Come configurare smartphone e PC. Portale informativo
  • casa
  • Windows 10
  • WannaCry virus ransomware: cosa fare? WannaCry: come proteggersi da un virus ransomware.

WannaCry virus ransomware: cosa fare? WannaCry: come proteggersi da un virus ransomware.

16.07.2019 Windows 10

WannaCry, Petya, Mischa e altri virus ransomware non ti minacceranno se segui questi semplici consigli per prevenire le infezioni del PC!

La scorsa settimana, l'intera Internet è stata scossa dalla notizia di un nuovo virus ransomware. Ha innescato un'epidemia molto più grande in molti paesi del mondo rispetto al famigerato WannaCry, che ha colpito nel maggio di quest'anno. Il nuovo virus ha molti nomi: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, tuttavia, il più delle volte appare semplicemente come Petya.

Gli attacchi continuano questa settimana. Anche il nostro ufficio ha ricevuto una lettera abilmente camuffata da un mitico aggiornamento del software! Fortunatamente, nessuno ha pensato di aprire l'archivio senza di me :) Pertanto, vorrei dedicare l'articolo di oggi alla domanda su come proteggere il tuo computer dai virus ransomware e non diventare vittima di Petya o di qualche altro ransomware.

Cosa fanno i virus ransomware?

I primi virus ransomware sono comparsi intorno ai primi anni 2000. Molti di coloro che hanno utilizzato Internet in quegli anni probabilmente ricordano Trojan.WinLock. Ha bloccato l'avvio del computer e, per ricevere il codice di sblocco, ha chiesto di trasferire un determinato importo su un portafoglio WebMoney o su un account di telefonia mobile:

I primi blocchi di Windows erano abbastanza innocui. La loro finestra con il testo sulla necessità di trasferire fondi all'inizio potrebbe essere semplicemente "inchiodata" tramite il Task Manager. Poi sono apparse versioni più sofisticate del Trojan, che hanno apportato modifiche a livello di registro e persino all'MBR. Ma anche questo potrebbe essere "curato" se si sapesse cosa fare.

I moderni virus ransomware sono diventati cose molto pericolose. Non solo bloccano il funzionamento del sistema, ma crittografano anche il contenuto del disco rigido (incluso il record di avvio principale MBR). Per sbloccare il sistema e decifrare i file, i criminali informatici ora addebitano una commissione in BitCoin "ah, equivalente all'importo da 200 a 1000 dollari USA! Inoltre, anche se trasferisci i fondi concordati sul portafoglio specificato, ciò non garantirà che gli hacker ti mando la chiave di sblocco...

Un punto importante è che oggi non ci sono praticamente modi operativi per sbarazzarsi del virus e recuperare i tuoi file. Pertanto, secondo me, è meglio inizialmente non cadere in tutti i tipi di trucchi e proteggere più o meno in modo affidabile il tuo computer da potenziali attacchi.

Come evitare di diventare vittima del virus

I virus ransomware di solito si diffondono in due modi. I primi exploit vari vulnerabilità tecniche in Windows. Ad esempio, WannaCry ha utilizzato l'exploit EternalBlue, che ha consentito l'accesso al computer tramite il protocollo SMB. E il nuovo ransomware Petya può penetrare nel sistema attraverso le porte TCP aperte 1024-1035, 135 e 445. Il metodo di infezione più comune è phishing... In poche parole, gli stessi utenti infettano un PC aprendo file dannosi inviati per posta!

Protezione tecnica contro virus ransomware

Sebbene le infezioni virali dirette non siano così comuni, si verificano. Pertanto, è meglio eliminare in anticipo le potenziali falle di sicurezza già note. Innanzitutto, devi aggiornare il tuo antivirus o installarlo (ad esempio, il 360 Total Security gratuito fa un buon lavoro nel riconoscere i virus ransomware). In secondo luogo, assicurati di installare gli ultimi aggiornamenti di Windows.

Quindi, per eliminare un bug potenzialmente pericoloso nel protocollo SMB, Microsoft ha rilasciato aggiornamenti fuori servizio per tutti i sistemi, a partire da Windows XP. Puoi scaricarli per la tua versione del sistema operativo.

Per proteggersi da Petya, si consiglia di chiudere un certo numero di porte sul computer. Per fare ciò, il modo più semplice è utilizzare lo standard firewall... Aprilo nel Pannello di controllo e seleziona la sezione nella barra laterale "Opzioni aggiuntive"... Si aprirà una finestra per la gestione delle regole di filtraggio. Si prega di selezionare "Regole per le connessioni in entrata" e sul lato destro clicca "Crea regola"... Si aprirà una procedura guidata speciale in cui è necessario creare una regola "Per il porto" e poi seleziona l'opzione "Porte locali specifiche" e scrivi quanto segue: 1024-1035, 135, 445 :

Dopo aver aggiunto l'elenco delle porte, nella schermata successiva, imposta l'opzione "Blocca connessione" per tutti i profili e impostare un nome (descrizione facoltativa) per la nuova regola. Se credi alle raccomandazioni su Internet, questo impedirà al virus di scaricare i file di cui ha bisogno, anche se arriva al tuo computer.

Inoltre, se vieni dall'Ucraina e hai utilizzato il software di contabilità Me.Doc, potresti installare aggiornamenti che contengono backdoor. Queste backdoor sono state utilizzate per infettare i computer su larga scala con il virus Petya.A. Tra quelli analizzati oggi si conoscono almeno tre aggiornamenti con vulnerabilità di sicurezza:

  • 10.01.175-10.01.176 del 14 aprile;
  • 10.01.180-10.01.181 del 15 maggio;
  • 10.01.188-10.01.189 del 22 giugno.

Se hai installato questi aggiornamenti, sei a rischio!

