Pe lângă Interfax, alte două instituții media ruse au suferit de virusul criptării, dintre care unul este publicația din Sankt Petersburg Fontanka, știe Group-IB.
Editorul-șef al Fontanka, Alexander Gorshkov, i-a spus lui Vedomosti că serverele Fontanka au fost atacate de atacatori necunoscuți. Însă Gorșkov asigură că nu se pune problema unui atac de către un virus de criptare asupra Fontanka: computerele redacției funcționează, iar serverul responsabil de funcționarea site-ului a fost spart.
Diviziile Interfax din Marea Britanie, Azerbaidjan, Belarus și Ucraina, precum și site-ul web Interfax-religie continuă să funcționeze, a declarat Pogorely pentru Vedomosti. Nu este clar de ce daunele nu au afectat alte divizii, poate că acest lucru se datorează topologiei rețelei Interfax, unde serverele sunt amplasate geografic, și sistemul de operare care este instalat pe acestea;
Interfaxul ucrainean a raportat marți după-amiază despre un atac al hackerilor asupra Aeroportului Internațional Odesa. Aeroportul și-a cerut scuze pasagerilor pe site-ul său „pentru creșterea forțată a timpului de serviciu”, dar, judecând după tabloul de bord online, a continuat să trimită și să primească avioane marți.
Metroul din Kiev a raportat și despre atacul cibernetic asupra contului său de Facebook – au existat probleme cu plata călătoriilor cu carduri bancare. Front News a raportat că metroul a fost atacat de un virus de criptare.
Grupul-IB concluzionează că există o nouă epidemie. În ultimele luni, două valuri de atacuri de tip ransomware s-au extins deja în întreaga lume: pe 12 mai a apărut virusul WannaCry, iar pe 27 iunie, virusul Petya (cunoscut și sub numele de NotPetya și ExPetr). Au pătruns în computere cu sistemul de operare Windows care nu aveau actualizări instalate, au criptat conținutul hard disk-urilor și au cerut 300 de dolari pentru decriptare. După cum sa dovedit mai târziu, Petya nici măcar nu s-a gândit să decripteze computerele victimelor. Primul atac a afectat sute de mii de computere din peste 150 de țări, al doilea a afectat 12.500 de computere din 65 de țări. Victimele atacurilor au devenit și ele rusești Megafon, Evraz, Gazprom și Rosneft. Centrele medicale Invitro au suferit și ele de virus, întrucât nu au acceptat teste de la pacienți timp de câteva zile.
Petya a reușit să strângă doar 18.000 de dolari în aproape o lună și jumătate, dar pagubele au fost incomparabil mai mari. Una dintre victimele sale, gigantul danez al logisticii Moller-Maersk, a estimat veniturile pierdute din atacul cibernetic la 200-300 de milioane de dolari.
Printre diviziile Moller-Maersk, lovitura principală a căzut pe Maersk Line, care este angajată în transportul maritim de containere (în 2016, Maersk Line a câștigat un total de 20,7 miliarde de dolari, divizia are 31.900 de angajați).
Afacerile și-au revenit rapid după atac, dar companiile și autoritățile de reglementare au rămas precaute. Astfel, în august, directorii sucursalelor sale au fost avertizați cu privire la un posibil atac cibernetic de criptare de către Compania Federală de Rețea UES (care administrează rețeaua electrică integral rusească), iar câteva zile mai târziu băncile rusești au primit un avertisment similar de la FinCERT ( Structura Băncii Centrale care se ocupă de securitatea cibernetică).
Noul atac al virusului de criptare a fost observat și de Kaspersky Lab, conform căruia majoritatea victimelor atacului sunt în Rusia, dar există infecții în Ucraina, Turcia și Germania. Toate semnele indică faptul că acesta este un atac țintit asupra rețelelor corporative, spune Vyacheslav Zakorzhevsky, șeful departamentului de cercetare antivirus de la Kaspersky Lab: se folosesc metode similare instrumentelor ExPetr, dar nu poate fi urmărită nicio legătură cu acest virus.
Și conform companiei antivirus Eset, ransomware-ul este încă o rudă cu Petya. Atacul a folosit malware Diskcoder.D, o nouă modificare a criptorului.
Pogorely a spus că antivirusul Symantec a fost instalat pe computerele Interfax. Reprezentanții Symantec nu au răspuns ieri solicitării lui Vedomosți.
Pe 12 aprilie 2017, au apărut informații despre răspândirea rapidă a unui virus ransomware numit WannaCry în întreaga lume, care poate fi tradus prin „Vreau să plâng”. Utilizatorii au întrebări despre actualizarea Windows împotriva virusului WannaCry.
