Novi ransomware zlonamjerni softver WannaCry (koji ima i niz drugih naziva - WannaCry Decryptor, WannaCrypt, WCry i WanaCrypt0r 2.0) postao je poznat svijetu 12. maja 2017. godine, kada su šifrirani fajlovi na računarima u nekoliko zdravstvenih ustanova u Velikoj Britaniji. . Kako je ubrzo postalo jasno, u slična situacija Bilo je kompanija u desetinama zemalja, a najviše su stradale Rusija, Ukrajina, Indija i Tajvan. Prema podacima Kaspersky Lab-a, samo prvog dana napada virus je otkriven u 74 zemlje.
Zašto je WannaCry opasan? Virus šifrira datoteke razne vrste(primajući ekstenziju .WCRY, fajlovi postaju potpuno nečitljivi) i onda zahteva otkupninu od 600 dolara za dešifrovanje. Kako bi se ubrzao postupak prijenosa novca, korisnika plaši činjenica da će se za tri dana iznos otkupnine povećati, a nakon sedam dana fajlovi se više neće moći dešifrirati.
Prijetnja od zaraze virusom - WannaCry ransomware računari zasnovani na operativni sistemi Windows. Ako koristite licencirano Windows verzije i redovno ažurirajte svoj sistem, ne morate da brinete da će virus na ovaj način ući u vaš sistem.
Korisnici MacOS, ChromeOS i Linux, kao i mobilnih operativnih sistema iOS sistemi I Android napadi WannaCry uopšte nije nešto čega bi se trebalo plašiti.
Šta učiniti ako ste žrtva WannaCryja?
Britanska Nacionalna agencija za kriminal (NCA) preporučuje da mala preduzeća koja su bila žrtve ransomware-a i zabrinuta su zbog širenja virusa na mreži trebaju poduzeti sljedeće radnje:
- Odmah izolujte svoj računar, laptop ili tablet od korporativnih/ interna mreža. Isključite Wi-Fi.
- Promijenite drajvere.
- Bez povezivanja na Wi-Fi mrežu, povežite svoj računar direktno na Internet.
- Ažurirajte svoj operativni sistem i sav drugi softver.
- Ažurirajte i pokrenite svoj antivirusni softver.
- Ponovo se povežite na mrežu.
- Monitor mrežni promet i/ili pokrenite skeniranje virusa kako biste bili sigurni da je ransomware nestao.
Bitan!
Datoteke šifrirane virusom WannaCry ne mogu dešifrirati niko osim napadača. Stoga, ne gubite vrijeme i novac na one “IT genije” koji obećavaju da će vas spasiti od ove glavobolje.
Da li se isplati plaćati novac napadačima?
Prva pitanja koja postavljaju korisnici s novim WannaCry ransomware virusom su: kako oporaviti datoteke i kako ukloniti virus. Ne pronalazeći besplatno i efikasne načine odluke, oni su suočeni sa izborom: platiti novac iznuđivaču ili ne? Pošto korisnici često imaju šta da izgube (lični dokumenti i arhive fotografija pohranjeni su na računaru), želja da se problem reši novcem zaista se javlja.
Ali NCA snažno podstiče Neplatiti novac. Ako se ipak odlučite na to, imajte na umu sljedeće:
- Prvo, ne postoji garancija da ćete dobiti pristup svojim podacima.
- Drugo, vaš računar može i dalje biti zaražen virusom čak i nakon plaćanja.
- Treće, najvjerovatnije ćete jednostavno dati svoj novac sajber kriminalcima.
Kako se zaštititi od WannaCryja?
Vjačeslav Belašov, šef odeljenja za implementaciju sistema informacione bezbednosti u SKB Kontur, objašnjava koje radnje treba preduzeti da sprečite infekciju virusom:
Posebnost WannaCry virus je da može prodrijeti u sistem bez ljudske intervencije, za razliku od drugih ransomware virusa. Ranije je za djelovanje virusa bilo potrebno da korisnik bude nepažljiv - da prati sumnjivi link iz e-maila koji mu zapravo nije namijenjen ili da preuzme zlonamjerni prilog. U slučaju WannaCryja, ranjivost koja postoji direktno u samom operativnom sistemu je iskorištavana. Stoga su računari zasnovani na Windows-u koji nisu instalirali ažuriranja od 14. marta 2017. prvenstveno bili ugroženi. Dovoljna je jedna zaražena osoba radna stanica iz kompozicije lokalna mreža tako da se virus širi na druge sa postojećim ranjivostima.
