Вирус вымогатель по кошельку

WannaCry представляет собой программу-троян, шифрующую файлы на зараженных компьютерах и блокирующую таким образом доступ к данным (подробнее о принципах его работы — в материале Forbes). Для того чтобы вновь получить возможность открывать свои файлы, пользователю необходимо отправить сумму в размере $300-600 в криптовалюте биткоин на кошелек злоумышленников, стоящих за WannaCry. Никаких гарантий расшифровки и разблокировки файлов после оплаты, конечно, не существует. Но почему создатели вредоносного программного обеспечения вымогают у пользователей средства именно в криптоактивах? Прежде стоит сделать краткий экскурс в историю программ-вымогателей и эволюцию их методов приема средств от жертв.

Упомянутый в начале материала WannaCry относится к типу программ-вымогателей ransomware (подробнее о подобных типах киберугроз — в материале Forbes), существующих на рынке уже не первый десяток лет, задолго до появления биткоина, криптовалюты-пионера. Впервые этот вид вируса был зафиксирован в 1989 году — за 20 лет до биткоина. Тогда программа-зловред AIDS Trojan распространялась на дискетах в ходе медицинской конференции. Вирус шифровал все файлы на диске C компьютера и требовал отправить $189 на почтовый ящик в Панаме.

Развивающийся сейчас мировой рынок криптовалют, объем которого, по данным на 16 мая, составил $55,5 млрд, создает для злоумышленников идеальную возможность принимать деньги на свой счет, сохраняя анонимность. Биткоин — первая, самая масштабная и наиболее распространенная на рынке, и в том числе, среди создателей вредоносных программ, криптовалютная платежная система. Популярность биткоина в нелегальных схемах, к которым относится разработка и распространение вредоносного ПО, в цифровом пространстве не случайна. В основе биткоина лежит распределенная база данных — блокчейн, контролируемая самими пользователями, при отсутствии центрального регулирующего органа. История транзакций прозрачна для всех пользователей сети, но кто именно стоит за тем или иным криптовалютным кошельком, в рамках самой системы биткоин определить невозможно.

Помимо биткоина злоумышленники используют также и другие криптовалюты — альткоины. Так, например, вирус-вымогатель Kirk, шифрующий около 625 типов различных файлов с помощью протокола RSA-4096, требует расплачиваться в криптовалюте Monero.

Несмотря на репутацию анонимного средства платежа, сложившуюся вокруг криптовалют, на рынке уже существуют решения, позволяющие отследить транзакции в пользу злоумышленников. Например, технологический комплекс Elliptic предназначен для мониторинга незаконного оборота биткоинов. Компания сотрудничает с финансовыми организациями и правоохранительными органами. Кроме того, известно, что Elliptic также сотрудничает с криптовалютными биржами, позволяя им соблюдать принцип KYC (know your customer) и идентифицировать своих контрагентов. Таким образом, стало возможным распознавание злоумышленников на этапе вывода средств в фиатную валюту через онлайн-биржу или обменник.

С помощью AML-решения Elliptic можно определить, с каким именно кошельком сотрудничает злоумышленник. Например, уже удалось выявить балансы трех биткоин-кошельков, связанных с WannaCry. Успевший дестабилизировать работу более двух сотен тысяч компьютеров вирус-вымогатель собрал, по данным на 16 мая, около $74 536.

Идентифицировать кошелек позволяет технология кластеризации адресов (address clustering), развиваемая в рамках тесного сотрудничества с сервис-провайдерами. Суть решения заключается в том, что каждому кластеру присвоена своя оценка риска (risk score), позволяющая определить вероятность связи того или иного кошелька с даркнетом. Благодаря технологии кластеризации адресов биткоин-сервисы, например Coinbase, Mycelium или Wirex, могут моментально идентифицировать перевод с высокой оценкой риска и заблокировать его. Такой подход позволяет оперативно выявить и задержать злоумышленников.

Каков бы ни был способ приема средств, эксперты в сфере информационной безопасности советуют не выплачивать выкуп ни при каких условиях, так как сохранность заблокированных файлов и возобновление доступа к ним злоумышленники никогда не гарантируют. Кроме того, выплачивая средства за разблокировку, пользователи поддерживают разработчиков вредоносного ПО, стимулируют их развивать существующие решения и создавать новые вирусы.

