暗号化ウイルスによる攻撃、アメリカ諜報機関からのハッキングツールの漏洩、エネルギー施設の強度テスト、ICOへの攻撃、そしてSWIFTシステムを使ったロシアの銀行からの資金窃盗の初成功など、2017年は不快な驚きに満ちた年だった。 誰もがそれらに対する準備ができていたわけではありません。 まったく逆です。 サイバー犯罪は急速かつ大規模化しています。 親政府ハッカーはもはや単なるスパイではなく、金銭を盗み、サイバー破壊活動を行っています。
サイバー脅威に対するあらゆる対抗策は、常に装甲と発射体の競争になります。 そして今年の出来事は、多くの企業、さらには国家がサイバー犯罪に屈していることを示しています。 なぜなら、敵が誰なのか、彼がどのように行動するのか、そして次の攻撃をどこで待つべきなのかが分からないからです。 ほとんどの攻撃は、脅威インテリジェンスの早期警告テクノロジーを使用して準備の段階で防ぐ必要があります。 サイバー犯罪者の数歩先を行くということは、お金、情報、評判を節約することを意味します。

ランサムウェアウイルス

2017 年に配布と被害の両面で最も蔓延したのは、ランサムウェア ウイルスを使用したサイバー攻撃でした。 彼らの背後には親政府ハッカーがいる。 名前で覚えてみましょう。

WonnaCry 攻撃の結果: ウクライナ、ハリコフのスーパーマーケット Rost。

ラザルス（ダーク・ソウル・ギャングとしても知られる）は、朝鮮人民軍総参謀本部情報総局の一部門の1つである121局の背後にいると考えられている北朝鮮のハッカー集団の名前であり、サイバー攻撃を担当している。オペレーション。 長年にわたり、北朝鮮のグループ「ラザラス」のハッカーは、政権のイデオロギー上の敵である米国と韓国の政府機関や民間企業をスパイしてきた。 現在、Lazarus は世界中の銀行や金融機関を攻撃しています。彼らは、2016 年 2 月にバングラデシュ中央銀行からほぼ 10 億ドルを盗もうとした試み、ポーランドの銀行、およびロシア中央銀行の従業員に対する攻撃に関与しています。連盟、ベネズエラ中央銀行、ブラジル中央銀行、チリ中央銀行と協力し、極東国際銀行から6,000万ドルを引き出しようとした（「銀行に対する標的型攻撃」の項を参照）。 2017年末、北朝鮮のハッカーによる仮想通貨サービスへの攻撃やモバイルトロイの木馬を使った攻撃が注目された。

今年のトレンド

10月24日、ウクライナとロシアでランサムウェアウイルス「BadRabbit」を使った大規模なサイバー攻撃が発生した。 このウイルスは、キエフ地下鉄、インフラ省、オデッサ国際空港のコンピューターとサーバーを攻撃しました。 数人の被害者もロシアにたどり着いた。攻撃の結果、連邦メディアの編集局が被害を受け、銀行インフラに感染しようとする試みも記録された。 Group-IB が確立したように、Black Energy グループが攻撃の背後にいます。

銀行に対する標的型攻撃

2017年の春と夏にロシアの銀行を襲撃した犯罪グループは、米国、欧州、ラテンアメリカ、アジア、中東といった他の国や地域に関心を移した。 年末に彼らは再びロシアで活動を始めた。

2017 年、政府支持ハッカーたちは目標を変更し、金融セクターに対してサイバー妨害活動を開始しました。 ハッカーはスパイしたりお金を盗んだりするために、カード処理である SWIFT へのアクセスを試みます。 この春、BlackEnergy グループはウクライナのインテグレーターをハッキングし、ウクライナの銀行のネットワークにアクセスしました。 数か月後、WannyCry と NotPetya の流行が始まり、その背後に Lazarus と BlackEnergy グループが立っていました。

しかし、グループ IB チームが年次報告書を提出した 10 月初旬までに、私たちは慎重ながらも楽観的な見方をしていました。ロシアの銀行に対する標的型攻撃は 33% 減少しました。 ロシアの銀行を攻撃したすべての犯罪グループは、徐々に他の国や地域、つまり米国、ヨーロッパ、ラテンアメリカ、アジア、中東に関心を移しました。 年末には統計が台無しになり、銀行に対するサイバー攻撃が多数記録されましたが、12 月には、Cobalt グループによって実行された SWIFT によるロシアの銀行への最初の攻撃が成功しました。

SWIFTに対する攻撃

10月には台湾の極東国際銀行が強盗に遭った。 ハッカーらは銀行と接続されていた国際銀行間送金（SWIFT）システムに到達し、スリランカ、カンボジア、米国の口座に約6000万ドルを引き出すことができた。 ラザログループが攻撃の背後にあると考えられている。 11月、ネパール最大の非国営銀行であるNIC Asia Bankがサイバー犯罪者の標的となり、SWIFTシステムにアクセスし、米国、英国、日本、シンガポールの口座に440万ドルを引き出した。

12月中旬、SWIFT（国際金融情報転送システム）を利用したロシアの銀行への攻撃が成功したことが判明した。 以前ロシアで、カード処理システム、ATM、KBR (ロシアの銀行顧客の自動ワークステーション) の自動ワークステーションを使用して標的型攻撃が行われたことを思い出してください。

