Вирус шифровальщик обновление windows. Вирус-шифровальщик WannaCry заблокировал ПК! Как защититься от заражения? Как восстановить файлы после заражения

04.10.2023

По всему миру прокатилась волна нового вируса-шифровальщика WannaCry (другие названия Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), который зашифровывает документы на компьютере и вымогает 300-600 USD за их декодирование. Как узнать, заражен ли компьютер? Что надо сделать, чтобы не стать жертвой? И что сделать, чтобы вылечиться?

После установки обновлений, компьютер надо будет перегрузить.

Как вылечится от вируса-шифровальщика Wana Decrypt0r?

Когда антивирусная утилита, обнаружит вирус, она либо удалит его сразу, либо спросит у вас лечить или нет? Ответ – лечить.

Как восстановить зашифрованные Wana Decryptor файлы?

Ничего утешительного на данный момент сообщить не можем. Пока инструмента по расшифровке файлов не создали. Пока остается только подождать, когда дешифровщик будет разработан.

По данным Брайана Кребса (Brian Krebs), эксперта по компьютерной безопасности, на данный момент преступники получили лишь 26’000 USD, то есть только около 58 человек согласилось заплатить выкуп вымогателям. Восстановили ли они свои документы при этом, никто не знает.

Как остановить распространение вируса в сети?

В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение.

15.05.2017, Пн, 13:33, Мск , Текст: Павел Притула

На днях в России произошла одна из самых крупных и «шумных», судя по прессе, кибератак: нападению злоумышленников подверглись сети нескольких ведомств и крупнейших организаций, включая МВД. Вирус шифровал данные на компьютерах сотрудников и вымогал крупную сумму денег за то, чтобы они могли продолжить свою работу. Это наглядный пример того, что никто не застрахован от вымогателей. Тем не менее, с этой угрозой можно бороться – мы покажем несколько способов, которые предлагает Microsoft.

Что мы знаем о вымогателях? Вроде бы это преступники, которые требуют от вас деньги или вещи под угрозой наступления неблагоприятных последствий. В бизнесе такое время от времени случается, все примерно представляют, как нужно поступать в таких ситуациях. Но что делать, если вирус-вымогатель поселился на ваших рабочих компьютерах, блокирует доступ к вашим данным и требует перевести деньги определенным лицам в обмен на код разблокировки? Нужно обращаться к специалистам по информационной безопасности. И лучше всего сделать это заранее, чтобы не допустить проблем.

Число киберпреступлений в последние годы выросло на порядок. По данным исследования SentinelOne, половина компаний в крупнейших европейских странах подверглась атакам вирусов-вымогателей, причем более 80% из них стали жертвами три и более раз. Аналогичная картина наблюдается по всему миру. Специализирующаяся на информационной безопасности компания Clearswift называет своеобразный «топ» стран, более всего пострадавших от ransomware – программ-вымогателей: США, Россия, Германия, Япония, Великобритания и Италия. Особый интерес злоумышленников вызывают малый и средний бизнес, потому что у них больше денег и более чувствительные данные, чем у частных лиц, и нет мощных служб безопасности, как у крупных компаний.

Что делать и, главное, как предотвратить атаку вымогателей? Для начала оценим саму угрозу. Атака может проводиться несколькими путями. Один из самых распространенных – электронная почта. Преступники активно пользуются методами социальной инженерии, эффективность которой нисколько не снизилась со времен знаменитого хакера ХХ века Кевина Митника. Они могут позвонить сотруднику компании-жертвы от имени реально существующего контрагента и после беседы направить письмо с вложением, содержащим вредоносный файл. Сотрудник, конечно же, его откроет, потому что он только что говорил с отправителем по телефону. Или бухгалтер может получить письмо якобы от службы судебных приставов или от банка, в котором обслуживается его компания. Не застрахован никто, и даже МВД страдает не в первый раз: несколько месяцев назад хакеры прислали в бухгалтерию Казанского линейного управления МВД фальшивый счет от «Ростелекома» с вирусом-шифровальщиком, который заблокировал работу бухгалтерской системы.

Источником заражения может стать и фишинговый сайт, на который пользователь зашел по обманной ссылке, и «случайно забытая» кем-то из посетителей офиса флешка. Все чаще и чаще заражение происходит через незащищенные мобильные устройства сотрудников, с которых они получают доступ к корпоративным ресурсам. А антивирус может и не сработать: известны сотни вредоносных программ, обходящих антивирусы, не говоря уже об «атаках нулевого дня», эксплуатирующих только что открытые «дыры» в программном обеспечении.

Что представляет собой «кибервымогатель»?

Программа, известная как «вымогатель», «шифровальщик», ransomware блокирует доступ пользователя к операционной системе и обычно шифрует все данные на жестком диске. На экран выводится сообщение о том, что компьютер заблокирован и владелец обязан передать злоумышленнику крупную сумму денег, если хочет вернуть себе контроль над данными. Чаще всего на экране включается обратный отсчет за 2-3 суток, чтобы пользователь поспешил, иначе содержимое диска будет уничтожено. В зависимости от аппетитов преступников и размеров компании суммы выкупа в России составляют от нескольких десятков до нескольких сотен тысяч рублей.

