Kdo zasadil králíka? Wanna Cry file encryptor virus - jak se chránit a ukládat data Nejnovější úpravy

Rok 2017 byl rokem ransomwaru – nejvýznamnější hrozby v oboru informační bezpečnost pro malé, střední i velké podniky a domácí uživatele. Takové útoky si vyžádaly výkupné na mnoha počítačích na světě, přičemž zachytily titulky všech předních médií ve všech zemích. Ve skutečnosti náklady na ransomware dosáhly v loňském roce téměř 5 miliard dolarů jako škody, což z nich dělá nejvýkonnější a nejsofistikovanější typ kybernetického útoku, o 350 % více než v roce 2016.

3. Provádějte pravidelné bezpečnostní audity a testy zranitelnosti, abyste jasně porozuměli vstupním bodům do vašich systémů.

4. Používejte moderní a pokročilé multiplatformní řešení zabezpečení informací s pokročilými možnostmi ochrany, jako je například , pro forenzní analýzu v reálném čase. To vám umožní předcházet těmto typům útoků a detekovat je a po útoku provádět požadované akce reakce a obnovy.

Bezpečnostní opatření

Regulátor doporučuje bankám, aby se ujistily, že mají celosystémovou a speciální aktualizaci software, jsou nainstalovány a aktualizovány antiviry. FinCert také doporučuje segmentovat počítačové sítě finančních institucí a zkontrolovat nastavení firewally— měly by blokovat připojení k neregulovaným síťovým adresám. Doporučuje se také provést záloha kritické informační systémy a databáze.

Kromě toho regulátor radí poučit zaměstnance banky, aby věnovali pozornost podezřelým poštovní zprávy a nenavštívil pochybné stránky.

Zástupce centrální banky pro Vedomosti řekl, že od března do srpna 2017 centrální banka již šestkrát varovala banky před ransomwarem.

Banky byly zároveň varovány před nebezpečím ransomwarového viru WannaCry už v dubnu. 12. května, když vyšlo najevo, že se hackeři pokoušejí zaútočit na řadu organizací po celém světě pomocí viru WannaCry, se FinCERT zaměřil na banky a poté zopakoval své varování. Jména dotčených bank nebyla v této zprávě zveřejněna. Podle zprávy je však známo, že se virus pokusil finanční organizace hackeři nepronikli do jejich systémů.

Od viru Petya ransomware ruský bankovní sektor. „V důsledku útoků byly zaznamenány ojedinělé případy infekce,“ napsal FinCERT. Mezi známé banky zasažené útokem patří "". Banka oznámila, že nebyly ohroženy žádné údaje o zákaznících nebo transakcích.

Zástupci bank dotazovaní Vedomosti poznamenávají, že doporučení centrální banky jsou pravidelná a finanční instituce je realizují.

Potenciální kybernetický útok

Alexey Pavlov, analytik střediska Solar JSOC pro monitorování kybernetických hrozeb, deníku řekl, že v posledních několika dnech obdržely organizace v různých odvětvích, včetně bank, varování před možnou aktivitou ransomwaru, ačkoliv monitorovací centrum nemá žádné informace o příprava nového hackerského útoku.

Údaje o nový útok ani Kaspersky Lab, říká Denis Gorchakov, vedoucí skupiny pro výzkum a analýzu podvodů. Naznačuje, že dopis FinCERT souvisí s varováním před hrozbou v energetice: v předvečer 9. srpna varovali, že v blízké budoucnosti by mohl být proveden nový kybernetický útok.

Kvůli hrozbě hackerský útok Energetická společnost požádala ředitele svých poboček, aby od 4. srpna do 14. srpna omezili uživatelům firemní sítě přístup k internetu a také upozornili zaměstnance, aby neotevírali přílohy od neznámých odesílatelů a neklikali na nesouvisející odkazy v e-mailu.

Centrum pro monitorování a reakci na počítačové útoky v úvěrové a finanční sféře (FinCERT) je strukturou centrální banky, která se zabývá kybernetickou bezpečností. Vytvořeno v roce 2015 rozhodnutím Rady bezpečnosti Ruska. Banky zasílají centrální bance informace o zjištěných počítačových útocích (na kartových účtech, systémech vzdálených služeb, bankovních webech), poté specialisté tato data analyzují, identifikují příčiny problémů a výsledky analýzy zašlou účastníkům trhu a donucovacím orgánům. .

