Новый вирус шифровальщик защита. Вирус шифровальщик файлов Wanna Cry — как защититься и спасти данные

В течение десятилетий киберпреступники успешно использовали недостатки и уязвимости во Всемирной паутине. Однако в последние годы было отмечено явное увеличение числа атак, а также рост их уровня - злоумышленники становятся более опасными, а вредоносные программы распространяются такими темпами, которых раньше никогда не видели.

Введение

Речь пойдет о программах-вымогателях, которые совершили немыслимый скачок в 2017 году, нанеся ущерб тысячам организаций по всему миру. Например, в Австралии атаки таких вымогателей, как WannaCry и NotPetya даже вызвали озабоченность на правительственном уровне.

Подытоживая «успехи» вредоносов-вымогателей в этом году, мы рассмотрим 10 самых опасных, нанесших наибольший ущерб организациям. Будем надеяться, что в следующем году мы извлечем уроки и не допустим проникновения в наши сети подобной проблемы.

NotPetya

Атака этого вымогателя началась с украинской программы бухгалтерской отчетности M.E.Doc, сменившей запрещенную на Украине 1C. Всего за несколько дней NotPetya заразил сотни тысяч компьютеров в более чем 100 странах. Этот вредонос представляет собой вариант более старого вымогателя Petya, их отличает лишь то, что в атаках NotPetya использовался тот же эксплойт, что и в атаках WannaCry.

По мере распространения, NotPetya затронул несколько организаций в Австралии, например, шоколадную фабрику Cadbury в Тасмании, которым пришлось временно закрыть всю свою ИТ-систему. Также этому вымогателю удалось проникнуть на крупнейший в мире контейнерный корабль, принадлежащий компании Maersk, который, как сообщается, потерял до 300 миллионов долларов дохода.

WannaCry

Этот страшный по своим масштабам вымогатель практически захватил весь мир. В его атаках использовался печально известный эксплойт EternalBlue, эксплуатирующий уязвимость в протоколе Microsoft Server Message Block (SMB).

WannaCry заразил жертв в 150 странах и более 200 000 машин только в первый день. Нами было опубликовано этого нашумевшего вредоноса.

Locky

Locky был самым популярным вымогателем в 2016 году, однако не прекратил действовать и в 2017. Новые варианты Locky, получившие имена Diablo и Lukitus, возникли в этом году, используя тот же вектор атаки (фишинг) для задействования эксплойтов.

Именно Locky стоял за скандалом, связанным с email-мошенничеством на Почте Австралии. Согласно Австралийской комиссии по вопросам конкуренции и защиты потребителей, граждане потеряли более 80 000 долларов из-за этой аферы.

CrySis

Этот экземпляр отличился мастерским использованием протокола удаленного рабочего стола (Remote Desktop Protocol, RDP). RDP является одним из наиболее популярных способов распространения вымогателей, поскольку таким образом киберпреступники могут компрометировать машины, контролирующие целые организации.

Жертвы CrySis были вынуждены заплатить от $455 до $1022 за восстановление своих файлов.

Nemucod

Nemucod распространяется с помощью фишингового письма, которое выглядит как счет-фактура на транспортные услуги. Этот вымогатель загружает вредоносные файлы, хранящиеся на взломанных веб-сайтах.

По использованию фишинговых писем Nemucod уступает только Locky.

Jaff

Jaff похож на Locky и использует похожие методы. Этот вымогатель не примечателен оригинальными методами распространения или шифровки файлов, а наоборот - сочетает в себе наиболее успешные практики.

Стоящие за ним злоумышленники требовали до $3 700 за доступ к зашифрованным файлам.

Spora

Для распространения этой разновидности программы-вымогателя киберпреступники взламывают легитимные сайты, добавляя на них код JavaScript. Пользователям, попавшим на такой сайт, будет отображено всплывающее предупреждение, предлагающее обновить браузер Chrome, чтобы продолжить просмотр сайта. После загрузки так называемого Chrome Font Pack пользователи заражались Spora.

Cerber

Один из многочисленных векторов атаки, которые использует Cerber, называется RaaS (Ransomware-as-a-Service). По этой схеме злоумышленники предлагают платить за распространение троянца, обещая за это процент от полученных денег. Благодаря этой «услуге» киберпреступники рассылают вымогатель, а затем предоставляют другим злоумышленникам инструменты для распространения.

