Desetljećima su kibernetički kriminalci uspješno iskorištavali nedostatke i ranjivosti na World Wide Webu. Međutim, posljednjih godina evidentan je jasan porast broja napada, kao i porast njihove razine - napadači postaju sve opasniji, a malware se širi dosad neviđenom brzinom.

Uvod

Govorimo o ransomwareu koji je doživio nevjerojatan skok u 2017., nanijevši štetu tisućama organizacija diljem svijeta. Na primjer, u Australiji su napadi ransomwarea kao što su WannaCry i NotPetya čak izazvali zabrinutost na razini vlade.

Sumirajući ovogodišnje "uspjehe" ransomware malwarea, osvrnut ćemo se na 10 najopasnijih koji su nanijeli najveću štetu organizacijama. Nadajmo se da ćemo iduće godine izvući lekcije i spriječiti ovu vrstu problema da uđe u naše mreže.

Ne Petya

Napad ovog ransomwarea započeo je s ukrajinskim računovodstvenim programom M.E.Doc, koji je zamijenio 1C, koji je bio zabranjen u Ukrajini. U samo nekoliko dana NotPetya je zarazila stotine tisuća računala u više od 100 zemalja. Ovaj malware je varijanta starijeg Petya ransomwarea, jedina razlika je u tome što su NotPetya napadi koristili isti exploit kao i WannaCry napadi.

Kako se NotPetya širio, utjecao je na nekoliko organizacija u Australiji, poput tvornice čokolade Cadbury u Tasmaniji, koja je morala privremeno zatvoriti cijeli svoj IT sustav. Ransomware se također uspio infiltrirati u najveći svjetski kontejnerski brod u vlasništvu Maerska, koji je navodno izgubio do 300 milijuna dolara prihoda.

WannaCry

Ovaj ransomware, užasan po svojim razmjerima, praktički je preuzeo cijeli svijet. Njegovi napadi koristili su zloglasni EternalBlue exploit, koji iskorištava ranjivost u protokolu Microsoftov poslužitelj Blok poruka (SMB).

WannaCry je samo prvog dana zarazio žrtve u 150 zemalja i više od 200.000 strojeva. Objavili smo ovaj senzacionalni malware.

Zaključano

Locky je bio najpopularniji ransomware u 2016., ali je ostao aktivan u 2017. Nove varijante Lockyja, nazvane Diablo i Lukitus, pojavile su se ove godine koristeći isti vektor napada (phishing) za pokretanje exploita.

Locky je bio taj koji je stajao iza skandala s prijevarom elektroničke pošte u Australia Postu. Prema Australskoj komisiji za tržišno natjecanje i potrošače, građani su zbog ove prijevare izgubili više od 80.000 dolara.

Kriza

Ova se instanca istaknula majstorskom upotrebom protokola udaljene radne površine (RDP). RDP je jedna od najpopularnijih metoda za distribuciju ransomwarea jer kibernetičkim kriminalcima omogućuje kompromitaciju strojeva koji kontroliraju cijele organizacije.

Žrtve CrySisa bile su prisiljene platiti između 455 i 1022 dolara za vraćanje svojih datoteka.

Nemucod

Nemucod se distribuira pomoću phishing e-pošte koja izgleda kao faktura za usluge prijevoza. Ovaj ransomware preuzima zlonamjerne datoteke pohranjene na hakiranim web stranicama.

Što se tiče upotrebe phishing e-pošte, Nemucod je odmah iza Lockyja.

Jaff

Jaff je sličan Lockyju i koristi slične tehnike. Ovaj ransomware nije poznat po originalnim metodama širenja ili šifriranja datoteka, već naprotiv, kombinira najuspješnije prakse.

Napadači koji stoje iza njega tražili su do 3700 dolara za pristup šifriranim datotekama.