Virusul de pe ecranul computerului arată astfel:
Virusul rău WannaCry care criptează totul
Virusul criptează toate fișierele de pe computer și solicită o răscumpărare pentru un portofel Bitcoin în valoare de 300 sau 600 de dolari pentru a decripta computerul. Calculatoarele din 150 de țări din întreaga lume au fost infectate, Rusia fiind cea mai afectată.
Megafon, Căile Ferate Ruse, Ministerul Afacerilor Interne, Ministerul Sănătății și alte companii se confruntă îndeaproape cu acest virus. Printre victime se numără utilizatori obișnuiți de internet.
Aproape toți sunt egali înaintea virusului. Diferența, poate, este că în companii virusul se răspândește în rețeaua locală din cadrul organizației și infectează instantaneu numărul maxim posibil de computere.
Virusul WannaCry criptează fișierele de pe computere care folosesc Windows. Microsoft a lansat actualizări MS17-010 pentru diferite versiuni de Windows XP, Vista, 7, 8, 10 în martie 2017.
Se dovedește că cei care au Windows actualizat automat nu sunt expuși riscului de virus, deoarece au primit actualizarea în timp util și au reușit să o evite. Nu presupun să spun că acesta este de fapt cazul.
Orez. 3. Mesaj la instalarea actualizării KB4012212
Actualizarea KB4012212 a necesitat o repornire a laptopului după instalare, ceea ce nu mi-a plăcut, deoarece nu se știe cum s-ar putea termina, dar unde ar trebui să meargă utilizatorul? Cu toate acestea, repornirea a mers bine. Aceasta înseamnă că trăim în pace până la următorul atac de virus și, din păcate, nu există nicio îndoială că astfel de atacuri vor avea loc.
Unii viruși câștigă, alții apar din nou. Această luptă va fi evident nesfârșită.
Video „Vreau să plâng”: virusul ransomware a infectat 75 de mii de sisteme în 99 de țări
Primiți cele mai recente articole de alfabetizare informatică direct în căsuța dvs. de e-mail.
Deja mai multe 3.000 de abonați
Tehnologiile moderne permit hackerilor să-și îmbunătățească în mod constant metodele de fraudă împotriva utilizatorilor obișnuiți. De regulă, software-ul virus care pătrunde în computer este utilizat în aceste scopuri. Virușii de criptare sunt considerați deosebit de periculoși. Amenințarea este că virusul se răspândește foarte repede, criptând fișierele (utilizatorul pur și simplu nu va putea deschide un singur document). Și dacă este destul de simplu, atunci este mult mai dificil să decriptezi datele.
Ce trebuie să faceți dacă un virus are fișiere criptate pe computer
Oricine poate fi atacat de ransomware, chiar și utilizatorii care au un software antivirus puternic nu sunt imuni. Troienii de criptare a fișierelor vin într-o varietate de coduri care pot depăși capacitățile unui antivirus. Hackerii reușesc chiar să atace companiile mari într-un mod similar care nu s-au ocupat de protecția necesară a informațiilor lor. Deci, după ce ați luat un program ransomware online, trebuie să luați o serie de măsuri.
Principalele semne de infecție sunt funcționarea lentă a computerului și modificările denumirilor documentelor (pot fi văzute pe desktop).
- Reporniți computerul pentru a opri criptarea. La pornire, nu confirmați lansarea de programe necunoscute.
- Rulați antivirusul dacă nu a fost atacat de ransomware.
- În unele cazuri, copiile umbre vor ajuta la restabilirea informațiilor. Pentru a le găsi, deschideți „Proprietăți” documentului criptat. Această metodă funcționează cu date criptate din extensia Vault, despre care există informații pe portal.
- Descărcați cea mai recentă versiune a utilitarului pentru a combate virușii ransomware. Cele mai eficiente sunt oferite de Kaspersky Lab.
Viruși ransomware în 2016: exemple
Atunci când luptați cu orice atac de virus, este important să înțelegeți că codul se schimbă foarte des, completat de o nouă protecție antivirus. Desigur, programele de securitate au nevoie de ceva timp până când dezvoltatorul actualizează baza de date. Am selectat cei mai periculoși viruși de criptare din ultima vreme.
Ishtar Ransomware
Ishtar este un ransomware care stoarce bani de la utilizator. Virusul a fost observat în toamna anului 2016, infectând un număr mare de computere ale utilizatorilor din Rusia și din alte țări. Acesta este distribuit folosind un newsletter prin e-mail, care conține documente atașate (instalatori, documente etc.). Datele infectate de criptorul Ishtar primesc prefixul „ISHTAR” în numele lor. Procesul creează un document de testare care indică unde să mergi pentru a obține parola. Atacatorii cer de la 3.000 la 15.000 de ruble pentru el.