Među korisnicima koji su pogođeni virusom, jedno je prirodno: glavno pitanje— kako dešifrirati svoje podatke? Nažalost, za sada garantovano rešenje ne i malo je vjerovatno da će se dogoditi. Ni nakon uplate navedenog iznosa problem nije riješen. Osim toga, situacija može biti pogoršana činjenicom da osoba, u nadi da će oporaviti svoje podatke, riskira korištenje navodno „besplatnih“ dešifratora, koji su u stvarnosti također zlonamjerni fajlovi. Zbog toga glavni savet Savjet koji se može dati je da budete oprezni i učinite sve da se takva situacija izbjegne.
Šta se tačno može i treba učiniti ovog trenutka:
1. Instalirajte najnovija ažuriranja.
Ovo se ne odnosi samo na operativne sisteme, već i na alate antivirusna zaštita. Informacije o Windows ažuriranje može se saznati.
2. Napravite rezervne kopije važnih informacija.
3. Budite oprezni kada radite sa poštom i internetom.
Morate obratiti pažnju na dolazne e-poruke sa sumnjivim linkovima i prilozima. Za rad s Internetom preporučuje se korištenje dodataka koji vam omogućavaju da se riješite nepotrebnog oglašavanja i linkova ka potencijalno zlonamjernim izvorima.
Talas novog virusa zahvatio je svijet - ransomware Wanna Cry (druga imena Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), koji šifrira dokumente na računaru i iznuđuje 300-600 USD za njihovo dekodiranje. Kako možete znati da li je vaš računar zaražen? Šta trebate učiniti da ne postanete žrtva? I šta učiniti da se oporavi?
Nakon instaliranja ažuriranja, morat ćete ponovo pokrenuti računar.
Kako se oporaviti od Wana Decrypt0r ransomware virusa?
Kada antivirusni uslužni program, otkrije virus, ili će ga odmah ukloniti, ili će vas pitati da li da ga liječite ili ne? Odgovor je lečiti.
Kako oporaviti datoteke šifrirane pomoću Wana Decryptor?
U ovom trenutku ne možemo reći ništa ohrabrujuće. Još uvijek nije kreiran alat za dešifriranje datoteka. Za sada, ostaje samo sačekati dok se dešifrator ne razvije.
Prema riječima Briana Krebsa, stručnjaka za kompjuterska sigurnost, trenutno su kriminalci dobili samo 26.000 USD, odnosno samo oko 58 ljudi pristalo je da plati otkup iznuđivačima. Niko ne zna da li su vratili svoja dokumenta.
Kako zaustaviti širenje virusa na internetu?
U slučaju WannaCry-a, rješenje problema može biti blokiranje porta 445 na Firewall-u, preko kojeg dolazi do infekcije.
Napadi virusa za šifriranje, curenje hakerskih alata američkih obavještajnih agencija, testiranje snage energetskih objekata, napadi na ICO i prva uspješna krađa novca iz ruske banke sa SWIFT sistemom - 2017. godina bila je puna neugodnih iznenađenja. Nisu svi bili spremni za njih. Naprotiv. Sajber kriminal je sve brži i veći. Provladini hakeri više nisu samo špijuni, oni kradu novac i vrše sajber sabotažu.
Svaka kontraakcija cyber prijetnjama je uvijek nadmetanje između oklopa i projektila. A ovogodišnji događaji su pokazali da mnoge kompanije, pa čak i države, podliježu sajber kriminalcima. Jer ne znaju ko je neprijatelj, kako se ponaša i gde da čekaju sledeći štrajk. Većinu napada potrebno je spriječiti u fazi njihove pripreme korištenjem tehnologija ranog upozorenja Threat Intelligence. Ostati nekoliko koraka ispred sajber kriminalaca znači uštedjeti svoj novac, informacije i reputaciju.
Ransomware virusi
Najrasprostranjeniji, kako u smislu distribucije tako i štete, u 2017. godini bili su sajber napadi korištenjem ransomware virusa. Iza njih stoje provladini hakeri. Pamtimo ih po imenu.
Posljedice WonnaCry napada: Rost supermarket, Harkov, Ukrajina.
Lazarus (također poznat kao Dark Seoul Gang) je ime sjevernokorejske grupe hakera za koju se vjeruje da stoji iza Biroa 121, jednog od odjela Obavještajne uprave Glavnog štaba KPA (DPRK), odgovornog za izvođenje sajber operacija . Hakeri iz sjevernokorejske grupe Lazarus dugi niz godina špijunirali su ideološke neprijatelje režima - vladine agencije i privatne korporacije u Sjedinjenim Državama i sjeverna koreja. Sada Lazarus napada banke i finansijske institucije širom sveta: one su odgovorne za pokušaj krađe skoro milijardu dolara od centralne banke Bangladeša u februaru 2016, napade na banke u Poljskoj, kao i zaposlene u Centralnoj banci Rusije Federacije, Centralna banka Venecuele, Centralna banka Brazila, Centralna banka Čilea i pokušaj povlačenja iz Dalekoistočne međunarodne banke 60 miliona dolara (vidi odjeljak "Ciljani napadi na banke"). Krajem 2017. godine, sjevernokorejski hakeri su primijećeni u napadima na usluge kriptovaluta i napadima korištenjem mobilnih trojanaca.
