Il nuovo malware ransomware WannaCry (noto anche come WannaCry Decryptor, WannaCrypt, WCry e WanaCrypt0r 2.0) si è fatto conoscere nel mondo il 12 maggio 2017, quando i file sui computer di diverse istituzioni sanitarie nel Regno Unito sono stati crittografati. Come divenne presto chiaro in situazione simile c'erano aziende in dozzine di paesi e la Russia, l'Ucraina, l'India e Taiwan hanno sofferto di più. Secondo Kaspersky Lab, solo il primo giorno dell'attacco, il virus è stato rilevato in 74 paesi.
Perché WannaCry è pericoloso? Il virus crittografa i file vari tipi(ottenere un'estensione .wcry rende i file completamente illeggibili) e quindi richiede un riscatto di $ 600 per la decrittazione. Per velocizzare la procedura di trasferimento di denaro, l'utente è intimidito dal fatto che in tre giorni l'importo del riscatto aumenterà, e dopo sette giorni, i file non potranno essere decrittati affatto.
La minaccia di contrarre un virus WannaCry ransomware computer basati su sistemi operativi Finestre. Se stai usando la licenza Versioni di Windows e aggiorna regolarmente il sistema, quindi non puoi preoccuparti che il virus entri nel tuo sistema in questo modo.
Utenti MacOS, ChromeOS e Linux, nonché sistemi operativi mobili Sistemi iOS e Attacchi Android WannaCry non è affatto da temere.
Cosa fare se diventi una vittima di WannaCry?
La National Crime Agency (NCA) del Regno Unito raccomanda alle piccole imprese vittime di ransomware e preoccupate per la diffusione del virus online di intraprendere le seguenti azioni:
- Isola immediatamente il tuo computer, laptop o tablet dalla rete aziendale/ rete interna. Disattiva il Wi-Fi.
- Cambia driver.
- Senza collegarti a una rete Wi-Fi, connetti direttamente il tuo computer a Internet.
- Aggiorna il tuo sistema operativo e tutti gli altri software.
- Aggiorna ed esegui il tuo antivirus.
- Riconnettiti alla rete.
- Tenere sotto controllo traffico di rete e/o eseguire una scansione antivirus per assicurarsi che il ransomware sia scomparso.
Importante!
I file crittografati dal virus WannaCry non possono essere decifrati da nessuno tranne che da intrusi. Pertanto, non sprecare tempo e denaro con quei "geni dell'IT" che promettono di salvarti da questo mal di testa.
Vale la pena pagare soldi agli attaccanti?
Le prime domande poste dagli utenti che hanno incontrato il nuovo virus ransomware WannaCry sono: come recuperare file e come rimuovere un virus. Non trovare libero e modi efficaci decisioni, devono affrontare una scelta: pagare soldi all'estorsore o no? Poiché gli utenti hanno spesso qualcosa da perdere (documenti personali e archivi fotografici sono archiviati sul computer), nasce davvero il desiderio di risolvere il problema con l'aiuto del denaro.
Ma l'NCA insiste nonPagare. Se decidi ancora di farlo, tieni presente quanto segue:
- Innanzitutto, non vi è alcuna garanzia che avrai accesso ai tuoi dati.
- In secondo luogo, il tuo computer potrebbe essere ancora infetto da un virus anche dopo il pagamento.
- In terzo luogo, molto probabilmente darai i tuoi soldi ai criminali informatici.
Come proteggersi da WannaCry?
Quali azioni intraprendere per prevenire l'infezione da virus, spiega Vyacheslav Belashov, capo del dipartimento per l'implementazione dei sistemi di sicurezza delle informazioni presso SKB Kontur:
Peculiarità WannaCry virusè che può penetrare nel sistema senza l'intervento umano, a differenza di altri virus ransomware. In precedenza, affinché il virus funzionasse, era necessario che l'utente fosse distratto: seguiva un collegamento dubbio da un'e-mail che non era realmente destinata a lui o scaricava un allegato dannoso. Nel caso di WannaCry viene sfruttata una vulnerabilità che esiste direttamente nel sistema operativo stesso. Pertanto, i computer basati su Windows che non hanno installato gli aggiornamenti del 14 marzo 2017 sono stati i primi a essere a rischio. Ne basta uno infetto postazione di lavoro dalla composizione rete locale in modo che il virus si diffonda ad altri con una vulnerabilità esistente.
Gli utenti colpiti dal virus ne hanno uno naturale domanda principale- come decifrare le tue informazioni? Purtroppo, per ora soluzione garantita no, ed è improbabile che lo sia. Anche dopo aver pagato l'importo specificato, il problema non è risolto. Inoltre, la situazione può essere aggravata dal fatto che una persona, nella speranza di recuperare i propri dati, rischia di utilizzare decryptor presunti "gratuiti", che in realtà sono anche file dannosi. Così consiglio principale ciò che si può dare è stare attenti e fare tutto il possibile per evitare una situazione simile.