Pericolul virusului Ishtar este că astăzi nu există un decriptor care să ajute utilizatorii. Companiile de software antivirus au nevoie de timp pentru a descifra tot codul. Acum puteți izola informațiile importante (dacă sunt de o importanță deosebită) doar pe un mediu separat, așteptând lansarea unui utilitar capabil să decripteze documentele. Se recomandă reinstalarea sistemului de operare.
Neitrino
Criptorul Neitrino a apărut pe internet în 2015. Principiul atacului este similar cu alți viruși dintr-o categorie similară. Schimbă numele folderelor și fișierelor adăugând „Neitrino” sau „Neutrino”. Virusul este greu de decriptat nu toți reprezentanții companiilor antivirus se angajează, invocând un cod foarte complex. Unii utilizatori pot beneficia de restaurarea unei copii umbră. Pentru a face acest lucru, faceți clic dreapta pe documentul criptat, accesați fila „Proprietăți”, „Versiuni anterioare”, faceți clic pe „Restaurare”. Ar fi o idee bună să utilizați un utilitar gratuit de la Kaspersky Lab.
Portofel sau .portofel.
Virusul de criptare Wallet a apărut la sfârșitul anului 2016. În timpul procesului de infecție, schimbă numele datelor în „Nume..portofel” sau ceva similar. La fel ca majoritatea virușilor ransomware, acesta intră în sistem prin atașamentele din e-mailurile trimise de atacatori. Deoarece amenințarea a apărut foarte recent, programele antivirus nu o observă. După criptare, el creează un document în care fraudatorul indică e-mailul pentru comunicare. În prezent, dezvoltatorii de software antivirus lucrează pentru a descifra codul virusului ransomware. [email protected]. Utilizatorii care au fost atacați nu pot decât să aștepte. Dacă datele sunt importante, se recomandă să le salvați pe o unitate externă prin ștergerea sistemului.
Enigmă
Virusul ransomware Enigma a început să infecteze computerele utilizatorilor ruși la sfârșitul lunii aprilie 2016. Este utilizat modelul de criptare AES-RSA, care se găsește astăzi în majoritatea virușilor ransomware. Virusul pătrunde în computer folosind un script pe care utilizatorul îl rulează prin deschiderea fișierelor dintr-un e-mail suspect. Încă nu există un mijloc universal de a combate ransomware-ul Enigma. Utilizatorii cu licență antivirus pot cere ajutor pe site-ul oficial al dezvoltatorului. A fost găsită și o mică „lacună” - Windows UAC. Dacă utilizatorul face clic pe „Nu” în fereastra care apare în timpul procesului de infectare cu virusul, el va putea ulterior să restabilească informațiile folosind copii umbre.
Granit
Un nou virus ransomware, Granit, a apărut pe internet în toamna lui 2016. Infecția are loc conform următorului scenariu: utilizatorul lansează programul de instalare, care infectează și criptează toate datele de pe PC, precum și unitățile conectate. Combaterea virusului este dificilă. Pentru a-l elimina, puteți folosi utilitare speciale de la Kaspersky, dar încă nu am putut descifra codul. Poate că restaurarea versiunilor anterioare ale datelor va ajuta. În plus, un specialist cu o vastă experiență poate decripta, dar serviciul este costisitor.
Tyson
A fost depistat recent. Este o extensie a ransomware-ului deja cunoscut no_more_ransom, despre care puteți afla pe site-ul nostru. Acesta ajunge la computerele personale din e-mail. Multe PC-uri corporative au fost atacate. Virusul creează un document text cu instrucțiuni de deblocare, oferind să plătească o „răscumpărare”. Ransomware-ul Tyson a apărut recent, așa că nu există încă o cheie de deblocare. Singura modalitate de a restabili informații este să returnați versiunile anterioare dacă acestea nu au fost șterse de un virus. Puteți, desigur, să vă asumați un risc transferând bani în contul specificat de atacatori, dar nu există nicio garanție că veți primi parola.
Spora
La începutul anului 2017, un număr de utilizatori au devenit victime ale noului ransomware Spora. În ceea ce privește principiul său de funcționare, nu este foarte diferit de omologii săi, dar se laudă cu un design mai profesionist: instrucțiunile pentru obținerea unei parole sunt mai bine scrise, iar site-ul arată mai frumos. Virusul ransomware Spora a fost creat în limbajul C și folosește o combinație de RSA și AES pentru a cripta datele victimei. De regulă, computerele pe care a fost utilizat activ programul de contabilitate 1C au fost atacate. Virusul, ascunzându-se sub pretextul unei simple facturi în format .pdf, obligă angajații companiei să o lanseze. Nu a fost găsit încă niciun tratament.