Рынок криптовалют разнообразен и степень анонимности зависит от проработки кода, заложенного создателями той или иной криптовалюты или блокчейн-платформы. Но развитие технологии кластеризации адресов говорит о том, что анонимность больше не служит бесспорным козырем в руках злоумышленников. Готовые решения для отслеживания биткоин-транзакций и сотрудничество с правоохранительными органами со временем сделают более прозрачными и операции с альткоинами. Возможно, уже в ближайшей перспективе, пока государства будут делать первые шаги в регулировании криптовалют, частные проекты естественным образом сформируют среду для контроля этого рынка. Противодействие отмыванию денег в рамках блокчейн-транзакций — достаточно новая технология, но в ее развитии заинтересованы все игроки рынка, потому что такой инструмент способствует улучшению репутации биткоина и снижению объема нелегальных операций по всему миру.

С помощью вируса-вымогателя кибермошенникам удается зарабатывать до 2 млрд долларов в год. Помимо денежных потерь владельцы бизнеса несут ущерб из-за сбоя системы, снижения производительности и стресса. В целом получается слишком разорительно.

Представьте, что вы работаете на компьютере, отвечаете на письмо клиента и вдруг на мониторе появляется синий фон и на нем следующее сообщение:

«Компьютер заблокирован. Все ваши файлы зашифрованы. Дешифрование файлов будет стоить 0,076 биткойнов. Следуйте инструкции для оплаты:

1. Отправьте 0,076 биткойнов в биткойн-кошелек #XXX XX .

Каковы ваши дальнейшие действия? Вы будете паниковать, пытаться разблокировать компьютер? Пойдете на поводу мошенникам и постараетесь выкупить у них свои файлы?

Ransomware как совершенствующаяся опасность

Вирусы, вредоносные программы не являются для пользователей чем-то новым с тех пор, как в 2013 году хакеры обнаружили, что могут зашифровать ценные файлы и вымогать у жертв круглые суммы для дешифровки. Успешно эксплуатируя эту возможность, мошенники зарабатывают до 2 млрд долларов в год! Это деньги трудолюбивых владельцев бизнеса. Если прибавить к ним ущерб, который несут компании от сбоя системы, потери производительности и стресса, то получается слишком разорительно.

Ransomware распространяется мошенниками в различных вариантах. Некоторые ставят своей целью найти и зашифровать самые ценные файлы, другие — просто шифруют весь жесткий диск, что делает ситуацию гораздо более неприятной. И даже когда вы очищаете его полностью, файлы по-прежнему продолжают шифроваться. Если вы не готовы к атаке вируса-вымогателя, то это может парализовать всю работу компании. Вот почему управление ИТ-системами в компании очень важно .

Как распространяется вирус-вымогатель

Злоумышленники постоянно пробуют новые способы заражения компьютеров с помощью ransomware. В основе большинства атак лежит обман — вас принуждают к установке вредоносного ПО. Некоторые вирусы-вымогатели, используя уязвимости программ, даже не требуют одобрения установки, но такие атаки, как правило, краткосрочны, потому что ликвидируются после устранения уязвимостей.

Большинство вирусов-вымогателей распространяется по незнакомой электронной почте. Фишинговые письма максимально маскируются под официальную переписку, заставляя вас открыть вложение или перейти по ссылке. Как только вы это делаете, ваш компьютер заражается вирусом.

Вариацией фишинг-атак, набирающих популярность, является направленная фишинг-атака: вместо рассылки большого количества писем вымогатели отправляют сообщения, точно адаптированные под конкретного человека, часто используя информацию, полученную из открытых профилей в соцсетях. Злоумышленник может выступать в роли нового клиента или даже в роли подрядчика, с которым вы уже работаете.

Некоторые веб-сайты содержат вредоносный код, который использует уязвимости в вашем браузере и операционной системе или обманывает вас, заставляя согласиться на выкуп.

Ссылки на эти сайты могут быть встроены в фишинговые письма. Их также можно направлять с помощью текстовых ссылок, рекламных баннеров или всплывающих окон.

Иногда ransomware пользуется недостатками безопасности в операционных системах или приложениях, которые позволяют распространять и запускать файлы самостоятельно. Это может наносить разрушительное действие. Без необходимости в человеческом участии вирус мгновенно распространяется от компьютера к компьютеру через интернет.

Крупные технологические компании быстро ликвидируют эти дыры в безопасности, как только узнают о них. Это означает, что компании, которые отключают обновления и не пытаются усовершенствовать ИТ-систему, на сегодняшний день являются особенно уязвимыми для такого рода атак.

Как защититься от вируса-шифровальщика

Итак, мы уже поняли, что ransomware может нанести разрушительные действия и потому является дорогостоящим риском. Поэтому возникает закономерный вопрос: как сохранить систему в безопасности?

