###
  • Програми
  • Безопасност
  • Новини
  • интересно
  • Съвет
  • Новини
  • Отзиви

    • Кой засади заека? Wanna Cry file encryptor virus – как да се предпазите и да запазите данни Encryptor вирусна атака

    04.11.2020 интересно

    „Извинете, че ви безпокоя, но... вашите файлове са криптирани. За да получите ключа за дешифриране, спешно прехвърлете определена сума пари в портфейла си... В противен случай данните ви ще бъдат унищожени завинаги. Имате 3 часа, времето изтече. И това не е шега. Криптиращият вирус е повече от реална заплаха.

    Днес ще говорим за това какво представлява злонамереният софтуер за откуп, който се разпространи през последните години, какво да направите, ако бъдете заразени, как да излекувате компютъра си и дали изобщо е възможно, и как да се предпазите от тях.

    Ние криптираме всичко!

    Рансъмуер вирус (криптор, криптор) е специален тип зловреден рансъмуер, чиято дейност се състои в криптиране на файлове на потребителя и след това изискване на откуп за инструмента за декриптиране. Сумите на откупа започват някъде от 200 долара и достигат до десетки и стотици хиляди зелени листчета.

    Преди няколко години само Windows-базирани компютри бяха атакувани от този клас зловреден софтуер. Днес тяхната гама се разшири до привидно добре защитени Linux, Mac и Android. Освен това разнообразието от криптори непрекъснато нараства - един след друг се появяват нови продукти, които имат с какво да изненадат света. По този начин възникна поради „пресичането“ на класически криптиращ троянски кон и мрежов червей (злонамерена програма, която се разпространява в мрежите без активното участие на потребителите).

    След WannaCry се появиха не по-малко изисканите Petya и Bad Rabbit. И тъй като „бизнесът с криптиране“ носи добри доходи на своите собственици, можете да сте сигурни, че те не са последните.


    Все повече и повече криптори, особено тези, които бяха пуснати през последните 3-5 години, използват силни криптографски алгоритми, които не могат да бъдат разбити нито чрез груба сила, нито с други съществуващи средства. Единственият начин за възстановяване на данни е използването на оригиналния ключ, който нападателите предлагат да купят. Но дори превеждането на необходимата сума към тях не гарантира получаването на ключа. Престъпниците не бързат да разкрият тайните си и да загубят потенциални печалби. И какъв е смисълът да изпълняват обещанията си, ако вече имат парите?

    Пътища за разпространение на криптиращи вируси

    Основният начин, по който зловреден софтуер попада в компютрите на частни потребители и организации, е електронна поща, по-точно файлове и връзки към писма.

    Пример за такова писмо, предназначено за „корпоративни клиенти“:


    • „Върнете незабавно дълга си по заема.“
    • „Искът е заведен в съда.“
    • „Платете глобата/таксата/данъка.“
    • „Допълнителна такса за сметки за комунални услуги.“
    • „О, това ти ли си на снимката?“
    • „Лена ме помоли спешно да ти дам това“ и т.н.

    Съгласете се, само опитен потребител би третирал такова писмо с повишено внимание. Повечето хора без колебание ще отворят прикачения файл и сами ще стартират злонамерената програма. Между другото, въпреки виковете на антивируса.

    Следните също се използват активно за разпространение на ransomware:

    • Социални мрежи (поща от акаунти на приятели и непознати).
    • Злонамерени и заразени уеб ресурси.
    • Банерна реклама.
    • Изпращане на поща чрез месинджъри от хакнати акаунти.
    • Варезник сайтове и дистрибутори на кейгени и кракове.
    • Сайтове за възрастни.
    • Магазини за приложения и съдържание.

    Вирусите за криптиране често се пренасят от други злонамерени програми, по-специално демонстратори на реклами и троянски коне за задната врата. Последният, използвайки уязвимости в системата и софтуера, помага на престъпника да стигне отдалечен достъпкъм заразеното устройство. Стартирането на шифратора в такива случаи не винаги съвпада във времето с потенциално опасни действия на потребителя. Докато задната врата остава в системата, нападателят може да проникне в устройството по всяко време и да започне криптиране.

