Вирусы вымогатели в беларуси
Cybersecurity Ventures прогнозирует, что к 2021 году ежегодный ущерб от киберпреступности составит 6 триллионов долларов. Это вдвое больше по сравнению с 3 триллионами долларов в 2015 году. Потери от киберпреступности включают в себя повреждение и уничтожение данных, кражу интеллектуальной собственности, нарушение нормального режима работы после атаки, а также ущерб репутации компании.
Согласно статистике, ущерб от вирусов-вымогателей, или ransomware, как и от киберпреступности в целом, ежегодно растет. Чаще всего атакам подвергается отрасль здравоохранения — из-за высокой чувствительности медицинских данных клиентов. Также ransomware остается основной угрозой в ретейле, игровой и криптоиндустрии. Однако любая компания, независимо от отрасли, подвержена эпидемиям вирусов-вымогателей.
При этом финансовые потери от ransomware — лишь часть ущерба. Простои, сбои в работе, ущерб репутации компании, а иногда и ее клиентов — все это приводит к катастрофическим последствиям для бизнеса.
Киберпреступники делают ставку на ransomware
Ransomware — это большой бизнес. Количество кибератак резко возросло за последние несколько лет. Согласно исследованию ESG, почти две трети опрошенных организаций в Северной Америке и Западной Европе подверглись атаке вымогателей в прошлом году. При этом 22% респондентов сообщили о еженедельных атаках.
Когда вредоносное ПО шифрует файлы и доступ к ним становится невозможен, уже мало что можно сделать. Остается либо платить вымогателям, либо, если не осталось чистых от вируса резервных копий, смириться с потерей и заняться восстановлением ущерба.
К сожалению, в большинстве случаев данные, которые шифровались вирусом с целью получения выкупа, все равно будут считаться слишком рискованными для использования. Они могут быть скомпрометированы или так и останутся недоступными, независимо от того, заплачен ли выкуп.
Крупнейшие атаки поразили весь мир
Так происходило в случае с заражением вирусом-вымогателем Petya. После уплаты выкупа в размере 300 долларов в криптовалюте данные оставались недоступны. Petya распространялся через бухгалтерскую программу M.E.Doc, в обновление которой был встроен вирус. Прошли масштабные заражения по всей Украине, пострадали компании в странах Европы, Азии и США. Среди российских компаний об атаках заявили Evraz, Башнефть, Роснефть и др.
Кстати, ущерб от масштабной атаки WannaCry составил $1 млрд во всем мире. Максимум атак пришлось на Россию, хотя серьезно пострадали Индия, Украина, Великобритания и Тайвань. Вирусу достаточно было заразить один компьютер в локальной сети, чтобы распространиться на все серверы этой сети.
Как защитить данные компании?
Регулярные атаки и громкие эпидемии заставили компании увеличить инвестиции в свою кибербезопасность. Борьба с вирусами-вымогателями должна быть комплексной и вестись в трех направлениях:
- Предотвращение или смягчение атаки
- Защита данных и резервное копирование
- Восстановление
Как показывает опыт, даже крупные подготовленные организации уязвимы для кибератак. Это повышает актуальность технологий резервного копирования и восстановления. Однако только комплексные меры обеспечат надежную защиту.
Обучение сотрудников
Ransomware часто проникает в корпоративные системы с индивидуальных устройств сотрудников, которые подключены к сети компании. Поэтому даже обучение простым мерам кибербезопасности — ограничение использования USB-портов, Wi-Fi-сетей — может помочь бизнесу предотвратить эти угрозы.
Обучение ИТ-персонала не менее важно, чем инструктаж конечных пользователей. А учитывая близость администраторов к ИТ-инфраструктуре, их обучение становится критически важным для кибербезопасности компании. Особое внимание стоит уделять обучению тех специалистов, которые отвечают за резервное копирование данных.
