Новий вірус шифрувальник оновлення. Вірус-шифрувальник WannaCry: що робити? Основні цілі атаки були спрямовані на корпоративний сектор, за ним потягнуло вже телекомунікаційні компанії Іспанії, Португалії, Китаю та Англії.

15.05.2017, Пн, 13:33, Мск Текст: Павло Притула

Днями в Росії відбулася одна з найбільших і «шумних», судячи з преси, кібератак: нападу зловмисників зазнали мережі кількох відомств та найбільших організацій, включаючи МВС. Вірус шифрував дані на комп'ютерах співробітників та вимагав велику суму грошей за те, щоб вони могли продовжити свою роботу. Це наочний приклад, що ніхто не застрахований від здирників. Тим не менш, з цією загрозою можна боротися - ми покажемо кілька способів, які пропонує Microsoft.

Що ми знаємо про здирників? Начебто це злочинці, які вимагають від вас гроші чи речі під загрозою настання несприятливих наслідків. У бізнесі таке іноді трапляється, всі приблизно уявляють, як треба чинити в таких ситуаціях. Але що робити, якщо вірус-здирник оселився на ваших робочих комп'ютерах, блокує доступ до ваших даних і вимагає переказати гроші певним особам в обмін на код розблокування? Потрібно звертатися до спеціалістів з інформаційної безпеки. І найкраще зробити це наперед, щоб не допустити проблем.

Число кіберзлочинів в останні роки зросло на порядок. За даними дослідження SentinelOne, половина компаній у найбільших європейських країнах зазнала атак вірусів-вимагачів, причому більше 80% з них стали жертвами три і більше разів. Аналогічна картина спостерігається у всьому світі. Компанія Clearswift, що спеціалізується на інформаційній безпеці, називає своєрідний «топ» країн, найбільше постраждалих від ransomware – програм-вимагачів: США, Росія, Німеччина, Японія, Великобританія та Італія. Особливий інтерес зловмисників викликають малий та середній бізнес, тому що у них більше грошей і чутливіші дані, ніж у приватних осіб, і немає потужних служб безпеки, як у великих компаній.

Що робити і, головне, як запобігти атакі здирників? Спочатку оцінимо саму загрозу. Атака може проводитись кількома шляхами. Один із найпоширеніших – електронна пошта. Злочинці активно користуються методами соціальної інженерії, ефективність якої не знизилася з часів знаменитого хакера ХХ століття Кевіна Мітника. Вони можуть зателефонувати співробітнику компанії-жертви від імені реально існуючого контрагента і після розмови надіслати листа з вкладенням, що містить шкідливий файл. Співробітник, звичайно ж, його відкриє, бо він щойно говорив із відправником по телефону. Або бухгалтер може отримати листа нібито від служби судових приставів або від банку, в якому обслуговується його компанія. Не застрахований ніхто, і навіть МВС страждає не вперше: кілька місяців тому хакери надіслали до бухгалтерії Казанського лінійного управління МВС фальшивий рахунок від «Ростелекому» з вірусом-шифрувальником, який заблокував роботу бухгалтерської системи.

Джерелом зараження може стати і фішинговий сайт, на який користувач зайшов за обманним посиланням, та «випадково забута» кимось із відвідувачів офісу флешка. Дедалі частіше зараження відбувається через незахищені мобільні пристрої співробітників, з яких вони отримують доступ до корпоративних ресурсів. А антивірус може і не спрацювати: відомі сотні шкідливих програм, що обходять антивіруси, не кажучи вже про «атаки нульового дня», що експлуатують щойно відкриті «дірки» у програмному забезпеченні.

Що є «кібервимагачем»?

Програма, відома як "вимагач", "шифрувальник", ransomware блокує доступ користувача до операційної системи і зазвичай шифрує всі дані на жорсткому диску. На екран виводиться повідомлення про те, що комп'ютер заблокований і власник зобов'язаний передати зловмиснику велику суму грошей, якщо хоче повернути контроль над даними. Найчастіше на екрані включається зворотний відлік за 2-3 доби, щоб користувач поспішив, інакше вміст диска буде знищено. Залежно від апетитів злочинців та розмірів компанії суми викупу в Росії становлять від кількох десятків до кількох сотень тисяч рублів.

Типи здирників

Джерело: Microsoft, 2017

Ці зловреди відомі вже багато років, але останні два-три роки вони переживають справжній розквіт. Чому? По-перше, тому, що люди платять зловмисникам. За даними «Лабораторії Касперського», 15% російських компаній, атакованих таким чином, воліють заплатити викуп, а 2/3 компаній у світі, що зазнали такої атаки, втратили свої корпоративні дані повністю або частково.

Друге – інструментарій кіберзлочинців став більш досконалим та доступним. І третє – самостійні спроби жертви «підібрати пароль» нічим добрим не закінчуються, а поліція рідко може знайти злочинців, особливо за зворотного відліку.

До речі. Далеко не всі хакери витрачають свій час на те, щоб повідомити пароль жертві, яка перерахувала їм необхідну суму.

У чому проблема бізнесу

Головна проблема в галузі інформаційної безпеки у малого та середнього бізнесу в Росії полягає в тому, що грошей на потужні спеціалізовані засоби ІБ у них немає, а ІТ-систем та співробітників, з якими можуть відбуватися різного роду інциденти, більш ніж достатньо. Для боротьби з ransomwareнедостатньо мати лише налаштовані фаєрвол, антивірус та політики безпеки. Потрібно використовувати всі доступні кошти, в першу чергу, що надаються постачальником операційної системи, тому що це недорого (або входить у вартість ОС) і на 100% сумісне з його власним ПЗ.