Trend godine
Dana 24. oktobra, u Ukrajini i Rusiji dogodio se veliki sajber napad korištenjem BadRabbit ransomware virusa. Virus je napao računare i servere kijevskog metroa, Ministarstvo infrastrukture, Međunarodni aerodrom"Odesa". Nekoliko žrtava je završilo i u Rusiji - u napadu su oštećene redakcije federalnih medija, a zabilježeni su i pokušaji zaraze bankarske infrastrukture. Kako je Grupa-IB utvrdila, iza napada stoji grupa Black Energy.
Ciljani napadi na banke
Kriminalne grupe koje su napale ruske banke u proljeće i ljeto 2017. skrenule su pažnju na druge zemlje i regije: SAD, Evropu, Latinsku Ameriku, Aziju i Bliski istok. Krajem godine ponovo su počeli da rade u Rusiji.
U 2017. provladini hakeri su promijenili svoje ciljeve - počeli su da vrše sajber sabotažu nad finansijskim sektorom. Da bi špijunirali ili ukrali novac, hakeri pokušavaju da dobiju pristup SWIFT-u, procesuiranju kartica. Ovog proljeća, BlackEnergy grupa je hakovala jednog integratora u Ukrajini i dobila pristup mreži ukrajinskih banaka. Nekoliko mjeseci kasnije počela je epidemija WannyCry i NotPetya iza koje su stajale grupe Lazarus i BlackEnergy.
Međutim, do početka oktobra, kada je tim Grupe-IB predao godišnji izveštaj, bili smo puni opreznog optimizma: ciljani napadi na banke u Rusiji pali su za 33%. Sve kriminalne grupe koje su napale ruske banke postepeno su preusmjerile pažnju na druge zemlje i regije: SAD, Evropu, Latinsku Ameriku, Aziju i Bliski istok. Kraj godine je pokvario statistiku - zabilježili smo brojne sajber napade na banke, u decembru se dogodio prvi uspješan napad na rusku banku sa SWIFT-om, koji je izvela grupacija Cobalt.
Napadi na SWIFT
U oktobru je opljačkana Dalekoistočna međunarodna banka na Tajvanu. Došavši do sistema međunarodnih međubankarskih transfera (SWIFT), na koji je banka bila povezana, hakeri su uspjeli da podignu skoro 60 miliona dolara na račune u Šri Lanki, Kambodži i Sjedinjenim Državama. Vjeruje se da iza napada stoji grupa Lazarus. U novembru je najveća nedržavna banka u Nepalu, NIC Asia Bank, bila na meti sajber kriminalaca koji su dobili pristup SWIFT sistemu i povukli 4,4 miliona dolara na račune u SAD-u, Velikoj Britaniji, Japanu i Singapuru.
Sredinom decembra se saznalo za uspješan napad na rusku banku koristeći SWIFT (međunarodni sistem transfera). finansijske informacije). Podsjetimo, ranije su se u Rusiji ciljani napadi odvijali korištenjem sistema za obradu kartica, bankomata i automatiziranih radnih stanica KBR-a (automatizirane radno mjesto klijent Banke Rusije).
Grupa Kobalt je vjerovatno umiješana u napad. Do prodora u banku došlo je preko malvera koji je grupa pre nekoliko nedelja distribuirala bankama - ova vrsta napada je tipična za Cobalt. Mediji su objavili da su kriminalci pokušali da ukradu oko milion dolara, ali su uspjeli da povuku oko 10%. FinCERT, strukturni odjel Centralne banke za informacionu sigurnost, u svom izvještaju je nazvao Cobalt grupu glavnom prijetnjom kreditnim institucijama.
Prema Grupi-IB, grupa je izvela najmanje 50 uspješnih napada na banke širom svijeta: u Rusiji, Velikoj Britaniji, Holandiji, Španiji, Rumuniji, Bjelorusiji, Poljskoj, Estoniji, Bugarskoj, Gruziji, Moldaviji, Kirgistanu, Jermeniji , Tajvan i Malezija. Cijelo ljeto i jesen napadali su banke širom svijeta, testirali nove alate i šeme, a na kraju godine nisu usporili - snimamo ih skoro svake sedmice mailings sa zlonamjernim softverom unutra.
