Вже у вівторок він почав блокувати комп'ютери російських ресурсів, заражаючи їх через популярні сайти, зокрема ЗМІ. Постраждали "Інтерфакс", який зміг відновитись лише через добу, а також Фонтанка.ру. Усі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі, сказали "Російській газеті" у "Лабораторії Касперського". Там зазначили, що більшість жертв атаки перебувають у Росії, схожі атаки спостерігаються в Україні, Туреччині та Німеччині, але у значно меншій кількості.
Шифрувальнику не вдалося отримати доступ до ресурсів фінансових організацій або порушити їхню роботу, повідомив Центр моніторингу та реагування на комп'ютерні атаки у кредитно-фінансовій сфері (ФінЦЕРТ) Банку Росії. Раніше ЗМІ повідомили, що вірус намагався обрушити банки із топ-20. Банк Росії підтвердив, що атаки були, проте фактів компрометації ресурсів не виявив. ФінЦЕРТ розіслав по банкам рекомендації про методи виявлення вірусу, що розсилається поштою, і протидії йому.
Успішна атака призвела б до зупинення операційної діяльності банку, при цьому фінансові дані клієнтів від вірусу-шифрувальника не постраждають, пояснили віце-президент InfoWatch, гендиректор Attack Killer Рустем Хайретдінов.
Вірус BadRabbit діє через програми перегляду відеороликів
Банк Росії попереджає, що хакери продовжать поширювати шкідливе програмне забезпечення, зокрема призначене для потайного шифрування файлів. "Як правило, зловмисники надсилають на e-mail лист із вкладеним вірусом, шляхом обману або зловживання довірою вони спонукають користувача відкрити шкідливий файл, після чого шкідливе програмне забезпечення активується", - повідомив ЦБ.
Але експерти стверджують, що "Поганий кролик" діє витонченіше - через запуск цілком безневинних на вигляд програм для перегляду відеороликів. Невипадково переносниками BadRabbit стали ресурси ЗМІ, де завжди є відео. Для перегляду користувачам пропонується запустити фальшивий інсталятор Adobe Flash. Схожа схема була виявлена в травні – вразливість у популярних відеоплеєрах дозволяла кіберзлочинцям віддалено зламувати комп'ютери користувачів.
Розробники Bad Rabbit взяли на озброєння цю ідею. Механізм вірусу простий - Bad Rabbit унеможливлює доступ до всіх даних, які знаходяться на зараженому ним комп'ютері.
Зловмисники вимагають 0,05 біткоїну (283 долари, або 15 700 рублів за поточним курсом). Але ймовірність того, що після сплати грошей відбудеться розшифрування файлів, дуже мала, запевняють експерти. Поки невідомо, чи можливо в принципі розшифрувати уражені "Поганим кроликом" файли - як сплативши викуп, так і використовуючи якусь ваду в механізмі шифрування зловреда. При атаці аналогічного вірусу WannaCry у червні, в якому використовувалися придбані в даркнеті елементи кіберзброї, хакери самі не знали способів розшифровування даних, хоча гроші вимагали саме за це.
15 тисяч рублів у біткоїнах вимагають хакери, проте шансів, що це допоможе, мало - невідомо, чи можливо в принципі відновити уражені BadRabbit файли
Наша реальність така, що зловмисники навчилися вводити світ у панічний стан, зазначає Рустем Хайретдінов. Віруси-шифрувальники з'являтимуться знову, відрізняючись лише назвою, технологіями, способом зараження.
Тим часом Банк Росії стурбований недоступністю публічного сервісу "Інтерфаксу" щодо розкриття інформації емітентами і заявив, що має намір опрацювати механізми для зниження ймовірності виникнення подібних інцидентів у майбутньому.
Необхідно створити файл C:Windows\infpub.dat і поставити йому права "тільки для читання". Після цього навіть у разі зараження файли не будуть зашифровані, порадили у Group-IB.
Оперативно ізолюйте комп'ютери, доменні адреси та IP-адреси, вказані в блозі group-ib.ru/blog/badrabbit, якщо такі будуть, а також переконайтеся в актуальності та цілісності резервних копій ключових мережних вузлів. Оновіть операційні системи та системи безпеки. Налаштуваннями групової політики забороніть зберігання паролів у LSA Dump у відкритому вигляді. Змініть усі паролі на складні для запобігання брутто за словником. Поставте користувачам блокування спливаючих вікон.