Переважна більшість клієнтських комп'ютерів та значна частина серверів працюють під керуванням ОС Microsoft Windows. Усім відомі вбудовані засоби безпеки, такі, як «Захисник Windows» та «Брандмауер Windows», які разом зі свіжими оновленнями ОС та обмеженням прав користувача забезпечують цілком достатній для пересічного співробітника рівень безпеки за відсутності спеціалізованих засобів.

Але особливість взаємин бізнесу і кіберзлочинців у тому, що перші часто знають у тому, що вони атаковані другими. Вони вважають себе захищеними, а насправді зловреди вже проникли через периметр мережі і тихо роблять свою роботу - адже не всі з них поводяться так нахабно, як трояни-вимагачі.

Microsoft змінила підхід до забезпечення безпеки: тепер вона розширила лінійку продуктів ІБ, а також наголошує не тільки на тому, щоб максимально убезпечити компанії від сучасних атак, але і на тому, щоб дати можливість розслідувати їх, якщо зараження все ж таки відбулося.

Захист пошти

Поштову систему, як головний канал проникнення загроз у корпоративну мережу, необхідно захистити додатково. Для цього Microsoft розробила систему Exchange ATP (Advanced Treat Protection), яка аналізує поштові вкладення або інтернет-посилання та своєчасно реагує на виявлені атаки. Це окремий продукт, він інтегрується в Microsoft Exchange і не вимагає розгортання на кожній машині клієнта.

Система Exchange ATP здатна виявляти навіть "атаки нульового дня", тому що запускає всі вкладення у спеціальній "пісочниці", не випускаючи їх в операційну систему, та аналізує їхню поведінку. Якщо воно не містить ознак атаки, то вкладення вважається безпечним та користувач може його відкрити. А потенційно шкідливий файл відправляється до карантину і про нього повідомляється адміністратор.

Щодо посилань у листах, то вони теж перевіряються. Exchange ATP замінює всі посилання на проміжні. Користувач кликає по лінку в листі, потрапляє на проміжне посилання, і система система перевіряє адресу на безпеку. Перевірка відбувається так швидко, що користувач не помічає затримки. Якщо посилання веде на заражений сайт або файл, перехід по ньому забороняється.

Як працює Exchange ATP

Джерело: Microsoft, 2017

Чому перевірка відбувається в момент кліку, а не при отриманні листа - адже тоді на дослідження є більше часу і, отже, знадобляться менші обчислювальні потужності? Це спеціально для захисту від трюку зловмисників з заміною вмісту за посиланням. Типовий приклад: лист у поштову скриньку приходить вночі, система проводить перевірку і нічого не виявляє, а до ранку на сайті за цим посиланням вже розміщено, наприклад, файл з трояном, який користувач завантажує.

І третину сервісу Exchange ATP – вбудована система звітності. Вона дозволяє проводити розслідування інцидентів, що відбулися, і дає дані для відповідей на запитання: коли сталося зараження, як і де воно сталося. Це дозволяє знайти джерело, визначити збитки та зрозуміти, що це було: випадкове влучення або цілеспрямована, таргетована атака проти цієї компанії.

Корисна ця система для профілактики. Наприклад, адміністратор може підняти статистику, скільки було переходів за посиланнями, позначеними як небезпечні, і хто з користувачів це робив. Навіть якщо не відбулося зараження, все одно з цими працівниками слід провести роз'яснювальну роботу.

Щоправда, є категорії співробітників, яких посадові обов'язки змушують відвідувати різні сайти – такі, наприклад, маркетологи, що досліджують ринок. Для них технології Microsoft дозволяють налаштувати політику так, що будь-які файли, що завантажуються, перед збереженням на комп'ютері будуть перевірятися в «пісочниці». Причому правила задаються буквально кілька кліків.

Захист облікових даних

Однією з цілей атак зловмисників є облікові дані користувачів. Технології крадіжок логінів та паролів користувачів досить багато, і їм має протистояти міцний захист. Надій на самих співробітників мало: вони вигадують прості паролі, застосовують один пароль для доступу на всі ресурси та записують їх на стікері, який приклеюють на монітор. З цим можна боротися адміністративними заходами та задаючи програмно вимоги до паролів, але гарантованого ефекту все одно не буде.

Якщо у компанії дбають про безпеку, у ній розмежовуються права доступу, і, наприклад, інженер або менеджер з продажу не може зайти на бухгалтерський сервер. Але в запасі хакери мають ще один трюк: вони можуть надіслати із захопленого акаунта рядового співробітника лист цільовому фахівцю, який володіє потрібною інформацією (фінансовими даними або комерційною таємницею). Отримавши листа від «колеги», адресат стовідсотково його відкриє і запустить вкладення. І програма-шифрувальник отримає доступ до цінних для компанії даних, за повернення яких компанія може заплатити великі гроші.

Щоб захоплена обліковий записне давала зловмисникам можливості проникнути в корпоративну систему Microsoft пропонує захистити її засобами багатофакторної аутентифікації Azure Multifactor Authentication. Тобто для входу потрібно ввести не тільки пару логін/пароль, але й ПІН-код, надісланий у SMS, Push-повідомленні, згенерований мобільним додатком, або відповісти на телефонний дзвінок. Особливо корисною є багатофакторна автентифікація при роботі з віддаленими співробітниками, які можуть заходити в корпоративну систему з різних точок світу.

