Безопасность

Про обновление Windows от вируса-шифровальщика WannaCry. Вирус-шифровальщик WannaCry: что делать

13.07.2019
Про обновление Windows от вируса-шифровальщика WannaCry. Вирус-шифровальщик WannaCry: что делать

Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.

Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010 , чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру , Газета.ру , РБК .

Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать и .

Эта уязвимость относится к классу Remote code execution , что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ - локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.

Меры безопасности

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

  1. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете , а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости - 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать .
  2. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана , она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
  3. В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation. Специально для компаний, не имеющих данной подписки, мы предлагаем быстро оформить её в триальный период 30 дней. Для того чтобы запросить ключ активирующий полнофункциональную подписку для вашего шлюза Check Point - напишите на почту [email protected] Подробнее про системы эмуляции файлов вы можете прочитать , и .
Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:

Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry .

Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.

Риск действительно большой!

UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.

Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
Мы затронем следующие вопросы:

  • Атака #WannaCry
  • Масштаб и текущее состояние
  • Особенности
  • Факторы массовости
Рекомендации по безопасности

Как быть на шаг впереди и спать спокойно

  • IPS + AM
  • SandBlast: Threat Emulation и Threat Extraction
  • SandBlast Agent: Anti-Ransomware
  • SandBlast Agent: Forensics
  • SandBlast Agent: Anti-Bot
Зарегистрировать можно, ответив на это письмо, либо пройдя по ссылке на регистрацию

В течение десятилетий киберпреступники успешно использовали недостатки и уязвимости во Всемирной паутине. Однако в последние годы было отмечено явное увеличение числа атак, а также рост их уровня - злоумышленники становятся более опасными, а вредоносные программы распространяются такими темпами, которых раньше никогда не видели.

Введение

Речь пойдет о программах-вымогателях, которые совершили немыслимый скачок в 2017 году, нанеся ущерб тысячам организаций по всему миру. Например, в Австралии атаки таких вымогателей, как WannaCry и NotPetya даже вызвали озабоченность на правительственном уровне.

Подытоживая «успехи» вредоносов-вымогателей в этом году, мы рассмотрим 10 самых опасных, нанесших наибольший ущерб организациям. Будем надеяться, что в следующем году мы извлечем уроки и не допустим проникновения в наши сети подобной проблемы.

NotPetya

Атака этого вымогателя началась с украинской программы бухгалтерской отчетности M.E.Doc, сменившей запрещенную на Украине 1C. Всего за несколько дней NotPetya заразил сотни тысяч компьютеров в более чем 100 странах. Этот вредонос представляет собой вариант более старого вымогателя Petya, их отличает лишь то, что в атаках NotPetya использовался тот же эксплойт, что и в атаках WannaCry.

По мере распространения, NotPetya затронул несколько организаций в Австралии, например, шоколадную фабрику Cadbury в Тасмании, которым пришлось временно закрыть всю свою ИТ-систему. Также этому вымогателю удалось проникнуть на крупнейший в мире контейнерный корабль, принадлежащий компании Maersk, который, как сообщается, потерял до 300 миллионов долларов дохода.

WannaCry

Этот страшный по своим масштабам вымогатель практически захватил весь мир. В его атаках использовался печально известный эксплойт EternalBlue, эксплуатирующий уязвимость в протоколе Microsoft Server Message Block (SMB).

WannaCry заразил жертв в 150 странах и более 200 000 машин только в первый день. Нами было опубликовано этого нашумевшего вредоноса.

Locky

Locky был самым популярным вымогателем в 2016 году, однако не прекратил действовать и в 2017. Новые варианты Locky, получившие имена Diablo и Lukitus, возникли в этом году, используя тот же вектор атаки (фишинг) для задействования эксплойтов.

Именно Locky стоял за скандалом, связанным с email-мошенничеством на Почте Австралии. Согласно Австралийской комиссии по вопросам конкуренции и защиты потребителей, граждане потеряли более 80 000 долларов из-за этой аферы.