Якщо ви бачите на екрані таку картинку, погоджуватися на оновлення в жодному разі не можна. Фото: vesti.ru
Вірус-шифрувальник атакував російські ЗМІ, одне з яких – «Інтерфакс», йдеться у повідомленні російської компанії Group-IB. Постраждала лише частина агенції, оскільки його IT-служби встигли відключити частину критичної інфраструктури. Вірус присвоєно ідентифікатор BadRabbit.
Про безпрецедентну вірусну атаку на «Інтерфакс» на своїй сторінці Facebook повідомивзаступник директора агентства Юрій Погорілий. "Інтерфакс" зіткнувся з безпрецедентною вірусною атакою. Частина наших сервісів є недоступною для клієнтів. Наші інженери відновлюють їхню працездатність. Перепрошую. Намагаємося повернутися до вас якнайшвидше!» – написав він.
ЦБ попередив банки про можливу кібератаку вірусу-шифрувальника
Два попередні віруси WannaCry та Petya вже намагалися атакувати банки
За спостереженнями «Відомостей», не працює мобільний додаток агентства і сервіс розкриття звітності російських компаній, що надається «Інтерфаксом» на сайті e-disclosure.ru.
Продовжують працювати підрозділи «Інфтерфаксу» у Великій Британії, Азербайджані, Білорусії та в Україні та сайт «Інтерфакс-релігія», сказав «Відомостям» Погорілий. Поки незрозуміло, чому пошкодження не торкнулися інших підрозділів, можливо, це пов'язано з топологією мережі «Інтерфаксу», з тим, де територіально знаходяться сервери, та з операційною системою, яка на них встановлена, говорить він.
Два співробітники "Інтерфаксу" підтвердили "Відомостям" відключення комп'ютерів. За словами одного з них, візуально заблокований екран нагадує результат дій відомого вірусу Petya. Атакувавши «Інтерфакс» вірус попереджає, що не варто намагатися самостійно розшифрувати файли, і вимагає заплатити викуп в 0,05 біткойна ($283), для чого запрошує пройти на спеціальний сайт в мережі Tor. Зашифрованому комп'ютеру вірус надав персональний ідентифікаційний код.
Не лише «Інтерфакс»
Від вірусу-шифрувальника постраждали ще два російські ЗМІ, одне з яких – петербурзьке видання «Фонтанка», уточнює Group-IB.
Головний редактор "Фонтанки" Олександр Горшков сказав "Відомостям", що сервери "Фонтанки" були атаковані зловмисниками сьогодні о 15.20. «Після цього сайт видання виявився недоступним, і він недоступний досі. Наші технічні фахівці докладають усіх необхідних зусиль для того, щоб відновити роботу сайту. Ми не сумніваємося, що ці дії було вчинено терористичними організаціями», - зазначив він.
Протягом останніх тижнів злочинці атакують редакцію «Фонтанки», розміщуючи в мережі інтернет сотні помилкових статей на замовлення зі згадкою журналістів і редакторів видання. Крім того, до контролюючих органів доводиться неправдива інформація про діяльність видавця "Фонтанки" АТ "Ажур-медіа", каже він. "Ми не сумніваємося, що ці дії мають єдиного замовника і це ланки одного ланцюга", - сказав Горшков.
Самі собою віруси як комп'ютерна загроза сьогодні нікого не дивують. Але якщо раніше вони впливали на систему в цілому, викликаючи збої в її працездатності, сьогодні, з появою такого різновиду, як вірус-шифрувальник, дії проникаючої загрози стосуються більше даних користувача. Він є, можливо, навіть більшою загрозою, ніж деструктивні для Windows виконувані програми або шпигунські аплети.
Що таке вірус-шифрувальник?
Сам по собі код, прописаний в вірусі, що самокопіюється, передбачає шифрування практично всіх даних користувача спеціальними криптографічними алгоритмами, що не зачіпає системні файли операційної системи.
Спочатку логіка впливу вірусу багатьом була зовсім зрозуміла. Все прояснилося тільки тоді, коли хакери, які створювали такі аплети, почали вимагати відновлення початкової структури файлів гроші. При цьому сам прониклий вірус-шифрувальник розшифрувати файли через свої особливості не дозволяє. Для цього потрібний спеціальний дешифратор, якщо хочете, код, пароль або алгоритм, необхідний відновлення шуканого вмісту.