Cryptomix

Это один из немногих вымогателей, у которых нет определенного типа платежного портала, доступного в пределах дарквеба. Пострадавшие пользователи должны дождаться, когда киберпреступники отправят им по электронной почте инструкции.

Жертвами Cryptomix оказались пользователи из 29 стран, они были вынуждены заплатить до $3 000.

Jigsaw

Еще один вредонос из списка, начавший свою деятельность в 2016 году. Jigsaw вставляет изображение клоуна из серии фильмов «Пила» в электронные спам-письма. Как только пользователь нажимает на изображение, вымогатель не только шифрует, но и удаляет файлы в случае, если пользователь слишком затягивает с оплатой выкупа, размер которого - $150.

Выводы

Как мы видим, современные угрозы используют все более изощренные эксплойты против хорошо защищенных сетей. Несмотря на то, что повышенная осведомленность среди сотрудников помогает справиться с последствиями заражений, предприятиям необходимо выйти за рамки базовых стандартов кибербезопасности, чтобы защитить себя. Для защиты от современных угроз необходимы проактивные подходы, использующие возможности анализа в режиме реального времени, основанного на механизме обучения, который включает понимание поведения и контекста угроз.

Вкратце: Для защиты данных от вирусов-шифровальщиков можно использовать зашифрованный диск на основе крипто-контейнера, копию которого необходимо держать в облачном хранилище.

• Анализ криптолокеров показал что они шифруют только документы и файл контейнер от зашифрованного диска не представляет интерес для Криптолокеров.
• Файлы внутри такого крипто-контейнера недоступны для вируса, когда диск отключен.
• А поскольку Зашифрованный Диск включается только в момент когда необходимо поработать с файлами, то высока вероятность что криптолокер не успеет его зашифровать либо обнаружит себя до этого момента.
• Даже если криптолокер зашифрует файлы на таком диске, вы сможете легко восстановить резервную копию крипто-контейнера диска из облачного хранилища, которая автоматически создается раз в 3 дня или чаще.
• Хранить копию контейнера диска в облачном хранилище безопасно и легко. Данные в контейнере надежно зашифрованы а значит Google или Dropbox не смогут заглянуть внутрь. Благодаря тому что крипто-контейнер это один файл, закачивая его в облако вы на самом деле закачиваете все файлы и папки которые внутри него.
• Крипто-контейнер может быть защищен не только длинным паролем но и электронным ключем типа rutoken с очень стойким паролем.

Вирусы-шифровальщики (ransomware) такие как Locky, TeslaCrypt , CryptoLocker и криптолокер WannaCry предназначены для вымогания денег у владельцев зараженных компьютеров, поэтому их еще называют «программы-вымогатели». После заражения компьютера вирус шифрует файлы всех известных программ (doc, pdf, jpg…) и затем вымогает деньги за их обратную расшифровку. Пострадавшей стороне скорее всего придется заплатить пару сотен долларов чтобы расшифровать файлы, поскольку это единственный способ вернуть информацию.

В случае если информация очень дорога ситуация безвыходная, и усложняется тем что вирус включает обратный отсчет времени и способен самоликвидироваться не дав вам возможности вернуть данные если вы будете очень долго думать.

Преимущества программы Rohos Disk Encryption для защиты информации от крипто-вирусов:

• Создает Крипто-контейнер для надежной защиты файлов и папок.
  Используется принцип ширования на лету и стойкий алгоритм шифрования AES 256 Бит.
• Интегрируется с Google Drive, Dropbox, Облако Mail.ru , Yandex Диск.
  Rohos Disk позволяет данным службам переодически сканировать крипто-контейнер и загружать в облако только изменения зашифрованных данных благодаря чему облако хранит несколько ревизий крипто-диска.
• Утилита Rohos Disk Browser позволяет работать с крипто-диском так чтобы другие программы (в том числе и вирусы) не имели доступа к этому диску.

Крипто-контейнер Rohos Disk

Программа Rohos Disk создает крипто-контейнер и букву диска для него в системе. Вы работаете с таким диском как обычно, все данные на нем автоматически шифруются.

