Кой засади заека? Вирус за шифроване на файлове Wanna Cry - как да се защитите и да запазите данните Най-новите модификации

2017 беше годината на ransomware - най-значимата заплаха в областта информационна сигурносткакто за малки, средни и големи предприятия, така и за домашни потребители. Подобни атаки изискват откуп на много компютри по света, като същевременно завладяват заглавията на всички водещи медии във всички страни. Всъщност разходите за рансъмуер възлизат на близо 5 милиарда долара щети миналата година, което ги прави най-мощният и усъвършенстван вид кибератака, с 350% повече от 2016 г.

3. Провеждайте редовни одити на сигурността и тестове за уязвимост, за да разберете ясно входните точки във вашите системи.

4. Използвайте модерно и усъвършенствано мултиплатформено решение за информационна сигурност с разширени опции за защита, като , за криминалистичен анализ в реално време. Това ще ви позволи да предотвратите и откриете тези типове атаки и да извършите необходимите действия за отговор и възстановяване след атака.

Мерки за сигурност

Регулаторът препоръчва на банките да се уверят, че имат актуализирани системни и специални софтуер, антивирусите са инсталирани и актуализирани. FinCert също препоръчва сегментиране на компютърните мрежи на финансовите институции и проверка на настройките защитни стени— те трябва да блокират връзките към нерегулирани мрежови адреси. Също така се препоръчва да се извърши архивиранекритични информационни системи и бази данни.

В допълнение, регулаторът съветва да инструктира банковите служители да обръщат внимание на подозрителни пощенски съобщенияи не е посещавал съмнителни сайтове.

Представител на Централната банка каза на Ведомости, че от март до август 2017 г. Централната банка вече шест пъти е предупреждавала банките за рансъмуер.

В същото време банките бяха предупредени за опасността от рансъмуер вируса WannaCry още през април. На 12 май, когато стана известно, че хакери се опитват да атакуват редица организации по света, използвайки вируса WannaCry, FinCERT се насочи към банки и след това повтори предупреждението си. Имената на засегнатите банки не бяха разкрити в това съобщение. Известно е, че вирусът се е опитал, обаче, според съобщението финансова организация, хакерите не са проникнали в техните системи.

От вируса Petya ransomware руският банков сектор. „В резултат на атаките бяха регистрирани изолирани случаи на инфекция“, пише FinCERT. Сред известните банки, засегнати от атаката, са "". Банката съобщи, че не са били компрометирани данни за клиенти или транзакции.

Представители на банки, интервюирани от Ведомости, отбелязват, че препоръките на Централната банка са редовни и финансовите институции ги изпълняват.

Потенциална кибератака

Алексей Павлов, анализатор в центъра за мониторинг на киберзаплахи Solar JSOC, каза пред вестника, че през последните няколко дни организации в различни индустрии, включително банки, са получили предупреждения за възможна активност на ransomware, въпреки че центърът за мониторинг няма информация за подготовка на нова хакерска атака.

Данни за нова атаканито Kaspersky Lab, казва Денис Горчаков, ръководител на групата за изследване и анализ на измами. Той предполага, че писмото на FinCERT е свързано с предупреждение за заплаха в енергийния сектор: в навечерието на 9 август те предупредиха, че в близко бъдеще може да бъде извършена нова кибератака.

Поради заплахата хакерска атакаКомпанията за комунални услуги поиска от своите директори на клонове да ограничат достъпа на потребителите на корпоративната мрежа до интернет от 4 август до 14 август и също така да предупредят служителите да не отварят прикачени файлове от неизвестни податели или да кликват върху несвързани връзки в имейл.

Центърът за мониторинг и реакция на компютърни атаки в кредитно-финансовата сфера (FinCERT) е структура на Централната банка, която се занимава с киберсигурността. Създадена през 2015 г. с решение на Съвета за сигурност на Русия. Банките изпращат информация до Централната банка за открити компютърни атаки (на картови сметки, системи за дистанционно обслужване, банкови уебсайтове), след което специалистите анализират тези данни, идентифицират причините за проблемите и изпращат резултатите от анализа на участниците на пазара и правоприлагащите органи. .