Azure Multifactor Authentication

Атаки вірусів-шифрувальників, витоку хакерських інструментів американських спецслужб, перевірка на міцність об'єктів енергетики, удари по ICO і перша успішна крадіжка грошей з російського банку з системою SWIFT - 2017 рік, що минає, був сповнений неприємних сюрпризів. Не всі виявилися готові до них. Скоріше навпаки. Кіберзлочинність стає швидшим і масштабнішим. Продержавні хакери – вже не лише шпигуни, вони крадуть гроші та влаштовують кібердиверсії.
Будь-яка протидія кіберзагрозам – це завжди змагання броні та снаряда. І події цього року показали, що багато компаній і навіть держави поступаються кіберзлочинцям. Тому що не знають, хто ворог, як він діє і де слід чекати наступного удару. Більшість атак потрібно запобігати ще на етапі їхньої підготовки за допомогою технологій раннього попередження Threat Intelligence. Бути на кілька кроків наперед кіберзлочинців, значить зберегти свої гроші, інформацію та репутацію.

Віруси-шифрувальники

Наймасштабнішими, як з погляду поширення, так і збитків у 2017 році стали кібератаки з використанням вірусів-шифрувальників. За ними стоять продержавні хакери. Згадаймо їх поіменно.

Наслідки атаки WonnaCry: супермаркет "Рост", Харків, Україна.

Lazarus (відома також як Dark Seoul Gang) – ім'я північнокорейської групи хакерів, за якими, імовірно, стоїть Bureau 121 – один із підрозділів Розвідувального Управління Генштабу КНА (КНДР), який відповідає за проведення кібероперацій. Хакери з північнокорейської групи Lazarus довгі роки шпигували за ідеологічними ворогами режиму - держустановами та приватними корпораціями США та Південної Кореї. Тепер Lazarus атакує банки та фінансові установи по всьому світу: на їхньому рахунку спроба вкрасти у лютому 2016 року майже $1 млрд із центрального банку Бангладеш, атаки на банки Польщі, а також співробітників ЦБ РФ, ЦБ Венесуели, ЦБ Бразилії, ЦБ Чилі та спроба вивести з Far Eastern International Bank $60 млн (див. "Цільові атаки на банки"). Наприкінці 2017 року північнокорейські хакери були помічені в атаках на криптовалютні сервіси та атаки з використанням мобільних троянів.

Тренд року

24 жовтня в Україні та Росії відбулася масштабна кібератака з використанням вірусу-шифрувальника «BadRabbit». Вірус атакував комп'ютери та сервери Київського метрополітену, Міністерства інфраструктури, Міжнародного аеропорту "Одеса". Декілька жертв опинилися і в Росії - в результаті атаки постраждали редакції федеральних ЗМІ, а також було зафіксовано факти спроб заражень банківських інфраструктур. За атакою, як встановила Group-IB, стоїть гурт Black Energy.

Цільові атаки на банки

Злочинні групи, що атакували російські банки, навесні та влітку 2017 року переключили свою увагу на інші країни та регіони: США, Європа, Латинська Америка, Азія та Близький Схід. Наприкінці року вони знову запрацювали у Росії.

У 2017 році у продержавних хакерів змінилися цілі – вони почали проводити кібердиверсії на фінансовий сектор. Для шпигунства або крадіжки грошей зломщики намагаються отримати доступ до SWIFT, карткового процесингу. Навесні цього року гурт BlackEnergy зламав інтегратора в Україні та отримав доступ до мережі українських банків. Через пару місяців почалася епідемія WannyCry та NotPetya, за якими стоять гурти Lazarus та BlackEnergy.

Тим не менш, до початку жовтня, коли команда Group-IB складала щорічний звіт, ми були сповнені стриманого оптимізму: цілеспрямовані атаки на банки в Росії впали на 33%. Всі злочинні групи, що атакували російські банки, поступово переключили свою увагу на інші країни та регіони: США, Європа, Латинська Америка, Азія та Близький Схід. Кінець року зіпсував статистику - ми зафіксували цілу низку кібератак на банки, у грудні відбулася перша успішна атака на російський банк зі SWIFT у виконанні групи Cobalt.

Атаки на SWIFT

У жовтні пограбували банк Far Eastern International Bank Тайваню. Діставшись до системи міжнародних міжбанківських переказів (SWIFT), до якої було підключено банк, хакери змогли вивести майже $60 мільйонів на рахунки в Шрі-Ланці, Камбоджі та США. За атакою, попередньо, стоїть гурт Lazarus. У листопаді найбільший недержавний банк Непалу NIC Asia Bank зазнав цілеспрямованої атаки кіберзлочинців, які отримали доступ до системи SWIFT і вивели $4,4 млн на рахунки в США, Великій Британії, Японії та Сінгапурі.

У середині грудня стало відомо про успішну атаку на російський банк з використанням SWIFT (міжнародна система передачі фінансової інформації). Нагадаємо, що раніше в Росії цільові атаки проходили з використанням систем карткового процесингу, банкоматів та АРМ КБР (автоматизоване робоче місце клієнта банку Росії).

До атаки, ймовірно, причетне угруповання Cobalt. Проникнення в банк відбулося через шкідливе програмне забезпечення, яке розсилалося угрупованням кілька тижнів тому по банках - такий спосіб атаки характерний для Cobalt. ЗМІ повідомляли, що злочинці спробували вкрасти близько $1 млн, але вдалося вивести близько 10%. FinCERT, структурний підрозділ ЦБ з інформбезпеки, у своєму звіті назвав групу Cobalt головною загрозою для кредитних організацій.

За даними Group-IB, на рахунку угруповання не менше 50 успішних атак на банки по всьому світу: у Росії, Великій Британії, Нідерландах, Іспанії, Румунії, Білорусії, Польщі, Естонії, Болгарії, Грузії, Молдові, Киргизії, Вірменії, Тайвані та Малайзії . Все літо та осінь вони атакували банки по всьому світу, тестували нові інструменти та схеми, і під кінець року не знизили обертів – практично щотижня ми фіксуємо їхні поштові розсилки зі шкідливими програмами всередині.

