Вирус-вымогатель (шифровальщик). ИБ - Антивирусы, ИБ - Средства шифрования
 
2017/11/03 11:08:01

Вирус-вымогатель
Шифровальщик

Программы-вымогатели представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Исследователи кибербезопасности продемонстрировали, что это семейство вредоносного ПО способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.

Содержание

Попав на компьютер-«жертву» вирусы-шифровальщики шифруют информацию наиболее распространённых форматов — «офисные», медиа-файлы, архивы, то есть то, что представляет собой наиболее чувствительные для пользователя данные, это либо «работа», либо «жизнь». Дело даже не в выкупе, механизмы доставки денег быстро блокируются и все это понимают.

Сколько нужно злоумышленников, чтобы с нуля создать и распространить «эффективного» шифровальщика

Первое, что необходимо сделать, — написать троянца. Во-первых, для этого потребуется специалист по криптографии, который воплотит в коде определенный алгоритм шифрования. Во-вторых, если криптограф не силен в стелс-технологиях, нужен еще один программист, который будет обеспечивать скрытность действий энкодера в системе. Ему же стоит позаботиться о том, чтобы троянец не обнаруживался известными антивирусами. Иногда для этого даже нанимают тестировщика (уже третий член команды). Если планируется использование уязвимостей или прочие сложные сетевые «фокусы», то не обойтись еще и без специалиста по сетевым технологиям[1].

Итак, троянца написали и протестировали на антивирусах, с этим порядок. Теперь его надо распространить — ведь он не вирус, и сам размножаться не умеет. Тут потребуется еще больше народу. Во-первых, специалист по социальной инженерии, который придумает содержание спам-писем и сформулирует задание на разработку фишинговых сайтов. Это необходимо для того, чтобы максимальное число пользователей перешло по ссылке в письме, сохранило и запустило вложение или «купилось» на фишинговый сайт. Во-вторых, веб-дизайнер, который разработает упомянутый сайт. В-третьих, спамер, в идеале — с обширными базами для рассылки, лучше всего — четко таргетированными (база компаний, база физлиц в определенном регионе и т. д.). В-четвертых, специалист по «сокрытию улик», чья основная задача состоит в сохранении анонимности и скрытности действий всех участников преступного сообщества. И сюда же условно можно причислить «вольных художников» из мира киберкриминала — различных исследователей уязвимостей, которые ищут «дыры» в ОС и приложениях, после чего продают эту информацию разработчикам вредоносного ПО.

Конечно, зачастую услуги каждого из этих «специалистов» могут быть просто оплачены отдельно — например, куплена краденая база данных адресов и заказана спам-рассылка по ней, а один программист может применять знания из нескольких нужных областей. Кроме того, можно «расковырять» уже существующего троянца и, модифицировав его, распространить как нового. Для совсем ленивых есть вариант покупки на черном рынке готовой к распространению версии шифровальщика, которую достаточно настроить под свои реквизиты и выпустить в сеть, а то и вовсе купить доступ к «вредоносному облаку» с настроенной админ-панелью по принципу SAAS. Вариантов много, но, как показывает практика, самые удачные для злоумышленников атаки проводились именно с помощью новых уникальных троянцев с продуманной стратегией распространения. А значит — это был результат работы целой группы квалифицированных специалистов, направивших свои знания отнюдь не на благое дело.

Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его

Почта. При отсутствии эффективного спам-фильтра в вашу почту будет сыпаться немыслимое количество самых разнообразных спамовых писем. Да, большая часть из них будет просто неуместной и навязчивой рекламой, но некоторые могут оказаться весьма «интересными». Сообщения о сборах на лечение больных детей, к которым приложены «подтверждающие медицинские документы», уведомления из налоговой инспекции и Ростелекома с требованиями оплатить налог, прочитать приложенную повестку в суд или срочно оплатить приложенный счет за услуги связи — самые частые уловки злоумышленников. Что интересно, зачастую в поле «От» у этих писем стоят реальные адреса налоговой инспекции или действующих сотрудников Ростелекома — это означает, что рассылка ведется со взломанных аккаунтов без ведома их владельцев. Изначальный «кредит доверия» этим компаниям вкупе с низкой осведомленностью подавляющего большинства офисных сотрудников о киберугрозах делает такие атаки весьма эффективными. Конечно, приложенные к таким письмам «документы» и оказываются этими самыми троянцами, которых пользователь запускает при открытии архивов. Важно, что хотя для человека такие «письма счастья» выглядят весьма серьезно, спам-фильтр вряд ли пропустит их, а почтовый антивирус сможет обезвредить известные ему угрозы, тем самым избавив пользователя от риска попасться на удочку злоумышленников.

Вредоносные сайты. Тут есть два варианта. В первом случае пользователь, скачивая приложения или другие файлы с фишинговых, взломанных или просто никем не контролируемых ресурсов (файлообменники, торренты и т. д.), сам запускает их, даже не подозревая, что вместе с полезным материалом получил вредоносный «довесок». Второй вариант развития событий еще хуже: достаточно бывает просто зайти на зараженный сайт, чтобы запустившийся скрипт загрузил на ПК троянца и активизировал его. К счастью, это возможно только при совершенно «небезопасных» настройках браузера и операционной системы. К несчастью, именно такие настройки и имеет большинство пользователей...

Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.

Эти три пути являются основными и составляют те самые 90% «собственноручных» заражений. Остальные 10% приходятся на уже упомянутые эпидемии, а также различные диверсии и саботаж, удаленную установку и запуск троянцев.

Защита от целевых атак шифровальщиков

Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:

  • Сделайте резервную копию данных, которую можно будет использовать для восстановления файлов в случае атаки.
  • Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды.
  • Ознакомьтесь с сайтом международной инициативы No More Ransom, созданной с целью помочь жертвам целевых атак восстановить файлы без необходимости уплаты выкупа. В случае, если ваши данные зашифровали, «Лаборатория Касперского» рекомендует воспользоваться сервисом No Ransom, где представлены инструменты, разработанные компанией для помощи жертвам вымогателей.
  • Проведите аудит установленного ПО: не только на рабочих станциях, но также на всех сетевых узлах и серверах. Вовремя обновляйте ПО.
  • Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.
  • Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак.
  • Избегайте использования учётных записей с привилегиями администратора. Заведите для управления компьютером отдельную учётную запись, а учётную запись с повышенными привилегиями задействуйте в случаях, когда она действительно требуется, скажем, для установки или настройки программного обеспечения. Большинство повседневных пользовательских задач решается без прав «админа». Это касается и домашних компьютеров, особенно тех, к которым имеют доступ дети, тут вообще лучше настроить режим «детской безопасности», благо для этого есть разнообразные возможности.
  • Ограничить сетевой доступ к файлам. Отключите механизмы общего доступа к файловым ресурсам вашего компьютера или ограничьте этот доступ. Последние вирусы в том числе распространяются и по сети от компьютера к компьютеру. Там принцип заражения намного сложнее, но речь не об этом. Для домашней сети, по тем же причинам — то же самое. Не предоставляйте неограниченного сетевого доступа к дискам своего компьютера.
  • Настроить интернет-браузеры. Посмотрите настройки безопасности браузеров, установите тот уровень, который позволит комфортно и безопасно работать. Если набор регулярно посещаемых вами сайтов не слишком велик, можно основательно поднять уровень безопасности без ущерба для качества отображения информации. Конечно, сохранять пароли нехорошо, и этого никто не делает, но на всякий случай — используйте сложные «мастер-пароли» для защиты всех своих сохранённых паролей, если такая опция поддерживается вашим браузером. От специалиста не поможет, но хранить пароли в открытом виде — совсем плохо. Избегайте сайтов-приманок, похожих на настоящие. Внимательно проверяйте, куда именно вы вводите пароли, номера карт и т.д.
  • Проверять публичный Wi-Fi. При использовании публичного Wi-Fi, например, в кафе, убедитесь, что точка доступа действительно принадлежит кафе, а не просто похожа по названию. Посмотрите, имеет ли она защиту (тот самый «замочек»). Также обратите внимание на то, кому принадлежат сертификаты открываемых вами сайтов: сертификаты должны принадлежать им, а не данному кафе или ещё кому-то. Нет никакой гарантии, что за соседним столиком не примостился начинающий хакер и не собирает пароли от соцсетей или не распространяет тот же вирус WannaCry на ноутбуки посетителей.
  • Не открывать подозрительные письма (фишинг). Самое главное — защитить ваши данные, именно на них и нацелены всевозможные «шифровальщики», «вымогатели» и другое вредоносное программное обеспечение. С учётом того, что самым дешёвым и работающим способом доставки вредоносного контента является электронная почта — руководствуйтесь соображениями здравого смысла при получении корреспонденции. Считайте, что всё, что вы получаете снаружи — скорее содержит вирус, чем не содержит. Письмо с любого подозрительного или неизвестного вам адреса — повод удалить письмо не читая. При повседневной работе нарабатывается определённый навык, даже визуально можно отличить адреса, скажем, partner.ru от partner.ru.com или вложенный Счёт.docx от исполняемого файла Счёт.docx. ______.exe или ссылки на скрипт http://куда-то-там. Счёт.pdf.js. Важно помнить, что если «банк», «налоговая», «заказчик» и т.д. побуждают вас письмом что-то срочно сделать с вложением, открыть файл или зайти на некий сайт — относитесь к этому крайне настороженно. Кстати, иногда на улице прямо перед офисом можно найти «потерянную» флешку, встречается и такой метод распространения.
  • Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах.
  • Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнуткритически важных объектов.

No More Ransom

В конце июля 2016 года был запущен сайт No More Ransom — совместная международная инициатива «Лаборатории Касперского», McAfee, Европола и полиции Нидерландов, направленная на борьбу с троянцами-вымогателями. В качестве основных итогов первого года работы проекта компания приводит следующие цифры: расшифровано более 28 тысяч зараженных вредоносным ПО устройств, а сумма сэкономленных на выкупе денег составила 8 миллионов евро.

На сайте http://omoreransom.org можно найти 54 утилиты для расшифровки файлов, разработанные «Лабораторией Касперского» и другими участниками проекта. Эти инструменты успешно борются со 104 семействами вымогателей. За год сайт No More Ransom посетили 1,3 миллиона уникальных пользователей, из них 150 тысяч пришлось на 14 мая этого года — пик эпидемии шифровальщика WannaCry. Платформа No More Ransom доступна уже на 26 языках.

За 2016 год проект поддержали более ста партнеров, среди которых как частные компании, так и правоохранительные органы разных стран. Из недавно присоединившихся — банковский конгломерат Barclays, бельгийский CERT (CERT.BE), и Глобальный форум по киберэкспертизе (Global Forum on Cyber Expertise, GFCE), а также правоохранительные органы Чехии, Греции, Гонконга и Ирана.

2017

Интерпол выяснит, кто стоит за атаками Bad Rabbit

Group-IB, международная компания по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, 2 ноября 2017 года объявила об обнаружении цифровых следов злоумышленников, причастных к атаке вируса-шифровальщика Bad Rabbit, который атаковал редакции ряда федеральных российских СМИ и финансовые организации, а также объекты инфраструктуры на Украине (метрополитен, аэропорт, Министерство инфраструктуры).

Нобору Накатани и Илья Сачков подписали соглашение о сотрудничестве между Интерполом и Group-IB

В соответствии соглашением об обмене информацией, недавно подписанным между Интерполом и Group-IB, эти данные переданы специальному подразделению международной полиции, курирующему расследования киберпреступлений, Interpol Global Complex for Innovation. Соглашение подразумевает взаимный обмен информацией для более эффективного противодействия киберпреступности. В частности, организации будут следить за изменениями тенденций в киберпространстве, появлением новых угроз и развитием существующих, а также распространением вредоносных программ.

По итогам технического анализа вируса-шифровальщика Bad Rabbit эксперты Group-IB получили информацию об источнике и способах распространения вредоносной программы, проанализировали ее структуру и функции и пришли к выводу, что за Bad Rabbit и эпидемией вируса NotPetya, атаковавшего в июне 2017 года энергетические, телекоммуникационные и финансовые компании на Украине, стоит одна и та же группа хакеров. В ходе исследования специалисты обнаружили цифровые следы, которые позволят установить конкретных лиц, причастных к этой атаке. Часть данных со взломанных сайтов передавалась на сервер, который был скомпрометирован с помощью тех же техник, которая использовала северокорейская прогосударственная группа хакеров Lazarus. Для проведения полноценного расследования информация была передана в подразделение Интерпола.

« Для того чтобы эффективно бороться с современными киберугрозами, необходимо выстраивать государственно-частное партнерство, — считает Нобору Накатани (Noboru Nakatani), исполнительный директор Interpol IGCI. — Соглашение, подписанное между Интерполом и Group-IB — это важный шаг в организации процесса предоставления правоохранительным органами по всему миру информации, необходимой им для работы в условиях сложного ландшафта и многообразии киберугроз. »

Вымогатель Bad Rabbit атаковал российские СМИ и украинские госучреждения

Согласно отчету Check Point Software Technologies, 24 октября 2017 года российские СМИ и украинские государственные учреждения пострадали от кибератак вымогателя Bad Rabbit. Среди других жертв оказались Турция и Болгария.