Protezione dal phishing

Come già accennato, il fattore umano è responsabile della maggior parte delle infezioni. Hacker e spammer hanno lanciato una massiccia campagna di phishing in tutto il mondo. All'interno del suo quadro, sono state inviate e-mail presumibilmente da organizzazioni ufficiali con vari allegati emessi per account, aggiornamenti software o altri dati "importanti". È stato sufficiente per l'utente aprire un file dannoso mascherato e ha installato un virus sul computer che ha crittografato tutti i dati!

Come distinguere un'email di phishing da una reale. Questo è molto facile da fare se segui il buon senso e le seguenti linee guida:

  1. Da chi arriva la lettera? Prima di tutto, prestiamo attenzione al mittente. Gli hacker possono firmare una lettera, anche con il nome di tua nonna! Tuttavia, c'è un punto importante. Dovresti conoscere l'e-mail della "nonna" e il mittente di un'e-mail di phishing sarà solitamente un insieme di caratteri indefinito. Qualcosa di simile a: " [e-mail protetta]". E un'altra sfumatura: il nome del mittente e il suo indirizzo, se questa è una lettera ufficiale, di solito sono correlati tra loro. Ad esempio, un'e-mail di una certa azienda" Pupkin and Co "potrebbe sembrare" [e-mail protetta]"ma è improbabile che assomigli" [e-mail protetta]" :)
  2. Di cosa parla la lettera? In genere, le e-mail di phishing contengono un invito all'azione o un suggerimento al riguardo nella riga dell'oggetto. In questo caso, il corpo della lettera di solito non dice nulla o viene fornita una motivazione aggiuntiva per aprire i file allegati. Le parole "URGENTE!", "Fattura di servizio" o "Aggiornamento critico" nelle lettere di mittenti sconosciuti possono essere un ottimo esempio di qualcuno che cerca di hackerarti. Pensa logicamente! Se non hai richiesto fatture, aggiornamenti o altri documenti da una determinata azienda, questo è con una probabilità del 99%: phishing ...
  3. Cosa c'è nella lettera? L'elemento principale di un'e-mail di phishing sono i suoi allegati. Il tipo più ovvio di allegato potrebbe essere un file EXE con un falso "aggiornamento" o "programma". Tali attaccamenti sono un falso piuttosto grossolano, ma si verificano.

    Modi più "graziosi" per ingannare l'utente sono mascherare lo script che scarica il virus come documento Excel o Word. Il travestimento può essere di due tipi. Nella prima variante, lo script stesso si presenta come un documento d'ufficio ed è riconoscibile dalla "doppia" estensione del nome, ad esempio "Account .xls.js"o" Sommario .doc.vbs". Nel secondo caso, l'allegato può essere costituito da due file: un documento reale e un file con uno script, che viene chiamato come macro da un documento Word o Excel dell'ufficio.

    In ogni caso, non dovresti aprire tali documenti, anche se il "mittente" ti chiede di farlo! Se anche all'improvviso tra i tuoi clienti c'è qualcuno che potrebbe teoricamente inviarti una lettera con un contenuto simile, è meglio che ti prendi la briga di contattarlo direttamente e chiarire se ti ha inviato dei documenti. Un movimento eccessivo del corpo in questo caso può salvarti da inutili problemi!

Penso che se chiudi tutte le lacune tecniche nel tuo computer e non soccomberai alle provocazioni degli spammer, allora non avrai paura di nessun virus!

Come recuperare i file dopo l'infezione

E, tuttavia, sei riuscito a infettare il tuo computer con un virus di crittografia ... NON SPEGNERE IL PC DOPO LA VISUALIZZAZIONE DEL MESSAGGIO DI CRITTOGRAFIA !!!

Il fatto è che a causa di una serie di errori nel codice dei virus stessi, prima di riavviare il computer, c'è la possibilità di estrarre la chiave dalla memoria, necessaria per decrittografare i file! Ad esempio, l'utility wannakiwi è adatta per ottenere la chiave di decrittazione WannaCry. Purtroppo, non esistono soluzioni del genere per recuperare i file dopo un attacco Petya, ma puoi provare a estrarli dalle copie shadow dei dati (se hai attivato l'opzione per crearli su una partizione del disco rigido) utilizzando il programma ShadowExplorer in miniatura:

Se hai già riavviato il computer o i suggerimenti di cui sopra non sono stati utili, puoi ripristinare i file solo con l'aiuto di programmi di recupero dati. Di norma, i virus ransomware funzionano secondo il seguente schema: creano una copia crittografata di un file ed eliminano l'originale senza sovrascriverlo. Cioè, in effetti, viene eliminato solo il contrassegno del file e i dati stessi vengono salvati e possono essere ripristinati. Ci sono due programmi sul nostro sito: più adatto per la rianimazione di file multimediali e foto e R.Saver gestisce bene documenti e archivi.

Naturalmente, il virus stesso deve essere rimosso dal sistema. Se Windows si avvia, Malwarebytes Anti-Malware è una buona scelta. Se il virus ha bloccato il download, verrai salvato dal disco di avvio di Dr.Web LiveCD con l'utilità collaudata per combattere vari malware Dr.Web CureIt a bordo. In quest'ultimo caso, dovrai occuparti anche del ripristino dell'MBR. Poiché il LiveCD di Dr.Web è basato su Linux, penso che avrai bisogno di istruzioni da Habr su questo argomento.

conclusioni

Il problema dei virus su Windows è rilevante da molti anni. E ogni anno vediamo che gli autori di virus inventano forme sempre più sofisticate per danneggiare i computer degli utenti. Le ultime epidemie di virus ransomware ci mostrano che i criminali informatici si stanno gradualmente trasformando in estorsioni attive!