Cosa si può e si dovrebbe fare questo momento:
1. Installa gli ultimi aggiornamenti.
Questo vale non solo per i sistemi operativi, ma anche per gli strumenti protezione antivirus. Informazioni su Aggiornamento Windows può essere scoperto.
2. Fare copie di backup di informazioni importanti.
3. Prestare attenzione quando si lavora con la posta e Internet.
Presta attenzione alle e-mail in arrivo con collegamenti e allegati discutibili. Per lavorare con Internet, si consiglia di utilizzare plug-in che consentono di eliminare la pubblicità non necessaria e i collegamenti a fonti potenzialmente dannose.
Un'ondata di un nuovo virus ha spazzato il mondo - ransomware Voglio Cry (altri nomi per Wana Decrypt0r, Decriptatore Wana, WanaCrypt0r), che crittografa i documenti su un computer ed estorce 300-600 USD per decrittografarli. Come sapere se un computer è infetto? Cosa si dovrebbe fare per evitare di diventare una vittima? E cosa si può fare per guarire?
Dopo aver installato gli aggiornamenti, il computer dovrà essere riavviato.
Come recuperare dal virus di crittografia Wana Decrypt0r?
quando utilità antivirus, rileva un virus, lo rimuoverà immediatamente o ti chiederà di trattarlo o no? La risposta è guarire.
Come recuperare i file crittografati da Wana Decryptor?
Non abbiamo nulla di consolante da dire al momento. Finora non è stato creato alcuno strumento di decrittazione dei file. Per ora non resta che attendere lo sviluppo del decryptor.
Secondo Brian Krebs, esperto di sicurezza del computer, al momento i criminali hanno ricevuto solo 26.000 dollari, cioè solo 58 persone circa hanno accettato di pagare il riscatto agli estorsionisti. Nessuno lo sa se hanno ripristinato i loro documenti contemporaneamente.
Come fermare la diffusione di un virus sulla rete?
Nel caso di WannaCry, la soluzione al problema potrebbe essere il blocco della porta 445 del Firewall (firewall), attraverso la quale si verifica l'infezione.
Attacchi di virus ransomware, fughe di strumenti hacker da parte delle agenzie di intelligence americane, controlli di sicurezza degli impianti energetici, attacchi alle ICO e il primo furto riuscito di denaro da una banca russa con il sistema SWIFT: il 2017 in uscita è stato ricco di spiacevoli sorprese. Non tutti erano pronti per loro. Piuttosto, al contrario. La criminalità informatica sta diventando sempre più grande. Gli hacker filogovernativi non sono più solo spie, rubano denaro e compiono cybersabotaggio.
Qualsiasi contrasto alle minacce informatiche è sempre una competizione tra armatura e proiettile. E gli eventi di quest'anno hanno dimostrato che molte aziende e persino stati stanno cedendo ai criminali informatici. Perché non sanno chi è il nemico, come agisce e dove aspettare prossimo sciopero. La maggior parte degli attacchi deve essere prevenuta nella fase della loro preparazione utilizzando le tecnologie di allerta precoce di Threat Intelligence. Essere un passo avanti rispetto ai criminali informatici significa risparmiare denaro, informazioni e reputazione.
Virus di crittografia
I più grandi, sia in termini di distribuzione che di danni nel 2017, sono stati gli attacchi informatici che utilizzano virus di crittografia. Dietro di loro ci sono hacker filo-governativi. Ricordiamoli per nome.
Conseguenze dell'attacco WonnaCry: supermercato Rost, Kharkiv, Ucraina.
Lazarus (noto anche come Dark Seoul Gang) è il nome di un gruppo di hacker nordcoreano ritenuto Bureau 121, uno dei Cyber Operations Intelligence Directorate of the KPA General Staff (DPRK). Per molti anni, gli hacker del gruppo nordcoreano Lazarus hanno spiato i nemici ideologici del regime: agenzie governative e società private negli Stati Uniti e Corea del Sud. Ora Lazarus sta attaccando banche e istituzioni finanziarie di tutto il mondo: a causa del loro tentativo di rubare quasi 1 miliardo di dollari dalla banca centrale del Bangladesh nel febbraio 2016, attacchi a banche in Polonia, nonché dipendenti della Banca centrale russa Federazione, la Banca centrale del Venezuela, la Banca centrale del Brasile, la Banca centrale del Cile e un tentativo di ritirare dalla Far Eastern International Bank 60 milioni di dollari (vedi sezione "Attacchi mirati alle banche"). Alla fine del 2017, gli hacker nordcoreani sono stati visti attaccare servizi di criptovaluta e utilizzare trojan mobili.
