Протягом десятиліть кіберзлочинці успішно використовували недоліки та вразливості у Всесвітньому павутинні. Однак останніми роками було відзначено явне збільшення кількості атак, а також зростання їхнього рівня - зловмисники стають небезпечнішими, а шкідливі програми поширюються такими темпами, яких раніше ніколи не бачили.

Вступ

Йтиметься про програми-вимагачі, які здійснили немислимий стрибок у 2017 році, завдавши збитків тисячам організацій по всьому світу. Наприклад, в Австралії атаки таких здирників, як WannaCry та NotPetya навіть викликали занепокоєння на урядовому рівні.

Підсумовуючи «успіхи» шкідливих здирників цього року, ми розглянемо 10 найнебезпечніших організацій, які завдали найбільших збитків. Сподіватимемося, що наступного року ми зробимо уроки і не допустимо проникнення в наші мережі подібної проблеми.

NotPetya

Атака цього здирника розпочалася з української програми бухгалтерської звітності M.E.Doc, яка змінила заборонену в Україні 1C. За кілька днів NotPetya заразив сотні тисяч комп'ютерів у більш ніж 100 країнах. Цей шкодонос є варіантом більш старого здирника Petya, їх відрізняє лише те, що в атаках NotPetya використовувався той же експлойт, що і в атаках WannaCry.

У міру поширення NotPetya торкнувся декількох організацій в Австралії, наприклад, шоколадну фабрику Cadbury в Тасманії, яким довелося тимчасово закрити всю свою ІТ-систему. Також цьому здирнику вдалося проникнути на найбільший у світі контейнерний корабель, що належить компанії Maersk, який, як повідомляється, втратив до 300 мільйонів доларів доходу.

WannaCry

Цей страшний за своїми масштабами здирник практично захопив увесь світ. У його атаках використовувався сумнозвісний експлойт EternalBlue, що експлуатує вразливість у протоколі. Microsoft Server Message Block (SMB).

WannaCry заразив жертв у 150 країнах та понад 200 000 машин тільки в перший день. Нами було опубліковано цього гучного шкідливості.

Locky

Locky був найпопулярнішим здирником у 2016 році, проте не припинив діяти і в 2017. Нові варіанти Locky, що отримали імена Diablo і Lukitus, виникли цього року, використовуючи той же вектор атаки (фішинг) для залучення експлойтів.

Саме Locky стояв за скандалом, пов'язаним із email-шахрайством на Пошті Австралії. Згідно з Австралійською комісією з питань конкуренції та захисту споживачів, громадяни втратили понад 80 000 доларів через цю аферу.

CrySis

Цей екземпляр відзначився майстерним використанням протоколу віддаленого робочого столу (Remote Desktop Protocol, RDP). RDP є одним з найбільш популярних способів поширення здирників, оскільки таким чином кіберзлочинці можуть компрометувати машини, що контролюють цілі організації.

Жертви CrySis були змушені заплатити від $455 до $1022 за відновлення своїх файлів.

Nemucod

Nemucod розповсюджується за допомогою фішингового листа, який виглядає як рахунок-фактура на транспортні послуги. Цей здирник завантажує шкідливі файли, що зберігаються на зламаних веб-сайтах.

По використанню фішингових листів Nemucod поступається лише Locky.

Jaff

Jaff схожий на Locky та використовує схожі методи. Цей здирник не примітний оригінальними методами поширення або шифрування файлів, а навпаки - поєднує найбільш успішні практики.

Зловмисники, що стоять за ним, вимагали до $3 700 за доступ до зашифрованих файлів.

Spora

Для поширення цього різновиду програми-здирника кіберзлочинці зламують легітимні сайти, додаючи на них код JavaScript. Користувачам, які потрапили на такий сайт, буде відображено попереджувальне попередження, що пропонує оновити браузер Chromeщоб продовжити перегляд сайту. Після завантаження так званого Chrome Font Pack, користувачі заражалися Spora.

Cerber

Один із численних векторів атаки, які використовує Cerber, називається RaaS (Ransomware-as-a-Service). За цією схемою зловмисники пропонують платити за поширення троянця, обіцяючи відсоток від отриманих грошей. Завдяки цій «послугі» кіберзлочинці розсилають здирник, а потім надають іншим зловмисникам інструменти для поширення.

Cryptomix

Це один з небагатьох здирників, які не мають певного типу платіжного порталу, доступного в межах дарквебу. Постраждалі користувачі повинні дочекатися, коли кіберзлочинці відправлять їм електронною поштою інструкції.