Spora

Kako bi proširili ovu vrstu ransomwarea, kibernetički kriminalci hakiraju legitimna web-mjesta dodajući im JavaScript kod. Korisnici koji dođu na takvo mjesto vidjet će skočno upozorenje koje ih poziva da ažuriraju. Chrome preglednik za nastavak pregledavanja stranice. Nakon preuzimanja takozvanog Chrome Font Packa, korisnici su se zarazili Sporom.

Cerber

Jedan od mnogih vektora napada koje Cerber koristi naziva se RaaS (Ransomware-as-a-Service). Prema ovoj shemi, napadači nude plaćanje za distribuciju Trojanaca, obećavajući postotak od primljenog novca. Zahvaljujući ovoj "usluzi", kibernetički kriminalci šalju ransomware, a zatim drugim napadačima daju alate za njegovu distribuciju.

Cryptomix

Ovo je jedan od rijetkih ransomwarea koji nema određenu vrstu portala za plaćanje dostupnu unutar dark weba. Pogođeni korisnici moraju čekati da im kibernetički kriminalci e-poštom pošalju upute.

Korisnici iz 29 zemalja bili su žrtve Cryptomixa;

ubodna pila

Još jedan malware s popisa koji je započeo svoju aktivnost 2016. Jigsaw ubacuje sliku klauna iz serije filmova Saw u spam e-poštu. Čim korisnik klikne na sliku, ransomware ne samo da šifrira, već i briše datoteke ako korisnik zakasni s plaćanjem otkupnine od 150 dolara.

zaključke

Kao što vidimo, moderne prijetnje koriste sve sofisticiranije napade protiv dobro zaštićenih mreža. Iako povećana svijest među zaposlenicima može pomoći u upravljanju utjecajem infekcija, tvrtke moraju ići dalje od osnovnih standarda kibernetičke sigurnosti kako bi se zaštitile. Obrana od današnjih prijetnji zahtijeva proaktivne pristupe koji iskorištavaju analitiku u stvarnom vremenu koju pokreće mehanizam za učenje koji uključuje razumijevanje ponašanja prijetnji i konteksta.

Kaspersky Lab o ransomwareu WannaCry

Stručnjaci Kaspersky Laba analizirali su informacije o infekcijama ransomware programom pod nazivom "WannaCry" s kojim su se 12. svibnja susrele tvrtke diljem svijeta

Stručnjaci Kaspersky Laba analizirali su informacije o infekcijama ransomware programom pod nazivom “WannaCry” s kojim su se 12. svibnja susrele tvrtke diljem svijeta. Kako je analiza pokazala, napad se dogodio kroz poznatu mrežnu ranjivost Microsoft Security Bulletin MS17-010. Potom je na zaraženi sustav instaliran rootkit pomoću kojeg su napadači pokrenuli program za šifriranje.

Sva rješenja tvrtke Kaspersky Lab otkrivaju ovaj zlonamjerni softver koji je korišten u ovom napadu sa sljedećim presudama:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (za otkrivanje ovog zlonamjernog softvera mora biti omogućena komponenta za praćenje sustava)

Kako bi dešifrirali podatke, napadači traže otkupninu od 600 dolara u kriptovaluti Bitcoin. Na ovaj trenutak Kaspersky Lab je zabilježio oko 45.000 pokušaja napada u 74 zemlje svijeta. Najveći broj pokušaja infekcije zabilježen je u Rusiji.

Ako su vaše datoteke šifrirane, nikako ne biste trebali koristiti alate za dešifriranje koji se nude na internetu ili koje primate putem e-pošte. Datoteke su šifrirane jakim algoritmom enkripcije i ne mogu se dekriptirati, a uslužni programi koje preuzmete mogu nanijeti još veću štetu vašem računalu i računalima u cijeloj organizaciji jer su potencijalno zlonamjerni i usmjereni su na novi val epidemije.

Ako otkrijete da je vaše računalo zaraženo, trebali biste ga isključiti i kontaktirati sigurnost informacija za daljnje upute.

