โกลอฟนา หุ่นยนต์
15.05.2017 จันทร์ 13:33 น. เวลามอสโกเนื้อร้อง: ปาฟโล พริตูลา
ในช่วงไม่กี่วันที่ผ่านมา การโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดและ "ส่งเสียงดัง" มากที่สุดครั้งหนึ่งได้เกิดขึ้นในรัสเซีย การโจมตีของอาชญากรได้รับการยอมรับจากหลายแผนกและองค์กรที่ใหญ่ที่สุด รวมถึงกระทรวงกิจการภายใน
ไวรัสเข้ารหัสข้อมูลบนคอมพิวเตอร์ของทหารและดึงเงินจำนวนมากออกมาเพื่อให้พวกเขาสามารถทำงานต่อได้ นี่เป็นตัวอย่างที่ชัดเจนว่าไม่มีใครมีประกันสุขภาพ- ผู้กระทำความผิดกำลังใช้ประโยชน์จากวิธีการวิศวกรรมสังคมอย่างแข็งขัน ซึ่งประสิทธิผลไม่ได้ลดลงเลยนับตั้งแต่เวลาของเควิน มิทนิก แฮกเกอร์ชื่อดังแห่งศตวรรษที่ 20
พวกเขาสามารถโทรไปยังหมายเลขโทรศัพท์ของบริษัทเหยื่อภายใต้ชื่อคู่สัญญาที่แท้จริง และหลังจากดาวน์โหลดแล้ว ให้ส่งแผ่นเอกสารแนบเพื่อเก็บไฟล์ที่สูญหาย
แน่นอนว่าเจ้าหน้าที่ตำรวจจะยอมรับเพราะเขาคุยกับผู้จัดการทางโทรศัพท์อย่างชัดเจน
หรือนักบัญชีสามารถถอนแผ่นออกจากบริการปลัดอำเภอหรือจากธนาคารที่ให้บริการแก่บริษัทของตนได้
ไม่มีใครได้รับการประกันและ MBC ประสบปัญหามาระยะหนึ่งแล้ว: เมื่อไม่กี่เดือนที่ผ่านมาแฮกเกอร์ส่งบัญชีปลอมจาก Rostelecom พร้อมไวรัสเข้ารหัสไปยังแผนกบัญชีของ Kazan Line Directorate ของ MBC ซึ่งบล็อกงานของนักบัญชี ระบบไหน
การติดเชื้อ Jerel อาจเป็นไซต์ฟิชชิ่ง เนื่องจากลูกค้าได้รับคำขอที่เป็นการฉ้อโกง และแฟลชไดรฟ์ก็ "ถูกลืมโดยกะทันหัน" จากสำนักงาน
บ่อยกว่านั้น การติดไวรัสเกิดขึ้นผ่านอุปกรณ์มือถือที่มีสปายแวร์ที่ไม่มีการป้องกัน ซึ่งทำให้เข้าถึงทรัพยากรขององค์กรไม่ได้
อีกประการหนึ่งคือชุดเครื่องมือของอาชญากรไซเบอร์มีความครอบคลุมและเข้าถึงได้มากขึ้น
และประการที่สาม ความพยายามอย่างอิสระของเหยื่อที่จะ "รับรหัสผ่าน" จะไม่จบลงด้วยดี และตำรวจก็แทบจะไม่สามารถค้นหาตัวอาชญากรได้ โดยเฉพาะอาชญากร
ก่อนกล่าวสุนทรพจน์.
ไม่ใช่แฮกเกอร์ทุกคนจะใช้เวลาพยายามเปิดเผยรหัสผ่านแก่เหยื่อที่ขโมยเงินของพวกเขา
ทำไมธุรกิจถึงมีปัญหา? ปัญหาหลักในข้อกังวลด้านความปลอดภัยของข้อมูลของธุรกิจขนาดเล็กและขนาดกลางในรัสเซียอยู่ที่ว่าพวกเขาไม่มีเงินจำนวนมากที่จะใช้จ่ายกับบริการรักษาความปลอดภัยข้อมูลเฉพาะทาง และไม่มีระบบไอทีและดาวเทียมให้บริการ ก็จะมีเหตุการณ์หลากหลายรูปแบบมากเกินพอเพื่อต่อสู้กับแรนซัมแวร์ การมีไฟร์วอลล์ โปรแกรมป้องกันไวรัส และนโยบายความปลอดภัยที่กำหนดค่าอย่างเหมาะสมนั้นไม่เพียงพอ
จำเป็นต้องใช้ทรัพยากรที่มีอยู่ทั้งหมด สิ่งแรกที่เจ้าของระบบปฏิบัติการหาได้ เนื่องจากมีราคาไม่แพง (หรือรวมอยู่ในเวอร์ชันระบบปฏิบัติการ) และเข้ากันได้กับซอฟต์แวร์ที่มีประสิทธิภาพ 100%
สิ่งสำคัญคือคอมพิวเตอร์ไคลเอนต์ส่วนใหญ่และเซิร์ฟเวอร์ส่วนใหญ่ทำงานภายใต้ระบบปฏิบัติการ Windows
ไมโครซอฟต์ วินโดวส์
- คุณสมบัติด้านความปลอดภัยทั้งหมด เช่น “Windows Security Manager” และ “Windows Firewall” ตลอดจนการอัปเดตระบบปฏิบัติการล่าสุดและการแลกเปลี่ยนสิทธิ์ของผู้ใช้ จะช่วยให้มั่นใจได้ถึงระดับความปลอดภัยที่เพียงพออย่างสมบูรณ์สำหรับตัวแทนข้ามพรมแดน ki สำหรับความพร้อมใช้งานของ ทักษะพิเศษ
