Oltre a Interfax, altri due media russi hanno sofferto del virus ransomware, uno dei quali è l'edizione di San Pietroburgo di Fontanka, lo sa Group-IB.
Il caporedattore di Fontanka, Alexander Gorshkov, ha dichiarato a Vedomosti che i server di Fontanka sono stati attaccati da aggressori sconosciuti. Ma Gorshkov assicura che non si parla di attacco ransomware a Fontanka: i computer della redazione sono funzionanti, il server responsabile del sito è stato hackerato.
Le suddivisioni di Interfax in Gran Bretagna, Azerbaigian, Bielorussia e Ucraina, così come il sito web Interfax-Religion, continuano a funzionare, ha detto Pogorely a Vedomosti. Non è chiaro perché il danno non abbia interessato altri reparti, forse questo è dovuto alla topologia della rete Interfax, dove sono geograficamente dislocati i server, e con il sistema operativo che è installato su di essi, dice.
Martedì pomeriggio "Interfax" ucraino ha riferito di un attacco di hacker all'aeroporto internazionale di Odessa. L'aeroporto sulla sua pagina si è scusato con i passeggeri "per l'aumento forzato dei tempi di servizio", ma a giudicare dal suo tabellone online, martedì ha comunque continuato a inviare e ricevere aerei.
Anche la metropolitana di Kiev ha riferito dell'attacco informatico sul suo account Facebook: ci sono stati problemi con il pagamento dei viaggi con le carte bancarie. Front News ha riferito che la metropolitana è stata attaccata da un virus ransomware.
Il gruppo IB conclude che c'è una nuova epidemia. Negli ultimi mesi, due ondate di attacchi ransomware hanno spazzato il mondo: il virus WannaCry è apparso il 12 maggio e il virus Petya (noto anche come NotPetya ed ExPetr) è apparso il 27 giugno. Si sono infiltrati nei computer Windows senza aggiornamenti installati, hanno crittografato il contenuto dei dischi rigidi e hanno richiesto $ 300 per la decrittazione. Come si è scoperto in seguito, Petya non aveva intenzione di decifrare i computer delle vittime. Il primo attacco ha colpito centinaia di migliaia di computer in più di 150 paesi, il secondo 12.500 computer in 65 paesi. Anche le russe Megafon, Evraz, Gazprom e Rosneft sono state vittime degli attacchi. Il virus ha colpito anche i centri medici Invitro, che per diversi giorni non hanno effettuato test sui pazienti.
In quasi un mese e mezzo, Petya è riuscita a raccogliere solo $ 18.000, ma il danno è stato incomparabilmente maggiore. Una delle sue vittime, il colosso della logistica danese Moller-Maersk, ha stimato in 200-300 milioni di dollari le entrate perse dall'attacco informatico.
Tra le divisioni di Moller-Maersk, il colpo principale è caduto su Maersk Line, che è impegnata nel trasporto marittimo di container (nel 2016, Maersk Line ha guadagnato un totale di $ 20,7 miliardi, la divisione impiega 31.900 persone).
Le aziende si sono rapidamente riprese dall'attacco, ma le aziende e le autorità di regolamentazione sono rimaste in guardia. Ad esempio, ad agosto, i direttori delle sue filiali sono stati avvertiti di un possibile attacco informatico da parte del ransomware Federal Grid Company UES (gestisce la rete elettrica tutta russa), e pochi giorni dopo le banche russe hanno ricevuto un avvertimento simile da FinCERT ( la struttura della Banca Centrale che si occupa di cybersecurity).
Il nuovo attacco ransomware è stato notato anche da Kaspersky Lab, secondo cui la maggior parte delle vittime dell'attacco si trova in Russia, ma ci sono infezioni in Ucraina, Turchia e Germania. Tutti i segnali indicano che si tratta di un attacco mirato alle reti aziendali, afferma Vyacheslav Zakorzhevsky, capo del dipartimento di ricerca antivirus di Kaspersky Lab: vengono utilizzati metodi simili agli strumenti ExPetr, ma non è possibile rintracciare alcuna connessione con questo virus.
E secondo la società di antivirus Eset, il ransomware è ancora un parente di Petya. L'attacco ha utilizzato il malware Diskcoder.D, una nuova modifica dell'encryptor.