Регулярные тренинги по безопасности, сетевым технологиям и рекомендации по хранению данных повысят защитный барьер от вирусов-вымогателей и предотвратят ущерб от заражения.
Однако для многих бизнесов обучать собственных специалистов по безопасности слишком затратно. Такую непрофильную для компании функцию, как управление информационной безопасностью, часто доверяют специализированным сервис-провайдерам, которые гарантируют защиту через свою экспертизу.
Ограничение административного доступа
Многие организации разрешают доступ с правами системного администратора слишком большому числу сотрудников. Следует регулярно проверять тех, кто имеет административный доступ, и отслеживать, на какие данные он распространяется. Установка правильных разрешений доступа для сотрудников и их регулярная сверка помогут снизить риски заражения ransomware.
Автономная копия — это так называемая последняя линия обороны, резерв, который можно будет использовать для восстановления, потому что его наверняка не достигнет вымогатель, даже когда вся остальная система будет повреждена.
Использование иной файловой системы для резервного копирования и решений с возможностями поведенческого анализа тоже могут помочь в ограничении распространения вымогателей.
Защита устройств, получающих вредоносные программы
Защита электронной почты и веб-контроль — важнейшие элементы борьбы с вирусами-вымогателями. Принимаемые меры:
- белые списки типов файлов
- черные списки подозрительных веб-сайтов
- регулярные и своевременные обновления ПО
- сканирование известных вымогателей или вредоносных программ в электронных письмах
- инструменты для идентификации и блокировки фишинг-писем
- сканирование сайтов на наличие вредоносных загрузок и эксплойтов браузера
- запрет пересылки по e-mail без анализа репутации исполняемых файлов (.exe, .ppt, .doc, .docx)
Эти и другие способы защиты ограничат потенциал вымогателей. Также поможет тестирование вторжений и фиктивный фишинг, проводимые сторонним партнером по кибербезопасности.
Конечные точки (ПК, ноутбуки, смартфоны) часто становятся вектором атаки для внедрения вымогателей, поэтому требуют комплекса надежных контрмер. Здесь необходим поведенческий мониторинг с динамическим анализом с помощью песочницы для обнаружения шифрования, подключения к дискам и т. д.
Системы обнаружения вторжений (HIDS/HIPS) — еще одна эффективная мера безопасности, сосредоточенная на выявлении эксплойтов внутри сети, чтобы вредоносный трафик не достиг серверов.
Как получить надежную защиту от вымогателей, не принимая сложных мер
Некоторые из перечисленных способов защиты доступны многим компаниям, но комплексные усилия практически невозможны для малого бизнеса. Есть мнение, что малый бизнес менее подвержен кибератакам вымогателей. Однако это заблуждение.
Ransomware могут поразить любой тип бизнеса. Масштабный и автоматизированный характер атак вымогателей делает их выгодными за счет большого количества жертв, а не требования крупных сумм. Поэтому растет вероятность заражения инфраструктуры небольших компаний.
Помочь малому бизнесу могут провайдеры, которые предоставляют IT-инфраструктуру в облаке. Они следят за всей системой и надежно защищают ее от вымогателей с помощью передовых комплексных мер кибербезопасности, нецелесообразных к самостоятельному применению мелкими компаниями. То, что не в состоянии осуществить сами в рамках киберзащиты, представители малого бизнеса получают от облачных провайдеров.
Комплексную информационную безопасность можно получить и как услугу (Managed security services) у сервис-провайдеров, которые специализируются на этом.
Поделиться сообщением в
Внешние ссылки откроются в отдельном окне
Внешние ссылки откроются в отдельном окне
За последние полтора месяца компьютеры в разных странах мира дважды атаковали программы-вымогатели - в мае это был вирус WannaCry, в июне - NotPetya, совместивший в себе элементы WannaCry и других вымогателей - Petya и Mischa.
Вредоносные программы-вымогатели известны еще с середины 1980-х годов. Изначально они были нацелены на обычных людей, использующих компьютеры под управлением MS-DOS и Windows.