Специалистите на Doctor Web изучават нов троянски кон с рансъмуер Trojan.Encoder.12544, наричани в медиите Петя, Petya.A, ExPetya и WannaCry-2. Въз основа на предварителен анализ на злонамерения софтуер, Доктор Уеб дава препоръки как да се избегне заразяване, казва какво да се направи, ако заразяването вече е настъпило, и разкрива техническите подробности за атаката.

Червеят рансъмуер, който предизвика много шум Trojan.Encoder.12544представлява сериозна опасност за персонални компютри, работещи под контрол Microsoft Windows. Различни източници го наричат ​​модификация на троянския кон, известен като Petya ( Trojan.Ransom.369), Но Trojan.Encoder.12544има само някои прилики с него. Този зловреден софтуер е проникнал Информационни системиредица правителствени агенции, банки и търговски организации, а също така зарази компютрите на потребители в няколко страни.

Понастоящем е известно, че троянският кон заразява компютри, използвайки същия набор от уязвимости, които преди това са били използвани от нападателите за проникване в компютрите на жертвите на троянския кон WannaCry. Масово разпространение Trojan.Encoder.12544започна сутринта на 27 юни 2017 г. Когато се стартира на атакувания компютър, троянският кон търси налични локална мрежаСлед това компютърът започва да сканира портове 445 и 139, като използва списъка с получени IP адреси.След като открие машини в мрежата, на които тези портове са отворени, Trojan.Encoder.12544се опитва да ги зарази, използвайки добре позната уязвимост в SMB протокола (MS17-10).

В тялото си троянският кон съдържа 4 компресирани ресурса, 2 от които са 32- и 64-битови версии на помощната програма Mimikatz, предназначена да прихваща пароли за отворени сесии в Windows. В зависимост от битовостта на операционната система, той разопакова съответната версия на помощната програма, записва я във временна папка и след това я стартира. Използване на помощната програма Mimikatz, както и два други метода Trojan.Encoder.12544получава списък с локални и домейн потребители, упълномощени на заразения компютър. След това търси мрежови папки с възможност за запис, опитва се да ги отвори с помощта на получените идентификационни данни и запазва своето копие там. За да зарази компютрите, до които е успял да получи достъп, Trojan.Encoder.12544използва помощна програма за управление отдалечен компютър PsExec (също се съхранява в ресурсите на троянския кон) или стандартна конзолна помощна програма за извикване на обекти Wmic.exe.

Енкодерът контролира своето рестартиране с помощта на файл, който записва в папката C:\Windows\. Този файл има име, което съвпада с името на троянския кон без разширение. Тъй като образецът на червея, който в момента се разпространява от нападателите, се нарича perfc.dat, файлът, който му пречи да работи отново, ще се казва C:\Windows\perfc. Въпреки това, веднага щом нападателите променят оригиналното име на троянския кон, създаването на файл в папката C:\Windows\ с име perfc без разширение (както съветват някои антивирусни компании) вече няма да спаси компютъра от инфекция. Освен това троянският кон проверява за наличието на файл само ако има достатъчно привилегии в операционната система за това.

След стартиране троянският кон конфигурира привилегиите си, зарежда собствено копие в паметта и му прехвърля контрола. След това енкодерът презаписва своя собствен дисков файл с нежелани данни и го изтрива. Преди всичко Trojan.Encoder.12544разваля VBR (Volume Boot Record) на устройство C:, първият сектор на диска се запълва с ненужни данни. След това рансъмуерът копира оригиналния буутлоудър влизане в Windowsкъм друга секция на диска, като преди това го е шифровал с помощта на алгоритъма XOR, и записва своя собствена вместо това. След това създава задача за рестартиране на компютъра и започва да шифрова всички файлове с открити разширения .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c на локални физически дискове .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi , .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, . vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Троянският кон криптира файлове само на фиксирани компютърни устройства; данните на всяко устройство се криптират в отделен поток. Криптирането се извършва с помощта на алгоритми AES-128-CBC, всеки диск има свой собствен ключ (това е отличителна чертаТроян, неотбелязан от други изследователи). Този ключ е шифрован с помощта на алгоритъма RSA-2048 (други изследователи съобщават, че използват 800-битов ключ) и се записва в основната папка на шифрованото устройство във файл с име README.TXT. Шифрованите файлове не получават допълнително разширение.