Pogorely ha affermato che l'antivirus Symantec è stato installato sui computer di Interfax. Ieri i rappresentanti di Symantec non hanno risposto alla richiesta di Vedomosti.
WannaCry, Petya, Mischa e altri virus ransomware non ti minacceranno se segui questi semplici consigli per prevenire le infezioni del PC!
La scorsa settimana, l'intera Internet è stata scossa dalla notizia di un nuovo virus ransomware. Ha innescato un'epidemia molto più grande in molti paesi del mondo rispetto al famigerato WannaCry, che ha colpito nel maggio di quest'anno. Il nuovo virus ha molti nomi: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, tuttavia, il più delle volte appare semplicemente come Petya.
Gli attacchi continuano questa settimana. Anche il nostro ufficio ha ricevuto una lettera abilmente camuffata da un mitico aggiornamento del software! Fortunatamente, nessuno ha pensato di aprire l'archivio senza di me :) Pertanto, vorrei dedicare l'articolo di oggi alla domanda su come proteggere il tuo computer dai virus ransomware e non diventare vittima di Petya o di qualche altro ransomware.
Cosa fanno i virus ransomware?
I primi virus ransomware sono comparsi intorno ai primi anni 2000. Molti di coloro che hanno utilizzato Internet in quegli anni probabilmente ricordano Trojan.WinLock. Ha bloccato l'avvio del computer e, per ricevere il codice di sblocco, ha chiesto di trasferire un determinato importo su un portafoglio WebMoney o su un account di telefonia mobile:
I primi blocchi di Windows erano abbastanza innocui. La loro finestra con il testo sulla necessità di trasferire fondi all'inizio potrebbe essere semplicemente "inchiodata" tramite il Task Manager. Poi sono apparse versioni più sofisticate del Trojan, che hanno apportato modifiche a livello di registro e persino all'MBR. Ma anche questo potrebbe essere "curato" se si sapesse cosa fare.
I moderni virus ransomware sono diventati cose molto pericolose. Non solo bloccano il funzionamento del sistema, ma crittografano anche il contenuto del disco rigido (incluso il record di avvio principale MBR). Per sbloccare il sistema e decifrare i file, i criminali informatici ora addebitano una commissione in BitCoin "ah, equivalente all'importo da 200 a 1000 dollari USA! Inoltre, anche se trasferisci i fondi concordati nel portafoglio specificato, ciò non garantirà che gli hacker lo ti mando la chiave di sblocco...
Un punto importante è che oggi non ci sono praticamente modi operativi per sbarazzarsi del virus e recuperare i tuoi file. Pertanto, secondo me, è meglio inizialmente non cadere in tutti i tipi di trucchi e proteggere in modo più o meno affidabile il tuo computer da potenziali attacchi.
Come evitare di diventare vittima del virus
I virus ransomware di solito si diffondono in due modi. I primi exploit vari vulnerabilità tecniche in Windows. Ad esempio, WannaCry ha utilizzato l'exploit EternalBlue, che ha consentito l'accesso al computer tramite il protocollo SMB. E il nuovo ransomware Petya può penetrare nel sistema attraverso le porte TCP aperte 1024-1035, 135 e 445. Il metodo di infezione più comune è phishing... In poche parole, gli stessi utenti infettano un PC aprendo file dannosi inviati per posta!
Protezione tecnica contro virus ransomware
Sebbene le infezioni virali dirette non siano così comuni, si verificano. Pertanto, è meglio eliminare in anticipo le potenziali falle di sicurezza già note. Innanzitutto, devi aggiornare il tuo antivirus o installarlo (ad esempio, il 360 Total Security gratuito fa un buon lavoro nel riconoscere i virus ransomware). In secondo luogo, assicurati di installare gli ultimi aggiornamenti di Windows.
Quindi, per eliminare un bug potenzialmente pericoloso nel protocollo SMB, Microsoft ha rilasciato aggiornamenti fuori servizio per tutti i sistemi, a partire da Windows XP. Puoi scaricarli per la tua versione del sistema operativo.