1C.Scădere.1
Acest virus de criptare 1C a apărut în vara anului 2016, perturbând activitatea multor departamente de contabilitate. A fost dezvoltat special pentru computere care utilizează software 1C. Odată ajuns pe computer printr-un fișier într-un e-mail, acesta solicită proprietarului să actualizeze programul. Indiferent de butonul pe care îl apasă utilizatorul, virusul va începe să cripteze fișierele. Specialiștii Dr.Web lucrează la instrumente de decriptare, dar încă nu a fost găsită o soluție. Acest lucru se datorează codului complex, care poate avea mai multe modificări. Singura protecție împotriva 1C.Drop.1 este vigilența utilizatorului și arhivarea regulată a documentelor importante.
da_vinci_code
Un nou ransomware cu un nume neobișnuit. Virusul a apărut în primăvara anului 2016. Diferă de predecesorii săi prin codul îmbunătățit și modul de criptare puternică. da_vinci_code infectează computerul datorită unei aplicații de execuție (de obicei atașată unui e-mail), pe care utilizatorul o lansează independent. Instrumentul de criptare „Codul da Vinci” copiază corpul în directorul de sistem și în registru, asigurând lansarea automată atunci când Windows este pornit. Fiecărei computere victimei i se atribuie un ID unic (ajută la obținerea unei parole). Este aproape imposibil să decriptați datele. Puteți plăti bani atacatorilor, dar nimeni nu vă garantează că veți primi parola.
[email protected] / [email protected]
Două adrese de e-mail care au fost adesea însoțite de viruși ransomware în 2016. Acestea servesc la conectarea victimei cu atacatorul. Au fost atașate adrese pentru o varietate de tipuri de viruși: da_vinci_code, no_more_ransom și așa mai departe. Este foarte recomandat să nu contactați sau să transferați bani către escroci. În majoritatea cazurilor, utilizatorii rămân fără parole. Astfel, arătând că ransomware-ul atacatorilor funcționează, generând venituri.
Breaking Bad
A apărut la începutul anului 2015, dar s-a răspândit activ abia un an mai târziu. Principiul de infectare este identic cu al altor ransomware: instalarea unui fișier dintr-un e-mail, criptarea datelor. Programele antivirus convenționale, de regulă, nu observă virusul Breaking Bad. Unele coduri nu pot ocoli Windows UAC, lăsând utilizatorului opțiunea de a restaura versiunile anterioare ale documentelor. Nicio companie care dezvoltă software antivirus nu a prezentat încă un decriptor.
XTBL
Un ransomware foarte comun care a cauzat probleme multor utilizatori. Odată ajuns pe computer, virusul schimbă extensia fișierului în .xtbl în câteva minute. Este creat un document în care atacatorul stoarce bani. Unele variante ale virusului XTBL nu pot distruge fișierele pentru recuperarea sistemului, ceea ce vă permite să recuperați documente importante. Virusul în sine poate fi eliminat de multe programe, dar decriptarea documentelor este foarte dificilă. Dacă sunteți proprietarul unui antivirus licențiat, utilizați asistența tehnică atașând mostre de date infectate.
Kukaracha
Ransomware-ul Cucaracha a fost descoperit în decembrie 2016. Virusul cu un nume interesant ascunde fișierele utilizatorului folosind algoritmul RSA-2048, care este foarte rezistent. Antivirusul Kaspersky l-a etichetat ca Trojan-Ransom.Win32.Scatter.lb. Kukaracha poate fi eliminat de pe computer, astfel încât alte documente să nu fie infectate. Cu toate acestea, cei infectați astăzi sunt aproape imposibil de decriptat (un algoritm foarte puternic).
Cum funcționează un virus ransomware?
Există un număr mare de ransomware, dar toate funcționează pe un principiu similar.
- Acces la un computer personal. De obicei, datorită unui fișier atașat unui e-mail. Instalarea este inițiată de utilizator însuși prin deschiderea documentului.
- Infecția fișierului. Aproape toate tipurile de fișiere sunt criptate (în funcție de virus). Este creat un document text care conține contacte pentru comunicarea cu atacatorii.
- Toate. Utilizatorul nu poate accesa niciun document.
