Chi ha piantato il coniglio? Wanna Cry file encryptor virus: come proteggersi e salvare i dati Le modifiche più recenti

Il 2017 è stato l’anno del ransomware, la minaccia più significativa nel mondo informazioni di sicurezza sia per le piccole, medie e grandi imprese che per gli utenti domestici. Tali attacchi hanno richiesto un riscatto su molti computer nel mondo, catturando al contempo i titoli dei principali media in tutti i paesi. In effetti, lo scorso anno i costi dei ransomware hanno totalizzato danni per quasi 5 miliardi di dollari, rendendoli la tipologia di attacco informatico più potente e sofisticata, con un aumento del 350% rispetto al 2016.

3. Conduci controlli di sicurezza regolari e test di vulnerabilità per comprendere chiaramente i punti di ingresso nei tuoi sistemi.

4. Utilizzare una soluzione di sicurezza delle informazioni multipiattaforma moderna e avanzata con opzioni di protezione avanzate, come , per analisi forensi in tempo reale. Ciò consentirà di prevenire e rilevare questi tipi di attacchi ed eseguire le azioni di risposta e ripristino richieste dopo un attacco.

Misure di sicurezza

L'autorità di regolamentazione raccomanda alle banche di assicurarsi di avere aggiornamenti a livello di sistema e speciali Software, antivirus installati e aggiornati. FinCert raccomanda inoltre di segmentare le reti informatiche degli istituti finanziari e di verificarne le impostazioni firewall— dovrebbero bloccare le connessioni a indirizzi di rete non regolamentati. Si consiglia inoltre di eseguire backup sistemi informativi e database critici.

Inoltre, l'ente regolatore consiglia di istruire i dipendenti della banca a prestare attenzione ai sospetti messaggi di posta e non ho visitato siti dubbi.

Un rappresentante della Banca Centrale ha detto a Vedomosti che da marzo ad agosto 2017 la Banca Centrale ha già messo in guardia le banche dal ransomware sei volte.

Allo stesso tempo, riguardo al pericolo del virus - ransomware Vuoi Le banche del grido erano state avvertite già ad aprile. Il 12 maggio, quando si è saputo che gli hacker stavano tentando di attaccare diverse organizzazioni in tutto il mondo utilizzando il virus WannaCry, FinCERT ha preso di mira le banche e ha poi ripetuto il suo avvertimento. Nel messaggio non sono stati resi noti i nomi delle banche interessate. È noto che il virus ha tentato, tuttavia, secondo il messaggio organizzazione finanziaria, gli hacker non sono penetrati nei loro sistemi.

Dal virus ransomware Petya il settore bancario russo. "A seguito degli attacchi sono stati registrati casi isolati di infezione", ha scritto FinCERT. Tra le banche famose colpite dall'attacco ci sono "". La banca ha riferito che nessun dato relativo a clienti o transazioni è stato compromesso.

I rappresentanti delle banche intervistati da Vedomosti notano che le raccomandazioni della Banca Centrale sono regolari e che le istituzioni finanziarie le attuano.

Potenziale attacco informatico

Alexey Pavlov, analista del centro di monitoraggio delle minacce informatiche Solar JSOC, ha dichiarato al giornale che negli ultimi giorni organizzazioni di vari settori, comprese le banche, hanno ricevuto avvertimenti sulla possibile attività di ransomware, sebbene il centro di monitoraggio non abbia informazioni al riguardo preparazione di un nuovo attacco hacker.

Dati su nuovo attacco nemmeno Kaspersky Lab, afferma Denis Gorchakov, capo del gruppo di ricerca e analisi sulle frodi. Egli suggerisce che la lettera FinCERT sia collegata ad un avvertimento su una minaccia nel settore energetico: alla vigilia del 9 agosto, hanno avvertito che un nuovo attacco informatico potrebbe essere effettuato nel prossimo futuro.

A causa della minaccia attacco hacker La società di servizi pubblici ha chiesto ai direttori delle filiali di limitare l'accesso a Internet degli utenti della rete aziendale dal 4 al 14 agosto e anche di avvisare i dipendenti di non aprire allegati di mittenti sconosciuti o di cliccare su collegamenti non correlati nelle e-mail.

Il Centro di Monitoraggio e Risposta agli Attacchi Informatici in ambito creditizio e finanziario (FinCERT) è una struttura della Banca Centrale che si occupa di cybersecurity. Creato nel 2015 con decisione del Consiglio di sicurezza russo. Le banche inviano informazioni alla Banca Centrale sugli attacchi informatici rilevati (su conti di carte, sistemi di servizi remoti, siti Web bancari), dopodiché gli specialisti analizzano questi dati, identificano le cause dei problemi e inviano i risultati dell'analisi ai partecipanti al mercato e alle forze dell'ordine .