Принцип проникнення в систему та роботи коду вірусу
Як правило, «підчепити» таку гидоту в Інтернеті досить важко. Основним джерелом поширення «зарази» є електронна пошта на рівні інстальованих на конкретному комп'ютерному терміналі програм на кшталт Outlook, Thunderbird, The Bat тощо. до даних користувача можливий хіба що на рівні
Інша справа – додаток на комп'ютерному терміналі. Ось тут для дії вірусів поле настільки широке, що й уявити неможливо. Щоправда, тут теж варто зробити застереження: здебільшого віруси мають на меті великі компанії, з яких можна «здерти» гроші за надання коду розшифровки. Це і зрозуміло, адже не тільки на локальних комп'ютерних терміналах, а й на серверах таких фірм може зберігатися не тільки повністю а й файли, так би мовити, в єдиному екземплярі, що не підлягають знищенню в жодному разі. І тоді розшифрування файлів після вірусу-шифрувальника стає досить проблематичним.
Звичайно, і рядовий користувач може піддатися такій атаці, але в більшості випадків це малоймовірно, якщо дотримуватися найпростіших рекомендацій щодо відкриття вкладень з розширеннями невідомого типу. Навіть якщо поштовий клієнт визначає вкладення з розширенням.jpg як стандартний графічний файл, спочатку його обов'язково потрібно перевірити штатним встановленим у системі.
Якщо цього не зробити, при відкритті подвійним кліком (стандартний метод) запуститься активація коду, і почнеться процес шифрування, після чого той же Breaking_Bad (вірус-шифрувальник) не тільки неможливо видалити, але й файли після усунення загрози відновити не вдасться.
Загальні наслідки проникнення всіх таких вірусів
Як мовилося раніше, більшість вірусів цього типу проникають у систему через електронну пошту. Ну от, припустимо, у велику організацію, на конкретний зареєстрований мейл приходить лист із змістом на кшталт «Ми змінили контракт, скан у вкладенні» або «Вам відправлено накладну з відвантаження товару (копія там)». Природно, співробітник, який нічого не підозрює, відкриває файл і…
Всі файли користувача на рівні офісних документів, мультимедіа, спеціалізованих проектів AutoCAD або ще будь-яких архіважливих даних моментально зашифровуються, причому, якщо комп'ютерний термінал знаходиться в локальній мережі, вірус може передаватися і далі, шифруючи дані на інших машинах (це стає помітним відразу по "гальмування" системи та зависання програм або запущених в даний момент додатків).
Після закінчення процес шифрування сам вірус, мабуть, відсилає своєрідний звіт, після чого компанії може прийти повідомлення про те, що в систему проникла така і така загроза, і що розшифрувати її може тільки така організація. Зазвичай це стосується вірусу [email protected]. Далі йде вимога оплатити послуги з дешифрування з пропозицією надсилання кількох файлів на електронну пошту клієнта, що найчастіше є фіктивною.
Шкода від впливу коду
Якщо хтось ще не зрозумів: розшифровка файлів після вірусу-шифрувальника - процес досить трудомісткий. Навіть якщо не «вестися» на вимоги зловмисників і спробувати задіяти офіційні державні структури по боротьбі з комп'ютерними злочинами та їх запобіганню, зазвичай нічого путнього не виходить.
Якщо видалити всі файли, зробити і навіть скопіювати оригінальні дані зі знімного носія (звісно, якщо така копія є), все одно при активованому вірусі все буде зашифровано заново. Так що особливо тішитися не варто, тим більше що при вставці тієї ж флешки в USB-порт користувач навіть не помітить, як вірус зашифрує дані і на ній. Ось тоді точно проблем не оберешся.
Первінець у сімействі
Тепер звернемо увагу на перший вірус-шифрувальник. Як вилікувати та розшифрувати файли після впливу виконуваного коду, укладеного у вкладенні електронної пошти з пропозицією знайомства, у момент його появи ніхто ще не думав. Усвідомлення масштабів лиха прийшло лише з часом.
Цей вірус мав романтичну назву «I Love You». Нічого не підозрюючи користувач відкривав вкладення в меседжі «елетронки» і отримував абсолютно невідтворювані файли мультимедіа (графіка, відео та аудіо). Тоді, щоправда, такі дії виглядали деструктивнішими (завдання шкоди користувальницьким медіа-бібліотекам), та й грошей за це ніхто не вимагав.
Найновіші модифікації
Як бачимо, еволюція технологій стала досить прибутковою справою, особливо з огляду на те, що багато керівників великих організацій миттєво біжать оплачувати дії по дешифрації, зовсім не думаючи про те, що так можна позбутися і грошей, і інформації.