Типы вымогателей

Источник: Microsoft, 2017

Эти зловреды известны уже много лет, но в последние два-три года они переживают настоящий расцвет. Почему? Во-первых, потому, что люди платят злоумышленникам. По данным «Лаборатории Касперского», 15% российских компаний, атакованных таким образом, предпочитают заплатить выкуп, а 2/3 компаний в мире, подвергшихся такой атаке, потеряли свои корпоративные данные полностью или частично.

Второе – инструментарий киберпреступников стал более совершенным и доступным. И третье – самостоятельные попытки жертвы «подобрать пароль» ничем хорошим не заканчиваются, а полиция редко может найти преступников, особенно за время обратного отсчета.

Кстати. Далеко не все хакеры тратят свое время на то, чтобы сообщить пароль жертве, перечислившей им требуемую сумму.

В чем проблема бизнеса

Главная проблема в области информационной безопасности у малого и среднего бизнеса в России состоит в том, что денег на мощные специализированные средства ИБ у них нет, а ИТ-систем и сотрудников, с которыми могут происходить разного рода инциденты, более, чем достаточно. Для борьбы с ransomwareнедостаточно иметь только настроенные фаервол, антивирус и политики безопасности. Нужно использовать все доступные средства, в первую очередь предоставляемые поставщиком операционной системы, потому что это недорого (или входит в стоимость ОС) и на 100% совместимо с его собственным ПО.

Подавляющее большинство клиентских компьютеров и значительная часть серверов работают под управлением ОС Microsoft Windows. Всем известны встроенные средства безопасности, такие, как «Защитник Windows» и «Брандмауэр Windows», которые вместе со свежими обновлениями ОС и ограничением прав пользователя обеспечивают вполне достаточный для рядового сотрудника уровень безопасности при отсутствии специализированных средств.

Но особенность взаимоотношений бизнеса и киберпреступников заключается в том, что первые часто не знают о том, что они атакованы вторыми. Они полагают себя защищенными, а на самом деле зловреды уже проникли через периметр сети и тихо делают свою работу – ведь не все из них ведут себя так нагло, как трояны-вымогатели.

Microsoft изменила подход к обеспечению безопасности: теперь она расширила линейку продуктов ИБ, а также делает акцент не только на том, чтобы максимально обезопасить компании от современных атак, но и на том, чтобы дать возможность расследовать их, если заражение все же произошло.

Защита почты

Почтовую систему как главный канал проникновения угроз в корпоративную сеть необходимо защитить дополнительно. Для этого Microsoft разработала систему Exchange ATP (Advanced Treat Protection), которая анализирует почтовые вложения или интернет-ссылки и своевременно реагирует на выявленные атаки. Это отдельный продукт, он интегрируется в Microsoft Exchange и не требует развертывания на каждой клиентской машине.

Система Exchange ATP способна обнаруживать даже «атаки нулевого дня», потому что запускает все вложения в специальной «песочнице», не выпуская их в операционную систему, и анализирует их поведение. Если оно не содержит признаков атаки, то вложение считается безопасным и пользователь может его открыть. А потенциально вредоносный файл отправляется в карантин и о нем оповещается администратор.

Что касается ссылок в письмах, то они тоже проверяются. Exchange ATP подменяет все ссылки на промежуточные. Пользователь кликает по линку в письме, попадает на промежуточную ссылку, и в этот момент система проверяет адрес на безопасность. Проверка происходит так быстро, что пользователь не замечает задержки. Если ссылка ведет на зараженный сайт или файл, переход по ней запрещается.

Как работает Exchange ATP

Источник: Microsoft, 2017

Почему проверка происходит в момент клика, а не при получении письма – ведь тогда на исследование есть больше времени и, следовательно, потребуются меньшие вычислительные мощности? Это сделано специально для защиты от трюка злоумышленников с подменой содержимого по ссылке. Типичный пример: письмо в почтовый ящик приходит ночью, система проводит проверку и ничего не обнаруживает, а к утру на сайте по этой ссылке уже размещен, например, файл с трояном, который пользователь благополучно скачивает.

И третья часть сервиса Exchange ATP – встроенная система отчетности. Она позволяет проводить расследования произошедших инцидентов и дает данные для ответов на вопросы: когда произошло заражение, как и где оно произошло. Это позволяет найти источник, определить ущерб и понять, что это было: случайное попадание или целенаправленная, таргетированная атака против этой компании.

Полезна эта система и для профилактики. Например, администратор может поднять статистику, сколько было переходов по ссылкам, помеченным как опасные, и кто из пользователей это делал. Даже если не произошло заражения, все равно с этими сотрудниками нужно провести разъяснительную работу.