Per proteggersi da Petya, si consiglia di chiudere un certo numero di porte sul computer. Per fare ciò, il modo più semplice è utilizzare lo standard firewall... Aprilo nel Pannello di controllo e seleziona la sezione nella barra laterale "Opzioni aggiuntive"... Si aprirà una finestra per la gestione delle regole di filtraggio. Si prega di selezionare "Regole per le connessioni in entrata" e sul lato destro clicca "Crea regola"... Si aprirà una procedura guidata speciale in cui è necessario creare una regola "Per il porto" e poi seleziona l'opzione "Porte locali specifiche" e scrivi quanto segue: 1024-1035, 135, 445 :
Dopo aver aggiunto l'elenco delle porte, nella schermata successiva, imposta l'opzione "Blocca connessione" per tutti i profili e impostare un nome (descrizione facoltativa) per la nuova regola. Se credi alle raccomandazioni su Internet, questo impedirà al virus di scaricare i file di cui ha bisogno, anche se arriva al tuo computer.
Inoltre, se vieni dall'Ucraina e hai utilizzato il software di contabilità Me.Doc, potresti installare aggiornamenti che contenevano backdoor. Queste backdoor sono state utilizzate per infettare i computer su larga scala con il virus Petya.A. Tra quelli analizzati oggi si conoscono almeno tre aggiornamenti con vulnerabilità di sicurezza:
- 10.01.175-10.01.176 del 14 aprile;
- 10.01.180-10.01.181 del 15 maggio;
- 10.01.188-10.01.189 del 22 giugno.
Se hai installato questi aggiornamenti, sei a rischio!
Protezione dal phishing
Come già accennato, il fattore umano è responsabile della maggior parte delle infezioni. Hacker e spammer hanno lanciato una massiccia campagna di phishing in tutto il mondo. All'interno del suo quadro, sarebbero state inviate e-mail da organizzazioni ufficiali con vari allegati emessi per account, aggiornamenti software o altri dati "importanti". È stato sufficiente per l'utente aprire un file dannoso mascherato e ha installato un virus sul computer che ha crittografato tutti i dati!
Come distinguere un'email di phishing da una reale. Questo è molto facile da fare se segui il buon senso e le seguenti linee guida:
- Da chi arriva la lettera? Prima di tutto, prestiamo attenzione al mittente. Gli hacker possono firmare una lettera, anche con il nome di tua nonna! Tuttavia, c'è un punto importante. Dovresti conoscere l'e-mail della "nonna" e il mittente di un'e-mail di phishing di solito è un insieme di caratteri indefinito. Qualcosa di simile a: " [e-mail protetta]". E un'altra sfumatura: il nome del mittente e il suo indirizzo, se questa è una lettera ufficiale, di solito sono correlati tra loro. Ad esempio, potrebbe sembrare un'e-mail di una certa società Pupkin & Co" [e-mail protetta]"ma è improbabile che assomigli" [e-mail protetta]" :)
- Di cosa parla la lettera? In genere, le e-mail di phishing contengono un invito all'azione o un suggerimento al riguardo nella riga dell'oggetto. In questo caso, il corpo della lettera di solito non dice nulla o viene fornita una motivazione aggiuntiva per aprire i file allegati. Le parole "URGENTE!", "Fattura di servizio" o "Aggiornamento critico" nelle lettere di mittenti sconosciuti possono essere un ottimo esempio di qualcuno che cerca di hackerarti. Pensa logicamente! Se non hai richiesto fatture, aggiornamenti o altri documenti da una determinata azienda, questo è con una probabilità del 99%: phishing ...
- Cosa c'è nella lettera? L'elemento principale di un'e-mail di phishing sono i suoi allegati. Il tipo più ovvio di allegato potrebbe essere un file EXE con un falso "aggiornamento" o "programma". Tali attaccamenti sono un falso piuttosto grossolano, ma si verificano.
Modi più "graziosi" per ingannare l'utente sono mascherare lo script che scarica il virus come documento Excel o Word. Il travestimento può essere di due tipi. Nella prima variante, lo script stesso si presenta come un documento d'ufficio ed è riconoscibile dall'estensione "doppia" del nome, ad esempio "Account .xls.js"o" Sommario .doc.vbs". Nel secondo caso, l'allegato può essere costituito da due file: un documento reale e un file con uno script, che viene chiamato come macro da un documento Word o Excel dell'ufficio.
In ogni caso, non dovresti aprire tali documenti, anche se il "mittente" ti chiede di farlo! Se anche improvvisamente tra i tuoi clienti c'è qualcuno che potrebbe teoricamente inviarti una lettera con un contenuto simile, è meglio che ti prendi la briga di contattarlo direttamente e chiarire se ti ha inviato dei documenti. Un movimento eccessivo del corpo in questo caso può salvarti da inutili problemi!