Вымогатель BadRabbit требует от жертв выкуп в размере 0,05 биткоинов (около $280) за первые 40 часов заражения, после чего цена, вероятно, начинает расти до неизвестных пределов.

Шифровальщик распространяется через фальшивый установщик программного обеспечения Flash, который, как утверждается, появляется как всплывающее окно с официального сайта новостей в России. При нажатии всплывающее окно переадресует жертву на вредоносный сайт, который, в свою очередь, загружает исполняемый дроппер (программу для скрытой установки вредоносного ПО на компьютер жертвы).

Вымогатель использует программное обеспечение с открытым кодом под названием DiskCryptor (доступно на GitHub) для шифрования дисков жертвы. Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. Тем не менее, это единственное сходство, которое эксперты Check Point наблюдали до сих пор между двумя зловредами, во всех других аспектах BadRabbit — совершенно иной и уникальный вид вымогателя, подчеркнули в компании.

После успешного заражения вымогатель создает уникальный ключ для каждой жертвы, который виден в файле READ ME.txt, там же указан сайт оплаты, размещенный в Tor.

При вводе пользовательского ключа на сайте оплаты каждый пользователь получает уникальный биткоин-кошелек, на который просят перевести 0,05 биткоина.

По утверждению Check Point, как в случае с WannaCry и Petya, атака Bad Rabbit может быть предотвращена. Заказчики Check Point, использующие продукты Check Point Threat Emulation blade и Check Point Anti-Virus blade, защищены от этой угрозы.

Вымогатель Locky поразил 11,5% организаций по всему миру

Компания Check Point Software Technologies в сентябре 2017 года зафиксировала значительное увеличение числа атак Locky. По результатам Global Threat Impact Index, вымогатель поразил 11,5% организаций во всем мире.

Locky не появлялся в десятке самых активных зловредов с ноября 2016 года, но в сентябре 2017 года стремительно поднялся, оказавшись на втором месте при помощи ботнета Necurs, который тоже вошел в рейтинг, заняв 10 место. Эти атаки подняли Locky на 25 мест, выше оказался только рекламный зловред RoughTed.

Для справки: Locky начал распространяться в феврале 2016 года и быстро стал одним из самых активных в мире вредоносных семейств. В основном он распространяется через спам-письма, содержащие загрузчик с вредоносными макросами, замаскированный под вложение Word или Zip. Когда пользователи активируют эти макросы — обычно под действием социальной инженерии, приложение загружает и устанавливает вредоносное ПО, которое шифрует файлы. Сообщение направляет пользователя на загрузку браузера Tor и открывает веб-страницу с требованием оплаты выкупа в биткойнах. В июне 2016 года ботнет Necurs выпустил обновленную версию Locky, содержащую расширенный набор методов для обхода обнаружения.

По мнению экспертов Check Point, возрождение Locky показывает, что компании не могут быть спокойны, пока вредоносное ПО существует. Мощные ботнеты могут вдохнуть "вторую жизнь" в старые варианты зловредов, позволяя им быстро поражать пользователей по всему миру. Тот факт, что в сентябре 2017 года каждая десятая организация во всем мире была поражена хотя бы одним видом вымогателей, говорит о том, что существующие вредоносные программы могут быть так же опасны, как и абсолютно новые варианты, подчеркнули в компании.

Топ-10 самых активных зловредов сентября 2017 по версии Check Point

  1. RoughTed — крупномасштабная кампания вредоносной рекламы, используется для переадресации пользователей на зараженные сайты и загрузки мошеннических программ, эксплойт-китов и программ-вымогателей. Зловред может быть использован для атаки на любые типы платформ и операционные системы; способен обходить блокировку рекламы.
  2. Locky — вымогатель, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, которое затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
  3. Globeimposter — вымогатель, замаскированный под шифровальщик Globe ransomware. Был обнаружен в мае 2017 года и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
  4. Conficker — червь, позволяющий злоумышленникам удаленно выполнять операции в системе жертвы и загружать вредоносное ПО. Зараженная машина контролируется ботнетом.
  5. Fireball — зловред ("угонщик браузера"), без ведома пользователя подменяющий стартовую страницу интернет-браузера, легко модернизируется до полнофункционального загрузчика вредоносного ПО.
  6. Pushdo — троян, который применяется для инфицирования системы жертвы с последующей загрузкой спам-модуля Cutwail, а также для загрузки стороннего вредоносного ПО.
  7. Zeus — банковский троян, который посредством атаки «Человек-в-браузере» крадёт данные банковских карт и учетные данные жертвы, используемые для проведения финансовых операций.
  8. Rig ek — набор эксплоитов, впервые обнаруженный в 2014 году. Содержит эксплоиты для Flash, Java, Silverlight и Internet Explorer. Цепь заражений начинается с перенаправления на landing page (от англ. landing page — посадочная страница), содержащую JavaScript, который проверяет систему жертвы на предмет наличия уязвимых плагинов и при обнаружении таковых — внедряет эксплоит.
  9. Ramnit — банковский троян, нацеленный на похищение банковских реквизитов, FTP-паролей, сеансовых куки и персональной информации жертвы.
  10. Necurs — ботнет, применяемый для распространения вредоносного ПО путем спам-рассылок средствами электронной почты. В основном замечен за продвижением программ-вымогателей и банковских троянов.


HackerDefender — пользовательский руткит для Windows, который был третьим по распространенности вредоносным ПО в августе 2017 года, покинул первую десятку.

Топ-3 самых активных мобильных зловредов по версии Check Point

  1. Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
  2. Hiddad — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  3. Lotoor — хакерский инструмент, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.

Исследование Positive Technologies

Эксперты Positive Technologies отмечают, что во II квартале 2017 года продолжают набирать популярность сервисы «вымогатели как услуга» по сдаче троянов в аренду. США и Россия по-прежнему наиболее частые жертвы кибератак, однако во II квартале 2017 года больше четверти атак (28%) были масштабными и затронули одновременно десятки стран и сотни (в отдельных случаях тысячи) компаний.

По статистике Positive Technologies, 67% атак были совершены с целью получения прямой финансовой выгоды. При этом больше половины атак носили массовый характер и использовали преимущественно вредоносное программное обеспечение.