Правда, есть категории сотрудников, которых должностные обязанности заставляют посещать самые разные сайты – таковы, например, маркетологи, исследующие рынок. Для них технологии Microsoft позволяют настроить политику так, что любые скачиваемые файлы перед сохранением на компьютере будут проверяться в «песочнице». Причем правила задаются буквально в несколько кликов.

Защита учетных данных

Одна из целей атак злоумышленников – учетные данные пользователей. Технологии краж логинов и паролей пользователей достаточно много, и им должна противостоять прочная защита. Надежд на самих сотрудников мало: они придумывают простые пароли, применяют один пароль для доступа на все ресурсы и записывают их на стикере, который приклеивают на монитор. С этим можно бороться административными мерами и задавая программно требования к паролям, но гарантированного эффекта все равно не будет.

Если в компании заботятся о безопасности, в ней разграничиваются права доступа, и, например, инженер или менеджер по продажам не может зайти на бухгалтерский сервер. Но в запасе у хакеров есть еще один трюк: они могут отправить с захваченного аккаунта рядового сотрудника письмо целевому специалисту, который владеет нужной информацией (финансовыми данными или коммерческой тайной). Получив письмо от «коллеги», адресат стопроцентно его откроет и запустит вложение. И программа-шифровальщик получит доступ к ценным для компании данным, за возврат которых компания может заплатить большие деньги.

Чтобы захваченная учетная запись не давала злоумышленникам возможности проникнуть в корпоративную систему, Microsoft предлагает защитить ее средствами многофакторной аутентификации Azure Multifactor Authentication. То есть для входа нужно ввести не только пару логин/пароль, но и ПИН-код, присланный в СМС, Push-уведомлении, сгенерированный мобильным приложением, или ответить роботу на телефонный звонок. Особенно полезна многофакторная аутентификация при работе с удаленными сотрудниками, которые могут заходить в корпоративную систему из разных точек мира.

Azure Multifactor Authentication

Современные технологии позволяют хакерам постоянно совершенствовать способы мошенничества по отношению к обычным пользователям. Как правило, для этих целей используется вирусное ПО, проникающее на компьютер. Особенно опасным считаются вирусы-шифровальщики. Угроза заключается в том, что вирус очень быстро распространяется, зашифровывая файлы (пользователь попросту не сможет открыть ни один документ). И если довольно просто, то куда сложнее расшифровать данные.

Что делать, если вирус зашифровал файлы на компьютере

Подвергнуться атаке шифровальщика может каждый, не застрахованы даже пользователи, у которых стоит мощное антивирусное ПО. Трояны шифровальщики файлов представлены различным кодом, который может быть не под силу антивирусу. Хакеры даже умудряются атаковать подобным способом крупные компании, которые не позаботились о необходимой защите своей информации. Итак, «подцепив» в онлайне программу шифровальщик, необходимо принять ряд мер.

Главные признаки заражения – медленная работа компьютера и изменение наименований документов (можно заметить на рабочем столе).

Перезапустите компьютер, чтобы прервать шифрование. При включении не подтверждайте запуск неизвестных программ.
Запустите антивирус, если он не подвергся атаке шифровальщика.
Восстановить информацию в некоторых случаях помогут теневые копии. Чтобы найти их, откройте «Свойства» зашифрованного документа. Этот способ работает с зашифрованными данными расширения Vault, о котором есть информация на портале.
Скачайте утилиту последней версии для борьбы с вирусами-шифровальщиками. Наиболее эффективные предлагает «Лаборатория Касперского».

Вирусы-шифровальщики в 2016: примеры

При борьбе с любой вирусной атакой важно понимать, что код очень часто меняется, дополняясь новой защитой от антивирусов. Само собой, программам защиты нужно какое-то время, пока разработчик не обновит базы. Нами были отобраны самые опасные вирусы-шифровальщики последнего времени.

Ishtar Ransomware

Ishtar – шифровальщик, вымогающий у пользователя деньги. Вирус был замечен осенью 2016 года, заразив огромное число компьютеров пользователей из России и ряда других стран. Распространяется при помощи email-рассылки, в которой идут вложенные документы (инсталляторы, документы и т.д.). Зараженные шифровальщиком Ishtar данные, получают в названии приставку «ISHTAR». В процессе создается тестовый документ, в котором указано, куда обратиться за получением пароля. Злоумышленники требует за него от 3000 до 15000 рублей.

Опасность вируса Ishtar в том, что на сегодняшний день нет дешифратора, который бы помог пользователям. Компаниям, занимающимся созданием антивирусного ПО, необходимо время, чтобы расшифровать весь код. Сейчас можно лишь изолировать важную информацию (если представляют особую важность) на отдельный носитель, дожидаясь выхода утилиты, способной расшифровать документы. Рекомендуется переустановить операционную систему.