Penso che se chiudi tutte le lacune tecniche nel tuo computer e non soccomberai alle provocazioni degli spammer, allora non avrai paura di nessun virus!
Come recuperare i file dopo l'infezione
E, tuttavia, sei riuscito a infettare il tuo computer con un virus di crittografia ... NON SPEGNERE IL PC DOPO LA VISUALIZZAZIONE DEL MESSAGGIO DI CRITTOGRAFIA !!!
Il fatto è che a causa di una serie di errori nel codice dei virus stessi, prima di riavviare il computer, c'è la possibilità di estrarre la chiave dalla memoria, necessaria per decrittografare i file! Ad esempio, l'utility wannakiwi è adatta per ottenere la chiave di decrittazione WannaCry. Purtroppo, non esistono soluzioni del genere per recuperare i file dopo un attacco Petya, ma puoi provare a estrarli dalle copie shadow dei dati (se hai attivato l'opzione per crearli su una partizione del disco rigido) utilizzando il programma ShadowExplorer in miniatura:
Se hai già riavviato il computer o i suggerimenti di cui sopra non sono stati utili, puoi ripristinare i file solo con l'aiuto di programmi di recupero dati. Di norma, i virus ransomware funzionano secondo il seguente schema: creano una copia crittografata di un file ed eliminano l'originale senza sovrascriverlo. Cioè, in effetti, viene eliminato solo il contrassegno del file e i dati stessi vengono salvati e possono essere ripristinati. Ci sono due programmi sul nostro sito: più adatto per la rianimazione di file multimediali e foto e R.Saver gestisce bene documenti e archivi.
Naturalmente, il virus stesso deve essere rimosso dal sistema. Se Windows si avvia, Malwarebytes Anti-Malware è una buona scelta. Se il virus ha bloccato il download, verrai salvato dal disco di avvio di Dr.Web LiveCD con l'utilità collaudata per combattere vari malware Dr.Web CureIt a bordo. In quest'ultimo caso, dovrai occuparti anche del ripristino dell'MBR. Poiché il LiveCD di Dr.Web è basato su Linux, penso che avrai bisogno di istruzioni da Habr su questo argomento.
conclusioni
Il problema dei virus su Windows è rilevante da molti anni. E ogni anno vediamo che gli autori di virus inventano forme sempre più sofisticate per danneggiare i computer degli utenti. Le ultime epidemie di virus ransomware ci mostrano che i criminali informatici si stanno gradualmente trasformando in estorsioni attive!
Sfortunatamente, anche se paghi, è improbabile che tu riceva alcuna risposta. Molto probabilmente, dovrai ripristinare i tuoi dati da solo. Pertanto, è meglio essere vigili in tempo e prevenire l'infezione piuttosto che pasticciare con l'eliminazione delle sue conseguenze per molto tempo!
P.S. È consentito copiare e citare liberamente questo articolo, a condizione che sia indicato un collegamento attivo aperto alla fonte e sia preservata la paternità di Ruslan Tertyshny.
15/05/2017, Lun, 13:33, ora di Mosca, Testo: Pavel Pritula
Di recente, in Russia si è verificato uno dei più grandi e "rumorosi" attacchi informatici, a giudicare dalla stampa: le reti di diversi dipartimenti e grandi organizzazioni, tra cui il Ministero degli affari interni, sono state attaccate da criminali informatici. Il virus ha crittografato i dati sui computer dei dipendenti e ha estorto ingenti somme di denaro in modo che potessero continuare il loro lavoro. Questo è un chiaro esempio del fatto che nessuno è immune dal ransomware. Tuttavia, questa minaccia può essere combattuta: mostreremo diversi modi offerti da Microsoft.
Cosa sappiamo del ransomware? Sembra che questi siano criminali che richiedono denaro o cose da te sotto la minaccia di conseguenze negative. Negli affari, questo accade di volta in volta, tutti hanno un'idea approssimativa di come agire in tali situazioni. Ma cosa dovresti fare se un virus ransomware si è insediato sui tuoi computer di lavoro, blocca l'accesso ai tuoi dati e ti richiede di trasferire denaro a determinate persone in cambio di un codice di sblocco? È necessario contattare gli specialisti della sicurezza delle informazioni. Ed è meglio farlo in anticipo per evitare problemi.