Netjelesnost i zlonamjerne skripte su novi (i sada osnovni) princip napada. Hakeri pokušavaju da ostanu neotkriveni i da to urade koriste "bestjelesne" programe koji rade samo u RAM-u i uništavaju se nakon ponovnog pokretanja. Osim toga, skripte u PowerShell-u, VBS-u, PHP-u im pomažu da osiguraju postojanost (sidrenje) u sistemu, kao i da automatizuju neke faze napada. Također primjećujemo da hakeri ne napadaju banke direktno, već preko provjerenih partnera – integratora, izvođača radova. Napadaju zaposlene kada su kod kuće, provjeravaju ličnu e-poštu, društvene mreže
Trend godine
Otkriće godine: MoneyTaker
10 zanimljivosti o MoneyTakeru
- Njihove žrtve bile su male banke - regionalne u Rusiji i društvene banke sa niskim nivoom zaštite u SAD. Hakeri su upali u jednu od ruskih banaka kućni računar sistem administrator.
- Jedna od američkih banaka je dva puta hakovana.
- Nakon uspješnog napada, nastavili su špijunirati zaposlenike banke prosljeđivanjem dolaznih pisama na adrese Yandexa i Mail.ru.
- Ova grupa je uvijek uništavala tragove nakon napada.
- Pokušali su preko bankomata da podignu novac iz jedne ruske banke, ali nisu uspjeli, a neposredno prije toga, Centralna banka je oduzela dozvolu njihovom vlasniku. Podigao novac preko automatiziranog radnog mjesta CBD-a.
- Ukraden je ne samo novac, već i interni dokumenti, uputstva, propisi i dnevnici transakcija. Sudeći po ukradenim dokumentima vezanim za rad SWIFT-a, hakeri pripremaju napade na ciljeve u Latinskoj Americi.
- U nekim slučajevima, hakeri su izvršili promjene u programskom kodu u hodu - upravo tokom napada.
- Hakeri su koristili datoteku SLRSideChannelAttack.exe., koja je objavljena javni pristup istraživači.
- MoneyTaker je koristio javno dostupne alate i namjerno skrivao sve elemente atribucije, preferirajući da ostane u sjeni. Programi imaju jednog autora - to se vidi iz tipične greške, koji lutaju od jednog samopisnog programa do drugog.
Curenje alata za hakovanje obavještajnih službi
Iskorištavanje informacija iz NSA i CIA-e počelo je aktivno da se koristi za izvođenje ciljanih napada. Oni su već uključeni u glavne alate za provođenje testova penetracije protiv finansijski motiviranih i nekih provladinih hakera.
WikiLeaks i Vault7
WikiLeaks je tokom cijele godine metodično otkrivao tajne CIA-e, objavljujući informacije o hakerskim alatima obavještajnih službi u sklopu projekta Vault 7. Jedan od njih - CherryBlossom (“Cherry Blossom”) omogućava vam da pratite lokaciju i internet aktivnosti korisnika povezanih na bežični ruter Wi-Fi. Takvi uređaji se široko koriste u domovima, uredima, restoranima, barovima, hotelima, aerodromima i vladinim agencijama. WikiLeaks je čak otkrio CIA-inu tehnologiju za špijuniranje kolega iz FBI-a, DHS-a i NSA-e. Kontrola tehničke usluge(OTS) u CIA-i je razvio špijunski softver ExpressLane za tajno izvlačenje podataka iz biometrijskog obavještajnog sistema koji CIA distribuira svojim kolegama u američkoj obavještajnoj zajednici. Nešto ranije, WikiLeaks je otkrio informacije o zlonamjernom softveru Pandemic, dizajniranom za hakovanje računara dijeljeni folderi, te o programu ELSA, koji također prati geolokaciju uređaja s omogućenom Wi-Fi mrežom i omogućava vam praćenje navika korisnika. Wikileaks je započeo seriju publikacija Vault-7 u februaru 2017. Curenja su sadržavala informacije koje opisuju ranjivosti softver, uzorci malware i tehnike kompjuterski napadi.
Hakerski alati iz drugog jednako popularnog izvora - curenja NSA-e koje je objavila grupa Shadow Brokers, bili su ne samo veoma traženi, već su se i poboljšavali i usavršavali. Na podzemnim forumima pojavila se skripta za automatizaciju pretrage mašina sa ranjivostima SMB protokola, zasnovana na uslužnim programima američkih obavještajnih agencija koje je objavila grupa Shadow Brokers u aprilu ove godine. Kao rezultat curenja, uslužni program fuzzbunch i ETERNALBLUE exploit završili su u otvoreni pristup, ali nakon modifikacije, potpuno gotov proizvod napadačima olakšava napad.
Podsjetimo, upravo je SMB protokol koristio WannaCry ransomware da inficira stotine hiljada računara u 150 zemalja. Prije mjesec dana kreator pretraživača Shodan sistemi John Matherly je rekao da je 2.306.820 uređaja sa otvoreni portovi za pristup preko SMB protokola. Njih 42% (oko 970 hiljada) omogućava pristup gostima, odnosno svako ko koristi SMB protokol može pristupiti podacima bez autorizacije.