ระบบ Exchange ATP ได้รับการออกแบบมาเพื่อตรวจจับ “การโจมตีแบบซีโรเดย์” เนื่องจากจะเปิดตัวการลงทุนทั้งหมดใน “แซนด์บ็อกซ์” พิเศษ ไม่ปล่อยการโจมตีเหล่านั้นเข้าสู่ระบบปฏิบัติการ และวิเคราะห์พฤติกรรมของพวกเขา
หากคุณไม่ลบสัญญาณการโจมตี การลงทุนนั้นจะได้รับความเคารพอย่างปลอดภัยและผู้ลงทุนสามารถเปิดได้
ไฟล์ที่อาจเสียหายจะถูกส่งไปยังการกักกัน และผู้ดูแลระบบจะได้รับแจ้งเกี่ยวกับไฟล์นั้น
การติดเชื้อ Jerel อาจเป็นไซต์ฟิชชิ่ง เนื่องจากลูกค้าได้รับคำขอที่เป็นการฉ้อโกง และแฟลชไดรฟ์ก็ "ถูกลืมโดยกะทันหัน" จากสำนักงาน
ทันทีที่สัมผัสผ้าปูที่นอนก็สามารถตรวจสอบกลิ่นเหม็นได้
Exchange ATP จะแทนที่ข้อความทั้งหมดด้วยข้อความระดับกลาง
ลูกค้าคลิกลิงค์ในรายการ คลิกข้อความ จากนั้นระบบจะตรวจสอบที่อยู่เพื่อความปลอดภัย
การตรวจสอบใหม่เสร็จสิ้นอย่างรวดเร็วโดยที่ผู้ปฏิบัติงานไม่ได้สังเกตเห็นกระดาษติดใดๆ
ถ้าข้อความถูกส่งไปยังไซต์หรือไฟล์ที่ติดไวรัส การเปลี่ยนไปยังไซต์ใหม่จะถูกบล็อก
วัตถุประสงค์ประการหนึ่งของการโจมตีที่เป็นอันตรายคือข้อมูลของโสเภณี มีเทคโนโลยีมากมายในการขโมยข้อมูลเข้าสู่ระบบและรหัสผ่านจากลูกค้า และมีการป้องกันอย่างมากความหวังเล็กๆ น้อยๆ สำหรับผู้หมุนวนเอง: คุณสามารถบอกกลิ่นเหม็นได้
รหัสผ่านง่ายๆ
สร้างรหัสผ่านเดียวเพื่อเข้าถึงทรัพยากรทั้งหมดและจดลงบนสติ๊กเกอร์ที่ติดอยู่กับจอภาพ คุณสามารถต่อสู้กับสิ่งนี้ได้ด้วยการป้อนข้อมูลของผู้ดูแลระบบและโดยการตั้งรหัสผ่านแบบเป็นโปรแกรม แต่ยังคงไม่มีการรับประกันผลหากบริษัทต้องการความปลอดภัย บริษัทจะมีสิทธิ์การเข้าถึงที่จำกัด และ ตัวอย่างเช่น วิศวกรหรือผู้จัดการฝ่ายขายไม่สามารถเข้าถึงเซิร์ฟเวอร์การบัญชีได้ แต่แฮกเกอร์ก็มีเคล็ดลับอีกอย่างหนึ่ง: พวกเขาสามารถส่งแผ่นข้อมูลจากบัญชีที่ซ่อนอยู่ของเจ้าหน้าที่รักษาความปลอดภัยธรรมดาไปยังบุคคลที่เป็นเป้าหมายซึ่งมีข้อมูลที่จำเป็นทั้งหมด (ข้อมูลทางการเงินหรือความลับทางการค้า)เมื่อเลือกแผ่นงานภายใต้ "เพื่อนร่วมงาน" ผู้รับจะเปิดแท็บและเปิดไฟล์แนบ และโปรแกรมเข้ารหัสจะปฏิเสธการเข้าถึงข้อมูลอันมีค่าของบริษัท ซึ่งบริษัทสามารถจ่ายเงินจำนวนมากเพื่อส่งคืนได้ Shchob ฝังอยู่
บันทึก oblikovy
มิได้เปิดโอกาสให้ผู้กระทำความชั่วได้เข้าไปแทรกแซง
หากมีมาตรการตอบโต้ภัยคุกคามทางไซเบอร์ เกราะและกระสุนปืนก็จะเสียหายเสมอ
และชะตากรรมนี้แสดงให้เห็นว่าบริษัทและอำนาจจำนวนมากยอมจำนนต่ออาชญากรรมไซเบอร์
เพราะคุณไม่รู้ว่าใครเป็นศัตรู ใครเป็นผู้ดูแล และจะคอยจับตาดูการโจมตีจากที่ใด
การโจมตีส่วนใหญ่จะต้องเตรียมพร้อมในขั้นตอนการเตรียมการขั้นสูงด้วยความช่วยเหลือของเทคโนโลยีขั้นสูงล่วงหน้าของ Threat Intelligence
การก้าวนำหน้าอาชญากรไซเบอร์หมายถึงการประหยัดเงิน ข้อมูล และชื่อเสียงของคุณ ไวรัสเข้ารหัสการโจมตีครั้งใหญ่ที่สุดในปี 2560 ดังที่ปรากฏคือการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับไวรัสเข้ารหัสไวรัส
ข้างหลังพวกเขามีแฮกเกอร์ที่ทรงพลัง
มาจำพวกเขาด้วยชื่อกันเถอะ
มรดกจากการโจมตีวอนนาคราย: ซูเปอร์มาร์เก็ตรอสต์, คาร์คิฟ, ยูเครน
ลาซารัส (หรือที่รู้จักกันในชื่อแก๊งมืดโซล) เป็นชื่อของกลุ่มแฮ็กเกอร์ชาวเกาหลี ซึ่งอาจอยู่เบื้องหลังสำนัก 121 ซึ่งเป็นหนึ่งในสาขาของหน่วยข่าวกรองของเจ้าหน้าที่ทั่วไปของ KPA (DPRK) ซึ่งรับรองการดำเนินการทางไซเบอร์ การดำเนินการ.