Безтілесність та шкідливі скрипти – новий (і тепер уже основний) принцип проведення атак. Хакери намагаються залишатися непоміченими і для цього використовують безтілесні програми, які працюють тільки в оперативній пам'яті і знищуються після перезавантаження. Крім того, скрипти на PowerShell, VBS, PHP допомагають забезпечувати персистентність (закріплення) в системі, а також автоматизувати деякі етапи атаки. Ще ми помічаємо, що хакери атакують банки не в лоб, а через довірених партнерів – інтеграторів, підрядників. Вони атакують співробітників, коли ті перебувають удома, перевіряють особисту пошту, соцмережі

Тренд року

Відкриття року: MoneyTaker

10 цікавих фактівпро MoneyTaker

• Їхньою жертвою ставали невеликі банки - у Росії регіональні, у США - ком'юніті-банки з невисоким рівнем захисту. В один із російських банків хакери проникли через домашній комп'ютер сисадміну.
• Один із американських банків зламали аж двічі.
• Здійснивши успішну атаку, продовжували шпигувати за співробітниками банку за допомогою пересилання вхідних листів на адреси Yandex та Mail.ru.
• Це угруповання завжди знищувало сліди після атаки.
• Гроші з одного російського банку намагалися вивести через банкомати, але вони не працювали - у їхнього власника незадовго до цього ЦБ забрав ліцензію. Вивели гроші через АРМ КБР.
• Викрадали не лише гроші, а й внутрішні документи, інструкції, регламенти, журнали транзакцій. Судячи з украдених документів, пов'язаних із роботою SWIFT, хакери готують атаки на об'єкти в Латинській Америці.
• У деяких випадках хакери вносили зміни до коду програми «на льоту» - прямо під час проведення атаки.
• Зломщики використовували файл SLRSideChannelAttack.exe., який було викладено у публічний доступ дослідниками.
• MoneyTaker використовували загальнодоступні інструменти, цілеспрямовано приховували будь-які елементи атрибуції, воліючи залишатися в тіні. Автор у програм один - це видно по типовим помилкам, які кочують з однієї самописної програми до іншої.

Витоку хакерських інструментів спецслужб

Експлойти з витоків АНБ та ЦРУ почали активно використовуватись для проведення цілеспрямованих атак. Вони вже включені в основні інструменти для проведення тестів на проникнення фінансово мотивованих та деяких продержавних хакерів.

WikiLeaks та Vault7

Весь рік WikiLeaks методично розкривав секрети ЦРУ, публікуючи в рамках проекту Vault 7 інформацію про інструменти хакерів спецслужб. Один з них – CherryBlossom («Вишневий колір») дозволяє відстежувати місцезнаходження та інтернет-активність користувачів, підключених до бездротового роутеру Wi-Fi. Такі пристрої повсюдно використовуються у будинках, офісах, ресторанах, барах, готелях, аеропортах та держустановах. WikiLeaks навіть розкрив технологію шпигунства ЦРУ за колегами з ФБР, МВБ, АНБ. Управління технічних служб(OTS) в ЦРУ розробило шпигунське ПЗ ExpressLane для таємного вилучення даних з біометричної системи збору інформації, яку ЦРУ розповсюджує своїм колегам із розвідуспільноти США. Трохи раніше WikiLeaks розкрила інформацію про шкідливу програму Pandemic, призначену для злому комп'ютерів із загальними папками, і про програму ELSA, яка також відстежує геолокацію пристроїв з підтримкою Wi-Fi і дозволяє відстежувати звички користувача. Wikileaks розпочав серію публікацій Vault-7 у лютому 2017 року. Витіки містили інформацію з описом уразливостей у програмному забезпеченні, зразками шкідливих програм та техніками проведення комп'ютерних атак.

Хакерські інструменти з іншого не менш популярного джерела - витоку АНБ, які публікує група Shadow Brokers, не тільки мала підвищений попит, але ще вдосконалювалася і допрацьовувалась. На андеграундних форумах з'явився скрипт для автоматизації пошуку машин з уразливістю SMB-протоколу, заснований на утилітах американських спецслужб, опублікованих угрупуванням Shadow Brokers у квітні цього року. В результаті витоку утиліта fuzzbunch та експлойт ETERNALBLUE опинилися в відкритому доступі, але після проведеного доопрацювання повністю готовий продукт спрощує зловмисникам процес атаки.

Нагадаємо, що саме SMB-протокол використовувався шифрувальником WannaCry для зараження сотень тисяч комп'ютерів у 150 країнах світу. Місяць тому творець пошукової системи Shodan Джон Мазерл (John Matherly) заявив, що в Мережі виявлено 2306820 пристроїв з відкритими портами для доступу по SMB-протоколу. 42% (близько 970 тис.) із них надають гостьовий доступ, тобто будь-який бажаючий за допомогою протоколу SMB може отримати доступ до даних без авторизації.

Влітку група Shadow Brokers пообіцяла щомісяця публікувати для своїх передплатників нові експлойти, у тому числі для роутерів, браузерів, мобільних пристроїв, скомпрометовані дані з банківських мереж та SWIFT, інформацію про ядерні та ракетні програми. Натхненні увагою Shadow Brokers підняли первісну вартість передплати зі 100 монет Zcash (близько $30 000) до 200 монет Zcash (близько $60 000). Статус VIP-передплатника коштує 400 монет Zcash і дозволяє отримувати експлойти на замовлення.