U ljeto, Shadow Brokers grupa je obećala da će svakog mjeseca objavljivati nove eksploatacije za svoje pretplatnike, uključujući rutere, pretraživače, mobilne uređaje, kompromitovane podatke iz bankarskih mreža i SWIFT-a, informacije o nuklearnim i raketnim programima. Inspirirani pažnjom, Shadow Brokers je podigao početnu cijenu pretplate sa 100 Zcash kovanica (oko 30.000 USD) na 200 Zcash kovanica (oko 60.000 USD). VIP pretplatnički status košta 400 Zcash kovanica i omogućava vam primanje prilagođenih eksploata.
Napadi na kritičnu infrastrukturu
Energetski sektor je postao poligon za istraživanje novog sajber oružja. Kriminalna grupa BlackEnergy nastavlja da napada finansijske i energetske kompanije. Alati koji su im na raspolaganju omogućavaju im da daljinski upravljaju daljinskom terminalnom jedinicom (RTU), koja je odgovorna za fizičko otvaranje/zatvaranje električne mreže.
Prvi virus koji je zapravo mogao onesposobiti opremu bio je Stuxnet, koji je koristila Equation Group (Five Eyes/Tilded Team). 2010. godine virus je prodro u sistem iranskog postrojenja za obogaćivanje uranijuma u Nathanu i zarazio Siemens SIMATIC S7 kontrolere koji su rotirali centrifuge sa uranijumom na frekvenciji od 1000 okretaja u sekundi. Stuxnet je ubrzao rotore centrifuge do 1400 o/min, toliko da su počeli vibrirati i kolabirati. Od 5.000 centrifuga postavljenih u hali, oko 1.000 je onesposobljeno. Iranski nuklearni program vratio par godina unazad.
Nakon ovog napada vladalo je zatišje nekoliko godina. Ispostavilo se da su sve ovo vrijeme hakeri tražili priliku da utiču na ICS i onesposobe ih kada je to potrebno. Grupa koja je krenula dalje u ovom pravcu je Black Energy, takođe poznata kao Sandworm.
Njihov probni napad na ukrajinsku trafostanicu krajem prošle godine pokazao je šta novi set alata, nazvan Industroyer ili CRASHOVERRIDE, može učiniti. Na Black Hat konferenciji, softver Industroyer je nazvan "najvećom prijetnjom industrijskim kontrolnim sistemima od Stuxneta". Na primjer, BlackEnergy alati vam omogućavaju daljinsko upravljanje daljinskim terminalnim jedinicama (RTU), koje su odgovorne za fizičko otvaranje/zatvaranje električne mreže. Naoružani takvim alatima, hakeri ga mogu pretvoriti u strašno sajber oružje koje će im omogućiti da ostave čitave gradove bez svjetla i vode.
Problemi se mogu pojaviti ne samo u Ukrajini: u julu su zabilježeni novi napadi na energetske sisteme u Velikoj Britaniji i Irskoj. Nije bilo smetnji u električnoj mreži, ali stručnjaci vjeruju da su hakeri mogli ukrati lozinke sigurnosnim sistemima. U SAD-u, nakon što su zlonamjerni mejlovi poslani zaposlenima energetskih kompanija, FBI je upozorio kompanije na moguće sajber napade.
Napadi na ICO
Dugo su to bile banke i njihovi klijenti glavni cilj sajber kriminalci. Ali sada jesu jaki konkurenti koju predstavljaju ICO i blockchain startupi - sve što je vezano za kriptovalute privlači pažnju hakera.
ICO (Initial Coin Offering - procedura za početno postavljanje tokena) je san svakog hakera. Munjevito brz, često prilično jednostavan napad na usluge kriptovaluta i blockchain startupe donosi milione dolara profita uz minimalan rizik za kriminalce. Prema Chainalysisu, hakeri su uspjeli ukrasti 10% svih sredstava uloženih u ICO projekte u 2017. na Ethereumu. Ukupna šteta iznosila je skoro 225 miliona dolara, a 30.000 investitora gubilo je u prosjeku 7.500 dolara.
Analizirali smo stotinjak napada na blockchain projekte (burze, mjenjače, novčanike, fondove) i došli do zaključka da najveći dio problema leži u ranjivosti samih kripto-servisa koji koriste blockchain tehnologiju. U slučaju Ethereuma, uočeni su problemi ne sa samom platformom, već sa kripto-uslugama: naišli su na ranjivosti u vlastitim pametnim ugovorima, defejs, kompromitaciju administratorskih naloga (Slack, Telegram), phishing stranice koje su kopirale sadržaj web stranica. kompanija koje ulaze u ICO.