• Instaliratislužbena zakrpa odMicrosoft , koji zatvara ranjivost korištenu u napadu (konkretno, ažuriranja su već dostupna za verzijeWindowsXPIWindows2003);
• Provjerite jesu li sigurnosna rješenja omogućena na svim mrežnim čvorovima;
• Ako koristite sigurnosno rješenje tvrtke Kaspersky Lab, provjerite uključuje li njegova verzija komponentu “Nadgledanje sustava” i je li omogućena;
• Pokrenite zadatak skeniranja kritičnih područja u sigurnosnom rješenju Kaspersky Lab kako biste otkrili moguću infekciju što je prije moguće (inače će se otkrivanje dogoditi automatski unutar 24 sata);
• Nakon otkrivanja Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav;
• Ubuduće, kako biste spriječili takve incidente, koristite usluge prijavljivanja prijetnji kako biste pravodobno dobili podatke o najopasnijim ciljanim napadima i mogućim infekcijama.

Detaljnije informacije o napadima “WannaCry” možete pronaći u izvješću Kaspersky Laba

Suvremene tehnologije omogućuju hakerima da stalno poboljšavaju metode prijevare u odnosu na obični korisnici. U pravilu se u te svrhe koristi virusni softver koji prodire u računalo. Virusi za šifriranje smatraju se posebno opasnima. Prijetnja je u tome što se virus vrlo brzo širi, šifrirajući datoteke (korisnik jednostavno neće moći otvoriti niti jedan dokument). A ako je sasvim jednostavno, onda je mnogo teže dešifrirati podatke.

Što učiniti ako je virus šifrirao datoteke na vašem računalu

Svatko može biti napadnut ransomwareom; čak ni korisnici koji imaju moćan antivirusni softver nisu imuni. Trojanci za šifriranje datoteka dolaze u različitim kodovima koji mogu biti izvan mogućnosti antivirusa. Hakeri čak uspijevaju na sličan način napasti i velike tvrtke koje se nisu pobrinule za potrebnu zaštitu svojih informacija. Dakle, nakon što ste preuzeli ransomware program na mreži, trebate poduzeti niz mjera.

Glavni znakovi zaraze su spor rad računala i promjene u nazivima dokumenata (može se vidjeti na radnoj površini).

1. Ponovno pokrenite računalo da zaustavite enkripciju. Prilikom uključivanja nemojte potvrditi pokretanje nepoznatih programa.
2. Pokrenite antivirusni program ako ga nije napao ransomware.
3. U nekim će slučajevima kopije u sjeni pomoći u vraćanju podataka. Da biste ih pronašli, otvorite "Svojstva" šifriranog dokumenta. Ova metoda radi s kriptiranim podacima iz proširenja Vault, o čemu postoje informacije na portalu.
4. Preuzmite uslužni program Najnovija verzija za borbu protiv ransomware virusa. Najučinkovitije nudi Kaspersky Lab.

Ransomware virusi u 2016.: primjeri

Kada se borite protiv napada virusa, važno je razumjeti da se kod vrlo često mijenja, dopunjen novom antivirusnom zaštitom. Naravno, sigurnosnim programima treba neko vrijeme dok programer ne ažurira baze podataka. Odabrali smo najopasnije enkripcijske viruse u posljednje vrijeme.

Ishtar Ransomware

Ishtar je ransomware koji iznuđuje novac od korisnika. Virus je primijećen u jesen 2016., zarazivši ogroman broj računala korisnika iz Rusije i niza drugih zemalja. Distribuira se e-poštom, koja sadrži priložene dokumente (instalatere, dokumente itd.). Podaci zaraženi kriptorom Ishtar dobivaju prefiks "ISHTAR" u svom nazivu. Proces stvara probni dokument koji pokazuje kamo treba ići za dobivanje lozinke. Napadači za to traže od 3.000 do 15.000 rubalja.

Opasnost od Ishtar virusa je u tome što danas ne postoji dekriptor koji bi pomogao korisnicima. Tvrtkama za antivirusni softver treba vremena da dešifriraju sav kod. Sada možete samo izolirati važna informacija(ako su od posebne važnosti) na poseban medij, čekajući izdavanje uslužnog programa koji može dešifrirati dokumente. Preporuča se ponovno instaliranje operacijski sustav.