Эпидемия вируса-вымогателя WannaCry (WanaCypt0r, WCry) показала, что стать жертвой атаки можно даже если не открывать подозрительные письма и не кликать по ссылкам в них. По данным Intel, общее количество зараженных компьютеров превысило 530 тысяч. На биткойн-кошельки разработчиков WannaCry от жертв поступило более 50 BTC (128 000 долл. США), при этом общий ущерб компаний составил более миллиарда долларов.

Другая масштабная вредоносная кампания в конце июня была вызвана шифровальщиком NotPetya (также известным под именами ExPetr, PetrWrap, Petya, Petya.A и др.). Отличительной чертой этой эпидемии было то, что целью преступников не была финансовая выгода, они не стремились рассылать ключ восстановления в обмен на выплаты. ВПО распространялось для вывода из строя информационных систем, уничтожения файлов и саботажа. Более 40 жертв заплатили выкуп на общую сумму, эквивалентную 10 000 долл. США.

Тренд «вымогатели как услуга» (ransomware as a service) набирает обороты. Появляются новые сервисы по сдаче троянов в аренду: например, дистрибьютор Petya или Mischa получает от 25% до 85% от суммы платежей жертв, а другой троян-шифровальщик Karmen продается на черном рынке за 175 долларов.

Пока одни злоумышленники предпочитают криптовалюту для получения незаконных доходов (жертвам троянов-шифровальщиков предлагается перечислять деньги на биткойн-кошельки), другие атакуют криптовалютные биржи и счета их клиентов. Например, получив доступ к персональным данным 31 800 пользователей южнокорейской биржи Bithumb, злоумышленники затем смогли получить доступ и к их счетам. Потери от этой атаки оценили в 1 миллиард вон (890 000 долл. США). В ходе другой атаки, на Tapizon, злоумышленники получили доступ к четырем кошелькам и в общей сложности похитили около 3816 биткойнов (5,3 млн долл. США).

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв.

Жертвы вирусов-вымогателей выплатили более $25 млн с 2014 года

Компания Google совместно с Chainalysis, Калифорнийским университетом Сан-Диего и Политехническим институтом Нью-Йоркского университета подсчитали сумму, выплаченную жертвами создателям вирусов–вымогателей. Об этом сообщает издание The Verge[2].

Исследователи проанализировали 34 семейства вирусов–вымогателей, работающих с 2014 года. Больше всего дохода принес вирус-вымогатель Locky, жертвы выплатили разработчикам более $7 млн. Заработок разработчиков шифровальщиков Cerber сотавил $6,9 млн, а CryptXXX - $1,9 млн.

Исследователи отмечают, что создатели вирусов-вымогателей научились обходить антивирусную защиту. После идентификации вредоносного приложения в антивирусное ПО добавляется сигнатура для обнаруженного вредоноса. Однако, современные образцы вирусов способны модифицировать собственный бинарный код, и таким образом, обходить антивирусную защиту, основанную на сигнатурах.

Россия больше не в фокусе программ-вымогателей

Согласно отчету «Лаборатории Касперского», опубликованному 26 июня, Россия вышла из списка топ-10 государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями. По итогам отчетного периода (сравниваются итоги периодов 2015-2016 гг. и 2016-2017 гг.) наша страна уступила место Турции, Вьетнаму и Японии. Доля вымогателей в общем числе заражений мобильными зловредами в России снизилась до 0,88% (в 2015-2016 годах этот показатель составлял 4,91%), указали в антивирусной компании.

Такое резкое падение аналитики «Лаборатории Касперского» объясняют двумя факторами: ростом количества атак вредоносного ПО в целом, на фоне которого доля шифровальщиков растворилась; а также снижением активности трояна Small, традиционно атакующего, в первую очередь, Россию и страны постсоветского пространства.

В целом число пострадавших от троянов, шифрующих файлы, в мире выросло практически вдвое — с 718 536 в 2015–2016 гг. до 1 152 299 в 2016-2017 гг. Количество жертв всех программ-вымогателей за тот же период выросло на 11,4%: с 2 315 931 до 2 581 026.

По оценкам экспертов антивирусной компании, атаки шифровальщиков всё более нацелены на финансовую и промышленную инфраструктуру. Это объясняется тем, что, целевые вредоносные атаки на организации рассматриваются преступниками как более прибыльные, нежели массовые атаки на рядовых пользователей.

«Недавние вспышки эпидемий троянов WannaCry в мае и ExPetr в июне этого года, поразившие тысячи компьютеров коммерческих компаний и правительственных организаций по всему миру, лишь подтверждают наши опасения», — отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Как известно, в нынешнем году произошли две масштабные кибератаки с использованием вымогательского ПО. В мае вымогатель WannaCry парализовал работу компьютеров в более 150 странах мира. В конце июня атакам вымогательского ПО NotPetya подверглись российские и украинские компании энергетического сектора, объекты критической инфраструктуры и госорганы.[3]

Украинских пользователей атакует новый шифровальщик, выдающий себя за WannaCry

В конце июня 2017 года украинские пользователи стали объектом уже четвёртой за полтора месяца кампании по распространению троянцев-шифровальщиков. Новая вымогательская программа пытается выдавать себя за печально известный WannaCry, но на деле не имеет к нему никакого отношения. [4]

В течение мая-июня на территории Украины были отмечены три вредоносные кампании: XData, PSCRypt, NotPetya. И вот теперь появилась некая новая программа, пока не получившая названия.

В конце июня 2017 года украинские пользователи стали объектом уже четвёртой за полтора месяца кампании по распространению троянцев-шифровальщиков

Она выводит на экран требование о выкупе, идентичное тому, что выводил WannaCry, но этим сходство и ограничивается. Как указывают исследователи, проводившие анализ программы, она написана на .NET, а не на С, как WannaCry; его внутренняя структура не имеет ничего общего со структурой WannaCry, и, кроме того, программа не использует никаких знаменитых эксплойтов, созданных американскими спецслужбами для распространения.

Обычно использование .NET для создания вредоносного ПО - это признак невысокой квалификации программиста. В данном случае, как написал эксперт по безопасности, скрывающийся под ником MalwareHunter, авторы вредоносной программы в высшей степени компетентны, а их творение – «возможно, один из лучших примеров шифровальщика на .NET, который мы видели».

Программа заражает систему через дроппер, который локально распаковывает и сохраняет два разных файла. В одном - требование о выкупе, во втором - сам шифровальщик.

