Noua actualizare de virus ransomware. Virusul ransomware WannaCry: ce să faci? Cum să recunoști un e-mail rău intenționat

Potrivit primelor rapoarte, virusul de criptare activat de atacatori marți a fost clasificat ca membru al familiei deja cunoscute de ransomware Petya, dar ulterior s-a dovedit că aceasta era o nouă familie de malware cu funcționalități semnificativ diferite. Kaspersky Lab a numit noul virus ExPetr.

„Analiza efectuată de experții noștri a arătat că inițial victimele nu au avut nicio șansă să-și recupereze dosarele. „Cercetătorii de la Kaspersky Lab au analizat partea din codul malware care este asociată cu criptarea fișierelor și au descoperit că, odată ce discul este criptat, creatorii virusului nu mai au capacitatea de a-l decripta înapoi”, raportează laboratorul.

După cum observă compania, decriptarea necesită un identificator unic pentru o anumită instalare troiană. În versiunile cunoscute anterior ale criptoarelor similare Petya/Mischa/GoldenEye, identificatorul de instalare conținea informațiile necesare pentru decriptare. În cazul ExPetr, acest identificator nu există. Aceasta înseamnă că creatorii malware-ului nu pot obține informațiile de care au nevoie pentru a decripta fișierele. Cu alte cuvinte, victimele ransomware-ului nu au cum să-și recupereze datele, explică Kaspersky Lab.

Virusul blochează computerele și solicită 300 de dolari în bitcoini, a declarat Group-IB pentru RIA Novosti. Atacul a început marți în jurul orei 11:00. Potrivit informațiilor din presă, miercuri, la ora 18:00, portofelul Bitcoin care a fost specificat pentru transferul de fonduri către extortioniști a primit nouă transferuri. Ținând cont de comisionul pentru transferuri, victimele au transferat hackerilor circa 2,7 mii de dolari.

În comparație cu WannaCry, acest virus este considerat mai distructiv, deoarece se răspândește folosind mai multe metode - folosind Windows Management Instrumentation, PsExec și exploit-ul EternalBlue. În plus, ransomware-ul include utilitarul gratuit Mimikatz.

Numărul utilizatorilor atacați de noul virus de criptare „noul Petya” a ajuns la 2 mii, a anunțat miercuri Kaspersky Lab, care investighează valul de infecții computerizate.

Potrivit companiei antivirus ESET, atacul a început în Ucraina, care a suferit mai mult decât alte țări. Potrivit ratingului companiei pentru țările afectate de virus, Italia se află pe locul doi după Ucraina, iar Israelul pe locul trei. Primele zece au inclus și Serbia, Ungaria, România, Polonia, Argentina, Cehia și Germania. Rusia a ocupat locul 14 în această listă.

În plus, Avast a spus care sisteme de operare au fost cele mai afectate de virus.

Windows 7 a fost pe primul loc - 78% din toate computerele infectate. Urmează Windows XP (18%), Windows 10 (6%) și Windows 8.1 (2%).

Astfel, WannaCry a învățat comunitatea globală practic nimic - computerele au rămas neprotejate, sistemele nu au fost actualizate, iar eforturile Microsoft de a emite patch-uri chiar și pentru sistemele învechite au fost pur și simplu irosite.

• Peste 200.000 de computere au fost deja infectate!

Principalele ținte ale atacului au vizat sectorul corporativ, urmat de companiile de telecomunicații din Spania, Portugalia, China și Anglia.

• Cea mai mare lovitură a fost dată utilizatorilor și companiilor ruși. Inclusiv Megafon, Căile Ferate Ruse și, conform informațiilor neconfirmate, Comitetul de Investigație și Ministerul Afacerilor Interne. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.

Pentru decriptarea datelor, atacatorii cer o răscumpărare de 300 până la 600 de dolari în bitcoini (aproximativ 17.000-34.000 de ruble).

Partiționați HDD-ul sau SSD-ul în partiții în Windows 10

Harta interactivă a infecțiilor (CLICK PE HARTĂ)
Fereastra de răscumpărare
Criptează fișierele cu următoarele extensii

În ciuda faptului că virusul vizează sectorul corporativ, utilizatorul mediu nu este, de asemenea, imun la pătrunderea WannaCry și la posibila pierdere a accesului la fișiere.

• Instrucțiuni pentru protejarea computerului și a datelor de pe acesta împotriva infecțiilor:

1. Instalați aplicația Kaspersky System Watcher, care este echipată cu o funcție încorporată pentru a anula modificările cauzate de acțiunile unui criptator care a reușit să ocolească măsurile de securitate.