Specialisté Doctor Web studují nový ransomwarový trojan Trojan.Encoder.12544, v médiích označované jako Petya, Petya.A, ExPetya a WannaCry-2. Na základě předběžné analýzy malwaru poskytuje Doctor Web doporučení, jak se vyhnout infekci, říká, co dělat, pokud již k infekci došlo, a odhaluje technické detaily útoku.

Ransomware červ, který způsobil spoustu hluku Trojan.Encoder.12544 představuje vážné nebezpečí osobní počítače, pracující pod kontrolou Microsoft Windows. Různé zdroje to nazývají modifikací trojského koně známého jako Petya ( Trojan.Ransom.369), Ale Trojan.Encoder.12544 má s ním jen některé podobnosti. Tento malware se infiltroval Informační systémyřadu vládních agentur, bank a komerčních organizací a také infikoval PC uživatelů v několika zemích.

V současné době je známo, že trojský kůň infikuje počítače pomocí stejné sady zranitelností, které dříve útočníci používali k infiltraci do počítačů obětí trojského koně WannaCry. Hromadná distribuce Trojan.Encoder.12544 začalo ráno 27. června 2017. Po spuštění na napadeném počítači trojský kůň hledá dostupné lokální síť Počítač poté zahájí skenování portů 445 a 139 pomocí seznamu přijatých IP adres. Po zjištění strojů v síti, na kterých jsou tyto porty otevřené, Trojan.Encoder.12544 se je snaží infikovat pomocí známé zranitelnosti v protokolu SMB (MS17-10).

Trojan ve svém těle obsahuje 4 komprimované prostředky, z nichž 2 jsou 32bitové a 64bitové verze nástroje Mimikatz, určeného k zachycení hesel pro otevřené relace ve Windows. V závislosti na bitové verzi operačního systému rozbalí odpovídající verzi nástroje, uloží ji do dočasné složky a poté ji spustí. Pomocí nástroje Mimikatz a dalších dvou metod Trojan.Encoder.12544 obdrží seznam místních a doménových uživatelů autorizovaných na infikovaném počítači. Poté vyhledá zapisovatelné síťové složky, pokusí se je otevřít pomocí přijatých přihlašovacích údajů a uloží tam svou kopii. Infikovat počítače, ke kterým se mu podařilo získat přístup, Trojan.Encoder.12544 používá nástroj pro správu vzdálený počítač PsExec (je také uložen v prostředcích trojského koně) nebo standardní konzolová utilita pro volání objektů Wmic.exe.

Kodér řídí svůj restart pomocí souboru, který uloží do složky C:\Windows\. Tento soubor má název, který odpovídá názvu trojského koně bez přípony. Vzhledem k tomu, že vzorek červa, který je aktuálně distribuován útočníky, se jmenuje perfc.dat, soubor, který brání jeho opětovnému spuštění, bude pojmenován C:\Windows\perfc. Jakmile však útočníci změní původní název trojského koně, vytvoření souboru ve složce C:\Windows\ s názvem perfc bez přípony (jak radí některé antivirové společnosti) již počítač před infekcí nezachrání. Trojský kůň navíc kontroluje přítomnost souboru pouze v případě, že k tomu má dostatečná oprávnění v operačním systému.

Po spuštění si trojský kůň nakonfiguruje svá oprávnění, nahraje vlastní kopii do paměti a předá mu řízení. Kodér pak přepíše svůj vlastní soubor na disku nevyžádanými daty a odstraní je. Nejdříve Trojan.Encoder.12544 poškodí VBR (Volume Boot Record) jednotky C:, první sektor disku je zaplněn odpadními daty. Ransomware poté zkopíruje původní bootloader Vstup do Windows do jiné části disku poté, co jej předtím zašifroval pomocí algoritmu XOR, a místo toho zapíše svůj vlastní. Dále vytvoří úlohu restartovat počítač a začne šifrovat všechny soubory s příponami .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, zjištěno na místních fyzických discích. .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi , .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, . vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Trojan šifruje soubory pouze na pevných počítačových discích, data na každém disku jsou šifrována v samostatném proudu. Šifrování se provádí pomocí algoritmů AES-128-CBC, každý disk má svůj vlastní klíč (to je charakteristický rys Trojan, nezaznamenali jiní badatelé). Tento klíč je zašifrován pomocí algoritmu RSA-2048 (jiní výzkumníci hlásili použití 800bitového klíče) a je uložen do kořenové složky zašifrovaného disku v souboru s názvem README.TXT. Šifrované soubory nedostávají další příponu.