Il numero di crimini informatici è cresciuto di un ordine di grandezza negli ultimi anni. Secondo uno studio di SentinelOne, la metà delle aziende nei principali paesi europei è stata attaccata da virus ransomware e oltre l'80% di esse è stato preso di mira tre o più volte. Un quadro simile si osserva in tutto il mondo. La società di sicurezza delle informazioni Clearswift nomina una sorta di paesi "principali" più colpiti dal ransomware: il ransomware: Stati Uniti, Russia, Germania, Giappone, Gran Bretagna e Italia. Le piccole e medie imprese sono di particolare interesse per i criminali informatici, perché dispongono di più denaro e dati più sensibili rispetto agli individui e non dispongono di potenti servizi di sicurezza come le grandi aziende.
Cosa fare e, soprattutto, come prevenire un attacco ransomware? Innanzitutto, valutiamo la minaccia stessa. L'attacco può essere effettuato in diversi modi. Uno dei più comuni è la posta elettronica. I criminali utilizzano attivamente metodi di ingegneria sociale, la cui efficacia non è minimamente diminuita dai tempi del famoso hacker del XX secolo, Kevin Mitnick. Possono chiamare un dipendente dell'azienda vittima per conto di una controparte reale e, dopo la conversazione, inviare una lettera con un allegato contenente un file dannoso. Il dipendente ovviamente lo aprirà perché ha appena parlato con il mittente al telefono. Oppure il commercialista può ricevere una lettera presumibilmente dal servizio di ufficiale giudiziario o dalla banca che serve la sua azienda. Nessuno è assicurato, e nemmeno il Ministero degli Interni soffre per la prima volta: alcuni mesi fa, gli hacker hanno inviato una fattura falsa di Rostelecom al dipartimento contabilità della Direzione lineare del Ministero degli affari interni di Kazan con un virus ransomware che bloccato il sistema contabile.
La fonte dell'infezione può essere un sito di phishing, a cui l'utente ha avuto accesso tramite un collegamento ingannevole, o un'unità flash "dimenticata accidentalmente" da uno dei visitatori dell'ufficio. Sempre più spesso, l'infezione avviene attraverso i dispositivi mobili non protetti dei dipendenti, dai quali accedono alle risorse aziendali. E l'antivirus potrebbe non funzionare: ci sono centinaia di malware noti per aggirare gli antivirus, per non parlare degli attacchi zero-day che sfruttano i buchi appena aperti nel software.
Che cos'è il ransomware?
Un programma noto come ransomware, ransomware, ransomware blocca l'accesso dell'utente al sistema operativo e di solito crittografa tutti i dati sul disco rigido. Sullo schermo viene visualizzato un messaggio che informa che il computer è bloccato e che il proprietario è obbligato a trasferire una grande quantità di denaro all'attaccante se vuole riprendere il controllo dei dati. Molto spesso, sullo schermo viene attivato un conto alla rovescia di 2-3 giorni in modo che l'utente si affretti, altrimenti il contenuto del disco verrà distrutto. A seconda degli appetiti dei criminali e delle dimensioni dell'azienda, gli importi del riscatto in Russia vanno da alcune decine a diverse centinaia di migliaia di rubli.
Tipi di ransomware
Fonte: Microsoft, 2017
Questi programmi dannosi sono noti da molti anni, ma negli ultimi due o tre anni hanno registrato un vero e proprio fiorire. Come mai? Primo, perché le persone pagano i criminali informatici. Secondo Kaspersky Lab, il 15% delle aziende russe attaccate in questo modo preferisce pagare il riscatto, e 2/3 delle aziende nel mondo sottoposte a tale attacco hanno perso in tutto o in parte i propri dati aziendali.
In secondo luogo, gli strumenti dei criminali informatici sono diventati più sofisticati e accessibili. E il terzo: i tentativi indipendenti della vittima di "indovinare la password" non finiscono bene e la polizia raramente riesce a trovare criminali, specialmente durante il conto alla rovescia.
A proposito. Non tutti gli hacker passano il loro tempo a cercare di fornire una password a una vittima che ha trasferito loro l'importo richiesto.
Qual è il problema aziendale?