Neitrino

Шифровальщик Neitrino появился на просторах Сети в 2015 году. По принципу атаки схож с другими вирусами подобной категории. Изменяет наименования папок и файлов, добавляя «Neitrino» или «Neutrino». Дешифрации вирус поддается с трудом – берутся за это далеко не все представители антивирусных компаний, ссылаясь на очень сложный код. Некоторым пользователям может помочь восстановление теневой копии. Для этого кликните правой кнопкой мыши по зашифрованному документу, перейдите в «Свойства», вкладка «Предыдущие версии», нажмите «Восстановить». Не лишним будет воспользоваться и бесплатной утилитой от «Лаборатории Касперского».

Wallet или .wallet.

Появился вирус-шифровальщик Wallet в конце 2016 года. В процессе заражения меняет наименование данных на «Имя..wallet» или похожее. Как и большинство вирусов-шифровальщиков, попадает в систему через вложения в электронных письмах, которые рассылают злоумышленники. Так как угроза появилась совсем недавно, антивирусные программы не замечают его. После шифрации создает документ, в котором мошенник указывает почту для связи. В настоящее время разработчики антивирусного ПО работают над расшифровкой кода вируса-шифровальщика [email protected]. Пользователям, подвергшимся атаке, остается лишь ждать. Если важны данные, то рекомендуется их сохранить на внешний накопитель, очистив систему.

Enigma

Вирус-шифровальщик Enigma начал заражать компьютеры российских пользователей в конце апреля 2016 года. Используется модель шифрования AES-RSA, которая сегодня встречается в большинстве вирусов-вымогателей. На компьютер вирус проникает при помощи скрипта, который запускает сам пользователь, открыв файлы из подозрительного электронного письма. До сих пор нет универсального средства для борьбы с шифровальщиком Enigma. Пользователи, имеющие лицензию на антивирус, могут попросить о помощи на официальном сайте разработчика. Так же была найдена небольшая «лазейка» – Windows UAC. Если пользователь нажмет «Нет» в окошке, которое появляется в процессе заражения вирусом, то сможет впоследствии восстановить информацию при помощи теневых копий.

Granit

Новый вирус-шифровальщик Granit появился в Сети осенью 2016 года. Заражение происходит по следующему сценарию: пользователь запускает инсталлятор, который заражает и шифрует все данные на ПК, а также подключенных накопителях. Бороться с вирусом сложно. Для удаления можно воспользоваться специальными утилитами от Kaspersky, но расшифровать код еще не удалось. Возможно, поможет восстановление предыдущих версий данных. Помимо этого, расшифровать может специалист, который имеет большой опыт, но услуга стоит дорого.

Tyson

Был замечен недавно. Является расширением уже известного шифровальщика no_more_ransom, о котором вы можете узнать на нашем сайте. Попадает на персональные компьютеры из электронной почты. Атаке подверглось много корпоративных ПК. Вирус создает текстовый документ с инструкцией для разблокировки, предлагая заплатить «выкуп». Шифровальщик Tyson появился недавно, поэтому ключа для разблокировки еще нет. Единственный способ восстановить информацию – вернуть предыдущие версии, если они не подверглись удалению вирусом. Можно, конечно, рискнуть, переведя деньги на указанный злоумышленниками счет, но нет гарантий, что вы получите пароль.

Spora

В начале 2017 года ряд пользователей стал жертвой нового шифровальщика Spora. По принципу работы он не сильно отличается от своих собратьев, но может похвастаться более профессиональным исполнением: лучше составлена инструкция по получению пароля, веб-сайт выглядит красивее. Создан вирус-шифровальщик Spora на языке С, использует сочетание RSA и AES для шифрования данных жертвы. Атаке подверглись, как правило, компьютеры, на которых активно используется бухгалтерская программа 1С. Вирус, скрываясь под видом простого счета в формате.pdf, заставляет работников компаний запускать его. Лечение пока не найдено.

1C.Drop.1

Этот вирус-шифровальщик для 1С появился летом 2016 года, нарушив работу многих бухгалтерий. Разработан был специально для компьютеров, на которых используется программное обеспечение 1С. Попадая посредством файла в электронном письме на ПК, предлагает владельцу обновить программу. Какую бы кнопку пользователь не нажал, вирус начнет шифрование файлов. Над инструментами для расшифровки работают специалисты «Dr.Web», но пока решения не найдено. Виной тому сложный код, который может быть в нескольких модификациях. Защитой от 1C.Drop.1 становится лишь бдительность пользователей и регулярное архивирование важных документов.

da_vinci_code

Новый шифровальщик с необычным названием. Появился вирус весной 2016 года. От предшественников отличается улучшенным кодом и стойким режимом шифрования. da_vinci_code заражает компьютер благодаря исполнительному приложению (прилагается, как правило, к электронному письму), который пользователь самостоятельно запускает. Шифровальщик «да Винчи» (da vinci code) копирует тело в системный каталог и реестр, обеспечивая автоматический запуск при включении Windows. Компьютеру каждой жертвы присваивается уникальный ID (помогает получить пароль). Расшифровать данные практически невозможно. Можно заплатить деньги злоумышленникам, но никто не гарантирует получения пароля.