Po dokončení dříve vytvořené úlohy se počítač restartuje a řízení se přenese do spouštěcího záznamu trojského koně. Na obrazovce infikovaného počítače zobrazí text, který připomíná zprávu ze standardního nástroje pro skenování disku CHDISK.

Samotné viry jako počítačová hrozba dnes nikoho nepřekvapí. Pokud však dříve ovlivňovaly systém jako celek a způsobovaly narušení jeho výkonu, dnes, s příchodem takové odrůdy, jako je šifrovací virus, ovlivní akce pronikavé hrozby více uživatelských dat. Představuje možná ještě větší hrozbu než spustitelné aplikace destruktivní pro Windows nebo spywarové aplety.

Co je to ransomware virus?

Samotný kód, napsaný v samokopírovacím viru, zahrnuje šifrování téměř všech uživatelských dat pomocí speciálních kryptografických algoritmů, které neovlivňují systémové soubory operační systém.

Zpočátku nebyla logika dopadu viru mnohým zcela jasná. Vše se ukázalo, až když hackeři, kteří takové applety vytvořili, začali požadovat peníze na obnovu původní struktury souborů. Přitom samotný šifrovaný virus díky svým vlastnostem neumožňuje dešifrovat soubory. K tomu potřebujete speciální dešifrovací nástroj, chcete-li, kód, heslo nebo algoritmus potřebný k obnovení požadovaného obsahu.

Princip pronikání do systému a fungování virového kódu

Zpravidla je dost těžké takové svinstvo na internetu „vychytat“. Hlavním zdrojem šíření „infekce“ je e-mail na úrovni programů nainstalovaných na konkrétním počítačovém terminálu, jako je Outlook, Thunderbird, The Bat atd. Hned na úvod podotýkáme, že toto neplatí pro internetové poštovní servery, protože mají poměrně vysoký stupeň ochrany a přístup k uživatelským datům je možný pouze na úrovni

Další věcí je aplikace na počítačovém terminálu. Právě zde je pole pro působení virů tak široké, že si to nelze představit. Je pravda, že se zde také vyplatí provést rezervaci: ve většině případů se viry zaměřují na velké společnosti, ze kterých mohou „utrhnout“ peníze za poskytnutí dešifrovacího kódu. Je to pochopitelné, protože nejen na lokálních počítačových terminálech, ale i na serverech takových společností mohou být soubory uloženy takříkajíc v jediné kopii, kterou nelze za žádných okolností zničit. A pak se dešifrování souborů po viru ransomware stává docela problematickým.

Obyčejný uživatel může být samozřejmě vystaven takovému útoku, ale ve většině případů je to nepravděpodobné, pokud budete postupovat podle nejjednodušších doporučení pro otevírání příloh s příponami neznámého typu. Dokonce poštovní klient standardně definuje přílohu s příponou .jpg grafický soubor, nejprve jej musíte zkontrolovat jako standardně nainstalovaný v systému.

Pokud tak neučiníte, když jej otevřete dvojitým kliknutím (standardní metoda), spustí se aktivace kódu a začne proces šifrování, po kterém nebude možné stejný Breaking_Bad (šifrovací virus) nejen odstranit, ale také soubory nebude možné obnovit po odstranění hrozby.

Obecné důsledky průniku všech virů tohoto typu

Jak již bylo zmíněno, většina virů tohoto typu vstupuje do systému prostřednictvím e-mailu. Řekněme, že velká organizace obdrží dopis na konkrétní doporučený e-mail s obsahem jako „Změnili jsme smlouvu, přikládáme naskenovanou kopii“ nebo „Byla vám zaslána faktura za odeslání zboží (tam je kopie). Nic netušící zaměstnanec přirozeně otevře soubor a...

Všechno uživatelské soubory na úrovni kancelářských dokumentů jsou okamžitě zašifrována multimédia, specializované projekty AutoCADu nebo jakákoli jiná archivní data, a pokud je počítačový terminál umístěn v lokální síti, může být virus přenášen dále a šifrovat data na jiných strojích (toto se projeví okamžitě „brzdícím“ systémem a zmrazením programů nebo aktuálně spuštěných aplikací).

Virus sám na konci šifrovacího procesu zřejmě odešle jakési hlášení, po kterém může společnost obdržet zprávu, že do systému pronikla taková a ta hrozba a že ji dokáže dešifrovat jen ta a ta organizace. To obvykle zahrnuje virus. [e-mail chráněný]. Dále přichází požadavek zaplatit za dešifrovací služby s nabídkou zaslání několika souborů na e-mail klienta, který je nejčastěji fiktivní.