Tendenza dell'anno
Il 24 ottobre si è verificato un attacco informatico su larga scala in Ucraina e Russia utilizzando il virus di crittografia BadRabbit. Il virus ha attaccato computer e server della metropolitana di Kiev, il Ministero delle Infrastrutture, Aeroporto internazionale"Odessa". Diverse vittime sono finite anche in Russia: a seguito dell'attacco, le redazioni dei media federali sono state danneggiate e sono stati registrati anche fatti di tentativi di infettare le infrastrutture bancarie. Dietro l'attacco, come stabilito da Group-IB, c'è il gruppo Black Energy.
Attacchi mirati alle banche
I gruppi criminali che hanno attaccato le banche russe nella primavera e nell'estate del 2017 hanno rivolto la loro attenzione ad altri paesi e regioni: Stati Uniti, Europa, America Latina, Asia e Medio Oriente. Alla fine dell'anno hanno ripreso a lavorare in Russia.
Nel 2017, gli hacker filogovernativi hanno cambiato i loro obiettivi: hanno iniziato a compiere sabotaggi informatici contro il settore finanziario. Per spiare o rubare denaro, gli hacker cercano di accedere a SWIFT, l'elaborazione delle carte. Questa primavera, il gruppo BlackEnergy è entrato in un integratore in Ucraina e ha ottenuto l'accesso a una rete di banche ucraine. Un paio di mesi dopo, iniziò l'epidemia di WannyCry e NotPetya, dietro la quale ci sono i gruppi Lazarus e BlackEnergy.
Tuttavia, all'inizio di ottobre, quando il team Group-IB ha presentato la sua relazione annuale, eravamo pieni di un moderato ottimismo: gli attacchi mirati alle banche in Russia sono diminuiti del 33%. Tutti i gruppi criminali che hanno attaccato le banche russe hanno gradualmente rivolto la loro attenzione ad altri paesi e regioni: Stati Uniti, Europa, America Latina, Asia e Medio Oriente. La fine dell'anno ha rovinato le statistiche: abbiamo registrato una serie di attacchi informatici alle banche, a dicembre il primo attacco riuscito a una banca russa con SWIFT è stato eseguito dal gruppo Cobalt.
Attacchi a SWIFT
A ottobre, la Far Eastern International Bank di Taiwan è stata rapinata. Giunti al sistema dei bonifici interbancari internazionali (SWIFT), al quale la banca era collegata, gli hacker sono riusciti a trasferire quasi 60 milioni di dollari su conti in Sri Lanka, Cambogia e Stati Uniti. Dietro l'attacco, provvisoriamente, c'è il gruppo Lazarus. A novembre, NIC Asia Bank, la più grande banca non statale del Nepal, è stata presa di mira dai criminali informatici che hanno ottenuto l'accesso al sistema SWIFT e hanno prelevato 4,4 milioni di dollari su conti negli Stati Uniti, nel Regno Unito, in Giappone e a Singapore.
A metà dicembre, si è saputo di un attacco riuscito a una banca russa tramite SWIFT (sistema di trasmissione internazionale informazioni finanziarie). Ricordiamo che in precedenza in Russia sono stati effettuati attacchi mirati utilizzando sistemi di elaborazione delle carte, bancomat e AWP KBR (automatizzati posto di lavoro cliente della Banca di Russia).
Il gruppo Cobalt è stato probabilmente coinvolto nell'attacco. La banca è stata penetrata tramite malware inviato dal gruppo alcune settimane fa alle banche: questo tipo di attacco è tipico di Cobalt. I media hanno riferito che i criminali hanno cercato di rubare circa $ 1 milione, ma sono riusciti a ritirare circa il 10%. FinCERT, suddivisione strutturale della Banca Centrale per la sicurezza delle informazioni, nel suo rapporto ha definito il gruppo Cobalt la principale minaccia per gli istituti di credito.
Secondo Group-IB, il gruppo ha almeno 50 attacchi riusciti a banche in tutto il mondo: in Russia, Gran Bretagna, Paesi Bassi, Spagna, Romania, Bielorussia, Polonia, Estonia, Bulgaria, Georgia, Moldova, Kirghizistan, Armenia, Taiwan e Malesia. Per tutta l'estate e l'autunno hanno attaccato le banche di tutto il mondo, testato nuovi strumenti e schemi e alla fine dell'anno non hanno rallentato: li ripariamo quasi ogni settimana mailing list con malware all'interno.