[email protected] / [email protected]

Два адреса электронной почты, которыми часто сопровождались вирусы-шифровальщики в 2016 году. Именно они служат для связи жертвы со злоумышленником. Прилагались адреса к самым разным видам вирусов: da_vinci_code, no_more_ransom и так далее. Крайне не рекомендуется связываться, а также переводить деньги мошенникам. Пользователи в большинстве случаев остаются без паролей. Таким образом, показывая, что шифровальщики злоумышленников работают, принося доход.

Breaking Bad

Появился еще в начале 2015 года, но активно распространился только через год. Принцип заражения идентичен другим шифровальщикам: инсталляция файла из электронного письма, шифрование данных. Обычные антивирусы, как правило, не замечают вирус Breaking Bad. Некоторый код не может обойти Windows UAC, поэтому у пользователя остается возможность восстановить предыдущие версии документов. Дешифратора пока не представила ни одна компания, разрабатывающая антивирусное ПО.

XTBL

Очень распространенный шифровальщик, который доставил неприятности многим пользователям. Попав на ПК, вирус за считанные минуты изменяет расширение файлов на.xtbl. Создается документ, в котором злоумышленник вымогает денежные средства. Некоторые разновидности вируса XTBL не могут уничтожить файлы для восстановления системы, что позволяет вернуть важные документы. Сам вирус можно удалить многими программами, но расшифровать документы очень сложно. Если является обладателем лицензионного антивируса, воспользуйтесь технической поддержкой, приложив образцы зараженных данных.

Kukaracha

Шифровальщик «Кукарача» был замечен в декабре 2016 года. Вирус с интересным названием скрывает пользовательские файлы при помощи алгоритма RSA-2048, который отличается высокой стойкостью. Антивирус Kaspersky обозначил его как Trojan-Ransom.Win32.Scatter.lb. Kukaracha может быть удален с компьютера, чтобы заражению не подверглись другие документы. Однако зараженные на сегодняшний день практически невозможно расшифровать (очень мощный алгоритм).

Как работает вирус-шифровальщик

Существует огромное число шифровальщиков, но все они работают по схожему принципу.

Попадание на персональный компьютер. Как правило, благодаря вложенному файлу к электронному письму. Инсталляцию при этом инициирует сам пользователь, открыв документ.
Заражение файлов. Подвергаются шифрации практически все типы файлов (зависит от вируса). Создается текстовый документ, в котором указаны контакты для связи со злоумышленниками.
Все. Пользователь не может получить доступа ни к одному документу.

Средства борьбы от популярных лабораторий

Широкое распространение шифровальщиков, которые признаются наиболее опасными угрозами для данных пользователей, стало толчком для многих антивирусных лабораторий. Каждая популярная компания предоставляет своим пользователям программы, помогающие бороться с шифровальщиками. Кроме того, многие из них помогают с расшифровкой документов защитой системы.

Kaspersky и вирусы-шифровальщики

Одна из самых известных антивирусных лабораторий России и мира предлагает на сегодня наиболее действенные средства для борьбы с вирусами-вымогателями. Первой преградой для вируса-шифровальщика станет Kaspersky Endpoint Security 10 с последними обновлениями. Антивирус попросту не пропустит на компьютер угрозу (правда, новые версии может не остановить). Для расшифровки информации разработчик представляет сразу несколько бесплатных утилит: , XoristDecryptor, RakhniDecryptor и Ransomware Decryptor. Они помогают отыскивать вирус и подбирают пароль.

Dr. Web и шифровальщики

Эта лаборатория рекомендует использовать их антивирусную программу, главной особенностью которой стало резервирование файлов. Хранилище с копиями документов, кроме того, защищено от несанкционированного доступа злоумышленников. Владельцам лицензионного продукта Dr. Web доступна функция обращения за помощью в техническую поддержку. Правда, и опытные специалисты не всегда могут противостоять этому типу угроз.

ESET Nod 32 и шифровальщики

В стороне не осталась и эта компания, обеспечивая своим пользователям неплохую защиту от проникновения вирусов на компьютер. Кроме того, лаборатория совсем недавно выпустила бесплатную утилиту с актуальными базами – Eset Crysis Decryptor. Разработчики заявляют, что она поможет в борьбе даже с самыми новыми шифровальщиками.

Facebook

Twitter

Odnoklassniki

Естествознание

Вирус-шифровальщик WannaCry: что делать?

Заражен ли компьютер вирусом-шифровальщиком Wana Decryptor?

После установки обновлений, компьютер надо будет перегрузить – теперь шифровальщик вирус к вам не проникнет.

Как вылечится от вируса-шифровальщика Wana Decrypt0r?

Когда антивирусная утилита обнаружит вирус, она либо удалит его сразу, либо спросит у вас: лечить или нет? Ответ – лечить.

Как восстановить зашифрованные Wana Decryptor файлы?

Ничего утешительного на данный момент сообщить мы не можем. Пока инструмента по расшифровке файлов не создали. Остается только подождать, когда дешифровщик будет разработан.