CrySis

Этот экземпляр отличился мастерским использованием протокола удаленного рабочего стола (Remote Desktop Protocol, RDP). RDP является одним из наиболее популярных способов распространения вымогателей, поскольку таким образом киберпреступники могут компрометировать машины, контролирующие целые организации.

Жертвы CrySis были вынуждены заплатить от $455 до $1022 за восстановление своих файлов.

Nemucod

Nemucod распространяется с помощью фишингового письма, которое выглядит как счет-фактура на транспортные услуги. Этот вымогатель загружает вредоносные файлы, хранящиеся на взломанных веб-сайтах.

По использованию фишинговых писем Nemucod уступает только Locky.

Jaff

Jaff похож на Locky и использует похожие методы. Этот вымогатель не примечателен оригинальными методами распространения или шифровки файлов, а наоборот - сочетает в себе наиболее успешные практики.

Стоящие за ним злоумышленники требовали до $3 700 за доступ к зашифрованным файлам.

Spora

Для распространения этой разновидности программы-вымогателя киберпреступники взламывают легитимные сайты, добавляя на них код JavaScript. Пользователям, попавшим на такой сайт, будет отображено всплывающее предупреждение, предлагающее обновить браузер Chrome, чтобы продолжить просмотр сайта. После загрузки так называемого Chrome Font Pack пользователи заражались Spora.

Cerber

Один из многочисленных векторов атаки, которые использует Cerber, называется RaaS (Ransomware-as-a-Service). По этой схеме злоумышленники предлагают платить за распространение троянца, обещая за это процент от полученных денег. Благодаря этой «услуге» киберпреступники рассылают вымогатель, а затем предоставляют другим злоумышленникам инструменты для распространения.

Cryptomix

Это один из немногих вымогателей, у которых нет определенного типа платежного портала, доступного в пределах дарквеба. Пострадавшие пользователи должны дождаться, когда киберпреступники отправят им по электронной почте инструкции.

Жертвами Cryptomix оказались пользователи из 29 стран, они были вынуждены заплатить до $3 000.

Jigsaw

Еще один вредонос из списка, начавший свою деятельность в 2016 году. Jigsaw вставляет изображение клоуна из серии фильмов «Пила» в электронные спам-письма. Как только пользователь нажимает на изображение, вымогатель не только шифрует, но и удаляет файлы в случае, если пользователь слишком затягивает с оплатой выкупа, размер которого - $150.

Выводы

Как мы видим, современные угрозы используют все более изощренные эксплойты против хорошо защищенных сетей. Несмотря на то, что повышенная осведомленность среди сотрудников помогает справиться с последствиями заражений, предприятиям необходимо выйти за рамки базовых стандартов кибербезопасности, чтобы защитить себя. Для защиты от современных угроз необходимы проактивные подходы, использующие возможности анализа в режиме реального времени, основанного на механизме обучения, который включает понимание поведения и контекста угроз.

Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.

Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать .

Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.

Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.

Что делать, если вы стали жертвой WannaCry?

Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:

  • Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
  • Поменяйте драйвера.
  • Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
  • Обновите операционную систему и все остальное ПО.
  • Обновите и запустите антивирусник.
  • Повторно подключитесь к сети.
  • Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.

Важно!

Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.

Стоит ли платить деньги злоумышленникам?

Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус . Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.

Но NCA настойчиво призывает не платить деньги . Если же вы все-таки решитесь это сделать, то имейте в виду следующее:

  • Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
  • Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
  • В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.

Как защититься от WannaCry?

Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:

Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось, либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.

У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.

Что именно можно и необходимо предпринять на данный момент:

1. Установить последние обновления.

Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать .

2. Сделать резервные копии важной информации.

3. Быть внимательными при работе с почтой и сетью интернет.

Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.

15.05.2017, ПН, 13:33, Мск, Текст: Павел Притула

На днях в России произошла одна из самых крупных и «шумных», судя по прессе, кибератак: нападению злоумышленников подверглись сети нескольких ведомств и крупнейших организаций, включая МВД. Вирус шифровал данные на компьютерах сотрудников и вымогал крупную сумму денег за то, чтобы они могли продолжить свою работу. Это наглядный пример того, что никто не застрахован от вымогателей. Тем не менее, с этой угрозой можно бороться – мы покажем несколько способов, которые предлагает Microsoft.