ในปี 2560 เป้าหมายของแฮกเกอร์ที่สนับสนุนรัฐเปลี่ยนไป - พวกเขาเริ่มก่อวินาศกรรมทางไซเบอร์ในภาคการเงิน
เพื่อขโมยเงินหรือขโมยเงิน อาชญากรพยายามปฏิเสธการเข้าถึง SWIFT และการประมวลผลบัตร
ในท้ายที่สุด BlackEnergy ได้แฮ็กผู้รวมระบบในยูเครนและปฏิเสธการเข้าถึงธนาคารของยูเครน
สองสามเดือนต่อมา การแพร่ระบาดของ WannyCry และ NotPetya ได้เริ่มต้นขึ้น โดยมีกลุ่ม Lazarus และ BlackEnergy ยืนอยู่ด้านหลัง
Tim ไม่น้อยเลย จนกระทั่งต้นปีที่ทีม Group-IB รายงานอย่างเฉียบขาด เราได้รับการสนับสนุนจากการมองโลกในแง่ดีที่คล่องตัว: การโจมตีแบบกำหนดเป้าหมายธนาคารในรัสเซียลดลง 33%
กลุ่มชั่วร้ายทั้งหมดที่โจมตีธนาคารรัสเซียค่อยๆ เปลี่ยนความสนใจไปยังประเทศและภูมิภาคอื่นๆ: สหรัฐอเมริกา ยุโรป ละตินอเมริกา เอเชีย และตะวันออกกลาง
จากข้อมูลของ Group-IB มีการโจมตีธนาคารที่ประสบความสำเร็จอย่างน้อย 50 ครั้งทั่วโลก: ในรัสเซีย, บริเตนใหญ่, เนเธอร์แลนด์, สเปน, โรมาเนีย, เบลารุส, โปแลนด์, เอสโตเนีย, บัลแกเรีย, จอร์เจีย ї, มอลโดวา, คีร์กีซสถาน, เวอร์จิเนีย, ไต้หวันและมาเลเซีย
ตลอดฤดูร้อนและฤดูใบไม้ร่วงพวกเขาโจมตีธนาคารทั่วโลกทดสอบเครื่องมือและแผนงานใหม่ ๆ และในท้ายที่สุดพวกเขาไม่ได้ลดต้นทุน - พวกเขากำลังพยายามแก้ไขร้านขายไปรษณีย์ด้วยโปรแกรมที่ไม่ทำกำไรตรงกลาง .
ข้างหลังพวกเขามีแฮกเกอร์ที่ทรงพลัง
ความไม่มีสาระสำคัญและสคริปต์ที่ไม่รัดกุมเป็นหลักการใหม่ (และปัจจุบันเป็นพื้นฐาน) ในการโจมตี
10 แฮกเกอร์ต้องการสูญเสียโปรแกรมที่ไม่มีเครื่องหมายและเพื่อจุดประสงค์นี้ ปลดโปรแกรมที่ทำงานเฉพาะใน RAM และปรากฏขึ้นหลังจากการติดตั้งใหม่นอกจากนี้ สคริปต์ใน PowerShell, VBS, PHP ยังช่วยรับประกันความคงอยู่ในระบบตลอดจนทำให้ขั้นตอนของการโจมตีเป็นแบบอัตโนมัติ
- นอกจากนี้เรายังทราบด้วยว่าแฮกเกอร์ไม่ได้โจมตีธนาคารโดยตรง แต่โจมตีผ่านพันธมิตรที่เชื่อถือได้ เช่น ผู้รวมระบบ ผู้รับเหมา
- พวกเขาโจมตีไวรัสโคโรนา หากพวกเขาอยู่ที่บ้าน ให้ตรวจสอบกับที่ทำการไปรษณีย์พิเศษ ประกันสังคม
- เพื่อตอบสนองต่อโชคชะตา: MoneyTaker
- ข้อเท็จจริงบางอย่าง
- เกี่ยวกับ MoneyTaker
- เหยื่อของพวกเขาคือธนาคารขนาดเล็ก - ในรัสเซียเป็นธนาคารระดับภูมิภาค ในสหรัฐอเมริกา - ธนาคารชุมชนที่มีระดับการคุ้มครองต่ำ
- แฮกเกอร์เจาะธนาคารแห่งหนึ่งในรัสเซียผ่านคอมพิวเตอร์ที่บ้านของผู้ดูแลระบบ
- ธนาคารแห่งหนึ่งในอเมริกาถูกขโมยไปมากถึงสองแห่ง
- หลังจากทำการโจมตีได้สำเร็จ พวกเขายังคงบังคับให้สายลับส่งธนาคารเพื่อส่งเอกสารการเข้าสู่ระบบเพิ่มเติมไปยังที่อยู่ Yandex และ Mail.ru การจัดกลุ่มนี้เริ่มหายไปหลังการโจมตีพวกเขาพยายามถอนเงินจากธนาคารรัสเซียแห่งหนึ่งผ่านตู้เอทีเอ็ม แต่พวกเขาไม่ได้ดำเนินการ - ธนาคารกลางของรัสเซียได้ถอนใบอนุญาตจากผู้ปกครองเมื่อไม่นานมานี้
พวกเขาโอนเงินผ่านสถานที่ทำงานอัตโนมัติของ CBD
การใช้ประโยชน์จาก NSA และ CIA ได้เริ่มใช้ทรัพยากรอย่างแข็งขันเพื่อดำเนินการโจมตีแบบกำหนดเป้าหมาย
สิ่งเหล่านี้ได้รวมอยู่ในเครื่องมือหลักสำหรับทดสอบการเจาะระบบของแฮ็กเกอร์ที่มีแรงจูงใจทางการเงินและทรงพลังแล้ว