Gli specialisti Doctor Web stanno studiando un nuovo trojan ransomware Trojan.Encoder.12544, indicato dai media come Petya, Petya.A, ExPetya e WannaCry-2. Sulla base di un'analisi preliminare del malware, Doctor Web fornisce consigli su come evitare l'infezione, indica cosa fare se l'infezione è già avvenuta e rivela i dettagli tecnici dell'attacco.

Il worm ransomware che ha causato molto rumore Trojan.Encoder.12544 costituisce un serio pericolo per computer personale, lavorando sotto controllo Microsoft Windows. Diverse fonti lo chiamano una modifica del trojan noto come Petya ( Trojan.Ransom.369), Ma Trojan.Encoder.12544 ha solo alcune somiglianze con lui. Questo malware si è infiltrato Sistemi di informazione numerosi enti governativi, banche e organizzazioni commerciali e ha infettato anche i PC di utenti in diversi paesi.

Attualmente è noto che il trojan infetta i computer utilizzando lo stesso insieme di vulnerabilità sfruttate in precedenza dagli aggressori per infiltrarsi nei computer delle vittime del trojan WannaCry. Distribuzione di massa Trojan.Encoder.12544è iniziato la mattina del 27 giugno 2017. Quando viene lanciato sul computer attaccato, il Trojan cerca i file disponibili rete locale Il PC avvia quindi la scansione delle porte 445 e 139 utilizzando l'elenco degli indirizzi IP ricevuti. Dopo aver scoperto le macchine sulla rete su cui queste porte sono aperte, Trojan.Encoder.12544 tenta di infettarli utilizzando una vulnerabilità ben nota nel protocollo SMB (MS17-10).

Nel suo corpo il trojan contiene 4 risorse compresse, 2 delle quali sono versioni a 32 e 64 bit dell'utility Mimikatz, progettate per intercettare le password per le sessioni aperte in Windows. A seconda della versione del sistema operativo, decomprime la versione corrispondente dell'utilità, la salva in una cartella temporanea e quindi la avvia. Utilizzando l'utilità Mimikatz e altri due metodi Trojan.Encoder.12544 riceve un elenco degli utenti locali e di dominio autorizzati sul computer infetto. Quindi cerca cartelle di rete scrivibili, tenta di aprirle utilizzando le credenziali ricevute e salva lì la sua copia. Per infettare i computer a cui è riuscito ad accedere, Trojan.Encoder.12544 utilizza un'utilità di gestione computer remoto PsExec (anch'esso memorizzato nelle risorse del Trojan) o un'utilità di console standard per richiamare oggetti Wmic.exe.

Il codificatore controlla il riavvio utilizzando un file che salva nella cartella C:\Windows\. Questo file ha un nome che corrisponde al nome del Trojan senza estensione. Poiché l'esempio del worm attualmente distribuito dagli aggressori si chiama perfc.dat, il file che ne impedisce la nuova esecuzione si chiamerà C:\Windows\perfc. Tuttavia, non appena gli aggressori modificano il nome originale del trojan, creando nella cartella C:\Windows\ un file con il nome perfc senza estensione (come consigliano alcune aziende antivirus) non si salva più il computer dall'infezione. Inoltre il trojan verifica la presenza di un file solo se dispone dei privilegi sufficienti per farlo nel sistema operativo.

Dopo l'avvio, il Trojan configura i propri privilegi, carica la propria copia in memoria e le trasferisce il controllo. Il codificatore quindi sovrascrive il proprio file su disco con dati spazzatura e lo elimina. Prima di tutto Trojan.Encoder.12544 rovina VBR (Volume Registro di avvio, record di avvio della partizione) dell'unità C:, il primo settore del disco è pieno di dati spazzatura. Il ransomware copia quindi il bootloader originale Entrata di Windows in un'altra sezione del disco, dopo averlo precedentemente crittografato utilizzando l'algoritmo XOR, e invece scrive il proprio. Successivamente, crea un'attività per riavviare il computer e inizia a crittografare tutti i file con estensioni .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, rilevati su dischi fisici locali. .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi , .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, . vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Il Trojan crittografa i file solo sulle unità fisse del computer; i dati su ciascuna unità vengono crittografati in un flusso separato. La crittografia viene eseguita utilizzando algoritmi AES-128-CBC, ogni disco ha la propria chiave (questa è caratteristica distintiva Trojan, non notato da altri ricercatori). Questa chiave viene crittografata utilizzando l'algoritmo RSA-2048 (altri ricercatori hanno riferito di utilizzare una chiave a 800 bit) e viene salvata nella cartella principale dell'unità crittografata in un file denominato README.TXT. I file crittografati non ricevono un'estensione aggiuntiva.