Agenți de control din laboratoare populare
Utilizarea pe scară largă a ransomware-ului, care este recunoscut drept cea mai periculoasă amenințare la adresa datelor utilizatorilor, a devenit un imbold pentru multe laboratoare antivirus. Fiecare companie populară oferă utilizatorilor săi programe care îi ajută să lupte împotriva ransomware-ului. În plus, multe dintre ele ajută la decriptarea documentelor și la protecția sistemului.
Viruși Kaspersky și ransomware
Unul dintre cele mai cunoscute laboratoare antivirus din Rusia și din lume oferă astăzi cele mai eficiente instrumente pentru combaterea virușilor ransomware. Prima barieră în calea virusului ransomware va fi Kaspersky Endpoint Security 10 cu cele mai recente actualizări. Antivirusul pur și simplu nu va permite amenințării să intre în computerul dvs. (deși este posibil să nu oprească versiunile noi). Pentru a decripta informațiile, dezvoltatorul prezintă mai multe utilitare gratuite: XoristDecryptor, RakhniDecryptor și Ransomware Decryptor. Acestea ajută la găsirea virusului și la selectarea parolei.
Dr. Web și ransomware
Acest laborator recomandă utilizarea programului lor antivirus, a cărui caracteristică principală este backupul fișierelor. Depozitarea cu copii ale documentelor este, de asemenea, protejată de accesul neautorizat al intrușilor. Proprietarii produsului licențiat Dr. Funcția web este disponibilă pentru a solicita ajutor de la suportul tehnic. Adevărat, chiar și specialiștii cu experiență nu pot rezista întotdeauna acestui tip de amenințare.
ESET Nod 32 și ransomware
Nici această companie nu a stat deoparte, oferind utilizatorilor săi o bună protecție împotriva pătrunderii virușilor în computer. În plus, laboratorul a lansat recent un utilitar gratuit cu baze de date actualizate - Eset Crysis Decryptor. Dezvoltatorii spun că va ajuta în lupta chiar și împotriva celui mai nou ransomware.
Noul malware ransomware WannaCry (care are și o serie de alte nume - WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții de sănătate din Marea Britanie au fost criptate. . După cum a devenit clar, companiile din zeci de țări s-au trezit într-o situație similară, iar Rusia, Ucraina, India și Taiwan au avut de suferit cel mai mult. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.
De ce este WannaCry periculoasă? Virusul criptează diferite tipuri de fișiere (folosind extensia .WCRY, făcând fișierele complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile fișierele nu vor mai fi decriptabile.
Calculatoarele care rulează sisteme de operare Windows riscă să fie infectate cu virusul ransomware WannaCry. Dacă utilizați versiuni licențiate de Windows și actualizați regulat sistemul, nu trebuie să vă faceți griji că un virus va pătrunde în sistemul dumneavoastră în acest fel.
Utilizatorii MacOS, ChromeOS și Linux, precum și sistemele de operare mobile iOS și Android, nu ar trebui să se teamă deloc de atacurile WannaCry.
Ce să faci dacă ești victima WannaCry?
Agenția Națională a Crimei (NCA) din Marea Britanie recomandă ca întreprinderile mici care au fost victime ale ransomware-ului și sunt îngrijorate de răspândirea virusului online ar trebui să ia următoarele măsuri:
- Izolați-vă imediat computerul, laptopul sau tableta de rețeaua corporativă/internă. Opriți Wi-Fi.
- Schimbați driverele.
- Fără a vă conecta la o rețea Wi-Fi, conectați-vă computerul direct la Internet.
- Actualizați sistemul de operare și toate celelalte programe software.
- Actualizați și rulați software-ul antivirus.
- Reconectați-vă la rețea.
- Monitorizați traficul de rețea și/sau rulați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.
Important!
Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția atacatorilor. Prin urmare, nu pierde timp și bani cu acei „genii IT” care promit să te salveze de această durere de cap.
Merită să plătiți bani atacatorilor?
Primele întrebări puse de utilizatorii care se confruntă cu noul virus ransomware WannaCry sunt: cum să recuperați fișierele și cum să eliminați un virus. Negăsind soluții gratuite și eficiente, aceștia se confruntă cu o alegere: să plătească bani extorsionistului sau nu? Deoarece utilizatorii au adesea ceva de pierdut (documentele personale și arhivele foto sunt stocate pe computer), apare cu adevărat dorința de a rezolva problema cu bani.
Dar NCA îndeamnă cu tărie Nuplăti bani. Dacă decideți să faceți acest lucru, țineți cont de următoarele:
- În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
- În al doilea rând, computerul poate fi în continuare infectat cu un virus chiar și după plată.