Подавляющее большинство атак вирусов-вымогателей направлено на то, чтобы обмануть кого-то, поэтому вы можете снизить риски, сделав информацию о ransomware частью тренинга по ИТ-безопасности.

Убедитесь, что любой сотрудник, который использует компьютер, должным образом предупрежден о подозрительных вложениях и ссылках в электронной почте. Удостоверьтесь, что люди, работающие в вашей компании, не забывают об опасности спама и незнакомых писем, особенно фишинговых писем, специально предназначенных для бизнеса или отдельных лиц.

По иронии судьбы владельцы высокотехнологичного бизнеса иногда становятся наиболее уязвимыми. Возможно, потому что они считают информацию о защите слишком очевидной. Не думайте, что то, что очевидно для вас, очевидно для всех в офисе — мошенники повышают уровень в своих атаках.

Вы можете просто выдать каждому сотруднику соответствующий документ и заставить поставить на нем подпись. Но это все равно что ничего. Гораздо эффективнее поговорить с работниками и убедиться, что они действительно осознают опасность и понимают, как ее предотвратить.

В 2017 году произошли одни из самых катастрофичных хакерских атак: вирусы WannaCry и NotPetya использовали одну и ту же уязвимость в операционной системе Windows. Эта уязвимость была исправлена ​​Microsoft в марте — задолго до того, как эти атаки начались (в мае и июне). А значит, миллиарды долларов, которые потерял бизнес, можно было спасти благодаря простым действиям.

В ситуации домашнего офиса самый простой способ сохранить исправление вашей операционной системы — это просто оставить автоматическое обновление. Да, эти сообщения о перезагрузке компьютера сильно раздражают, но это не столь страшно по сравнению с потерей всей вашей работы.

Еще одна беда ПО, о которой многие не знают, — это заражение вирусом роутера. Если хакер управляет им, он может перенаправлять веб-браузер на вирусную страницу. Руководство по обновлению прошивки содержится в инструкции к роутеру.

Ничто не заставит вас платить деньги вымогателю, если у вас есть резервная копия со всей жизненно важной информацией. Понятно, что все равно вы не сможете перетащить на диск всю информацию и всегда останется то, что имеет реальную стоимость. Поэтому не стоит экономить на обучении персонала только потому, что у вас есть резервные копии. Но это позволит вам минимизировать проблемы.

Для фрилансеров, консультантов, людей, завязанных на домашнем офисе, для хранения файлов будет достаточно платного облачного хранилища. Таким образом, вы просто сохраняете все важные рабочие документы в папке, которая синхронизируется с облаком.

Когда в офисе более одного компьютера, есть ключевой фактор, определяющий, насколько тяжело вам причинить вред, — объем информации, которую можно зашифровать. Чем больше файлов и жестких дисков вирус-шифровальщик затронет, тем больше времени потребуется на восстановление данных из резервных копий и тем дольше бизнес будет простаивать.

Сотрудникам не нужна учетная запись с доступом ко всей информации. Им достаточно учетной записи, которая дает возможность выполнять свою работу.

Восстановление после атаки

Если у вас есть резервные копии и налажен процесс восстановления информации, вы быстро справитесь с проблемой.

Нужно ли платить выкуп? Нет. Почему?

Киберпреступники обращают внимание на то, откуда к ним идут деньги. Если вы выполните их требования, они снова попытаются вас взломать. Как клиент, готовый платить, вы становитесь для них выгодной целью. Тот факт, что вы платите за выкуп чужим людям, чтобы вернуть свои данные, как бы сигнализирует о том, что в целом безопасность ИТ-системы в вашей компании обеспечена не на 100%. Киберпреступники обмениваются этой информацией или продают ее друг другу .

• Это плохая карма

Перечисление денег преступникам делает хуже жизнь всех, кто пытается зарабатывать честным трудом. Потому что единственная причина, по которой мошенники не прекращают свою черную работу, — это потоки денег, поступающие от растерянных жертв. Не становитесь частью порочной системы.

• Есть большая вероятность, что это не сработает

Поймите, что для мошенников вы находитесь вне поля контроля. Вы рискуете потерять не только деньги, но и время, эффективность, которую могли бы инвестировать в работу .

После восстановления файлов перейдите к работе над ошибками, чтобы понять суть проблемы. Открывали ли сотрудники фишинговое электронное письмо? Не кликнули ли они на баннер с вирусом? Может быть, есть сложности с ПО или операционной системой? Как бы то ни было, вам нужно сделать все, чтобы случившееся не повторилось.

