция / сценарий может отражать загрузку DLL без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения этих созданных сценариев.Это событие указывает на бесфайловую атаку, при которой сценарий PowerShell пытался внедрить DLL в удаленный процесс.

Бесфайловая угроза: выполнение вредоносного кода с использованием метода DotNetToJScript
Это событие указывает на попытку выполнить вредоносный шелл-код с использованием метода DotNetToJScript, который используется в распространенных бесфайловых атаках, таких как CACTUSTORCH. Векторы атак DotNetToJScript позволяют загружать и выполнять вредоносные сборки .NET (DLL, EXE и т. Д.) Прямо из памяти с помощью файлов.NET-библиотеки, доступные через COM. Как и любой другой типичный метод бесфайловой атаки, DotNetToJScript не записывает какую-либо часть вредоносной .NET DLL или EXE на жесткий диск компьютера.

Что такое программы-вымогатели? Определение программы-вымогателя

Программа-вымогатель представляет угрозу для вас и вашего устройства, но что делает эту форму вредоносной программы такой особенной? Слово «выкуп» говорит вам все, что вам нужно знать об этом вредителе. Программа-вымогатель — это программа-вымогатель, которая может заблокировать ваш компьютер, а затем потребовать выкуп за его выпуск.

В большинстве случаев заражение программами-вымогателями происходит следующим образом. Вредоносная программа сначала получает доступ к устройству. В зависимости от типа вымогателя шифруется вся операционная система или отдельные файлы. Затем от жертвы требуют выкуп. Если вы хотите, чтобы минимизировала риск атаки программ-вымогателей , вам следует положиться на высококачественное программное обеспечение для защиты от программ-вымогателей .

Программы-вымогатели: часть семейства вредоносных программ

Вредоносное ПО — это комбинация слов «вредоносный» и «программное обеспечение».Таким образом, термин «вредоносное ПО» охватывает все вредоносные программы, которые могут быть опасны для вашего компьютера. Сюда входят вирусы и трояны.

Как обнаружить программы-вымогатели и защититься от них

Когда дело доходит до защиты от программ-вымогателей, профилактика лучше лечения. Чтобы добиться этого, критически важны зоркий взгляд и правильное программное обеспечение безопасности . Сканирование уязвимостей также может помочь вам найти злоумышленников в вашей системе. Во-первых, важно убедиться, что ваш компьютер не является идеальной целью для программ-вымогателей.Программное обеспечение устройства необходимо всегда обновлять, чтобы использовать последние исправления безопасности . Кроме того, очень важны осторожные действия, особенно в отношении мошеннических веб-сайтов и вложений электронной почты. Но даже самые лучшие превентивные меры могут потерпеть неудачу, поэтому еще более важно иметь план действий на случай непредвиденных обстоятельств. В случае программ-вымогателей план действий в чрезвычайных обстоятельствах состоит из резервной копии ваших данных . Чтобы узнать, как создать резервную копию и какие дополнительные меры вы можете принять для защиты своего устройства, прочитайте статью Защита от программ-вымогателей: как сохранить ваши данные в безопасности в 2021 году .

Борьба с троянами-шифровальщиками — вы справитесь!

Наиболее распространенные пути заражения вымогателями включают посещение вредоносных веб-сайтов, загрузку вредоносного вложения или через нежелательные надстройки во время загрузок . Одного неосторожного момента достаточно, чтобы спровоцировать атаку программы-вымогателя. Поскольку вредоносное ПО предназначено для того, чтобы оставались необнаруженными как можно дольше , выявить заражение сложно. Атака программ-вымогателей, скорее всего, будет обнаружена программным обеспечением безопасности .

Очевидно, что изменения расширений файлов, повышенная активность ЦП и другая сомнительная активность на вашем компьютере могут указывать на заражение. При удалении программ-вымогателей вам доступны три основных варианта. Первый — это заплатить выкуп , который определенно не рекомендуется . Поэтому лучше попытаться удалить программу-вымогатель с вашего компьютера. Если это невозможно, остается только один шаг: вам нужно будет сбросить настройки компьютера до заводских.

Какие виды программ-вымогателей существуют и что это значит для вас?