Cobalt グループが攻撃に関与している可能性があります。 銀行への侵入は、数週間前にこのグループによって銀行に配布されたマルウェアを通じて行われました。このタイプの攻撃は Cobalt にとって典型的なものです。 メディアは、犯人らが約100万ドルを盗もうとしたが、約10％を引き出すことに成功したと報じた。 中央銀行の情報セキュリティ部門である FinCERT は、報告書の中で、信用機関に対する主な脅威として Cobalt グループを挙げています。

Group-IBによると、このグループはロシア、イギリス、オランダ、スペイン、ルーマニア、ベラルーシ、ポーランド、エストニア、ブルガリア、ジョージア、モルドバ、キルギスタン、アルメニアなど、世界中の銀行に対して少なくとも50回の攻撃を実行し成功しているという。 、台湾、マレーシア。 夏から秋にかけて、彼らは世界中の銀行を攻撃し、新しいツールやスキームをテストし、年末になってもその勢いは衰えませんでした。私たちはほぼ毎週、悪意のあるプログラムが含まれた彼らのメールを記録しています。

非実体性と悪意のあるスクリプトは、新しい (そして今では基本的な) 攻撃の原則です。 ハッカーは検出されないようにするため、RAM 内でのみ動作し、再起動後に破壊される「実体のない」プログラムを使用します。 さらに、PowerShell、VBS、PHP のスクリプトは、システム内での永続性 (アンカー) を確保し、攻撃の一部の段階を自動化するのに役立ちます。 また、ハッカーは銀行を正面から攻撃するのではなく、信頼できるパートナー、つまりインテグレーターや請負業者を通じて攻撃することにも気づきました。 彼らは在宅時に従業員を攻撃し、個人の電子メールやソーシャルネットワークをチェックします

今年のトレンド

今年の発見: MoneyTaker

MoneyTaker に関する 10 の興味深い事実

• 被害者はロシアの地方銀行や米国の保護レベルが低い地域銀行などの小規模銀行だった。 ハッカーは、システム管理者の自宅コンピューターを介してロシアの銀行の 1 つに侵入しました。
• アメリカの銀行の 1 つが 2 回ハッキングされました。
• 攻撃が成功した後も、彼らは受信した手紙を Yandex と Mail.ru のアドレスに転送することで銀行員をスパイし続けました。
• このグループは攻撃後に必ず痕跡を破壊しました。
• 彼らはロシアのある銀行からATMを使ってお金を引き出そうとしたがうまくいかず、その直前に中央銀行が銀行の所有者からライセンスを剥奪した。 CBD の自動化された作業場を通じてお金を引き出しました。
• 盗まれたのは金銭だけでなく、内部文書、指示、規制、取引記録なども盗まれました。 SWIFT の活動に関連して盗まれた文書から判断すると、ハッカーはラテンアメリカの標的への攻撃を準備しています。
• 場合によっては、ハッカーは攻撃中にその場でプログラム コードを変更しました。
• ハッカーは、研究者によって公開されたファイル SLRSideChannel Attack.exe を使用しました。
• MoneyTaker は公開されているツールを使用し、意図的に帰属の要素を隠し、影に残ることを好みました。 プログラムの作成者は 1 人だけです。これは、自分で作成したプログラムから別のプログラムに移行する典型的なエラーからわかります。

インテリジェンスハッキングツールの流出

NSA と CIA の漏洩によるエクスプロイトは、標的型攻撃を実行するために積極的に使用され始めています。 これらは、金銭目的のハッカーや一部の政府支持ハッカーに対する侵入テストを実施するための主要ツールにすでに組み込まれています。

ウィキリークスとVault7

ウィキリークスは年間を通じて、Vault 7 プロジェクトの一環として諜報機関のハッキング ツールに関する情報を公開し、CIA の秘密を系統的に明らかにしてきました。 その 1 つである CherryBlossom を使用すると、ワイヤレス Wi-Fi ルーターに接続しているユーザーの位置とインターネット アクティビティを追跡できます。 このようなデバイスは、家庭、オフィス、レストラン、バー、ホテル、空港、政府機関で広く使用されています。 ウィキリークスは、FBI、DHS、NSAの同僚をスパイするためのCIAのテクノロジーさえ暴露した。 CIA の技術サービス局 (OTS) は、CIA が米国情報コミュニティの対応者に配布している生体認証情報システムから秘密裏にデータを抽出する ExpressLane スパイウェアを開発しました。 少し前に、ウィキリークスは、共有フォルダーを使用してコンピューターをハッキングするように設計されたパンデミック マルウェアに関する情報と、Wi-Fi 対応デバイスの地理位置情報を追跡し、ユーザーの習慣を追跡できる ELSA プログラムに関する情報を公開しました。 ウィキリークスは 2017 年 2 月に Vault-7 シリーズの出版を開始しました。 漏洩には、ソフトウェアの脆弱性、マルウェアのサンプル、コンピュータ攻撃手法を説明する情報が含まれていました。

同様に人気のあるもう 1 つの情報源である Shadow Brokers グループによって公開された NSA リークからのハッカー ツールは、需要が高かっただけでなく、改良され洗練されていました。 今年4月にShadow Brokersグループが公開したアメリカ諜報機関のユーティリティをベースにした、SMBプロトコルの脆弱性を持つマシンの検索を自動化するスクリプトが地下フォーラムに登場した。 漏洩の結果、fuzzbunch ユーティリティと ETERNALBLUE エクスプロイトはパブリック ドメインになりましたが、改良が加えられたことで完全に完成した製品となり、攻撃者が攻撃しやすくなりました。