Атаки на критичну інфраструктуру

Енергетичний сектор став тестовим полігоном для дослідження нової кіберзброї. Злочинна група BlackEnergy продовжує атаки на фінансові та енергетичні компанії. Інструменти, що опинилися в їх розпорядженні, дозволяють віддалено керувати Remote terminal unit (RTU), які відповідають за фізичне розмикання/замикання енергомережі.

Першим вірусом, який реально зміг вивести обладнання з ладу, був Stuxnet, використовуваний Equation Group (Five Eyes/Tilded Team). У 2010 році вірус проник у систему іранського заводу зі збагачення урану в Натані і вразив контролери SIMATIC S7 Siemens, що обертали центрифуги з ураном із частотою 1000 оборотів за секунду. Stuxnet розігнав ротори центрифуг до 1400 оборотів, так що вони почали вібрувати і руйнуватися. З 5000 центрифуг, встановлених у залі, з ладу було виведено близько 1000 штук. Іранська ядерна програма на кілька років відкотилася назад.

Після цієї атаки кілька років спостерігалося затишшя. Виявилося, що весь час хакери шукали можливість впливати на ICS і виводити їх з ладу, коли це буде необхідно. Далі за інших у цьому напрямку просунувся гурт Black Energy, також відомий як Sandworm.

Їхня тестова атака на українську підстанцію наприкінці минулого року показала, на що здатний новий набір інструментів, який отримав назву Industroyer або CRASHOVERRIDE. На конференції Black Hat програмне забезпечення Industroyer було названо «найбільшою загрозою промисловим системам управління з часів Stuxnet». Наприклад, інструменти BlackEnergy дозволяють дистанційно керувати Remote terminal unit (RTU), які відповідають за фізичне розмикання/замикання енергомережі. Озброїлася такими інструментами, що можуть перетворити його на грізну кіберзброю, яка дозволить залишати без світла і води цілі міста.

Проблеми можуть виникнути не лише в Україні: нові атаки на енергосистеми у липні були зафіксовані у Великій Британії та Ірландії. Збоїв у роботі енергомереж не було, але, як вважають експерти, хакери могли викрасти паролі до систем безпеки. У США після розсилки співробітникам енергетичних компаній шкідливих листів ФБР попередило компанії про можливі кібератаки.

Атаки на ICO

Довгий часбанки та його клієнти були головною метою кіберзлочинців. Але тепер у них сильні конкуренти в особі ICO і блокчейн-стартапів - все, що пов'язано з криптовалютами, привертає увагу хакерів.

ICO (Initial Coin Offering – процедура первинного розміщення токенів) – мрія будь-якого хакера. Блискавична, часто досить проста атака на криптовалютні сервіси та блокчейн-стартапи приносить мільйони доларів прибутку з мінімальним ризиком для злочинців. За даними Chainalysis, хакерам вдалося вкрасти 10% усіх коштів, інвестованих в ICO-проекти у 2017 році у Ethereum. Загальні збитки склали майже $225 мільйонів, 30 000 інвесторів втратили в середньому по $7500.

Ми проаналізували близько сотні атак на блокчейн-проекти (біржі, обмінники, гаманці, фонди) і дійшли висновку, що основна маса проблем у вразливості самих криптосервісів, що використовують технологію блокчейну. У випадку з Ethereum проблеми спостерігалися не біля самої платформи, а у криптосервісів: вони зіштовхнулися з уразливістю у власних смарт-контрактах, deface, компрометацією адмінських акаунтів (Slack, Telegram), фішинговими сайтами, що копіюють контент сайтів компаній, що виходять на ICO.

Є кілька вразливих місць:

• Фішингові сайти – клони офіційного ресурсу
• Вразливості сайту / веб-додатки
• Атаки через співробітників компанії
• Атаки на IT-інфраструктуру

Нас дуже часто питають, на що звертати увагу, що перевіряти насамперед? Є три великі блоки, на які треба звернути увагу: захистити людей, захистити процеси та захистити інфраструктуру.

Крадіжки грошей за допомогою Android-троянів

Ринок банківських Android-троянів виявився найдинамічнішим і зростаючим. Збитки від банківських троянів під Android в Росії виросли на 136% - вони склали $13,7 млн. - і перекрили збитки від троянів для персональних комп'ютерівна 30%.

Ми пророкували це зростання ще минулого року, оскільки зараження шкідливим ПЗ стають непомітнішими, а розкрадання автоматизуються за допомогою методу автозатоки. За нашими оцінками, збитки від цього виду атак у Росії за минулий рік склали $13,7 млн.

Затримання учасників злочинної групи Cron

Ця інструкція не призначена для технічних фахівців, тому:

1. визначення деяких термінів спрощено;
2. не розглядаються технічні подробиці;
3. не розглядаються методи захисту системи (установка оновлень, настроювання систем безпеки тощо).

Інструкція написана мною на допомогу сисадмінам, які бажають провести навчання працівників компанії, далеких від сфери IT (бухгалтерія, кадри, продажники тощо), основ кібергігієни.

Глосарій

Програмне забезпечення(далі - ПЗ) - програма або безліч програм, що використовуються для керування комп'ютером.

Шифрування— це перетворення даних на вигляд, недоступний для читання без ключа шифрування.

Ключ шифрування- це секретна інформація, яка використовується при шифруванні/розшифровці файлів.

Дешифратор- Програма, що реалізує алгоритм розшифровування.

Алгоритм- Набір інструкцій, що описують порядок дій виконавця для досягнення деякого результату.

Поштове вкладення- Файл, прикріплений до електронного листа.