Poškození v důsledku vystavení kódu

Pokud někdo ještě nepochopil: dešifrování souborů po viru ransomware je poměrně pracný proces. I když se nepodvolíte požadavkům útočníků a pokusíte se zapojit oficiální vládní agentury do boje proti počítačovým zločinům a jejich předcházení, obvykle z toho nic dobrého nepřijde.

Pokud smažete všechny soubory, vytvoříte a dokonce zkopírujete původní data z vyměnitelných médií (samozřejmě, pokud taková kopie existuje), vše bude stále znovu zašifrováno, pokud je virus aktivován. Neměli byste se tedy příliš namlouvat, zejména proto, že když vložíte stejný flash disk do USB portu, uživatel si ani nevšimne, jak virus zašifruje data i na něm. Pak nebudete mít žádné problémy.

Prvorozený v rodině

Nyní zaměřme svou pozornost na první šifrovací virus. Jak dezinfikovat a dešifrovat soubory po vystavení spustitelnému kódu obsaženému v příloze E-mailem s nabídkou seznámení, o ní v okamžiku jejího objevení ještě nikdo nepřemýšlel. Uvědomění si rozsahu katastrofy přišlo až časem.

Ten virus měl romantické jméno „Miluji tě“. Nic netušící uživatel otevřel přílohu v e-mailové zprávě a obdržel zcela nehratelné multimediální soubory (grafiku, video a zvuk). Tehdy však takové akce vypadaly destruktivněji (škoda uživatelských mediálních knihoven) a nikdo za ně nepožadoval peníze.

Nejnovější modifikace

Jak vidíme, evoluce technologie se stala docela výnosným byznysem, zvláště vezmeme-li v úvahu, že mnoho manažerů velkých organizací okamžitě běží zaplatit za úsilí o dešifrování, aniž by si vůbec mysleli, že by mohli přijít o peníze i informace.

Mimochodem, nedívejte se na všechny tyto „špatné“ příspěvky na internetu, které říkají: „Zaplatil jsem/zaplatil jsem požadovanou částku, poslali mi kód, vše bylo obnoveno.“ Nesmysl! To vše je napsáno samotnými vývojáři viru, aby přilákali potenciální, promiňte, „přísavky“. Ale podle standardů běžného uživatele jsou částky, které je třeba zaplatit, docela vážné: od stovek do několika tisíc nebo desítek tisíc eur nebo dolarů.

Nyní se podíváme na nejnovější typy virů tohoto typu, které byly zaznamenány relativně nedávno. Všechny jsou si prakticky podobné a patří nejen do kategorie šifrovačů, ale také do skupiny tzv. ransomwaru. V některých případech jednají korektněji (jako paycrypt), zdánlivě zasílají oficiální obchodní nabídky nebo zprávy, že někomu záleží na bezpečnosti uživatele nebo organizace. Takový šifrovací virus jednoduše uvede uživatele v omyl svým sdělením. Pokud učiní i sebemenší akci, aby zaplatil, je to - „rozvod“ bude dokončen.

XTBL virus

Tento relativně nedávný lze klasifikovat jako klasickou verzi ransomwaru. Obvykle se do systému dostává prostřednictvím e-mailových zpráv obsahujících souborové přílohy, což je standardní pro spořiče obrazovky Windows. Systém a uživatel si myslí, že je vše v pořádku a aktivují zobrazení nebo uložení přílohy.

Bohužel to vede ke smutným důsledkům: názvy souborů jsou převedeny na sadu znaků a do hlavní přípony je přidán .xtbl, načež je na požadovanou e-mailovou adresu odeslána zpráva o možnosti dešifrování po zaplacení stanovené částky (obvykle 5 tisíc rublů).

CBF virus

I tento typ viru patří ke klasice žánru. Zobrazí se v systému po otevření příloh e-mailů a poté přejmenuje uživatelské soubory a na konec přidá příponu jako .nochance nebo .perfect.

Bohužel dešifrování ransomwarového viru tohoto typu pro analýzu obsahu kódu i ve fázi jeho výskytu v systému není možné, protože po dokončení svých akcí se sám zničí. Ani to, co mnozí věří, že je univerzální nástroj, jako je RectorDecryptor, nepomáhá. Uživatel opět obdrží dopis požadující platbu, na který jsou dány dva dny.