WannaCry ランサムウェアが 150 か国の数十万台のコンピュータに感染するために使用したのは SMB プロトコルであったことを思い出してください。 1 か月前、Shodan 検索エンジンの作成者である John Matherly 氏は、SMB プロトコル経由でアクセスするためのポートが開いているデバイスが 2,306,820 台インターネット上で見つかったと発表しました。 そのうちの 42% (約 97 万) はゲスト アクセスを提供します。つまり、SMB プロトコルを使用する人は誰でも承認なしでデータにアクセスできます。

夏には、Shadow Brokers グループは、ルータ、ブラウザ、モバイル デバイス、銀行ネットワークや SWIFT からの侵害されたデータ、核およびミサイル計画に関する情報など、加入者向けの新しいエクスプロイトを毎月公開すると約束しました。 注目に触発されて、Shadow Brokers は当初のサブスクリプション価格を 100 Zcash コイン (約 30,000 ドル) から 200 Zcash コイン (約 60,000 ドル) に引き上げました。 VIP サブスクライバー ステータスには 400 Zcash コインがかかり、カスタム エクスプロイトを受け取ることができます。

重要インフラへの攻撃

エネルギー部門は、新たなサイバー兵器の研究の実験場となっている。 犯罪グループ BlackEnergy は金融会社やエネルギー会社を攻撃し続けています。 自由に使えるツールを使用すると、電力網を物理的に開閉する役割を担うリモート端末ユニット (RTU) をリモート制御できます。

実際に機器を無効にする可能性のある最初のウイルスは、Equation Group (Five Eyes/Tilded Team) が使用した Stuxnet でした。 2010年、ウイルスはネイサンにあるイランのウラン濃縮プラントのシステムに侵入し、ウランを含む遠心分離機を毎秒1000回転の頻度で回転させるシーメンスSIMATIC S7コントローラーに感染した。 Stuxnet は遠心分離機のローターを 1400 rpm まで加速しましたが、あまりにも速すぎるとローターが振動して崩壊し始めました。 ホールに設置された5,000台の遠心分離機のうち、約1,000台が故障した。 イランの核開発計画は数年前に後退した。

この攻撃の後、数年間は平穏な状態が続きました。 ハッカーたちはずっと、ICS に影響を与え、必要に応じて無効にする機会を探していたことが判明しました。 この方向にさらに進んでいるグループは、サンドワームとしても知られる Black Energy です。

昨年末のウクライナの変電所に対するテスト攻撃では、Industroyer または CRASHOVERRIDE と呼ばれる新しいツール セットが何ができるかを示しました。 Black Hat カンファレンスでは、Industroyer ソフトウェアは「Stuxnet 以来、産業用制御システムに対する最大の脅威」と呼ばれていました。 たとえば、BlackEnergy ツールを使用すると、電力網を物理的に開閉する役割を担うリモート ターミナル ユニット (RTU) をリモートで制御できます。 このようなツールを使用したハッカーは、それを恐るべきサイバー兵器に変えて、光と水のない都市全体から脱出できるようにすることができます。

問題はウクライナだけで起きる可能性はない。7月には英国とアイルランドでもエネルギーシステムに対する新たな攻撃が記録された。 送電網に混乱はなかったが、専門家らはハッカーがセキュリティシステムのパスワードを盗んだ可能性があるとみている。 米国では、エネルギー会社の従業員に悪意のあるメールが送信されたことを受け、FBIは企業に対しサイバー攻撃の可能性について警告した。

ICOに対する攻撃

長い間、銀行とその顧客はサイバー犯罪の主な標的となってきました。 しかし今では、ICO やブロックチェーン新興企業という強力な競争相手が存在しており、暗号通貨に関連するものはすべてハッカーの注目を集めています。

ICO (Initial Coin Offering - トークンの初期配置手順) はハッカーの夢です。 暗号通貨サービスやブロックチェーンの新興企業に対する超高速で、多くの場合非常に単純な攻撃は、犯罪者のリスクを最小限に抑えながら数百万ドルの利益をもたらします。 Chainalies によると、ハッカーは 2017 年にイーサリアム上の ICO プロジェクトに投資された全資金の 10% を盗むことに成功しました。 被害総額は約２億２５００万ドルに上り、３万人の投資家が平均７５００ドルを失った。

私たちはブロックチェーン プロジェクト (取引所、交換業者、ウォレット、ファンド) に対する約 100 件の攻撃を分析し、問題の大部分はブロックチェーン テクノロジーを使用する暗号化サービス自体の脆弱性にあるという結論に達しました。 イーサリアムの場合、問題はプラットフォーム自体ではなく暗号化サービスで観察されました。独自のスマート コントラクトの脆弱性、改ざん、管理者アカウント (Slack、Telegram) の侵害、Web サイトのコンテンツをコピーするフィッシング サイトに遭遇しました。 ICOに参加する企業の数。

いくつかの脆弱性があります。

• フィッシング サイト - 公式リソースのクローン
• サイト/Webアプリケーションの脆弱性
• 社員を通じた攻撃
• ITインフラへの攻撃

何に注意すべきか、最初に何を確認すればよいか、とよく聞かれます。 注意すべき 3 つの大きなブロックがあります。それは、人々の保護、プロセスの保護、インフラストラクチャの保護です。