Sfortunatamente, anche se paghi, è improbabile che tu riceva alcuna risposta. Molto probabilmente, dovrai ripristinare i tuoi dati da solo. Pertanto, è meglio essere vigili in tempo e prevenire l'infezione piuttosto che pasticciare con l'eliminazione delle sue conseguenze per molto tempo!

P.S. È consentito copiare e citare liberamente questo articolo, a condizione che sia indicato un collegamento attivo aperto alla fonte e sia preservata la paternità di Ruslan Tertyshny.

Le moderne tecnologie consentono agli hacker di migliorare costantemente i metodi di frode in relazione agli utenti ordinari. Di norma, per questi scopi, viene utilizzato un software antivirus che penetra nel computer. I virus ransomware sono considerati particolarmente pericolosi. La minaccia risiede nel fatto che il virus si diffonde molto rapidamente, crittografando i file (l'utente semplicemente non può aprire alcun documento). E se è abbastanza semplice, è molto più difficile decifrare i dati.

Cosa fare se un virus ha file crittografati sul tuo computer

Chiunque può essere attaccato da un ransomware, anche gli utenti che dispongono di un potente software antivirus non sono assicurati. I trojan per la crittografia dei file sono rappresentati da vari codici che potrebbero essere al di là della potenza di un antivirus. Gli hacker riescono ad attaccare in questo modo anche grandi aziende, che non si sono prese cura della necessaria protezione delle loro informazioni. Quindi, dopo aver "raccolto" il programma ransomware online, è necessario prendere una serie di misure.

I principali segni di infezione sono le prestazioni lente del computer e la modifica dei nomi dei documenti (è possibile vederlo sul desktop).

  1. Riavvia il computer per interrompere la crittografia. Se abilitato, non confermare l'avvio di programmi sconosciuti.
  2. Esegui il tuo antivirus se non è stato attaccato da un ransomware.
  3. In alcuni casi, le copie shadow ti aiuteranno a recuperare le informazioni. Per trovarli, apri le "Proprietà" del documento crittografato. Questo metodo funziona con i dati crittografati dell'estensione Vault, di cui sono disponibili informazioni sul portale.
  4. Scarica l'ultima utility per combattere i virus ransomware. I più efficaci sono offerti da Kaspersky Lab.

Virus ransomware nel 2016: esempi

Quando si combatte un attacco di virus, è importante capire che il codice cambia molto spesso, integrato da una nuova protezione antivirus. Naturalmente, i programmi di protezione richiedono un po' di tempo prima che lo sviluppatore aggiorni i database. Abbiamo selezionato i virus ransomware più pericolosi degli ultimi tempi.

Ishtar ransomware

Ishtar è un ransomware che estorce denaro all'utente. Il virus è stato notato nell'autunno del 2016, infettando un numero enorme di computer di utenti provenienti dalla Russia e da molti altri paesi. Viene distribuito utilizzando una distribuzione e-mail con documenti allegati (installatori, documenti, ecc.). Ai dati infettati dal ransomware Ishtar viene assegnato il prefisso "ISHTAR" nel nome. Nel processo, viene creato un documento di prova, che indica dove andare per ottenere una password. Gli aggressori richiedono da 3000 a 15000 rubli per questo.

Il pericolo del virus Ishtar è che oggi non esiste un decryptor che aiuti gli utenti. Le aziende di software antivirus impiegano del tempo per decifrare tutto il codice. Ora puoi solo isolare le informazioni importanti (se di particolare importanza) su un supporto separato, in attesa del rilascio di un'utilità in grado di decrittare i documenti. Si consiglia di reinstallare il sistema operativo.

Neitrino

Il ransomware Neitrino è apparso su Internet nel 2015. Per il principio dell'attacco, è simile ad altri virus di una categoria simile. Modifica i nomi di cartelle e file aggiungendo "Neitrino" o "Neutrino". Il virus è difficile da decifrare: non tutti i rappresentanti delle società di antivirus lo intraprendono, riferendosi a un codice molto complesso. Alcuni utenti potrebbero trovare utile ripristinare una copia shadow. Per fare ciò, fare clic con il pulsante destro del mouse sul documento crittografato, andare su Proprietà, la scheda Versioni precedenti, fare clic su Ripristina. Non sarà superfluo utilizzare un'utilità gratuita di Kaspersky Lab.

Portafoglio o .portafoglio.

Il virus ransomware Wallet è apparso alla fine del 2016. Nel processo di infezione, cambia il nome dei dati in "Nome..portafoglio" o qualcosa di simile. Come la maggior parte dei virus ransomware, entra nel sistema tramite allegati di posta elettronica inviati dai criminali informatici. Poiché la minaccia è apparsa di recente, i programmi antivirus non la notano. Dopo la crittografia, crea un documento in cui il truffatore specifica la posta per la comunicazione. Attualmente, gli sviluppatori di software antivirus stanno lavorando per decifrare il codice del ransomware [e-mail protetta] Gli utenti attaccati possono solo aspettare. Se i dati sono importanti, si consiglia di salvarli su un'unità esterna pulendo il sistema.

Enigma

Il virus ransomware Enigma ha iniziato a infettare i computer degli utenti russi alla fine di aprile 2016. Il modello di crittografia utilizzato è AES-RSA, che si trova oggi nella maggior parte dei virus ransomware. Il virus entra in un computer utilizzando uno script che l'utente stesso avvia aprendo file da un'e-mail sospetta. Non esiste ancora uno strumento universale per combattere il ransomware Enigma. Gli utenti con una licenza antivirus possono chiedere aiuto sul sito Web ufficiale dello sviluppatore. È stata anche trovata una piccola "scappatoia": Windows UAC. Se l'utente fa clic su "No" nella finestra che appare durante l'infezione da virus, potrà successivamente recuperare le informazioni utilizzando copie shadow.