Если речь идет о человеческом факторе, убедитесь, что все в офисе проинформированы о том, как произошла атака. Есть высокая вероятность того, что персонал столкнется с подобными атаками в будущем. Убедитесь, что все знают, на что обращать внимание.

Плохая идея — искать и назначать виновных, даже если вас сильно раздражает то, что кто-то открыл фишинговое письмо. Это создает препятствие на пути к честному осознанию произошедшего. К тому же это усложняет коммуникации. Все, что действительно нужно в этой ситуации, — это информированность персонала и грамотные специалисты, готовые взять на себя контроль за ИТ-системой.

Программы-вымогатели представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Исследователи кибербезопасности продемонстрировали, что это семейство вредоносного ПО способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.

Содержание

Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его

Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.

Как защитить бизнес от ransomware

Вымогательское ПО (ramsomware) продолжает нести одну из самых больших угроз в Интернете, пишет в 2019 году портал ZDNet [2] . Необдуманный переход по ссылке может привести к последовательности событий, которые грозят тем, что все данные пользователя будут зашифрованы, и он будет поставлен перед выбором — заплатить вымогателям в обмен на ключ расшифровки большие деньги (злоумышленники обычно требуют их в виде биткоинов или другой криптовалюты, чтобы запутать следы транзакций) или же отказаться от оплаты выкупа. За счет того, что многие жертвы предпочитают откупиться, криминальные группировки, занимающиеся распространением ransomware, обладают немалыми средствами и продолжают совершенствовать вредоносное ПО и тактику атак.

Так, если неприхотливые мошенники довольствуются рассылкой вредоносного ПО вслепую, то банды, которые поставили свой промысел на поток, ищут уязвимости в корпоративных сетях и атакуют только тогда, когда можно нанести максимальный урон, шифруя за один раз как можно больше устройств. Распространением вредоносного ПО занимаются не только преступные группировки, но и группировки, которые поддерживаются отдельными странами. Они делают это, чтобы посеять хаос и принести прибыль своим покровителям. Постоянно растущее число атак на бизнес можно сравнить со своего рода гонкой вооружений: с одной стороны, киберкриминал постоянно пополняет арсенал модификаций ransomware и ищет новые способы компрометации систем, тогда как предприятия вынуждены наращивать потенциал для защиты корпоративной инфраструктуры, чтобы ликвидировать любые лазейки для проникновения.

Фактически, преступные группировки всегда действуют на упреждение, поэтому гарантированного средства полностью защитить себя или свой бизнес от вымогателей или любого другого вредоносного ПО не существует. Тем не менее, можно предпринять ряд шагов, чтобы смягчить последствия атак или свести к минимуму шансы атакующих.

1. Устанавливайте программные патчи, чтобы держать софт в актуальном состоянии. Патчинг — это утомительная и трудоемкая процедура, которая требуется для закрытия брешей безопасности в ПО. Многие пользователи игнорируют ее, но это неправильно, потому что незакрытые уязвимости открывают хакерам пространство для маневра. Хакеры будут использовать любые уязвимости в ПО для проникновения в сети, если предприятия не успеют протестировать и развернуть патчи.

Классический пример того, во что вылилось промедление с установкой патчей безопасности, — WannaCry. Летом 2017 г. эта вымогательская программа прошлась настоящим цунами по ИТ-сетям. В общей сложности, за короткое время от червя пострадало 300 тыс. компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Распространение WannaCry блокировало работу множества организаций: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Несмотря на то, что патч для Windows Server Message Block, препятствующий угрозам типа WannaCry был выпущен за несколько месяцев до его появления, огромное количество организаций проигнорировали его, что повлекло заражение инфраструктуры.

RDP позволяет удаленно управлять ПК и является еще одной востребованной вымогателями опцией. Среди основных действий, которые значительно снижают площадь поражения, можно отнести установку надежных паролей, а также изменение порта RDP, что ограничит круг подключаемых к нему устройств только теми, которые установит организация.

3. Обучите персонал распознавать подозрительные письма. Электронная почта — один из классических способов проникновения ransomware в организацию. Это связано с тем, что рассылка бандами вымогателей вредоносных программ на тысячи адресов э-почты — это дешевый и простой способ распространения ПО. Несмотря на кажущуюся примитивность этой тактики, она по-прежнему удручающе эффективна. Для обеспечения защиты предприятия от программ-вымогателей и фишинга, которые распространяются по каналам э-почты, предприятию нужно провести тренинг с целью обучить персонал распознавать подозрительные э-письма.