Postoji nekoliko ranjivosti:
- Phishing stranice - klonovi službenog resursa
- Ranjivosti web stranice/web aplikacije
- Napadi preko zaposlenih u kompaniji
- Napadi na IT infrastrukturu
Ukradite novac koristeći Android trojance
Pokazalo se da je tržište bankarskih Android trojanaca najdinamičnije i brzo rastuće. Šteta od bankarski trojanci za Android u Rusiji porastao je za 136% - iznosio je 13,7 miliona dolara - i pokrio štetu od trojanaca za personalni računari za 30%.
Predvidjeli smo ovaj rast prošle godine jer se infekcije zlonamjernim softverom sve više ne mogu otkriti, a krađe automatizirane pomoću metode automatskog popunjavanja. Prema našim procjenama, šteta od ove vrste napada u Rusiji u protekloj godini iznosila je 13,7 miliona dolara.
Pritvaranje članova kriminalne grupe Cron
WannaCry, Petya, Mischa i drugi ransomware virusi neće vas ugroziti ako slijedite jednostavne preporuke za sprječavanje PC infekcije!
Prošle sedmice cijeli je internet potresla vijest o novom virusu za šifriranje. Izazvao je mnogo veću epidemiju u mnogim zemljama širom svijeta od zloglasnog WannaCryja, čiji se talas dogodio u maju ove godine. Novi virus ima mnogo imena: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, međutim, najčešće se pojavljuje jednostavno kao Petya.
Napadi se nastavljaju i ove sedmice. Čak je i naša kancelarija dobila pismo lukavo prerušeno u neku mitsku nadogradnju softvera! Srećom, nikome nije palo na pamet bez mene otvoriti poslanu arhivu :) Stoga bih današnji članak želio posvetiti pitanju kako zaštititi svoje računalo od ransomware virusa i ne postati žrtva Petya ili nekog drugog enkriptora.
Šta rade ransomware virusi?
Prvi ransomware virusi pojavili su se oko ranih 2000-ih. Mnogi koji su koristili internet tokom godina vjerovatno se sjećaju Trojan.WinLock. Blokirao je pokretanje računara i, da biste dobili kod za otključavanje, zahtijevao je da prenesete određeni iznos na WebMoney novčanik ili na vaš račun mobilnog telefona:
Prvi Windows blokeri bili su prilično bezopasni. Njihov prozor sa tekstom o potrebi za transferom sredstava u početku mogao bi se jednostavno „zakucati“ preko Task Managera. Onda više složene verzije trojanac koji je napravio promjene na nivou registra, pa čak i na MBR-u. Ali i ovo bi se moglo "izliječiti" ako biste znali šta da radite.
Moderni ransomware virusi postali su vrlo opasne stvari. Oni ne samo da blokiraju sistem, već i šifruju sadržaj tvrdi disk(uključujući i glavnu boot entry MBR). Za otključavanje sistema i dešifrovanje fajlova, napadači sada naplaćuju naknadu u bitcoinima, ekvivalentnu iznosu od 200 do 1000 američkih dolara! Štaviše, čak i ako ugovorena sredstva prebacite u navedeni novčanik, to uopšte ne garantuje da će hakeri poslati ti ključ za otključavanje.
Važna stvar je da danas praktički ne postoje funkcionalni načini da se riješite virusa i vratite svoje datoteke. Stoga je, po mom mišljenju, bolje u početku ne nasjedati na sve vrste trikova i manje-više pouzdano zaštititi svoje računalo od potencijalnih napada.
Kako izbjeći da postanete žrtva virusa
Ransomware virusi se obično šire na dva načina. Prvi eksploatiše razne Tehničke ranjivosti Windows-a. Na primjer, WannaCry je koristio EternalBlue exploit, koji je omogućio pristup računaru preko SMB protokola. A novi ransomware Petya može prodrijeti kroz sistem otvorite TCP portove 1024-1035, 135 i 445. Češći način infekcije je phishing. Jednostavno, korisnici sami zaraze svoj računar otvaranjem zlonamernih fajlova poslatih poštom!
Tehnička zaštita od enkripcijskih virusa
Iako direktne infekcije virusima nisu tako česte, ipak se javljaju. Stoga je bolje proaktivno rješavati već poznate potencijalne sigurnosne rupe. Prvo morate ažurirati antivirus ili ga instalirati (na primjer, besplatni 360 Total Security dobro prepoznaje viruse ransomware). Drugo, obavezno instalirajte najnovija ažuriranja za Windows.
Dakle, da eliminišemo potencijalno opasnu grešku SMB protokol Microsoft je objavio hitna ažuriranja za sve sisteme počevši od Windows XP-a. Možete ih preuzeti za svoju verziju OS-a.