Granito

Il nuovo virus ransomware Granit è apparso sul Web nell'autunno del 2016. L'infezione si verifica secondo il seguente scenario: l'utente avvia il programma di installazione, che infetta e crittografa tutti i dati sul PC, nonché sulle unità collegate. Combattere il virus è difficile. Per rimuoverlo, puoi utilizzare utilità speciali di Kaspersky, ma il codice non è stato ancora decrittografato. Forse il ripristino delle versioni precedenti dei dati sarà d'aiuto. Inoltre, uno specialista con una vasta esperienza può decifrare, ma il servizio è costoso.

Tyson

È stato avvistato di recente. È un'estensione del noto ransomware no_more_ransom, che puoi trovare sul nostro sito web. Arriva ai personal computer dalla posta elettronica. Molti PC aziendali sono stati attaccati. Il virus crea un documento di testo con le istruzioni per lo sblocco, proponendosi di pagare un riscatto. Il ransomware Tyson è apparso di recente, quindi non esiste ancora una chiave per sbloccarlo. L'unico modo per recuperare le informazioni è restituire le versioni precedenti, se non sono state rimosse da un virus. Puoi, ovviamente, correre il rischio trasferendo denaro sul conto indicato dai criminali informatici, ma non c'è alcuna garanzia che riceverai una password.

Spora

All'inizio del 2017, un certo numero di utenti è caduto vittima del nuovo ransomware Spora. Secondo il principio di funzionamento, non differisce molto dalle sue controparti, ma può vantare prestazioni più professionali: le istruzioni per ottenere una password sono compilate meglio, il sito Web sembra più carino. Creato un virus ransomware Spora in linguaggio C, utilizza una combinazione di RSA e AES per crittografare i dati della vittima. Di norma, sono stati attaccati i computer su cui viene utilizzato attivamente il software di contabilità 1C. Il virus, che si nasconde sotto le spoglie di una semplice fattura .pdf, la fa lanciare dai dipendenti dell'azienda. Nessuna cura è stata ancora trovata.

1C.Drop.1

Questo virus ransomware per 1C è apparso nell'estate del 2016, interrompendo il lavoro di molti reparti contabili. È stato sviluppato specificamente per i computer che utilizzano il software 1C. Passando attraverso un file in una e-mail su un PC, invita il proprietario ad aggiornare il programma. Qualunque sia il pulsante premuto dall'utente, il virus inizierà a crittografare i file. Gli specialisti di Dr.Web stanno lavorando su strumenti di decrittazione, ma non sono ancora state trovate soluzioni. Ciò è dovuto al codice complesso, che può essere in diverse modifiche. La protezione contro 1C.Drop.1 è solo la vigilanza degli utenti e l'archiviazione regolare di documenti importanti.

da_vinci_code

Nuovo ransomware con un nome insolito. Il virus è apparso nella primavera del 2016. Si differenzia dai suoi predecessori per il codice migliorato e la modalità di crittografia avanzata. da_vinci_code infetta un computer grazie a un'applicazione esecutiva (solitamente allegata a un messaggio di posta elettronica), che l'utente avvia da solo. Il codice da vinci copia il corpo nella directory di sistema e nel registro, assicurandosi che si avvii automaticamente all'avvio di Windows. Al computer di ogni vittima viene assegnato un ID univoco (aiuta a ottenere una password). È quasi impossibile decifrare i dati. Puoi pagare soldi ai criminali informatici, ma nessuno garantisce che riceverai una password.

[e-mail protetta] / [e-mail protetta]

Due indirizzi e-mail che sono stati frequentemente associati a virus ransomware nel 2016. Sono loro che servono a collegare la vittima con l'attaccante. In allegato c'erano indirizzi per vari tipi di virus: da_vinci_code, no_more_ransom e così via. È altamente sconsigliato contattare e trasferire denaro a truffatori. Gli utenti nella maggior parte dei casi rimangono senza password. Quindi, dimostrando che il ransomware dei criminali informatici sta lavorando per generare reddito.

Breaking Bad

È apparso all'inizio del 2015, ma si è diffuso attivamente solo un anno dopo. Il principio dell'infezione è identico ad altri ransomware: installazione di un file da un'e-mail, crittografia dei dati. Gli antivirus regolari di solito non notano il virus Breaking Bad. Alcuni codici non possono ignorare l'UAC di Windows, quindi l'utente ha la possibilità di ripristinare le versioni precedenti dei documenti. Nessuna società di software antivirus ha ancora fornito un decodificatore.

XTBL

Un ransomware molto comune che ha causato problemi a molti utenti. Una volta su un PC, il virus cambia l'estensione del file in .xtbl in pochi minuti. Viene creato un documento in cui un utente malintenzionato estorce denaro. Alcune varietà di virus XTBL non possono distruggere i file di Ripristino configurazione di sistema, consentendo la restituzione di documenti importanti. Il virus stesso può essere rimosso da molti programmi, ma è molto difficile decifrare i documenti. Se sei il proprietario di un antivirus con licenza, utilizza il supporto tecnico allegando campioni di dati infetti.

Kukaracha

Il ransomware "Cucaracha" è stato individuato nel dicembre 2016. Un virus con un nome interessante nasconde i file degli utenti utilizzando l'algoritmo RSA-2048, che è altamente resistente. Kaspersky Anti-Virus lo ha designato come Trojan-Ransom.Win32.Scatter.lb. Kukaracha può essere rimosso dal tuo computer in modo che altri documenti non vengano infettati. Tuttavia, gli infetti oggi sono quasi impossibili da decifrare (algoritmo molto potente).

Come funziona un virus ransomware

Esiste un numero enorme di ransomware, ma funzionano tutti secondo un principio simile.