Neitrino

Enkriptor Neitrino pojavio se na internetu 2015. godine. Princip napada sličan je drugim virusima slične kategorije. Mijenja nazive mapa i datoteka dodavanjem "Neitrino" ili "Neutrino". Virus je teško dešifrirati - ne poduzimaju se svi predstavnici ovog zadatka antivirusne tvrtke, pozivajući se na vrlo složen kod. Neki korisnici mogu imati koristi od vraćanja kopije u sjeni. Da biste to učinili, desnom tipkom miša kliknite šifrirani dokument, idite na "Svojstva", karticu "Prethodne verzije", kliknite "Vrati". Ne bi škodilo koristiti besplatni uslužni program iz Kaspersky Laba.

Novčanik ili .novčanik.

Virus Wallet enkripcije pojavio se krajem 2016. godine. Tijekom procesa zaraze mijenja naziv podataka u "Name..wallet" ili nešto slično. Kao i većina ransomware virusa, ulazi u sustav putem privitaka u e-porukama koje šalju napadači. Budući da se prijetnja pojavila nedavno, antivirusni programi je ne primjećuju. Nakon enkripcije, on kreira dokument u kojem prevarant označava email za komunikaciju. Trenutno programeri antivirusnog softvera rade na dešifriranju koda ransomware virusa. [e-mail zaštićen]. Korisnici koji su napadnuti mogu samo čekati. Ako su podaci važni, preporuča se da ih spremite u vanjska pohrana, čišćenje sustava.

Zagonetka

Ransomware virus Enigma počeo je zaraziti računala ruskih korisnika krajem travnja 2016. godine. Koristi se model šifriranja AES-RSA koji se danas nalazi u većini ransomware virusa. Virus prodire u računalo pomoću skripte koju korisnik pokreće otvarajući datoteke iz sumnjive e-pošte. Još uvijek ne postoji univerzalno sredstvo za borbu protiv ransomwarea Enigma. Korisnici s antivirusnom licencom mogu zatražiti pomoć na službenoj web stranici programera. Pronađena je i mala "rupa" - Windows UAC. Ako korisnik klikne "Ne" u prozoru koji se pojavi tijekom procesa zaraze virusom, moći će naknadno vratiti podatke pomoću kopija u sjeni.

Granit

Novi ransomware virus Granit pojavio se na internetu u jesen 2016. godine. Infekcija se događa prema sljedećem scenariju: korisnik pokreće instalacijski program koji inficira i kriptira sve podatke na računalu, kao i povezane diskove. Borba protiv virusa je teška. Za uklanjanje možete koristiti posebne komunalije od Kaspersky, ali šifra još nije dešifrirana. Možda će pomoći vraćanje prethodnih verzija podataka. Osim toga, specijalist koji ima odlično iskustvo, ali usluga je skupa.

Tysone

Nedavno je uočen. Riječ je o ekstenziji već poznatog ransomwarea no_more_ransom o kojemu možete saznati na našoj web stranici. Dolazi do osobnih računala od E-mail. Napadnuta su mnoga korporativna računala. Virus stvara Tekstualni dokument s uputama za otključavanje, uz ponudu plaćanja “otkupnine”. Tyson ransomware pojavio se nedavno, tako da još nema ključa za otključavanje. Jedini način povrata informacija je povratak prethodne verzije, ako ih nije izbrisao virus. Možete, naravno, riskirati prijenosom novca na račun koji su odredili napadači, ali nema jamstva da ćete dobiti lozinku.

Spora

Početkom 2017. veliki broj korisnika postao je žrtvama novog ransomwarea Spora. Po principu rada ne razlikuje se puno od svojih kolega, ali se može pohvaliti profesionalnijim dizajnom: upute za dobivanje lozinke su bolje napisane, a web stranica izgleda ljepše. Virus Spora ransomware kreiran je u jeziku C i koristi kombinaciju RSA i AES za šifriranje podataka žrtve. U pravilu su napadnuta računala na kojima se aktivno koristio računovodstveni program 1C. Virus, koji se skriva pod krinkom jednostavnog računa u .pdf formatu, prisiljava zaposlenike tvrtke da ga pokrenu. Liječenje još nije pronađeno.