Android トロイの木馬を使用してお金を盗む

バンキング Android トロイの木馬の市場は、最もダイナミックで急速に成長していることが判明しました。 ロシアにおける Android 向けのバンキング型トロイの木馬による被害は 136% 増加し、その額は 1,370 万ドルに達し、パソコン向けのトロイの木馬による被害を 30% カバーしました。

私たちは昨年、マルウェア感染が検出されにくくなり、自動入力方法を使用して盗難が自動化されるため、この増加が予測されました。 私たちの推定によると、過去 1 年間にロシアで発生したこの種の攻撃による被害は 1,370 万ドルに達しました。

犯罪グループ「クロン」メンバーの拘束

PC 感染を防ぐための簡単な推奨事項に従えば、WannaCry、Petya、Mischa などのランサムウェア ウイルスの脅威を受けることはありません。

先週、新たな暗号化ウイルスに関するニュースでインターネット全体が震撼しました。 このウイルスは、今年 5 月に大流行した悪名高い WannaCry よりもはるかに大規模な感染症を世界中の多くの国で引き起こしました。 この新しいウイルスには、Petya.A、ExPetr、NotPetya、GoldenEye、Trojan.Ransom.Petya、PetrWrap、DiskCoder.C などの多くの名前がありますが、ほとんどの場合、単に Petya として表示されます。

今週も攻撃は続く。 私たちのオフィスにも、神話的なソフトウェアのアップデートを巧妙に装った手紙が届きました。 幸いなことに、私抜きで送信されたアーカイブを開こうと思う人は誰もいませんでした :) したがって、今日の記事は、ランサムウェア ウイルスからコンピュータを保護し、Petya やその他の暗号化プログラムの被害者にならないようにする方法の問題に当てたいと思います。

ランサムウェア ウイルスは何をするのですか?

最初のランサムウェア ウイルスは 2000 年代初頭頃に出現しました。 長年にわたってインターネットを使用している人の多くは、おそらく Trojan.WinLock を覚えているでしょう。 コンピューターの起動がブロックされ、ロック解除コードを受け取るためには、WebMoney ウォレットまたは携帯電話アカウントに一定の金額を送金する必要がありました。

最初の Windows ブロッカーはまったく無害でした。 最初に資金を送金する必要があるというテキストが表示されるウィンドウは、タスク マネージャーを通じて簡単に「釘付け」できます。 その後、より複雑なバージョンのトロイの木馬が登場し、レジストリ レベル、さらには MBR まで変更を加えました。 しかし、これも対処法を知っていれば「治す」ことができます。

最新のランサムウェア ウイルスは非常に危険なものになっています。 これらはシステムの動作をブロックするだけでなく、ハード ドライブの内容 (MBR マスター ブート レコードを含む) も暗号化します。 現在、攻撃者はシステムのロックを解除してファイルを復号化するために、200 ドルから 1,000 ドルに相当するビットコインで手数料を請求しています! さらに、合意された資金を指定されたウォレットに送金したとしても、これはハッカーがロック解除キーを送信します。

重要な点は、現在、ウイルスを駆除してファイルを取り戻す有効な方法が事実上存在しないということです。 したがって、私の意見では、最初からあらゆる種類のトリックに騙されず、潜在的な攻撃からコンピューターを多かれ少なかれ確実に保護する方が良いと考えています。

ウイルスの被害者にならないようにするには

ランサムウェア ウイルスは通常 2 つの方法で拡散します。 最初のエクスプロイトはさまざまです Windows の技術的な脆弱性。たとえば、WannaCry は EternalBlue エクスプロイトを使用し、SMB プロトコル経由でコンピュータへのアクセスを許可しました。 そして、新しい Petya 暗号化プログラムは、開いている TCP ポート 1024 ～ 1035、135、および 445 を介してシステムに侵入する可能性があります。より一般的な感染方法は次のとおりです。 フィッシング。 簡単に言うと、メールで送られてきた悪意のあるファイルをユーザー自身が開くことで PC に感染してしまうのです。

暗号化ウイルスに対する技術的保護

ウイルスによる直接感染はそれほど頻繁ではありませんが、発生することがあります。 したがって、すでに知られている潜在的なセキュリティ ホールに積極的に対処することをお勧めします。 まず、ウイルス対策ソフトウェアを更新するか、インストールする必要があります (たとえば、無料の 360 Total Security はランサムウェア ウイルスを適切に認識します)。 次に、最新の Windows 更新プログラムを必ずインストールしてください。

そこで、SMB プロトコルの潜在的に危険なバグを排除するために、Microsoft は Windows XP から始まるすべてのシステムに対して特別なアップデートをリリースしました。 OS のバージョンに応じてダウンロードできます。

Petya から保護するには、コンピュータ上の多くのポートを閉じることをお勧めします。 これを行う最も簡単な方法は、標準を使用することです。 ファイアウォール。 コントロール パネルで開き、サイドバーのセクションを選択します 「追加オプション」。 フィルタリングルール管理ウィンドウが開きます。 選択する 「受信接続のルール」そして右側で をクリックします 「ルールの作成」。 ルールを作成する必要がある特別なウィザードが開きます。 「港に向けて」、オプションを選択します 「特定のローカルポート」そして次のように書きます。 1024-1035, 135, 445 :