  1. Contatto con un personal computer. In genere, grazie a un allegato di posta elettronica. L'installazione viene avviata dall'utente stesso aprendo il documento.
  2. Infezione da file. Quasi tutti i tipi di file sono crittografati (a seconda del virus). Viene creato un documento di testo che contiene i contatti per la comunicazione con gli aggressori.
  3. Tutto quanto. L'utente non può accedere ad alcun documento.

Rimedi di controllo da laboratori popolari

L'uso diffuso di ransomware, che sono riconosciuti come le minacce più pericolose per i dati degli utenti, è diventato l'impulso per molti laboratori antivirus. Ogni azienda popolare fornisce ai propri utenti programmi per aiutarli a combattere il ransomware. Inoltre, molti di loro aiutano con la decrittazione dei documenti proteggendo il sistema.

Kaspersky e virus ransomware

Uno dei laboratori antivirus più famosi in Russia e nel mondo offre oggi i mezzi più efficaci per combattere i virus ransomware. Il primo ostacolo per il virus ransomware sarà Kaspersky Endpoint Security 10 con gli ultimi aggiornamenti. L'antivirus semplicemente non consentirà alla minaccia di entrare nel computer (anche se potrebbe non bloccare le nuove versioni). Per decrittografare le informazioni, lo sviluppatore presenta diverse utilità gratuite contemporaneamente: XoristDecryptor, RakhniDecryptor e Ransomware Decryptor. Aiutano a trovare il virus e indovinare la password.

Dott. Web e ransomware

Questo laboratorio consiglia di utilizzare il loro programma antivirus, la cui caratteristica principale è il backup dei file. L'archiviazione con copie di documenti è inoltre protetta da accessi non autorizzati da parte di intrusi. I proprietari del prodotto concesso in licenza Dr. Web, è disponibile la funzione per contattare il supporto tecnico. È vero, anche gli specialisti esperti non sono sempre in grado di resistere a questo tipo di minaccia.

ESET Nod 32 e ransomware

Anche questa azienda non si è fatta da parte, fornendo ai suoi utenti una buona protezione contro i virus che entrano nel computer. Inoltre, il laboratorio ha recentemente rilasciato un'utilità gratuita con database aggiornati: Eset Crysis Decryptor. Gli sviluppatori affermano che aiuterà nella lotta anche contro il ransomware più recente.

15/05/2017, Lun, 13:33, ora di Mosca, Testo: Pavel Pritula

Di recente, in Russia si è verificato uno dei più grandi e "rumorosi" attacchi informatici, a giudicare dalla stampa: le reti di diversi dipartimenti e grandi organizzazioni, tra cui il Ministero degli affari interni, sono state attaccate da criminali informatici. Il virus ha crittografato i dati sui computer dei dipendenti e ha estorto ingenti somme di denaro in modo che potessero continuare il loro lavoro. Questo è un chiaro esempio del fatto che nessuno è immune dal ransomware. Tuttavia, questa minaccia può essere combattuta: mostreremo diversi modi offerti da Microsoft.

Cosa sappiamo del ransomware? Sembra che questi siano criminali che richiedono denaro o cose da te sotto la minaccia di conseguenze negative. Negli affari, questo accade di tanto in tanto, tutti hanno un'idea approssimativa di come agire in tali situazioni. Ma cosa dovresti fare se un virus ransomware si è insediato sui tuoi computer di lavoro, blocca l'accesso ai tuoi dati e ti richiede di trasferire denaro a determinate persone in cambio di un codice di sblocco? È necessario contattare gli specialisti della sicurezza delle informazioni. Ed è meglio farlo in anticipo per evitare problemi.

Il numero di crimini informatici è cresciuto di un ordine di grandezza negli ultimi anni. Secondo uno studio di SentinelOne, la metà delle aziende nei principali paesi europei è stata attaccata da virus ransomware, di cui oltre l'80% è stato preso di mira tre o più volte. Un quadro simile si osserva in tutto il mondo. La società di sicurezza delle informazioni Clearswift nomina una sorta di paesi "principali" più colpiti dal ransomware: il ransomware: Stati Uniti, Russia, Germania, Giappone, Gran Bretagna e Italia. Le piccole e medie imprese sono di particolare interesse per i criminali informatici, perché dispongono di più denaro e dati più sensibili rispetto agli individui e non dispongono di potenti servizi di sicurezza come le grandi aziende.

Cosa fare e, soprattutto, come prevenire un attacco ransomware? Innanzitutto, valutiamo la minaccia stessa. L'attacco può essere effettuato in diversi modi. Uno dei più comuni è la posta elettronica. I criminali utilizzano attivamente metodi di ingegneria sociale, la cui efficacia non è minimamente diminuita dai tempi del famoso hacker del XX secolo, Kevin Mitnick. Possono chiamare un dipendente dell'azienda vittima per conto di una controparte reale e, dopo la conversazione, inviare una lettera con un allegato contenente un file dannoso. Il dipendente ovviamente lo aprirà perché ha appena parlato con il mittente al telefono. Oppure il commercialista può ricevere una lettera presumibilmente dal servizio di ufficiale giudiziario o dalla banca che serve la sua azienda. Nessuno è assicurato, e nemmeno il Ministero degli Interni soffre per la prima volta: alcuni mesi fa, gli hacker hanno inviato una fattura falsa di Rostelecom al dipartimento di contabilità della Direzione Lineare di Kazan del Ministero degli Interni con un virus ransomware che bloccato il sistema contabile.

La fonte dell'infezione può essere un sito di phishing, a cui l'utente ha avuto accesso tramite un collegamento ingannevole, o un'unità flash "dimenticata accidentalmente" da uno dei visitatori dell'ufficio. Sempre più spesso, l'infezione avviene attraverso i dispositivi mobili non protetti dei dipendenti, dai quali accedono alle risorse aziendali. E l'antivirus potrebbe non funzionare: ci sono centinaia di malware noti per aggirare gli antivirus, per non parlare degli attacchi zero-day che sfruttano i buchi appena aperti nel software.