2. Utilizatorilor de software antivirus de la Kaspersky Lab li se recomandă să verifice dacă funcția „Monitor sistem” este activată.

3. Utilizatorii programului antivirus de la ESET NOD32 pentru Windows 10 au fost introduși pentru a verifica dacă există noi actualizări ale sistemului de operare. Dacă ați avut grijă în avans și ați activat-o, atunci toate actualizările Windows necesare noi vor fi instalate și sistemul dumneavoastră va fi complet protejat de acest virus WannaCryptor și alte atacuri similare.

4. De asemenea, utilizatorii produselor ESET NOD32 au o astfel de funcție în program precum detectarea amenințărilor încă necunoscute. Această metodă se bazează pe utilizarea tehnologiilor comportamentale, euristice.

Dacă un virus se comportă ca un virus, cel mai probabil este un virus.

Din 12 mai, tehnologia sistemului cloud ESET LiveGrid a respins cu mare succes toate atacurile acestui virus și toate acestea s-au întâmplat chiar înainte ca baza de date de semnături să fie actualizată.

5. Tehnologiile ESET oferă securitate și pentru dispozitivele care rulează sisteme vechi Windows XP, Windows 8 și Windows Server 2003 ( Vă recomandăm să încetați să utilizați aceste sisteme învechite). Datorită unui nivel foarte ridicat de amenințare care a apărut pentru aceste sisteme de operare, Microsoft a decis să lanseze actualizări. Descărcați-le.

6. Pentru a minimiza amenințarea de a vă deteriora computerul, trebuie să vă actualizați urgent versiunea de Windows 10: Start - Setări - Actualizare și securitate - Verificați actualizările (în alte cazuri: Start - Toate programele - Windows Update - Căutați actualizări - Descarca si instaleaza).

7. Instalați patch-ul oficial (MS17-010) de la Microsoft, care remediază eroarea serverului SMB prin care poate pătrunde virusul. Acest server este implicat în acest atac.

8. Asigurați-vă că toate instrumentele de securitate disponibile rulează și funcționează pe computer.

9. Scanați-vă întregul sistem pentru viruși. La expunerea unui atac rău intenționat numit MEM:Trojan.Win64.EquationDrug.gen, reporniți sistemul.

Și încă o dată vă recomand să verificați dacă sunt instalate patch-urile MS17-010.

În prezent, specialiștii de la Kaspersky Lab, ESET NOD32 și alte produse antivirus lucrează activ la scrierea unui program de decriptare a fișierelor care va ajuta utilizatorii computerelor infectate să restabilească accesul la fișiere.

Pe 12 aprilie 2017, au apărut informații despre răspândirea rapidă în întreaga lume a unui virus de criptare numit WannaCry, care poate fi tradus prin „Vreau să plâng”. Utilizatorii au întrebări despre actualizarea Windows împotriva virusului WannaCry.

Virusul de pe ecranul computerului arată astfel:

Virusul rău WannaCry care criptează totul

Virusul criptează toate fișierele de pe computer și solicită o răscumpărare pentru un portofel Bitcoin în valoare de 300 sau 600 de dolari pentru a decripta computerul. Calculatoarele din 150 de țări din întreaga lume au fost infectate, Rusia fiind cea mai afectată.

Megafon, Căile Ferate Ruse, Ministerul Afacerilor Interne, Ministerul Sănătății și alte companii se confruntă îndeaproape cu acest virus. Printre victime se numără utilizatorii obișnuiți de internet.

Aproape toți sunt egali înaintea virusului. Diferența, poate, este că în companii virusul se răspândește în rețeaua locală din cadrul organizației și infectează instantaneu numărul maxim posibil de computere.

Virusul WannaCry criptează fișierele de pe computere care folosesc Windows. Microsoft a lansat actualizări MS17-010 pentru diferite versiuni de Windows XP, Vista, 7, 8, 10 încă din martie 2017.

Se dovedește că cei care au Windows actualizat automat nu sunt expuși riscului de virus, deoarece au primit actualizarea în timp util și au reușit să o evite. Nu presupun să spun că acesta este de fapt cazul.

Orez. 3. Mesaj la instalarea actualizării KB4012212

Actualizarea KB4012212 a necesitat o repornire a laptopului după instalare, ceea ce nu mi-a plăcut, deoarece nu se știe cum s-ar putea termina, dar unde ar trebui să meargă utilizatorul? Cu toate acestea, repornirea a mers bine. Aceasta înseamnă că trăim în pace până la următorul atac de virus și, din păcate, nu există nicio îndoială că astfel de atacuri vor avea loc.