Il problema principale nel campo della sicurezza delle informazioni per le piccole e medie imprese in Russia è che non hanno soldi per potenti strumenti specializzati di sicurezza delle informazioni e ci sono più che sufficienti sistemi IT e dipendenti con cui possono verificarsi tutti i tipi di incidenti . Per combattere il ransomware non basta avere solo firewall, antivirus e policy di sicurezza configurati. È necessario utilizzare tutti gli strumenti disponibili, forniti principalmente dal fornitore del sistema operativo, perché è economico (o incluso nel costo del sistema operativo) ed è compatibile al 100% con il proprio software.
La stragrande maggioranza dei computer client e una parte significativa dei server funzionano con Microsoft Windows. Tutti conoscono gli strumenti di sicurezza integrati, come Windows Defender e Windows Firewall, che, insieme agli ultimi aggiornamenti del sistema operativo e ai diritti utente limitati, forniscono un livello di sicurezza abbastanza sufficiente per un normale dipendente in assenza di strumenti specializzati.
Ma la particolarità del rapporto tra business e cybercriminali è che spesso i primi non sono consapevoli di essere attaccati dai secondi. Pensano di essere protetti, ma in realtà il malware è già penetrato nel perimetro della rete e sta tranquillamente facendo il suo lavoro - dopotutto, non tutti si comportano sfacciatamente come i trojan ransomware.
Microsoft ha cambiato il suo approccio alla sicurezza: ora ha ampliato la sua linea di prodotti per la sicurezza delle informazioni e si concentra non solo sul rendere l'azienda il più sicura possibile dagli attacchi moderni, ma anche sulla possibilità di indagare su di essi in caso di infezione si verificano.
Protezione della posta
Il sistema di posta come principale canale di penetrazione delle minacce nella rete aziendale deve essere ulteriormente protetto. Per fare ciò, Microsoft ha sviluppato il sistema Exchange ATP (Advanced Treat Protection), che analizza gli allegati di posta elettronica oi collegamenti Internet e risponde in modo tempestivo agli attacchi rilevati. È un prodotto separato, si integra con Microsoft Exchange e non ha bisogno di essere distribuito su ogni macchina client.
Exchange ATP può persino rilevare gli attacchi zero-day perché avvia tutti gli allegati in una sandbox speciale senza rilasciarli nel sistema operativo e ne analizza il comportamento. Se non contiene segni di attacco, l'allegato è considerato sicuro e l'utente può aprirlo. Un file potenzialmente dannoso viene inviato in quarantena e l'amministratore ne riceve una notifica.
Per quanto riguarda i collegamenti nelle lettere, sono anche controllati. Exchange ATP sostituisce tutti i collegamenti intermedi. L'utente fa clic sul collegamento nella lettera, accede al collegamento intermedio e in questo momento il sistema controlla l'indirizzo per sicurezza. Il controllo è così veloce che l'utente non si accorge del ritardo. Se il collegamento conduce a un sito o file infetto, è vietato quanto segue.
Come funziona Exchange ATP
Fonte: Microsoft, 2017
Perché il controllo avviene al momento del clic e non alla ricezione della lettera - dopotutto, c'è più tempo per la ricerca e, quindi, sarà necessaria meno potenza di calcolo? Questo viene fatto specificamente per proteggersi dal trucco dei criminali informatici di sostituire il contenuto del collegamento. Un esempio tipico: una lettera arriva nella casella di posta di notte, il sistema controlla e non rileva nulla, e al mattino il sito ha già pubblicato questo link, ad esempio un file con un trojan che l'utente scarica in sicurezza.
E la terza parte del servizio Exchange ATP è il sistema di reporting integrato. Consente di indagare sugli incidenti che si sono verificati e fornisce i dati per rispondere alle domande: quando si è verificata l'infezione, come e dove si è verificata. Ciò consente di trovare la fonte, determinare il danno e capire di cosa si trattava: un colpo accidentale o un attacco mirato e mirato contro questa azienda.
Questo sistema è utile anche per la prevenzione. Ad esempio, un amministratore può aumentare le statistiche su quanti clic sono stati effettuati su collegamenti contrassegnati come pericolosi e chi degli utenti lo ha fatto. Anche se l'infezione non si è verificata, è comunque necessario svolgere un lavoro esplicativo con questi dipendenti.
