¿Quién plantó el conejo? Wanna Cry file encryptor virus: cómo protegerse y guardar datos Las modificaciones más recientes

2017 fue el año del ransomware: la amenaza más importante en este campo seguridad de información tanto para pequeñas, medianas y grandes empresas como para usuarios domésticos. Estos ataques exigieron rescate en muchas computadoras en el mundo y acapararon los titulares de los principales medios de comunicación de todos los países. De hecho, los costos del ransomware totalizaron casi $5 mil millones en daños el año pasado, lo que los convierte en el tipo de ciberataque más poderoso y sofisticado, un 350% más que en 2016.

3. Realice auditorías de seguridad y pruebas de vulnerabilidad periódicas para comprender claramente los puntos de entrada a sus sistemas.

4. Utilice una solución de seguridad de la información multiplataforma moderna y avanzada con opciones de protección avanzadas, como , para análisis forense en tiempo real. Esto le permitirá prevenir y detectar este tipo de ataques, y realizar las acciones de respuesta y recuperación necesarias después de un ataque.

Medidas de seguridad

El regulador recomienda que los bancos se aseguren de tener actualizaciones especiales y en todo el sistema. software, los antivirus están instalados y actualizados. FinCert también recomienda segmentar las redes informáticas de las instituciones financieras y comprobar la configuración. cortafuegos— deberían bloquear las conexiones a direcciones de red no reguladas. También se recomienda realizar respaldo sistemas de información críticos y bases de datos.

Además, el regulador recomienda instruir a los empleados del banco para que presten atención a los casos sospechosos. mensajes de correo y no visitó sitios dudosos.

Un representante del Banco Central dijo a Vedomosti que de marzo a agosto de 2017, el Banco Central ya había advertido seis veces a los bancos sobre el ransomware.

Al mismo tiempo, ya en abril se advirtió a los bancos sobre el peligro del virus ransomware WannaCry. El 12 de mayo, cuando se supo que los piratas informáticos estaban intentando atacar a varias organizaciones en todo el mundo utilizando el virus WannaCry, FinCERT apuntó a los bancos y luego repitió su advertencia. Los nombres de los bancos afectados no fueron revelados en ese mensaje. Se sabe que el virus lo intentó, sin embargo, según el mensaje. organización financiera, los piratas informáticos no penetraron en sus sistemas.

Del virus ransomware Petya el sector bancario ruso. "Como resultado de los ataques, se registraron casos aislados de infección", escribió FinCERT. Entre los bancos conocidos afectados por el ataque se encuentran "". El banco informó que ningún dato de clientes o transacciones se vio comprometido.

Los representantes de los bancos entrevistados por Vedomosti señalan que las recomendaciones del Banco Central son periódicas y las instituciones financieras las implementan.

Posible ciberataque

Alexey Pavlov, analista del centro de monitoreo de ciberamenazas Solar JSOC, dijo al periódico que en los últimos días, organizaciones de diversas industrias, incluidos los bancos, han recibido advertencias sobre la posible actividad de ransomware, aunque el centro de monitoreo no tiene información sobre el preparación de un nuevo ataque de piratas informáticos.

Datos sobre nuevo ataque Kaspersky Lab tampoco, afirma Denis Gorchakov, jefe del grupo de investigación y análisis de fraude. Sugiere que la carta de FinCERT está relacionada con una advertencia sobre una amenaza en el sector energético: en vísperas del 9 de agosto advirtieron que podría llevarse a cabo un nuevo ciberataque en un futuro próximo.

Debido a la amenaza ataque de piratas informáticos La empresa de servicios públicos pidió a los directores de sus sucursales que restringieran el acceso a Internet de los usuarios de la red corporativa del 4 al 14 de agosto y también que advirtieran a los empleados que no abrieran archivos adjuntos de remitentes desconocidos ni hicieran clic en enlaces no relacionados en correos electrónicos.

El Centro de Seguimiento y Respuesta a Ataques Informáticos en el Ámbito Crediticio y Financiero (FinCERT) es una estructura del Banco Central que se ocupa de la ciberseguridad. Creado en 2015 por decisión del Consejo de Seguridad ruso. Los bancos envían información al Banco Central sobre ataques informáticos detectados (en cuentas de tarjetas, sistemas de servicios remotos, sitios web bancarios), después de lo cual los especialistas analizan estos datos, identifican las causas de los problemas y envían los resultados del análisis a los participantes del mercado y a las fuerzas del orden. .