Dopo aver completato l'attività creata in precedenza, il computer si riavvia e il controllo viene trasferito al record di avvio del Trojan. Visualizza un testo sullo schermo di un computer infetto che assomiglia a un messaggio dell'utilità standard di scansione del disco CHDISK.

I virus stessi come minaccia informatica non sorprendono nessuno oggi. Ma se in precedenza colpivano il sistema nel suo insieme, causando interruzioni nelle sue prestazioni, oggi, con l'avvento di una varietà come un virus crittografico, le azioni di una minaccia penetrante colpiscono più dati dell'utente. Rappresenta forse una minaccia ancora maggiore rispetto alle applicazioni eseguibili distruttive per Windows o agli applet spyware.

Cos'è un virus ransomware?

Il codice stesso, scritto in un virus autocopiante, prevede la crittografia di quasi tutti i dati dell'utente con speciali algoritmi crittografici, il che non influisce file di sistema sistema operativo.

Inizialmente, la logica dell’impatto del virus non era del tutto chiara a molti. Tutto è diventato chiaro solo quando gli hacker che hanno creato tali applet hanno iniziato a chiedere soldi per ripristinare la struttura originale dei file. Allo stesso tempo, il virus crittografato stesso non consente di decrittografare i file a causa delle sue caratteristiche. Per fare ciò, avrai bisogno di un decryptor speciale, se lo desideri, di un codice, di una password o di un algoritmo necessario per ripristinare il contenuto desiderato.

Il principio di penetrazione nel sistema e il funzionamento del codice del virus

Di norma, è abbastanza difficile "raccogliere" queste schifezze su Internet. La principale fonte di diffusione dell '"infezione" è la posta elettronica a livello di programmi installati su un determinato terminale di computer, come Outlook, Thunderbird, The Bat, ecc. Notiamo subito: questo non si applica ai server di posta Internet, poiché hanno un grado di protezione sufficientemente elevato e l'accesso ai dati degli utenti è possibile solo a livello

Un'altra cosa è un'applicazione su un terminale di computer. È qui che il campo d'azione dei virus è così ampio che è impossibile immaginarlo. È vero, anche qui vale la pena fare una prenotazione: nella maggior parte dei casi, i virus prendono di mira le grandi aziende alle quali possono "rubare" denaro per fornire un codice di decrittazione. Ciò è comprensibile, perché non solo sui terminali dei computer locali, ma anche sui server di tali aziende, i file possono essere archiviati, per così dire, in un'unica copia, che non può essere distrutta in nessun caso. E quindi decrittografare i file dopo un virus ransomware diventa piuttosto problematico.

Naturalmente, un simile attacco può essere soggetto a un utente normale, ma nella maggior parte dei casi ciò è improbabile se si seguono i consigli più semplici per aprire allegati con estensioni di tipo sconosciuto. Anche client di posta definisce come standard l'allegato con estensione .jpg file grafico, per prima cosa è necessario verificarlo come installato di serie nel sistema.

Se ciò non viene fatto, quando lo si apre facendo doppio clic (metodo standard), verrà avviata l'attivazione del codice e inizierà il processo di crittografia, dopodiché lo stesso Breaking_Bad (virus crittografatore) non solo sarà impossibile da rimuovere, ma anche i file non potranno essere ripristinati una volta eliminata la minaccia.

Conseguenze generali della penetrazione di tutti i virus di questo tipo

Come già accennato, la maggior parte dei virus di questo tipo entrano nel sistema tramite e-mail. Bene, supponiamo che una grande organizzazione riceva una lettera a una specifica e-mail registrata con contenuti come "Abbiamo modificato il contratto, una copia scansionata è allegata" o "Ti è stata inviata una fattura per la spedizione della merce (una copia lì)". Naturalmente, l'ignaro dipendente apre il file e...

Tutto file utente a livello documenti d'ufficio, contenuti multimediali, progetti AutoCAD specializzati o qualsiasi altro dato importante vengono immediatamente crittografati e, se il terminale del computer si trova su una rete locale, il virus può essere trasmesso ulteriormente, crittografando i dati su altre macchine (questo diventa immediatamente evidente dalla "frenata" di sistema e blocco dei programmi o delle applicazioni attualmente in esecuzione).