WikiLeaks และห้องนิรภัย7 แม่น้ำ WikiLeaks ทั้งหมดเปิดเผยความลับของ CIA อย่างเป็นระบบ โดยเผยแพร่ข้อมูลเกี่ยวกับเครื่องมือของแฮกเกอร์หน่วยข่าวกรองภายในกรอบของโครงการ Vault 7หนึ่งในนั้นคือ CherryBlossom (“สีเชอร์รี่”) ช่วยให้คุณสามารถบูรณาการความรู้ในท้องถิ่นและกิจกรรมทางอินเทอร์เน็ตของลูกค้าที่เชื่อมต่อกับโดรนโดยไม่ต้องใช้โดรน เราเตอร์ไร้สาย- อุปกรณ์ดังกล่าวได้รับการติดตั้งทุกที่ในบูธ สำนักงาน ร้านอาหาร บาร์ โรงแรม สนามบิน และสถานที่ราชการ
WikiLeaks ได้เปิดเผยเทคโนโลยีของ CIA ที่สอดแนมเพื่อนร่วมงานจาก FBI, กระทรวงการต่างประเทศ และ NSA การจัดการบริการด้านเทคนิค
(OTS) ซีไอเอได้พัฒนาซอฟต์แวร์ ExpressLane เพื่อดึงข้อมูลจากระบบรวบรวมข้อมูลไบโอเมตริกซ์อย่างลับๆ ที่ซีไอเอแบ่งปันกับเพื่อนร่วมงานทั้งหมดในหน่วยข่าวกรองของสหรัฐฯ
กลุ่ม Shadow Brokers ตัดสินใจที่จะเผยแพร่ช่องโหว่ใหม่สำหรับผู้ชำระเงินล่วงหน้า รวมถึงเราเตอร์ เบราว์เซอร์ อุปกรณ์มือถือ ข้อมูลที่ถูกบุกรุกจากบริการธนาคาร และข้อมูล SWIFT นี่เป็นเรื่องเกี่ยวกับโปรแกรมนิวเคลียร์และขีปนาวุธ
Shadow Brokers ที่มีชื่อเสียงได้ยกระดับความสำคัญเป็นอันดับแรกในการชำระล่วงหน้า 100 เหรียญ Zcash (เกือบ 30,000 ดอลลาร์สหรัฐฯ) ไปจนถึง 200 เหรียญ Zcash (เกือบ 60,000 ดอลลาร์สหรัฐฯ)
สถานะของผู้ชำระเงินล่วงหน้าแบบ VIP มีราคา 400 เหรียญ Zcash และช่วยให้คุณสามารถใช้ประโยชน์จากธุรกรรมได้
การโจมตีโครงสร้างพื้นฐานที่สำคัญ
ภาคพลังงานได้กลายเป็นพื้นที่ทดสอบสำหรับการค้นคว้าเกี่ยวกับความปลอดภัยทางไซเบอร์รูปแบบใหม่
กลุ่มที่เป็นอันตราย BlackEnergy ยังคงโจมตีบริษัททางการเงินและพลังงานต่อไป
ปัญหาอาจเกิดขึ้นได้ไม่แพ้กันในยูเครน: การโจมตีระบบพลังงานครั้งใหม่ในภูมิภาคนี้ได้รับการบันทึกไว้ในบริเตนใหญ่และไอร์แลนด์
หุ่นยนต์ไม่มีไฟฟ้าขัดข้อง แม้ว่าตามที่ผู้เชี่ยวชาญกล่าวว่าแฮกเกอร์สามารถขโมยรหัสผ่านไปยังระบบรักษาความปลอดภัยได้
เวลานาน
ธนาคารและลูกค้าของพวกเขาเป็นเป้าหมายหลักของอาชญากรไซเบอร์
แต่ตอนนี้พวกเขามีคู่แข่งที่แข็งแกร่งโดยเฉพาะ ICO และบล็อกเชนสตาร์ทอัพ - ทุกสิ่งที่เกี่ยวข้องกับสกุลเงินดิจิทัลดึงดูดให้แฮกเกอร์เคารพนับถือ
- ICO (การเสนอขายเหรียญเริ่มต้น - ขั้นตอนการวางโทเค็นเริ่มต้น) เป็นความฝันของแฮ็กเกอร์ทุกคน
- โชคดี มักจะเป็นไปได้ที่จะดำเนินการโจมตีบริการ cryptocurrency และ blockchain ที่เพิ่งเริ่มต้นเพื่อนำกำไรหลายล้านดอลลาร์โดยมีความเสี่ยงน้อยที่สุดสำหรับอาชญากร
- จากข้อมูลของ Chainalysis แฮกเกอร์สามารถขโมย 10% ของเงินทุนทั้งหมดที่ลงทุนในโครงการ ICO ในปี 2560 จาก Ethereum
- การเดิมพัน Zagalnye สะสมเงินโดยเฉลี่ย 225 ล้านดอลลาร์ และนักลงทุน 30,000 รายใช้จ่ายโดยเฉลี่ย 7,500 ดอลลาร์
ในกรณีของ Ethereum ปัญหาไม่ได้เกิดขึ้นกับตัวแพลตฟอร์ม แต่เกิดขึ้นกับบริการเข้ารหัสลับ: พวกเขาประสบปัญหากับสัญญาอัจฉริยะที่มีประสิทธิภาพ ความเสียหาย การประนีประนอมบัญชีผู้ดูแลระบบ (Slack, Telegram) ไซต์ฟิชชิ่ง ฯลฯ นี่คือเนื้อหาของ เว็บไซต์ของบริษัทที่จะเข้าร่วมใน ICO