Los especialistas de Doctor Web estudian un nuevo troyano ransomware Trojan.Encoder.12544, denominado en los medios Petya, Petya.A, ExPetya y WannaCry-2. Basándose en un análisis preliminar del malware, Doctor Web ofrece recomendaciones sobre cómo evitar la infección, indica qué hacer si ya se ha producido una infección y revela los detalles técnicos del ataque.

El gusano ransomware que causó mucho ruido Trojan.Encoder.12544 supone un grave peligro para Computadoras personales, trabajando bajo el control Microsoft Windows. Varias fuentes lo llaman una modificación del troyano conocido como Petya ( Trojan.Ransom.369), Pero Trojan.Encoder.12544 Sólo tiene algunas similitudes con él. Este malware se ha infiltrado Sistemas de información varias agencias gubernamentales, bancos y organizaciones comerciales, y también infectó las PC de usuarios en varios países.

Actualmente se sabe que el troyano infecta computadoras utilizando el mismo conjunto de vulnerabilidades que los atacantes utilizaron anteriormente para infiltrarse en las computadoras de las víctimas del troyano WannaCry. Distribución masiva Trojan.Encoder.12544 Comenzó en la mañana del 27 de junio de 2017. Cuando se inicia en la computadora atacada, el troyano busca disponibles red local Luego, la PC comienza a escanear los puertos 445 y 139 usando la lista de direcciones IP recibidas. Habiendo detectado máquinas en la red en las que estos puertos están abiertos, Trojan.Encoder.12544 intenta infectarlos utilizando una conocida vulnerabilidad en el protocolo SMB (MS17-10).

En su cuerpo, el troyano contiene 4 recursos comprimidos, 2 de los cuales son versiones de 32 y 64 bits de la utilidad Mimikatz, diseñada para interceptar contraseñas de sesiones abiertas en Windows. Dependiendo del bitness del sistema operativo, descomprime la versión correspondiente de la utilidad, la guarda en una carpeta temporal y luego la inicia. Usando la utilidad Mimikatz, así como otros dos métodos Trojan.Encoder.12544 recibe una lista de usuarios locales y de dominio autorizados en la computadora infectada. Luego busca carpetas de red en las que se pueda escribir, intenta abrirlas utilizando las credenciales recibidas y guarda su copia allí. Para infectar ordenadores a los que logró acceder, Trojan.Encoder.12544 utiliza una utilidad de gestión computadora remota PsExec (también se almacena en los recursos del troyano) o una utilidad de consola estándar para llamar objetos Wmic.exe.

El codificador controla su reinicio mediante un archivo que guarda en la carpeta C:\Windows\. Este archivo tiene un nombre que coincide con el nombre del troyano sin la extensión. Dado que la muestra de gusano que actualmente distribuyen los atacantes se llama perfc.dat, el archivo que impide que se ejecute nuevamente se llamará C:\Windows\perfc. Sin embargo, tan pronto como los atacantes cambian el nombre original del troyano, crear un archivo en la carpeta C:\Windows\ con el nombre perfc sin extensión (como recomiendan algunas compañías antivirus) ya no salvará la computadora de la infección. Además, el troyano comprueba la presencia de un archivo sólo si tiene privilegios suficientes en el sistema operativo para hacerlo.

Después de iniciarse, el troyano configura sus privilegios, carga su propia copia en la memoria y le transfiere el control. Luego, el codificador sobrescribe su propio archivo de disco con datos basura y lo elimina. En primer lugar Trojan.Encoder.12544 corrompe el VBR (Registro de arranque de volumen) de la unidad C:, el primer sector del disco está lleno de datos basura. Luego, el ransomware copia el gestor de arranque original. entrada de ventanas a otra sección del disco, habiéndola cifrado previamente usando el algoritmo XOR, y en su lugar escribe la suya propia. A continuación, crea una tarea para reiniciar la computadora y comienza a cifrar todos los archivos con las extensiones .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, detectados. en discos físicos locales. .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi , .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, . vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

El troyano cifra archivos sólo en unidades fijas de la computadora; los datos de cada unidad se cifran en una secuencia separada. El cifrado se realiza mediante algoritmos AES-128-CBC, cada disco tiene su propia clave (esta es rasgo distintivo Troyano, no observado por otros investigadores). Esta clave se cifra utilizando el algoritmo RSA-2048 (otros investigadores han informado que utilizan una clave de 800 bits) y se guarda en la carpeta raíz de la unidad cifrada en un archivo llamado README.TXT. Los archivos cifrados no reciben una extensión adicional.