Сейчас же они угрожают бизнесу и государственным учреждениям. Программ появляется все больше, они становятся дешевле и доступнее.
Русская служба Би-би-си напомнит, с чего все началось.
"Мозг", вышедший из-под контроля
Требование выкупа содержал первый же вирус, вызвавший глобальную эпидемию среди персональных компьютеров. Его история началась в 1986 году в небольшом компьютерном магазине в пакистанском Лахоре.
Управляющие магазином братья Фарук Алви - 17-летний Басит и 24-летний Амджад - разработали программу для отслеживания состояния сердечно-сосудистой системы. Программу тут же украли пираты, в результате братья недополучали прибыль.
Тогда братья создали Brain ("Мозг") - для защиты интеллектуальной собственности, как объяснили они спустя два года журналу Time. Этот вирус должен был атаковать компьютеры с установленной нелегальной копией их медицинской программы.
Вирус замедлял работу жесткого диска и операционной системы любого компьютера, куда вставляли зараженные дискеты. Он быстро вышел из-под контроля и атаковал университеты и компании, где никогда не слышали о программе Фаруков Алви.
Свое детище братья посвятили "миллионам вирусов, которых с нами больше нет", что напоминало пророчество - компьютерные вирусы еще не были столь массовым явлением.
Вирус предлагал позвонить по телефону в тот самый магазинчик в Пакистане, чтобы получить "вакцину". Братья стали получать звонки со всего света.
Они отключили телефоны и, не понеся никакого наказания, продолжили заниматься бизнесом - уже легальным: сейчас Фаруки Алви владеют крупным пакистанским интернет-провайдером Brain Net.
Вирус о вирусе
В 200 километрах от Нью-Йорка расположен сад бабочек, названный в честь биолога-эволюциониста Джозефа Поппа. Попп известен в научной среде благодаря книге "Популярная эволюция: жизненные уроки из антропологии", изданной им в 2000 году.
Еще более известен он в среде компьютерщиков как автор одного из самых экстравагантных вирусов-вымогателей.
В 1989 году Попп разослал за пределами США более 20 тыс. дискет, содержащих, как следовало из писем, образовательные программы о СПИДе некой PC Cyborg Corporation. Значительную часть адресатов составили европейские исследователи синдрома приобретенного иммунодефицита.
Программы действительно просвещали о СПИДе - первое время пользования. После нескольких перезагрузок содержащийся в них вирус скрывал папки и шифровал файлы, требуя выплатить 189 долларов за "продление лицензии" на счет в Панаме.
Хотя вернуть файлы в прежнее состояние не составляло труда, одна итальянская организация по изучению СПИДа все же потеряла накопленный за десять лет архив.
Попп возвращался с конференции в Найроби через амстердамский аэропорт, когда прочитал в журнале, что вирус заразил уже около 1000 компьютеров. Он написал на багаже другого пассажира "Доктора Поппа отравили" и привлек внимание полиции. В его багаже нашли логотип PC Cyborg Corporation.
Поппа арестовали дома в Огайо несколько дней спустя и экстрадировали в Великобританию по обвинению в десяти случаях шантажа. Перед судом он вел себя странно: ходил с картонной коробкой на голове, накручивал бороду на бигуди - для "предотвращения радиации", и презервативами на носу - чтобы "защититься от микроорганизмов".
В итоге лондонский суд признал Поппа невменяемым и отправил обратно в Америку.
Вымогатель для взрослых
Бурный рост программ-вымогателей начался после 2015 года. Это обусловлено распространением мобильного интернета и криптовалют, которые позволяют злоумышленникам анонимно собирать средства со своих жертв.
Двое мужчин в костюмах за компьютером, логотип ФБР и Барак Обама. Коллаж сопровождался номером "дела" и фотографией "обвиняемого" в процессе просмотра порно - такую картину рано или поздно видели на своих смартфонах пользователи приложения Adult Player.