До речі, не дивіться на всі ці «ліві» пости в Інтернеті, мовляв, "я оплатив/сплатила необхідну суму, мені надіслали код, все відновилося". Нісенітниця! Все це пишуть самі розробники вірусу з метою залучення потенційних, даруйте, «лохів». Адже, за мірками рядового користувача, суми на оплату досить серйозні: від сотні до кількох тисяч чи десятків тисяч євро чи доларів.
Тепер подивимося новітні типи вірусів такого типу, які були зафіксовані відносно недавно. Всі вони практично схожі і відносяться не тільки до категорії шифрувальників, але ще й до групи про здирників. У деяких випадках вони діють коректніше (начебто paycrypt), начебто висилаючи офіційні ділові пропозиції або повідомлення про те, що хтось піклується про безпеку користувача чи організації. Такий вірус-шифрувальник своїм повідомленням легко вводить користувача в оману. Якщо той вдасться хоч до найменшої дії з оплати, все - «розлучення» буде на повну.
Вірус XTBL
Що відносно недавно з'явився можна віднести до класичного варіанту шифрувальника. Як правило, він проникає в систему через повідомлення електронної пошти, що містять вкладення у вигляді файлів, яке є стандартним для скрінсейвера Windows. Система та користувач думають, що все гаразд, і активують перегляд або збереження вкладення.
На жаль, це призводить до сумних наслідків: імена файлів перетворюються на набір символів, а до основного розширення додається ще. xtbl, після чого на адресу пошти надходить повідомлення про можливість дешифрування після оплати зазначеної суми (зазвичай 5 тисяч рублів).
Вірус CBF
Цей тип вірусу теж належить до класики жанру. З'являється він у системі після відкриття вкладень електронної пошти, а потім перейменовує файли користувача, додаючи в кінці розширення на кшталт.nochance або.perfect.
На жаль, розшифровка вірусу-шифрувальника такого типу для аналізу вмісту коду навіть на стадії його появи в системі не представляється можливою, оскільки після завершення своїх дій він здійснює самоліквідацію. Навіть такий, як багато хто вважає, універсальний засіб, як RectorDecryptor, не допомагає. Знову ж таки користувачеві приходить лист із вимогою оплати, на що дається два дні.
Вірус Breaking_Bad
Цей тип загроз працює за тією ж схемою, але перейменовує файли у стандартному варіанті, додаючи до розширення breaking_bad.
Цим ситуація не обмежується. На відміну від попередніх вірусів, цей може створювати ще одне розширення - .Heisenberg, так що знайти всі заражені файли не завжди можна. Отже, Breaking_Bad (вірус-шифрувальник) є досить серйозною загрозою. До речі, відомі випадки, коли навіть ліцензійний пакет Kaspersky Endpoint Security 10 пропускає загрозу цього типу.
Вірус [email protected]
Ось ще одна, мабуть, найсерйозніша загроза, спрямована здебільшого на великі комерційні організації. Як правило, до якогось відділу приходить лист, що містить начебто зміни до договору про постачання, або навіть просто накладна. Вкладення може містити звичайний файл.jpg (типу зображення), але частіше виконується скрипт.js (Java-аплет).
Як розшифрувати вірус-шифрувальник цього типу? Зважаючи на те, що там застосовується якийсь невідомий алгоритм RSA-1024, ніяк. Якщо з назви, можна припустити, що це 1024-битная система шифрування. Але, якщо хтось пам'ятає, сьогодні найдосконалішою вважається 256-бітова AES.
Вірус-шифрувальник: як вилікувати та розшифрувати файли за допомогою антивірусного ПЗ
На сьогоднішній день для розшифровки загроз такого типу рішень поки що не знайдено. Навіть такі метри в галузі антивірусного захисту, як Kaspersky, Dr. Web і Eset не можуть знайти ключ до вирішення проблеми, коли в системі успадкував вірус-шифрувальник. Як вилікувати файли? У більшості випадків пропонується надіслати запит на офіційний сайт розробника антивірусу (до речі, лише за наявності в системі ліцензійного програмного забезпечення цього розробника).
При цьому потрібно прикріпити кілька зашифрованих файлів, а також їх "здорові" оригінали, якщо є. В цілому ж, за великим рахунком, мало хто зберігає копії даних, так що проблема їх відсутності тільки посилює і без того неприємну ситуацію.
Можливі способи ідентифікації та усунення загрози вручну
Так, сканування звичайними антивірусами загрози визначає і навіть видаляє їх із системи. Але що робити з інформацією?