Жертвами Cryptomix виявились користувачі з 29 країн, вони були змушені заплатити до $3 000.

Jigsaw

Ще один шкідливість зі списку, який розпочав свою діяльність у 2016 році. Jigsaw вставляє зображення клоуна із серії фільмів «Пила» в електронні спам-листи. Як тільки користувач натискає на зображення, здирник не тільки шифрує, але й видаляє файли у випадку, якщо користувач занадто затягує з оплатою викупу, розмір якого - $150.

Висновки

Як бачимо, сучасні загрози використовують дедалі витончені експлойти проти добре захищених мереж. Незважаючи на те, що підвищена поінформованість серед співробітників допомагає впоратися з наслідками заражень, підприємствам необхідно вийти за межі базових стандартів кібербезпеки, щоб захистити себе. Для захисту від сучасних загроз необхідні проактивні підходи, що використовують можливості аналізу в режимі реального часу, що базується на механізмі навчання, який включає розуміння поведінки та контексту загроз.

«Лабораторія Касперського» про шифрувальника “WannaCry”

Фахівці «Лабораторії Касперського» проаналізували інформацію про зараження програмою-шифрувальником, що отримала назву "WannaCry", з якими 12 травня зіткнулися компанії по всьому світу.

Фахівці "Лабораторії Касперського" проаналізували інформацію про зараження програмою-шифрувальником, що отримала назву "WannaCry", з якими 12 травня зіткнулися компанії по всьому світу. Як показав аналіз, атака відбувалася через відому мережеву вразливість Microsoft Security Bulletin MS17-010. Потім на заражену систему встановлювався руткіт, використовуючи який зловмисники запускали програму-шифрувальник.

Всі рішення «Лабораторії Касперського» детектують це шкідливе ПЗ, які використовувалися в цій атаці, такими вердиктами:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (для детектування даного шкідника компонент «Моніторинг Системи» має бути включений)

За розшифрування даних зловмисники вимагають заплатити викуп у розмірі 600 доларів США у криптовалюті Bitcoin. на Наразі"Лабораторія Касперського" зафіксувала близько 45 000 спроб атак у 74 країнах по всьому світу. Найбільше спроб заражень спостерігається у Росії.

Якщо Ваші файли виявилися зашифрованими, категорично не можна використовувати пропоновані в Інтернеті або отримані в електронних листах засоби розшифровки. Файли зашифровані криптостійким алгоритмом і не можуть бути розшифровані, а утиліти, завантажені вами, можуть завдати ще більшої шкоди вашому комп'ютеру, так і комп'ютерам у всій організації, оскільки потенційно є шкідливими і націлені на нову хвилю епідемії.

Якщо ви виявили, що ваш комп'ютер зазнав зараження, слід вимкнути його і звернутися до відділу інформаційної безпекидля отримання наступних інструкцій.

• Встановитиофіційний патч відMicrosoft , який закриває вразливість, що використовується в атаці (зокрема вже доступні оновлення для версійWindowsXPіWindows2003);
• Переконатися, що захисні рішення включені на всіх вузлах мережі;
• Якщо використовується захисне рішення «Лабораторії Касперського», переконатися, що його версія включає компонент «Моніторинг Системи» і він включений;
• Запустити завдання сканування критичних областей у захисному рішенні «Лабораторії Касперського», щоб виявити можливе зараження якомога раніше (інакше детектування відбудеться автоматично протягом 24 годин);
• Після детектування Trojan.Win64.EquationDrug.gen, зробити перезавантаження системи;
• Надалі для попередження подібних інцидентів використовувати сервіси інформування про загрози, щоб своєчасно отримувати дані про найбільш небезпечні таргетовані атаки та можливі зараження.

Більш детальну інформацію про атаки "WannaCry" можна знайти у звіті "Лабораторії Касперського"

Сучасні технології дозволяють хакерам постійно вдосконалювати способи шахрайства щодо звичайним користувачам. Як правило, для цих цілей використовується вірусне програмне забезпечення, що проникає на комп'ютер. Особливо небезпечним вважаються віруси-шифрувальники. Загроза полягає в тому, що вірус дуже швидко розповсюджується, зашифровуючи файли (користувач просто не зможе відкрити жоден документ). І якщо досить просто, то значно складніше розшифрувати дані.