ポートリストを追加したら、次の画面でオプションを設定します 「接続をブロックする」すべてのプロファイルに対して、新しいルールの名前 (オプションの説明) を指定します。 インターネット上の推奨事項を信じれば、たとえウイルスがコンピュータに侵入したとしても、必要なファイルをダウンロードするのを防ぐことができます。

さらに、ウクライナ出身で Me.Doc 会計ソフトウェアを使用している場合は、バックドアを含む更新プログラムをインストールする可能性があります。 これらのバックドアは、コンピューターを Petya.A ウイルスに大規模に感染させるために使用されました。 本日分析されたアップデートのうち、セキュリティの脆弱性を伴うアップデートが少なくとも 3 つ確認されています。

• 4月14日から10.01.175～10.01.176。
• 5月15日から10.01.180～10.01.181。
• 6 月 22 日から 10.01.188 ～ 10.01.189。

これらのアップデートをインストールしている場合は、危険にさらされています。

フィッシング対策

すでに述べたように、ほとんどの感染症は依然として人的要因が原因です。 ハッカーやスパマーは世界中で大規模なフィッシングキャンペーンを開始しました。 その枠組みの中で、公的機関からとされる電子メールが、請求書、ソフトウェアアップデート、またはその他の「重要な」データとして提示されるさまざまな添付ファイルとともに送信されました。 ユーザーは偽装された悪意のあるファイルを開くだけで十分で、すべてのデータを暗号化するウイルスをコンピューターにインストールしてしまいました。

フィッシングメールと本物のメールを見分ける方法。 常識と次の推奨事項に従えば、これは非常に簡単に実行できます。

1. その手紙はだれからですか？まず第一に、送信者に注目します。 ハッカーはあなたの祖母の名前でも手紙に署名することができます。 ただし、重要な点があります。 「祖母」のメールを知っておく必要があり、フィッシングメールの送信者のアドレスは、原則として未定義の文字セットになります。 何かのようなもの： " [メールで保護されています]「。そして別のニュアンス：これが公式の手紙である場合、送信者の名前とアドレスは通常相互に相関しています。たとえば、特定の会社「Pupkin and Co」からの電子メールは次のようになります。 [メールで保護されています]「しかし、」のようには見えそうにありません [メールで保護されています]" :)
2. その手紙は何についてのものですか？通常、フィッシングメールには、件名に何らかの行動喚起や行動のヒントが含まれています。 この場合、手紙の本文には通常、何も記載されていないか、添付ファイルを開くための追加の動機が記載されています。 不明な差出人からの手紙に含まれる「緊急!」、「サービスの請求書」、または「重要なアップデート」という言葉は、彼らがあなたをハッキングしようとしている明らかな例である可能性があります。 論理的に考えてください！ 特定の会社から請求書、更新情報、その他の文書を要求していない場合、これは 99% の確率でフィッシングです。
3. 手紙には何が書いてあるの？フィッシングメールの主な要素は添付ファイルです。 最もわかりやすいタイプの添付ファイルは、偽の「アップデート」または「プログラム」を含む EXE ファイルです。 このような投資はかなり粗雑な偽造ですが、実際に行われています。

   ユーザーを欺くさらに「エレガントな」方法には、ウイルスをダウンロードするスクリプトを Excel または Word ドキュメントとして偽装することが含まれます。 マスキングには 2 つのタイプがあります。 最初のオプションでは、スクリプト自体がオフィス文書として表示され、「請求書」などの「二重」の名前拡張子によって認識できます。 .xls.js"または"再開 .doc.vbs 2 番目のケースでは、添付ファイルは 2 つのファイルで構成されます。実際のドキュメントと、オフィスの Word または Excel ドキュメントからマクロとして呼び出されるスクリプトを含むファイルです。

   いずれにせよ、たとえ「送信者」が強く要求したとしても、そのような文書を開かないでください。 たとえあなたの顧客の中に、理論的には同様の内容の手紙を送ってきそうな人が突然いたとしても、わざわざその人に直接連絡を取り、あなたに何か文書を送ったかどうかを確認したほうがよいでしょう。 この場合、体を余分に動かすことで、不必要な手間を省くことができます。

コンピュータの技術的なギャップをすべて埋め、スパマーの挑発に屈しなければ、ウイルスを恐れることはないと思います。

感染後にファイルを回復する方法

それにもかかわらず、コンピュータを暗号化ウイルスに感染させてしまったのです...暗号化メッセージが表示された後は、絶対に PC の電源を切らないでください。

実際には、ウイルス自体のコードに多くのエラーがあるため、コンピュータを再起動する前に、ファイルの復号化に必要なキーがメモリから削除される可能性があります。 たとえば、WannaCry 復号化キーを取得するには、wannakiwi ユーティリティが適しています。 残念ながら、Petya 攻撃後にファイルを回復するためのそのような解決策はありませんが、ミニチュア プログラム ShadowExplorer を使用して、データのシャドウ コピーからファイルを抽出してみることができます (ハード ドライブ パーティションにファイルを作成するオプションを有効にしている場合)。

すでにコンピュータを再起動している場合、または上記のヒントが役に立たなかった場合は、データ回復プログラムを使用してのみファイルを回復できます。 一般に、暗号化ウイルスは次のスキームに従って機能します。ファイルの暗号化されたコピーを作成し、元のファイルを上書きせずに削除します。 つまり、実際に削除されるのはファイルラベルのみであり、データ自体は保存されており、復元することができる。 私たちの Web サイトには 2 つのプログラムがあります。1 つはメディア ファイルや写真の蘇生に適しており、R.Saver はドキュメントやアーカイブに適しています。