Che cos'è il ransomware?

Un programma noto come ransomware, ransomware, ransomware blocca l'accesso dell'utente al sistema operativo e di solito crittografa tutti i dati sul disco rigido. Sullo schermo viene visualizzato un messaggio che informa che il computer è bloccato e che il proprietario è obbligato a trasferire una grande quantità di denaro all'attaccante se vuole riprendere il controllo dei dati. Molto spesso, sullo schermo viene attivato un conto alla rovescia di 2-3 giorni in modo che l'utente si affretti, altrimenti il ​​contenuto del disco verrà distrutto. A seconda degli appetiti dei criminali e delle dimensioni dell'azienda, gli importi del riscatto in Russia vanno da alcune decine a diverse centinaia di migliaia di rubli.

Tipi di ransomware

Fonte: Microsoft, 2017

Questi programmi dannosi sono noti da molti anni, ma negli ultimi due o tre anni hanno avuto un vero e proprio fiorire. Come mai? Primo, perché le persone pagano i criminali informatici. Secondo Kaspersky Lab, il 15% delle aziende russe attaccate in questo modo preferisce pagare il riscatto, e 2/3 delle aziende nel mondo sottoposte a tale attacco hanno perso in tutto o in parte i propri dati aziendali.

In secondo luogo, gli strumenti dei criminali informatici sono diventati più sofisticati e accessibili. E il terzo: i tentativi indipendenti della vittima di "indovinare la password" non finiscono bene e la polizia raramente riesce a trovare criminali, specialmente durante il conto alla rovescia.

A proposito. Non tutti gli hacker passano il loro tempo a cercare di fornire una password a una vittima che ha trasferito loro l'importo richiesto.

Qual è il problema aziendale?

Il problema principale nel campo della sicurezza delle informazioni per le piccole e medie imprese in Russia è che non hanno soldi per potenti strumenti specializzati di sicurezza delle informazioni e ci sono sistemi IT e dipendenti più che sufficienti con cui possono verificarsi tutti i tipi di incidenti . Per combattere il ransomware non basta avere solo firewall, antivirus e policy di sicurezza configurati. È necessario utilizzare tutti gli strumenti disponibili, forniti principalmente dal fornitore del sistema operativo, perché è economico (o incluso nel costo del sistema operativo) ed è compatibile al 100% con il proprio software.

La stragrande maggioranza dei computer client e una parte significativa dei server funzionano con Microsoft Windows. Tutti conoscono gli strumenti di sicurezza integrati, come Windows Defender e Windows Firewall, che, insieme agli ultimi aggiornamenti del sistema operativo e ai diritti utente limitati, forniscono un livello di sicurezza abbastanza sufficiente per un normale dipendente in assenza di strumenti specializzati.

Ma la particolarità del rapporto tra business e cybercriminali è che spesso i primi non sono consapevoli di essere attaccati dai secondi. Pensano di essere protetti, ma in realtà il malware è già penetrato nel perimetro della rete e sta tranquillamente facendo il suo lavoro - dopotutto, non tutti si comportano sfacciatamente come i Trojan ransomware.

Microsoft ha cambiato il suo approccio alla sicurezza: ora ha ampliato la sua linea di prodotti per la sicurezza delle informazioni e si concentra non solo sul rendere l'azienda il più sicura possibile dagli attacchi moderni, ma anche sulla possibilità di indagare su di essi in caso di infezione verificarsi.

Protezione della posta

Il sistema di posta come principale canale di penetrazione delle minacce nella rete aziendale deve essere ulteriormente protetto. Per fare ciò, Microsoft ha sviluppato il sistema Exchange ATP (Advanced Treat Protection), che analizza gli allegati di posta elettronica oi collegamenti Internet e risponde in modo tempestivo agli attacchi rilevati. È un prodotto separato, si integra con Microsoft Exchange e non ha bisogno di essere distribuito su ogni macchina client.

Exchange ATP può persino rilevare gli attacchi zero-day perché avvia tutti gli allegati in una sandbox speciale senza rilasciarli al sistema operativo e ne analizza il comportamento. Se non contiene segni di attacco, l'allegato è considerato sicuro e l'utente può aprirlo. Un file potenzialmente dannoso viene inviato in quarantena e l'amministratore ne riceve una notifica.

Per quanto riguarda i collegamenti nelle lettere, sono anche controllati. Exchange ATP sostituisce tutti i collegamenti intermedi. L'utente fa clic sul collegamento nella lettera, accede al collegamento intermedio e in questo momento il sistema controlla l'indirizzo per sicurezza. Il controllo è così veloce che l'utente non si accorge del ritardo. Se il collegamento conduce a un sito o file infetto, è vietato quanto segue.

Come funziona Exchange ATP

Fonte: Microsoft, 2017

Perché il controllo avviene al momento del clic e non alla ricezione della lettera - dopotutto, c'è più tempo per la ricerca e, quindi, sarà necessaria meno potenza di calcolo? Questo viene fatto specificamente per proteggersi dal trucco dei criminali informatici di sostituire il contenuto del collegamento. Un esempio tipico: una lettera arriva nella casella di posta di notte, il sistema controlla e non rileva nulla, e al mattino il sito ha già pubblicato questo link, ad esempio un file con un trojan che l'utente scarica in sicurezza.

E la terza parte del servizio Exchange ATP è il sistema di reporting integrato. Consente di indagare sugli incidenti che si sono verificati e fornisce i dati per rispondere alle domande: quando si è verificata l'infezione, come e dove si è verificata. Ciò consente di trovare la fonte, determinare il danno e capire di cosa si trattava: un colpo accidentale o un attacco mirato e mirato contro questa azienda.