Що робити, якщо вірус зашифрував файли на комп'ютері

Піддатися атаці шифрувальника може кожен, не застраховані навіть користувачі, у яких стоїть потужне антивірусне програмне забезпечення. Трояни шифрувальники файлів представлені різним кодом, який може бути не під силу антивірусу. Хакери навіть примудряються атакувати у такий спосіб великі компанії, які не подбали про необхідний захист своєї інформації. Отже, підчепивши в онлайні програму шифрувальник, необхідно вжити ряд заходів.

Головні ознаки зараження - повільна робота комп'ютера та зміна найменувань документів (можна помітити на робочому столі).

1. Перезапустіть комп'ютер, щоб перервати шифрування. Під час увімкнення не підтверджуйте запуск невідомих програм.
2. Запустіть антивірус, якщо він не зазнав атаки шифрувальника.
3. Відновити інформацію в деяких випадках допоможуть тіньові копії. Щоб знайти їх, відкрийте «Властивості» зашифрованого документа. Цей спосіб працює із зашифрованими даними розширення Vault, про який є інформація на порталі.
4. Завантажте утиліту останньої версіїдля боротьби з вірусами-шифрувальниками. Найефективніші пропонує «Лабораторія Касперського».

Віруси-шифрувальники у 2016: приклади

При боротьбі з будь-якою вірусною атакою важливо розуміти, що код часто змінюється, доповнюючись новим захистом від антивірусів. Само собою, програмам захисту потрібен якийсь час, поки розробник не оновить бази. Нами були відібрані найнебезпечніші віруси-шифрувальники останнього часу.

Ishtar Ransomware

Ishtar – шифрувальник, який вимагає у користувача гроші. Вірус був помічений восени 2016 року, заразивши величезну кількість комп'ютерів користувачів з Росії та інших країн. Поширюється за допомогою email-розсилки, в якій йдуть вкладені документи (інсталятори, документи тощо). Заражені шифрувальником Ishtar дані одержують у назві приставку «ISHTAR». У процесі створюється тестовий документ, де зазначено, куди звернутися за отриманням пароля. Зловмисники вимагають за нього від 3000 до 15000 рублів.

Небезпека вірусу Ishtar у тому, що на сьогоднішній день немає дешифратора, який би допоміг користувачам. Компаніям, які займаються створенням антивірусного ПЗ, потрібен час, щоб розшифрувати весь код. Нині можна лише ізолювати важливу інформацію(якщо особливу важливість) на окремий носій, чекаючи виходу утиліти, здатної розшифрувати документи. Рекомендується перевстановити операційну систему.

Neitrino

Шифрувальник Neitrino з'явився на просторах Мережі у 2015 році. За принципом атаки схожий на інші віруси подібної категорії. Змінює найменування папок та файлів, додаючи "Neitrino" або "Neutrino". Дешифрації вірус піддається важко – беруться за це далеко не всі представники антивірусних компаній, посилаючись на дуже складний код. Деяким користувачам допоможе відновлення тіньової копії. Для цього клацніть правою кнопкою миші зашифрований документ, перейдіть в «Властивості», вкладка «Попередні версії», натисніть «Відновити». Не зайвим буде скористатися і безкоштовна утиліта від «Лабораторії Касперського».

Wallet або .wallet.

З'явився вірус-шифрувальник Wallet наприкінці 2016 року. У процесі зараження змінює найменування даних на "Ім'я.. wallet" або схоже. Як і більшість вірусів-шифрувальників, потрапляє до системи через вкладення в електронних листах, які розсилають зловмисники. Оскільки загроза виникла зовсім недавно, антивірусні програми не помічають його. Після шифрації створюється документ, в якому шахрай вказує пошту для зв'язку. В даний час розробники антивірусного ПЗ працюють над розшифруванням коду вірусу-шифрувальника [email protected]. Користувачам, які зазнали атаки, залишається лише чекати. Якщо важливі дані, то рекомендується їх зберегти на зовнішній накопичувач, очистивши систему.

Enigma

Вірус-шифрувальник Enigma почав заражати комп'ютери російських користувачів наприкінці квітня 2016 року. Використовується модель шифрування AES-RSA, яка сьогодні зустрічається у більшості вірусів-вимагачів. На комп'ютер вірус проникає за допомогою скрипта, який запускає користувач, відкривши файли з підозрілого електронного листа. Досі немає універсального засобу для боротьби із шифрувальником Enigma. Користувачі, які мають ліцензію на антивірус, можуть попросити про допомогу на офіційному сайті розробника. Також було знайдено невелику «лазівку» – Windows UAC. Якщо користувач натисне «Ні» у віконці, що з'являється в процесі зараження вірусом, зможе згодом відновити інформацію за допомогою тіньових копій.