当然のことながら、ウイルス自体をシステムから削除する必要があります。 Windows が起動する場合、Malwarebytes Anti-Malware がこれに適したツールです。 ウイルスによってダウンロードがブロックされた場合は、さまざまなマルウェアと戦う実証済みのユーティリティ Dr.Web CureIt を搭載した Dr.Web LiveCD ブート ディスクが役に立ちます。 後者の場合は、MBR の復元も開始する必要があります。 Dr.Web の LiveCD は Linux に基づいているため、このトピックに関する Habr の説明が役に立つと思います。

結論

Windows 上のウイルスの問題は、長年にわたって関係しています。 そして、ウイルス作成者がユーザーのコンピュータに損害を与えるためのより洗練された形式を発明していることを毎年目にしています。 暗号化ウイルスの最近の流行は、攻撃者が徐々に積極的な恐喝に移行していることを示しています。

残念ながらお金を払っても返事が来ない可能性が高いです。 ほとんどの場合、自分でデータを復元する必要があります。 したがって、感染の影響を排除するために長い時間を費やすよりも、時間内に注意を払って感染を防ぐ方が良いのです。

追伸 ソースへのオープンアクティブリンクが示され、Ruslan Tertyshny の著者が保持されることを条件として、この記事を自由にコピーおよび引用する許可が与えられます。

最新のテクノロジーにより、ハッカーは一般ユーザーに対する詐欺の手口を絶えず改良することができます。 通常、これらの目的には、コンピュータに侵入するウイルス ソフトウェアが使用されます。 暗号化ウイルスは特に危険であると考えられています。 脅威は、ウイルスが非常に急速に拡散し、ファイルを暗号化することです (ユーザーは単一のドキュメントを開けなくなるだけです)。 そして、それが非常に単純であれば、データを復号化することははるかに困難です。

ウイルスによってコンピュータ上のファイルが暗号化された場合の対処方法

誰もがランサムウェアの攻撃を受ける可能性があり、強力なウイルス対策ソフトウェアを使用しているユーザーであっても、影響を受けないわけではありません。 ファイルを暗号化するトロイの木馬には、ウイルス対策ソフトの機能を超えたさまざまなコードが含まれています。 ハッカーは、情報の必要な保護を怠った大企業を同様の方法で攻撃することさえできます。 したがって、オンラインでランサムウェア プログラムを入手した場合は、いくつかの対策を講じる必要があります。

感染の主な兆候は、コンピューターの動作が遅いことと、ドキュメント名の変更 (デスクトップ上で確認できます) です。

1. コンピュータを再起動して暗号化を停止します。 電源を入れるときは、不明なプログラムの起動を確認しないでください。
2. ランサムウェアによる攻撃を受けていない場合は、ウイルス対策ソフトウェアを実行してください。
3. 場合によっては、シャドウ コピーが情報の復元に役立ちます。 これらを見つけるには、暗号化されたドキュメントの「プロパティ」を開きます。 この方法は、ポータルに情報がある Vault 拡張機能からの暗号化されたデータを処理します。
4. ランサムウェア ウイルスと戦うために、ユーティリティの最新バージョンをダウンロードしてください。 最も効果的なものは Kaspersky Lab によって提供されています。

2016 年のランサムウェア ウイルス: 例

ウイルス攻撃と戦う場合、コードは頻繁に変更され、新しいウイルス対策保護によって補完されることを理解することが重要です。 もちろん、セキュリティ プログラムでは、開発者がデータベースを更新するまでに時間がかかります。 最近の最も危険な暗号化ウイルスを選択しました。

イシュタル ランサムウェア

Ishtar は、ユーザーから金銭を強要するランサムウェアです。 このウイルスは 2016 年の秋に注目され、ロシアや他の多くの国のユーザーの膨大な数のコンピュータに感染しました。 添付文書 (インストーラ、ドキュメントなど) を含む電子メールで配布されます。 Ishtar 暗号化プログラムによって感染したデータには、その名前に接頭辞「ISHTAR」が付けられます。 このプロセスでは、パスワードを取得する場所を示すテスト ドキュメントが作成されます。 攻撃者はその代金として 3,000 ルーブルから 15,000 ルーブルを要求します。

Ishtar ウイルスの危険性は、現在、ユーザーを助ける復号ツールが存在しないことです。 ウイルス対策ソフトウェア会社がすべてのコードを解読するには時間が必要です。 現在は、重要な情報 (特に重要な場合) を別の媒体に隔離し、文書を復号化できるユーティリティのリリースを待つことしかできません。 オペレーティング システムを再インストールすることをお勧めします。

ネイトリノ

Neitrino 暗号化ツールは 2015 年にインターネット上に登場しました。 攻撃原理は、同様のカテゴリの他のウイルスと同様です。 フォルダーやファイルの名前に「Neitrino」または「Neutrino」を追加して変更します。 このウイルスは解読が難しく、コードが非常に複雑であるため、ウイルス対策会社の代表者全員が解読に取り組んでいるわけではありません。 一部のユーザーは、シャドウ コピーを復元するとメリットが得られる場合があります。 これを行うには、暗号化されたドキュメントを右クリックし、「プロパティ」、「以前のバージョン」タブに移動し、「復元」をクリックします。 Kaspersky Lab の無料ユーティリティを使用することをお勧めします。