компьютерный вирус

Добавьте «Э Вести» в свои избранные источники

Навигация по записям

Последние новости раздела

Рейчел Бронсон – глава бюллетеня “Учёные-атомщики за мир” сообщила, что часы Судного Дня переведены на 20 секунд вперёд. По её мнению, осталось всего условные 100…

Атаки вирусов-шифровальщиков, утечки хакерских инструментов американских спецслужб, проверка на прочность объектов энергетики, удары по ICO и первая успешная кража денег из российского банка с системой SWIFT - уходящий 2017 год был полон неприятных сюрпризов. Не все оказались к ним готовы. Скорее, наоборот. Киберпреступность становится быстрее и масштабнее. Прогосударственные хакеры - уже не только шпионы, они крадут деньги и устраивают кибердиверсии.
Любое противодействие киберугрозам - это всегда соревнование брони и снаряда. И события этого года показали, что многие компании и даже государства уступают киберпреступникам. Потому что не знают, кто враг, как он действует и где надо ждать следующего удара. Большинство атак нужно предотвращать еще на этапе их подготовки при помощи технологий раннего предупреждения Threat Intelligence. Быть на несколько шагов впреди киберпреступников, значит сохранить свои деньги, информацию и репутацию.

Вирусы-шифровальщики

Самыми масштабными, как с точки зрения распространения, так и ущерба в 2017 году стали кибератаки с использованием вирусов-шифровальщиков. За ними стоят прогосударственные хакеры. Вспомним их поименно.

Последствия атаки WonnaCry: супермаркет "Рост", Харьков, Украина.

Lazarus (известна также как Dark Seoul Gang) - имя северокорейской группы хакеров, за которыми, предположительно, стоит Bureau 121 - одно из подразделений Разведывательного Управления Генштаба КНА (КНДР), отвечающего за проведение киберопераций. Хакеры из северокорейской группы Lazarus долгие годы шпионили за идеологическими врагами режима - госучреждениями и частными корпорациями США и Южной Кореи. Теперь Lazarus атакует банки и финансовые учреждения по всему миру: на их счету попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш, атаки на банки Польши, а также сотрудников ЦБ РФ, ЦБ Венесуэлы, ЦБ Бразилии, ЦБ Чили и попытка вывести из Far Eastern International Bank $60 млн (см раздел "Целевые атаки на банки"). В конце 2017 года северокорейские хакеры были замечены в атаках на криптовалютные сервисы и атаках с использованием мобильных троянов.

Тренд года

24 октября на Украине и в России произошла масштабная кибератака с использованием вируса-шифровальщика «BadRabbit». Вирус атаковал компьютеры и серверы Киевского метрополитена, Министерства инфраструктуры, Международного аэропорта "Одесса". Несколько жертв оказались и в России - в результате атаки пострадали редакции федеральных СМИ, а также были зафиксированы факты попыток заражений банковских инфраструктур. За атакой, как установила Group-IB, стоит группа Black Energy.

Целевые атаки на банки

Преступные группы, атаковавшие российские банки, весной и летом 2017 года переключили свое внимание на другие страны и регионы: США, Европа, Латинская Америка, Азия и Ближний Восток. В конце года они снова заработали в России.

В 2017 году у прогосударственных хакеров изменились цели - они стали проводить кибердиверсии на финансовый сектор. Для шпионажа или кражи денег взломщики стараются получить доступ к SWIFT, карточному процессингу. Весной этого года группа BlackEnergy взломала интегратора на Украине и получила доступ в сеть украинских банков. Через пару месяцев началась эпидемия WannyCry и NotPetya, за которыми стоят группы Lazarus и BlackEnergy.

Тем не менее, к началу октября, когда команда Group-IB сдавала ежегодный отчет, мы были полны сдержанного оптимизма: целенаправленные атаки на банки в России упали на 33%. Все преступные группы, атаковавшие российские банки, постепенно переключили свое внимание на другие страны и регионы: США, Европа, Латинская Америка, Азия и Ближний Восток. Конец года подпортил статистику - мы зафиксировали целый ряд кибератак на банки, в декабре произошла первая успешная атака на российский банк со SWIFT в исполнении группы Cobalt.

Атаки на SWIFT

В октябре ограбили банк Far Eastern International Bank Тайваня. Добравшись до системы международных межбанковских переводов (SWIFT), к которой был подключен банк, хакеры смогли вывести почти $60 миллионов на счета в Шри-Ланке, Камбодже и США. За атакой, предварительно, стоит группа Lazarus. В ноябре крупнейший негосударственный банк Непала NIC Asia Bank подвергся целенаправленной атаке киберпреступников, которые получили доступ к системе SWIFT и вывели $4,4 млн на счета в США, Великобритании, Японии и Сингапуре.

В середине декабря стало известно об успешной атаке на российский банк с использованием SWIFT (международная система передачи финансовой информации). Напомним, что раньше в России целевые атаки проходили с использованием систем карточного процессинга, банкоматов и АРМ КБР (автоматизированное рабочее место клиента банка России).