Когда крипто-диск отключен он недоступен для всех программ, в том числе и для вирусов шифровальщиков.

Интеграция с облачными хранилищами

Программа Rohos Disk позволяет разместить крипто-контейнер в папке службы облачного хранилища и периодически запускать процесс синхронизации крипто-контейнера.

Поддерживаемые службы: Google Drive, Dropbox, Облако Mail.ru , Yandex Диск.

В случае если крипто-диск был включен, произошло заражение вирусом и вирус начал шифровать данные на крипто-диске у вас есть возможность восстановить образ крипто-контейнера из облака. Для сведения — Google Drive и Dropbox способны отслеживать изменения в файлах (ревизии), хранят только измененные части файла и поэтому позволяют восстановить одну из версий крипто-контейнера из недалекого прошлого (обычно это 30-60 дней в зависимости от свободного места на Google Drive).

Утилита Rohos Disk Browser

Rohos Disk Browser позволяет открывать крипто-контейнер в режиме проводника без того чтобы делать диск доступным на уровне драйвера для всей системмы.

Преимущества такого подхода:

• Информация с диска отображается только в Rohos Disk Browser
• Никакое другое приложение не может получить доступ к данным с диска.
• Пользователь Rohos Disk Browser может добавлять файл или папку, открыть файл и делать другие операции.

Полная защита данных от вредоносных программ:

• Файлы не доступны другим программам в том числе компонентам Windows.

• Заражению подверглись уже более 200 000 компьютеров!

Основные цели атаки были направлены на корпоративный сектор, за ним потянуло уже и телекоммуникационные компании Испании, Португалии, Китая и Англии.

• Самый крупный удар был нанесен по российским пользователям и компаниям. В том числе «Мегафон», РЖД и, по неподтвержденной информации, Следственный Комитет и МВД. Сбербанк и Минздрав то же сообщили об атаках на свои системы.

За расшифровку данных злоумышленники требуют выкуп от 300 до 600 долларов в биткоинах (около 17 000-34000 рублей).

Как установить официальный ISO-образ Windows 10 без использования Media Creation Tool

Интерактивная карта заражения (КЛИКНИ ПО КАРТЕ)
Окно с требованием выкупа
Шифрует файлы следующих расширений

Несмотря на нацеленность вируса атаки корпоративного сектора, обычный пользователь так же не застрахован от проникновения WannaCry и возможной потери доступа к файлам.

• Инструкция по защите компьютера и данных в нем от заражения:

1. Выполните установку приложения Kaspersky System Watcher , которое оснащено встроенной функцией отката изменений, возникших от действий шифровальщика, которому все-таки удалось обойти средства защиты.

2. Пользователям антивирусника от «Лаборатории Касперского» рекомендуется проверить, чтоб была включен функция «Мониторинг системы».

3. Пользователям антивирусника от ESET NOD32 для Windows 10, внедрена функция проверки новых доступных обновлений ОС. В том случае если вы позаботились заранее и она была у вас включена, то все необходимые новые обновления Windows будут установлены и ваша система будет полностью защищена от данного вируса WannaCryptor и других похожих атак.

4. Так же у пользователей продуктов ESET NOD32, имеется такая функция в программе, как детектирования еще неизвестных угроз. Данный метод основан на использование поведенческих, эвристических технологии.

Если вирус ведет себя как вирус - скорее всего, это вирус.

Технология облачной системы ESET LiveGrid с 12 мая отражал очень успешно все нападения атак данного вируса и всё это происходило еще до поступления обновлении сигнатурных баз.

5. Технологии ESET предоставляют защищенность в том числе и устройствам с прошлыми системами Windows XP, Windows 8 и Windows Server 2003 ( рекомендуем отказаться от использования данных устаревших систем ). Из за возникшей весьма высокого уровня угрозы, для данных ОС, Microsoft приняла решение выпустить обновления. Скачать их .

6. Для снижения до минимума угрозы причинения вреда вашему ПК, необходимо в срочном порядке выполнить обновление своей версии Windows 10: Пуск - Параметры - Обновление и безопасность - Проверка наличия обновлений (в других случаях: Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить).

7. Выполните установку официального патча (MS17-010) от Microsoft, который исправляет ошибку сервера SMB, через которую может проникнуть вирус. Данный сервер задействован в этой атаке.