Розширення(Розширення імені файлу) — послідовність символів, які додаються до імені файлу та призначені для ідентифікації типу файлу (наприклад, *.doc, *.jpg). Відповідно до типу файлів, використовуватиметься певна програма, щоб їх відкрити. Наприклад, якщо файл розширення *.doc, то для його відкриття запуститься MS Word, якщо *.jpg, то запуститься переглядач зображень і т.д.

Посилання(або, точніше, гіперпосилання) — частина веб-сторінки документа, яка посилається на інший елемент (команда, текст, заголовок, примітка, зображення) у самому документі або на інший об'єкт (файл, каталог, програма), розташований на локальному дискуабо у комп'ютерній мережі.

Текстовий файл — комп'ютерний файл, що містить текстові дані

Архівація- Це стиснення, тобто зменшення розміру файлу.

Резервна копія- файл або група файлів, створених в результаті резервного копіюванняінформації.

Резервне копіювання— процес створення копії даних на носії (жорсткому диску, дискеті тощо), призначеному для відновлення даних в оригінальному або новому місці зберігання у разі пошкодження або руйнування.

Домен(доменне ім'я) — ім'я, що дає можливість звертатися до інтернет-вузлів та розміщених на них мережевим ресурсам(Веб-сайтам, серверам електронної пошти, іншим службам) у зручній для людини формі. Наприклад, замість 172.217.18.131 вводять google.com.ua, де ua, com, google – це домени різних рівнів.

Що це таке - вірус-шифрувальник?

Вірус-шифрувальник(Далі - шифрувальник) - шкідливе програмне забезпечення, що шифрує файли користувача і вимагає викуп за розшифровку. Найчастіше шифруються популярні типи файлів - документи та таблиці MS Office ( docx, xlsx), зображення ( jpeg, png, tif), відеофайли ( avi, mpeg, mkvта ін), документи у форматі pdfта ін, а також файли баз даних - 1С ( 1CD, dbf), Акцент ( mdf). Системні файлиі програми зазвичай не шифруються, щоб зберегти працездатність Windows та дати користувачеві можливість зв'язатися з здирником. В окремих випадках шифрується диск повністю, завантаження Windowsу разі неможлива.

У чому небезпека таких вірусів?

У переважній більшості випадків розшифровка самотужки НЕМОЖЛИВА, т.к. використовуються надзвичайно складні алгоритми шифрування. У дуже поодиноких випадках файли можна розшифрувати, якщо відбулося зараження вже відомим типом вірусу, для якого виробники антивірусів випустили дешифратор, але навіть у цьому випадку не гарантується відновлення інформації на 100%. Іноді вірус має недолік у своєму коді, і дешифрування ставати неможливим у принципі, навіть автором шкідливої ​​програми.

У переважній більшості випадків після кодування шифрувальник видаляє вихідні файли за допомогою спеціальних алгоритмів, що виключає можливість відновлення.

Ще одна небезпечна особливість подібних вірусів — досить часто вони «невидимі» для антивірусів, т.к. алгоритми, що використовуються для зашифрування, застосовуються також у багатьох легальних програмах (наприклад, клієнт-банк), через що багато шифрувальників не сприймаються антивірусами, як шкідливе ПЗ.

Шляхи зараження.

Найчастіше зараження відбувається через поштові вкладення. Користувачеві надходить лист електронною поштою від відомого йому адресата або замаскованого під будь-яку організацію (податкова, банк). У листі може бути прохання провести бухгалтерську звірку, підтвердити оплату рахунку, пропозицію ознайомитися з кредитною заборгованістю в банку або щось подібне. Тобто інформація буде така, що неодмінно зацікавить або злякає користувача і спонукає відкрити поштове вкладення з вірусом. Найчастіше це буде виглядати як архів, всередині якого знаходиться файл із розширенням *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. Після запуску такого файлу одразу або через деякий час починається процес шифрування файлів на ПК. Також заражений файл може бути надісланий користувачеві в одній із програм обміну миттєвими повідомленнями (Skype, Viber та ін.).

Рідше зараження відбувається після встановлення зламаного ПЗ або після переходу за зараженим посиланням на сайті або в тілі листа.

Варто мати на увазі, що дуже часто, заразивши один ПК в мережі, вірус може поширитися на інші машини, використовуючи вразливість у Windows або встановлених програмах.

Ознаки зараження.

1. Дуже часто після запуску файлу, доданого до листа, спостерігається висока активність жорсткого диска, процесор завантажено до 100%, тобто. комп'ютер починає сильно "гальмувати".
2. Через деякий час після запуску вірусу ПК раптово перезавантажується (у більшості випадків).
3. Після перезавантаження відкривається текстовий файл, в якому повідомляється, що файли користувача зашифровані та вказуються контакти для зв'язку (електронна пошта). Іноді замість відкриття файлу шпалери замінюються на текст із вимогою викупу.
4. Більшість файлів користувача (документи, фото, бази даних) виявляються з іншим розширенням (наприклад - *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl та ін) або взагалі повністю перейменовані, і не відкриваються жодної програмою, навіть якщо змінити розширення. Іноді шифрується жорсткий диск повністю. В цьому випадку Windowsвзагалі не завантажується, а повідомлення з вимогою викупу з'являється майже відразу після включення ПК.
5. Іноді всі файли користувача поміщені в один архів, захищений паролем. Це відбувається, якщо зловмисник проникає на ПК і архівує та видаляє файли вручну. Тобто при запуску шкідливого файлу з поштового вкладення файли користувача не шифруються автоматично, а відбувається встановлення програмного забезпечення, що дозволяє зловмиснику потай підключитися до ПК через інтернет.

Приклад тексту з вимогою викупу

Що робити, якщо зараження вже сталося?