К атаке, вероятно, причастна группировка Cobalt. Проникновение в банк произошло через вредоносное ПО, которое рассылалось группировкой несколько недель назад по банкам - такой способ атаки характерен для Cobalt. СМИ сообщали, что преступники попытались украсть около $1 млн, но удалось вывести около 10%. FinCERT, структурное подразделение ЦБ по информбезопасности, в своем отчете назвал группу Cobalt главной угрозой для кредитных организаций.

По данным Group-IB, на счету группировки не менее 50 успешных атак на банки по всему миру: в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Все лето и осень они атаковали банки по всему миру, тестировали новые инструменты и схемы, и под конец года не снизили обороты - практически каждую неделю мы фиксируем их почтовые рассылки с вредоносными программами внутри.

Бестелесность и вредоносные скрипты - новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки. Еще мы замечаем, что хакеры атакуют банки не в лоб, а через доверенных партнеров - интеграторов, подрядчиков. Они атакуют сотрудников, когда те находятся дома, проверяют личную почту, соцсети

Тренд года

Открытие года: MoneyTaker

10 интересных фактов про MoneyTaker

Их жертвой становились небольшие банки - в России региональные, в США -комьюнити-банки с невысоким уровнем защиты. В один из российских банков хакеры проникли через домашний компьютер сисадмина.
Один из американских банков взломали аж дважды.
Совершив успешную атаку, продолжали шпионить за сотрудниками банка с помощью пересылки входящих писем на адреса Yandex и Mail.ru.
Эта группировка всегда уничтожала следы после атаки.
Деньги из одного российского банка пытались вывести через банкоматы, но они не работали -у их владельца незадолго до этого ЦБ забрал лицензию. Вывели деньги через АРМ КБР.
Похищали не только деньги, но и внутренние документы, инструкции, регламенты, журналы транзакций. Судя по украденным документам, связанным с работой SWIFT, хакеры готовят атаки на объекты в Латинской Америке.
В некоторых случаях хакеры вносили изменения в код программы «на лету» - прямо во время проведения атаки.
Взломщики использовали файл SLRSideChannelAttack.exe., который был выложен в публичный доступ исследователями.
MoneyTaker использовали общедоступные инструменты, целенаправленно скрывали любые элементы атрибуции, предпочитая оставаться в тени. Автор у программ один - это видно по типичным ошибкам, которые кочуют из одной самописной программы в другую.

Утечки хакерских инструментов спецслужб

Эксплойты из утечек АНБ и ЦРУ стали активно использоваться для проведения целенаправленных атак. Они уже включены в основные инструменты для проведения тестов на проникновения финансово мотивированных и некоторых прогосударственных хакеров.

WikiLeaks и Vault7

Весь год WikiLeaks методично раскрывал секреты ЦРУ, публикуя в рамках проекта Vault 7 информацию о хакерских инструментах спецслужб. Один из них - CherryBlossom («Вишневый цвет») позволяет отслеживать местонахождение и интернет-активность пользователей, подключенных к беспроводному роутеру Wi-Fi. Такие устройства повсеместно используются в домах, офисах, ресторанах, барах, гостиницах, аэропортах и госучреждениях. WikiLeaks даже раскрыл технологию шпионажа ЦРУ за коллегами из ФБР, МВБ, АНБ. Управление технических служб (OTS) в ЦРУ разработало шпионское ПО ExpressLane для тайного извлечения данных из биометрической системы сбора информации, которую ЦРУ распространяет своим коллегам из разведсоуобщества США. Чуть раньше WikiLeaks раскрыла информацию о вредоносной программе Pandemic, предназначенной для взлома компьютеров с общими папками, и о программе ELSA, которая также отслеживает геолокацию устройств с поддержкой Wi-Fi и позволяет отслеживать привычки пользователя. Wikileaks начал серию публикаций Vault-7 в феврале 2017 года. Утечки содержали информацию с описанием уязвимостей в программном обеспечении, образцами вредоносных программ и техниками проведения компьютерных атак.

Хакерские инструменты из другого не менее популярного источника - утечки АНБ, которые публикует группа Shadow Brokers, не только пользовалась повышенным спросом, но еще совершенствовалась и дорабатывалась. На андеграундных форумах появился скрипт для автоматизации поиска машин с уязвимостью SMB- протокола, основанный на утилитах американских спецслужб опубликованных группировкой Shadow Brokers в апреле этого года. В результате утечки утилита fuzzbunch и эксплойт ETERNALBLUE оказались в открытом доступе, но после проведенной доработки полностью готовый продукт упрощает злоумышленникам процесс атаки.

Напомним, что именно SMB-протокол использовался шифровальщиком WannaCry для заражения сотен тысяч компьютеров в 150 странах мира. Месяц назад создатель поисковой системы Shodan Джон Мазерл (John Matherly) заявил, что в Сети обнаружено 2 306 820 устройств с открытыми портами для доступа по SMB-протоколу. 42% (около 970 тыс.) из них предоставляют гостевой доступ, то есть любой желающий с помощью протокола SMB может получить доступ к данным без авторизации.