    За заразяване на компютрите на организации (в края на краищата от тях може да се извлече повече, отколкото от домашни потребители), се разработват особено сложни методи. Например троянският кон Petya прониква в устройства чрез модула за актуализиране на програмата за данъчно счетоводство MEDoc.


    Шифровачи с функции на мрежови червеи, както вече беше споменато, се разпространяват в мрежи, включително Интернет, чрез уязвимости в протокола. И можете да се заразите с тях, без да правите абсолютно нищо. Потребителите на операционни системи Windows, които рядко се актуализират, са изложени на най-голям риск, тъй като актуализациите затварят известни вратички.

    Някои зловреден софтуер, като WannaCry, използват уязвимости от 0 дни, тоест такива, за които разработчиците на системи все още не знаят. За съжаление е невъзможно да се противопоставите напълно на инфекцията по този начин, но вероятността вие да сте сред жертвите дори не достига 1%. Защо? Да, защото зловреден софтуер не може да зарази всички уязвими машини наведнъж. И докато планира нови жертви, разработчиците на системата успяват да пуснат животоспасяваща актуализация.

    Как се държи ransomware на заразен компютър

    Процесът на криптиране, като правило, започва незабелязано и когато признаците му станат очевидни, е твърде късно да се запазят данните: по това време злонамереният софтуер е криптирал всичко, до което може да достигне. Понякога потребителят може да забележи, че разширението на файловете в отворена папка се е променило.

    Необоснованото появяване на ново, а понякога и второ разширение на файлове, след което те спират да се отварят, абсолютно показва последствията от атака на шифратор. Между другото, чрез разширението, което получават повредените обекти, обикновено е възможно да се идентифицира зловреден софтуер.

    Пример за това какви могат да бъдат разширенията на криптирани файлове:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn и др.

    Има много опции и утре ще се появят нови, така че няма смисъл да изброявате всичко. За да определите вида на инфекцията, достатъчно е да подадете няколко разширения към търсачката.


    Други симптоми, които индиректно показват началото на криптирането:

    • Windows се появяват на екрана за част от секундата командна линия. Най-често това е нормално явление при инсталиране на системни и програмни актуализации, но е по-добре да не го оставяте без надзор.
    • UAC изисква стартиране на програма, която не сте възнамерявали да отворите.
    • Внезапно рестартиране на компютъра, последвано от имитация на работа системна помощна програмапроверка на диска (възможни са и други варианти). По време на „проверката“ се извършва процесът на криптиране.

    След като злонамерената операция приключи успешно, на екрана се появява съобщение с искане за откуп и различни заплахи.

    Ransomware криптира значителна част от потребителски файлове: снимки, музика, видеоклипове, текстови документи, архиви, поща, бази данни, файлове с програмни разширения и т.н. Но те не докосват обекти на операционната система, тъй като атакуващите не се нуждаят от заразения компютър, за да спре да работи. Някои вируси заместват записите за зареждане на дискове и дялове.

    След криптиране всички копия в сянка и точки за възстановяване обикновено се изтриват от системата.

    Как да излекувате компютър от ransomware

    Премахването на зловреден софтуер от заразена система е лесно - почти всички антивирусни програми могат да се справят с повечето от тях без затруднения. Но! Наивно е да се вярва, че отстраняването на виновника ще реши проблема: независимо дали премахвате вируса или не, файловете ще останат криптирани. Освен това в някои случаи това ще усложни последващото им дешифриране, ако е възможно.