Granit

Новий вірус-шифрувальник Granit з'явився в Мережі восени 2016 року. Зараження відбувається за таким сценарієм: користувач запускає інсталятор, який заражає і шифрує всі дані на ПК, а також підключених накопичувачах. Боротися із вірусом складно. Для видалення можна скористатися спеціальними утилітамивід Kaspersky, але розшифрувати код ще не вдалося. Можливо допоможе відновлення попередніх версій даних. Крім цього, може розшифрувати фахівець, який має великий досвідале послуга коштує дорого.

Tyson

Був помічений нещодавно. Є розширенням вже відомого шифрувальника no_more_ransom, про який ви можете дізнатися на нашому сайті. Попадає на персональні комп'ютери з електронної пошти. Атаку зазнало багато корпоративних ПК. Вірус створює текстовий документз інструкцією для розблокування, пропонуючи заплатити викуп. Шифрувальник Tyson з'явився нещодавно, тому ключа для розблокування ще немає. Єдиний спосіб відновити інформацію – повернути попередні версії, якщо вони не зазнали видалення вірусом. Можна, звичайно, ризикнути, перевівши гроші на вказаний зловмисниками рахунок, але немає гарантій, що ви отримаєте пароль.

Spora

На початку 2017 року низка користувачів стала жертвою нового шифрувальника Spora. За принципом роботи він не сильно відрізняється від своїх побратимів, але може похвалитися професійнішим виконанням: краще складено інструкцію з отримання пароля, веб-сайт виглядає красивішим. Створено вірус-шифрувальник Spora на мові С, використовує поєднання RSA та AES для шифрування даних жертви. Атаку зазнали, як правило, комп'ютери, на яких активно використовується бухгалтерська програма 1С. Вірус, ховаючись під виглядом простого рахунку у форматі.pdf, змушує працівників компаній запускати його. Лікування поки що не знайдено.

1C.Drop.1

Цей вірус-шифрувальник для 1С з'явився влітку 2016 року, порушивши роботу багатьох бухгалтерій. Розроблено спеціально для комп'ютерів, на яких використовується програмне забезпечення 1С. Потрапляючи за допомогою файлу в електронному листі до ПК, пропонує власнику оновити програму. Яку кнопку користувач не натиснув, вірус почне шифрування файлів. Над інструментами для розшифровки працюють фахівці «Dr.Web», але поки що рішення не знайдено. Виною тому є складний код, який може бути в декількох модифікаціях. Захистом від 1C.Drop.1 стає лише пильність користувачів та регулярне архівування важливих документів.

da_vinci_code

Новий шифрувальник з незвичайною назвою. З'явився вірус навесні 2016 року. Від попередників відрізняється покращеним кодом та стійким режимом шифрування. da_vinci_code заражає комп'ютер завдяки виконавчому додатку (додається, як правило, до електронного листа), який користувач самостійно запускає. Шифрувальник «да Вінчі» (da vinci code) копіює тіло в системний каталог і реєстр, забезпечуючи автоматичний запуск при увімкненні Windows. Комп'ютеру кожної жертви надається унікальний ID (допомагає отримати пароль). Розшифрувати дані практично неможливо. Можна сплатити гроші зловмисникам, але ніхто не гарантує отримання пароля.

[email protected] / [email protected]

Дві адреси електронної пошти, якими часто супроводжувалися віруси-шифрувальники у 2016 році. Саме вони служать для зв'язку жертви зі зловмисником. Додавались адреси до самих різним видамвірусів: da_vinci_code, no_more_ransom і таке інше. Вкрай не рекомендується зв'язуватися, а також переказувати гроші шахраям. Користувачі здебільшого залишаються без паролів. Таким чином, показуючи, що шифрувальники зловмисників працюють, приносячи дохід.

Breaking Bad

З'явився ще на початку 2015 року, але активно поширився лише за рік. Принцип зараження ідентичний іншим шифрувальникам: інсталяція файлу з електронного листа, шифрування даних. Звичайні антивіруси, зазвичай, не помічають вірус Breaking Bad. Деякий код не може обминути Windows UAC, тому користувач має можливість відновити попередні версії документів. Дешифратора поки що не представила жодна компанія, яка розробляє антивірусне ПЗ.