Что мы знаем о вымогателях? Вроде бы это преступники, которые требуют от вас деньги или вещи под угрозой наступления неблагоприятных последствий. В бизнесе такое время от времени случается, все примерно представляют, как нужно поступать в таких ситуациях. Но что делать, если вирус-вымогатель поселился на ваших рабочих компьютерах, блокирует доступ к вашим данным и требует перевести деньги определенным лицам в обмен на код разблокировки? Нужно обращаться к специалистам по информационной безопасности. И лучше всего сделать это заранее, чтобы не допустить проблем.

Число киберпреступлений в последние годы выросло на порядок. По данным исследования SentinelOne, половина компаний в крупнейших европейских странах подверглась атакам вирусов-вымогателей, причем более 80% из них стали жертвами три и более раз. Аналогичная картина наблюдается по всему миру. Специализирующаяся на информационной безопасности компания Clearswift называет своеобразный «топ» стран, более всего пострадавших от ransomware – программ-вымогателей: США, Россия, Германия, Япония, Великобритания и Италия. Особый интерес злоумышленников вызывают малый и средний бизнес, потому что у них больше денег и более чувствительные данные, чем у частных лиц, и нет мощных служб безопасности, как у крупных компаний.

Что делать и, главное, как предотвратить атаку вымогателей? Для начала оценим саму угрозу. Атака может проводиться несколькими путями. Один из самых распространенных – электронная почта. Преступники активно пользуются методами социальной инженерии, эффективность которой нисколько не снизилась со времен знаменитого хакера ХХ века Кевина Митника. Они могут позвонить сотруднику компании-жертвы от имени реально существующего контрагента и после беседы направить письмо с вложением, содержащим вредоносный файл. Сотрудник, конечно же, его откроет, потому что он только что говорил с отправителем по телефону. Или бухгалтер может получить письмо якобы от службы судебных приставов или от банка, в котором обслуживается его компания. Не застрахован никто, и даже МВД страдает не в первый раз: несколько месяцев назад хакеры прислали в бухгалтерию Казанского линейного управления МВД фальшивый счет от «Ростелекома» с вирусом-шифровальщиком, который заблокировал работу бухгалтерской системы.

Источником заражения может стать и фишинговый сайт, на который пользователь зашел по обманной ссылке, и «случайно забытая» кем-то из посетителей офиса флешка. Все чаще и чаще заражение происходит через незащищенные мобильные устройства сотрудников, с которых они получают доступ к корпоративным ресурсам. А антивирус может и не сработать: известны сотни вредоносных программ, обходящих антивирусы, не говоря уже об «атаках нулевого дня», эксплуатирующих только что открытые «дыры» в программном обеспечении.

Что представляет собой «кибервымогатель»?

Программа, известная как «вымогатель», «шифровальщик», ransomware блокирует доступ пользователя к операционной системе и обычно шифрует все данные на жестком диске. На экран выводится сообщение о том, что компьютер заблокирован и владелец обязан передать злоумышленнику крупную сумму денег, если хочет вернуть себе контроль над данными. Чаще всего на экране включается обратный отсчет за 2-3 суток, чтобы пользователь поспешил, иначе содержимое диска будет уничтожено. В зависимости от аппетитов преступников и размеров компании суммы выкупа в России составляют от нескольких десятков до нескольких сотен тысяч рублей.

Типы вымогателей

Источник: Microsoft, 2017

Эти зловреды известны уже много лет, но в последние два-три года они переживают настоящий расцвет. Почему? Во-первых, потому, что люди платят злоумышленникам. По данным «Лаборатории Касперского», 15% российских компаний, атакованных таким образом, предпочитают заплатить выкуп, а 2/3 компаний в мире, подвергшихся такой атаке, потеряли свои корпоративные данные полностью или частично.