Después de completar la tarea creada anteriormente, la computadora se reinicia y el control se transfiere al registro de inicio del troyano. Muestra texto en la pantalla de una computadora infectada que se asemeja a un mensaje de la utilidad de escaneo de disco estándar CHDISK.

Los virus en sí mismos como amenaza informática no sorprenden a nadie hoy en día. Pero si antes afectaban al sistema en su conjunto, provocando interrupciones en su rendimiento, hoy, con la aparición de un tipo como el virus cifrador, las acciones de una amenaza penetrante afectan a más datos de los usuarios. Quizás represente una amenaza incluso mayor que las aplicaciones ejecutables destructivas para Windows o los subprogramas de software espía.

¿Qué es un virus ransomware?

El código en sí, escrito en un virus autocopiante, implica cifrar casi todos los datos del usuario con algoritmos criptográficos especiales, lo que no afecta archivos del sistema Sistema operativo.

Al principio, la lógica del impacto del virus no estaba del todo clara para muchos. Todo quedó claro sólo cuando los piratas informáticos que crearon estos subprogramas comenzaron a exigir dinero para restaurar la estructura de archivos original. Al mismo tiempo, el virus cifrado en sí no permite descifrar archivos debido a sus características. Para hacer esto, necesitará un descifrador especial, si lo desea, un código, una contraseña o un algoritmo necesario para restaurar el contenido deseado.

El principio de penetración en el sistema y funcionamiento del código de virus.

Como regla general, es bastante difícil "recoger" esa basura en Internet. La principal fuente de propagación de la “infección” es el correo electrónico a nivel de programas instalados en un terminal informático específico, como Outlook, Thunderbird, The Bat, etc. Notemos de inmediato: esto no se aplica a los servidores de correo de Internet. ya que tienen un grado de protección bastante alto y el acceso a los datos del usuario solo es posible en el nivel

Otra cosa es una aplicación en un terminal de computadora. Aquí es donde el campo de acción de los virus es tan amplio que es imposible imaginarlo. Es cierto que aquí también vale la pena hacer una reserva: en la mayoría de los casos, los virus se dirigen a grandes empresas a las que pueden "estafar" dinero a cambio de proporcionar un código de descifrado. Esto es comprensible, porque no sólo en los terminales informáticos locales, sino también en los servidores de dichas empresas, los archivos se pueden almacenar, por así decirlo, en una sola copia, que no se puede destruir bajo ninguna circunstancia. Y luego descifrar archivos después de un virus ransomware se vuelve bastante problemático.

Por supuesto, un usuario normal puede verse afectado por un ataque de este tipo, pero en la mayoría de los casos esto es poco probable si se siguen las recomendaciones más simples para abrir archivos adjuntos con extensiones de un tipo desconocido. Incluso cliente de correo define el archivo adjunto con extensión .jpg como estándar archivo gráfico, primero debe verificarlo como estándar instalado en el sistema.

Si no se hace esto, cuando lo abra haciendo doble clic (método estándar), se iniciará la activación del código y comenzará el proceso de cifrado, después del cual el mismo Breaking_Bad (virus cifrador) no solo será imposible de eliminar, pero tampoco los archivos podrán restaurarse una vez eliminada la amenaza.

Consecuencias generales de la penetración de todos los virus de este tipo.

Como ya se mencionó, la mayoría de virus de este tipo ingresan al sistema a través del correo electrónico. Bueno, digamos que una organización grande recibe una carta a un correo electrónico registrado específico con contenidos como "Hemos cambiado el contrato, se adjunta una copia escaneada" o "Le han enviado una factura por el envío de la mercancía (hay una copia allí)". Naturalmente, el empleado desprevenido abre el expediente y...

Todo Archivos de usuario a nivel de documentos de oficina, multimedia, proyectos especializados de AutoCAD o cualquier otro dato de archivo se cifran instantáneamente, y si el terminal de la computadora está ubicado en una red local, el virus puede transmitirse más, cifrando los datos en otras máquinas (esto se nota inmediatamente por el sistema de “frenado” y congelamiento de programas o aplicaciones actualmente en ejecución).

Al final del proceso de cifrado, el propio virus aparentemente envía una especie de informe, tras el cual la empresa puede recibir un mensaje de que tal o cual amenaza ha penetrado en el sistema y que sólo tal o cual organización puede descifrarlo. Generalmente se trata de un virus. [correo electrónico protegido]. Luego viene el requisito de pagar por los servicios de descifrado con la oferta de enviar varios archivos al correo electrónico del cliente, que suele ser ficticio.