În orice caz, este important să aveți un loc din care să restaurați sistemul de operare și fișierele dvs.

Actualizare Windows 8 de la WannaCry

Pentru un laptop cu Windows 8 licențiat, actualizarea KB 4012598 a fost instalată, deoarece

15.05.2017, Luni, 13:33, ora Moscovei , Text: Pavel Pritula

Zilele trecute, unul dintre cele mai mari și mai „zgomotoase” atacuri cibernetice, judecând după presă, a avut loc în Rusia: rețelele mai multor departamente și cele mai mari organizații, inclusiv Ministerul Afacerilor Interne, au fost atacate de atacatori. Virusul a criptat datele de pe computerele angajaților și a extorcat o sumă mare de bani pentru ca aceștia să-și poată continua munca. Acesta este un exemplu clar că nimeni nu este imun la ransomware. Cu toate acestea, această amenințare poate fi tratată - vom arăta mai multe metode pe care Microsoft le oferă.

Ce știm despre ransomware? Se pare că aceștia sunt criminali care îți cer bani sau lucruri sub amenințarea unor consecințe negative. Acest lucru se întâmplă din când în când în afaceri și toată lumea are o idee aproximativă despre ce să facă în astfel de situații. Dar ce să faci dacă un virus ransomware s-a instalat pe computerele tale de serviciu, blochează accesul la datele tale și solicită să transferi bani anumitor persoane în schimbul unui cod de deblocare? Trebuie să contactați specialiști în securitatea informațiilor. Și cel mai bine este să faceți acest lucru în avans pentru a evita problemele.

Numărul infracțiunilor cibernetice a crescut cu un ordin de mărime în ultimii ani. Jumătate dintre companiile din marile țări europene au fost atacate de ransomware, mai mult de 80% fiind vizate de trei sau mai multe ori, potrivit cercetării SentinelOne. O imagine similară este observată în întreaga lume. Clearswift, o companie specializată în securitatea informațiilor, numește un fel de „top” al țărilor cele mai afectate de ransomware – ransomware: SUA, Rusia, Germania, Japonia, Marea Britanie și Italia. Întreprinderile mici și mijlocii prezintă un interes deosebit pentru atacatori, deoarece au mai mulți bani și date mai sensibile decât persoanele fizice și nu au serviciile de securitate puternice ale companiilor mari.

Ce să faci și, cel mai important, cum să previi un atac ransomware? În primul rând, să evaluăm amenințarea în sine. Atacul poate fi efectuat în mai multe moduri. Una dintre cele mai comune este e-mailul. Criminalii folosesc în mod activ metode de inginerie socială, a căror eficacitate nu a scăzut deloc din vremea faimosului hacker al secolului al XX-lea, Kevin Mitnick. Ei pot suna un angajat al companiei victimă în numele unei contrapărți din viața reală și, după conversație, pot trimite un e-mail cu un atașament care conține un fișier rău intenționat. Angajatul îl va deschide, desigur, pentru că tocmai a vorbit cu expeditorul la telefon. Sau un contabil poate primi o scrisoare care se pretinde a fi de la serviciul executorului judecătoresc sau de la banca care îi deservește compania. Nimeni nu este imun și nu este prima dată când chiar și Ministerul Afacerilor Interne suferă: în urmă cu câteva luni, hackerii au trimis o factură falsă de la Rostelecom la departamentul de contabilitate al Direcției de linie Kazan a Ministerului Afacerilor Interne cu un virus de criptare care a blocat funcționarea sistemului de contabilitate.

Sursa de infecție poate fi un site de phishing pe care utilizatorul l-a accesat printr-un link fraudulos sau o unitate flash „uitată accidental” de unul dintre vizitatorii biroului. Din ce în ce mai des, infecțiile apar prin dispozitivele mobile neprotejate ale angajaților, de pe care aceștia accesează resursele corporative. Și este posibil ca antivirusul să nu funcționeze: sunt cunoscute sute de programe malware care ocolesc antivirusurile, ca să nu mai vorbim de „atacuri de zi zero” care exploatează „găurile” recent descoperite în software.

Ce este „ransomware cibernetic”?

Programul, cunoscut sub numele de ransomware, ransomware, blochează accesul utilizatorului la sistemul de operare și, de obicei, criptează toate datele de pe hard disk. Pe ecran este afișat un mesaj care spune că computerul este blocat și proprietarul este obligat să transfere o sumă mare de bani atacatorului dacă dorește să recâștige controlul asupra datelor. Cel mai adesea, pe ecran este afișată o numărătoare inversă de 2-3 zile, astfel încât utilizatorul să se grăbească, altfel conținutul discului va fi distrus. În funcție de apetitul infractorilor și de dimensiunea companiei, sumele de răscumpărare în Rusia variază de la câteva zeci la câteva sute de mii de ruble.