Основное правило: ни в коем случае не стоит открывать э-письма, полученные от неизвестных отправителей, и тем более не нужно нажимать на ссылки в таких письмах. Стоит остерегаться вложений, которые просят включить макросы, поскольку это стандартный путь к заражению вредоносным ПО. В качестве дополнительного уровня безопасности стоит применять двухфакторную аутентификацию.

4. Усложните структуру перемещения по своей сети. Группировки вымогателей все чаще ищут максимально возможную финансовую выгоду. Очевидно, что заблокировав один или несколько компьютеров, они ее не получат. Чтобы нанести максимальный урон, они проникают в сеть и ищут пути распространения вымогателя на как можно большее количество компьютеров. Чтобы предотвратить распространение ransomware или хотя бы усложнить хакерам жизнь, нужно провести сегментирование сетей, а также ограничить и дополнительно защитить учетные записи администраторов, которые обладают доступом ко всей инфраструктуре. Как известно, по большей части фишинговые атаки нацелены на разработчиков, что связано с тем, что они обладают широким доступом к различным системам.

5. Контролируйте подключенные к вашей сети устройства. Компьютеры и серверы находятся там, где хранятся данные, но это не единственные устройства, о которых нужно беспокоиться администраторам. Офисный Wi-Fi, IoT-устройства и удаленный сценарий работы — в настоящее время существует большое разнообразие устройств, подключающихся к сети компании и лишенных встроенных функций безопасности, которые требуются корпоративному устройству. Чем их больше, тем больше риск того, что в каком-то из них, например, в плохо защищенном принтере или другом сетевом устройстве, будет бэкдор, через который преступники проникнут в корпоративные системы. Кроме того, администраторам нужно задуматься, кто еще имеет доступ к их системам, и если это ваши поставщики, то знают ли они о потенциальном риске, которым угрожает ransomware и другие вредоносные программы?

6. Создайте эффективную стратегию резервного копирования. Наличие надежных и актуальных резервных копий всей критически важной для бизнеса информации является жизненно важной защитой, особенно от программ-вымогателей. В результате стечения неблагоприятных обстоятельств, когда хакерам удастся скомпрометировать несколько устройств, наличие своевременно сделанных резервных копий означает, что их можно восстановить и снова оперативно начать работу. Учитывая значимость стратегии бэкапов, предприятию нужно знать, где хранятся критически важные для бизнеса данные. Возможно, финансовый директор хранит данные в электронной таблице на рабочем столе, и эти данные не зеркалируются в облако.

Нужно помнить одну очень важную деталь: если делать резервные копии не критически важных данных или делать их тогда, когда это заблагорассудится, а не по расписанию, стратегия резервного копирования будет мало полезной.

7. Прежде, чем платить выкуп, подумайте. Смоделируем ситуацию. Вымогатели пробились сквозь защиту организации, и все компьютеры зашифрованы. Восстановление данных из резервных копий займет несколько дней, но эти задержки могут оказаться критическими для бизнеса. Может быть лучше заплатить им несколько тысяч долларов? Как поступить? Для многих вывод будет очевидным: если работоспособность бизнеса будет восстановлена в кратчайшие сроки, то следует заплатить. Однако есть причины, которые говорят о том, что это решение может оказаться фатальным. Во-первых, нет никакой гарантии, что после оплаты преступники передадут ключ шифрования, потому что это преступники и у них отсутствуют привычные моральные принципы. Более того, совершив платеж организация продемонстрирует готовность платить и это может вызывать новые атаки с их стороны или со стороны привлеченных группировок, которые искали платежеспособных клиентов. Во-вторых, выплата выкупа либо из собственных средств, либо посредством страхового покрытия означает, что криминальный курс приносит группировкам доход. Как следствие, оно могут тратить добытые преступным путем средства на совершенствование кампаний, атакуя большее число предприятий. Даже если одному или нескольким предприятиям повезло, и им разблокировали компьютеры, платить выкуп — значит стимулировать новую волну вымогательства.

8. Разработайте план реагирования на ransomware и проверьте его. Каждое предприятие должно иметь план восстановления работоспособности после непредвиденного вмешательства в рабочие процессы — будь то поломка техники или стихийные бедствия. Ответы на вымогательские действия должны быть его стандартной статьей. Они не должны быть только техническими (очистка ПК и восстановление данных из резервных копий), но и рассматриваться в более широком бизнес-контексте. К примеру, как объяснить ситуацию покупателям, поставщикам и прессе; следует ли уведомлять об ransomware-атаке полицию, страховую компанию и регулирующие органы. Помимо разработки плана нужно будет убедиться в его работоспособности, так как некоторые допущения могут быть ошибочными.