Alla fine del processo di crittografia, il virus stesso invia apparentemente una sorta di rapporto, dopo di che l'azienda potrebbe ricevere un messaggio che questa o quella minaccia è penetrata nel sistema e che solo questa o quella organizzazione può decrittografarla. Di solito si tratta di un virus. [e-mail protetta]. Poi arriva l'obbligo di pagare per i servizi di decrittazione con un'offerta per l'invio di diversi file all'e-mail del cliente, il che è molto spesso fittizio.

Danno derivante dall'esposizione al codice

Se qualcuno non l'ha ancora capito: decrittografare i file dopo un virus ransomware è un processo piuttosto laborioso. Anche se non si obbedisce alle richieste degli aggressori e si cerca di coinvolgere gli enti governativi ufficiali nella lotta e nella prevenzione dei crimini informatici, di solito non si ottiene nulla di buono.

Se elimini tutti i file, produci e persino copi i dati originali da un supporto rimovibile (ovviamente, se esiste una tale copia), tutto verrà comunque nuovamente crittografato se il virus viene attivato. Non bisogna quindi illudersi troppo, soprattutto perché quando si inserisce la stessa unità flash in una porta USB, l'utente non si accorgerà nemmeno di come il virus crittograferà anche i dati su di essa. Allora non avrai problemi.

Primogenito della famiglia

Ora rivolgiamo la nostra attenzione al primo virus di crittografia. Come disinfettare e decrittografare i file dopo l'esposizione al codice eseguibile contenuto in un allegato E-mail con l'offerta di conoscenza, al momento della sua comparsa nessuno ci aveva ancora pensato. La consapevolezza della portata del disastro è arrivata solo con il tempo.

Quel virus aveva il nome romantico “Ti amo”. Un utente ignaro ha aperto un allegato in un messaggio di posta elettronica e ha ricevuto file multimediali (grafica, video e audio) completamente non riproducibili. Allora, tuttavia, tali azioni sembravano più distruttive (danno per le librerie multimediali degli utenti) e nessuno chiedeva soldi per questo.

Le modifiche più recenti

Come vediamo, l'evoluzione della tecnologia è diventata un'attività piuttosto redditizia, soprattutto considerando che molti manager di grandi organizzazioni corrono immediatamente a pagare per gli sforzi di decrittazione, senza pensare affatto che potrebbero perdere denaro e informazioni.

A proposito, non guardare tutti questi post “sbagliati” su Internet, dicendo: “Ho pagato/pagato l’importo richiesto, mi hanno inviato un codice, tutto è stato ripristinato”. Senza senso! Tutto questo è stato scritto dagli stessi sviluppatori del virus per attirare potenziali, scusatemi, "feticci". Ma, per gli standard di un utente normale, gli importi da pagare sono piuttosto elevati: da centinaia a diverse migliaia o decine di migliaia di euro o dollari.

Ora diamo un'occhiata ai tipi più recenti di virus di questo tipo, registrati relativamente di recente. Sono tutti praticamente simili e appartengono non solo alla categoria dei crittografi, ma anche al gruppo dei cosiddetti ransomware. In alcuni casi, agiscono in modo più corretto (come paycrypt), inviando apparentemente offerte commerciali ufficiali o messaggi che qualcuno ha a cuore la sicurezza dell'utente o dell'organizzazione. Un virus di crittografia di questo tipo inganna semplicemente l'utente con il suo messaggio. Se intraprende anche la minima azione per pagare, il gioco è fatto: il “divorzio” sarà completo.

Virus XTBL

Questo ransomware relativamente recente può essere classificato come una versione classica del ransomware. In genere, entra nel sistema tramite messaggi di posta elettronica contenenti file allegati, che è uno standard per gli screensaver di Windows. Il sistema e l'utente pensano che tutto sia a posto e attivano la visualizzazione o il salvataggio dell'allegato.

Sfortunatamente, ciò porta a tristi conseguenze: i nomi dei file vengono convertiti in un insieme di caratteri e .xtbl viene aggiunto all'estensione principale, dopodiché viene inviato un messaggio all'indirizzo e-mail desiderato sulla possibilità di decrittografia dopo aver pagato l'importo specificato (di solito 5mila rubli).

Virus CBF

Anche questo tipo di virus appartiene ai classici del genere. Appare sul sistema dopo aver aperto gli allegati e-mail, quindi rinomina i file dell'utente, aggiungendo un'estensione come .nochance o .perfect alla fine.

Sfortunatamente, non è possibile decrittografare un virus ransomware di questo tipo per analizzare il contenuto del codice anche nella fase in cui appare nel sistema, poiché dopo aver completato le sue azioni si autodistrugge. Anche quello che molti credono sia uno strumento universale come RectorDecryptor non aiuta. Anche in questo caso, l'utente riceve una lettera con la richiesta di pagamento, per la quale vengono concessi due giorni.