Tipuri de ransomware

Sursa: Microsoft, 2017

Aceste programe malware sunt cunoscute de mulți ani, dar în ultimii doi sau trei ani au cunoscut un adevărat boom. De ce? În primul rând, pentru că oamenii plătesc atacatorii. Potrivit Kaspersky Lab, 15% dintre companiile ruse atacate în acest fel aleg să plătească răscumpărarea, iar 2/3 dintre companiile din lume supuse unui astfel de atac și-au pierdut toate sau o parte din datele corporative.

În al doilea rând, instrumentele infractorilor cibernetici au devenit mai sofisticate și mai accesibile. Și în al treilea rând, încercările independente ale victimei de a „ghici parola” nu se termină bine, iar poliția poate găsi rareori criminalii, mai ales în perioada numărătoarei inverse.

Apropo. Nu toți hackerii își petrec timpul dând parola victimei care le-a transferat suma necesară.

Care este problema afacerii

Principala problemă în domeniul securității informațiilor pentru întreprinderile mici și mijlocii din Rusia este că acestea nu au bani pentru instrumente puternice de securitate a informațiilor specializate, dar există mai mult decât suficiente sisteme IT și angajați cu care pot apărea diverse tipuri de incidente. . Pentru a combate ransomware, nu este suficient să aveți doar un firewall configurat, antivirus și politici de securitate. Trebuie să utilizați toate instrumentele disponibile, în primul rând cele furnizate de furnizorul sistemului de operare, deoarece este ieftin (sau inclus în costul sistemului de operare) și este 100% compatibil cu propriul software.

Marea majoritate a computerelor client și o parte semnificativă a serverelor rulează Microsoft Windows. Toată lumea cunoaște instrumentele de securitate încorporate, cum ar fi Windows Defender și Windows Firewall, care, împreună cu actualizările recente ale sistemului de operare și restricțiile privind drepturile utilizatorului, oferă un nivel de securitate destul de suficient pentru angajatul obișnuit în absența instrumentelor specializate.

Dar particularitatea relației dintre afaceri și infractorii cibernetici este că primii adesea nu știu că sunt atacați de cei din urmă. Ei cred că sunt protejați, dar, de fapt, malware-ul a pătruns deja în perimetrul rețelei și își face treaba în liniște - la urma urmei, nu toți se comportă la fel de neclar ca troienii ransomware.

Microsoft și-a schimbat abordarea cu privire la securitate: acum și-a extins linia de produse de securitate a informațiilor și, de asemenea, se concentrează nu numai pe maximizarea protecției companiilor împotriva atacurilor moderne, ci și pe a face posibilă investigarea acestora în cazul în care apare o infecție.

Protecția e-mailului

Sistemul de poștă, ca principal canal de amenințări pentru a pătrunde în rețeaua corporativă, trebuie protejat în continuare. Pentru a face acest lucru, Microsoft a dezvoltat sistemul Exchange ATP (Advanced Treat Protection), care analizează atașamentele de e-mail sau legăturile de internet și răspunde prompt la atacurile detectate. Acesta este un produs separat, se integrează cu Microsoft Exchange și nu necesită implementare pe fiecare computer client.

Exchange ATP poate detecta chiar și atacuri zero-day, deoarece rulează toate atașamentele într-un sandbox fără a le elibera sistemul de operare și le analizează comportamentul. Dacă nu conține semne de atac, atunci atașamentul este considerat sigur și utilizatorul îl poate deschide. Un fișier potențial rău intenționat este trimis în carantină și administratorul este notificat despre acesta.

În ceea ce privește linkurile din litere, acestea sunt și verificate. Exchange ATP înlocuiește toate legăturile cu unele intermediare. Utilizatorul face clic pe linkul din scrisoare, ajunge la un link intermediar, iar în acest moment sistemul verifică adresa pentru securitate. Verificarea are loc atât de repede încât utilizatorul nu observă întârzierea. Dacă un link duce la un site sau fișier infectat, este interzis să faceți clic pe acesta.