След завършване на предварително създадената задача, компютърът се рестартира и управлението се прехвърля към записа за зареждане на троянския кон. Той показва текст на екрана на заразения компютър, който наподобява съобщение от стандартната програма за сканиране на диск CHDISK.

Самите вируси като компютърна заплаха днес не изненадват никого. Но ако по-рано те засягаха системата като цяло, причинявайки смущения в нейната работа, днес, с появата на такова разнообразие като вирус на криптьор, действията на проникваща заплаха засягат повече потребителски данни. Може би представлява дори по-голяма заплаха от изпълнимите приложения, разрушителни за Windows, или шпионските аплети.

Какво е ransomware вирус?

Самият код, написан в самокопиращ се вирус, включва криптиране на почти всички потребителски данни със специални криптографски алгоритми, което не засяга системни файловеоперационна система.

Първоначално логиката на въздействието на вируса не беше напълно ясна за мнозина. Всичко стана ясно едва когато хакерите, създали такива аплети, започнаха да искат пари за възстановяване на оригиналната файлова структура. В същото време самият криптиран вирус не ви позволява да дешифрирате файлове поради неговите характеристики. За да направите това, имате нужда от специален дешифратор, ако желаете, код, парола или алгоритъм, необходим за възстановяване на желаното съдържание.

Принципът на проникване в системата и работа на вирусния код

По правило е доста трудно да „вземете“ такива глупости в Интернет. Основният източник на разпространение на „заразата“ е електронната поща на ниво програми, инсталирани на конкретен компютърен терминал, като Outlook, Thunderbird, The Bat и т.н. Веднага да отбележим: това не се отнася за сървърите за интернет поща, тъй като те имат доста висока степен на защита и достъпът до потребителските данни е възможен само на ниво

Друго нещо е приложение на компютърен терминал. Това е мястото, където полето за действие на вирусите е толкова широко, че е невъзможно да си го представите. Вярно е, че си струва да направите резервация тук: в повечето случаи вирусите са насочени към големи компании, от които могат да „откъснат“ пари за предоставяне на код за декриптиране. Това е разбираемо, тъй като не само на локални компютърни терминали, но и на сървърите на такива компании, файловете могат да се съхраняват, така да се каже, в едно копие, което не може да бъде унищожено при никакви обстоятелства. И тогава декриптирането на файлове след ransomware вирус става доста проблематично.

Разбира се, обикновен потребител може да бъде обект на такава атака, но в повечето случаи това е малко вероятно, ако следвате най-простите препоръки за отваряне на прикачени файлове с разширения от неизвестен тип. Дори пощенски клиентдефинира прикачен файл с разширение .jpg като стандарт графичен файл, първо трябва да го проверите като стандартно инсталиран в системата.

Ако това не е направено, когато го отворите с двойно щракване (стандартен метод), ще започне активирането на кода и ще започне процесът на криптиране, след което същият Breaking_Bad (криптиращ вирус) не само ще бъде невъзможен за премахване, но и но също така файловете няма да могат да бъдат възстановени след елиминиране на заплахата.

Общи последици от проникването на всички вируси от този тип

Както вече споменахме, повечето вируси от този тип влизат в системата чрез имейл. Е, да кажем, че голяма организация получава писмо до конкретен регистриран имейл със съдържание като „Променихме договора, прикачено е сканирано копие“ или „Изпратена ви е фактура за доставка на стоките (копие там)“. Естествено, нищо неподозиращият служител отваря файла и...

всичко потребителски файловена ниво офис документи, мултимедия, специализирани проекти на AutoCAD или всякакви други архивни данни се криптират незабавно и ако компютърният терминал е разположен в локална мрежа, вирусът може да бъде пренесен допълнително, криптирайки данни на други машини (това става забележимо веднага чрез „спирачна“ система и замразяване на програми или работещи в момента приложения).