สถานที่เทมากมาย: ไซต์ฟิชชิ่ง - โคลนของแหล่งข้อมูลอย่างเป็นทางการการมีส่วนร่วมของเว็บไซต์ / ส่วนเสริมของเว็บ
การโจมตีผ่านบริษัทรักษาความปลอดภัย
การโจมตีโครงสร้างพื้นฐานด้านไอที
คำแนะนำนี้ไม่ได้มีไว้สำหรับนักบัญชีทางเทคนิค เช่น
- ความหมายของคำศัพท์บางคำได้ถูกทำให้ง่ายขึ้น
- ไม่สามารถมองเห็นรายละเอียดทางเทคนิคได้
- ไม่พิจารณาวิธีการดูแลรักษาระบบ (การติดตั้งการอัพเดต การตั้งค่าระบบความปลอดภัย ฯลฯ)
อภิธานศัพท์
ความปลอดภัยของซอฟต์แวร์(เพิ่มเติม - PZ) - โปรแกรมหรือโปรแกรมไม่มีตัวตนที่สามารถใช้กับคอมพิวเตอร์ได้การเข้ารหัส— นี่คือการแปลงข้อมูลให้อยู่ในรูปแบบภาพที่ไม่สามารถเข้าถึงได้สำหรับการอ่านโดยไม่ต้องใช้คีย์เข้ารหัส
คีย์การเข้ารหัส- นี่เป็นข้อมูลที่เป็นความลับซึ่งจะถูกเปิดเผยเมื่อไฟล์ถูกเข้ารหัส/ถอดรหัส
ตัวถอดรหัส- โปรแกรมที่ใช้อัลกอริธึมการถอดรหัส
อัลกอริทึม- ชุดคำสั่งที่อธิบายลำดับการกระทำของ vicon เพื่อให้ได้ผลลัพธ์ตามที่ต้องการ
ฝากไปรษณีย์- ไฟล์แนบไปกับแผ่นอิเล็กทรอนิกส์
การขยายตัว(นามสกุลไฟล์) - ลำดับอักขระที่เพิ่มในชื่อไฟล์และใช้เพื่อระบุประเภทไฟล์ (เช่น *.doc, *.jpg)
vikoryst มีโปรแกรมสำหรับเปิดขึ้นอยู่กับประเภทของไฟล์ตัวอย่างเช่น หากนามสกุลไฟล์คือ *.doc ดังนั้นหากต้องการเปิด MS Word หากเป็น *.jpg โปรแกรมดูรูปภาพก็จะเริ่มทำงาน เป็นต้น โปซิลันยา(หรือที่เจาะจงกว่านั้นคือไฮเปอร์พาวเวอร์) - ส่วนหนึ่งของหน้าเว็บของเอกสารที่อ้างถึงองค์ประกอบอื่น (คำสั่ง, ข้อความ, ส่วนหัว, บันทึกย่อ, รูปภาพ) ในเอกสารนั้นเองหรือบนวัตถุอื่น (ไฟล์, ไดเร็กทอรี, โปรแกรม) , ขยายเป็น
ดิสก์ภายในเครื่อง — หรือที่ขอบคอมพิวเตอร์ไฟล์ข้อความ
ไฟล์คอมพิวเตอร์จะทำอย่างไรกับข้อมูลข้อความ
การเก็บถาวร- เป็นการบีบอัดเพื่อเปลี่ยนขนาดของไฟล์ สำเนาสำรอง- ไฟล์หรือกลุ่มของไฟล์ที่สร้างขึ้นตามผลลัพธ์
การสำรองข้อมูลข้อมูล.
สำเนาสำรอง- กระบวนการสร้างสำเนาข้อมูลบนอุปกรณ์ (ฮาร์ดดิสก์ ฟล็อปปี้ดิสก์ ฯลฯ) ซึ่งมีจุดประสงค์เพื่ออัปเดตข้อมูลในตำแหน่งเดิมหรือตำแหน่งใหม่ ป้องกันไม่ให้เกิดความเสียหายหรือถูกทำลาย โดเมน(ชื่อโดเมน) - ชื่อที่ช่วยให้คุณเข้าถึงโหนดอินเทอร์เน็ตและไซต์โฮสต์บนนั้น
ทรัพยากรขอบ
(เว็บไซต์ เซิร์ฟเวอร์อีเมล บริการอื่นๆ) ในรูปแบบที่เป็นมิตรต่อมนุษย์(ถัดไป - ตัวเข้ารหัส) - โปรแกรมรักษาความปลอดภัยที่น่ารังเกียจซึ่งเข้ารหัสไฟล์ของลูกค้าและแยกค่าไถ่เพื่อถอดรหัส ไฟล์ประเภทที่ได้รับความนิยมสูงสุดได้รับการเข้ารหัส - เอกสารและสเปรดชีต MS Office (, docx xlsx ), ภาพ (, เจเพ็ก, PNGทิฟ ) ไฟล์วิดีโอ (, เอวี, เอ็มเพกเอ็มเควี ta in) เอกสารในรูปแบบ pdf นั่นรวมถึงไฟล์ฐานข้อมูล - 1C (, ซีดี 1 แผ่นดีบีเอฟ ) สำเนียง (). เอ็มดีเอฟไฟล์ระบบ ตรวจสอบให้แน่ใจว่าโปรแกรมของคุณไม่ได้เข้ารหัสเพื่อรักษาฟังก์ชันการทำงานของ Windows และความสามารถในการติดต่อผู้ให้บริการด้านสุขภาพในบางกรณี ดิสก์ทั้งหมดจะถูกเข้ารหัส หลงใหลใน Windows
มันเป็นไปไม่ได้เลยเหตุใดไวรัสดังกล่าวจึงเป็นอันตราย?