9. Сканирование и фильтрация э-почты. Самый простой способ обезопасить своих сотрудников от перехода по вредоносной ссылке в э-письме — сделать так, чтобы оно никогда не попало в их почтовый ящик. Чтобы добиться этого, нужно применять средства сканирования контента и фильтрации э-почты. Установленные фильтры значительно сократят количество фишинговых и вымогательских программ.

10. Досконально изучите схему работы своей сети. ИБ-рынок предлагает целый ряд связанных инструментов безопасности начиная от систем предотвращения и обнаружения вторжений и заканчивая системами управления информацией и событиями безопасности (security information and event management, SIEM), которые дают полное представление о трафике сети, каналам его поступления и т. д. SIEM получает информацию о событиях из различных источников, таких как межсетевые экраны, IPS, антивирусы, ОС и т. д. Система фильтрует полученные данные, приводя их к единому, пригодному для анализа формату. Это позволяет собирать и централизованно хранить журналы событий в различных системах.

Далее SIEM коррелирует события: ищет взаимосвязи и закономерности, что позволяет с высокой вероятностью определять потенциальные угрозы, сбои в работе ИТ-инфраструктуры, попытки несанкционированного доступа, атаки. Эти продукты дают актуальное представление о состоянии сети и в том числе позволяют определить аномалии в трафике, которые могут указывать на взлом хакерами, правда, без указания на то, был ли он осуществлен при помощи ransomware или других видов зловредного ПО. В любом случае, если предприятие не видит, что происходит в ее сети, оно не сможет остановить атаку.

11. Убедитесь, что ваша антивирусная программа обновлена. Обновление антивирусных сигнатур кажется обыденностью, однако некоторые организации, как правило, небольшие, не уделяют этому процессу должного внимания. Многие современные антивирусные пакеты предлагают функции обнаружения программ-вымогателей или надстройки, которые обнаруживают подозрительное поведение, общее для всех вымогателей: шифрование файлов. Антивирусные сигнатуры понимают, что внешние программы предпринимают попытки модифицировать пользовательские файлы и зашифровать их, и пытаются остановить шифрование. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.

Защита от целевых атак шифровальщиков

Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:

No More Ransom

Сегодня поговорим с Вами о вредных программах, которые способны нанести урон вашему кошельку, данным, а так же репутации.
Что такое вирусы вымогатели?
Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа:

• Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.
• Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.

Для того, чтобы лучше понимать с чем мы имеем дело, окунемся в историю.
Обратите внимание, на рисунок ниже, на котором отображены годы и вирусы, здесь далеко не все представители данной индустрии, а лишь самые активные и известные.

GPCoder 2005
Одним из первых примеров распространения вымогателей в Интернете был троян GPCoder. Впервые обнаруженный в 2005 году, GPCoder инфицировал системы Windows и целевые файлы с различными расширениями. Найденные файлы были скопированы в зашифрованном виде, а оригиналы удалены из системы. Новые зашифрованные файлы были нечитаемыми, а использование надежного шифрования RSA-1024 гарантировало, что попытки их разблокировки крайне маловероятны. На домашнем экране пользователей было отображено сообщение, направляющее их в файл .txt, размещенный на их рабочем столе, который содержал подробную информацию о том, как заплатить выкуп и разблокировать затронутые файлы.

CryptoLocker
Во второй половине 2013 года появился новый вариант крипто-вымогателей, который провел новую черту на песке в борьбе за кибербезопасность.
Программисты CryptoLocker были очень прямолинейны в том, что они делали, посылая жертвам тупое сообщение о том, что все их файлы были зашифрованы и будут удалены, если выкуп не будет выплачен в течение трех дней.
Во-вторых, CryptoLocker продемонстрировал, что возможности шифрования, которые теперь могут использовать киберпреступники, были значительно сильнее, чем те, которые были доступны, когда первая криптографическая программа появилась почти десять лет назад. Используя серверы C2 в скрытой сети Tor, программисты CryptoLocker смогли сгенерировать 2048-битное шифрование открытого и закрытого ключей RSA для заражения файлов с указанными расширениями.

KeRanger
В 2016 году также появился первый скрипт-вымогатель, который воздействует на системы Mac. KeRanger был особенно неприятен, потому что ему удавалось зашифровать резервные копии Time Machine, а также обычные файлы Mac, преодолев обычную способность Mac откатываться к более ранним версиям при возникновении проблемы.