Летом группа Shadow Brokers пообещала каждый месяц публиковать для своих подписчиков новые эксплойты, в том числе для роутеров, браузеров, мобильных устройств, скомпрометированные данные из банковских сетей и SWIFT, информацию о ядерных и ракетных программах. Вдохновленные вниманием Shadow Brokers подняли первоначальную стоимость подписки со 100 монет Zcash (около $30 000) до 200 монет Zcash (около $60 000). Статус VIP- подписчика стоит 400 монет Zcash и позволяет получать эксплойты под заказ.

Атаки на критическую инфраструктуру

Энергетический сектор стал тестовым полигоном для исследования нового кибероружия. Преступная группа BlackEnergy продолжает атаки на финансовые и энергетические компании. Оказавшиеся в их распоряжении инструменты позволяют удаленно управлять Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети.

Первым вирусом, который реально смог вывести оборудование из строя, был Stuxnet, используемый Equation Group (Five Eyes/Tilded Team). В 2010 году вирус проник в систему иранского завода по обогащению урана в Натане и поразил контроллеры SIMATIC S7 Siemens, вращавшие центрифуги с ураном с частотой 1000 оборотов секунду. Stuxnet разогнал роторы центрифуг до 1400 оборотов, да так что они начали вибрировать и разрушаться. Из 5 000 центрифуг, установленных в зале, из строя были выведены около 1000 штук. Иранская ядерная программа на пару лет откатилась назад.

После этой атаки несколько лет наблюдалось затишье. Оказалось, что все это время хакеры искали возможность влиять на ICS и выводить их из строя, когда это будет необходимо. Дальше других в этом направлении продвинулась группа Black Energy, также известная как Sandworm.

Их тестовая атака на украинскую подстанцию в конце прошлого года показала, на что способен новый набор инструментов, получивший название Industroyer или CRASHOVERRIDE. На конференции Black Hat ПО Industroyer было названо «самой большой угрозой промышленным системам управления со времен Stuxnet». Например, инструменты BlackEnergy позволяют удаленно управлять Remote terminal unit (RTU), которые отвечают за физическое размыкание/ замыкание энергосети. Вооружилась такими инструментами, хакеры что могут превратить его в грозное кибероружие, которое позволит оставлять без света и воды целые города.

Проблемы могут возникнуть не только на Украине: новые атаки на энергосистемы в июле были зафиксированы в Великобритании и Ирландии. Сбоев в работе энергосетей не было, но, как полагают эксперты, хакеры могли похитить пароли к системам безопасности. В США после рассылки сотрудникам энергетических компаний вредоносных писем ФБР предупредило компании о возможных кибератаках.

Атаки на ICO

Долгое время банки и их клиенты были главной целью киберпреступников. Но теперь у них сильный конкуренты в лице ICO и блокчейн-стартапов - все, что связано с криптовалютами привлекает внимание хакеров.

ICO (Initial Coin Offering - процедура первичного размещения токенов) – мечта любого хакера. Молниеносная, зачастую довольно простая атака на криптовалютные сервисы и блокчейн-стартапы приносит миллионы долларов прибыли с минимальным риском для преступников. По данным Chainalysis, хакерам удалось украсть 10% всех средств, инвестированных в ICO-проекты в 2017 году в Ethereum. Общий ущерб составил почти $225 миллионов, 30 000 инвесторов лишились в среднем по $7500.

Мы проанализировали около сотни атак на блокчейн-проекты (биржи, обменники, кошельки, фонды) и пришли к выводу, что основная масса проблем кроется в уязвимости самих криптосервисов, использующих технологию блокчейна. В случае с Ethereum проблемы наблюдались не у самой платформы, а у криптосервисов: они столкнулись с уязвимостями в собственных смарт-контрактах, deface, компрометацией админских аккаунтов (Slack, Telegram), фишинговыми сайтами, копирующими контент сайтов компаний, выходящих на ICO.

Есть несколько уязвимых мест:

Фишинговые сайты – клоны официального ресурса
Уязвимости сайта / веб-приложения
Атаки через сотрудников компании
Атаки на IT-инфраструктуру

Нас очень часто спрашивают, на что обращать внимание, что проверять в первую очередь? Есть три больших блока, на которые надо обратить внимание: защитить людей, защитить процессы и защитить инфраструктуру.

Кражи денег с помощью Android-троянов

Рынок банковских Android-троянов оказался самым динамичным и быстро растущим. Ущерб от банковских троянов под Android в России вырос на 136 % - он составили $13,7 млн. - и перекрыл ущерб от троянов для персональных компьютеров на 30%.

Мы предсказывали этот рост еще в прошлом году, поскольку заражения вредоносным ПО становятся незаметнее, а хищения автоматизируются при помощи метода автозалива. По нашим оценкам, ущерб от этого вида атак в России за прошедший год составил $13,7 млн.

Задержание участников преступной группы Cron