Как упоминалось выше, угроза, исходящая от программ-вымогателей, зависит от варианта вируса. Первое, что следует учитывать, это то, что существует две основные категории программ-вымогателей: программа-вымогатель шкафчик-вымогатель и шифровальщик-вымогатель . Их можно выделить следующим образом:

  • Locker ransomware — затронуты основные функции компьютера
  • Crypto ransomware — отдельные файлы зашифрованы

Тип вредоносного ПО также имеет большое значение, когда дело доходит до выявления и работы с программами-вымогателями.В рамках этих двух основных категорий проводится различие между многочисленными дополнительными типами программ-вымогателей. К ним относятся, например, Locky , WannaCry, и Bad Rabbit.

История программ-вымогателей

Такой шантаж компьютерных пользователей — это не изобретение 21 века. Еще в 1989 году был использован примитивный первопроходец вымогателей. первых конкретных случаев вымогательства было зарегистрировано в России в 2005 году . С тех пор программы-вымогатели распространились по всему миру, и новые типы продолжают приносить успех.В 2011 году наблюдался резкий рост атак программ-вымогателей. В ходе дальнейших атак производители антивирусного программного обеспечения все больше сосредотачивают свои антивирусные сканеры на программах-вымогателях, особенно с 2016 года.

Региональные различия часто можно увидеть в различных атаках программ-вымогателей. Например:

  • Некорректные сообщения о нелицензионных приложениях:

В некоторых странах трояны уведомляют жертву о том, что на их компьютере установлено нелицензионное программное обеспечение.Затем сообщение предлагает пользователю произвести платеж.

  • Ложные заявления о незаконном содержании:

В странах, где нелегальная загрузка программного обеспечения является обычной практикой, этот подход не особенно эффективен для киберпреступников. Вместо этого в сообщениях вымогателей утверждается, что они исходят от правоохранительных органов и что на компьютере жертвы была обнаружена детская порнография или другой незаконный контент. В сообщении также содержится требование уплаты пени.

Крупнейшая атака программ-вымогателей

Одна из самых крупных и серьезных атак с использованием программ-вымогателей произошла весной 2017 года и получила название WannaCry . В ходе атаки около 200 000 жертв из примерно 150 стран попросили заплатить выкуп в биткойнах.

Заключение

Программы-вымогатели во всех их формах и вариантах представляют значительную угрозу как для частных пользователей , так и для компаний .Это делает еще более важным следить за угрозой, которую она представляет, и быть готовым ко всем непредвиденным обстоятельствам. Поэтому важно знать о программах-вымогателях, хорошо понимать, как вы используете устройства, и устанавливать лучшее программное обеспечение для обеспечения безопасности. Благодаря нашим информативным сообщениям в блогах и отмеченному наградами программному обеспечению безопасности, Kaspersky всегда готов помочь.

Статьи по теме:

Программа-вымогатель — определение, предотвращение и удаление

Kaspersky

Что такое программа-вымогатель, что она делает с моим компьютером и как я могу от нее защититься? Вот что вам нужно знать о троянах-шифровальщиках.

атак и типов программ-вымогателей | Чем отличаются Locky, Petya и другие программы-вымогатели?

Что такое программа-вымогатель?

Ransomware — это тип вредоносных программ (вредоносное ПО), используемых киберпреступниками. Если компьютер или сеть были заражены программой-вымогателем, программа-вымогатель блокирует доступ к системе или шифрует свои данные . Киберпреступники требуют от своих жертв выкуп в обмен на раскрытие данных.Чтобы защитить от заражения программами-вымогателями, рекомендуется внимательно следить и обеспечивать безопасность программного обеспечения. Жертвы атак вредоносных программ имеют три варианта после заражения : они могут либо заплатить выкуп , либо попытаться удалить вредоносное ПО , либо перезагрузить устройство . Векторы атак , часто используемые троянами-вымогателями, включают протокол удаленного рабочего стола , фишинговые сообщения электронной почты и программные уязвимости .Таким образом, атака программы-вымогателя может быть нацелена как на человек, , так и на компаний .