8. Проверьте, чтобы на вашем компьютере были запущены и находились в рабочем состояний все имеющиеся инструменты безопасности.

9. Выполните проверку на вирусы всей системы. При обнажении вредоносной атаки с названием MEM:Trojan.Win64.EquationDrug.gen , перезагрузите систему.

И еще раз вам рекомендую проверить чтобы были установлены патчи MS17-010.

В настоящее время специалисты «Лаборатории Касперского», «ESET NOD32» и других антивирусных продуктов, ведут активную работу над написанием программы для дешифрования файлов, которое будет в помощь пользователям зараженных ПК для восстановления доступа к файлам.

Существует ли защита от шифровальщика на сегодняшний день? Нет. Как бы грустно это не звучало, но это действительно так. Реальной защиты нет и, видимо, не будет. Но не стоит расстраиваться, есть ряд простых правил, соблюдение которых поможет снизить риск заражения вашего компьютера. Перед тем, как я дам список рекомендаций, хочу заранее сказать, что в данной статье я не рекламирую никакие антивирусы, а просто описываю собственный опыт, так как в офисе уже дважды ловили этого зловреда. После этих случаев и получился список рекомендаций.

Итак, первым делом стоит убедиться в наличии у вас актуального антивируса со свежими базами на борту. Мы с коллегами проводили эксперименты с различными продуктами антивирусных компаний, на основании полученных результатов могу смело заявить, что самый лучший результат показал дистрибутив от Лаборатории Касперского. Мы работали с Kaspesky Endpoint Security для бизнеса Стандартный. Число срабатываний на шифровальщика было более 40%. Поэтому смело ставьте антивирус, не брезгуйте такими программами.

Вторым пунктом стоит запретить запуск программ из папки %AppData%. Опять же, не факт, что шифровальщик работает именно из этой папки, но как превентивная мера она себя оправдывает, сокращая число возможных векторов атак. Так же вредонос может запускаться из:

• %TEMP%
• %LOCALAPPDATA%
• %USERPROFILE%
• %WinDir%
• %SystemRoot%

Самым важным пунктом и красной нитью через всю статью лежит пункт о том, что необходимо и крайне важно делать резервные копии. Если дома вы благополучно можете использовать бесплатное облако для хранения данных, то на рабочем месте такая возможность есть не у всех. Если вы системный администратор, придумайте и запустите резервное копирование. Если вы не относитесь к IT-отделу, уточните у своего системного администратора о наличии резервного копирования критически важных данных. Можете так же продублировать их в облако. Благо бесплатных вариантов достаточно много: Яндекс Диск, Mail облако, DropBox, Google Disk и прочее.

Техническими средствами защититься от шифровальщика практически не возможно. Поэтому первой линией обороны в данном случае выступает сам пользователь. Только знания и внимательность могут помочь избежать заражения. Самое главное никогда не переходите по ссылкам и не открывайте вложения в письмах от неизвестных вам отправителей. В противном случае с большой долей вероятности рискуете потерять свои данные.

Очень внимательно проверяйте обратный адрес в письме, а так же вложение. Если вы ждете письмо с вложением от знакомого или контрагента по работе, при получении такого письма убедитесь, что письмо именно от того, от кого вы ждете. Пусть это займет некоторое время, но потраченное на проверку время в итоге может сэкономить сутки восстановления данных.

При малейших подозрениях на компрометирующее письмо немедленно обращайтесь в свою службу IT. Поверьте, вам за это только спасибо скажут.

Некоторые разновидности шифровальщика используют командные сервера в сети Tor. Перед началом шифрования они загружают тело вируса с этих серверов. Сеть Tor имеет некоторое количество выходных узлов в “большой” интернет, которые называются нодами. Есть публичные ноды, а есть скрытые. Как часть привентивных мер можно на своем роутере, если он позволяет, заблокировать известные выходные ноды, что бы максимально осложнить работу вируса. Список таких адресов можно найти на просторах интернета, сейчас их около семи тысяч.

Конечно все описанное выше не дает никаких гарантий, что вы не попадете в список жертв, но данные рекомендации помогут снизить риск заражения. Пока не разработано реальной защиты от шифровальщика, наше главное оружие это внимательность и осторожность.