Второе – инструментарий киберпреступников стал более совершенным и доступным. И третье – самостоятельные попытки жертвы «подобрать пароль» ничем хорошим не заканчиваются, а полиция редко может найти преступников, особенно за время обратного отсчета.

Кстати. Далеко не все хакеры тратят свое время на то, чтобы сообщить пароль жертве, перечислившей им требуемую сумму.

В чем проблема бизнеса

Главная проблема в области информационной безопасности у малого и среднего бизнеса в России состоит в том, что денег на мощные специализированные средства ИБ у них нет, а ИТ-систем и сотрудников, с которыми могут происходить разного рода инциденты, более, чем достаточно. Для борьбы с ransomwareнедостаточно иметь только настроенные фаервол, антивирус и политики безопасности. Нужно использовать все доступные средства, в первую очередь предоставляемые поставщиком операционной системы, потому что это недорого (или входит в стоимость ОС) и на 100% совместимо с его собственным ПО.

Подавляющее большинство клиентских компьютеров и значительная часть серверов работают под управлением ОС Microsoft Windows. Всем известны встроенные средства безопасности, такие, как «Защитник Windows» и «Брандмауэр Windows», которые вместе со свежими обновлениями ОС и ограничением прав пользователя обеспечивают вполне достаточный для рядового сотрудника уровень безопасности при отсутствии специализированных средств.

Но особенность взаимоотношений бизнеса и киберпреступников заключается в том, что первые часто не знают о том, что они атакованы вторыми. Они полагают себя защищенными, а на самом деле зловреды уже проникли через периметр сети и тихо делают свою работу – ведь не все из них ведут себя так нагло, как трояны-вымогатели.

Microsoft изменила подход к обеспечению безопасности: теперь она расширила линейку продуктов ИБ, а также делает акцент не только на том, чтобы максимально обезопасить компании от современных атак, но и на том, чтобы дать возможность расследовать их, если заражение все же произошло.

Защита почты

Почтовую систему как главный канал проникновения угроз в корпоративную сеть необходимо защитить дополнительно. Для этого Microsoft разработала систему Exchange ATP (Advanced Treat Protection), которая анализирует почтовые вложения или интернет-ссылки и своевременно реагирует на выявленные атаки. Это отдельный продукт, он интегрируется в Microsoft Exchange и не требует развертывания на каждой клиентской машине.

Система Exchange ATP способна обнаруживать даже «атаки нулевого дня», потому что запускает все вложения в специальной «песочнице», не выпуская их в операционную систему, и анализирует их поведение. Если оно не содержит признаков атаки, то вложение считается безопасным и пользователь может его открыть. А потенциально вредоносный файл отправляется в карантин и о нем оповещается администратор.

Что касается ссылок в письмах, то они тоже проверяются. Exchange ATP подменяет все ссылки на промежуточные. Пользователь кликает по линку в письме, попадает на промежуточную ссылку, и в этот момент система проверяет адрес на безопасность. Проверка происходит так быстро, что пользователь не замечает задержки. Если ссылка ведет на зараженный сайт или файл, переход по ней запрещается.

Как работает Exchange ATP

Источник: Microsoft, 2017

Почему проверка происходит в момент клика, а не при получении письма – ведь тогда на исследование есть больше времени и, следовательно, потребуются меньшие вычислительные мощности? Это сделано специально для защиты от трюка злоумышленников с подменой содержимого по ссылке. Типичный пример: письмо в почтовый ящик приходит ночью, система проводит проверку и ничего не обнаруживает, а к утру на сайте по этой ссылке уже размещен, например, файл с трояном, который пользователь благополучно скачивает.

И третья часть сервиса Exchange ATP – встроенная система отчетности. Она позволяет проводить расследования произошедших инцидентов и дает данные для ответов на вопросы: когда произошло заражение, как и где оно произошло. Это позволяет найти источник, определить ущерб и понять, что это было: случайное попадание или целенаправленная, таргетированная атака против этой компании.

Полезна эта система и для профилактики. Например, администратор может поднять статистику, сколько было переходов по ссылкам, помеченным как опасные, и кто из пользователей это делал. Даже если не произошло заражения, все равно с этими сотрудниками нужно провести разъяснительную работу.