Выявление программ-вымогателей — необходимо проводить основное различие

В частности, очень популярны два типа программ-вымогателей:

  • Locker вымогатель. Этот тип вредоносного ПО блокирует основные функции компьютера . Например, вам может быть отказано в доступе к рабочему столу, а мышь и клавиатура частично отключены. Это позволяет вам продолжить взаимодействие с окном, содержащим требование выкупа, чтобы произвести платеж.Кроме того, компьютер вышел из строя. Но есть и хорошие новости: вредоносные программы Locker обычно не нацелены на важные файлы; обычно он просто хочет заблокировать вас. Поэтому полное уничтожение ваших данных маловероятно.
  • Шифровальщик-вымогатель. Цель программы-вымогателя — зашифровать ваших важных данных , таких как документы, изображения и видео, но не вмешиваться в основные функции компьютера . Это вызывает панику, потому что пользователи могут видеть свои файлы, но не могут получить к ним доступ.Разработчики криптографии часто добавляют обратный отсчет к своему требованию выкупа: «Если вы не заплатите выкуп до установленного срока, все ваши файлы будут удалены». и из-за большого количества пользователей, которые не подозревают о необходимости резервного копирования в облаке или на внешних физических устройствах хранения, шифровальщики-вымогатели могут иметь разрушительные последствия. Следовательно, многие жертвы платят выкуп просто для того, чтобы вернуть свои файлы.

Локки, Петя и Ко.

Теперь вы знаете, что такое программы-вымогатели и два основных типа.Далее вы узнаете о некоторых хорошо известных примерах , которые помогут вам определить опасности, исходящие от программ-вымогателей:

Локки

Locky — программа-вымогатель, впервые использованная для атаки в 2016 году группой организованных хакеров. Locky зашифровал более 160 типов файлов и был распространен с помощью поддельных писем с зараженными вложениями. Пользователи попались на уловку с электронной почтой и установили вымогатель на свои компьютеры. Этот метод распространения называется фишингом и представляет собой разновидность так называемой социальной инженерии.Программа-вымогатель Locky нацелена на типы файлов, которые часто используются дизайнерами, разработчиками, инженерами и тестировщиками.

WannaCry

WannaCry была атакой программы-вымогателя, которая распространилась на более чем 150 стран в 2017 году. Она была разработана для использования уязвимости системы безопасности в Windows , созданной АНБ и просочившейся хакерской группой Shadow Brokers. WannaCry затронул 230 000 компьютеров по всему миру. Атака поразила треть всех больниц NHS в Великобритании, причинив ущерб в 92 миллиона фунтов стерлингов.Пользователи были заблокированы, и потребовался выкуп в биткойнах. Атака выявила проблему устаревших систем, поскольку хакер использовал уязвимость операционной системы, для которой на момент атаки уже давно существовал патч. Мировой финансовый ущерб, нанесенный WannaCry, составил около 4 миллиардов долларов США.

Плохой кролик

Bad Rabbit — это атака с использованием программ-вымогателей с 2017 года, которая распространялась посредством так называемых атак наезд . Небезопасные веб-сайты использовались для проведения атак.В ходе скрытой атаки программы-вымогателя пользователь посещает реальный веб-сайт, не подозревая, что он был взломан хакерами. Для большинства атак типа drive-by все, что требуется от пользователя, — это вызвать страницу, которая была взломана таким образом. Однако в этом случае запуск установщика, содержащего замаскированную вредоносную программу, привел к заражению. Это называется злоумышленником . Bad Rabbit попросил пользователя запустить поддельную установку Adobe Flash, тем самым заразив компьютер вредоносным ПО.

Рюк

Ryuk — это троян-шифровальщик, который распространился в августе 2018 года, и отключил функцию восстановления операционных систем Windows.Это сделало невозможным восстановление зашифрованных данных без внешней резервной копии. Ryuk также зашифрованных сетевых жестких дисков . Воздействие было огромным, и многие американские организации, подвергшиеся нападению, выплатили требуемые суммы выкупа. Общий ущерб оценивается более чем в 640 000 долларов.

Тень / Тролдеш

Атака программ-вымогателей Shade или Troldesh произошла в 2015 году и распространилась через спам-писем , содержащих зараженные ссылки или прикрепленные файлы.Интересно, что злоумышленники Тролдеш напрямую общались со своими жертвами по электронной почте. Жертвы, с которыми у них сложились «хорошие отношения», получали скидки. Однако такое поведение — скорее исключение, чем правило.

Головоломка

Jigsaw — это атака с использованием программ-вымогателей, которая началась в 2016 году. Атака получила свое название от изображения известной марионетки из франшизы фильма «Пила». С каждым дополнительным часом выкупа оставалась невыплаченной, и программа-вымогатель Jigsaw удаляла все больше файлов.Дополнительный стресс у пользователей вызвало использование изображения из фильма ужасов.