    Правилна процедура при стартиране на криптиране

    • След като забележите признаци на криптиране, Незабавно изключете захранването на компютъра, като натиснете и задържите бутонаЗахранване за 3-4 секунди. Това ще запази поне част от файловете.
    • Създайте на друг компютър диск за зарежданеили флашка с антивирусна програма. Например, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCDи т.н.
    • Стартирайте заразената машина от този диск и сканирайте системата. Премахнете всички намерени вируси и ги дръжте в карантина (в случай че са необходими за декриптиране). Само след това можете да стартирате компютъра си от твърдия диск.
    • Опитайте се да възстановите криптирани файлове от скрити копия с помощта на системни инструменти или с помощта на трети страни.

    Какво да направите, ако файловете вече са криптирани

    • Не губете надежда. Уебсайтовете на разработчиците на антивирусни продукти съдържат безплатни помощни програми за декриптиране различни видовезловреден софтуер. По-специално, комунални услуги от AvastИ Kaspersky Lab.
    • След като определите типа енкодер, изтеглете подходящата помощна програма, определено го направи копия повредени файлове и се опитайте да ги дешифрирате. Ако успеете, дешифрирайте останалото.

    Ако файловете не са дешифрирани

    Ако никоя от помощните програми не помогне, вероятно сте страдали от вирус, за който все още няма лек.

    Какво можете да направите в този случай:

    • Ако използвате платен антивирусен продукт, свържете се с неговия екип за поддръжка. Изпратете няколко копия на повредените файлове в лабораторията и изчакайте отговор. В присъствието на техническа осъществимостте ще ви помогнат.

    Между другото, Dr.Webе една от малкото лаборатории, които помагат не само на своите потребители, но и на всички засегнати. Можете да изпратите заявка за дешифриране на файла на тази страница.

    • Ако се окаже, че файловете са безнадеждно повредени, но са от голяма стойност за вас, можете само да се надявате и да чакате, че някой ден ще бъде намерено спасително средство. Най-доброто, което можете да направите, е да оставите системата и файловете такива, каквито са, тоест напълно деактивирани и неизползвани HDD. Изтриването на файлове със злонамерен софтуер, преинсталирането на операционната система и дори нейното актуализиране може да ви лиши и този шанс, тъй като при генериране на ключове за криптиране-декриптиране те често използват уникални идентификаторисистеми и копия на вируса.

    Плащането на откупа не е опция, тъй като вероятността да получите ключа е близо до нула. И няма смисъл да се финансира престъпен бизнес.

    Как да се предпазите от този тип зловреден софтуер

    Не бих искал да повтарям съвети, които всеки от читателите е чувал стотици пъти. Да, инсталирай добра антивирусна, не кликайте върху подозрителни връзки и блаблабла - това е важно. Въпреки това, както показа животът, магическо хапче, което да ви даде 100% гаранция за сигурност, днес не съществува.

    Единственият ефективен метод за защита срещу ransomware от този вид е архивиранеданникъм други физически носители, включително облачни услуги. Архивиране, архивиране, архивиране...

    2017 беше годината на ransomware - най-значимата заплаха в областта информационна сигурносткакто за малки, средни и големи предприятия, така и за домашни потребители. Подобни атаки изискват откуп на много компютри по света, като същевременно завладяват заглавията на всички водещи медии във всички страни. Всъщност разходите за рансъмуер възлизат на близо 5 милиарда долара щети миналата година, което ги прави най-мощният и усъвършенстван вид кибератака, с 350% повече от 2016 г.

    3. Провеждайте редовни одити на сигурността и тестове за уязвимост, за да разберете ясно входните точки във вашите системи.

    4. Използвайте модерно и усъвършенствано мултиплатформено решение за информационна сигурност с разширени опции за защита, като , за криминалистичен анализ в реално време. Това ще ви позволи да предотвратите и откриете тези типове атаки и да извършите необходимите действия за отговор и възстановяване след атака.

    Специалистите на Doctor Web изучават нов троянски кон с рансъмуер Trojan.Encoder.12544, наричани в медиите като Петя, Petya.A, ExPetya и WannaCry-2. Въз основа на предварителен анализ на злонамерения софтуер, Доктор Уеб дава препоръки как да се избегне заразяване, казва какво да се направи, ако заразяването вече е настъпило, и разкрива техническите подробности за атаката.

    Червеят рансъмуер, който предизвика много шум Trojan.Encoder.12544представлява сериозна опасност за персонални компютри, работещи под контрол Microsoft Windows. Различни източници го наричат ​​модификация на троянския кон, известен като Petya ( Trojan.Ransom.369), Но Trojan.Encoder.12544има само някои прилики с него. Това зловреден софтуерпроникнал в Информационни системиредица правителствени агенции, банки и търговски организации, а също така зарази компютрите на потребители в няколко страни.

    Понастоящем е известно, че троянският кон заразява компютри, използвайки същия набор от уязвимости, които преди това са били използвани от нападателите за проникване в компютрите на жертвите на троянския кон WannaCry. Масово разпространение Trojan.Encoder.12544започна сутринта на 27 юни 2017 г. Когато се стартира на атакувания компютър, троянският кон търси налични локална мрежаСлед това компютърът започва да сканира портове 445 и 139, като използва списъка с получени IP адреси.След като открие машини в мрежата, на които тези портове са отворени, Trojan.Encoder.12544се опитва да ги зарази, използвайки добре позната уязвимост в SMB протокола (MS17-10).

    Троянският кон съдържа 4 компресирани ресурса в тялото си, 2 от които са 32- и 64-битови версии на помощната програма Mimikatz, предназначена за прихващане на пароли открити сесиина Windows. В зависимост от битовостта на операционната система, той разопакова съответната версия на помощната програма, записва я във временна папка и след това я стартира. Използване на помощната програма Mimikatz, както и два други метода Trojan.Encoder.12544получава списък с локални и домейн потребители, упълномощени на заразения компютър. След това търси възможност за запис мрежови папки, се опитва да ги отвори с помощта на получените идентификационни данни и да запази копие там. За да зарази компютрите, до които е успял да получи достъп, Trojan.Encoder.12544използва помощна програма за управление отдалечен компютър PsExec (също се съхранява в ресурсите на троянския кон) или стандартна конзолна помощна програма за извикване на обекти Wmic.exe.

    Енкодерът контролира своето рестартиране с помощта на файл, който записва в папката C:\Windows\. Този файл има име, което съвпада с името на троянския кон без разширение. Тъй като образецът на червея, който в момента се разпространява от нападателите, се нарича perfc.dat, файлът, който му пречи да работи отново, ще се казва C:\Windows\perfc. Въпреки това, веднага щом нападателите променят оригиналното име на троянския кон, създаването на файл в папката C:\Windows\ с име perfc без разширение (както съветват някои антивирусни компании) вече няма да спаси компютъра от инфекция. Освен това троянският кон проверява за наличието на файл само ако има достатъчно привилегии в операционната система за това.

    След стартиране троянският кон конфигурира привилегиите си, зарежда собствено копие в паметта и му прехвърля контрола. След това енкодерът презаписва собствен файлна диска с нежелани данни и го изтрива. Преди всичко Trojan.Encoder.12544разваля VBR (Volume Boot Record) на устройство C:, първият сектор на диска се запълва с ненужни данни. След това рансъмуерът копира оригиналния буутлоудър влизане в Windowsкъм друга секция на диска, като преди това го е шифровал с помощта на алгоритъма XOR, и записва своя собствена вместо това. След това създава задача за рестартиране на компютъра и започва да шифрова всичко, открито на локално ниво физически дисковефайлове с разширения .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf , .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, . ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

    Троянският кон криптира файлове само на фиксирани компютърни устройства; данните на всяко устройство се криптират в отделен поток. Криптирането се извършва с помощта на алгоритми AES-128-CBC, всеки диск има свой собствен ключ (това е отличителна черта на троянския кон, която не е отбелязана от други изследователи). Този ключ е шифрован с помощта на алгоритъма RSA-2048 (други изследователи съобщават, че използват 800-битов ключ) и се записва в основната папка на шифрованото устройство във файл с име README.TXT. Шифрованите файлове не получават допълнително разширение.

    След завършване на предварително създадената задача, компютърът се рестартира и управлението се прехвърля към записа за зареждане на троянския кон. Тя показва текст на екрана на заразен компютър, който прилича на съобщение стандартна помощна програмаза проверка на CHDISK дискове.

    Вирус за криптиране атакува руски медии, една от които беше Интерфакс, се казва в изявление на руската компания Group-IB. Засегната е само част от агенцията, тъй като ИТ услугите й са успели да изключат част от критичната инфраструктура. На вируса е присвоен идентификатор BadRabbit.

    За безпрецедентната вирусна атака срещу Интерфакс на страницата му в Facebook докладваниЗаместник-директорът на агенцията Юрий Погорели. Интерфакс се изправи пред безпрецедентна вирусна атака. Някои от нашите услуги не са достъпни за клиенти. Нашите инженери възстановяват тяхната функционалност. Моите извинения. Опитваме се да се свържем с вас възможно най-бързо!“ - той написа.

    Централната банка предупреди банките за възможна кибератака от ransomware вирус

    Два предишни вируса, WannaCry и Petya, вече се опитаха да атакуват банки

    Според наблюденията на Ведомости не работи мобилно приложениеагенции и услугата, предоставена от Интерфакс за разкриване на отчетите на руски компании на уебсайта e-disclosure.ru.

    Подразделенията на Infterfax във Великобритания, Азербайджан, Беларус и Украйна и уебсайтът Interfax-religion продължават да работят, каза Погорели пред Ведомости. Все още не е ясно защо повредата не е засегнала други подразделения; може би това се дължи на топологията на мрежата на Interfax, където сървърите са разположени географски, и операционната система, която е инсталирана на тях, казва той.

    Двама служители на Интерфакс потвърдиха пред Ведомости, че компютрите са били изключени. Според един от тях визуално заключеният екран изглежда като резултат от действия известен вирусПетя. Вирусът, който атакува Interfax, предупреждава, че не трябва да се опитвате сами да дешифрирате файлове и изисква да платите откуп от 0,05 биткойн ($283), за което ви кани да отидете на специален уебсайт в Tor мрежи. Вирусът присвои персонален идентификационен код на криптирания компютър.

    Не само Интерфакс

    Още две руски медии са били засегнати от вируса рансъмуер, една от които е петербургското издание Фонтанка, уточнява Group-IB.

    Главният редактор на Фонтанка Александър Горшков каза пред Ведомости, че сървърите на Фонтанка са били атакувани от нападатели днес в 15:20 часа. „След това уебсайтът на изданието беше недостъпен и все още не е достъпен. Нашите технически специалисти полагат всички усилия за възстановяване на сайта. Нямаме съмнение, че тези действия са извършени от терористични организации“, каза той.

    През последните седмици престъпници атакуваха редакцията на Фонтанка, публикувайки в интернет стотици фалшиви поръчкови статии, в които се споменават журналисти и редактори на изданието. Освен това на регулаторните органи се съобщава невярна информация за дейността на издателя на Фонтанка АД „Ажур-Медия“, казва той. „Не се съмняваме, че тези действия имат един клиент и това са звена от една и съща верига“, заключи Горшков.

    Още във вторник тя започна да блокира компютри на руски ресурси, заразявайки ги чрез популярни сайтове, включително медии. Засегнати бяха Interfax, който успя да се възстанови само след ден, както и Fontanka.ru. Всички признаци сочат, че това е целенасочена атака срещу корпоративни мрежи, казаха те." Вестник "Российская"."в Kaspersky Lab. Те отбелязаха, че повечето жертви на атаката са в Русия; подобни атаки се наблюдават в Украйна, Турция и Германия, но в много по-малък брой.

    Шифровачът не е успял да получи достъп до ресурсите на финансовите организации или да наруши работата им, съобщава Центърът за наблюдение и отговор на доклади за сигурност. компютърни атакив кредитния и финансов сектор (FinCERT) на Банката на Русия. По-рано медиите съобщиха, че вирусът се опитва да свали банките от топ 20. Банката на Русия потвърди, че е имало атаки, но не откри никакви доказателства за компрометиране на ресурси. FinCERT изпрати препоръки до банките за методи за идентифициране и противодействие на вируса, изпратен по пощата.

    Една успешна атака би довела до спиране на оперативната дейност на банката, а финансовите данни на клиентите няма да пострадат от вируса рансъмуер, обясни пред RG Рустем Хайретдинов, вицепрезидент на InfoWatch и генерален директор на Attack Killer.

    Вирусът BadRabbit работи чрез видео зрители

    Банката на Русия предупреждава, че хакерите ще продължат да разпространяват злонамерен софтуер, включително такъв, предназначен за тайно криптиране на файлове. „По правило нападателите изпращат имейл писмос вграден вирус, чрез измама или злоупотреба с доверие, те карат потребителя да отвори зловреден файл, след което злонамереният софтуер се активира“, казаха от Централната банка.

    Но експертите твърдят, че Bad Bunny работи по по-сложен начин - като пуска доста невинни на вид програми за гледане на видеоклипове. Неслучайно BadRabbit беше пренесен от медийни ресурси, където винаги има видео. От потребителите се иска да стартират фалшив инсталатор, за да го видят Adobe Flash. Подобна схема беше открита през май - уязвимост в популярни видео плейъри позволи на киберпрестъпниците да хакнат дистанционно компютрите на потребителите.

    Разработчиците на Bad Rabbit възприеха тази идея. Механизмът на вируса е прост – Bad Rabbit прави невъзможен достъпа до всички данни, които се намират на компютъра, който е заразил.

    Нападателите изискват 0,05 биткойн ($283, или 15 700 рубли според текуща ставка). Но вероятността файловете да бъдат дешифрирани след плащането на парите е много ниска, казват експерти. Все още не е известно дали по принцип е възможно да се дешифрират файлове, заразени от Bad Bunny - или чрез плащане на откуп, или чрез използване на някакъв вид пропуск в механизма за криптиране на зловреден софтуер. По време на атаката на подобен вирус WannaCry през юни, при която бяха използвани елементи от кибероръжия, закупени в тъмната мрежа, самите хакери не знаеха как да дешифрират данните, въпреки че искаха пари именно за това.

    Хакерите искат 15 хиляди рубли в биткойни, но има малък шанс това да помогне - не е известно дали по принцип е възможно да се възстановят файлове, засегнати от BadRabbit

    Нашата реалност е, че нападателите са се научили да вкарват света в състояние на паника, отбелязва Рустем Хайретдинов. Криптиращите вируси ще се появят отново, различавайки се само по име, технология и метод на заразяване.

    Междувременно Банката на Русия е загрижена за недостъпността на обществената услуга Interfax за разкриване на информация от емитенти и заяви, че възнамерява да работи върху механизми за намаляване на вероятността от подобни инциденти в бъдеще.

    Трябва да създадете файл C:\Windows\infpub.dat и да му дадете разрешения само за четене. След това, дори ако са заразени, файловете няма да бъдат криптирани, съобщи Group-IB.

    Незабавно изолирайте компютри, адреси на домейни и IP адреси, посочени в blog group-ib.ru/blog/badrabbit, ако има такива, и също така се уверете, че са актуални и последователни резервни копияключови мрежови възли. Актуализация операционна системаи системи за сигурност. Настройки групова политиказабранете съхраняването на пароли в LSA Dump in отворена форма. Променете всички пароли на сложни, за да предотвратите атаки в речника. Осигурете на потребителите блокиране на изскачащи прозорци.

    Ако видите такава картина на екрана, при никакви обстоятелства не трябва да се съгласявате с актуализацията. снимка: vesti.ru