1. Якщо процес шифрування почався у вашій присутності (ПК сильно «гальмує»; відкрився текстовий файл з повідомленням про шифрування; стали пропадати файли, а замість них стали з'являтися їх зашифровані копії), слід НЕГАЙНОзнеструмити комп'ютер, висмикнувши шнур живлення або затиснувши на 5 сек. кнопку увімкнення. Можливо, це дозволить урятувати частину інформації. НЕ ПЕРЕЗАВАНТАЖУЙТЕ ПК! ТІЛЬКИ ВИМИКАННЯ!
2. Якщо шифрування вже відбулося, у жодному разі не варто намагатися самостійно вилікувати зараження, а також видаляти або перейменовувати зашифровані файли або файли, створені шифрувальником.

В обох випадках слід негайно повідомити про подію системному адміністратору.

ВАЖЛИВО!

Не намагайтеся самостійно вести переговори зі зловмисником через надані контакти! У найкращому разі це марно, у гіршому — може збільшити суму викупу за розшифровку.

Як запобігти зараженню чи звести його наслідки до мінімуму?

1. Не відкривайте підозрілі листи, особливо з вкладеннями (як розпізнати такі листи див. нижче).
2. Не переходьте за підозрілими посиланнями на сайтах та в надісланих листах.
3. Не завантажуйте та не встановлюйте програми з недовірених джерел (сайти зі зламаним ПЗ, торрент-трекери).
4. Завжди робіть резервні копії важливих файлів. Найкращим варіантом буде зберігати резервні копії на іншому носії, не підключеному до ПК (флешка, зовнішній диск, DVD-диск), або у хмарі (наприклад, Яндекс.Диск). Часто вірус шифрує і файли архівів (zip, rar, 7z), тому зберігати резервні копії тому ж ПК, де зберігаються вихідні файли — безглуздо.

Як розпізнати шкідливого листа?

1. Тема та зміст листа не пов'язані з вашою професійною діяльністю. Наприклад, офіс-менеджеру надійшов лист про податкову перевірку, рахунок або резюме.

2. У листі міститься інформація, яка не має відношення до нашої країни, регіону чи сфери діяльності нашої компанії. Наприклад, вимога погасити борг у банку, зареєстрованому у РФ.

3. Часто шкідливий лист оформлений як відповідь на якийсь ваш лист. На початку теми такого листа є поєднання «Re:». Наприклад, "Re: Рахунок на оплату", хоча ви точно знаєте, що не надсилали листи на цю адресу.

4. Лист надійшов нібито від відомої компанії, але в адресі відправника листи присутні безглузді послідовності букв, слів, цифр, сторонні домени, які нічого не мають спільного з офіційними адресами згаданого в тексті листа компанії.

5. У полі «Кому» вказано невідоме ім'я (не вашу поштову скриньку), набір незв'язних символів або дублюється назва поштової скринькивідправника.

6. У тексті листа під різними приводами одержувача просять надати або підтвердити будь-яку персональну або службову інформацію, завантажити файл або перейти за посиланням, при цьому повідомляючи про терміновість або будь-які санкції у разі невиконання інструкцій, зазначених у листі.

7. В архіві, доданому до листа, містяться файли з розширенням *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Також дуже часто застосовується маскування шкідливого розширення. Наприклад, в імені файлу "Дебіторська заборгованість.doc.js", *.doc - це помилкове розширення, що не несе жодного функціоналу, а *.js - реальне розширення вірусного файлу.

8. Якщо лист надійшов від відомого відправника, але стилістика листа та грамотність дуже відрізняються — це також привід насторожитися. Так само, як і нехарактерний зміст — наприклад, від клієнта надійшла вимога сплатити рахунок. У такому випадку краще зв'язатися з відправником по іншому каналу зв'язку (телефон, Skype), так як ймовірно, що його ПК зламали або заразили вірусом.

Приклад шкідливого листа

Згідно з першими повідомленнями, активований у вівторок зловмисниками вірус-шифрувальник був віднесений до вже відомого сімейства здирників Petya, проте пізніше з'ясувалося, що йдеться про нове сімейство шкідливого ПЗ з функціональністю, що істотно відрізняється. "Лабораторія Касперського" охрестила новий вірус ExPetr.

«Проведений нашими експертами аналіз показав, що жертви спочатку не мали шансів повернути свої файли. Дослідники «Лабораторії Касперського» проаналізували частину коду зловреда, яка пов'язана з шифруванням файлів, і з'ясували, що після того, як диск зашифрований, у творців вірусу вже немає можливості розшифрувати його назад», - повідомляє лабораторія.

Як зазначають у компанії, для розшифровки потрібний унікальний ідентифікатор конкретної установки трояна. У раніше відомих версіях подібних шифрувальників Petya/Mischa/GoldenEye ідентифікатор установки містив інформацію, необхідну для розшифровки. У випадку з ExPetr цього ідентифікатора немає. Це означає, що творці зловреда не можуть отримувати інформацію, яка потрібна для розшифровування файлів. Іншими словами, жертви здирника не мають можливості повернути свої дані, пояснює «Лабораторія Касперського».

Вірус блокує комп'ютери та вимагає 300 доларів у біткоїнах, повідомили РІА Новини у компанії Group-IB. Атака розпочалася у вівторок близько 11.00. За даними ЗМІ, на 18.00 середи біткоін-гаманець, який був вказаний для переказу коштів здирникам, отримав дев'ять перекладів. З урахуванням комісії за перекази постраждалі перевели хакерам близько 2,7 тисяч доларів.