КриптоЛокер

CryptoLocker — это программа-вымогатель, которая была впервые обнаружена в 2007 году и распространялась через зараженных вложений электронной почты . Программа-вымогатель искала важные данные на зараженных компьютерах и зашифровывала их. Пострадало около 500 000 компьютеров. Правоохранительным органам и охранным компаниям в конечном итоге удалось захватить контроль над всемирной сетью захваченных домашних компьютеров, которые использовались для распространения CryptoLocker.Это позволило агентствам и компаниям перехватывать данные, передаваемые по сети, незаметно для злоумышленников. В конечном итоге это привело к созданию онлайн-портала , где жертвы могли получить ключ для разблокировки своих данных. Это позволило раскрыть их данные без необходимости платить преступникам выкуп.

Петя

Petya (не путать с ExPetr) — это атака программы-вымогателя, которая произошла в 2016 году и была возрождена как GoldenEye в 2017 году.Вместо того, чтобы зашифровать определенные файлы, эта вредоносная программа-вымогатель зашифровала весь жесткий диск жертвы. Это было сделано путем шифрования главной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске. Программа-вымогатель Petya распространилась по корпоративным отделам кадров через поддельное приложение, содержащее зараженную ссылку Dropbox.

Другой вариант Пети — Петя 2.0, который отличается некоторыми ключевыми особенностями. Однако с точки зрения того, как осуществляется атака, оба одинаково фатальны для устройства.

Золотой глаз

Воскрешение Пети как GoldenEye привело к всемирному заражению программами-вымогателями в 2017 году. GoldenEye , известный как «смертельный брат» WannaCry, поразил более 2000 целей, в том числе известных производителей нефти в России и несколько банков. В тревожном повороте событий GoldenEye заставил персонал Чернобыльской АЭС вручную проверять уровень радиации там, после того как они были заблокированы на своих компьютерах с Windows.

GandCrab

GandCrab — сомнительный вымогатель, который угрожал от до раскрыть порнографические привычки своих жертв .Он утверждал, что взломал веб-камеру жертвы и потребовал выкуп. Если выкуп не будет уплачен, в сети будут опубликованы неловкие кадры жертвы. После своего первого появления в 2018 году программа-вымогатель GandCrab продолжала развиваться в различных версиях. В рамках инициативы «No More Ransom» поставщики служб безопасности и полицейские агентства разработали инструмент для дешифрования программ-вымогателей, чтобы помочь жертвам восстановить свои конфиденциальные данные из GandCrab.

B0r0nt0k

B0r0nt0k — это программа-вымогатель, предназначенная специально для серверов на базе Windows и Linux.Эта вредоносная программа-вымогатель шифрует файлов сервера Linux и прикрепляет расширение файла «.rontok». Вредоносная программа не только представляет угрозу для файлов, но также вносит изменения в параметры запуска, отключает функции и приложения, а также добавляет записи, файлы и программы в реестр.

Программа-вымогатель Dharma Brrr

Brrr , новая программа-вымогатель Dharma, устанавливается вручную хакерами , которые затем взламывают настольные службы, подключенные к Интернету.Как только вымогатель активируется хакером, он начинает шифровать найденные файлы. Зашифрованным данным присваивается расширение файла «.id- [id]. [Email] .brrr».

Программа-вымогатель FAIR RANSOMWARE

FAIR RANSOMWARE — это программа-вымогатель, предназначенная для шифрования данных. С помощью мощного алгоритма шифруются все личные документы и файлы жертвы. К файлам, зашифрованным с помощью этой вредоносной программы, добавлено расширение «.FAIR RANSOMWARE».

Программа-вымогатель MADO

MADO Ransomware — еще один тип крипто-вымогателей.Данные, зашифрованные этой программой-вымогателем, получают расширение «.mado» и, таким образом, больше не могут быть открыты.

Атаки программ-вымогателей

Как уже упоминалось, программы-вымогатели находят свои цели во всех сферах жизни. Обычно требуемый выкуп составляет от 100 до 200 долларов. Однако некоторые корпоративные атаки требуют гораздо большего, особенно если злоумышленник знает, что блокируемые данные представляют собой значительные финансовые потери для атакуемой компании. Таким образом, киберпреступники могут зарабатывать огромные суммы денег с помощью этих методов.В двух приведенных ниже примерах жертва кибератаки является или была более значительной, чем тип используемого вымогателя.