Деякі намагаються використовувати програми-дешифратори на кшталт згаданої вже утиліти RectorDecryptor (RakhniDecryptor). Зазначимо одразу: це не допоможе. А у випадку з вірусом Breaking_Bad так і зовсім може зашкодити. І ось чому.
Справа в тому, що люди, які створюють такі віруси, намагаються убезпечити себе та дати повчання іншим. При використанні утиліт для дешифрування вірус може відреагувати таким чином, що вся система злетить, причому з повним знищенням всіх даних, що зберігаються на жорстких дисках або в логічних розділах. Це, так би мовити, показовий урок для науки всім тим, хто не хоче платити. Залишається сподіватися лише на офіційні антивірусні лабораторії.
Кардинальні методи
Втім, якщо справи зовсім погані, доведеться інформацією пожертвувати. Щоб повністю позбавитися загрози, потрібно відформатувати весь вінчестер, включаючи віртуальні розділи, після чого встановити «операційну систему» заново.
На жаль, іншого виходу нема. Навіть до певної збереженої точки відновлення не допоможе. Вірус може і зникне, але файли так і залишаться зашифрованими.
Замість післямови
Насамкінець варто відзначити, що ситуація така: вірус-шифрувальник проникає в систему, робить свою чорну справу і не лікується ніякими відомими способами. Антивірусні засоби захисту не готові до такого типу загроз. Зрозуміло, що виявити вірус після його впливу або видалити можна. Але зашифрована інформація так і залишиться у непривабливому вигляді. Тож хочеться сподіватися, що найкращі уми компаній-розробників антивірусного програмного забезпечення таки знайдуть рішення, хоча, судячи з алгоритмів шифрування, зробити буде дуже непросто. Згадати хоча б шифрувальну машину Enigma, яка за часів Другої світової війни мала німецький флот. Кращі криптографи було неможливо вирішити проблему алгоритму для дешифрування повідомлень, доки придбали пристрій у руки. Так і справи і тут.
Сучасні технології дозволяють хакерам постійно вдосконалювати способи шахрайства стосовно звичайних користувачів. Як правило, для цих цілей використовується вірусне програмне забезпечення, що проникає на комп'ютер. Особливо небезпечним вважаються віруси-шифрувальники. Загроза полягає в тому, що вірус дуже швидко розповсюджується, зашифровуючи файли (користувач просто не зможе відкрити жоден документ). І якщо досить просто, то значно складніше розшифрувати дані.
Що робити, якщо вірус зашифрував файли на комп'ютері
Піддатися атаці шифрувальника може кожен, не застраховані навіть користувачі, у яких стоїть потужне антивірусне програмне забезпечення. Трояни шифрувальники файлів представлені різним кодом, який може бути не під силу антивірусу. Хакери навіть примудряються атакувати у такий спосіб великі компанії, які не подбали про необхідний захист своєї інформації. Отже, підчепивши в онлайні програму шифрувальник, необхідно вжити ряд заходів.
Головні ознаки зараження - повільна робота комп'ютера та зміна найменувань документів (можна помітити на робочому столі).
- Перезапустіть комп'ютер, щоб перервати шифрування. Під час увімкнення не підтверджуйте запуск невідомих програм.
- Запустіть антивірус, якщо він не зазнав атаки шифрувальника.
- Відновити інформацію в деяких випадках допоможуть тіньові копії. Щоб знайти їх, відкрийте «Властивості» зашифрованого документа. Цей спосіб працює із зашифрованими даними розширення Vault, про який є інформація на порталі.
- Завантажте утиліту останньої версії для боротьби з вірусами-шифрувальниками. Найефективніші пропонує «Лабораторія Касперського».
Віруси-шифрувальники у 2016: приклади
При боротьбі з будь-якою вірусною атакою важливо розуміти, що код часто змінюється, доповнюючись новим захистом від антивірусів. Само собою, програмам захисту потрібен якийсь час, поки розробник не оновить бази. Нами були відібрані найнебезпечніші віруси-шифрувальники останнього часу.
Ishtar Ransomware
Ishtar – шифрувальник, який вимагає у користувача гроші. Вірус був помічений восени 2016 року, заразивши величезну кількість комп'ютерів користувачів з Росії та інших країн. Поширюється за допомогою email-розсилки, в якій йдуть вкладені документи (інсталятори, документи тощо). Заражені шифрувальником Ishtar дані одержують у назві приставку «ISHTAR». У процесі створюється тестовий документ, де зазначено, куди звернутися за отриманням пароля. Зловмисники вимагають за нього від 3000 до 15000 рублів.