- În al treilea rând, cel mai probabil veți da pur și simplu banii infractorilor cibernetici.
Cum să te protejezi de WannaCry?
Vyacheslav Belashov, șeful departamentului de implementare a sistemelor de securitate a informațiilor la SKB Kontur, explică ce măsuri trebuie luate pentru a preveni infectarea cu virusul:
Particularitatea virusului WannaCry este că poate pătrunde în sistem fără intervenția umană, spre deosebire de alți viruși de criptare. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - să facă clic pe un link dubios dintr-un e-mail care nu i-a fost de fapt destinat sau să descarce un atașament rău intenționat. În cazul WannaCry, se exploatează o vulnerabilitate care există direct în sistemul de operare în sine. Prin urmare, computerele bazate pe Windows care nu au instalat actualizările din 14 martie 2017 au fost în primul rând în pericol. O stație de lucru infectată din rețeaua locală este suficientă pentru ca virusul să se răspândească la alții cu vulnerabilități existente.
Utilizatorii afectați de virus au în mod natural o întrebare principală: cum să-și decripteze informațiile? Din păcate, nu există încă o soluție garantată și este puțin probabil să fie prevăzută. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.
Ce anume se poate și trebuie făcut în acest moment:
1. Instalați cele mai recente actualizări.
Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor de protecție antivirus. Informații despre actualizarea Windows pot fi găsite aici.
2. Faceți copii de rezervă ale informațiilor importante.
3. Aveți grijă când lucrați cu poșta și internetul.
Trebuie să fiți atenți la e-mailurile primite cu link-uri și atașamente dubioase. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.
15.05.2017, Luni, 13:33, ora Moscovei, Text: Pavel Pritula
Zilele trecute, unul dintre cele mai mari și mai „zgomotoase” atacuri cibernetice, judecând după presă, a avut loc în Rusia: rețelele mai multor departamente și cele mai mari organizații, inclusiv Ministerul Afacerilor Interne, au fost atacate de atacatori. Virusul a criptat datele de pe computerele angajaților și a extorcat o sumă mare de bani pentru ca aceștia să-și poată continua munca. Acesta este un exemplu clar că nimeni nu este imun la ransomware. Cu toate acestea, această amenințare poate fi tratată - vom arăta mai multe metode pe care Microsoft le oferă.
Ce știm despre ransomware? Se pare că aceștia sunt criminali care îți cer bani sau lucruri sub amenințarea unor consecințe negative. Acest lucru se întâmplă din când în când în afaceri și toată lumea are o idee aproximativă despre ce să facă în astfel de situații. Dar ce să faci dacă un virus ransomware s-a instalat pe computerele tale de serviciu, blochează accesul la datele tale și solicită să transferi bani anumitor persoane în schimbul unui cod de deblocare? Trebuie să contactați specialiști în securitatea informațiilor. Și cel mai bine este să faceți acest lucru în avans pentru a evita problemele.
Numărul infracțiunilor cibernetice a crescut cu un ordin de mărime în ultimii ani. Jumătate dintre companiile din marile țări europene au fost atacate de ransomware, mai mult de 80% fiind vizate de trei sau mai multe ori, potrivit cercetării SentinelOne. O imagine similară este observată în întreaga lume. Clearswift, o companie specializată în securitatea informațiilor, numește un fel de „top” al țărilor cele mai afectate de ransomware – ransomware: SUA, Rusia, Germania, Japonia, Marea Britanie și Italia. Întreprinderile mici și mijlocii prezintă un interes deosebit pentru atacatori, deoarece au mai mulți bani și mai multe date sensibile decât persoanele fizice și nu au serviciile de securitate puternice ale companiilor mari.
Ce să faci și, cel mai important, cum să previi un atac ransomware? În primul rând, să evaluăm amenințarea în sine. Atacul poate fi efectuat în mai multe moduri. Una dintre cele mai comune este e-mailul. Criminalii folosesc în mod activ metode de inginerie socială, a căror eficacitate nu a scăzut deloc de pe vremea faimosului hacker al secolului al XX-lea, Kevin Mitnick. Ei pot suna un angajat al companiei victimă în numele unei contrapărți din viața reală și, după conversație, pot trimite un e-mail cu un atașament care conține un fișier rău intenționat. Angajatul îl va deschide, desigur, pentru că tocmai a vorbit cu expeditorul la telefon. Sau un contabil poate primi o scrisoare care se pretinde a fi de la serviciul executorului judecătoresc sau de la banca care îi deservește compania. Nimeni nu este asigurat și nu este prima dată când chiar și Ministerul Afacerilor Interne suferă: în urmă cu câteva luni, hackerii au trimis o factură falsă de la Rostelecom cu un virus de criptare către departamentul de contabilitate al Direcției de linie Kazan a Ministerului Afaceri interne, care a blocat activitatea sistemului contabil.