ในกรณีที่สำคัญที่สุด การถอดรหัสแรงผลักดันในตัวเองนั้นเป็นไปไม่ได้ เพราะ
กำลังวิจัยอัลกอริธึมการเข้ารหัสที่ซับซ้อนเป็นพิเศษ
ที่ Dazh ของ vipads ครั้งเดียวไฟล์สามารถ Rosshifruvati, Yakshcho vidbulo ที่ติดไวรัสประเภทเดียวกันได้สำหรับ Yakik Vobrobniki anti -Russian ตัวถอดรหัส Ale มีการรับประกัน vipad คือ 100% 100 %การติดไวรัสส่วนใหญ่เกิดขึ้นหลังจากติดตั้งซอฟต์แวร์ที่เป็นอันตรายหรือหลังจากติดตามข้อความที่ติดไวรัสบนเว็บไซต์หรือในเนื้อหาของชีต
โปรดทราบว่าบ่อยครั้งที่ไวรัสสามารถแพร่กระจายไปยังเครื่องอื่น ๆ ไวรัสใน Windows หรือโปรแกรมที่ติดตั้งได้บ่อยครั้ง การติดเชื้อพีซีทีละเครื่อง
สัญญาณของการติดเชื้อ
- บ่อยครั้งมากหลังจากเรียกใช้ไฟล์ที่เพิ่มลงในชีตแล้ว จะหลีกเลี่ยงกิจกรรมที่มีระดับสูง ฮาร์ดไดรฟ์โปรเซสเซอร์ก็เปิดขึ้นถึง 100% แล้ว
- คอมพิวเตอร์เริ่มจะอารมณ์เสียมาก
- ประมาณหนึ่งชั่วโมงหลังจากไวรัสเริ่มต้น พีซีจะถูกเปิดใช้งานอีกครั้ง (ในกรณีส่วนใหญ่)
- หลังจากการเข้ารหัสใหม่ ไฟล์ข้อความจะเปิดขึ้น ซึ่งจะแจ้งให้คุณทราบว่าไฟล์ของลูกค้าได้รับการเข้ารหัสและระบุข้อมูลการติดต่อ (อีเมล) บางครั้ง แทนที่จะเปิดไฟล์โครงสร้างบังตาที่เป็นช่อง ไฟล์นั้นจะถูกแทนที่ด้วยข้อความจากการเลือกที่เหมาะสมไฟล์ส่วนใหญ่ของไคลเอนต์ (เอกสาร รูปภาพ ฐานข้อมูล) พบพร้อมกับนามสกุลอื่นๆ (เช่น - *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl ฯลฯ) หรือถูกเปลี่ยนชื่อทั้งหมดและไม่มี โปรแกรมเดิม หรือเปลี่ยนนามสกุลได้ตามต้องการ
- มิฉะนั้น ฮาร์ดไดรฟ์ทั้งหมดจะถูกเข้ารหัส ในสึมุวิดเจ็ต Windows
คุณจะไม่สนใจมันและข้อมูลเกี่ยวกับการซื้อของคุณจะปรากฏขึ้นทันทีหลังจากที่คุณเปิดพีซี |
บางครั้งไฟล์ทั้งหมดของผู้จัดการบัญชีจะอยู่ในที่เก็บถาวรเดียวซึ่งเป็นการขโมยรหัสผ่าน
- ซึ่งหมายความว่าผู้โจมตีเจาะเข้าไปในพีซีและเก็บถาวรและลบไฟล์ด้วยตนเอง ดังนั้น เมื่อคุณเปิดไฟล์จากกล่องจดหมาย ไฟล์ของไคลเอนต์จะไม่ถูกเข้ารหัสโดยอัตโนมัติ แต่การติดตั้งจะได้รับพร้อมท์ความปลอดภัยของซอฟต์แวร์ ซึ่งช่วยให้ผู้โจมตีสามารถเชื่อมต่อกับพีซีอย่างลับๆ ผ่านทางอินเทอร์เน็ต
- ตัวอย่างข้อความที่มีคำว่า vimogoyu vikupu
ทำไมถึงกลัวมีการติดเชื้อแล้ว?
ทันทีที่กระบวนการเข้ารหัสเริ่มขึ้นต่อหน้าคุณ (พีซี "บ้า" มาก ไฟล์ข้อความที่เปิดการแจ้งเตือนการเข้ารหัส ไฟล์เริ่มหายไป และสำเนาที่เข้ารหัสเริ่มปรากฏขึ้นแทนที่) ติดตาม
อย่าพยายามเจรจากับอาชญากรอย่างอิสระผ่านผู้ติดต่อของคุณ!
ในกรณีที่เลวร้ายที่สุด จะมีค่าใช้จ่ายสูงมาก แต่ในกรณีที่เลวร้ายที่สุด คุณสามารถจ่ายเงินมากขึ้นสำหรับการถอดรหัสได้
- จะหลีกเลี่ยงการติดเชื้อและลดการปนเปื้อนให้เหลือน้อยที่สุดได้อย่างไร?
- อย่าเปิดใบไม้ที่น่าสงสัย โดยเฉพาะใบไม้ที่มีส่วนแทรก (วิธีสังเกตใบไม้ดังกล่าวแสดงอยู่ด้านล่าง)
- อย่าติดตามข้อความที่น่าสงสัยบนเว็บไซต์หรือในเอกสารด้านบน
- ห้ามใช้หรือติดตั้งโปรแกรมจากอุปกรณ์ที่ไม่น่าเชื่อถือ (ไซต์ที่มีซอฟต์แวร์ที่เป็นอันตราย เครื่องมือติดตามทอร์เรนต์) เริ่มทำงานอีกครั้ง สำเนาสำรองไฟล์สำคัญ - ตัวเลือกที่ดีที่สุดคือบันทึกสำเนาสำรองไว้ในอุปกรณ์อื่นที่ไม่ได้เชื่อมต่อกับพีซี (แฟลชไดรฟ์ดิสก์ภายนอก
, DVD-ROM) หรือที่ khmari (เช่น Yandex.Disk)
บ่อยครั้งที่ไวรัสเข้ารหัสไฟล์เก็บถาวร (zip, rar, 7z) ดังนั้นการบันทึกสำเนาสำรองของพีซีเครื่องเดียวกับที่บันทึกไฟล์เอาต์พุตจึงเป็นเรื่องง่ายจะรู้จักใบไม้ที่ไม่ดีได้อย่างไร?