Программа управляет спрятанным в сети Tor контрольным сервером и запускается, судя по всему, только после получения команды с него. Троянец также отключает процессы приложений, чьи файлы собирается шифровать, - данная функция, как отмечает исследователь, уникальна. [5]

В материале Bleeping Computer авторы обращают внимание на странную тенденцию: во всех четырёх кампаниях используется ПО, которое пытается выдавать себя за что-то иное. Например, XData - это в действительности слегка переработанный шифровальщик AES-NI, PSCrypt - переделанный GlobeImposter, появившийся в апреле этого года. NotPetya выдавал себя за Petya, но оказался не шифровальщиком, а вайпером - восстановить доступ к файлам было невозможно даже после выплаты выкупа. И вот теперь ещё один шифровальщик, который выдаёт себя за нечто иное. Что это означает и являются ли все эти совпадения случайными - предмет дискуссионный.

Компания согласилась заплатить $1 млн кибервымогателям

14 июня 2017 года южнокорейская компания Nayana, предоставляющая услуги хостинга, объявила, что согласилась заплатить хакеру, парализовавшему 150 серверов компании, в результате чего оказались недоступны более трех тысяч клиентских веб-сайтов.

« Мы завершили переговоры с хакером и теперь готовим деньги для покупки биткоинов, чтобы восстановить работу зашифрованных серверов, — приводит слова гендиректора Nayana Хвана Чилхона (Hwang Chil-hong) издание The Korea Herald. »

Южнокорейская компания Nayana, предоставляющая услуги хостинга, объявила, что согласилась заплатить хакеру, парализовавшему 150 серверов компании, в результате чего оказались недоступны более трех тысяч клиентских веб-сайтов

Nayana намерена заплатить около $1,1 млн в биткоинах за восстановление данных на серверах, пораженных вредоносным ПО — вирусом-шифровальщиком, который заблокировал хранящиеся на компьютерах файлы.

Как пояснили в Nayana, решение о выплате было принято, чтобы спасти 3400 сайтов своих клиентов, большинство из которых являются небольшими компаниями и стартапами.

В интервью местным СМИ глава Nayana посетовал, что у компании нет другого выбора, кроме как выполнить требования.

« Мы понимаем, что не должны платить выкуп, но иначе ущерб будет нанесен сотням тысяч людей из компаний, которые мы обслуживаем, — заявил он. »

Однако специалисты в области информационной безопасности (ИБ) считают, что своими действиями Nayana создает опасный прецедент. Увидев успех «коллег», другие злоумышленники могут активизировать кибератаки на Корею в погоне за легкими деньгами, предупреждают ИБ-эксперты.

Выкуп Nayana в $1,1 млн почти в 1000 раз больше средней суммы, которые платили жертвы кибервымогателям в 2016 году. По данным Symantec, злоумышленники, шифрующие данные с помощью вредоносного ПО, в среднем требовали у пользователей $1077.

У Nayana нет никаких гарантий того, что, получив деньги, преступник восстановит доступ к файлам. Если даже хакеры не расшифруют данные, компания не сможет ничего предпринять, отмечают специалисты.

Эксперты призвали корейские власти сделать все возможное, чтобы поймать злоумышленников и не допустить подобных атак в будущем.[6]

Глобальная хакерская атака WannaCry 12 мая

Вирус-вымогатель WannaCry начал распространяться 12 мая, затронул 74 страны мира, на компьютеры было совершено более 45 тыс. попыток занести вирусы, которые шифровали все файлы. За дешифровку мошенники требуют $600. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК РФ. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.

Исследование "Лаборатории Касперского"

Согласно наблюдениям специалистов «Лаборатории Касперского», жертвами программ-вымогателей все чаще становятся не частные пользователи, а компании и финансовые учреждения: на сегодня компании известны по меньшей мере восемь кибергруппировок, занимающихся разработкой троянцев-вымогателей для проведения целевых атак на бизнес. В ряде случаев требуемый выкуп достигает полумиллиона долларов.

По словам экспертов, причина трансформации проста: целевые атаки потенциально более прибыльны, чем массовые нападения на частных пользователей. Успешная атака на компанию может парализовать ее деятельность на несколько часов или даже дней – владельцы бизнеса оказываются просто вынуждены заплатить выкуп.

Схемы и инструменты злоумышленников довольно универсальны. Все кибергруппировки сначала заражают сеть компании вредоносным ПО через уязвимости в серверах или фишинговые письма. Затем атакующие укрепляют свои позиции в сети и определяют наиболее ценные корпоративные ресурсы, за «захват» которых можно получить самый большой выкуп.

Однако у групп есть и уникальные черты: например, троянец Mamba использует свободное ПО для шифрования, которое устанавливается на компьютерах жертв посредством легальной утилиты для удаленного управления системой Windows. А авторы троянца PetrWrap отличаются особенно тщательным выбором жертв и долгой подготовкой к атаке: их скрытое присутствие в сети достигает шести месяцев.

Обнаружена модифицированная версия троянца-шифровальщика Petya

Эксперты «Лаборатории Касперского» обнаружили троянскую программу, которая использует известного шифровальщика Petya для проведения целевых атак на бизнес. Троянец получил название PetrWrap, а его главная особенность заключается в том, что он использует оригинального зловреда без разрешения разработчиков.

Шифровальщик Petya, обнаруженный «Лабораторией Касперского» в 2016 году, — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли. Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. При этом новый троянец использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap также не требуется помощь авторов оригинального вымогателя.

Разработчики PetrWrap выбрали Petya не случайно. Это семейство вымогателей обладает почти безупречным криптографическим алгоритмом, расшифровать который чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные файлы, однако с тех пор авторы закрыли почти все уязвимости. Кроме того, после заражения устройства этим вымогателем на заблокированном экране отсутствуют какие-либо упоминания зловреда, что существенно усложняет работу экспертам по кибербезопасности.

«Мы наблюдаем очень интересный процесс: киберпреступники стали нападать друг на друга. С нашей точки зрения, это признак растущей конкуренции между различными группировками. Отчасти это хорошо, ведь чем больше времени злоумышленники проводят в борьбе друг с другом, тем менее организованными и эффективными будут их атаки и они сами, — прокомментировал Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского». — В случае с PetrWrap нас беспокоит тот факт, что троянец-шифровальщик используется для целенаправленных атак. Это не первый подобный случай и, к сожалению, наверняка не последний. Мы настоятельно рекомендуем компаниям уделять максимальное внимание защите сетевой инфраструктуры от этого типа угроз, иначе последствия могут быть катастрофическими».

Для защиты организации от целенаправленных атак «Лаборатория Касперского» рекомендует предпринять ряд мер. Сделайте резервную копию всех данных, которую можно будет использовать для восстановления файлов в случае атаки. Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды. Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.

Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак. Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах. Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнут критически важных объектов.

Троянцы-шифровальщики могут уничтожать целые корпорации

Целые компании могут быть уничтожены в результате атаки шифровальщиков-вымогателей, — такой безрадостный прогноз делает генеральный директор компании Sophos Крис Хагерман (Kris Hagerman). Выступая на конференции RSA в Сан-Франциско, он отметил, что сценарий, при котором злоумышленники атакуют банк и требуют выплатить 10 млн долларов, в противном случае угрожая уничтожить все файлы на серверах организации, сегодня уже не выглядит фантастикой.[7]

За последние 12 месяцев уже были случаи, когда организации выплачивали вымогателям огромные суммы за возвращение доступа к своим данным. Например, больница в Лос-Анджелесе призналась, что выплатила около 17 тысяч долларов после того, как её инфраструктура была атакована троянцем-шифровальщиком. В начале этого года администрация муниципального колледжа (также в Лос-Анджелесе) выплатила злоумышленникам 28 тысяч долларов.

Крис Хагерман
« Не так сложно представить банк, атакованный шифровальщиком, и затем они (злоумышленники) говорят: немедленно платите 10 млн долларов, в противном случае ваши файлы будут уничтожены, - говорит Хагерман. - Это может поставить компании на колени. Во многих организациях есть проблемы с резервным копированием и далеко не все используют весь диапазон защитных средств, необходимый для борьбы с вымогателями. »

Ситуацию дополнительно осложняет то обстоятельство, что в Сети плодятся сайты, предлагающие всем желающим средства для проведения атак с помощью троянцев-шифровальщиков. Например, сервис Satan предлагает за комиссию организовывать атаки с помощью шифровальщиков каждому, кто знает как пользоваться Tor - The Onion Router, - никаких других специальных технических знаний "клиенту" Satan не требуется.

« Сегодня можно быть очень успешным киберпреступником, не зная о компьютерном коде ровным счётом ничего. У хакеров тоже есть ROI. Затрудните им заработок, и они пойдут искать другие мишени или другие способы зарабатывать, - отметил Хагерман. »

Sophos ежедневно отмечает 300-400 тысяч новых вредоносным программ, и каждая из них может представлять серьёзную угрозу для коммерческих компаний, если у тех не налажена защита в достаточной степени.

По мнению Хагермана, единственный способ уберечься от атак - это наладить защиту таким образом, чтобы хакеры предпочли искать другую жертву.

« Каждая атака, завершившаяся выплатой злоумышленникам требуемой суммы, укрепляет их в сознании прибыльности их бизнеса, и повышает угрозу в целом, - комментирует Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - И поскольку всё чаще пострадавшие от вымогателей организации готовы выплачивать пятизначные суммы за возвращение своих данных, легко представить себе, как злоумышленники требуют от какой-нибудь транснациональной корпорации миллионы в качестве выкупа. »

По словам Гвоздева, крупные утечки персональных данных у транснациональных корпораций, таких как Sony или Yahoo, хорошо показывают насколько велики бывают недостатки безопасности даже в тех организациях, которые могут позволить себе обеспечить максимальную защиту от киберугроз.

Программы-вымогатели для промышленных систем

13 февраля исследователи кибербезопасности из Технологического института Джорджии сообщили о разработке новой, специализированной формы программы-вымогателя, которая была целенаправленно создана для промышленных систем[8].

Это вредоносное ПО и произведенная с его помощью атака на смоделированную водоочистную станцию были призваны показать, как киберпреступники могли бы вывести из строя ключевые сервисы, удовлетворяющие наши важнейшие потребности, такие как электро- и водоснабжение, отопление, вентиляция и кондиционирование воздуха или управление лифтами.

Исследование было представлено на конференции в Сан-Франциско, организованной компанией RSA.

Исследователи рассказали, как они идентифицировали ряд обычных программируемых логических контроллеров (PLC), часто используемых на промышленных предприятиях. Приобретя три различных устройства, исследователи протестировали их уровни безопасности, включая состояние парольной защиты и подверженность вредоносным изменениям.

Затем PLC были подключены к насосам, трубам и резервуарам, чтобы смоделировать водоочистную станцию. Однако вместо хлора, используемого для дезинфекции воды, исследователи применили йод и подмешали в воду крахмал.

Если бы атакующий добавил в воду йод, она окрасилась бы в голубой цвет.

Смоделированная атака с помощью программы-вымогателя, заражающей системы обычными способами через фишинговые сообщения электронной почты и ссылки на вредоносные сайты, закрыла и заперла важнейшие системы. Если бы настоящий атакующий применил программу-вымогателя, чтобы взять станцию в заложники, он мог бы угрожать добавлением в воду опасного для жизни количества хлора, что потенциально могло бы отравить целые города.

Исследователи сумели также атаковать PLC, чтобы закрыть клапаны и фальсифицировать показания датчиков. Изучая доступность этих PLC, исследователи обнаружили также 1400 экземпляров PLC одного типа, к которому легко получить доступ через Интернет. Многие из этих устройств находились за корпоративными брандмауэрами. Но это делает их защищенными лишь до тех пор, пока поддерживается безопасность сети.

Хотя против встроенных промышленных систем пока осуществлено немного настоящих атак с использованием программ-вымогателей, мы уже видели, как такие программы применялись против больниц и имели тяжелые последствия. В некоторых случаях размер требуемого выкупа ничто по сравнению с вредом, который причинило бы продолжение атаки. Применительно к больницам это может создать угрозу жизни людей, как и в случае с взятием в заложники систем водоснабжения.

2016

Trend Micro: Киберпреступники заработали от программ-вымогателей 1 млрд долларов

Компания Trend Micro представила в июне 2017 года краткое содержание и основные выводы отчета «Программы-вымогатели: прошлое, настоящее и будущее» (Ransomware: Past, Present, and Future).

Подробнее об исследовании см. Кибератаки


Первая атака с использованием программы-вымогателя была зафиксирована в России между 2005 и 2006 гг. В сообщении хакеры требовали 300 долларов США за возврат зашифрованных файлов. На первом этапе шифровались файлы с наиболее распространенными расширениями: .DOC, .XLS, .JPG, .ZIP, .PDF и т.д. Позднее появились разновидности программ-вымогателей, способные зашифровать данные на мобильных устройствах и даже повлиять на работу главной загрузочной записи. В конце 2013 г. появились разновидности программ, которые не только шифровали файлы, но и начинали удалять их, если жертва отказывались платить выкуп, например, такие как CryptoLocker.