Incorporeità e script dannosi sono un nuovo (e ora principale) principio di attacco. Gli hacker cercano di passare inosservati e per questo utilizzano programmi "incorporei" che funzionano solo in RAM e vengono distrutti dopo un riavvio. Inoltre, gli script in PowerShell, VBS, PHP li aiutano a garantire la persistenza (correzione) nel sistema, oltre ad automatizzare alcune fasi dell'attacco. Notiamo anche che gli hacker attaccano le banche non direttamente, ma tramite partner fidati: integratori, appaltatori. Attaccano i dipendenti quando sono a casa, controllano la posta personale, i social network
Tendenza dell'anno
Scoperta dell'anno: MoneyTaker
10 fatti interessanti su MoneyTaker
- Le piccole banche sono diventate le loro vittime: banche regionali in Russia, banche comunitarie con un basso livello di protezione negli Stati Uniti. Una delle banche russe è stata violata computer di casa amministratore di sistema.
- Una delle banche americane è stata violata due volte.
- Dopo aver effettuato un attacco riuscito, hanno continuato a spiare i dipendenti della banca inoltrando le lettere in arrivo agli indirizzi Yandex e Mail.ru.
- Questo gruppo ha sempre distrutto le tracce dopo l'attacco.
- Hanno provato a prelevare denaro da una banca russa tramite gli sportelli automatici, ma non hanno funzionato: poco prima, la Banca centrale ha tolto la licenza al loro proprietario. Il denaro è stato ritirato tramite AWP KBR.
- Hanno rubato non solo denaro, ma anche documenti interni, istruzioni, regolamenti, registri delle transazioni. Secondo i documenti rubati relativi al lavoro di SWIFT, gli hacker stanno preparando attacchi a oggetti in America Latina.
- In alcuni casi, gli hacker hanno apportato modifiche al codice del programma "al volo", proprio durante l'attacco.
- Gli hacker hanno utilizzato il file SLRsideChannelAttack.exe., che è stato pubblicato in accesso pubblico ricercatori.
- MoneyTaker ha utilizzato strumenti pubblici, nascondendo deliberatamente qualsiasi elemento di attribuzione, preferendo rimanere nell'ombra. I programmi hanno un autore - questo può essere visto da errori comuni, che vagano da un programma scritto da sé all'altro.
Perdite di strumenti hacker di servizi speciali
Gli exploit delle fughe di notizie della NSA e della CIA iniziarono a essere attivamente utilizzati per attacchi mirati. Sono già inclusi nei principali strumenti per condurre test di penetrazione per hacker finanziariamente motivati e alcuni filogovernativi.
WikiLeaks e Vault7
Nel corso dell'anno, WikiLeaks ha rivelato metodicamente i segreti della CIA, pubblicando informazioni sugli strumenti di hacking dei servizi speciali nell'ambito del progetto Vault 7. Uno di questi: CherryBlossom ("Cherry Blossom") ti consente di tracciare la posizione e l'attività Internet degli utenti collegati router senza fili Wi-Fi. Tali dispositivi sono ampiamente utilizzati in case, uffici, ristoranti, bar, hotel, aeroporti e agenzie governative. WikiLeaks ha persino rivelato la tecnologia di spionaggio della CIA per i colleghi di FBI, DHS, NSA. Controllo servizi tecnici(OTS) presso la CIA ha sviluppato lo spyware ExpressLane per estrarre di nascosto i dati da un sistema di raccolta di informazioni biometriche che la CIA distribuisce alle sue controparti nella comunità dell'intelligence statunitense. Poco prima, WikiLeaks ha divulgato informazioni sul malware Pandemic, progettato per hackerare i computer cartelle condivise e sul programma ELSA, che tiene traccia anche della geolocalizzazione dei dispositivi abilitati Wi-Fi e consente di monitorare le abitudini degli utenti. Wikileaks ha avviato la serie Vault-7 nel febbraio 2017. Le fughe di notizie contenevano informazioni che descrivevano le vulnerabilità in Software, campioni malware e tecniche attacchi informatici.
Gli strumenti degli hacker provenienti da un'altra fonte altrettanto popolare - le indiscrezioni della NSA pubblicate dal gruppo Shadow Brokers, non solo erano molto richiesti, ma anche migliorati e finalizzati. Sui forum clandestini è apparso uno script per automatizzare la ricerca di macchine con una vulnerabilità del protocollo SMB, basato sulle utilità dei servizi di intelligence americani pubblicate dal gruppo Shadow Brokers nell'aprile di quest'anno. Come risultato della fuga di notizie, l'utility fuzzbunch e l'exploit ETERNALBLUE sono finiti accesso libero, ma dopo la finalizzazione, un prodotto completamente finito semplifica il processo di attacco per gli aggressori.