1. หัวข้อและการเปลี่ยนแปลงเอกสารไม่เกี่ยวข้องกับกิจกรรมทางวิชาชีพของคุณ
ตัวอย่างเช่น ผู้จัดการสำนักงานจำเป็นต้องมีเอกสารเกี่ยวกับการตรวจสอบภาษี เอกสาร หรือประวัติย่อ
2. เอกสารนี้มีข้อมูลที่ไม่เกี่ยวข้องกับประเทศ ภูมิภาค หรือขอบเขตกิจกรรมของบริษัทของเรา ตัวอย่างเช่น คุณสามารถชำระหนี้จากธนาคารที่ลงทะเบียนกับสหพันธรัฐรัสเซียได้ 3. บ่อยครั้งที่แผ่นงานออกแบบที่ไม่ดีคือเครื่องยืนยันแผ่นงานของคุณ
ที่จุดเริ่มต้นของแผ่นงานดังกล่าวจะมีการเพิ่ม "Re:"
ตัวอย่างเช่น "Re: Rakhunok สำหรับการชำระเงิน" แม้ว่าคุณจะรู้แน่นอนว่าพวกเขาไม่ได้บังคับแผ่นงานตามที่อยู่นี้
8. หากแผ่นงานเป็นแผ่นงานที่ดีที่สุดจากคำแนะนำที่คุณต้องการ รูปแบบของแผ่นงานและการรู้หนังสือก็กำลังถูกละเมิด ซึ่งเป็นเหตุผลที่คุณควรระวังเช่นกัน
 |
| ดังนั้น เนื่องจากเป็นการเปลี่ยนแปลงที่ไม่เคยมีมาก่อน ลูกค้าจึงสามารถชำระค่าธรรมเนียมได้ |
ในสถานการณ์เช่นนี้ ควรติดต่อผู้จัดการผ่านช่องทางการสื่อสารอื่น (โทรศัพท์, Skype) จะดีกว่า เนื่องจากเห็นได้ชัดว่าพีซีของคุณถูกแฮ็กหรือติดไวรัส ก้นของแผ่นที่ไม่ดีตามรายงานแรก การเปิดใช้งานไวรัสเข้ารหัสโดยอาชญากรได้ถูกนำไปใช้กับตระกูลไวรัส Petya ที่รู้จักกันอยู่แล้ว และต่อมาได้มีการประกาศในภายหลังว่ามีการพูดคุยเกี่ยวกับฟังก์ชันซอฟต์แวร์ที่มีประโยชน์ตระกูลใหม่ มีเอกลักษณ์เฉพาะตัวที่กำลังถูกทำลายอย่างจริงจัง .
แคสเปอร์สกี้ แลป โดนโจมตี
ไวรัสสายพันธุ์ใหม่
อดีต
“การวิเคราะห์ของผู้เชี่ยวชาญของเราแสดงให้เห็นว่าผู้ที่ตกเป็นเหยื่อมีโอกาสน้อยที่จะได้ไฟล์คืน นักวิจัยจาก Kaspersky Lab วิเคราะห์โค้ดมัลแวร์บางส่วนที่เกี่ยวข้องกับไฟล์เข้ารหัส และค้นพบว่าหลังจากดิสก์เข้ารหัส ผู้สร้างไวรัสจะไม่สามารถถอดรหัสกลับได้อีกต่อไป” มีห้องปฏิบัติการแห่งหนึ่งตามที่ระบุไว้โดยบริษัท เพื่อถอดรหัสตัวระบุเฉพาะที่จำเป็นสำหรับการติดตั้งโทรจันเฉพาะ ในเวอร์ชันก่อนหน้าของตัวเข้ารหัสที่คล้ายกัน Petya/Mischa/GoldenEye ตัวระบุการติดตั้งจะมีข้อมูลที่จำเป็นสำหรับการถอดรหัสกล่อง ExPetr ไม่มีตัวระบุนี้
ซึ่งหมายความว่าผู้สร้างมัลแวร์ไม่สามารถขโมยข้อมูลที่จำเป็นในการถอดรหัสไฟล์ได้
จากข้อมูลของบริษัทแอนติไวรัส ESET การโจมตีดังกล่าวเริ่มต้นขึ้นในยูเครน ซึ่งได้รับผลกระทบมากที่สุด
จากการจัดอันดับบริษัทในประเทศที่ได้รับผลกระทบจากไวรัส อิตาลีอยู่ในอันดับที่สองรองจากยูเครน และอิสราเอลอยู่ในอันดับที่สาม เซอร์เบีย, อูกอร์ชจีนา, รูมูเนีย, โปแลนด์, อาร์เจนตินา, สาธารณรัฐเช็ก และเยอรมนี ก็ก้าวเข้าสู่สิบอันดับแรกเช่นกันรัสเซียอยู่ในรายชื่อเมืองที่ 14 นี้
นอกจากนี้บริษัท Avast ก็ได้รับเช่นเดียวกัน
ระบบปฏิบัติการ
ได้รับผลกระทบจากไวรัสมากที่สุด
ในตอนแรก Windows 7 ปรากฏขึ้น – 78% ของคอมพิวเตอร์ที่ติดไวรัสทั้งหมด ติดตามกันต่อไป. Windows XP (18%), Windows 10 (6%) และ Windows 8.1 (2%) ดังนั้น WannaCry จึงไม่ประสบความสำเร็จเลยในโลกนี้ - คอมพิวเตอร์ไม่ได้รับการปกป้อง ระบบไม่ได้รับการอัพเดต และความพยายามของ Microsoft ในการปล่อยแพตช์สำหรับระบบที่ล้าสมัยก็สูญเปล่า มันยังคงดำเนินต่อไปในแนวทางที่กดดันผ่าน Merezha ทำให้คอมพิวเตอร์ติดไวรัสและเข้ารหัสข้อมูลสำคัญวิธีป้องกันตัวเองจากตัวเข้ารหัส, วิธีป้องกัน Windows จากที่ปัดน้ำฝน - มีแพทช์และแพทช์อะไรบ้างที่เผยแพร่เพื่อถอดรหัสและปิดการใช้งานไฟล์? ไวรัสเข้ารหัสใหม่ 2017อยากร้องไห้