Приложение не только тайно фотографировало пользователей, но и блокировало устройство до выплаты "штрафа" в 500 долларов. На выплату жертве отводилось 24 часа.
Это приложение обнаружили в 2015 году исследователи из американской компании Zscaler. Так и осталось неизвестным, кто его создатели и сколько денег они собрали.
Финансовые показатели злоумышленников стали открытыми только с приходом биткойнов. Так, за первые три дня действия вируса WannaCry злоумышленники собрали 23,5 биткойна (65,8 тыс. долларов), на кошелек NotPetya за тот же срок пришло 4 биткойна (10,3 тыс. долларов).
Программы-вымогатели представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Исследователи кибербезопасности продемонстрировали, что это семейство вредоносного ПО способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.
Содержание
Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его
Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.
Как защитить бизнес от ransomware
Вымогательское ПО (ramsomware) продолжает нести одну из самых больших угроз в Интернете, пишет в 2019 году портал ZDNet [2] . Необдуманный переход по ссылке может привести к последовательности событий, которые грозят тем, что все данные пользователя будут зашифрованы, и он будет поставлен перед выбором — заплатить вымогателям в обмен на ключ расшифровки большие деньги (злоумышленники обычно требуют их в виде биткоинов или другой криптовалюты, чтобы запутать следы транзакций) или же отказаться от оплаты выкупа. За счет того, что многие жертвы предпочитают откупиться, криминальные группировки, занимающиеся распространением ransomware, обладают немалыми средствами и продолжают совершенствовать вредоносное ПО и тактику атак.
Так, если неприхотливые мошенники довольствуются рассылкой вредоносного ПО вслепую, то банды, которые поставили свой промысел на поток, ищут уязвимости в корпоративных сетях и атакуют только тогда, когда можно нанести максимальный урон, шифруя за один раз как можно больше устройств. Распространением вредоносного ПО занимаются не только преступные группировки, но и группировки, которые поддерживаются отдельными странами. Они делают это, чтобы посеять хаос и принести прибыль своим покровителям. Постоянно растущее число атак на бизнес можно сравнить со своего рода гонкой вооружений: с одной стороны, киберкриминал постоянно пополняет арсенал модификаций ransomware и ищет новые способы компрометации систем, тогда как предприятия вынуждены наращивать потенциал для защиты корпоративной инфраструктуры, чтобы ликвидировать любые лазейки для проникновения.
Фактически, преступные группировки всегда действуют на упреждение, поэтому гарантированного средства полностью защитить себя или свой бизнес от вымогателей или любого другого вредоносного ПО не существует. Тем не менее, можно предпринять ряд шагов, чтобы смягчить последствия атак или свести к минимуму шансы атакующих.
1. Устанавливайте программные патчи, чтобы держать софт в актуальном состоянии. Патчинг — это утомительная и трудоемкая процедура, которая требуется для закрытия брешей безопасности в ПО. Многие пользователи игнорируют ее, но это неправильно, потому что незакрытые уязвимости открывают хакерам пространство для маневра. Хакеры будут использовать любые уязвимости в ПО для проникновения в сети, если предприятия не успеют протестировать и развернуть патчи.
Классический пример того, во что вылилось промедление с установкой патчей безопасности, — WannaCry. Летом 2017 г. эта вымогательская программа прошлась настоящим цунами по ИТ-сетям. В общей сложности, за короткое время от червя пострадало 300 тыс. компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Распространение WannaCry блокировало работу множества организаций: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Несмотря на то, что патч для Windows Server Message Block, препятствующий угрозам типа WannaCry был выпущен за несколько месяцев до его появления, огромное количество организаций проигнорировали его, что повлекло заражение инфраструктуры.
RDP позволяет удаленно управлять ПК и является еще одной востребованной вымогателями опцией. Среди основных действий, которые значительно снижают площадь поражения, можно отнести установку надежных паролей, а также изменение порта RDP, что ограничит круг подключаемых к нему устройств только теми, которые установит организация.