1C.Drop.1

Ovaj virus 1C enkripcije pojavio se u ljeto 2016. godine, poremetivši rad mnogih računovodstvenih odjela. Osmišljen je posebno za računala koja koriste softver 1C. Nakon što se nađe na računalu putem datoteke u e-poruci, od vlasnika se traži da ažurira program. Koji god gumb korisnik pritisne, virus će početi šifrirati datoteke. Dr.Web stručnjaci rade na alatima za dešifriranje, ali još nije pronađeno rješenje. To je zbog složenog koda koji može imati nekoliko izmjena. Jedina zaštita od 1C.Drop.1 je oprez korisnika i redovito arhiviranje važnih dokumenata.

da_vincijev_kod

Novi ransomware s neobičnim imenom. Virus se pojavio u proljeće 2016. Od svojih prethodnika razlikuje se po poboljšanom kodu i jakom načinu šifriranja. da_vinci_code inficira računalo zahvaljujući izvršnoj aplikaciji (obično priloženoj uz elektronička pošta), koju korisnik samostalno pokreće. Da Vincijev kod kopira tijelo u imenik i registar sustava, pružajući automatsko pokretanje na uključivanje Windowsa. Svakom računalu žrtve dodjeljuje se jedinstveni ID (pomaže u dobivanju lozinke). Gotovo je nemoguće dešifrirati podatke. Napadačima možete platiti novac, ali nitko ne jamči da ćete dobiti lozinku.

[e-mail zaštićen] / [e-mail zaštićen]

Dvije e-mail adrese koje su često bile popraćene ransomware virusima u 2016. Služe za povezivanje žrtve s napadačem. U prilogu su adrese većine različiti tipovi virusi: da_vinci_code, no_more_ransom i tako dalje. Toplo se preporučuje da ne kontaktirate prevarante niti im prenosite novac. Korisnici u većini slučajeva ostaju bez lozinki. Dakle, pokazujući da ransomware napadača radi, generirajući prihod.

Breaking Bad

Pojavio se početkom 2015., ali se aktivno proširio tek godinu dana kasnije. Princip zaraze identičan je kao kod drugih ransomwarea: instaliranje datoteke iz e-pošte, šifriranje podataka. Konvencionalni antivirusni programi u pravilu ne primjećuju virus Breaking Bad. Neki kodovi ne mogu zaobići Windows UAC, ostavljajući korisniku mogućnost vraćanja prethodnih verzija dokumenata. Nijedna tvrtka koja razvija antivirusni softver još nije predstavila dekriptor.

XTBL

Vrlo čest ransomware koji uzrokuje probleme mnogim korisnicima. Kada se nađe na računalu, virus u nekoliko minuta mijenja ekstenziju datoteke u .xtbl. Izrađuje se dokument u kojem napadač iznuđuje unovčiti. Neke sorte XTBL virus ne može uništiti datoteke za vraćanje sustava, što vam omogućuje vraćanje važnih dokumenata. Sam virus mogu ukloniti mnogi programi, ali je dešifriranje dokumenata vrlo teško. Ako ste vlasnik licenciranog antivirusnog programa, koristite tehničku podršku prilaganjem uzoraka zaraženih podataka.

Kukarača

Ransomware Cucaracha otkriven je u prosincu 2016. Virus zanimljivog naziva skriva korisničke datoteke pomoću RSA-2048 algoritma koji je vrlo otporan. Kaspersky Antivirus označio ga je kao Trojan-Ransom.Win32.Scatter.lb. Kukaracha se može ukloniti s računala kako se drugi dokumenti ne bi zarazili. Međutim, zaražene je trenutno gotovo nemoguće dešifrirati (vrlo moćan algoritam).