Правда, есть категории сотрудников, которых должностные обязанности заставляют посещать самые разные сайты – таковы, например, маркетологи, исследующие рынок. Для них технологии Microsoft позволяют настроить политику так, что любые скачиваемые файлы перед сохранением на компьютере будут проверяться в «песочнице». Причем правила задаются буквально в несколько кликов.

Защита учетных данных

Одна из целей атак злоумышленников – учетные данные пользователей. Технологии краж логинов и паролей пользователей достаточно много, и им должна противостоять прочная защита. Надежд на самих сотрудников мало: они придумывают простые пароли, применяют один пароль для доступа на все ресурсы и записывают их на стикере, который приклеивают на монитор. С этим можно бороться административными мерами и задавая программно требования к паролям, но гарантированного эффекта все равно не будет.

Если в компании заботятся о безопасности, в ней разграничиваются права доступа, и, например, инженер или менеджер по продажам не может зайти на бухгалтерский сервер. Но в запасе у хакеров есть еще один трюк: они могут отправить с захваченного аккаунта рядового сотрудника письмо целевому специалисту, который владеет нужной информацией (финансовыми данными или коммерческой тайной). Получив письмо от «коллеги», адресат стопроцентно его откроет и запустит вложение. И программа-шифровальщик получит доступ к ценным для компании данным, за возврат которых компания может заплатить большие деньги.

Чтобы захваченная учетная запись не давала злоумышленникам возможности проникнуть в корпоративную систему, Microsoft предлагает защитить ее средствами многофакторной аутентификации Azure Multifactor Authentication. То есть для входа нужно ввести не только пару логин/пароль, но и ПИН-код, присланный в СМС, Push-уведомлении, сгенерированный мобильным приложением, или ответить роботу на телефонный звонок. Особенно полезна многофакторная аутентификация при работе с удаленными сотрудниками, которые могут заходить в корпоративную систему из разных точек мира.

Azure Multifactor Authentication

Эта инструкция не предназначена для технических специалистов, поэтому:

  1. определения некоторых терминов упрощены;
  2. не рассматриваются технические подробности;
  3. не рассматриваются методы защиты системы (установка обновлений, настройка систем безопасности и т.д.).
Инструкция написана мною в помощь сисадминам, желающим провести обучение работников компании, далёких от сферы IT (бухгалтерия, кадры, продажники и т.д), основам кибергигиены.

Глоссарий

Программное обеспечение (далее — ПО) — программа или множество программ, используемых для управления компьютером.

Шифрование — это преобразование данных в вид, недоступный для чтения без ключа шифрования.

Ключ шифрования — это секретная информация, используемая при шифровании/расшифровке файлов.

Дешифратор — программа, реализующая алгоритм расшифровывания.

Алгоритм — набор инструкций, описывающих порядок действий исполнителя для достижения некоторого результата.

Почтовое вложение — файл, прикреплённый к электронному письму.

Расширение (расширение имени файла) — последовательность символов, добавляемых к имени файла и предназначенных для идентификации типа файла (например, *.doc, *.jpg). В соответствии с типом файлов, будет использоваться определённая программа, чтобы их открыть. Например, если у файла расширение *.doc, то для его открытия запустится MS Word, если *.jpg, то запуститься просмотрщик изображений и т.д.

Ссылка (или, точнее, гиперссылка) — часть веб-страницы документа, ссылающаяся на другой элемент (команда, текст, заголовок, примечание, изображение) в самом документе или на другой объект (файл, каталог, приложение), расположенный на локальном диске или в компьютерной сети.

Текстовый файл — компьютерный файл, содержащий текстовые данные.

Архивация — это сжатие, то есть уменьшение размера файла.

Резервная копия — файл или группа файлов, созданных в результате резервного копирования информации.

Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте хранения в случае их повреждения или разрушения.

Домен (доменное имя) — имя, дающее возможность обращаться к интернет-узлам и расположенным на них сетевым ресурсам (веб-сайтам, серверам электронной почты, другим службам) в удобной для человека форме. Например, вместо 172.217.18.131 вводят google.com.ua, где ua, com, google – это домены разных уровней.