Daño por exposición al código

Si alguien aún no lo ha entendido: descifrar archivos después de un virus ransomware es un proceso bastante laborioso. Incluso si no se cede a las exigencias de los atacantes y se intenta involucrar a las agencias gubernamentales oficiales en la lucha y prevención de los delitos informáticos, normalmente no se consigue nada bueno.

Si elimina todos los archivos, produce e incluso copia los datos originales de un medio extraíble (por supuesto, si existe dicha copia), todo seguirá cifrado nuevamente si se activa el virus. Por lo tanto, no debe engañarse demasiado, especialmente porque cuando inserta la misma unidad flash en un puerto USB, el usuario ni siquiera notará cómo el virus también cifrará los datos que contiene. Entonces no tendrás ningún problema.

Primogénito de la familia

Ahora dirijamos nuestra atención al primer virus de cifrado. Cómo desinfectar y descifrar archivos después de la exposición al código ejecutable contenido en un archivo adjunto Correo electrónico con la oferta de conocerse, en el momento de su aparición nadie había pensado todavía en ello. La conciencia de la magnitud del desastre llegó sólo con el tiempo.

Ese virus tenía el nombre romántico “Te Amo”. Un usuario desprevenido abrió un archivo adjunto en un mensaje de correo electrónico y recibió archivos multimedia completamente imposibles de reproducir (gráficos, video y audio). Sin embargo, en aquel entonces tales acciones parecían más destructivas (daño a las bibliotecas multimedia de los usuarios) y nadie exigía dinero por ello.

Las modificaciones más recientes.

Como vemos, la evolución de la tecnología se ha convertido en un negocio bastante rentable, sobre todo teniendo en cuenta que muchos directivos de grandes organizaciones inmediatamente corren a pagar por los esfuerzos de descifrado, sin pensar en absoluto que podrían perder tanto dinero como información.

Por cierto, no mires todas esas publicaciones "incorrectas" en Internet que dicen: "Pagué/pagué la cantidad requerida, me enviaron un código, todo fue restaurado". ¡Disparates! Todo esto está escrito por los propios desarrolladores del virus para atraer potenciales, perdón, "tontos". Pero, para los estándares de un usuario común y corriente, las cantidades a pagar son bastante elevadas: desde cientos hasta varios miles o decenas de miles de euros o dólares.

Ahora veamos los tipos más nuevos de virus de este tipo, que se registraron hace relativamente poco tiempo. Todos ellos son prácticamente similares y pertenecen no sólo a la categoría de cifradores, sino también al grupo de los llamados ransomware. En algunos casos, actúan de manera más correcta (como paycrypt), aparentemente enviando ofertas comerciales oficiales o mensajes de que alguien se preocupa por la seguridad del usuario u organización. Un virus de cifrado de este tipo simplemente engaña al usuario con su mensaje. Si toma la más mínima medida para pagar, eso es todo: el "divorcio" será completo.

virus XTBL

Este, relativamente reciente, puede clasificarse como una versión clásica de ransomware. Normalmente, ingresa al sistema a través de mensajes de correo electrónico que contienen archivos adjuntos, lo cual es estándar para los protectores de pantalla de Windows. El sistema y el usuario piensan que todo está bien y activan la visualización o el guardado del archivo adjunto.

Desafortunadamente, esto tiene consecuencias tristes: los nombres de los archivos se convierten en un conjunto de caracteres y se agrega .xtbl a la extensión principal, después de lo cual se envía un mensaje a la dirección de correo electrónico deseada sobre la posibilidad de descifrarlo después de pagar la cantidad especificada. (generalmente 5 mil rublos).

virus de la FBC

Este tipo de virus también pertenece a los clásicos del género. Aparece en el sistema después de abrir los archivos adjuntos del correo electrónico y luego cambia el nombre de los archivos del usuario y agrega una extensión como .nochance o .perfect al final.

Desafortunadamente, descifrar un virus ransomware de este tipo para analizar el contenido del código incluso en la etapa de su aparición en el sistema no es posible, ya que después de completar sus acciones se autodestruye. Incluso lo que muchos creen que es una herramienta universal como RectorDecryptor no ayuda. Nuevamente, el usuario recibe una carta exigiendo el pago, para lo cual se le conceden dos días.

virus Breaking_Bad

Este tipo de amenaza funciona de la misma manera, pero cambia el nombre de los archivos en la versión estándar, agregando .breaking_bad a la extensión.