WordPress вымогатель

Программа-вымогатель WordPress , как следует из названия, нацелена на файлы веб-сайтов WordPress. У жертвы вымогают выкуп, что типично для программ-вымогателей. Чем более востребован сайт WordPress, тем вероятнее, что будет атакован киберпреступниками с помощью программ-вымогателей.

Дело Росомахи

Wolverine Solutions Group (поставщик медицинских услуг) стала жертвой атаки программы-вымогателя в сентябре 2018 года.Вредоносная программа зашифровала большое количество файлов компании, что сделало невозможным их открытие для многих сотрудников. К счастью, эксперты-криминалисты смогли расшифровать и восстановить данные 3 октября. Однако в результате атаки были скомпрометированы данные пациентов. Имена, адреса, медицинские данные и другая личная информация могли попасть в руки киберпреступников.

Программа-вымогатель как услуга

Программа-вымогатель как услуга дает киберпреступникам с низкими техническими возможностями возможность проводить атаки программ-вымогателей.Вредоносное ПО доступно покупателям , что означает меньший риск и большую выгоду для программистов программного обеспечения.

Заключение

Атаки программ-вымогателей имеют множество различных видов, и бывают всех форм и размеров. Вектор атаки является важным фактором для типов используемых программ-вымогателей. Чтобы оценить размер и масштабы атаки, необходимо всегда учитывать, что поставлено на карту или , какие данные могут быть удалены или опубликованы .Независимо от типа программы-вымогателя, резервное копирование данных заранее и правильное использование программного обеспечения безопасности может значительно снизить интенсивность атаки .

Статьи по теме:

Как удалить программы-вымогатели | Удаление программ-вымогателей

Заражение программ-вымогателей означает, что ваши данные были зашифрованы или ваша операционная система заблокирована киберпреступниками. Эти преступники обычно требуют выкуп за расшифровку данных.Программы-вымогатели могут проникнуть на устройство разными способами. Наиболее распространенные пути включают заражений с вредоносных веб-сайтов , нежелательные надстройки загрузок и спама . Целями атак программ-вымогателей являются как отдельные лица, так и компании. Могут быть приняты различные меры для защиты от атак программ-вымогателей , при этом зоркий взгляд и правильное программное обеспечение являются важными шагами в правильном направлении. Атака программы-вымогателя означает потерю данных , , , потратившие большие суммы денег, или , оба .

Обнаружение программ-вымогателей

Как узнать, заражен ли ваш компьютер? Вот несколько способов обнаружить атаку программы-вымогателя:

  • Антивирусный сканер подает сигнал тревоги — если на устройстве есть антивирусный сканер, он может обнаружить заражение вымогателями на ранней стадии, если его не обойти.
  • Проверьте расширение файла — например, обычное расширение файла изображения — «.jpg». Если это расширение изменилось на незнакомую комбинацию букв, возможно, это заражение программой-вымогателем.
  • Изменение имени — файлы имеют другие имена, чем те, которые вы им дали? Вредоносная программа часто меняет имя файла при шифровании данных. Следовательно, это может быть ключом к разгадке.
  • Повышенная активность ЦП и диска — повышенная активность диска или основного процессора может указывать на то, что программа-вымогатель работает в фоновом режиме.
  • Сомнительное сетевое взаимодействие — программное обеспечение, взаимодействующее с киберпреступником или сервером злоумышленника, может вызвать подозрительное сетевое взаимодействие.
  • Зашифрованные файлы — поздним признаком активности программ-вымогателей является невозможность открытия файлов.

Наконец, окно с требованием выкупа подтверждает наличие заражения программой-вымогателем. Чем раньше обнаружена угроза, тем проще бороться с вредоносной программой. Раннее обнаружение заражения троянской программой-шифровальщиком может помочь определить, какой тип программы-вымогателя заразил конечное устройство. Многие троянские программы-вымогатели удаляют себя после выполнения шифрования, поэтому их невозможно проверить и расшифровать.

Произошло заражение программой-вымогателем. Какие у вас есть варианты?

Ransomware обычно делится на два типа: locker ransomware и crypto ransomware . Вирус-вымогатель шкафчика блокирует весь экран, а крипто-вымогатель шифрует отдельные файлы. Независимо от типа крипто-трояна у жертвы обычно есть три варианта:

  1. Они могут заплатить выкуп и надеяться, что киберпреступники сдержат свое слово и расшифруют данные.
  2. Они могут попытаться удалить и вредоносных программ, используя доступные инструменты.
  3. Они могут сбросить компьютер до заводских настроек .