Ricordiamo che è stato il protocollo SMB che è stato utilizzato dal ransomware WannaCry per infettare centinaia di migliaia di computer in 150 paesi in tutto il mondo. Un mese fa, il creatore del motore di ricerca Sistemi Shodan John Matherly ha dichiarato che 2.306.820 dispositivi con porte aperte per l'accesso tramite protocollo SMB. Il 42% (circa 970mila) di loro fornisce l'accesso guest, ovvero chiunque utilizzi il protocollo SMB può accedere ai dati senza autorizzazione.
In estate, il gruppo Shadow Brokers ha promesso di pubblicare ogni mese nuovi exploit per i propri abbonati, inclusi router, browser, dispositivi mobili, dati compromessi da reti bancarie e SWIFT, informazioni su programmi nucleari e missilistici. Ispirato dall'attenzione, Shadow Brokers ha aumentato il prezzo dell'abbonamento iniziale da 100 Zcash (circa $ 30.000) a 200 Zcash (circa $ 60.000). Lo stato di un abbonato VIP costa 400 monete Zcash e ti consente di ricevere exploit su ordinazione.
Attacchi alle infrastrutture critiche
Il settore energetico è diventato un banco di prova per la ricerca di nuove armi informatiche. Il gruppo criminale BlackEnergy continua ad attaccare le società finanziarie ed energetiche. Gli strumenti a loro disposizione consentono di controllare a distanza le Unità Terminali Remoto (RTU), che si occupano dell'apertura/chiusura fisica della rete elettrica.
Il primo virus che ha effettivamente rotto l'hardware è stato Stuxnet, utilizzato dall'Equation Group (Five Eyes/Tilded Team). Nel 2010, un virus è entrato nel sistema dell'impianto iraniano di arricchimento dell'uranio a Natan e ha colpito i controllori SIMATIC S7 Siemens che facevano ruotare le centrifughe di uranio a una frequenza di 1000 giri al secondo. Stuxnet ha fatto girare i rotori della centrifuga fino a 1400 giri/min, tanto che hanno cominciato a vibrare ea collassare. Delle 5.000 centrifughe installate nella sala, circa 1.000 erano disabilitate. iraniano programma nucleareè tornato indietro di un paio d'anni.
Dopo questo attacco, ci fu una pausa per diversi anni. Si è scoperto che per tutto questo tempo gli hacker stavano cercando un'opportunità per influenzare gli ICS e disabilitarli quando necessario. Il gruppo Black Energy, noto anche come Sandworm, si è mosso più di altri in questa direzione.
Il loro attacco di prova su una sottostazione ucraina alla fine dell'anno scorso ha mostrato di cosa è capace un nuovo set di strumenti soprannominato Industroyer o CRASHOVERRIDE. La conferenza Black Hat ha definito il software Industroyer "la più grande minaccia ai sistemi di controllo industriale dai tempi di Stuxnet". Ad esempio, gli strumenti BlackEnergy consentono di controllare a distanza l'Unità terminale remota (RTU), che è responsabile dell'apertura/chiusura fisica della rete elettrica. Armati di tali strumenti, gli hacker possono trasformarla in una formidabile arma informatica che consentirà a intere città di rimanere senza luce e acqua.
Potrebbero sorgere problemi non solo in Ucraina: nel mese di luglio sono stati registrati nuovi attacchi ai sistemi elettrici nel Regno Unito e in Irlanda. Non ci sono state interruzioni di corrente, ma gli esperti ritengono che gli hacker potrebbero aver rubato le password ai sistemi di sicurezza. Negli Stati Uniti, dopo aver inviato e-mail dannose ai dipendenti delle compagnie energetiche, l'FBI ha avvertito le aziende di possibili attacchi informatici.
Attacchi alle ICO
Per molto tempo le banche ei loro clienti lo sono stati obiettivo principale criminali informatici. Ma ora ce l'hanno forti concorrenti di fronte a ICO e startup blockchain, tutto ciò che riguarda le criptovalute attira l'attenzione degli hacker.
ICO (Initial Coin Offering - la procedura per il posizionamento iniziale dei token) è il sogno di ogni hacker. Un attacco fulmineo, spesso abbastanza semplice, ai servizi di criptovaluta e alle startup blockchain porta profitti di milioni di dollari con un rischio minimo per i criminali. Secondo Chainalysis, gli hacker sono riusciti a rubare il 10% di tutti i fondi investiti in progetti ICO nel 2017 in Ethereum. Il danno totale è stato di quasi $ 225 milioni, 30.000 investitori hanno perso una media di $ 7.500.