La situación no se limita a esto. A diferencia de los virus anteriores, éste puede crear otra extensión: .Heisenberg, por lo que no siempre es posible encontrar todos los archivos infectados. Por tanto, Breaking_Bad (un virus ransomware) es una amenaza bastante grave. Por cierto, hay casos en los que incluso el paquete de licencia de Kaspersky Endpoint Security 10 no detecta este tipo de amenaza.

Virus [correo electrónico protegido]

He aquí otra amenaza, quizás la más grave, que apunta principalmente a las grandes organizaciones comerciales. Como regla general, algún departamento recibe una carta que contiene cambios aparentes en el contrato de suministro, o incluso simplemente una factura. El archivo adjunto puede contener un archivo .jpg normal (como una imagen), pero más a menudo un script.js ejecutable (subprograma de Java).

¿Cómo descifrar este tipo de virus de cifrado? A juzgar por el hecho de que allí se utiliza algún algoritmo desconocido RSA-1024, de ninguna manera. Según el nombre, se puede suponer que se trata de un sistema de cifrado de 1024 bits. Pero, si alguien recuerda, hoy en día AES de 256 bits se considera el más avanzado.

Virus cifrador: cómo desinfectar y descifrar archivos utilizando software antivirus

Hasta la fecha aún no se han encontrado soluciones para descifrar amenazas de este tipo. Incluso maestros en el campo de la protección antivirus como Kaspersky, Dr. Web y Eset no pueden encontrar la clave para resolver el problema cuando el sistema está infectado con un virus cifrado. ¿Cómo desinfectar archivos? En la mayoría de los casos, se sugiere enviar una solicitud al sitio web oficial del desarrollador del antivirus (por cierto, solo si el sistema tiene software con licencia de este desarrollador).

En este caso, deberá adjuntar varios archivos cifrados, así como sus originales "en buen estado", si los hubiera. En general, pocas personas guardan copias de los datos, por lo que el problema de su ausencia no hace más que agravar una situación ya de por sí desagradable.

Posibles formas de identificar y eliminar la amenaza manualmente

Sí, el escaneo con programas antivirus convencionales identifica amenazas e incluso las elimina del sistema. ¿Pero qué hacer con la información?

Algunos intentan utilizar programas de descifrado como la ya mencionada utilidad RectorDecryptor (RakhniDecryptor). Notemos de inmediato: esto no ayudará. Y en el caso del virus Breaking_Bad, sólo puede causar daño. Y es por eso.

El hecho es que las personas que crean este tipo de virus intentan protegerse y orientar a los demás. Al utilizar utilidades de descifrado, el virus puede reaccionar de tal manera que todo el sistema "vuele" y con la destrucción completa de todos los datos almacenados en unidades de disco duro o en particiones lógicas. Esto, por así decirlo, es una lección indicativa para la edificación de todos aquellos que no quieren pagar. Sólo podemos confiar en laboratorios antivirus oficiales.

Métodos cardinales

Sin embargo, si las cosas van realmente mal, tendrás que sacrificar información. Para deshacerse completamente de la amenaza, debe formatear todo el disco duro, incluidas las particiones virtuales, y luego instalar el sistema operativo nuevamente.

Desgraciadamente no hay otra salida. Incluso hasta cierto punto de restauración guardado no ayudará. El virus podrá desaparecer, pero los archivos permanecerán cifrados.

En lugar de un epílogo

En conclusión, cabe señalar que la situación es la siguiente: un virus ransomware penetra en el sistema, hace el trabajo sucio y no se cura con ningún remedio. por métodos conocidos. Las herramientas de protección antivirus no estaban preparadas para este tipo de amenazas. No hace falta decir que es posible detectar un virus después de la exposición o eliminarlo. Pero la información cifrada seguirá siendo desagradable. Por eso me gustaría esperar que las mejores mentes de las empresas de desarrollo de software antivirus encuentren una solución, aunque, a juzgar por los algoritmos de cifrado, será muy difícil de lograr. Basta recordar la máquina de cifrado Enigma que tenía la Armada alemana durante la Segunda Guerra Mundial. Los mejores criptógrafos no pudieron resolver el problema de un algoritmo para descifrar mensajes hasta que tuvieron en sus manos el dispositivo. Así son las cosas aquí también.