В края на процеса на криптиране самият вирус очевидно изпраща своеобразен отчет, след което компанията може да получи съобщение, че такава или такава заплаха е проникнала в системата и че само такава и такава организация може да я дешифрира. Това обикновено включва вирус. [имейл защитен]. Следва изискване за плащане на услуги за декриптиране с предложение за изпращане на няколко файла на имейла на клиента, което най-често е фиктивно.

Вреди от излагане на код

Ако някой все още не е разбрал: дешифрирането на файлове след ransomware вирус е доста трудоемък процес. Дори и да не се поддадете на исканията на нападателите и да се опитате да включите официални правителствени агенции в борбата и предотвратяването на компютърни престъпления, обикновено нищо добро не идва от това.

Ако изтриете всички файлове, създадете и дори копирате оригиналните данни от преносим носител (разбира се, ако има такова копие), всичко пак ще бъде криптирано отново, ако вирусът е активиран. Така че не бива да се заблуждавате твърде много, особено след като поставите същата флашка в USB порт, потребителят дори няма да забележи как вирусът ще шифрова данните и на нея. Тогава няма да имате проблеми.

Първороден в семейството

Сега нека насочим вниманието си към първия криптиращ вирус. Как да дезинфекцираме и дешифрираме файлове след излагане на изпълним код, съдържащ се в прикачен файл електронна пощас предложението за запознаване, в момента на появата му все още никой не се е замислял. Осъзнаването на мащаба на бедствието дойде с времето.

Този вирус имаше романтичното име „Обичам те“. Нищо неподозиращ потребител отвори прикачен файл в имейл съобщение и получи напълно невъзможни за възпроизвеждане мултимедийни файлове (графика, видео и аудио). Тогава обаче подобни действия изглеждаха по-разрушителни (вреда на потребителските медийни библиотеки) и никой не поиска пари за това.

Най-новите модификации

Както виждаме, развитието на технологиите се превърна в доста печеливш бизнес, особено като се има предвид, че много мениджъри на големи организации веднага тичат да плащат за усилията за дешифриране, без изобщо да мислят, че могат да загубят както пари, така и информация.

Между другото, не гледайте всички тези „грешни“ публикации в интернет, казвайки: „Платих/платих необходимата сума, изпратиха ми код, всичко беше възстановено“. Глупости! Всичко това е написано от самите разработчици на вируса, за да привлекат потенциални, извинете ме, „смукачи“. Но по стандартите на обикновения потребител сумите за плащане са доста сериозни: от стотици до няколко хиляди или десетки хиляди евро или долари.

Сега нека да разгледаме най-новите видове вируси от този тип, които са регистрирани сравнително наскоро. Всички те са практически сходни и принадлежат не само към категорията на крипторите, но и към групата на така наречения ransomware. В някои случаи те действат по-правилно (като paycrypt), привидно изпращайки официални бизнес оферти или съобщения, че някой се грижи за сигурността на потребителя или организацията. Такъв криптиращ вирус просто подвежда потребителя със своето съобщение. Ако предприеме и най-малкото действие да плати, това е - „разводът“ ще бъде завършен.

XTBL вирус

Този сравнително нов може да се класифицира като класическа версия на ransomware. Обикновено той влиза в системата чрез имейл съобщения, съдържащи прикачени файлове, което е стандартно за скрийнсейвърите на Windows. Системата и потребителят смятат, че всичко е наред и активират преглед или запазване на прикачения файл.

За съжаление, това води до тъжни последици: имената на файловете се преобразуват в набор от знаци и .xtbl се добавя към основното разширение, след което се изпраща съобщение до желания имейл адрес за възможността за дешифриране след плащане на определената сума (обикновено 5 хиляди рубли).

CBF вирус

Този тип вирус също принадлежи към класиката на жанра. Той се появява в системата след отваряне на прикачени файлове към имейл и след това преименува потребителските файлове, добавяйки разширение като .nochance или .perfect в края.

За съжаление, декриптирането на ransomware вирус от този тип за анализ на съдържанието на кода дори на етапа на появата му в системата не е възможно, тъй като след приключване на действията си той се самоунищожава. Дори това, което мнозина смятат за универсален инструмент като RectorDecryptor, не помага. Отново потребителят получава писмо с искане за плащане, за което се дават два дни.