3. Обучите персонал распознавать подозрительные письма. Электронная почта — один из классических способов проникновения ransomware в организацию. Это связано с тем, что рассылка бандами вымогателей вредоносных программ на тысячи адресов э-почты — это дешевый и простой способ распространения ПО. Несмотря на кажущуюся примитивность этой тактики, она по-прежнему удручающе эффективна. Для обеспечения защиты предприятия от программ-вымогателей и фишинга, которые распространяются по каналам э-почты, предприятию нужно провести тренинг с целью обучить персонал распознавать подозрительные э-письма.
Основное правило: ни в коем случае не стоит открывать э-письма, полученные от неизвестных отправителей, и тем более не нужно нажимать на ссылки в таких письмах. Стоит остерегаться вложений, которые просят включить макросы, поскольку это стандартный путь к заражению вредоносным ПО. В качестве дополнительного уровня безопасности стоит применять двухфакторную аутентификацию.
4. Усложните структуру перемещения по своей сети. Группировки вымогателей все чаще ищут максимально возможную финансовую выгоду. Очевидно, что заблокировав один или несколько компьютеров, они ее не получат. Чтобы нанести максимальный урон, они проникают в сеть и ищут пути распространения вымогателя на как можно большее количество компьютеров. Чтобы предотвратить распространение ransomware или хотя бы усложнить хакерам жизнь, нужно провести сегментирование сетей, а также ограничить и дополнительно защитить учетные записи администраторов, которые обладают доступом ко всей инфраструктуре. Как известно, по большей части фишинговые атаки нацелены на разработчиков, что связано с тем, что они обладают широким доступом к различным системам.
5. Контролируйте подключенные к вашей сети устройства. Компьютеры и серверы находятся там, где хранятся данные, но это не единственные устройства, о которых нужно беспокоиться администраторам. Офисный Wi-Fi, IoT-устройства и удаленный сценарий работы — в настоящее время существует большое разнообразие устройств, подключающихся к сети компании и лишенных встроенных функций безопасности, которые требуются корпоративному устройству. Чем их больше, тем больше риск того, что в каком-то из них, например, в плохо защищенном принтере или другом сетевом устройстве, будет бэкдор, через который преступники проникнут в корпоративные системы. Кроме того, администраторам нужно задуматься, кто еще имеет доступ к их системам, и если это ваши поставщики, то знают ли они о потенциальном риске, которым угрожает ransomware и другие вредоносные программы?
6. Создайте эффективную стратегию резервного копирования. Наличие надежных и актуальных резервных копий всей критически важной для бизнеса информации является жизненно важной защитой, особенно от программ-вымогателей. В результате стечения неблагоприятных обстоятельств, когда хакерам удастся скомпрометировать несколько устройств, наличие своевременно сделанных резервных копий означает, что их можно восстановить и снова оперативно начать работу. Учитывая значимость стратегии бэкапов, предприятию нужно знать, где хранятся критически важные для бизнеса данные. Возможно, финансовый директор хранит данные в электронной таблице на рабочем столе, и эти данные не зеркалируются в облако.
Нужно помнить одну очень важную деталь: если делать резервные копии не критически важных данных или делать их тогда, когда это заблагорассудится, а не по расписанию, стратегия резервного копирования будет мало полезной.