Sursa de infecție poate fi un site de phishing pe care utilizatorul l-a accesat printr-un link fraudulos sau o unitate flash „uitată accidental” de unul dintre vizitatorii biroului. Din ce în ce mai des, infecțiile apar prin dispozitivele mobile neprotejate ale angajaților, de pe care aceștia accesează resursele corporative. Și este posibil ca antivirusul să nu funcționeze: sunt cunoscute sute de programe malware care ocolesc antivirusurile, ca să nu mai vorbim de „atacuri de zi zero” care exploatează „găurile” recent descoperite în software.
Ce este „ransomware cibernetic”?
Programul, cunoscut sub numele de ransomware, ransomware, blochează accesul utilizatorului la sistemul de operare și, de obicei, criptează toate datele de pe hard disk. Pe ecran este afișat un mesaj care spune că computerul este blocat și proprietarul este obligat să transfere o sumă mare de bani atacatorului dacă dorește să recâștige controlul asupra datelor. Cel mai adesea, pe ecran este afișată o numărătoare inversă de 2-3 zile, astfel încât utilizatorul să se grăbească, altfel conținutul discului va fi distrus. În funcție de apetitul infractorilor și de dimensiunea companiei, sumele de răscumpărare în Rusia variază de la câteva zeci la câteva sute de mii de ruble.
Tipuri de ransomware
Sursa: Microsoft, 2017
Aceste programe malware sunt cunoscute de mulți ani, dar în ultimii doi sau trei ani au cunoscut un adevărat boom. De ce? În primul rând, pentru că oamenii plătesc atacatorii. Potrivit Kaspersky Lab, 15% dintre companiile ruse atacate în acest fel aleg să plătească răscumpărarea, iar 2/3 dintre companiile din lume supuse unui astfel de atac și-au pierdut toate sau o parte din datele corporative.
În al doilea rând, instrumentele infractorilor cibernetici au devenit mai sofisticate și mai accesibile. Și în al treilea rând, încercările independente ale victimei de a „ghici parola” nu se termină bine, iar poliția poate găsi rareori criminalii, mai ales în perioada numărătoarei inverse.
Apropo. Nu toți hackerii își petrec timpul dând parola victimei care le-a transferat suma necesară.
Care este problema afacerii
Principala problemă în domeniul securității informațiilor pentru întreprinderile mici și mijlocii din Rusia este că acestea nu au bani pentru instrumente puternice de securitate a informațiilor specializate, dar există mai mult decât suficiente sisteme IT și angajați cu care pot apărea diverse tipuri de incidente. . Pentru a combate ransomware, nu este suficient să aveți doar un firewall configurat, antivirus și politici de securitate. Trebuie să utilizați toate instrumentele disponibile, în primul rând cele furnizate de furnizorul sistemului de operare, deoarece este ieftin (sau inclus în costul sistemului de operare) și este 100% compatibil cu propriul software.
Marea majoritate a computerelor client și o parte semnificativă a serverelor rulează Microsoft Windows. Toată lumea cunoaște instrumentele de securitate încorporate, precum Windows Defender și Windows Firewall, care, împreună cu cele mai recente actualizări ale sistemului de operare și restricțiile privind drepturile utilizatorului, oferă un nivel de securitate destul de suficient pentru angajatul obișnuit în absența instrumentelor specializate.
Dar particularitatea relației dintre afaceri și infractorii cibernetici este că primii adesea nu știu că sunt atacați de cei din urmă. Ei cred că sunt protejați, dar, de fapt, malware-ul a pătruns deja în perimetrul rețelei și își face treaba în liniște - la urma urmei, nu toți se comportă la fel de neclar ca troienii ransomware.
Microsoft și-a schimbat abordarea cu privire la securitate: acum și-a extins linia de produse de securitate a informațiilor și, de asemenea, se concentrează nu numai pe maximizarea protecției companiilor împotriva atacurilor moderne, ci și pe a face posibilă investigarea acestora în cazul în care apare o infecție.
Protecția e-mailului
Sistemul de poștă, ca principal canal de amenințări pentru a pătrunde în rețeaua corporativă, trebuie protejat în continuare. Pentru a face acest lucru, Microsoft a dezvoltat sistemul Exchange ATP (Advanced Treat Protection), care analizează atașamentele de e-mail sau legăturile de internet și răspunde prompt la atacurile detectate. Acesta este un produs separat, se integrează cu Microsoft Exchange și nu necesită implementare pe fiecare computer client.