Kako radi ransomware virus?

Postoji ogroman broj ransomwarea, ali svi rade na sličnom principu.

1. Upucavati se Osobno računalo. Obično zahvaljujući priloženoj datoteci e-poruci. Instalaciju pokreće sam korisnik otvaranjem dokumenta.
2. Infekcija datoteke. Gotovo sve vrste datoteka su šifrirane (ovisno o virusu). Kreira se tekstualni dokument koji sadrži kontakte za komunikaciju s napadačima.
3. Svi. Korisnik ne može pristupiti niti jednom dokumentu.

Sredstva za kontrolu iz popularnih laboratorija

Raširena uporaba ransomwarea, koji je prepoznat kao najopasnija prijetnja korisničkim podacima, postala je poticaj mnogim antivirusnim laboratorijima. Svaka popularna tvrtka svojim korisnicima nudi programe koji im pomažu u borbi protiv ransomwarea. Osim toga, mnogi od njih pomažu u dešifriranju dokumenata i zaštiti sustava.

Kaspersky i ransomware virusi

Jedan od najpoznatijih antivirusnih laboratorija u Rusiji i svijetu danas nudi najučinkovitije alate za borbu protiv ransomware virusa. Prva prepreka ransomware virusu bit će Kaspersky Sigurnost krajnje točke 10 s najnovija ažuriranja. Antivirus jednostavno neće dopustiti prijetnji da uđe u vaše računalo (iako možda neće zaustaviti nove verzije). Za dešifriranje informacija, programer predstavlja nekoliko besplatnih uslužnih programa: XoristDecryptor, RakhniDecryptor i Ransomware Decryptor. Oni pomažu pronaći virus i odabrati lozinku.

Dr. Web i ransomware

Ovaj laboratorij preporuča korištenje njihovog antivirusnog programa, čija je glavna značajka backup datoteka. Skladište s kopijama dokumenata također je zaštićeno od neovlaštenog pristupa uljeza. Vlasnici licenciranog proizvoda Dr. Web funkcija dostupna je za traženje pomoći od tehničke podrške. Istina, čak i iskusni stručnjaci ne mogu uvijek odoljeti ovoj vrsti prijetnje.

ESET Nod 32 i ransomware

Ni ova tvrtka nije stajala po strani, pružajući svojim korisnicima dobru zaštitu od virusa koji ulaze u njihovo računalo. Osim toga, laboratorij je nedavno objavio besplatni uslužni program s trenutnim bazama podataka - Eset Crysis Decryptor. Programeri kažu da će pomoći u borbi čak i protiv najnovijeg ransomwarea.

Svijet je zahvatio val novog enkripcijskog virusa WannaCry (drugi nazivi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) koji šifrira dokumente na računalu i iznuđuje 300-600 USD za njihovo dekodiranje. Kako možete znati je li vaše računalo zaraženo? Što trebate učiniti da ne postanete žrtva? I što učiniti da se oporavi?

Nakon instaliranja ažuriranja morat ćete ponovno pokrenuti računalo.

Kako se oporaviti od ransomware virusa Wana Decrypt0r?

Kada antivirusni program otkrije virus, odmah će ga ukloniti ili će vas pitati treba li ga liječiti ili ne? Odgovor je liječiti.

Kako oporaviti datoteke šifrirane Wana Decryptorom?

Trenutačno ne možemo reći ništa umirujuće. Još nije stvoren alat za dešifriranje datoteka. Za sada ostaje samo čekati dok se dekriptor ne razvije.

Prema Brianu Krebsu, stručnjaku za računalnu sigurnost, kriminalci su u ovom trenutku dobili samo 26.000 USD, odnosno samo oko 58 ljudi pristalo je platiti otkupninu iznuđivačima. Nitko ne zna jesu li im vratili dokumente.

Kako zaustaviti širenje virusa online?

U slučaju WannaCryja, rješenje problema može biti blokiranje porta 445 na Firewallu, preko kojeg dolazi do infekcije.