ウォレットまたは.wallet。

Wallet 暗号化ウイルスは 2016 年末に出現しました。 感染プロセス中に、データの名前が「Name..wallet」などに変更されます。 ほとんどのランサムウェア ウイルスと同様、攻撃者が送信した電子メールの添付ファイルを通じてシステムに侵入します。 この脅威はごく最近出現したため、ウイルス対策プログラムはそれに気づきません。 暗号化後、詐欺師が通信用の電子メールを指定する文書を作成します。 現在、ウイルス対策ソフトウェアの開発者は、ランサムウェア ウイルスのコードの解読に取り組んでいます。 [メールで保護されています]。 攻撃を受けたユーザーは待つことしかできません。 データが重要な場合は、システムをクリアして外部ドライブに保存することをお勧めします。

エニグマ

Enigma ランサムウェア ウイルスは、2016 年 4 月末にロシアのユーザーのコンピュータに感染し始めました。 現在、ほとんどのランサムウェア ウイルスで使用されている AES-RSA 暗号化モデルが使用されています。 このウイルスは、ユーザーが不審な電子メールのファイルを開いて実行するスクリプトを使用してコンピュータに侵入します。 Enigma ランサムウェアに対抗する普遍的な手段はまだありません。 ウイルス対策ライセンスを持つユーザーは、開発者の公式 Web サイトでサポートを求めることができます。 Windows UAC という小さな「抜け穴」も見つかりました。 ウイルス感染プロセス中に表示されるウィンドウでユーザーが「いいえ」をクリックすると、その後はシャドウ コピーを使用して情報を復元できます。

花崗岩

新しいランサムウェア ウイルス Granit は、2016 年の秋にインターネット上に出現しました。 感染は次のシナリオに従って発生します。ユーザーがインストーラーを起動すると、PC および接続されているドライブ上のすべてのデータが感染して暗号化されます。 ウイルスと戦うのは難しい。 これを削除するには、カスペルスキーの特別なユーティリティを使用できますが、コードを解読することはまだできていません。 おそらく、以前のバージョンのデータを復元すると役立つでしょう。 また、経験豊富な専門家が復号化を行ってくれますが、サービスは高価です。

タイソン

最近発見されました。 これは、すでに知られているランサムウェア no_more_ransom の拡張版であり、当社の Web サイトで詳細を確認できます。 メールからパソコンに届きます。 多くの企業の PC が攻撃されました。 このウイルスは、ロック解除の手順を記載したテキスト文書を作成し、「身代金」の支払いを要求します。 Tyson ランサムウェアは最近出現したため、ロックを解除するキーはまだありません。 情報を復元する唯一の方法は、ウイルスによって削除されていない場合は、以前のバージョンを返すことです。 もちろん、攻撃者が指定したアカウントに送金することでリスクを負うこともできますが、パスワードを受け取るという保証はありません。

スポラ

2017 年の初めに、多くのユーザーが新しい Spora ランサムウェアの被害者になりました。 動作原理の点では、同等のものと大きな違いはありませんが、よりプロフェッショナルなデザインを誇っています。パスワードを取得するための手順がより適切に書かれており、Web サイトの見た目がより美しくなります。 Spora ランサムウェア ウイルスは C 言語で作成され、RSA と AES の組み合わせを使用して被害者のデータを暗号化します。 原則として、1C 会計プログラムが積極的に使用されているコンピュータが攻撃されました。 このウイルスは、.pdf 形式の単純な請求書を装って隠れており、企業の従業員にウイルスの起動を強制します。 治療法はまだ見つかっていません。

1C.ドロップ1

この 1C 暗号化ウイルスは 2016 年の夏に出現し、多くの会計部門の業務に混乱をもたらしました。 これは、1C ソフトウェアを使用するコンピュータ向けに特別に開発されました。 電子メール内のファイルを介して PC にインストールされると、所有者にプログラムを更新するよう求められます。 ユーザーがどのボタンを押しても、ウイルスはファイルの暗号化を開始します。 Dr.Web の専門家が復号化ツールの開発に取り組んでいますが、解決策はまだ見つかっていません。 これはコードが複雑で、いくつかの変更が必要になる可能性があるためです。 1C.Drop.1 に対する唯一の防御策は、ユーザーの警戒と重要な文書の定期的なアーカイブです。

da_vinci_code

珍しい名前の新しいランサムウェア。 このウイルスは 2016 年の春に出現しました。 以前のバージョンとは、改良されたコードと強力な暗号化モードが異なります。 da_vinci_code は、ユーザーが独自に起動する実行アプリケーション (通常は電子メールに添付されている) によってコンピュータに感染します。 da Vinci 暗号化ツールは、本体をシステム ディレクトリとレジストリにコピーし、Windows の電源がオンになったときに自動的に起動するようにします。 各被害者のコンピュータには一意の ID が割り当てられます (パスワードの取得に役立ちます)。 データを復号化することはほぼ不可能です。 攻撃者にお金を支払うことはできますが、パスワードを受け取ることは誰も保証しません。

[メールで保護されています] / [メールで保護されています]