Небезпека вірусу Ishtar у тому, що на сьогоднішній день немає дешифратора, який би допоміг користувачам. Компаніям, які займаються створенням антивірусного ПЗ, потрібен час, щоб розшифрувати весь код. Зараз можна лише ізолювати важливу інформацію (якщо особливу важливість) на окремий носій, чекаючи виходу утиліти, здатної розшифрувати документи. Рекомендується повторно інсталювати операційну систему.
Neitrino
Шифрувальник Neitrino з'явився на просторах Мережі у 2015 році. За принципом атаки схожий на інші віруси подібної категорії. Змінює найменування папок та файлів, додаючи "Neitrino" або "Neutrino". Дешифрації вірус піддається важко – беруться за це далеко не всі представники антивірусних компаній, посилаючись на дуже складний код. Деяким користувачам допоможе відновлення тіньової копії. Для цього клацніть правою кнопкою миші зашифрований документ, перейдіть в «Властивості», вкладка «Попередні версії», натисніть «Відновити». Не зайвим буде скористатися і безкоштовна утиліта від «Лабораторії Касперського».
Wallet або .wallet.
З'явився вірус-шифрувальник Wallet наприкінці 2016 року. У процесі зараження змінює найменування даних на "Ім'я.. wallet" або схоже. Як і більшість вірусів-шифрувальників, потрапляє до системи через вкладення в електронних листах, які розсилають зловмисники. Оскільки загроза виникла зовсім недавно, антивірусні програми не помічають його. Після шифрації створюється документ, в якому шахрай вказує пошту для зв'язку. В даний час розробники антивірусного ПЗ працюють над розшифруванням коду вірусу-шифрувальника [email protected]. Користувачам, які зазнали атаки, залишається лише чекати. Якщо важливі дані, рекомендується зберегти на зовнішній накопичувач, очистивши систему.
Enigma
Вірус-шифрувальник Enigma почав заражати комп'ютери російських користувачів наприкінці квітня 2016 року. Використовується модель шифрування AES-RSA, яка сьогодні зустрічається у більшості вірусів-вимагачів. На комп'ютер вірус проникає за допомогою скрипта, який запускає користувач, відкривши файли з підозрілого електронного листа. Досі немає універсального засобу для боротьби із шифрувальником Enigma. Користувачі, які мають ліцензію на антивірус, можуть попросити про допомогу на офіційному сайті розробника. Також було знайдено невелику «лазівку» – Windows UAC. Якщо користувач натисне «Ні» у віконці, що з'являється в процесі зараження вірусом, зможе згодом відновити інформацію за допомогою тіньових копій.
Granit
Новий вірус-шифрувальник Granit з'явився в Мережі восени 2016 року. Зараження відбувається за таким сценарієм: користувач запускає інсталятор, який заражає і шифрує всі дані на ПК, а також підключених накопичувачах. Боротися із вірусом складно. Для видалення можна скористатися спеціальними утилітами Kaspersky, але розшифрувати код ще не вдалося. Можливо допоможе відновлення попередніх версій даних. Крім цього, може розшифрувати фахівець, який має великий досвід, але послуга коштує дорого.
Tyson
Був помічений нещодавно. Є розширенням вже відомого шифрувальника no_more_ransom, про який ви можете дізнатися на нашому сайті. Потрапляє на персональні комп'ютери із електронної пошти. Атаку зазнало багато корпоративних ПК. Вірус створює текстовий документ із інструкцією для розблокування, пропонуючи заплатити викуп. Шифрувальник Tyson з'явився нещодавно, тому ключа для розблокування ще немає. Єдиний спосіб відновити інформацію – повернути попередні версії, якщо вони не зазнали видалення вірусом. Можна, звичайно, ризикнути, перевівши гроші на вказаний зловмисниками рахунок, але немає гарантій, що ви отримаєте пароль.
Spora
На початку 2017 року низка користувачів стала жертвою нового шифрувальника Spora. За принципом роботи він не сильно відрізняється від своїх побратимів, але може похвалитися професійнішим виконанням: краще складено інструкцію з отримання пароля, веб-сайт виглядає красивішим. Створено вірус-шифрувальник Spora на мові С, використовує поєднання RSA та AES для шифрування даних жертви. Атаку зазнали, як правило, комп'ютери, на яких активно використовується бухгалтерська програма 1С. Вірус, ховаючись під виглядом простого рахунку у форматі.pdf, змушує працівників компаній запускати його. Лікування поки що не знайдено.