Порівняно з WannaCry цей вірус визнаний більш руйнівним, тому що поширюється декількома методами. допомогою Windows Management Instrumentation, PsExec та експлойт EternalBlue. Крім того, в шифрувальник впроваджено безкоштовна утиліта Mimikatz.

Число користувачів, атакованих новим вірусом-шифрувальником "новий Petya" досягло 2 тисяч, повідомили в середу в "Лабораторії Касперського", що розслідує хвилю заражень комп'ютерів.

За даними антивірусної компанії ESET, атака почалася з України, яка найбільше постраждала від неї. Згідно з рейтингом компанії за країнами, які постраждали від вірусу, на другому місці після України – Італія, на третьому – Ізраїль. До першої десятки також увійшли Сербія, Угорщина, Румунія, Польща, Аргентина, Чехія та Німеччина. Росія в цьому списку посіла 14 місце.

Крім того, у компанії Avast розповіли, які саме Операційні системипостраждали від вірусу найбільше.

На першому місці виявилася Windows 7 – 78% від усіх заражених комп'ютерів. Далі слідують. Windows XP (18%), Windows 10 (6%) і Windows 8.1 (2%).

Таким чином, WannaCry практично нічого не навчив світову спільноту - комп'ютери так і залишилися незахищеними, системи не були оновлені, а зусилля Microsoft з випуску патчів навіть для застарілих систем просто зникли задарма.

Продовжує свою пригнічуючу ходу по Мережі, заражаючи комп'ютери та шифруючи важливі дані. Як захиститися від шифрувальника, захистити Windows від здирника – чи випущені латки, патчі, щоб розшифрувати та вилікувати файли?

Новий вірус-шифрувальник 2017 Wanna Cry продовжує заражати корпоративні та приватні ПК. У щерб від вірусної атаки налічує 1 млрд. доларів. За 2 тижні вірус-шифрувальник заразив щонайменше 300 тисяч комп'ютерів, незважаючи на попередження та заходи безпеки.

Вірус-шифрувальник 2017, що це- Як правило, можна «підчепити», здавалося б, на найнешкідливіших сайтах, наприклад, банківських серверах з доступом користувача. Потрапивши на жорсткий дискжертви, шифрувальник «осідає» у системній папці System32. Звідти програма відразу відключає антивірус і потрапляє до «Автозапуску». Після кожного перезавантаження програма-шифрувальник запускається до Реєструпочинаючи свою чорну справу. Шифрувальник починає завантажувати собі подібні копії програм типу Ransom та Trojan. Також часто відбувається самореплікація шифрувальника. Процес цей може бути миттєвим, а може відбуватися тижнями - доки жертва помітить негаразд.

Шифрувальник часто маскується під звичайні картинки, текстові файли , Але сутність завжди одна - це виконуваний файл з розширенням .exe, .drv, .xvd; іноді – бібліотеки.dll. Найчастіше файл несе цілком невинне ім'я, наприклад « документ. doc», або « картинка.jpg», де розширення прописано вручну, а істинний тип файлу прихований.

Після завершення шифрування користувач бачить замість знайомих файлів набір «рандомних» символів у назві та всередині, а розширення змінюється на досі невідоме - .NO_MORE_RANSOM, .xdataта інші.

Вірус-шифрувальник 2017 Wanna Cry - як захиститися. Хотілося б одразу відзначити, що Wanna Cry – скоріше збірний термін всіх вірусів шифрувальників і здирників, оскільки останнім часом заражав комп'ютери найчастіше. Отже, мова піде про з захистіть від шифрувальників Ransom Ware, яких безліч: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Як захистити Windows від шифрувальника. – EternalBlue через протокол SMB портів.

Захист Windows від шифрувальника 2017 – основні правила:

• оновлення Windows, своєчасний перехід на ліцензійну ОС (примітка: версія XP не оновлюється)
• оновлення антивірусних базта файрволлів на вимогу
• гранична уважність при завантаженні будь-яких файлів (милі «котики» можуть обернутися втратою всіх даних)
• резервне копіювання важливої ​​інформаціїна змінний носій.

Вірус-шифрувальник 2017: як вилікувати та розшифрувати файли.

Сподіваючись на антивірусне програмне забезпечення, можна забути про дешифратора на деякий час. У лабораторіях Касперського, Dr. Web, Avast!та інших антивірусів поки не знайдено рішення щодо лікування заражених файлів. На даний моментє можливість видалити вірус за допомогою антивірусу, але алгоритмів повернути всі «на круги своя» поки що немає.

Деякі намагаються застосувати дешифратори типу утиліти RectorDecryptor, але це не допоможе: алгоритм для дешифрування нових вірусів поки не складено. Також абсолютно невідомо, як поведеться вірус, якщо він не видалений, після застосування таких програм. Часто це може обернутися стиранням всіх файлів – у науку тим, хто не хоче платити зловмисникам, авторам вірусу.

На даний момент самим ефективним способомповернути втрачені дані – це звернення до тих. підтримку постачальника антивірусної програмиВи використовуєте . Для цього слід надіслати листа або скористатися формою для зворотного зв'язку на сайті виробника. У вкладення обов'язково додати зашифрований файл і, якщо така є копія оригіналу. Це допоможе програмістам у складанні алгоритму. На жаль, для багатьох вірусна атака стає повною несподіванкою, і копій немає, що в рази ускладнює ситуацію.

Кардіальні методи лікування Windows від шифрувальника. На жаль, іноді доводиться вдаватися до повного форматування вінчестера, що спричиняє повну зміну ОС. Багатьом спаде на думку відновлення системи, але це не вихід – навіть є «відкат» дозволить позбутися вірусу, то файли все одно залишаться зашированими.