Что это такое — вирус-шифровальщик?

Вирус-шифровальщик (далее — шифровальщик) — вредоносное программное обеспечение, шифрующее файлы пользователя и требующее выкуп за расшифровку. Чаще всего шифруются популярные типы файлов — документы и таблицы MS Office (docx , xlsx ), изображения (jpeg , png , tif ), видеофайлы (avi , mpeg , mkv и др.), документы в формате pdf и др., а также файлы баз данных — 1С (1CD , dbf ), Акцент (mdf ). Системные файлы и программы обычно не шифруются, чтобы сохранить работоспособность Windows и дать пользователю возможность связаться с вымогателем. В редких случаях шифруется диск целиком, загрузка Windows в этом случае невозможна.

В чём опасность таких вирусов?

В подавляющем большинстве случаев расшифровка собственными силами НЕВОЗМОЖНА, т.к. используются чрезвычайно сложные алгоритмы шифрования. В очень редких случаях файлы можно расшифровать, если произошло заражение уже известным типом вируса, для которого производители антивирусов выпустили дешифратор, но даже в этом случае не гарантируется восстановление информации на 100%. Иногда вирус имеет изъян в своём коде, и дешифровка становиться невозможна в принципе, даже автором вредоносной программы.

В подавляющем большинстве случаев после кодирования шифровальщик удаляет исходные файлы при помощи специальных алгоритмов, что исключает возможность восстановления.

Ещё одна опасная особенность вирусов подобного рода — довольно часто они «невидимы» для антивирусов, т.к. используемые для зашифровки алгоритмы применяются также во многих легальных программах (например, клиент-банк), из-за чего многие шифровальщики не воспринимаются антивирусами, как вредоносное ПО.

Пути заражения.

Чаще всего заражение происходит через почтовые вложения. Пользователю приходит письмо по электронной почте от известного ему адресата или замаскированного под какую-либо организацию (налоговая, банк). В письме может содержаться просьба провести бухгалтерскую сверку, подтвердить оплату счёта, предложение ознакомиться с кредитной задолженностью в банке или что-то подобное. То есть, информация будет такова, что непременно заинтересует или испугает пользователя и побудит открыть почтовое вложение с вирусом. Чаще всего это будет выглядеть как архив, внутри которого находится файл с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. После запуска такого файла сразу же или через некоторое время начинается процесс шифрования файлов на ПК. Также заражённый файл может быть прислан пользователю в одной из программ для обмена мгновенными сообщениями (Skype, Viber и др.).

Реже заражение происходит после установки взломанного ПО или после перехода по заражённой ссылке на сайте или в теле письма.

Стоит иметь ввиду, что очень часто, заразив один ПК в сети, вирус может распространится на другие машины, используя уязвимости в Windows или/и в установленных программах.

Признаки заражения.

  1. Очень часто после запуска файла, приложенного к письму, наблюдается высокая активность жёсткого диска, процессор загружен до 100%, т.е. компьютер начинает сильно «тормозить».
  2. Через некоторое время после запуска вируса ПК внезапно перезагружается (в большинстве случаев).
  3. После перезагрузки открывается текстовый файл, в котором сообщается, что файлы пользователя зашифрованы и указываются контакты для связи (электронная почта). Иногда вместо открытия файла обои рабочего стола заменяются на текст с требованием выкупа.
  4. Большинство файлов пользователя (документы, фото, базы данных) оказываются с другим расширением (например — *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl и др.) или вообще полностью переименованы, и не открываются никакой программой, даже если поменять расширение. Иногда шифруется ­жёсткий диск целиком. В этом случае Windows вообще не загружается, а сообщение с требованием выкупа показывается почти сразу после включения ПК.
  5. Иногда все файлы пользователя оказываются помещены в один архив, защищённый паролем. Это происходит, если злоумышленник проникает на ПК и производит архивирование и удаление файлов вручную. Т.е., при запуске вредоносного файла из почтового вложения файлы пользователя не шифруются автоматически, а происходит установка программного обеспечения, позволяющего злоумышленнику скрытно подключиться к ПК через интернет.