1C.Drop.1
Цей вірус-шифрувальник для 1С з'явився влітку 2016 року, порушивши роботу багатьох бухгалтерій. Розроблено спеціально для комп'ютерів, на яких використовується програмне забезпечення 1С. Потрапляючи за допомогою файлу в електронному листі до ПК, пропонує власнику оновити програму. Яку кнопку користувач не натиснув, вірус почне шифрування файлів. Над інструментами для розшифровки працюють фахівці «Dr.Web», але поки що рішення не знайдено. Виною тому є складний код, який може бути в декількох модифікаціях. Захистом від 1C.Drop.1 стає лише пильність користувачів та регулярне архівування важливих документів.
da_vinci_code
Новий шифрувальник з незвичайною назвою. З'явився вірус навесні 2016 року. Від попередників відрізняється покращеним кодом та стійким режимом шифрування. da_vinci_code заражає комп'ютер завдяки виконавчому додатку (додається зазвичай до електронного листа), який користувач самостійно запускає. Шифрувальник "да Вінчі" (da vinci code) копіює тіло в системний каталог і реєстр, забезпечуючи автоматичний запуск при включенні Windows. Комп'ютеру кожної жертви надається унікальний ID (допомагає отримати пароль). Розшифрувати дані практично неможливо. Можна сплатити гроші зловмисникам, але ніхто не гарантує отримання пароля.
[email protected] / [email protected]
Дві адреси електронної пошти, якими часто супроводжувалися віруси-шифрувальники у 2016 році. Саме вони служать для зв'язку жертви зі зловмисником. Додавалися адреси до різних видів вірусів: da_vinci_code, no_more_ransom і так далі. Вкрай не рекомендується зв'язуватися, а також переказувати гроші шахраям. Користувачі здебільшого залишаються без паролів. Таким чином, показуючи, що шифрувальники зловмисників працюють, приносячи дохід.
Breaking Bad
З'явився ще на початку 2015 року, але активно поширився лише за рік. Принцип зараження ідентичний іншим шифрувальникам: інсталяція файлу з електронного листа, шифрування даних. Звичайні антивіруси, зазвичай, не помічають вірус Breaking Bad. Деякий код не може обминути Windows UAC, тому користувач має можливість відновити попередні версії документів. Дешифратора поки що не представила жодна компанія, яка розробляє антивірусне ПЗ.
XTBL
Дуже поширений шифрувальник, який завдав неприємностей багатьом користувачам. Потрапивши на ПК, вірус за лічені хвилини змінює розширення файлів на .xtbl. Створюється документ, у якому зловмисник вимагає коштів. Деякі різновиди XTBL не можуть знищити файли для відновлення системи, що дозволяє повернути важливі документи. Сам вірус можна видалити багатьма програмами, але розшифрувати документи дуже складно. Якщо є власником ліцензійного антивірусу, скористайтесь технічною підтримкою, додавши зразки заражених даних.
Kukaracha
Шифрувальник «Кукарача» був помічений у грудні 2016 року. Вірус з цікавою назвою приховує файли користувача за допомогою алгоритму RSA-2048, який відрізняється високою стійкістю. Антивірус Kaspersky позначив його як Trojan-Ransom.Win32.Scatter.lb. Kukaracha може бути видалено з комп'ютера, щоб зараження не зазнали інших документів. Проте заражені на сьогодні практично неможливо розшифрувати (дуже потужний алгоритм).
Як працює вірус-шифрувальник
Існує безліч шифрувальників, але вони працюють за подібним принципом.
- Влучення на персональний комп'ютер. Як правило, завдяки вкладеному файлу до електронного листа. Інсталяцію у своїй ініціює сам користувач, відкривши документ.
- Зараження файлів. Піддаються шифрації майже всі типи файлів (залежить від вірусу). Створюється текстовий документ, у якому вказані контакти зв'язку зі зловмисниками.
- Всі. Користувач не може отримати доступу до жодного документа.
Засоби боротьби від популярних лабораторій
Широке поширення шифрувальників, які визнаються найбільш небезпечними загрозами для даних користувачів, стало поштовхом для багатьох антивірусних лабораторій. Кожна популярна компанія надає своїм користувачам програми, що допомагають боротися із шифрувальниками. Крім того, багато хто з них допомагає з розшифровкою документів захистом системи.