Da biste se zaštitili od Petya, preporučuje se da zatvorite određeni broj portova na vašem računaru. Najlakši način da to učinite je korištenje standarda firewall. Otvorite ga na kontrolnoj tabli i odaberite odjeljak na bočnoj traci "Dodatne opcije" . Otvoriće se prozor za upravljanje pravilima filtriranja. Odaberite "Pravila za dolazne veze" i kliknite na desnoj strani "Kreiraj pravilo". Otvorit će se poseban čarobnjak u kojem trebate kreirati pravilo "za luku", a zatim odaberite opciju „Sigurno lokalne luke" i napiši sljedeće: 1024-1035, 135, 445 :
Nakon što dodate listu portova, postavite opciju na sljedećem ekranu "Blokiraj vezu" za sve profile i navedite ime (opcijski opis) za novo pravilo. Ako vjerujete u preporuke na Internetu, to će spriječiti virus da preuzme potrebne datoteke čak i ako dođe na vaš računar.
Osim toga, ako ste iz Ukrajine i koristite Me.Doc računovodstveni softver, možete instalirati ažuriranja koja sadrže backdoor. Ovi backdoor su korišteni za inficiranje računara u velikim razmjerima virusom Petya.A. Od danas analiziranih, poznata su najmanje tri ažuriranja sa sigurnosnim ranjivostima:
- 10.01.175-10.01.176 od 14. aprila;
- 10.01.180-10.01.181 od 15. maja;
- 10.01.188-10.01.189 od 22. juna.
Ako ste instalirali ova ažuriranja, onda ste u opasnosti!
Zaštita od krađe identiteta
Kao što je već spomenuto, većinu infekcija uzrokuju ljudski faktor. Hakeri i spameri pokrenuli su opsežnu phishing kampanju širom svijeta. U njenom okviru su poslali emails navodno od zvanične organizacije sa raznim prilozima koji su predstavljeni kao fakture, ažuriranja softvera ili drugi „važni“ podaci. Korisniku je bilo dovoljno da otvori maskirani zlonamjerni fajl kako je instalirao virus na svoj kompjuter koji je šifrirao sve podatke!
Kako razlikovati phishing email od pravog. To je prilično lako učiniti ako slijedite zdrav razum i sljedeće preporuke:
- Od koga je pismo? Prije svega, obraćamo pažnju na pošiljaoca. Hakeri mogu potpisati pismo čak i imenom vaše bake! Međutim, postoji važna tačka. Trebali biste znati "bakin" email, a adresa pošiljatelja phishing e-pošte će po pravilu biti nedefinirani skup znakova. Nešto kao: " [email protected]". I još jedna nijansa: ime pošiljaoca i njegova adresa, ako je ovo službeno pismo, obično su međusobno povezani. Na primjer, e-mail od određene kompanije "Pupkin and Co" može izgledati kao " [email protected]", ali malo je vjerovatno da će izgledati " [email protected]" :)
- O čemu je pismo? Tipično, phishing e-poruke sadrže neku vrstu poziva na akciju ili nagovještaj radnje u naslovnoj liniji. U ovom slučaju, tijelo pisma obično ili ne kaže ništa, ili pruža dodatnu motivaciju za otvaranje priloženih datoteka. Riječi "HITNO!", "Račun za usluge" ili " Kritično ažuriranje" u pismima nepoznatih pošiljalaca može biti jasan primjer da pokušavaju da vas hakuju. Razmislite logično! Ako niste tražili nikakve fakture, ažuriranja ili druge dokumente od određene kompanije, onda je sa vjerovatnoćom od 99% ovo phishing.. .
- Šta je u pismu? Glavni element phishing e-pošte su njeni prilozi. Najočitija vrsta priloga bila bi EXE datoteka koja sadrži lažno "ažuriranje" ili "program". Takve investicije su prilično grubi falsifikat, ali se dešavaju.
„Elegantniji“ načini zavaravanja korisnika uključuju prikrivanje skripte koja preuzima virus kao Excel dokument ili Word. Maskiranje može biti dva tipa. U prvoj opciji, sama skripta je predstavljena kao kancelarijski dokument i može se prepoznati po „dvostrukom” proširenju naziva, na primjer, „Faktura .xls.js" ili "Nastavi .doc.vbs". U drugom slučaju, prilog se može sastojati od dvije datoteke: pravog dokumenta i datoteke sa skriptom koja se poziva kao makro iz kancelarijski dokument Word ili Excel.