ยังคงแพร่ระบาดไปยังพีซีขององค์กรและส่วนตัวคุณ มูลค่าการโจมตีของไวรัสอยู่ที่ 1 พันล้านดอลลาร์ - ในช่วง 2 ปีที่ผ่านมาไวรัสเข้ารหัสมีการติดเชื้อน้อยที่สุดคอมพิวเตอร์ 300,000 เครื่องไม่สำคัญก็เข้ามาอย่างไร้กังวล ไวรัสเข้ารหัส 2017 มันคืออะไร- ตามกฎแล้ว คุณสามารถ "สมัครสมาชิก" ได้ ซึ่งดูเหมือนในเว็บไซต์ที่ทันสมัยที่สุดบางแห่ง เช่น เซิร์ฟเวอร์ธนาคารที่สามารถเข้าถึงบัญชีธนาคารได้ ใช้จ่ายไปแล้วฮาร์ดไดรฟ์ เหยื่อ เครื่องมือเข้ารหัสจะ “ชำระ” ในโฟลเดอร์ระบบ System32- โปรแกรมจะเปิดโปรแกรมป้องกันไวรัสทันทีและ ไปที่ "เริ่มอัตโนมัติ"- หลังจากการติดเชื้อซ้ำที่ผิวหนัง โปรแกรมเข้ารหัส
เริ่มต้นขึ้นที่ Registry เริ่มต้นสีดำของคุณทางด้านขวา ตัวเข้ารหัสเริ่มดึงดูดสำเนาของโปรแกรมที่คล้ายกันเช่น Ransom และ Trojan - ก็มักจะเกิดขึ้นเช่นกันการจำลองตัวเองของตัวเข้ารหัส - กระบวนการนี้อาจเกิดขึ้นชั่วคราวหรืออาจดำเนินต่อไปหลายปี จนกว่าเหยื่อจะสังเกตเห็นว่าเป็นเรื่องยากเครื่องมือเข้ารหัสมักปลอมแปลงเป็นรูปภาพต้นฉบับ ไฟล์ข้อความ, สาระสำคัญของเบียร์ยังคงเหมือนเดิมเสมอ - นี่คือไฟล์ที่มีนามสกุล .exe, .drv, .xvd- ไอโหนด – library.dll.
- ไฟล์ส่วนใหญ่มักมีชื่อที่ไร้เดียงสา เช่น “ .NO_MORE_RANSOM, .xdataและอื่น ๆ
ไวรัสเข้ารหัส 2017 Wanna Cry - ทำอย่างไรจึงจะโดนจับได้- ฉันอยากจะชี้ให้เห็นว่า Wanna Cry เป็นคำเรียกรวมสำหรับไวรัสเข้ารหัสและแฮกเกอร์ที่ยังคงแพร่ระบาดในคอมพิวเตอร์บ่อยที่สุด Ozhe, mova pіde pro s.
ป้องกันจากเครื่องมือเข้ารหัส Ransom Ware เช่น Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry – วิธีขโมย Windows จากการเข้ารหัส.
EternalBlue ผ่านโปรโตคอลพอร์ต SMB
- การป้องกัน Windows จากการเข้ารหัส 2017 – กฎพื้นฐาน:
- การอัปเดต Windows, การเปลี่ยนไปใช้ระบบปฏิบัติการที่ได้รับลิขสิทธิ์ในปัจจุบัน (หมายเหตุ: เวอร์ชัน XP จะไม่ได้รับการอัพเดต) การปรับปรุงใหม่ฐานข้อมูลต่อต้านไวรัส
- และไฟร์วอลล์ให้มากที่สุด
- มีการจำกัดความเคารพต่อไฟล์ใดๆ ที่ได้รับความไว้วางใจ (การวัดแบบ “cats” อาจส่งผลให้ข้อมูลทั้งหมดสูญหายได้) สำเนาสำรองข้อมูลสำคัญ
บนจมูกสีเข้ม
ไวรัสเข้ารหัส 2017: วิธีสร้างความเสียหายและถอดรหัสไฟล์ด้วยการอาศัยซอฟต์แวร์ป้องกันไวรัส คุณสามารถลืมเกี่ยวกับตัวถอดรหัสได้เป็นเวลาหนึ่งชั่วโมง - ในห้องปฏิบัติการแคสเปอร์สกี้, ดร. เว็บ, อวาสต์!และแอนตี้ไวรัสอื่นๆ ในตอนนี้ ไม่พบวิธีแก้ปัญหาในการล้างไฟล์ที่ติดไวรัส- บน
ช่วงเวลาแห่งเดนมาร์กเป็นไปได้ที่จะตรวจจับไวรัสโดยใช้โปรแกรมป้องกันไวรัสเพิ่มเติม แต่ยังไม่มีอัลกอริทึมที่จะทำให้ทุกอย่างกลับสู่ปกติ กิจกรรมสามารถใช้เพื่อสร้างตัวถอดรหัสโดยใช้ประเภทยูทิลิตี้ RectorDecryptorแต่ฉันช่วยคุณไม่ได้:
อัลกอริธึมในการถอดรหัสไวรัสใหม่ยังไม่เสร็จสมบูรณ์ - ยังไม่ทราบแน่ชัดว่าไวรัสจะมีพฤติกรรมอย่างไร เนื่องจากจะไม่เห็นอีกหลังจากหยุดโปรแกรมดังกล่าวบ่อยครั้งอาจส่งผลให้มีการลบไฟล์ทั้งหมด - สำหรับผู้ที่ไม่ต้องการจ่ายเงินให้กับผู้กระทำความผิดซึ่งเป็นผู้เขียนไวรัส สักพักตัวเราเองอย่างมีประสิทธิภาพ
ส่วยที่ใช้ไปถูกหันกลับ - เงินทั้งหมดถูกใช้ไปจนถึงตอนนี้การสนับสนุนทางไปรษณีย์