Вирус Breaking_Bad

Този тип заплаха работи по същия начин, но преименува файловете в стандартната версия, добавяйки .breaking_bad към разширението.

Ситуацията не се изчерпва с това. За разлика от предишните вируси, този може да създаде друго разширение - .Heisenberg, така че не винаги е възможно да се намерят всички заразени файлове. Така че Breaking_Bad (вирус рансъмуер) е доста сериозна заплаха. Между другото, има случаи, когато дори лицензният пакет Kaspersky Endpoint Security 10 пропуска този тип заплаха.

Вирус [имейл защитен]

Ето още една, може би най-сериозната заплаха, която е насочена най-вече към големите търговски организации. Като правило някой отдел получава писмо, съдържащо привидно промени в договора за доставка или дори само фактура. Прикаченият файл може да съдържа обикновен .jpg файл (като изображение), но по-често - изпълним script.js (Java аплет).

Как да декриптирате този тип криптиращ вирус? Съдейки по това, че там се използва някакъв неизвестен RSA-1024 алгоритъм, няма как. Въз основа на името можете да предположите, че това е 1024-битова система за криптиране. Но ако някой си спомня, днес 256-битовият AES се счита за най-модерният.

Вирус за шифроване: как да дезинфекцирате и дешифрирате файлове с помощта на антивирусен софтуер

Към днешна дата все още не са намерени решения за дешифриране на заплахи от този тип. Дори такива майстори в областта на антивирусната защита като Kaspersky, Dr. Web и Eset не могат да намерят ключа за решаване на проблема, когато системата е заразена с криптиращ вирус. Как да дезинфекцираме файлове? В повечето случаи се препоръчва да изпратите заявка до официалния уебсайт на разработчика на антивирусна програма (между другото, само ако системата има лицензиран софтуер от този разработчик).

В този случай трябва да прикачите няколко криптирани файла, както и техните „здрави“ оригинали, ако има такива. Като цяло, като цяло, малко хора запазват копия на данни, така че проблемът с липсата им само влошава и без това неприятната ситуация.

Възможни начини за ръчно идентифициране и премахване на заплахата

Да, сканирането с конвенционални антивирусни програми идентифицира заплахите и дори ги премахва от системата. Но какво да правим с информацията?

Някои се опитват да използват програми за дешифриране като вече споменатата помощна програма RectorDecryptor (RakhniDecryptor). Нека отбележим веднага: това няма да помогне. А в случая с вируса Breaking_Bad може само да навреди. И ето защо.

Факт е, че хората, които създават такива вируси, се опитват да се защитят и да дадат насоки на другите. Когато използва помощни програми за дешифриране, вирусът може да реагира по такъв начин, че цялата система да „лети“ и с пълното унищожаване на всички данни, съхранявани на твърди дисковеили в логически дялове. Това, така да се каже, е един показателен урок за назидание на всички, които не искат да плащат. Можем да разчитаме само на официални антивирусни лаборатории.

Кардинални методи

Ако обаче нещата са наистина зле, ще трябва да пожертвате информация. За да се отървете напълно от заплахата, трябва да форматирате целия твърд диск, включително виртуалните дялове, и след това да инсталирате отново операционната система.

За съжаление няма друг изход. Дори до определена запазена точка за възстановяване няма да помогне. Вирусът може да изчезне, но файловете ще останат криптирани.

Вместо послеслов

В заключение си струва да се отбележи, че ситуацията е следната: вирусът на ransomware прониква в системата, върши мръсната си работа и не се лекува от никакви по известни методи. Инструментите за антивирусна защита не бяха готови за този тип заплаха. От само себе си се разбира, че е възможно да се открие вирус след излагане или да се премахне. Но криптираната информация ще остане неприятна. Така че бих искал да се надявам, че най-добрите умове на компаниите за разработка на антивирусен софтуер все пак ще намерят решение, въпреки че, съдейки по алгоритмите за криптиране, ще бъде много трудно да се направи. Спомнете си само машината за криптиране Enigma, която германският флот имаше по време на Втората световна война. Най-добрите криптографи не можаха да решат проблема с алгоритъма за декриптиране на съобщения, докато не се сдобиха с устройството. Така стоят нещата и тук.