Основные выводы отчета и прогнозы компании:

  • За 2016 г. количество семейств программ-вымогателей выросло на 752%.
  • В 2016 г. средняя сумма выкупа за возвращение доступа к файлам составила 0,5−5 биткоинов.
  • Атаки программ-вымогателей сегодня становятся все более целенаправленными, а в качестве основных средств распространения используется спам-рассылка (79%), заражение уже существующих или создание отдельных сайтов/ страниц в Интернете (20%), а также наборы эксплойтов.
  • Основной акцент злоумышленников смещается – с 2015 г. главной целью программ-вымогателей становятся на частные лица, а бизнес.
  • Программы-вымогатели теперь доступны как сервис. Модель Ransomware-as-a-service (программа-вымогатель как услуга) позволяет злоумышленникам получать еще больше денег.
  • При атаке на бизнес, злоумышленники чаще всего зашифровывают базы данных компании, на втором месте - SQL файлы.
  • В будущем возможно появление разновидностей программ-вымогателей, нацеленных на критическую инфраструктуру, а также промышленную систему управления предприятиями (ICS).

График ежемесячного прироста количества семейств программ-вымогателей, (2016)


Примеры крупнейших атак с использованием программ-вымогателей за второе полугодие 2016 г.:

  • В сентябре в результате атаки программы-вымогателя на муниципалитет города Спрингфилд (штат Массачусетс, США), его файлы были недоступны 10 дней.
  • В сентябре компания Vesk (Великобритания) заплатила злоумышленникам выкуп в размере 23 тыс. долларов США за возврат доступа к своим файлам.
  • В ноябре муниципалитет округа Мэдисон (штат Нью-Йорк, США) заплатил злоумышленникам 28 тыс. долларов за расшифровку файлов.
  • В ноябре из-за атаки программы-вымогателя на муниципальное транспортное агентство Сан-Франциско (San Francisco Municipal Transportation Agency), власти были вынуждены сделать проезд на общественном транспорте в городе бесплатным на определённое время.
  • В ноябре программа-вымогатель зашифровала порядка 33 тыс. файлов в системе муниципалитета округа Хауард (США).
  • В декабре клиника East Valley Community Health Center в США подверглась атаке программы-вымогателя, в результате которой пострадали записи около 65 тыс. человек. Они содержали личную информацию, медицинские данные и данные страховки.

Для того, чтобы минимизировать возможные риски и защититься от программ-вымогателей Trend Micro рекомендует:

  • Регулярно делать резервное копирование данных. При этом создавать три копии, в двух форматах, одну из копий необходимо хранить без доступа к Сети.
  • Регулярно обновлять используемое на устройствах ПО.
  • Проводить обучение персонала, освещая тему фишинга.
  • Ограничить доступ к конфиденциальной информации в компании.
  • Не платить выкуп.
  • Использовать современные решения для информационной защиты, которые включают в себя сетевой мониторинг, технологии анализа поведения, защиту от уязвимостей и т.д.

ЛК: 75% шифровальщиков созданы русскоязычными хакерами

Из 62 семейств программ-шифровальщиков, обнаруженных «Лабораторией Касперского» в 2016 году, по меньшей мере 47 были созданы русскоговорящими киберпреступниками. В общей же сложности от подобных зловредов по данным компании, пострадало около 1,5 миллионов пользователей во всем мире, включая различные организации.

О происхождении большинства шифровальщиков экспертам «Лаборатории Касперского» стало известно после пристального изучения андеграундного сообщества русскоязычных вирусописателей и их «партнеров». Русскоговорящая киберпреступная среда активно развивается, и на смену небольшим группировкам с ограниченными возможностями приходят большие коалиции, обладающие всеми необходимыми ресурсами для атак на любые цели по всему миру, в том числе на крупные предприятия. Бурный рост числа «русских» программ-шифровальщиков стал возможен именно благодаря этому фактору — развитой и гибкой экосистеме киберпреступного сообщества.

«Лаборатория Касперского» выявила три основных пласта в структуре «бизнеса» по созданию и распространению программ-шифровальщиков. Наиболее продвинутые в техническом плане люди занимаются написанием новых и обновлением уже созданных семейств зловредов — это самые привилегированные участники андеграундного сообщества. Другая группа людей развивает и поддерживает партнерские программы, помогающие распространять вредоносное ПО через эксплойты, спам и другие вспомогательные инструменты. На низшей же ступени этой иерархии находятся собственно «партнеры» — киберпреступники, которые помогают в распространении зловредов в обмен на свою долю денег, полученных от жертв шифровальщиков в виде выкупа.

По данным «Лаборатории Касперского», ежедневная выручка, получаемая киберпреступниками в рамках одной партнерской программы, может составлять десятки или даже сотни тысяч долларов. При этом 60% выручки — это чистая прибыль.

«Мы видим, что маленькие группы, работающие с этими зловредами, постепенно уступают место большим объединениям злоумышленников, которые способны проводить масштабные атаки. Нечто подобное мы наблюдали ранее с русскоязычной финансовой киберпреступностью — достаточно вспомнить нашумевшую группировку Lurk. Именно поэтому мы решили внимательно изучить русскоязычное киберпреступное сообщество. Группировки, создающие шифровальщиков, превращаются в сильного противника, и мы должны знать о нем как можно больше», — рассказывает Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Вирус-вымогатель Петя (Petya)

В начале апреля 2016 года стало известно, что разработчики вирусов-шифровальщиков нашли новый способ сделать несчастными своих жертв. F-Secure, компания специализирующаяся на разработке систем кибербезопасности, 4 апреля 2016 г. выпустила предупреждение о "Пете"[9], новом виде вируса-шифровальщика, который блокирует весь жесткий диск компьютера вместо простого шифрования файлов на диске, как это делают другие подобные компьютерные вирусы.

По словам F-Secure, "Петя" шифрует MFT файловой системы, делая для операционной системы невозможным обнаружение нужных файлов, таким образом приводя компьютер в полностью неработоспособное состояние. MFT (англ. Master File Table — «Главная файловая таблица») — база данных, в которой хранится информация о содержимом тома с файловой системой NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы — атрибутам файлов.

«Вирус устанавливает себя на главную загрузочную запись диска (MBR). Но вместо скрытых действий, он показывает красный экран с инструкцией о том, как восстановить систему», - написал главный специалист F-Secure по безопасности Джарко Теркулойнен.