7. Прежде, чем платить выкуп, подумайте. Смоделируем ситуацию. Вымогатели пробились сквозь защиту организации, и все компьютеры зашифрованы. Восстановление данных из резервных копий займет несколько дней, но эти задержки могут оказаться критическими для бизнеса. Может быть лучше заплатить им несколько тысяч долларов? Как поступить? Для многих вывод будет очевидным: если работоспособность бизнеса будет восстановлена в кратчайшие сроки, то следует заплатить. Однако есть причины, которые говорят о том, что это решение может оказаться фатальным. Во-первых, нет никакой гарантии, что после оплаты преступники передадут ключ шифрования, потому что это преступники и у них отсутствуют привычные моральные принципы. Более того, совершив платеж организация продемонстрирует готовность платить и это может вызывать новые атаки с их стороны или со стороны привлеченных группировок, которые искали платежеспособных клиентов. Во-вторых, выплата выкупа либо из собственных средств, либо посредством страхового покрытия означает, что криминальный курс приносит группировкам доход. Как следствие, оно могут тратить добытые преступным путем средства на совершенствование кампаний, атакуя большее число предприятий. Даже если одному или нескольким предприятиям повезло, и им разблокировали компьютеры, платить выкуп — значит стимулировать новую волну вымогательства.
8. Разработайте план реагирования на ransomware и проверьте его. Каждое предприятие должно иметь план восстановления работоспособности после непредвиденного вмешательства в рабочие процессы — будь то поломка техники или стихийные бедствия. Ответы на вымогательские действия должны быть его стандартной статьей. Они не должны быть только техническими (очистка ПК и восстановление данных из резервных копий), но и рассматриваться в более широком бизнес-контексте. К примеру, как объяснить ситуацию покупателям, поставщикам и прессе; следует ли уведомлять об ransomware-атаке полицию, страховую компанию и регулирующие органы. Помимо разработки плана нужно будет убедиться в его работоспособности, так как некоторые допущения могут быть ошибочными.
9. Сканирование и фильтрация э-почты. Самый простой способ обезопасить своих сотрудников от перехода по вредоносной ссылке в э-письме — сделать так, чтобы оно никогда не попало в их почтовый ящик. Чтобы добиться этого, нужно применять средства сканирования контента и фильтрации э-почты. Установленные фильтры значительно сократят количество фишинговых и вымогательских программ.
10. Досконально изучите схему работы своей сети. ИБ-рынок предлагает целый ряд связанных инструментов безопасности начиная от систем предотвращения и обнаружения вторжений и заканчивая системами управления информацией и событиями безопасности (security information and event management, SIEM), которые дают полное представление о трафике сети, каналам его поступления и т. д. SIEM получает информацию о событиях из различных источников, таких как межсетевые экраны, IPS, антивирусы, ОС и т. д. Система фильтрует полученные данные, приводя их к единому, пригодному для анализа формату. Это позволяет собирать и централизованно хранить журналы событий в различных системах.
Далее SIEM коррелирует события: ищет взаимосвязи и закономерности, что позволяет с высокой вероятностью определять потенциальные угрозы, сбои в работе ИТ-инфраструктуры, попытки несанкционированного доступа, атаки. Эти продукты дают актуальное представление о состоянии сети и в том числе позволяют определить аномалии в трафике, которые могут указывать на взлом хакерами, правда, без указания на то, был ли он осуществлен при помощи ransomware или других видов зловредного ПО. В любом случае, если предприятие не видит, что происходит в ее сети, оно не сможет остановить атаку.
11. Убедитесь, что ваша антивирусная программа обновлена. Обновление антивирусных сигнатур кажется обыденностью, однако некоторые организации, как правило, небольшие, не уделяют этому процессу должного внимания. Многие современные антивирусные пакеты предлагают функции обнаружения программ-вымогателей или надстройки, которые обнаруживают подозрительное поведение, общее для всех вымогателей: шифрование файлов. Антивирусные сигнатуры понимают, что внешние программы предпринимают попытки модифицировать пользовательские файлы и зашифровать их, и пытаются остановить шифрование. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.
Защита от целевых атак шифровальщиков
Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:
No More Ransom
Программы-вымогатели становятся все более популярными среди злоумышленников. Такие вирусы блокируют доступ к файлам на компьютере и требуют выкуп за код расшифровки. Однако есть 4 бесплатные программы, которые позволят вам вернуть свои файлы и не попасть на крючок к хакерам.