È vero, ci sono categorie di dipendenti che sono costretti dalle responsabilità lavorative a visitare una varietà di siti, ad esempio gli esperti di marketing che effettuano ricerche di mercato. Per loro, le tecnologie Microsoft consentono di configurare la politica in modo che tutti i file scaricati vengano scansionati nella "sandbox" prima di essere salvati sul computer. Inoltre, le regole si impostano in pochi clic.
Protezione delle credenziali
Uno degli obiettivi degli attacchi dannosi sono le credenziali dell'utente. Esistono molte tecnologie per rubare nomi utente e password degli utenti e devono essere contrastate da una protezione forte. C'è poca speranza per gli stessi dipendenti: escogitano password semplici, usano una password per accedere a tutte le risorse e le annotano su un adesivo incollato al monitor. Questo può essere combattuto con misure amministrative e impostando a livello di codice i requisiti per le password, ma non ci sarà comunque alcun effetto garantito.
Se un'azienda si preoccupa della sicurezza, i diritti di accesso sono differenziati in essa e, ad esempio, un ingegnere o un responsabile delle vendite non può accedere al server di contabilità. Ma gli hacker hanno un altro trucco in serbo: possono inviare una lettera dal conto catturato di un normale dipendente allo specialista di destinazione che possiede le informazioni necessarie (dati finanziari o segreti commerciali). Dopo aver ricevuto una lettera da un "collega", il destinatario la aprirà al cento per cento e avvierà l'allegato. E il ransomware avrà accesso a dati preziosi per l'azienda, per i quali l'azienda può pagare molti soldi.
Per impedire a un account violato di accedere a un sistema aziendale, Microsoft suggerisce di proteggerlo con Azure Multifactor Authentication. Cioè, per entrare, devi inserire non solo una coppia login / password, ma anche un codice PIN inviato in SMS, notifica push, generato da un'applicazione mobile o rispondere a una telefonata al robot. L'autenticazione a più fattori è particolarmente utile quando si lavora con dipendenti remoti che possono accedere al sistema aziendale da diverse parti del mondo.
Autenticazione a più fattori di Azure
Questo articolo è stato preparato in relazione a un massiccio attacco di hacker su scala globale che potrebbe interessarti. Le conseguenze sono davvero gravi. Di seguito troverai una breve descrizione del problema e una descrizione delle principali misure da adottare per proteggerti dal virus ransomware WannaCry.
Il virus ransomware WannaCry sfrutta la vulnerabilità Microsoft Windows MS17-010 per eseguire il codice dannoso ed eseguire il programma di crittografia su PC vulnerabili, il virus si offre di pagare ai criminali informatici circa $ 300 per decrittografare i dati. Il virus si è diffuso ampiamente su scala globale, ricevendo una copertura attiva nei media: Fontanka.ru, Gazeta.ru, RBK.
Questa vulnerabilità interessa i PC che eseguono Windows da XP a Windows 10 e Server 2016, puoi leggere le informazioni ufficiali sulla vulnerabilità da Microsoft e.
Questa vulnerabilità appartiene alla classe Esecuzione del codice remoto, il che significa che l'infezione può essere eseguita da un PC già infetto attraverso una rete con un basso livello di sicurezza senza segmentazione del ME - reti locali, reti pubbliche, reti ospiti, nonché lanciando malware ricevuto per posta o sotto forma di un collegamento.
Misure di sicurezza
Quali misure devono essere identificate come efficaci per combattere questo virus:
- Assicurati di disporre degli ultimi aggiornamenti di Microsoft Windows che risolvono la vulnerabilità MS17-010. È possibile trovare collegamenti agli aggiornamenti e notare anche che, a causa della gravità senza precedenti di questa vulnerabilità, il 13 maggio sono stati rilasciati aggiornamenti per sistemi operativi non supportati (windowsXP, server 2003, server 2008), è possibile scaricarli.
- Utilizzando soluzioni di sicurezza di rete di classe IPS, assicurati di disporre di aggiornamenti che includano l'identificazione e la risoluzione delle vulnerabilità di rete. Questa vulnerabilità è descritta nella Knowledge Base di Check Point ed è inclusa nell'aggiornamento IPS del 14 marzo 2017 per Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Si consiglia inoltre di configurare la scansione IPS del traffico interno dei principali segmenti di rete, almeno per un breve periodo, fino a quando la probabilità di infezione non diminuisce.