Image:ransom_petya.jpg

Вирус-шифровальщик Петя (Petya) вероятно разработан в России

Атака на MFT занимает меньше времени, чем шифрование файлов на диске, при этом приводя к тем же результатам, добавил в комментариях к Dark Reading консультант по безопасности F-Secure Шон Салливан.

«Многие другие крипто-шифровальщики требуют времени и мощности процессора» сказал Салливан.

Жертвы подобных атак, на самом деле, часто сообщают что их компьютеры сильно тормозят во время атаки. В то время как домашние пользователи могут не знать, что вызвало снижение производительности, работники на предприятиях иногда имеют достаточно времени чтобы предотвратить полную потерю данных. С "Петей" это больше не вариант.

«Петя способен ударить по MFT за считанные секунды, перед тем как обрушить систему и выполнить перезагрузку. В условиях работы на предприятии, времени позвать на помощь не будет.»

Для своих жертв "Петя" представляет проблемы, нехарактерные для других вирусов-шифровальщиков. Поскольку Петя заражает MBR, он блокирует всю систему полностью. Поэтому жертве требуется найти другой компьютер с доступом в интернет чтобы заплатить вымогателю и восстановить доступ к своей скомпрометированной системе. Хотя это может само по себе не представлять проблемы для работников в офисе, у домашних пользователей это может вызвать затруднения, рассказал Салливан.

Петя также возлагает на пользователя задачу самостоятельно скачать браузер Tor - The Onion Router для доступа к скрытой ссылке для производства оплаты. «Петя не пытается предоставить прокси ссылки для службы Tor - The Onion Router» тем самым показывая, что авторов вредоносного кода не заботят сложности по установке Tor браузера, или просто они еще не создали данный функционал.

В какой-то степени, из-за того, что жертвам труднее заплатить вымогателю, авторы Пети возможно снижают свои шансы заработать на нем, сказал Салливан. Как результат, вероятность того что этот тип атаки получит более широкое распространение, будет зависеть от успеха авторов вируса в извлечении прибыли от "Пети".

«Это будет зависеть от того, смогут ли люди разобраться как заплатить. У вируса определенно есть некоторые преимущества в том, как он заражает систему. Поэтому мы вероятно увидим больше подобной активности, но еще слишком рано говорить, станет ли это распространённым явлением», - сказал Салливан.

Новости о "Пете" пришли посреди возросшего количества[10] опасений по поводу увеличения количества вирусов-шифровальщиков и их атак в последние месяцы. Многие верят, что успех авторов вирусов-шифровальщиков привлекает больше преступников, включая организованные преступные группы в сферу кибер-вымогательства. В последние месяцы, такие примеры вирусов-шифровальщиков как "Локки"[11], "ТеслаКрипт" и "Самас", заразили огромное количество индивидуальных пользователей и организаций, включая некоторые крупные госпитали США.

Большая волна атак заставила Министерство национальной безопасности США выпустить предупреждение [12] совместно с канадским Центром реагирования на кибер-происшествия, для информирования пользователей и организаций о серьезности данной угрозы. Предупреждение, сообщало пользователям и организациям о «опустошительных последствиях» атак вирусов-шифровальщиков.

«Восстановление может быть сложным процессом, в ходе которого потребуются услуги квалифицированного специалиста по восстановлению данных», - говорилось в предупреждении.

Для защиты от подобных кибер-атак частным лицами и организациям рекомендуется внедрить план по резервному копированию и восстановлению важных данных и использовать «белый список» чтобы быть уверенным, что на компьютере могут запускаться только специально разрешенные приложения. Другой совет заключается в том, чтобы поддерживать свое ПО в актуальном состоянии, регулярно устанавливая обновления и патчи, а также ограничить возможность установки и запуска приложений для пользователей.

2012

Злоумышленники достаточно долго не могли «распробовать» шифровальщиков как инструмент вымогательства денег у домашних и корпоративных пользователей, но когда вошли во вкус, процесс пошел живее. С 2012 года число выявляемых шифровальщиков начало довольно быстро расти. Одновременно с этим стали совершенствоваться и методы использования различных алгоритмов шифрования.

Для работы с первыми шифровальщиками не требовались дополнительные инструменты, но для борьбы с образцами 2012 года такой номер уже не проходил. Наиболее популярные энкодеры того времени — Trojan.Encoder.94/102 и их модификации. В первом случае данные шифровались относительно простым симметричным алгоритмом, а вот 102-й не кодировал, а, скорее, ломал данные, отчего полноценная расшифровка оказывалась невозможна. Но некоторые типы файлов удавалось восстановить с помощью созданной специалистами компании «Доктор Веб» утилиты.

2005-2009

Первый вирусный инцидент с троянцами семейства Trojan.Encoder был зафиксирован в мае 2005 года. Но простой ал- горитм шифрования не сделал его особо эффективным — поврежденные троянцем файлы без особого труда лечились антивирусной программой. Не вызвал он особого ажиотажа и в среде злоумышленников — до лета 2007 года в вирусной базе Dr.Web было менее 10 записей для энкодеров. И все они также не требовали к себе какого-то «особого» отношения — зашифрованные файлы восстанавливались непосредственно антивирусом, без привлечения дополнительных утилит.

Вплоть до 2009 года появление различных вариаций было, скорее, «пробой пера» злоумышленников, постоянно находившихся в поиске новых методов атак на ПК и сети. В самом деле, создать серьезный шифровальщик, результаты деятельности которого не будут дешифроваться «на лету» или за очень короткий срок, — задача нетривиальная. А для вирусописателей-одиночек, на которых до недавнего времени держался мир вредоносного ПО, — просто непосильная. Ведь троянец-шифровальщик, как и следует из названия, кодирует файлы, а значит, именно навыки криптографии нужны его создателю в первую очередь.

Также стоит отметить ключевое отличие троянцев от компьютерных вирусов. Первые — самостоятельные приложения, а не «паразиты», цепляющиеся к файлам. Это определяет и ключевой момент в поведении антивируса и пользователя в отношении троянца. В то время как от вируса зараженный файл можно избавить, получив «чистую» версию оригинала, троянца вылечить невозможно, ибо он сам по себе является вредоносным файлом. Даже если это легитимное приложение с «теневым» функционалом, оно все равно цельное, устранить его негативный эффект можно только полным удалением.

Троянец-шифровальщик не имеет механизмов распространения. Более того, даже попав на компьютер, он не в состоянии активизироваться самостоятельно. По сути, энкодер представляет собой обычную программу, которая начинает работать, только когда пользователь сам запустил ее на выполнение или запустил скрипт-загрузчик, который и установит троянца.

Смотрите также