Продолжает свое угнетающее шествие по Сети, заражая компьютеры и шифруя важные данные. Как защититься от шифровальщика, защитить Windows от вымогателя – выпущены ли заплатки, патчи, чтобы расшифровать и вылечить файлы?

Новый вирус-шифровальщик 2017 Wanna Cry продолжает заражать корпоративные и частные ПК. Ущерб от вирусной атаки насчитывает 1 млрд долларов . За 2 недели вирус-шифровальщик заразил по меньшей мере 300 тысяч компьютеров , несмотря на предупреждения и меры безопасности.

Вирус-шифровальщик 2017, что это - как правило, можно «подцепить», казалось бы, на самых безобидных сайтах, например, банковских серверах с доступом пользователя. Попав на жесткий диск жертвы, шифровальщик «оседает» в системной папке System32 . Оттуда программа сразу отключает антивирус и попадает в «Автозапуск ». После каждой перезагрузки программа-шифровальщик запускается в реестр , начиная свое черное дело. Шифровальщик начинает скачивать себе подобные копии программ типа Ransom и Trojan . Также нередко происходит саморепликация шифровальщика . Процесс этот может быть сиюминутным, а может происходить неделями – до тех пор, пока жертва заметит неладное.

Шифровальщик часто маскируется под обычные картинки, текстовые файлы , но сущность всегда одна – это исполняемы файл с расширением.exe, .drv, .xvd ; иногда – библиотеки.dll . Чаще всего файл несет вполне безобидное имя, например «документ. doc », или «картинка.jpg », где расширение прописано вручную, а истинный тип файла скрыт .

После завершения шифровки пользователь видит вместо знакомых файлов набор «рандомных» символов в названии и внутри, а расширение меняется на доселе неизвестное - .NO_MORE_RANSOM, .xdata и другие.

Вирус-шифровальщик 2017 Wanna Cry – как защититься . Хотелось бы сразу отметить, что Wanna Cry – скорее собирательный термин всех вирусов шифровальщиков и вымогателей, так как за последнее время заражал компьютеры чаще всех. Итак, речь пойдет о защите от шифровальщиков Ransom Ware, коих великое множество: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry .

Как защитить Windows от шифровальщика. – EternalBlue через протокол SMB портов .

Защита Windows от шифровальщика 2017 – основные правила:

• обновление Windows, своевременный переход на лицензионную ОС (примечание: версия XP не обновляется)
• обновление антивирусных баз и файрволлов по требованию
• предельная внимательность при скачивании любых файлов (милые «котики» могут обернуться потерей всех данных)
• резервное копирование важной информации на сменный носитель.

Вирус-шифровальщик 2017: как вылечить и расшифровать файлы.

Надеясь на антивирусное ПО, можно забыть о дешифраторе на некоторое время . В лабораториях Касперского, Dr. Web, Avast! и других антивирусов пока не найдено решение по лечению зараженных файлов . На данный момент есть возможность удалить вирус с помощью антивируса, но алгоритмов вернуть все «на круги своя» пока нет.

Некоторые пытаются применить дешифраторы типа утилиты RectorDecryptor , но это не поможет: алгоритм для дешифровки новых вирусов пока не составлен . Также абсолютно неизвестно, каким образом поведет себя вирус, если он не удален, после применения таких программ. Часто это может обернуться стиранием всех файлов – в назидание тем, кто не хочет платить злоумышленникам, авторам вируса.

На данный момент самым эффективным способом вернуть потерянные данные – это обращение в тех. поддержку поставщика антивирусной программы, которую вы используете . Для этого следует отправить письмо, либо воспользоваться формой для обратной связи на сайте производителя. Во вложение обязательно добавить зашифрованный файл и, если таковая имеется – копия оригинала. Это поможет программистам в составлении алгоритма. К сожалению, для многих вирусная атака становится полной неожиданностью, и копий не находится, что в разы осложняет ситуацию.

Кардиальные методы лечения Windows от шифровальщика . К сожалению, иногда приходится прибегать к полному форматированию винчестера, что влечет за собой полную смену ОС. Многим придет в голову восстановление системы, но это не выход – даже есть «откат» позволит избавиться от вируса, то файлы все равно останутся зашированными.