Questo sistema è utile anche per la prevenzione. Ad esempio, un amministratore può aumentare le statistiche su quanti clic sono stati effettuati su collegamenti contrassegnati come pericolosi e chi degli utenti lo ha fatto. Anche se l'infezione non si è verificata, è comunque necessario svolgere un lavoro esplicativo con questi dipendenti.

È vero, ci sono categorie di dipendenti che sono costrette dalle responsabilità lavorative a visitare una varietà di siti, ad esempio gli esperti di marketing che effettuano ricerche di mercato. Per loro, le tecnologie Microsoft consentono di configurare la politica in modo che tutti i file scaricati vengano scansionati nella "sandbox" prima di essere salvati sul computer. Inoltre, le regole si impostano in pochi clic.

Protezione delle credenziali

Uno degli obiettivi degli attacchi dannosi sono le credenziali dell'utente. Esistono molte tecnologie per rubare nomi utente e password degli utenti e devono essere contrastate da una protezione forte. C'è poca speranza per i dipendenti stessi: escogitano password semplici, usano una password per accedere a tutte le risorse e le annotano su un adesivo incollato al monitor. Questo può essere combattuto con misure amministrative e impostando a livello di codice i requisiti per le password, ma non ci sarà comunque alcun effetto garantito.

Se un'azienda si preoccupa della sicurezza, i diritti di accesso sono differenziati in essa e, ad esempio, un ingegnere o un responsabile delle vendite non può accedere al server di contabilità. Ma gli hacker hanno un altro trucco in serbo: possono inviare una lettera dal conto catturato di un normale dipendente allo specialista di destinazione che possiede le informazioni necessarie (dati finanziari o segreti commerciali). Dopo aver ricevuto una lettera da un "collega", il destinatario la aprirà al cento per cento e avvierà l'allegato. E il ransomware avrà accesso a dati preziosi per l'azienda, per il cui ritorno l'azienda può pagare molti soldi.

Per impedire a un account violato di accedere a un sistema aziendale, Microsoft suggerisce di proteggerlo con Azure Multifactor Authentication. Cioè, per entrare, devi inserire non solo una coppia login / password, ma anche un codice PIN inviato in SMS, notifica push, generato da un'applicazione mobile o rispondere a una telefonata al robot. L'autenticazione a più fattori è particolarmente utile quando si lavora con dipendenti remoti che possono accedere al sistema aziendale da diverse parti del mondo.

Autenticazione a più fattori di Azure

Questo articolo è stato preparato in relazione a un massiccio attacco di hacker su scala globale che potrebbe interessarti. Le conseguenze sono davvero gravi. Di seguito troverai una breve descrizione del problema e una descrizione delle principali misure che devono essere prese per proteggersi dal ransomware della famiglia WannaCry.

Il virus ransomware WannaCry sfrutta la vulnerabilità Microsoft Windows MS17-010 per eseguire il codice dannoso ed eseguire il ransomware su PC vulnerabili, il virus si offre di pagare ai criminali informatici circa $ 300 per decifrare i dati. Il virus si è diffuso ampiamente su scala globale, ricevendo una copertura attiva nei media: Fontanka.ru, Gazeta.ru, RBK.

Questa vulnerabilità interessa i PC che eseguono Windows da XP a Windows 10 e Server 2016, puoi leggere le informazioni ufficiali sulla vulnerabilità di Microsoft e.

Questa vulnerabilità appartiene alla classe Esecuzione del codice remoto, il che significa che l'infezione può essere eseguita da un PC già infetto attraverso una rete con un basso livello di sicurezza senza segmentazione del ME - reti locali, reti pubbliche, reti ospiti, nonché lanciando malware ricevuto per posta o sotto forma di un collegamento.

Misure di sicurezza

Quali misure devono essere identificate come efficaci per combattere questo virus:

  1. Assicurati di disporre degli ultimi aggiornamenti di Microsoft Windows che risolvono la vulnerabilità MS17-010. È possibile trovare collegamenti agli aggiornamenti e notare anche che, a causa della gravità senza precedenti di questa vulnerabilità, il 13 maggio sono stati rilasciati aggiornamenti per sistemi operativi non supportati (windowsXP, server 2003, server 2008), è possibile scaricarli.
  2. Utilizzando soluzioni di sicurezza di rete di classe IPS, assicurati di disporre di aggiornamenti che includano l'identificazione e la risoluzione delle vulnerabilità di rete. Questa vulnerabilità è descritta nella Knowledge Base di Check Point ed è inclusa nell'aggiornamento IPS del 14 marzo 2017 per Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Si consiglia inoltre di configurare la scansione IPS del traffico interno dei principali segmenti di rete, almeno per un breve periodo, fino a quando la probabilità di infezione non diminuisce.
  3. A causa della probabilità di modificare il codice del virus, si consiglia di attivare i sistemi AntiBot e Antivirus ed emulare l'avvio di file provenienti da fonti esterne tramite posta o Internet. Se sei un utente Check Point Security Gateway, questo sistema è Threat Emulation. Soprattutto per le aziende che non dispongono di questo abbonamento, offriamo di emetterlo rapidamente entro un periodo di prova di 30 giorni. Per richiedere una chiave attivando un abbonamento completo per il tuo gateway Check Point - scrivi alla mail [e-mail protetta] Puoi leggere di più sui sistemi di emulazione di file e.
Blocca anche il trasferimento degli archivi delle password e attiva le firme IPS dall'elenco:

Ancora più consigli e un esempio di un rapporto sul blocco del lavoro del ransomware wannacry.

Cari colleghi, in base all'esperienza di lavoro con precedenti attacchi massicci, come Heart Bleed, la vulnerabilità di Microsoft Windows MS17-010 verrà sfruttata attivamente nei prossimi 30-40 giorni, non ritardare le contromisure! Per ogni evenienza, controlla il funzionamento del tuo sistema di backup.