Пример текста с требованием выкупа

Что делать, если заражение уже произошло?

  1. Если процесс шифрования начался в вашем присутствии (ПК сильно «тормозит»; открылся текстовый файл с сообщением о шифровании; стали пропадать файлы, а вместо них стали появляться их зашифрованные копии), следует НЕМЕДЛЕННО обесточить компьютер, выдернув шнур питания или зажав на 5 сек. кнопку включения. Возможно, это позволит спасти часть информации. НЕ ПЕРЕЗАГРУЖАЙТЕ ПК! ТОЛЬКО ВЫКЛЮЧЕНИЕ!
  2. Если шифрование уже состоялось, ни в коем случае не стоит пытаться самостоятельно вылечить заражение, а также удалять или переименовывать зашифрованные файлы или файлы, созданные шифровальщиком.

В обеих случаях нужно немедленно сообщить о происшествии системному администратору.


ВАЖНО!!!

Не пытайтесь самостоятельно вести переговоры со злоумышленником через предоставленные им контакты! В лучшем случае это бесполезно, в худшем — может увеличить сумму выкупа за расшифровку.

Как предотвратить заражение или свести его последствия к минимуму?

  1. Не открывайте подозрительные письма, особенно с вложениями (как распознать такие письма — см. ниже).
  2. Не переходите по подозрительным ссылкам на сайтах и в присланных письмах.
  3. Не скачивайте и не устанавливайте программы из недоверенных источников (сайты со взломанным ПО, торрент-трекеры).
  4. Всегда делайте резервные копии важных файлов. Наилучшим вариантом будет хранить резервные копии на другом носителе, не подключённом к ПК (флэшка, внешний диск, DVD-диск), или в облаке (например, Яндекс.Диск). Часто вирус шифрует и файлы архивов (zip, rar, 7z), поэтому хранить резервные копии на том же ПК, где хранятся исходные файлы — бессмысленно.

Как распознать вредоносное письмо?

1. Тема и содержание письма не связаны с вашей профессиональной деятельностью. Например, офис-менеджеру пришло письмо о налоговой проверке, счёт или резюме.

2. В письме содержится информация, не имеющая отношения к нашей стране, региону или сфере деятельности нашей компании. Например, требование погасить долг в банке, зарегистрированном в РФ.

3. Часто вредоносное письмо оформлено как якобы ответ на какое-то ваше письмо. В начале темы такого письма присутствует сочетание «Re:». Например, «Re: Счёт на оплату», хотя вы точно знаете, что не посылали письма на этот адрес.

4. Письмо пришло якобы от известной компании, но в адресе отправителя письма присутствуют бессмысленные последовательности букв, слов, цифр, посторонние домены, ничего не имеющие общего с официальными адресами упомянутой в тексте письма компании.

5. В поле «Кому» указано неизвестное имя (не ваш почтовый ящик), набор несвязных символов или дублируется название почтового ящика отправителя.

6. В тексте письма под разными предлогами получателя просят предоставить или подтвердить какую-либо персональную или служебную информацию, скачать файл или перейти по ссылке, при этом сообщая о срочности или каких-либо санкциях в случае невыполнения инструкций, указанных в письме.

7. В архиве, приложенном к письму, содержатся файлы с расширением *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Также очень часто применяется маскировка вредоносного расширения. Например, в имени файла «Дебиторская задолженность.doc.js», *.doc — это ложное расширение, не несущее никакого функционала, а *.js — реальное расширение вирусного файла.

8. Если письмо пришло от известного отправителя, но стилистика письма и грамотность сильно отличаются — это тоже повод насторожиться. Также, как и нехарактерное содержание — например, от клиента пришло требование оплатить счёт. В таком случае лучше связаться с отправителем по другому каналу связи (телефон, Skype), так как велика вероятно, что его ПК взломали или заразили вирусом.
Пример вредоносного письма


Возможно вас заинтересует