Cum funcționează Exchange ATP

Sursa: Microsoft, 2017

De ce verificarea are loc în momentul clicului, și nu la primirea unei scrisori - pentru că atunci este mai mult timp pentru cercetare și, prin urmare, va fi necesară o putere de calcul mai mică? Acest lucru a fost făcut special pentru a proteja împotriva trucului hackerilor de a înlocui conținutul printr-un link. Un exemplu tipic: o scrisoare ajunge în cutia poștală noaptea, sistemul verifică și nu găsește nimic, iar până dimineața un fișier cu un troian, de exemplu, este deja postat pe site prin acest link, pe care utilizatorul îl descarcă cu succes.

Și a treia parte a serviciului Exchange ATP este sistemul de raportare încorporat. Vă permite să investigați incidentele care au avut loc și oferă date pentru a răspunde la întrebări: când a apărut infecția, cum și unde a avut loc. Acest lucru vă permite să găsiți sursa, să determinați daunele și să înțelegeți dacă a fost o lovitură accidentală sau un atac intenționat, țintit împotriva acestei companii.

Acest sistem este util și pentru prevenire. De exemplu, un administrator poate ridica statistici despre câte clicuri au fost făcute pe link-urile marcate ca periculoase și care utilizatori au făcut acest lucru. Chiar dacă nu s-a produs nicio infecție, trebuie să se desfășoare activități de conștientizare cu acești angajați.

Adevărat, există categorii de angajați ale căror responsabilități de serviciu îi obligă să viziteze o varietate de site-uri - cum ar fi, de exemplu, marketerii care cercetează piața. Pentru ei, tehnologiile Microsoft vă permit să configurați o politică astfel încât orice fișiere descărcate să fie verificate în sandbox înainte de a fi salvate pe computer. Mai mult, regulile sunt stabilite literalmente în câteva clicuri.

Protecția acreditării

Una dintre ținta atacurilor cibercriminale este acreditările utilizatorilor. Există o mulțime de tehnologii pentru furtul autentificărilor și parolelor utilizatorilor și trebuie contracarate printr-o protecție puternică. Există puține speranțe pentru angajații înșiși: ei vin cu parole simple, folosesc o singură parolă pentru a accesa toate resursele și le notează pe un bilețel pe care îl lipesc pe monitor. Acest lucru poate fi combatet prin măsuri administrative și prin setarea programatică a cerințelor de parolă, dar nu va exista totuși un efect garantat.

Dacă unei companii îi pasă de securitate, ea diferențiază drepturile de acces și, de exemplu, un inginer sau un manager de vânzări nu poate accesa serverul de contabilitate. Dar hackerii mai au un truc în mânecă: pot trimite o scrisoare din contul capturat al unui angajat obișnuit unui specialist vizat care deține informațiile necesare (date financiare sau secrete comerciale). După ce a primit o scrisoare de la un „coleg”, destinatarul o va deschide absolut și va lansa atașamentul. Și ransomware-ul va avea acces la date valoroase pentru companie, pentru returnarea cărora compania poate plăti mulți bani.

Pentru a se asigura că un cont capturat nu oferă atacatorilor posibilitatea de a pătrunde într-un sistem corporativ, Microsoft oferă să îl protejeze cu Azure Multifactor Authentication. Adică pentru a te autentifica trebuie să introduci nu doar o pereche de autentificare/parolă, ci și un cod PIN trimis prin SMS, notificare Push generată de o aplicație mobilă sau să răspunzi la un apel telefonic de la robot. Autentificarea multifactorială este utilă în special atunci când lucrați cu angajați la distanță care se pot conecta la sistemul corporativ din diferite părți ale lumii.

Autentificare multifactor Azure

Un val al unui nou virus de criptare, WannaCry (alte denumiri Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a cuprins lumea, care criptează documentele pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii o victimă? Și ce să faci pentru a te recupera?

După instalarea actualizărilor, va trebui să reporniți computerul.

Cum să vă recuperați de la virusul ransomware Wana Decrypt0r?

Când utilitarul antivirus detectează un virus, îl va elimina imediat sau vă va întreba dacă îl tratați sau nu? Răspunsul este să tratezi.

Cum se recuperează fișierele criptate de Wana Decryptor?

Nu putem spune nimic liniștitor în acest moment. Nu a fost creat încă niciun instrument de decriptare a fișierelor. Deocamdată, tot ce rămâne este să așteptați până când decriptorul este dezvoltat.

Potrivit lui Brian Krebs, expert în securitate informatică, în momentul de față infractorii au primit doar 26.000 USD, adică doar aproximativ 58 de persoane au fost de acord să plătească răscumpărarea extorsionorilor. Nimeni nu știe dacă și-au restaurat documentele.

Cum să oprești răspândirea unui virus online?

În cazul WannaCry, soluția problemei poate fi blocarea portului 445 de pe Firewall, prin care apare infecția.