WannaCry
12 мая 2017 года червь-вымогатель, который станет известен во всем мире как WannaCry, поразил своих первых жертв в Испании. В течение нескольких часов он распространился на сотни компьютеров в десятках стран. Спустя несколько дней эта сумма превысила четверть миллиона, что сделало WannaCry самой крупной в истории атакой на вымогателей, а также убедило весь мир смириться с угрозой.
WannaCry означает сокращение от WannaCrypt, ссылаясь на тот факт, что WannaCry является криптографическим программным обеспечением. Более конкретно, оно способно автоматически размножаться и распространяться.
То, что сделало WannaCry таким эффективным и таким шокирующим для широкой публики, было то, как он был распространен. Не было фишинг-атак и загрузок с скомпрометированных сайтов бот-сетей. Вместо этого WannaCry был нацелен на известные уязвимости на компьютерах. Он был запрограммирован на траление в сети для компьютеров, работающих на более старых версиях Windows Server, которые имели известный недостаток безопасности, и заражал их. Как только он заразил один компьютер в сети, он быстро обнаружил другие с тем же недостатком и заразил их тоже.
Именно так WannaCry распространился так быстро, и именно поэтому он был особенно мощным в атаке на системы крупных организаций, включая банки, транспортные органы, университеты и службы здравоохранения, такие как Государственная служба здравоохранения Великобритании.
Но многих шокировало то, что уязвимость, которую WannaCry эксплуатировал в Windows, была обнаружена Агентством национальной безопасности США (NSA) несколько лет назад. Но вместо того, чтобы предупредить об этом мир, АНБ молчало и разработало свой собственный эксплойт, чтобы использовать слабость в качестве кибер-оружия. По сути, WannaCry был построен на системе, разработанной агентством государственной безопасности.

Petya 2017
По горячим следам WannaCry, еще одна трансконтинентальная атака вымогателей обрушила тысячи компьютеров во всех четырех уголках мира.

LeakerLocker 2019
Ориентируясь на устройства Android, LeakerLocker пригрозил поделиться всем содержимым устройства мобильного пользователя со всеми в своем списке контактов. Поэтому, если на вашем телефоне хранится что-то смущающее или компрометирующее, вам лучше заплатить, иначе все ваши друзья, коллеги и родственники могут скоро увидеть, что вам нужно скрыть.

Какие типы ОС подвержены опасности заразиться шифровальщиками?

Windows? – Очевидно

Mac OS — Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.

Linux — Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена. Lilocked — не первое семейство угроз для серверов Linux. В феврале 2019 года Bleeping Computer наблюдал, как B0r0nt0K требует 20 биткойнов (тогда стоит примерно 75 000 долларов) с серверов Linux, содержимое которых он зашифровал. Несколько месяцев спустя Intezer Labs обнаружила новое семейство вредоносных программ под названием HiddenWasp, предназначенное для серверов Linux с целью обеспечения целевого удаленного управления. Совсем недавно, в июле 2019 года, Intezer Labs заметила, что QNAPCrypt преследует Linux-системы хранения файлов (серверы NAS).

Как можно заразиться?

Как я узнаю, что я заразился?
Как правило вымогатели не скучные люди, они всегда готовы поглумится над жертвой, в любом случае, атака шифровальщика, сразу покажет себя, не заметить ее будет сложно, ниже пару примеров, как это выглядит:

Мы предлагаем лучшую защиту, которая поможет справиться с вирусами шифровальщиками и всеми современными угрозами.

• Признан в основных независимых тестах защиты, производительности и удобства использования и заслуживает доверия для защиты более 500 миллионов конечных точек по всему миру
• Глобальная защитная сеть анализирует и сопоставляет информацию с 500 млн. Конечных точек и других источников для прогнозирования, предотвращения и обнаружения атак в любой точке мира менее чем за 3 секунды.
• Усовершенствованная защита конечных точек с использованием машинного обучения и расширенной эвристикой для обнаружения и блокирования даже самых сложных вымогателей и атак нулевого дня
• Простая в использовании унифицированная консоль управления, разработанная снизу вверх для облачных вычислений и виртуализации, которая обеспечивает видимость на всех платформах

Вендор победитель многочисленных тестов.

Какие технологии Bitdefender помогают бороться с вирусами шифровальщиками?
Интеллектуальный агент безопасности GravityZone оценивает хост-компьютер при установке для самостоятельной настройки в оптимальной форме и адаптирует свое поведение в соответствии с доступностью конечной точки.
Администраторы безопасности распределяют ресурсы для задач безопасности посредством политик для групп компьютеров.