- A causa della probabilità di modificare il codice del virus, si consiglia di attivare i sistemi AntiBot e Antivirus ed emulare l'avvio di file provenienti da fonti esterne tramite posta o Internet. Se sei un utente Check Point Security Gateway, allora questo sistema è Threat Emulation. Soprattutto per le aziende che non dispongono di questo abbonamento, offriamo di emetterlo rapidamente entro un periodo di prova di 30 giorni. Per richiedere una chiave attivando un abbonamento completo per il tuo gateway Check Point - scrivi alla mail [e-mail protetta] Puoi leggere di più sui sistemi di emulazione di file e.
Ancora più consigli e un esempio di un rapporto sul blocco del lavoro del ransomware wannacry.
Cari colleghi, in base all'esperienza di lavoro con precedenti attacchi massicci, come Heart Bleed, la vulnerabilità di Microsoft Windows MS17-010 verrà sfruttata attivamente nei prossimi 30-40 giorni, non rimandare le contromisure! Per ogni evenienza, controlla che il tuo sistema di backup funzioni.
Il rischio è davvero grande!
UPD. Giovedì 18 maggio, alle 10:00 ora di Mosca, ti invitiamo a un webinar su ransomware e metodi di protezione.
Il webinar è ospitato da TS Solution e Sergey Nevstruev, responsabile delle vendite di Check Point Threat Prevention per l'Europa orientale.
Tratteremo le seguenti questioni:
- #WannaCry attacco
- Bilancia e stato attuale
- Peculiarità
- Fattori di massa
Come stare un passo avanti e dormire bene
- IPS + AM
- SandBlast: emulazione ed estrazione delle minacce
- Agente SandBlast: Anti-ransomware
- Agente SandBlast: Forensics
- Agente SandBlast: Anti-Bot
Il 12 aprile 2017, sono apparse informazioni sulla rapida diffusione di un virus ransomware chiamato WannaCry, che può essere tradotto come "Voglio piangere", in tutto il mondo. Gli utenti hanno domande sull'aggiornamento di Windows dal virus WannaCry.
Il virus sullo schermo del computer si presenta così:
Il brutto virus WannaCry che crittografa tutto
Il virus crittografa tutti i file sul computer e richiede un riscatto per il portafoglio Bitcoin per un importo di $ 300 o $ 600 per decrittare presumibilmente il computer. I computer in 150 paesi del mondo sono stati infettati, il più colpito è la Russia.
Megafon, le Ferrovie Russe, il Ministero degli Interni, il Ministero della Salute e altre società si sono trovate faccia a faccia con questo virus. Tra le vittime ci sono anche normali utenti di Internet.
Quasi tutti sono uguali prima del virus. La differenza, forse, è che nelle aziende il virus si diffonde nell'intera rete locale all'interno dell'organizzazione e infetta istantaneamente il maggior numero possibile di computer.
Il virus WannaCry crittografa i file sui computer che eseguono Windows. Nel marzo 2017, Microsoft ha rilasciato gli aggiornamenti MS17-010 per varie versioni di Windows XP, Vista, 7, 8, 10.
Si scopre che coloro che hanno gli aggiornamenti automatici di Windows configurati sono fuori dalla zona a rischio per il virus, perché hanno ricevuto l'aggiornamento in modo tempestivo e sono stati in grado di evitarlo. Non ho la presunzione di dire che è davvero così.
Riso. 3. Messaggio durante l'installazione dell'aggiornamento KB4012212
L'aggiornamento di KB4012212 dopo l'installazione ha richiesto un riavvio del laptop, cosa che non mi è piaciuta molto, perché non so come potrebbe finire, ma dove dovrebbe andare l'utente? Tuttavia, il riavvio è andato bene. Ciò significa che vivremo in pace fino al prossimo attacco di virus e che tali attacchi saranno - ahimè, non c'è motivo di dubitare.
Alcuni virus vincono, altri compaiono di nuovo. Questa lotta sarà ovviamente infinita.
Video "I Want to Cry": virus ransomware ha infettato 75mila sistemi in 99 paesi
Ricevi gli ultimi articoli di alfabetizzazione informatica direttamente nella tua casella di posta.
Già di più 3.000 iscritti