XTBL

Дуже поширений шифрувальник, який завдав неприємностей багатьом користувачам. Потрапивши на ПК, вірус за лічені хвилини змінює розширення файлів на .xtbl. Створюється документ, у якому зловмисник вимагає грошові кошти. Деякі різновиди вірусу XTBLне можуть знищити файли для відновлення системи, що дає змогу повернути важливі документи. Сам вірус можна видалити багатьма програмами, але розшифрувати документи дуже складно. Якщо є власником ліцензійного антивірусу, скористайтесь технічною підтримкою, додавши зразки заражених даних.

Kukaracha

Шифрувальник «Кукарача» був помічений у грудні 2016 року. Вірус з цікавою назвою приховує файли користувача за допомогою алгоритму RSA-2048, який відрізняється високою стійкістю. Антивірус Kaspersky позначив його як Trojan-Ransom.Win32.Scatter.lb. Kukaracha може бути видалено з комп'ютера, щоб зараження не зазнали інших документів. Проте заражені на сьогодні практично неможливо розшифрувати (дуже потужний алгоритм).

Як працює вірус-шифрувальник

Існує безліч шифрувальників, але вони працюють за подібним принципом.

1. Попадання на персональний комп'ютер. Як правило, завдяки вкладеному файлу до електронного листа. Інсталяцію у своїй ініціює сам користувач, відкривши документ.
2. Зараження файлів. Піддаються шифрації майже всі типи файлів (залежить від вірусу). Створюється текстовий документ, у якому вказані контакти зв'язку зі зловмисниками.
3. Всі. Користувач не може отримати доступу до жодного документа.

Засоби боротьби від популярних лабораторій

Широке поширення шифрувальників, які визнаються найбільш небезпечними загрозами для даних користувачів, стало поштовхом для багатьох антивірусних лабораторій. Кожна популярна компанія надає своїм користувачам програми, що допомагають боротися із шифрувальниками. Крім того, багато хто з них допомагає з розшифровкою документів захистом системи.

Kaspersky та віруси-шифрувальники

Одна з найвідоміших антивірусних лабораторій Росії та світу пропонує сьогодні найбільш дієві засоби для боротьби з вірусами-вимагачами. Першою перешкодою для вірусу-шифрувальника стане Kaspersky Endpoint Security 10 с останніми оновленнями. Антивірус просто не пропустить на комп'ютер загрозу (щоправда, нові версії може не зупинити). Для розшифровки інформації розробник представляє відразу кілька безкоштовних утиліт: , XoristDecryptor, RakhniDecryptor та Ransomware Decryptor. Вони допомагають шукати вірус і підбирають пароль.

Dr. Web та шифрувальники

Ця лабораторія рекомендує використовувати їх антивірусну програму, Головною особливістю якої стало резервування файлів Сховище з копіями документів, захищене від несанкціонованого доступу зловмисників. Власникам ліцензійного продукту Dr. Web доступна функція звернення за допомогою на технічну підтримку. Щоправда, і досвідчені фахівці не завжди можуть протистояти цьому типу загроз.

ESET Nod 32 та шифрувальники

Осторонь не залишилася ця компанія, забезпечуючи своїм користувачам непоганий захист від проникнення вірусів на комп'ютер. Крім того, лабораторія нещодавно випустила безкоштовну утилітуіз актуальними базами – Eset Crysis Decryptor. Розробники заявляють, що вона допоможе у боротьбі навіть із найновішими шифрувальниками.

По всьому світу прокотилася хвиля нового вірусу-шифрувальника WannaCry (інші назви Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), який зашифровує документи на комп'ютері і вимагає 300-600 USD за їхнє декодування. Як дізнатися, чи заражено комп'ютер? Що потрібно зробити, щоб не стати жертвою? І що зробити, щоб вилікуватись?

Після встановлення оновлень комп'ютер потрібно буде перевантажити.

Як вилікується від вірусу-шифрувальника Wana Decrypt0r?

Коли антивірусна утиліта виявить вірус, вона або видалить його відразу, або запитає у вас лікувати чи ні? Відповідь – лікувати.

Як відновити зашифровані файли Wana Decryptor?

Нічого втішного зараз повідомити не можемо. Поки інструмента розшифровування файлів не створили. Поки що залишається лише почекати, коли дешифрувальник буде розроблено.

За даними Брайана Кребса (Brian Krebs), експерта з комп'ютерної безпеки, наразі злочинці отримали лише 26'000 USD, тобто лише близько 58 осіб погодилося заплатити викуп здирникам. Чи відновили вони свої документи, ніхто не знає.

Як зупинити поширення вірусу в мережі?

У випадку з WannaCry вирішенням проблеми може стати блокування 445 порту на Firewall (міжмережевий екран), через яке відбувається зараження.