Abbiamo analizzato un centinaio di attacchi a progetti blockchain (exchange, exchanger, wallet, fondi) e siamo giunti alla conclusione che il grosso dei problemi risiede nella vulnerabilità degli stessi servizi crittografici che utilizzano la tecnologia blockchain. Nel caso di Ethereum si sono riscontrati problemi non con la piattaforma stessa, ma con i servizi crypto: hanno riscontrato vulnerabilità nei propri smart contract, deface, account admin compromessi (Slack, Telegram), siti di phishing che copiavano il contenuto dei siti web delle aziende entrare nell'ICO.
Ci sono diverse vulnerabilità:
- Siti di phishing: cloni della risorsa ufficiale
- Vulnerabilità di siti Web/applicazioni Web
- Attacchi attraverso dipendenti dell'azienda
- Attacchi all'infrastruttura IT
Rubare denaro con i trojan Android
Il mercato dei Trojan bancari per Android ha dimostrato di essere il più dinamico e in più rapida crescita. Danni da trojan bancari sotto Android in Russia è cresciuto del 136% - ammontava a 13,7 milioni di dollari - e ha bloccato i danni dei trojan per computer personale del 30%.
Abbiamo previsto questa crescita l'anno scorso poiché le infezioni da malware diventano meno visibili e il furto viene automatizzato utilizzando il metodo di riempimento automatico. Secondo le nostre stime, il danno di questo tipo di attacco in Russia nell'ultimo anno è stato di 13,7 milioni di dollari.
Detenzione di membri del gruppo criminale Cron
WannaCry, Petya, Mischa e altri ransomware non ti minacceranno se segui semplici consigli per prevenire l'infezione del PC!
La scorsa settimana, l'intera Internet è stata scossa dalla notizia di un nuovo virus ransomware. Ha provocato un'epidemia molto più grande in molti paesi del mondo rispetto al famigerato WannaCry, la cui ondata è arrivata a maggio di quest'anno. Il nuovo virus ha molti nomi: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, tuttavia, il più delle volte appare semplicemente come Petya.
Questa settimana gli attacchi continuano. Anche il nostro ufficio ha ricevuto una lettera, astutamente camuffata da una sorta di mitico aggiornamento del software! Fortunatamente, senza di me, nessuno ha pensato di aprire l'archivio inviato :) Pertanto, vorrei dedicare l'articolo di oggi alla domanda su come proteggere il computer dai virus ransomware e non diventare vittima di Petya o di qualche altro ransomware.
Cosa fanno i virus ransomware?
Il primo ransomware è apparso intorno ai primi anni 2000. Molte persone che hanno utilizzato Internet in quegli anni probabilmente ricordano Trojan.WinLock. Ha bloccato il caricamento del computer e, per ricevere un codice di sblocco, ha richiesto di trasferire una certa somma Portafoglio WebMoney o su un account di cellulare:
I primi blocchi di Windows erano abbastanza innocui. La loro finestra con il testo sulla necessità di trasferire fondi all'inizio potrebbe essere semplicemente "inchiodata" tramite il Task Manager. Poi ce n'erano di più versioni complesse un Trojan che ha apportato modifiche a livello di registro e persino l'MBR. Ma anche quello potrebbe essere "curato" se sapessi cosa fare.
I moderni virus ransomware sono diventati cose molto pericolose. Non solo bloccano il sistema, ma crittografano anche il contenuto disco rigido(compreso principale record di avvio MBR). Per sbloccare il sistema e decifrare i file, gli aggressori ora addebitano una commissione in BitCoin, equivalente a un importo da 200 a 1000 dollari USA Inoltre, anche se trasferisci i fondi concordati sul portafoglio specificato, ciò non garantisce affatto che gli hacker lo faranno inviarti una chiave di sblocco.
Il punto importante è che oggi non ci sono praticamente modi funzionanti per sbarazzarsi del virus e recuperare i file. Pertanto, secondo me, è meglio non cadere in ogni tipo di trucco fin dall'inizio e proteggere in modo più o meno affidabile il proprio computer da potenziali attacchi.
Come non diventare una vittima del virus
I virus ransomware di solito si diffondono in due modi. Il primo exploit vari Vulnerabilità tecniche di Windows. Ad esempio, WannaCry ha utilizzato l'exploit EternalBlue, che ha consentito l'accesso a un computer tramite il protocollo SMB. MA nuovo ransomware Petya può infiltrarsi nel sistema aprire le porte TCP 1024-1035, 135 e 445. Il modo più comune di infezione è phishing. In poche parole, gli utenti stessi infettano un PC aprendo file dannosi inviati per posta!
Protezione tecnica contro i virus ransomware
Sebbene le infezioni dirette da virus non siano così frequenti, si verificano. Pertanto, è meglio eliminare in anticipo potenziali falle di sicurezza già note. Innanzitutto, devi aggiornare il tuo antivirus o installarlo (ad esempio, 360 Total Security gratuito fa un buon lavoro nel riconoscere i virus ransomware). In secondo luogo, assicurati di installare gli ultimi aggiornamenti di Windows.