Exchange ATP poate detecta chiar și atacuri zero-day, deoarece rulează toate atașamentele într-un sandbox fără a le elibera sistemul de operare și le analizează comportamentul. Dacă nu conține semne de atac, atunci atașamentul este considerat sigur și utilizatorul îl poate deschide. Un fișier potențial rău intenționat este trimis în carantină și administratorul este notificat despre acesta.
În ceea ce privește linkurile din litere, acestea sunt și verificate. Exchange ATP înlocuiește toate legăturile cu unele intermediare. Utilizatorul face clic pe linkul din scrisoare, ajunge la un link intermediar, iar în acest moment sistemul verifică adresa pentru securitate. Verificarea are loc atât de repede încât utilizatorul nu observă întârzierea. Dacă un link duce la un site sau fișier infectat, este interzis să faceți clic pe acesta.
Cum funcționează Exchange ATP
Sursa: Microsoft, 2017
De ce verificarea are loc în momentul clicului, și nu la primirea unei scrisori - pentru că atunci este mai mult timp pentru cercetare și, prin urmare, va fi necesară o putere de calcul mai mică? Acest lucru a fost făcut special pentru a proteja împotriva trucului hackerilor de a înlocui conținutul printr-un link. Un exemplu tipic: o scrisoare ajunge în cutia poștală noaptea, sistemul verifică și nu găsește nimic, iar până dimineața un fișier cu un troian, de exemplu, este deja postat pe site prin acest link, pe care utilizatorul îl descarcă cu succes.
Și a treia parte a serviciului Exchange ATP este sistemul de raportare încorporat. Vă permite să investigați incidentele care au avut loc și oferă date pentru a răspunde la întrebări: când a apărut infecția, cum și unde a avut loc. Acest lucru vă permite să găsiți sursa, să determinați daunele și să înțelegeți dacă a fost o lovitură accidentală sau un atac intenționat, țintit împotriva acestei companii.
Acest sistem este util și pentru prevenire. De exemplu, un administrator poate ridica statistici despre câte clicuri au fost făcute pe link-urile marcate ca periculoase și care utilizatori au făcut acest lucru. Chiar dacă nu s-a produs nicio infecție, trebuie să se desfășoare activități de conștientizare cu acești angajați.
Adevărat, există categorii de angajați ale căror responsabilități de serviciu îi obligă să viziteze o varietate de site-uri - cum ar fi, de exemplu, marketerii care cercetează piața. Pentru ei, tehnologiile Microsoft vă permit să configurați o politică astfel încât orice fișiere descărcate să fie verificate în sandbox înainte de a salva pe computer. Mai mult, regulile sunt stabilite literalmente în câteva clicuri.
Protecția acreditării
Una dintre ținta atacurilor cibercriminale este acreditările utilizatorilor. Există o mulțime de tehnologii pentru furtul autentificărilor și parolelor utilizatorilor și trebuie contracarate printr-o protecție puternică. Există puține speranțe pentru angajații înșiși: ei vin cu parole simple, folosesc o singură parolă pentru a accesa toate resursele și le notează pe un bilețel pe care îl lipesc pe monitor. Acest lucru poate fi combatet prin măsuri administrative și prin setarea programatică a cerințelor de parolă, dar nu va exista în continuare niciun efect garantat.
Dacă unei companii îi pasă de securitate, ea diferențiază drepturile de acces și, de exemplu, un inginer sau un manager de vânzări nu poate accesa serverul de contabilitate. Dar hackerii mai au un truc în mânecă: pot trimite o scrisoare din contul capturat al unui angajat obișnuit unui specialist vizat care deține informațiile necesare (date financiare sau secrete comerciale). După ce a primit o scrisoare de la un „coleg”, destinatarul o va deschide absolut și va lansa atașamentul. Și ransomware-ul va avea acces la date valoroase pentru companie, pentru returnarea cărora compania poate plăti mulți bani.
Pentru a se asigura că un cont capturat nu oferă atacatorilor posibilitatea de a pătrunde într-un sistem corporativ, Microsoft oferă să îl protejeze cu Azure Multifactor Authentication. Adică, pentru a vă autentifica, trebuie să introduceți nu doar o pereche de autentificare/parolă, ci și un cod PIN trimis prin SMS, notificare Push generată de o aplicație mobilă sau să răspundeți la un apel telefonic către robot. Autentificarea multifactorială este utilă în special atunci când lucrați cu angajați la distanță care se pot conecta la sistemul corporativ din diferite părți ale lumii.
Autentificare multifactor Azure