Удаление троянских программ-шифровальщиков и расшифровка данных — как это делается

Как тип программы-вымогателя, так и стадия обнаружения вируса-вымогателя существенно влияют на борьбу с вирусом. Удаление вредоносного ПО и восстановление файлов возможно не со всеми вариантами вымогателей.Вот три способа борьбы с инфекцией.

Обнаружение программ-вымогателей — чем раньше, тем лучше!

Если программа-вымогатель обнаружена до того, как потребовался выкуп, у вас есть преимущество в том, что вы можете удалить это вредоносное ПО. Данные, которые были зашифрованы до этого момента, остаются зашифрованными, но вирус-вымогатель можно остановить. Раннее обнаружение означает, что можно предотвратить распространение вредоносного ПО на другие устройства и файлы.

Если вы сделаете резервную копию своих данных внешне или в облачном хранилище, вы сможете восстановить свои зашифрованные данные.Но что делать, если у вас нет резервной копии ваших данных? Мы рекомендуем иметь надежное решение для обеспечения безопасности в Интернете. Возможно, уже существует инструмент дешифрования для вымогателя, жертвой которого вы стали. Вы также можете посетить веб-сайт проекта No More Ransom . Эта общеотраслевая инициатива была запущена для помощи всем жертвам программ-вымогателей.

Инструкция по удалению программы-вымогателя с шифрованием файлов

Если вы стали жертвой атаки программы-вымогателя с шифрованием файлов , вы можете выполнить следующие действия, чтобы удалить трояна-шифровальщика.

Шаг 1. Отключитесь от Интернета

Сначала удалите все подключения, как виртуальные, так и физические. К ним относятся беспроводные и проводные устройства, внешние жесткие диски, любые носители и облачные учетные записи. Это может предотвратить распространение программ-вымогателей в сети. Если вы подозреваете, что пострадали другие области, выполните следующие действия по резервному копированию и для этих областей.

Шаг 2. Проведите расследование с помощью своего программного обеспечения для обеспечения безопасности в Интернете

Выполните сканирование на вирусы с помощью установленного программного обеспечения интернет-безопасности.Это поможет вам определить угрозы. Если обнаружены опасные файлы, их можно удалить или поместить в карантин. Вы можете удалить вредоносные файлы вручную или автоматически с помощью антивирусного программного обеспечения. Ручное удаление вредоносного ПО рекомендуется только опытным компьютерам.

Шаг 3. Используйте средство дешифрования программ-вымогателей

Если ваш компьютер заражен программой-вымогателем, которая шифрует ваши данные, вам понадобится соответствующий инструмент дешифрования, чтобы восстановить доступ. В «Лаборатории Касперского» мы постоянно исследуем новейшие типы программ-вымогателей, чтобы предоставить соответствующие инструменты дешифрования для противодействия этим атакам.

Шаг 4. Восстановите резервную копию

Если вы выполнили резервное копирование данных извне или в облачном хранилище, создайте резервную копию своих данных, которые еще не были зашифрованы с помощью программы-вымогателя. Если у вас нет резервных копий, очистить и восстановить компьютер намного сложнее. Чтобы избежать такой ситуации, рекомендуется регулярно создавать резервные копии. Если вы склонны забывать о таких вещах, используйте службы автоматического резервного копирования в облако или установите оповещения в своем календаре, чтобы они напоминали вам.

Как удалить программу-вымогатель с блокировкой экрана

В случае программы-вымогателя с блокировкой экрана жертва сначала сталкивается с проблемой доступа к программному обеспечению безопасности . При запуске компьютера в безопасном режиме есть вероятность, что действие блокировки экрана не загрузится, и жертва сможет использовать свою антивирусную программу для борьбы с вредоносным ПО.

Платить выкуп — да или нет?

Выплата выкупа вообще не рекомендуется .Как и в случае с политикой отказа от переговоров в реальной ситуации с заложниками, аналогичный подход следует применять и при взятии данных в заложники. Выплачивать выкуп не рекомендуется, поскольку нет гарантии, что вымогатели действительно выполнят свое обещание и расшифруют данные. Кроме того, оплата может способствовать процветанию этого вида преступлений. .