Il rischio è davvero grande!

UPD. Giovedì 18 maggio, alle 10:00 ora di Mosca, ti invitiamo a un webinar su ransomware e metodi di protezione.

Il webinar è ospitato da TS Solution e Sergey Nevstruev, Check Point Threat Prevention Sales Manager Europa orientale.
Tratteremo le seguenti questioni:

  • #WannaCry attacco
  • Bilancia e stato attuale
  • Peculiarità
  • Fattori di massa
Raccomandazioni di sicurezza

Come stare un passo avanti e dormire bene

  • IPS + AM
  • SandBlast: emulazione ed estrazione delle minacce
  • Agente SandBlast: Anti-ransomware
  • Agente SandBlast: Forensics
  • Agente SandBlast: Anti-Bot
Puoi registrarti rispondendo a questa lettera, o seguendo il link di registrazione

Oltre a Interfax, altri due media russi hanno sofferto del virus ransomware, uno dei quali è l'edizione di San Pietroburgo di Fontanka, lo sa Group-IB.

Il caporedattore di Fontanka, Alexander Gorshkov, ha dichiarato a Vedomosti che i server di Fontanka sono stati attaccati da aggressori sconosciuti. Ma Gorshkov assicura che non si parla di attacco ransomware a Fontanka: i computer della redazione sono funzionanti, il server responsabile del sito è stato hackerato.

Le suddivisioni di Interfax in Gran Bretagna, Azerbaigian, Bielorussia e Ucraina, così come il sito web Interfax-Religion, continuano a funzionare, ha detto Pogorely a Vedomosti. Non è chiaro perché il danno non abbia interessato altri reparti, forse questo è dovuto alla topologia della rete Interfax, dove sono geograficamente dislocati i server, e con il sistema operativo che è installato su di essi, dice.

Martedì pomeriggio "Interfax" ucraino ha riferito di un attacco di hacker all'aeroporto internazionale di Odessa. L'aeroporto sulla sua pagina si è scusato con i passeggeri "per l'aumento forzato dei tempi di servizio", ma a giudicare dal suo tabellone online, martedì ha comunque continuato a inviare e ricevere aerei.

Anche la metropolitana di Kiev ha riferito dell'attacco informatico sul suo account Facebook: ci sono stati problemi con il pagamento dei viaggi con le carte bancarie. Front News ha riferito che la metropolitana è stata attaccata da un virus ransomware.

Il gruppo IB conclude che c'è una nuova epidemia. Negli ultimi mesi, due ondate di attacchi ransomware hanno travolto il mondo: il virus WannaCry è apparso il 12 maggio e il virus Petya (noto anche come NotPetya ed ExPetr) è apparso il 27 giugno. Si sono infiltrati nei computer Windows senza aggiornamenti installati, hanno crittografato il contenuto dei dischi rigidi e hanno richiesto $ 300 per la decrittazione. Come si è scoperto in seguito, Petya non aveva intenzione di decifrare i computer delle vittime. Il primo attacco ha colpito centinaia di migliaia di computer in più di 150 paesi, il secondo 12.500 computer in 65 paesi. Anche le russe Megafon, Evraz, Gazprom e Rosneft sono state vittime degli attacchi. Il virus ha colpito anche i centri medici Invitro, che per diversi giorni non hanno effettuato test sui pazienti.

In quasi un mese e mezzo, Petya è riuscita a raccogliere solo $ 18.000, ma il danno è stato incomparabilmente maggiore. Una delle sue vittime, il gigante della logistica danese Moller-Maersk, ha stimato in 200-300 milioni di dollari le entrate perse dall'attacco informatico.

Tra le divisioni di Moller-Maersk, il colpo principale è caduto su Maersk Line, che è impegnata nel trasporto marittimo di container (nel 2016, Maersk Line ha guadagnato un totale di $ 20,7 miliardi, la divisione impiega 31.900 persone).

Le aziende si sono rapidamente riprese dall'attacco, ma le aziende e le autorità di regolamentazione sono rimaste in guardia. Ad esempio, ad agosto, i direttori delle sue filiali sono stati avvertiti di un possibile attacco informatico da parte del ransomware Federal Grid Company UES (gestisce la rete elettrica tutta russa), e pochi giorni dopo le banche russe hanno ricevuto un avvertimento simile da FinCERT ( la struttura della Banca Centrale che si occupa di cybersecurity).

Un nuovo attacco ransomware è stato notato anche da Kaspersky Lab, secondo il quale la maggior parte delle vittime dell'attacco si trova in Russia, ma ci sono infezioni in Ucraina, Turchia e Germania. Tutti i segnali indicano che si tratta di un attacco mirato alle reti aziendali, afferma Vyacheslav Zakorzhevsky, capo del dipartimento di ricerca antivirus di Kaspersky Lab: vengono utilizzati metodi simili agli strumenti ExPetr, ma non è possibile rintracciare alcuna connessione con questo virus.

E secondo la società di antivirus Eset, il ransomware è ancora un parente di Petya. L'attacco ha utilizzato il malware Diskcoder.D, una nuova modifica dell'encryptor.

Pogorely ha affermato che l'antivirus Symantec è stato installato sui computer di Interfax. Ieri i rappresentanti di Symantec non hanno risposto alla richiesta di Vedomosti.

Principali articoli correlati

Operatore di filiale
Operatore di filiale "Seleziona caso"
In che modo i tag non accoppiati sono diversi dai tag accoppiati?
In che modo i tag non accoppiati sono diversi dai tag accoppiati?
Condensatori Differenza di potenziale tra piastre di condensatori con capacità
Condensatori Differenza di potenziale tra piastre di condensatori con capacità
Categorie:
© 2021 bumotors.ru. Come configurare smartphone e PC. Portale informativo.