Kaspersky та віруси-шифрувальники
Одна з найвідоміших антивірусних лабораторій Росії та світу пропонує сьогодні найбільш дієві засоби для боротьби з вірусами-вимагачами. Першою перешкодою для вірусу-шифрувальника стане Kaspersky Endpoint Security 10 з останніми оновленнями. Антивірус просто не пропустить на комп'ютер загрозу (щоправда, нові версії може не зупинити). Для розшифровки інформації розробник представляє відразу кілька безкоштовних утиліт: , XoristDecryptor, RakhniDecryptor та Ransomware Decryptor. Вони допомагають шукати вірус і підбирають пароль.
Dr. Web та шифрувальники
Ця лабораторія рекомендує використовувати їхню антивірусну програму, головною особливістю якої стало резервування файлів. Сховище з копіями документів, захищене від несанкціонованого доступу зловмисників. Власникам ліцензійного продукту Dr. Web доступна функція звернення за допомогою на технічну підтримку. Щоправда, і досвідчені фахівці не завжди можуть протистояти цьому типу загроз.
ESET Nod 32 та шифрувальники
Осторонь не залишилася ця компанія, забезпечуючи своїм користувачам непоганий захист від проникнення вірусів на комп'ютер. Крім того, лабораторія нещодавно випустила безкоштовну утиліту з актуальними базами – Eset Crysis Decryptor. Розробники заявляють, що вона допоможе у боротьбі навіть із найновішими шифрувальниками.
Заходи безпеки
Регулятор рекомендує банкам переконатися, що у них оновлено загальносистемне та спеціальне програмне забезпечення, встановлені та оновлені антивіруси. FinCert також рекомендує сегментувати комп'ютерні мережі фінансових установ та перевірити налаштування міжмережевих екранів – вони повинні блокувати з'єднання з нерегламентованими мережевими адресами. Також рекомендується провести резервне копіювання критичних інформаційних систем та баз даних.
Крім того, регулятор радить проінструктувати співробітників банків, щоб вони звертали увагу на підозрілі поштові повідомлення та не відвідували сумнівних сайтів.
Представник ЦБ повідомив «Відомостям», що з березня по серпень 2017 року ЦБ вже шість разів попереджав банки про шифрувальників.
При цьому про небезпеку вірусу-шифрувальника WannaCry банки було попереджено ще у квітні. 12 травня, коли стало відомо про спроби хакерів атакувати низку організацій у всьому світі за допомогою вірусу WannaCry, FinCERT на банки, після чого повторив своє попередження. Назви постраждалих банків у тому повідомленні не розкривалися. Відомо, що вірус намагався, проте, за повідомленням фінансової організації, проникнення хакерів у їхні системи не відбулося.
Від вірусу-шифрувальника Petya російський банківський сектор. "В результаті атак зафіксовані поодинокі випадки зараження", - писав FinCERT. Серед відомих банків, які постраждали від атаки, — «США». Банк повідомив, що дані про клієнтів та операції скомпроментовані не були.
Представники банків, опитані «Відомостями», наголошують, що рекомендації ЦП є регулярними, і у фінансових установах вони виконуються.
Потенційна кібератака
Аналітик центру моніторингу кіберзагроз Solar JSOC Олексій Павлов розповів газеті, що протягом останніх кількох днів організації різних галузей, у тому числі і банки, отримували попередження про можливу активність шифрувальників, хоча даних про підготовку нової атаки хакера у центру моніторингу немає.
Даних про нову атаку немає і в «Лабораторії Касперського», каже керівник групи дослідження та аналізу шахрайства Денис Горчаков. Він припускає, що лист FinCERT пов'язаний із попередженням про загрозу в енергетичному секторі: напередодні, 9 серпня, про те, що найближчим часом може бути проведена нова кібератака, попередили у .
У зв'язку з загрозою атаки хакерів енергокомпанія попросила директорів своїх філій обмежити доступ користувачів корпоративної мережі до інтернету в період з 4 по 14 серпня і також попередити співробітників, щоб вони не відкривали вкладення від невідомих відправників і не переходили за сторонніми посиланнями в електронній пошті.
Центр моніторингу та реагування на комп'ютерні атаки у кредитно-фінансовій сфері (FinCERT) – структура ЦП, яка займається кібербезпекою. Створено у 2015 році за рішенням Ради безпеки Росії. Банки направляють у ЦП відомості про виявлені комп'ютерні атаки (на карткові рахунки, системи дистанційного обслуговування, банківські сайти), після чого фахівці аналізують ці дані, виявляють причини проблем та направляють учасникам ринку та правоохоронним органам результати аналізу.