Quindi, per correggere un bug potenzialmente pericoloso in protocollo PMI Microsoft ha rilasciato aggiornamenti straordinari per tutti i sistemi a partire da Windows XP. Puoi scaricarli per la tua versione del sistema operativo.
Per proteggersi da Petya, si consiglia di chiudere alcune porte del computer. Per fare ciò, il modo più semplice è usare il normale firewall. Aprilo nel Pannello di controllo e seleziona la sezione nella barra laterale "Opzioni extra" . Si aprirà la finestra per la gestione delle regole di filtraggio. Selezionare "Regole per le connessioni in entrata" e sul lato destro fare clic "Crea regola". Si aprirà una procedura guidata speciale in cui è necessario creare una regola "per il porto", quindi selezionare l'opzione "Certo porti locali" e scrivi quanto segue: 1024-1035, 135, 445 :
Dopo aver aggiunto l'elenco delle porte, impostare l'opzione nella schermata successiva "Blocca connessione" per tutti i profili e dare un nome (descrizione facoltativa) per la nuova regola. Se credi ai consigli su Internet, questo impedirà al virus di scaricare i file di cui ha bisogno, anche se arriva sul tuo computer.
Inoltre, se vieni dall'Ucraina e hai utilizzato il software di contabilità Me.Doc, puoi installare aggiornamenti che contenevano backdoor. Queste backdoor sono state utilizzate per infettare massicciamente i computer con il virus Petya.A. Di quelli analizzati oggi, sono noti almeno tre aggiornamenti con vulnerabilità di sicurezza:
- 10.01.175-10.01.176 del 14 aprile;
- 10.01.180-10.01.181 del 15 maggio;
- 10.01.188-10.01.189 del 22 giugno.
Se hai installato questi aggiornamenti, sei a rischio!
Protezione dal phishing
Come già accennato, la maggior parte delle infezioni è colpevole, tuttavia, fattore umano. Hacker e spammer hanno lanciato una campagna di phishing su larga scala in tutto il mondo. All'interno della sua struttura, hanno inviato e-mail presumibilmente da organizzazioni ufficiali con allegati vari che sono stati emessi per fatture, aggiornamenti software o altri dati "importanti". Bastava che l'utente aprisse una mascherata file dannoso come ha installato un virus sul computer che ha crittografato tutti i dati!
Come distinguere un'e-mail di phishing da una vera. Questo è molto facile da fare se segui il buon senso e i seguenti consigli:
- Da chi è la lettera? Prima di tutto, prestiamo attenzione al mittente. Gli hacker possono firmare una lettera anche con il nome di tua nonna! Tuttavia, c'è punto importante. E-mail "della nonna" Dovresti sapere e l'indirizzo del mittente di un'e-mail di phishing sarà solitamente un insieme indefinito di caratteri. Qualcosa di simile a: " [email protetta]". E un'altra sfumatura: il nome del mittente e il suo indirizzo, se si tratta di una lettera ufficiale, di solito sono correlati tra loro. Ad esempio, l'e-mail di una determinata società "Pupkin and Co" potrebbe apparire come " [email protetta]", ma è improbabile che assomigli a " [email protetta]" :)
- Di cosa parla la lettera? Di norma, le e-mail di phishing contengono una sorta di invito all'azione o un accenno di esso nella riga dell'oggetto. Allo stesso tempo, nel corpo della lettera, di solito non viene scritto nulla o viene fornita una motivazione aggiuntiva per aprire i file allegati. Le parole "URGENTE!", "Fattura per servizi" o " Aggiornamento critico" nelle lettere di mittenti sconosciuti può essere un chiaro esempio del fatto che stanno cercando di hackerarti. Pensa in modo logico! Se non hai richiesto fatture, aggiornamenti o altri documenti da una determinata azienda, allora si tratta di phishing con una probabilità di 99%...
- Cosa c'è nella lettera? L'elemento principale di un'e-mail di phishing sono i suoi allegati. Il tipo più ovvio di allegato potrebbe essere un file EXE con un falso "aggiornamento" o "programma". Tali investimenti sono un falso piuttosto grossolano, ma si verificano.
Modi più "eleganti" per ingannare l'utente sono mascherare lo script che scarica il virus come Documento Excel o parola. La mascheratura può essere di due tipi. Nella prima opzione, lo script stesso viene presentato come un documento d'ufficio e può essere riconosciuto dall'estensione del nome "doppio", ad esempio "Account .xls.js" o "Riepilogo .doc.vbs". Nel secondo caso, l'allegato può essere costituito da due file: un documento vero e proprio e un file con uno script che viene chiamato come macro da documento d'ufficio Word o Excel.