Машинное обучение – решение, которое автоматически обучается на основе 1 триллиона образцов из более чем 500 миллионов конечных точек по всему миру. Независимо от того, насколько сильно изменено вредоносное ПО или вымогатель, Bitdefender может точно обнаруживать новые шаблоны вымогателей как в режиме предварительного выполнения, так и во время выполнения.

Advanced anti-exploit — авторы вымогателей часто используют наборы эксплойтов, которые используют уязвимости нулевого дня или незащищенные, чтобы закрепиться в системах. Сосредоточив внимание на методах атаки, Bitdefender защищает ваши системы и предотвращает распространение вымогателей.
Технология предотвращения эксплойтов защищает память и уязвимые приложения, такие как браузеры, программы чтения документов, медиа-файлы и среды выполнения (например, Flash, Java). Усовершенствованные механизмы следят за процедурами доступа к памяти, чтобы обнаружить и заблокировать такие методы эксплойта, как верификация вызывающих программ API, разворот стека, обратно-ориентированное программирование и другие.

HyperDetect
Bitdefender расширяет запатентованную технологию HyperDetect, которая позволяет динамический анализ следующего поколения и настраиваемое машинное обучение, чтобы защититься от атак без файлов, пользовательских вредоносных программ и угроз нулевого дня, исключая ложные срабатывания.
HyperDetect работает совместно с дополнительными технологиями Bitdefender без подписи, такими как защита памяти или расширенный контроль угроз, и выделяется благодаря своей уникальной способности переключать агрессивность машинного обучения на категории серьезных угроз, таких как целевые атаки и эксплойты.

Вместо того, чтобы полагаться на сигнатуры, двоичные или кодовые отпечатки пальцев, эвристическое обнаружение основывается на сложных алгоритмах, которые определяют реальные паттерны и поведение, что может указывать на вредоносность приложения. Это работает, потому что вредоносные программы неизбежно пытаются выполнять действия в контексте, которого не делают легитимные приложения. Примерами подозрительного поведения могут служить попытки сокрытия файлов, маскировки процессов, а также вставки или выполнения кода в памяти другого процесса. Поскольку эвристическое обнаружение ищет поведенческие характеристики, а не полагается на простое сопоставление шаблонов, оно может обнаруживать и блокировать угрозы нулевого дня, для которых еще только предстоит выпустить сигнатуру или отпечаток. Для защиты компьютеров большинство эвристических технологий обнаружения, включая эвристический движок Bitdefender B-HAVE, временно задерживает запуск приложений, пока код выполняется в полностью изолированной или изолированной от реального компьютера виртуальной среде. Если подозрительного поведения не наблюдается, компьютер получает инструкции по нормальному запуску приложения. С другой стороны, при подозрительном поведении программа блокируется от выполнения. Весь процесс занимает доли секунды, поэтому практически не влияет ни на впечатления пользователей, ни на их впечатления от работы. Чтобы быть еще более эффективным, Bitdefender использует репутацию приложения, форму белого списка, и, таким образом, может использовать более легкую эвристику для приложений, которые, как известно, могут быть безопасными. Репутация приложений сохраняется в целости и сохранности для получения ложных срабатываний благодаря частым обновлениям из облака Bitdefender. Хотя такой подход, безусловно, значительно повышает безопасность, у него есть пара недостатков. Во-первых, программы могут выполняться в виртуальной среде только в течение короткого периода времени, поскольку, очевидно, было бы неприемлемо откладывать их запуск на какое-либо значительное количество времени. Это означает, что вредоносное ПО может избежать обнаружения, просто задерживая выполнение каких-либо вредоносных действий. Во-вторых, программа, которая уже была проверена (и, следовательно, ей можно доверять), может быть использована для взлома и либо изменена в памяти во время работы, либо использована для запуска вредоносного процесса со своими собственными учетными данными. Для устранения этих недостатков в 2010 году компания Bitdefender представила программу Active Virus Control (теперь известную как технология Advanced Threat Control).

Advanced Threat Control — отслеживает действия определенных процессов, выполняемых в ОС. Он ищет поведение, специфичное для вредоносного ПО, и присваивает баллы каждому процессу на основе его действий и контекста, в котором они были совершены. Когда общий балл за процесс достигает определенного порога, процесс считается вредным. В зависимости от профиля пользователя, он либо отключается для изоляции и устранения угрозы, либо пользователю предлагается указать действия, которые необходимо предпринять (в зависимости от профиля настроек продукта Bitdefender).

Всегда совокупный подход к проблеме/угрозе, является самым действенным. Поэтому компания Bitdefender заслуживает выбор 500 миллонов пользователей для защиты их устройств.