U svakom slučaju, ne biste trebali otvarati takve dokumente, čak i ako „pošiljalac“ to snažno traži! Čak i ako se iznenada među vašim klijentima nađe neko ko bi vam teoretski mogao poslati pismo sličnog sadržaja, bolje je da se potrudite da ga direktno kontaktirate i saznate da li vam je poslao neka dokumenta. Pretjerano kretanje tijela u ovom slučaju može vas spasiti od nepotrebne gnjavaže!
Mislim da ako zatvorite sve tehničke rupe u svom kompjuteru i ne podlegnete provokacijama spamera, onda se nećete bojati nikakvih virusa!
Kako oporaviti datoteke nakon infekcije
Pa ipak, uspeli ste da zarazite računar virusom za šifrovanje... NIKADA NEMOJTE ISKLJUČITI VAŠ PC NAKON POJAVI SE PORUKA O ŠIFRIRANJU!!!
Činjenica je da zbog brojnih grešaka u kodu samih virusa, prije ponovnog pokretanja računala postoji šansa da se iz memorije ukloni ključ koji je potreban za dešifriranje datoteka! Na primjer, za dobivanje ključa za dešifriranje WannaCry, prikladan je uslužni program wannakiwi. Jao, za oporavak datoteka nakon Petya napada Ne postoje slična rješenja, ali možete ih pokušati izvući kopije u senci podatke (ako ste aktivirali opciju da ih kreirate na particiji tvrdog diska) pomoću minijaturnog programa ShadowExplorer:
Ako ste već ponovo pokrenuli računalo ili gore navedeni savjeti nisu pomogli, tada možete oporaviti datoteke samo pomoću programa za oporavak podataka. U pravilu, virusi za šifriranje rade prema sljedećoj shemi: kreiraju šifriranu kopiju datoteke i brišu original bez prepisivanja. To jest, samo se oznaka datoteke zapravo briše, a sami podaci se pohranjuju i mogu se vratiti. Na našoj web stranici postoje dva programa: pogodniji je za oživljavanje medijskih datoteka i fotografija, dok se R.Saver dobro nosi s dokumentima i arhivama.
Naravno, morate ukloniti sam virus iz sistema. Ako se Windows pokrene, Malwarebytes Anti-Malware je dobar alat za to. Ako je virus blokirao preuzimanje, pomoći će vam disk za pokretanje Dr.Web LiveCD sa dokazanim uslužnim programom za borbu protiv raznih zlonamjernih programa Dr.Web CureIt. IN poslednji slučaj Moraću još nešto da uradim MBR oporavak. Pošto je uključen LiveCD sa Dr.Web-a Zasnovan na Linuxu, onda mislim da će vam upute sa Habra na ovu temu biti od koristi.
zaključci
Problem virusa na Windowsima je aktuelan dugi niz godina. I svake godine vidimo da pisci virusa izmišljaju sve sofisticiranije oblike nanošenja štete računarima korisnika. Najnovije epidemije enkripcijskih virusa pokazuju nam da napadači postepeno prelaze na aktivnu iznudu!
Nažalost, čak i ako uplatite novac, malo je vjerovatno da ćete dobiti bilo kakav odgovor. Najvjerovatnije ćete morati sami da vratite svoje podatke. Stoga je bolje biti na oprezu na vrijeme i spriječiti infekciju nego dugo pokušavati otkloniti njene posljedice!
P.S. Dozvoljeno je slobodno kopiranje i citiranje ovog članka, pod uslovom da se dodijeli otvoreno priznanje. aktivni link izvoru i očuvanju autorstva Ruslana Tertišnog.
Svijet je zahvatio val novog virusa za šifriranje, WannaCry (drugi nazivi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), koji šifrira dokumente na kompjuteru i iznuđuje 300-600 USD za njihovo dekodiranje. Kako možete znati da li je vaš računar zaražen? Šta trebate učiniti da ne postanete žrtva? I šta učiniti da se oporavi?
Da li je vaš računar zaražen virusom ransomware Wana Decryptor?
Nakon instaliranja ažuriranja, morat ćete ponovo pokrenuti računar - sada virus ransomware neće prodrijeti u vas.
Kako se oporaviti od Wana Decrypt0r ransomware virusa?
Kada antivirusni uslužni program otkrije virus, ili će ga odmah ukloniti ili će vas pitati da li da ga tretirate ili ne? Odgovor je lečiti.
Kako oporaviti datoteke šifrirane pomoću Wana Decryptor?
U ovom trenutku ne možemo izvesti ništa ohrabrujuće. Još uvijek nije kreiran alat za dešifriranje datoteka. Ostaje samo čekati dok se dešifriranje ne razvije.
Prema riječima Briana Krebsa, stručnjaka za kompjutersku sigurnost, u ovom trenutku kriminalci su dobili samo 26.000 USD, odnosno samo oko 58 ljudi pristalo je da plati otkupninu iznuđivačima. Niko ne zna da li su vratili svoja dokumenta.