Существует четыре бесплатных инструмента для удаления программ-вымогателей и дешифрования файлов: Alcatraz Locker, CrySiS, Globe и NoobCrypt. Эти инструменты могут помочь вам удалить вирус-шифровальщик и разблокировать файлы. Утилиты постоянно обновляются по мере развития перечисленных видов угроз.
Alcatraz
Alcatraz Locker – программа-вымогатель, впервые обнаружена в середине ноября 2016 года. Файлы, заблокированные ею, имеют расширение .Alcatraz. Когда они зашифрованы, появляется подобное сообщение, которое расположено в файле ransomed.html на рабочем столе зараженного компьютера.
Вирус-вымогатель Alcatraz Locker
В отличие от большинства видов шифровальщиков, программа Alcatraz не имеет заданного списка расширений файлов, на которые она направлена. Другими словами, программа шифрует все, что может. Чтобы предотвратить нанесение вреда операционной системе, Alcatraz Locker шифрует только файлы в каталоге% PROFILES% (обычно C: \ Users).
Вымогатель шифрует файлы, используя встроенные функции Windows (API-интерфейс шифрования).
Согласно сообщению шифровальщика, единственным способом вернуть свои данные являются выплата 0,3283 биткоинив (около $ 1100 на момент написания статьи). К слову, существование 30-дневного ограничения, о котором идет речь в сообщении с требованием денег – еще один обман: расшифровать свои документы можно в любое время, даже через 30 дней.
CrySiS
Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2015 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокированию.
Заблокированные файлы выглядят следующим образом: .id- . . .
Хотя идентификационный номер и адрес электронной почты меняются довольно часто, есть только три различных имени расширений, которые используются до сих пор: .xtbl, .lock и .CrySiS.
В результате имена зашифрованных файлов могут выглядеть так:
После блокировки этих файлов программа-вымогатель появляется сообщение, расположенное ниже, описывающее способ возврата доступа к зашифрованным данным.
Globe
Данная программа, которая существует примерно с августа 2016 года, написанная на языке Delphi и обычно упакована UPX. Некоторые варианты также упакованы с помощью инсталлятора Nullsoft.
В распакованном бинарном виде программа представляет собой глобальный интерфейс "настройки", в которой автор вымогателя может вносить некоторые изменения в ее характеристики.
Так как злоумышленники могут изменять программу, мы столкнулись с множеством различных вариантов создания зашифрованных файлов с различными расширениями.
Вирус блокирует файлы с помощью алгоритмов RC4 или BlowFish. Когда программа-вымогатель настроена на шифрование имен файлов, она выполняет его с помощью того же алгоритма, который использовался в отношении самого файла. Затем название шифруется с помощью собственной реализации кодирования Base64.
Как правило, данная программа-вымогатель создает файлы с именем "Read Me Please.hta" или "How to restore files.hta", которое отображается после входа пользователя в систему.
NoobCrypt
NoobCrypt, который я открыл летом 2016 года, написанный на языке C # и использует алгоритм шифрования AES256. Программа имеет графический интерфейс, который запоминается и отображается после блокировки доступа к файлам.
Данный экран с требованием выкупа – странная смесь сообщений. Например, он требует выплатить определенную сумму в долларах Новой Зеландии (NZD), но средства предлагает перевести на адрес в системе Bitcoin. В то же время текст с гордостью заявляет, что программа "создана в Румынии". Странное сочетание.
Чтобы расшифровать файлы, программа NoobCrypt предлагает "код разблокировки", который необходимо купить. В Twitter мной были опубликованы бесплатные ключи для удаления всех известных версий NoobCrypt. Однако определять, какой из них следует использовать, приходилось вручную. Благодаря инструмента для дешифровки вам уже не придется гадать, какой код нужно применить.
Джерело: Avast
Больше новостей, касающиеся событий из мира технологий, гаджетов, искусственного интеллекта, а также космоса читайте в разделе Техно
Читайте также:
