###
  • Програми
  • Безпека
  • Новини
  • Цікаве
  • Поради
  • Новини
  • Огляди

    • Хтось підклав кролика. Вірус шифрувальник файлів Wanna Cry - як захиститися і врятувати дані Вірусна атака шифрувальник

    04.11.2020 Цікаве

    «Вибачте, що потурбували, але… ваші файли зашифровані. Щоб отримати ключ для розшифровки, терміново переведіть суму грошей на гаманець… Інакше ваші дані будуть знищені безповоротно. У вас 3 години, час пішов». І це не жарт. Вірус-шифрувальник – загроза більш ніж реальна.

    Сьогодні поговоримо, що являють собою шкідливі програми-шифрувальники, що поширилися в останні роки, що робити у разі зараження, як вилікувати комп'ютер і чи можливо це взагалі, а також як від них захиститися.

    Шифруємо все!

    Вірус-шифрувальник (шифратор, криптор) – особливий різновид шкідливих програм-вимагачів, чия діяльність полягає у шифруванні файлів користувача та подальшій вимогі викупити засіб розшифровки. Суми викупу починаються десь від $200 і сягають десятків і сотень тисяч зелених папірців.

    Кілька років тому атакам зловредів цього класу зазнавали лише комп'ютери на базі Windows. Сьогодні їх ареал розширився до, здавалося б, добре захищених Linux, Mac та Android. Крім того, постійно зростає видова різноманітність шифраторів – одна за одною з'являються новинки, яким є чим здивувати світ. Так, виникла завдяки «схрещуванню» класичного трояна-шифрувальника та мережевого черв'яка (шкідливої ​​програми, яка поширюється мережами без активної участі користувачів).

    Після WannaCry з'явилися не менш витончені Petya та Bad Rabbit. І оскільки «шифрувальний бізнес» приносить власникам непоганий прибуток, можна бути впевненими, що вони не є останніми.


    Все більше шифрувальників, що особливо побачили світ в останні 3-5 років, використовують стійкі криптографічні алгоритми, які неможливо зламати ні перебором ключів, ні іншими існуючими засобами. Єдина можливість відновити дані – скористатись оригінальним ключем, який пропонують купити зловмисники. Однак навіть перерахування ним необхідної суми не гарантує отримання ключа. Злочинці не поспішають розкривати свої секрети та втрачати потенційний прибуток. Та й який їм сенс виконувати обіцянки, якщо гроші вже мають?

    Шляхи розповсюдження вірусів-шифраторів

    Основний шлях попадання шкідливості на комп'ютери приватних користувачів та організацій – електронна поштаточніше, додані до листів файли та посилання.

    Приклад такого листа призначений для «корпоративних клієнтів»:


    • «Терміново сплатите борг за кредитом».
    • «Позовна заява подана до суду».
    • "Сплатіть штраф/внесок/податок".
    • «Дорахування комунального платежу».
    • "Ой, це ти на фотографії?"
    • "Ліна попросила терміново передати це тобі" і т.д.

    Погодьтеся, тільки обізнаний користувач поставиться до такого листа з настороженістю. Більшість, не замислюючись, відкриє вкладення та запустить шкідливу програму своїми руками. До речі, незважаючи на крики антивірусу.

    Також для поширення шифрувальників активно використовуються:

    • Соціальні мережі (розсилка з облікових записів знайомих і незнайомих людей).
    • Шкідливі та заражені веб-ресурси.
    • Банерна реклама.
    • Розсилання через месенджери зі зламаних акаунтів.
    • Сайти-варезники та розповсюджувачі кейгенів та кряків.
    • Сайти для дорослих.
    • Магазини додатків та контенту.

    Провідниками вірусів-шифраторів нерідко бувають інші шкідливі програми, зокрема, демонстратори реклами та трояни-бекдори. Останні, використовуючи вразливість у системі та ПЗ, допомагають злочинцеві отримати віддалений доступдо зараженого пристрою. Запуск шифрувальника в таких випадках не завжди збігається в часі з потенційно небезпечними діями користувача. Поки бекдор залишається в системі, зловмисник може проникнути на пристрій у будь-який момент та запустити шифрування.

    Для зараження комп'ютерів організацій (адже вони можна віджати більше, ніж в домашніх користувачів) розробляються особливо вишукані способи. Наприклад, троянець Petya проникав на пристрої через модуль оновлення програми для ведення податкового обліку MEDoc.


    Шифрувальники з функціями мережевих черв'яків, як говорилося, поширюються мережами, зокрема Інтернет, через уразливості протоколів. І заразитися ними можна, не роблячи нічого. Найбільшу небезпеку наражаються користувачі ОС Windows, що рідко оновлюються, оскільки оновлення закривають відомі лазівки.

    Деякі зловреди, такі як WannaCry, експлуатують уразливості 0-day (нульового дня), тобто ті, про які поки що не знають розробники систем. Повноцінно протистояти зараженню таким шляхом, на жаль, неможливо, проте ймовірність, що саме ви потрапите до постраждалих, не дотягує навіть до 1%. Чому? Та тому, що шкідливе програмне забезпечення не може одномоментно заразити всі вразливі машини. І поки воно планує нові жертви, розробники систем встигають випустити рятівне оновлення.

    Як поводиться шифрувальник на зараженому комп'ютері

    Процес шифрування зазвичай починається непомітно, а коли його ознаки стають очевидними, рятувати дані вже пізно: на той час шкідливість зашифрував все, до чого дотягнувся. Іноді користувач може помітити, як у файлів у якійсь відкритій папці змінилося розширення.

    Така поява у файлів нового, а іноді другого розширення, після чого вони перестають відкриватися, повністю вказує на наслідки атаки шифрувальника. До речі, розширення, яке отримують пошкоджені об'єкти, зазвичай вдається ідентифікувати зловреда.

    Приклад, якими може бути розширення зашифрованих файлів:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn і т.д.

    Варіантів маса, і вже завтра з'являться нові, тому перераховувати все особливе значення немає. Для визначення типу зараження достатньо згодувати кілька розширень пошукової системи.


    Інші симптоми, які опосередковано вказують на початок шифрування:

    • Поява на екрані на долі секунди вікон командного рядка. Найчастіше це нормальне явище при встановленні оновлень системи та програм, але поза увагою його краще не залишати.
    • Запити UAC на запуск якоїсь програми, яку ви не збиралися відкривати.
    • Раптове перезавантаження комп'ютера з подальшою імітацією роботи системної утилітиперевірки диска (можливі інші варіації). Під час перевірки відбувається процес шифрування.

    Після успішного закінчення шкідливої ​​операції на екрані з'являється повідомлення з вимогою викупу та різними загрозами.

    Здирники шифрують значну частину користувацьких файлів: фотографій, музики, відео, текстових документів, архівів, пошти, баз даних, файлів з розширеннями програм і т.д. Але при цьому не чіпають об'єкти операційної системи, адже зловмисникам не потрібно, щоб заражений комп'ютер перестав працювати. Деякі віруси замінюють завантажувальні записи дисків і розділів.

    Після шифрування системи, як правило, видаляються всі тіньові копії та точки відновлення.

    Як вилікувати комп'ютер від шифрувальника

    Видалити із зараженої системи шкідливу програму просто – з більшістю з них легко справляються майже всі антивіруси. Але! Наївно вважати, що звільнення від винуватця призведе до вирішення проблеми: видаліть ви вірус чи ні, а файли все одно залишаться зашифрованими. Крім того, у ряді випадків це ускладнить їхню подальшу розшифровку, якщо вона можлива.

    Правильний порядок дій на початку шифрування

    • Як тільки ви помітили ознаки шифрування, негайно відключіть живлення комп'ютера натисканням та утриманням кнопкиPower протягом 3-4 секунд. Це дозволить урятувати хоча б частину файлів.
    • Створіть на іншому комп'ютері завантажувальний дискабо флешку з антивірусною програмою. Наприклад, Kaspersky Rescue Disk 18 , DrWeb LiveDisk , ESET NOD32 LiveCDі т.д.
    • Завантажте заражену машину з цього диска та проскануйте систему. Видаліть знайдені віруси зі збереженням у карантин (на випадок, якщо вони знадобляться для розшифрування). Тільки після цього можете завантажувати комп'ютер із жорсткого диска.
    • Спробуйте відновити зашифровані файли з тіньових копій засобами системи або за допомогою сторонніх.

    Що робити, якщо файли вже зашифровані

    • Не втрачайте надію. На сайтах розробників антивірусних продуктів викладені безкоштовні утиліти-дешифратори різних типівзловредів. Зокрема, тут зібрано утиліти від Avastі Лабораторії Касперського.
    • Визначивши тип шифратора, завантажте відповідну утиліту, обов'язково зробіть копії пошкоджених файлів і спробуйте їх розшифровувати. У разі успіху розшифруйте решту.

    Якщо файли не розшифровуються

    Якщо жодна утиліта не допомогла, цілком імовірно, що ви постраждали від вірусу, ліки від якого поки що не існує.

    Що можна зробити в цьому випадку:

    • Якщо ви користуєтеся платним антивірусним продуктом, зверніться до служби підтримки. Перешліть у лабораторію кілька копій пошкоджених файлів і чекайте відповіді. При наявності технічної можливостівам допоможуть.

    До речі, Dr.Web– одна з небагатьох лабораторій, яка допомагає не лише своїм користувачам, а всім постраждалим. Надіслати запит на розшифровку файлу можна на цій сторінці.

    • Якщо з'ясувалося, що файли зіпсовані безнадійно, але вони представляють вам велику цінність, залишаються сподіватися і чекати, що рятівний засіб колись буде знайдено. Найкраще, що ви можете зробити, це залишити систему та файли в стані як є, тобто повністю відключити та не використовувати жорсткий диск. Видалення файлів шкідливих даних, перевстановлення операційної системи і навіть її оновлення можуть позбавити вас. і цього шансу, тому що при генерації ключів шифрування-дешифрування часто використовуються унікальні ідентифікаторисистеми та копії вірусу.

    Платити викуп - не варіант, оскільки можливість того, що ви отримаєте ключ, прагне до нуля. Та й нема чого фінансувати злочинний бізнес.

    Як захиститись від шкідливих речовин такого типу

    Не хотілося б повторювати поради, які кожен із читачів чув сотні разів. Так, встановити хороший антивірус, не натискати підозрілі посилання та блаблабла – це важливо. Однак, як показало життя, чарівної таблетки, яка дасть вам 100% гарантію захищеності, сьогодні не існує.

    Єдиний дієвий метод захисту від здирників такого роду – резервне копіюванняданихна інші фізичні носії, в тому числі хмарні сервіси. Резервне копіювання, резервне копіювання, резервне копіювання...

    2017 був роком шифрувальників (ransomware) – найбільшої загрози у сфері інформаційної безпекияк для малих, середніх та великих підприємств, так і для домашніх користувачів. Такі атаки, як і вимагали викуп на багатьох комп'ютерах у світі, захопивши при цьому заголовки всіх провідних ЗМІ у всіх країнах. Насправді, минулого року сумарні збитки від шифрувальників склали близько 5 мільярдів доларів США, що робить ці трояни найпотужнішим і найвитонченішим типом кібер-атак, що показало 350% зростання порівняно з 2016 роком.

    3. Регулярно проводьте аудити безпеки та тести на наявність уразливостей, щоб чітко знати точки проникнення у ваші системи.

    4. Використовуйте сучасне та передове мультиплатформне рішення інформаційної безпеки з опціями розширеного захисту, таке як для проведення експертного аналізу в реальному часі. Це дозволить вам запобігати та виявляти такі типи атак, а також виконувати необхідні дії щодо реагування та відновлення після атаки.

    Фахівці компанії "Доктор Веб" вивчають новий троянець-шифрувальник Trojan.Encoder.12544, згадуваний у ЗМІ як Petya, Petya.A, ExPetya та WannaCry-2. На підставі попереднього аналізу шкідливої ​​програми компанія "Доктор Веб" надає рекомендації, як уникнути зараження, розповідає, що робити, якщо зараження вже відбулося, і розкриває технічні подробиці атаки.

    Черв-шифрувальник, що наробив багато шуму. Trojan.Encoder.12544представляє серйозну небезпеку для персональних комп'ютерів, які працюють під управлінням Microsoft Windows. Різні джерела називають його модифікацією троянця, відомого під назвою Petya ( Trojan.Ransom.369), але Trojan.Encoder.12544має з ним лише деяку схожість. Ця шкідлива програмапроникла в інформаційні системицілої низки держструктур, банків та комерційних організацій, а також заразила ПК користувачів у кількох країнах.

    Зараз відомо, що троянець заражає комп'ютери за допомогою того ж набору вразливостей, які раніше використовувалися зловмисниками для впровадження на комп'ютери жертв троянця WannaCry. Масове поширення Trojan.Encoder.12544розпочалося у першій половині дня 27.06.2017. При запуску на комп'ютері, що атакується, троянець декількома способами шукає доступні в локальної мережіПК, після чого за списком отриманих IP-адрес починає сканувати порти 445 і 139. Виявивши в мережі машини, на яких відкриті ці порти, Trojan.Encoder.12544намагається інфікувати їх з використанням широко відомої вразливості протоколу SMB (MS17-10).

    У своєму тілі троянець містить 4 стислі ресурси, 2 з яких є 32- і 64-розрядною версіями утиліти Mimikatz, призначеної для перехоплення паролів відкритих сесійу Windows. Залежно від розрядності ОС він розпаковує відповідну версію утиліти, зберігає в тимчасову папку, після чого запускає. За допомогою утиліти Mimikatz, а також двома іншими способами Trojan.Encoder.12544отримує список локальних та доменних користувачів, авторизованих на зараженому комп'ютері. Потім він шукає доступні для запису мережеві папки, намагається відкрити їх з використанням отриманих облікових даних та зберегти там свою копію. Щоб інфікувати комп'ютери, до яких йому вдалося отримати доступ, Trojan.Encoder.12544використовує утиліту для управління віддаленим комп'ютером PsExec (він також зберігається в ресурсах троянця) або стандартну консольну утиліту для виклику об'єктів Wmic.exe.

    Контроль свого повторного запуску енкодер здійснює за допомогою файлу, який він зберігає в папці C:\Windows\. Цей файл має ім'я, яке відповідає імені троянця без розширення. Оскільки розповсюджуваний зловмисниками зараз зразок черв'яка має ім'я perfc.dat, то файл, що запобігає його повторному запуску, матиме ім'я C:\Windows\perfc. Однак варто зловмисникам змінити вихідне ім'я троянця, і створення в папці C: Windows файлу з ім'ям perfc без розширення (як радять деякі антивірусні компанії), вже не врятує комп'ютер від зараження. Крім того, троянець здійснює перевірку наявності файлу, тільки якщо у нього достатньо привілеїв в операційній системі.

    Після старту троянець налаштовує собі привілеї, завантажує свою копію на згадку і передає їй управління. Потім енкодер перезаписує власний файлна диску сміттєвими даними та видаляє його. В першу чергу Trojan.Encoder.12544псує VBR (Volume Boot Record, завантажувальний запис розділу) диска C: перший сектор диска заповнюється сміттєвими даними. Потім шифрувальник копіює оригінальну завантажувальну. запис Windowsв іншу ділянку диска, попередньо зашифрувавши її з використанням алгоритму XOR, а замість неї записує свою. Далі він створює завдання на перезавантаження комп'ютера і починає шифрувати всі виявлені на локальних комп'ютерах. фізичних дискахфайли з розширеннями. , .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, . ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

    Тріянець шифрує файли тільки на фіксованих дисках комп'ютера, дані на кожному диску шифруються в окремому потоці. Шифрування здійснюється з використанням алгоритмів AES-128-CBC, для кожного диска створюється власний ключ (це відмінна особливість троянця, не відзначена іншими дослідниками). Цей ключ шифрується з використанням алгоритму RSA-2048 (інші дослідники повідомляли, що використовується 800-бітний ключ) і зберігається в кореневу папку диска зашифрованого у файл з ім'ям README.TXT. Зашифровані файли не одержують додаткового розширення.

    Після виконання створеного завдання комп'ютер перезавантажується, і управління передається троянської завантажувальної записи. Вона демонструє на екрані зараженого комп'ютера текст, що нагадує повідомлення стандартної утилітидля перевірки дисків CHDISK.

    Вірус-шифрувальник атакував російські ЗМІ, одне з яких – «Інтерфакс», йдеться у повідомленні російської компанії Group-IB. Постраждала лише частина агенції, оскільки його IT-служби встигли відключити частину критичної інфраструктури. Вірус присвоєно ідентифікатор BadRabbit.

    Про безпрецедентну вірусну атаку на «Інтерфакс» на своїй сторінці Facebook повідомивзаступник директора агентства Юрій Погорілий. "Інтерфакс" зіткнувся з безпрецедентною вірусною атакою. Частина наших сервісів є недоступною для клієнтів. Наші інженери відновлюють їхню працездатність. Перепрошую. Намагаємося повернутися до вас якнайшвидше!» – написав він.

    ЦБ попередив банки про можливу кібератаку вірусу-шифрувальника

    Два попередні віруси WannaCry та Petya вже намагалися атакувати банки

    За спостереженнями «Відомостей», не працює мобільний додатокагентства і сервіс, що надається «Інтерфаксом» розкриття звітності російських компаній на сайті e-disclosure.ru.

    Продовжують працювати підрозділи «Інфтерфаксу» у Великій Британії, Азербайджані, Білорусії та в Україні та сайт «Інтерфакс-релігія», сказав «Відомостям» Погорілий. Поки незрозуміло, чому пошкодження не торкнулися інших підрозділів, можливо, це пов'язано з топологією мережі «Інтерфаксу», з тим, де територіально знаходяться сервери, та з операційною системою, яка на них встановлена, говорить він.

    Два співробітники "Інтерфаксу" підтвердили "Відомостям" відключення комп'ютерів. За словами одного з них, візуально заблокований екран схожий на результат дій відомого вірусу Petya. Атакувавши «Інтерфакс» вірус попереджає, що не варто намагатися самостійно розшифрувати файли, і вимагає заплатити викуп в 0,05 біткойна ($283), для чого запрошує пройти на спеціальний сайт в мережі Tor. Зашифрованому комп'ютеру вірус надав персональний ідентифікаційний код.

    Не лише «Інтерфакс»

    Від вірусу-шифрувальника постраждали ще два російські ЗМІ, одне з яких – петербурзьке видання «Фонтанка», уточнює Group-IB.

    Головний редактор "Фонтанки" Олександр Горшков сказав "Відомостям", що сервери "Фонтанки" були атаковані зловмисниками сьогодні о 15.20. «Після цього сайт видання виявився недоступним, і він недоступний досі. Наші технічні фахівці докладають усіх необхідних зусиль для того, щоб відновити роботу сайту. Ми не сумніваємося, що ці дії було вчинено терористичними організаціями», - зазначив він.

    Протягом останніх тижнів злочинці атакують редакцію «Фонтанки», розміщуючи в мережі інтернет сотні помилкових статей на замовлення зі згадкою журналістів і редакторів видання. Крім того, до контролюючих органів доводиться неправдива інформація про діяльність видавця "Фонтанки" АТ "Ажур-медіа", каже він. "Ми не сумніваємося, що ці дії мають єдиного замовника і це ланки одного ланцюга", - сказав Горшков.

    Вже у вівторок він почав блокувати комп'ютери російських ресурсів, заражаючи їх через популярні сайти, зокрема ЗМІ. Постраждали "Інтерфакс", який зміг відновитись лише через добу, а також Фонтанка.ру. Усі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі. Російській газетіТам зазначили, що більшість жертв атаки знаходяться в Росії, схожі атаки спостерігаються в Україні, Туреччині та Німеччині, але в значно меншій кількості.

    Шифрувальнику не вдалося отримати доступ до ресурсів фінансових організацій або порушити їхню роботу, повідомив Центр моніторингу та реагування на комп'ютерні атакиу кредитно-фінансовій сфері (ФінЦЕРТ) Банку Росії. Раніше ЗМІ повідомили, що вірус намагався обрушити банки із топ-20. Банк Росії підтвердив, що атаки були, проте фактів компрометації ресурсів не виявив. ФінЦЕРТ розіслав по банкам рекомендації про методи виявлення вірусу, що розсилається поштою, і протидії йому.

    Успішна атака призвела б до зупинення операційної діяльності банку, при цьому фінансові дані клієнтів від вірусу-шифрувальника не постраждають, пояснили віце-президент InfoWatch, гендиректор Attack Killer Рустем Хайретдінов.

    Вірус BadRabbit діє через програми перегляду відеороликів

    Банк Росії попереджає, що хакери продовжать поширювати шкідливе програмне забезпечення, зокрема призначене для потайного шифрування файлів. "Як правило, зловмисники надсилають на e-mail листіз вкладеним вірусом, шляхом обману чи зловживання довірою вони спонукають користувача відкрити шкідливий файл, після чого шкідливе програмне забезпечення активується", - повідомив ЦБ.

    Але експерти стверджують, що "Поганий кролик" діє витонченіше - через запуск цілком безневинних на вигляд програм для перегляду відеороликів. Невипадково переносниками BadRabbit стали ресурси ЗМІ, де завжди є відео. Для перегляду користувачам пропонується запустити фальшивий установник Adobe Flash. Схожа схема була виявлена ​​в травні – вразливість у популярних відеоплеєрах дозволяла кіберзлочинцям віддалено зламувати комп'ютери користувачів.

    Розробники Bad Rabbit взяли на озброєння цю ідею. Механізм вірусу простий - Bad Rabbit унеможливлює доступ до всіх даних, які знаходяться на зараженому ним комп'ютері.

    Зловмисники вимагають 0,05 біткоїну (283 долари, або 15 700 рублів за поточному курсу). Але ймовірність того, що після сплати грошей відбудеться розшифрування файлів, дуже мала, запевняють експерти. Поки невідомо, чи можливо в принципі розшифрувати уражені "Поганим кроликом" файли - як сплативши викуп, так і використовуючи якусь ваду в механізмі шифрування зловреда. При атаці аналогічного вірусу WannaCry у червні, в якому використовувалися придбані в даркнеті елементи кіберзброї, хакери самі не знали способів розшифровування даних, хоча гроші вимагали саме за це.

    15 тисяч рублів у біткоїнах вимагають хакери, проте шансів, що це допоможе, мало - невідомо, чи можливо в принципі відновити уражені BadRabbit файли

    Наша реальність така, що зловмисники навчилися вводити світ у панічний стан, зазначає Рустем Хайретдінов. Віруси-шифрувальники з'являтимуться знову, відрізняючись лише назвою, технологіями, способом зараження.

    Тим часом Банк Росії стурбований недоступністю публічного сервісу "Інтерфаксу" щодо розкриття інформації емітентами і заявив, що має намір опрацювати механізми для зниження ймовірності виникнення подібних інцидентів у майбутньому.

    Необхідно створити файл C:Windows\infpub.dat і поставити йому права "тільки для читання". Після цього навіть у разі зараження файли не будуть зашифровані, порадили у Group-IB.

    Оперативно ізолюйте комп'ютери, доменні адреси та IP-адреси, вказані в блозі group-ib.ru/blog/badrabbit, якщо такі будуть, а також переконайтеся в актуальності та цілісності резервних копійключових мережевих вузлів. Оновіть Операційні системита системи безпеки. Налаштуваннями групової політикизабороніть зберігання паролів у LSA Dump в відкритому вигляді. Змініть усі паролі на складні для запобігання брутто за словником. Поставте користувачам блокування спливаючих вікон.

    Якщо ви бачите на екрані таку картинку, погоджуватися на оновлення в жодному разі не можна. Фото: vesti.ru