Breaking_Bad virus

Tento typ hrozby funguje stejným způsobem, ale přejmenovává soubory ve standardní verzi a do přípony přidává .breaking_bad.

Situace se neomezuje pouze na toto. Na rozdíl od předchozích virů může tento vytvořit další příponu - .Heisenberg, takže není vždy možné najít všechny infikované soubory. Breaking_Bad (virus ransomwaru) je tedy poměrně vážná hrozba. Mimochodem, existují případy, kdy i licenční balíček Kaspersky Endpoint Security 10 tento typ hrozby postrádá.

Virus [e-mail chráněný]

Zde je další, možná nejvážnější hrozba, která většinou míří na velké komerční organizace. Některá oddělení zpravidla obdrží dopis obsahující zdánlivé změny smlouvy o dodávkách nebo dokonce jen fakturu. Příloha může obsahovat běžný soubor .jpg (například obrázek), ale častěji - spustitelný script.js (java applet).

Jak dešifrovat tento typ šifrovacího viru? Soudě podle toho, že je tam použit nějaký neznámý algoritmus RSA-1024, v žádném případě. Podle názvu můžete předpokládat, že se jedná o 1024bitový šifrovací systém. Ale pokud si někdo pamatuje, dnes je 256bitový AES považován za nejpokročilejší.

Encryptor virus: jak dezinfikovat a dešifrovat soubory pomocí antivirového softwaru

Dodnes nebyla nalezena žádná řešení k dešifrování hrozeb tohoto typu. I takoví mistři v oblasti antivirové ochrany jako Kaspersky, Dr. Web a Eset nemohou najít klíč k vyřešení problému, když je systém infikován šifrovacím virem. Jak dezinfikovat soubory? Ve většině případů se doporučuje odeslat žádost na oficiální web vývojáře antiviru (mimochodem, pouze pokud má systém licencovaný software od tohoto vývojáře).

V takovém případě musíte připojit několik zašifrovaných souborů a také jejich „zdravé“ originály, pokud existují. Obecně lze říci, že kopie dat ukládá jen málo lidí, takže problém jejich nepřítomnosti jen zhoršuje již tak nepříjemnou situaci.

Možné způsoby, jak ručně identifikovat a odstranit hrozbu

Ano, skenování konvenčními antivirovými programy identifikuje hrozby a dokonce je odstraní ze systému. Ale co dělat s informacemi?

Někteří se snaží používat dešifrovací programy, jako je již zmíněná utilita RectorDecryptor (RakhniDecryptor). Poznamenejme hned: to nepomůže. A v případě viru Breaking_Bad může jen škodit. A právě proto.

Faktem je, že lidé, kteří takové viry vytvářejí, se snaží chránit sami sebe a poskytovat vedení ostatním. Při použití dešifrovacích utilit může virus zareagovat tak, že celý systém „uletí“ a dojde k úplnému zničení všech dat uložených na pevné disky nebo v logických oddílech. To je takříkajíc orientační poučení pro poučení všech, kteří nechtějí platit. Můžeme se spolehnout pouze na oficiální antivirové laboratoře.

Kardinální metody

Pokud jsou však věci opravdu špatné, budete muset obětovat informace. Abyste se hrozby úplně zbavili, musíte naformátovat celý pevný disk včetně virtuálních oddílů a poté znovu nainstalovat operační systém.

Bohužel jiná cesta ven není. Ani do určitého uloženého bodu obnovení nepomůže. Virus může zmizet, ale soubory zůstanou zašifrované.

Místo doslovu

Na závěr stojí za zmínku, že situace je tato: ransomwarový virus proniká do systému, dělá svou špinavou práci a není vyléčen žádným známými metodami. Nástroje antivirové ochrany nebyly na tento typ hrozby připraveny. Samozřejmostí je možnost detekovat virus po expozici nebo jej odstranit. Zašifrované informace ale zůstanou nevzhledné. Rád bych tedy doufal, že nejlepší mozky společností zabývajících se vývojem antivirového softwaru stále najdou řešení, ačkoli soudě podle šifrovacích algoritmů to bude velmi obtížné. Stačí si vzpomenout na šifrovací stroj Enigma, který mělo německé námořnictvo během druhé světové války. Nejlepší kryptografové nedokázali vyřešit problém s algoritmem pro dešifrování zpráv, dokud se jim zařízení nedostalo do rukou. Takhle se věci mají i tady.