In ogni caso, non dovresti aprire tali documenti, anche se il "mittente" te lo chiede vivamente! Anche se all'improvviso tra i tuoi clienti c'è qualcuno che teoricamente potrebbe inviarti una lettera con contenuti simili, è meglio prendersi la briga di contattarlo direttamente e chiarire se ti ha inviato dei documenti. Movimento eccessivo del corpo questo caso può farti risparmiare un sacco di inutili seccature!
Penso che se colmi tutte le lacune tecniche nel tuo computer e non soccombe alle provocazioni degli spammer, allora non avrai paura di nessun virus!
Come recuperare i file dopo l'infezione
Eppure, sei riuscito a infettare il tuo computer con un virus ransomware... NON SPEGNE MAI IL PC DOPO CHE ARRIVA IL MESSAGGIO DI CRITTOGRAFIA!!!
Il fatto è che a causa di una serie di errori nel codice dei virus stessi, prima di riavviare il computer, c'è la possibilità di ottenere la chiave necessaria per decrittografare i file dalla memoria! Ad esempio, wantkiwi può essere utilizzato per ottenere la chiave di decrittazione WannaCry. Ahimè, per ripristinare i file dopo Petya attacca non ci sono soluzioni del genere, ma puoi provare a estrarle copie ombra dati (se hai attivato l'opzione per crearli sulla partizione del disco rigido) utilizzando il programma ShadowExplorer in miniatura:
Se hai già riavviato il computer o i suggerimenti di cui sopra non sono stati d'aiuto, puoi recuperare i file solo utilizzando programmi di recupero dati. Di norma, i virus di crittografia funzionano secondo il seguente schema: creano una copia crittografata del file ed eliminano l'originale senza sovrascriverlo. Cioè, solo l'etichetta del file viene effettivamente rimossa, mentre i dati stessi vengono conservati e possono essere ripristinati. Ci sono due programmi sul nostro sito: è più adatto per la rianimazione di file multimediali e foto e R.Saver gestisce bene documenti e archivi.
Naturalmente, è necessario rimuovere il virus stesso dal sistema. Se Windows si avvia, Malwarebytes Anti-Malware è un buon programma per questo. Se il virus ha bloccato il download, verrai salvato disco di avvio Dr.Web LiveCD con la collaudata utility anti-malware Dr.Web CureIt a bordo. A ultimo caso dovrà fare di più Recupero MBR. Dal LiveCD di Dr.Web in poi Basato su Linux, quindi penso che avrai bisogno di un'istruzione da Habr su questo argomento.
risultati
Il problema dei virus su Windows è rilevante da molti anni. E ogni anno vediamo che gli autori di virus inventano forme sempre più sofisticate per danneggiare i computer degli utenti. Gli ultimi focolai di ransomware ci mostrano che i criminali informatici si stanno gradualmente trasformando in estorsioni attive!
Sfortunatamente, anche se paghi in denaro, è improbabile che tu riceva alcuna risposta. Molto probabilmente, dovrai ripristinare i tuoi dati da solo. Pertanto, è meglio essere vigili in tempo e prevenire l'infezione piuttosto che scherzare con l'eliminazione delle sue conseguenze per molto tempo!
PS È concesso il permesso di copiare e citare liberamente questo articolo, a condizione che lo apra collegamento attivo sulla fonte e la conservazione della paternità di Ruslan Tertyshny.
Un'ondata del nuovo virus di crittografia WannaCry (altri nomi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) ha fatto il giro del mondo, che crittografa i documenti su un computer ed estorce 300-600 USD per la loro decodifica. Come sapere se un computer è infetto? Cosa si dovrebbe fare per evitare di diventare una vittima? E cosa si può fare per guarire?
Il tuo computer è stato infettato da Wana Decryptor?
Dopo aver installato gli aggiornamenti, il computer dovrà essere riavviato: ora il virus ransomware non ti penetrerà.
Come recuperare dal virus di crittografia Wana Decrypt0r?
Quando l'utilità antivirus rileva un virus, lo rimuoverà immediatamente o ti chiederà: trattarlo o no? La risposta è guarire.
Come recuperare i file crittografati da Wana Decryptor?
Non abbiamo nulla di consolante da dire al momento. Finora non è stato creato alcuno strumento di decrittazione dei file. Resta solo da aspettare fino allo sviluppo del decryptor.
Secondo Brian Krebs, un esperto di sicurezza informatica, i criminali hanno ricevuto finora solo 26.000 dollari, il che significa che solo circa 58 persone hanno accettato di pagare il riscatto per il ransomware. Nessuno lo sa se hanno ripristinato i loro documenti contemporaneamente.