Virus Breaking_Bad

Questo tipo di minaccia funziona allo stesso modo, ma rinomina i file nella versione standard, aggiungendo .breaking_bad all'estensione.

La situazione non si limita a questo. A differenza dei virus precedenti, questo può creare un'altra estensione: .Heisenberg, quindi non è sempre possibile trovare tutti i file infetti. Quindi Breaking_Bad (un virus ransomware) è una minaccia abbastanza seria. A proposito, ci sono casi in cui anche il pacchetto di licenze Kaspersky Endpoint Security 10 non rileva questo tipo di minaccia.

Virus [e-mail protetta]

Ecco un'altra minaccia, forse la più grave, rivolta principalmente alle grandi organizzazioni commerciali. Di norma, qualche reparto riceve una lettera contenente apparentemente modifiche al contratto di fornitura, o anche solo una fattura. L'allegato può contenere un normale file .jpg (come un'immagine), ma più spesso - uno script.js eseguibile (applet Java).

Come decifrare questo tipo di virus ransomware? A giudicare dal fatto che lì viene utilizzato un algoritmo RSA-1024 sconosciuto, in nessun modo. In base al nome si può supporre che si tratti di un sistema di crittografia a 1024 bit. Ma, se qualcuno ricorda, oggi AES a 256 bit è considerato il più avanzato.

Virus crittografato: come disinfettare e decrittografare i file utilizzando un software antivirus

Ad oggi non sono ancora state trovate soluzioni per decifrare minacce di questo tipo. Anche maestri nel campo della protezione antivirus come Kaspersky, Dr. Web ed Eset non riescono a trovare la chiave per risolvere il problema quando il sistema è infetto da un virus di crittografia. Come disinfettare i file? Nella maggior parte dei casi, si consiglia di inviare una richiesta al sito Web ufficiale dello sviluppatore dell'antivirus (a proposito, solo se il sistema dispone di software concesso in licenza da questo sviluppatore).

In questo caso, è necessario allegare diversi file crittografati, nonché i relativi originali "sani", se presenti. In generale, nel complesso, poche persone salvano copie dei dati, quindi il problema della loro assenza non fa che aggravare una situazione già spiacevole.

Possibili modi per identificare ed eliminare manualmente la minaccia

Sì, la scansione con i programmi antivirus convenzionali identifica le minacce e le rimuove persino dal sistema. Ma cosa fare con le informazioni?

Alcuni provano a utilizzare programmi di decrittazione come la già menzionata utility RectorDecryptor (RakhniDecryptor). Notiamo subito: questo non aiuterà. E nel caso del virus Breaking_Bad può solo fare del male. Ed ecco perché.

Il fatto è che le persone che creano tali virus cercano di proteggere se stesse e fornire indicazioni agli altri. Quando si utilizzano le utilità di decrittazione, il virus può reagire in modo tale che l'intero sistema "vola" e con la completa distruzione di tutti i dati archiviati su dischi fissi o in partizioni logiche. Questa, per così dire, è una lezione indicativa per l'edificazione di tutti coloro che non vogliono pagare. Possiamo fare affidamento solo su laboratori antivirus ufficiali.

Metodi cardinali

Tuttavia, se le cose vanno davvero male, dovrai sacrificare le informazioni. Per eliminare completamente la minaccia, è necessario formattare l'intero disco rigido, comprese le partizioni virtuali, e quindi installare nuovamente il sistema operativo.

Sfortunatamente non c’è altra via d’uscita. Anche fino a un certo punto di ripristino salvato non aiuta. Il virus potrebbe scomparire, ma i file rimarranno crittografati.

Invece di una postfazione

In conclusione, vale la pena notare che la situazione è questa: un virus ransomware penetra nel sistema, fa il suo lavoro sporco e non viene curato in alcun modo. con metodi noti. Gli strumenti di protezione antivirus non erano pronti per questo tipo di minaccia. Inutile dire che è possibile rilevare un virus dopo l'esposizione o rimuoverlo. Ma le informazioni crittografate rimarranno sgradevoli. Quindi spero che le migliori menti delle società di sviluppo di software antivirus trovino comunque una soluzione, anche se, a giudicare dagli algoritmi di crittografia, sarà molto difficile da realizzare. Ricorda solo la macchina di crittografia Enigma che la Marina tedesca aveva durante la seconda guerra mondiale. I migliori crittografi non sono riusciti a risolvere il problema di un algoritmo per decrittografare i messaggi finché non hanno messo le mani sul dispositivo. Anche qui le cose stanno così.