Если вы все же планируете заплатить выкуп, не удаляйте программу-вымогатель со своего компьютера. Фактически, в зависимости от типа программы-вымогателя или плана киберпреступника в отношении дешифрования, программа-вымогатель может быть единственным способом применить код дешифрования.Преждевременное удаление программного обеспечения сделало бы код дешифрования, купленный по высокой цене, непригодным для использования. Но если вы действительно получили код расшифровки и он работает, вы должны удалить программу-вымогатель с устройства сразу после того, как данные были расшифрованы.

Типы программ-вымогателей: в чем разница в том, как действовать?

Существует множество различных типов программ-вымогателей, некоторые из которых можно удалить всего за несколько щелчков мышью. Однако, напротив, существуют также широко распространенные варианты вируса, удаление которых значительно сложнее и требует много времени.

Существуют различные варианты удаления и расшифровки зараженных файлов в зависимости от типа программы-вымогателя. Не существует универсального инструмента дешифрования, который работал бы с множеством различных вариантов программ-вымогателей.

При правильном удалении программ-вымогателей важны следующие вопросы:

  • Какой тип вируса заразил устройство?
  • Есть ли подходящая программа для дешифрования, и если да, то какая?
  • Как вирус попал в систему?

Ryuk мог войти в систему через Emotet , например, что подразумевает различие в способах решения проблемы.Если это инфекция Petya , безопасный режим — хороший способ ее удалить. Подробнее о различных вариантах программ-вымогателей можно узнать здесь.

Заключение

Даже при соблюдении самых строгих мер безопасности нельзя с полной уверенностью исключить атаку программы-вымогателя. Если худшее дойдет до худшего, отличное программное обеспечение для обеспечения безопасности в Интернете, такое как от Kaspersky, , хорошая подготовка и осторожные действия, могут помочь смягчить последствия атаки.Помня о предупреждающих признаках атаки программы-вымогателя, вы можете обнаружить инфекцию и бороться с ней на ранней стадии. Однако, даже если потребовали выкуп, у вас есть несколько вариантов, и вы можете выбрать подходящий в зависимости от конкретной ситуации. Помните, что регулярное резервное копирование данных значительно снизит воздействие атаки.

Статьи по теме:

Удаление программ-вымогателей | Расшифровка данных — как убить вирус

Kaspersky

Обнаружение троянских программ-шифровальщиков, удаление программ-вымогателей с вашего компьютера и расшифровка ваших данных.Вот как это сделать.

Что такое программы-вымогатели? — Определение, профилактика и др.

История

Ransomware восходит к 1989 году, когда «вирус СПИДа» использовался для вымогательства денег у получателей вымогателей. Оплата за эту атаку производилась по почте в Панаму, после чего пользователю также был отправлен ключ дешифрования.

В 1996 году программа-вымогатель была известна как «криптовирусное вымогательство», введенное Моти Юнгом и Адамом Янгом из Колумбийского университета. Эта идея, родившаяся в академических кругах, проиллюстрировала прогресс, силу и создание современных криптографических инструментов.Янг и Юнг представили первую криптовирологическую атаку на конференции IEEE Security and Privacy в 1996 году. Их вирус содержал открытый ключ злоумышленника и зашифровал файлы жертвы. Затем вредоносная программа побуждала жертву отправить злоумышленнику асимметричный зашифрованный текст для расшифровки и возврата ключа дешифрования — за определенную плату.

Злоумышленники за эти годы проявили изобретательность, требуя платежей, которые практически невозможно отследить, что помогает киберпреступникам оставаться анонимными. Например, печально известная мобильная программа-вымогатель Fusob требует, чтобы жертвы платили подарочными картами Apple iTunes вместо обычной валюты, такой как доллары.

Атаки программ-вымогателей стали набирать популярность с ростом криптовалют, таких как биткойны. Криптовалюта — это цифровая валюта, в которой используются методы шифрования для проверки и защиты транзакций и управления созданием новых единиц. Помимо Биткойна, существуют и другие популярные криптовалюты, которые злоумышленники предлагают жертвам использовать, например Ethereum, Litecoin и Ripple.

Программа-вымогатель

атаковала организации практически во всех сферах, причем одним из самых известных вирусов были атаки на Пресвитерианский мемориальный госпиталь.Эта атака высветила потенциальный ущерб и риски программ-вымогателей.

Leave a comment