2016 年にランサムウェア ウイルスを伴うことが多かった 2 つの電子メール アドレス。 これらは、被害者と攻撃者を結び付ける役割を果たします。 da_vinci_code、no_more_ransom など、さまざまな種類のウイルスのアドレスが添付されていました。 詐欺師に連絡したり、送金したりしないことを強くお勧めします。 ほとんどの場合、ユーザーはパスワードを持たないままになります。 したがって、攻撃者のランサムウェアが機能し、収入が得られることが示されました。

ブレイキングバッド

これは 2015 年の初めに出現しましたが、活発に広まったのはわずか 1 年後です。 感染原理は他のランサムウェアと同じで、電子メールからファイルをインストールし、データを暗号化します。 従来のウイルス対策プログラムは、原則として、Breaking Bad ウイルスに気づきません。 一部のコードは Windows UAC をバイパスできないため、ユーザーにはドキュメントの以前のバージョンを復元するオプションが残されます。 ウイルス対策ソフトウェアを開発している企業はまだ復号化ツールを発表していません。

XTBL

多くのユーザーに問題を引き起こしている非常に一般的なランサムウェア。 PC に侵入すると、ウイルスは数分以内にファイル拡張子を .xtbl に変更します。 攻撃者が金銭を強要する文書が作成されます。 XTBL ウイルスの一部の亜種は、システム回復のためにファイルを破壊できないため、重要なドキュメントを取り戻すことができます。 ウイルス自体は多くのプログラムで削除できますが、文書の復号化は非常に困難です。 ライセンスを取得したウイルス対策ソフトウェアの所有者である場合は、感染データのサンプルを添付してテクニカル サポートを利用してください。

クカラチャ

Cucaracha ランサムウェアは 2016 年 12 月に発見されました。 興味深い名前のウイルスは、耐性の高い RSA-2048 アルゴリズムを使用してユーザー ファイルを隠します。 Kaspersky アンチウイルスは、これを Trojan-Ransom.Win32.Scatter.lb としてラベル付けしました。 Kukaracha はコンピュータから削除できるため、他のドキュメントが感染することはありません。 ただし、感染したものを復号化することは現時点ではほぼ不可能です (非常に強力なアルゴリズムです)。

ランサムウェア ウイルスはどのように機能するのでしょうか?

ランサムウェアは膨大な数ありますが、それらはすべて同様の原理で動作します。

1. パソコンへのアクセス。 通常、電子メールに添付されたファイルのおかげで。 インストールは、ユーザー自身がドキュメントを開いて開始します。
2. ファイル感染。 ほぼすべての種類のファイルが暗号化されます (ウイルスによって異なります)。 攻撃者と通信するための連絡先を含むテキスト ドキュメントが作成されます。
3. 全て。 ユーザーはどのドキュメントにもアクセスできません。

人気のある研究室からの制御剤

ユーザー データに対する最も危険な脅威として認識されているランサムウェアの広範な使用は、多くのウイルス対策研究所にとって推進力となっています。 人気のある企業はすべて、ランサムウェアと戦うのに役立つプログラムをユーザーに提供しています。 さらに、それらの多くは文書の復号化やシステムの保護にも役立ちます。

カスペルスキーとランサムウェア ウイルス

ロシアおよび世界で最も有名なウイルス対策研究所の 1 つは、現在、ランサムウェア ウイルスと戦うための最も効果的なツールを提供しています。 ランサムウェア ウイルスに対する最初の障壁となるのは、最新アップデートを適用した Kaspersky Endpoint Security 10 です。 ウイルス対策ソフトは単に脅威がコンピュータに侵入することを許可しません (ただし、新しいバージョンは阻止できない可能性があります)。 情報を復号化するために、開発者は、XoristDecryptor、RakhniDecryptor、および Ransomware Decryptor といういくつかの無料ユーティリティを提供します。 これらはウイルスを見つけてパスワードを選択するのに役立ちます。

博士。 ウェブとランサムウェア

この研究所では、ファイルのバックアップが主な機能であるウイルス対策プログラムの使用を推奨しています。 文書のコピーを保管するストレージも、侵入者による不正アクセスから保護されます。 ライセンス製品の所有者 Dr. Web 機能を使用してテクニカル サポートにサポートを依頼できます。 確かに、経験豊富な専門家であっても、この種の脅威に常に抵抗できるわけではありません。

ESET Nod 32 とランサムウェア

この会社もまた、ユーザーのコンピュータに侵入するウイルスに対する優れた保護を提供して、脇に立つことはありませんでした。 さらに、同研究所は最近、最新のデータベースを備えた無料のユーティリティである Eset Crysis Decryptor をリリースしました。 開発者らは、これは最新のランサムウェアとの戦いにも役立つと述べている。

インターネット上で圧制的な行進を続け、コンピュータに感染し、重要なデータを暗号化します。 ランサムウェアから身を守り、Windows をランサムウェアから守る方法 - ファイルを復号化して駆除するためのパッチはリリースされましたか?

新しいランサムウェア ウイルス 2017 Wanna Cry企業および個人の PC に感染し続けます。 U ウイルス攻撃による被害総額は10億ドル。 2 週間以内に、少なくともランサムウェア ウイルスに感染 30万台のコンピュータ警告や安全対策にもかかわらず。

ランサムウェア ウイルス 2017、それは何ですか?- 原則として、ユーザーがアクセスできる銀行サーバーなど、一見最も無害なサイトを「拾う」ことができます。 ランサムウェアは被害者のハード ドライブに到達すると、システム フォルダ System32 に「定着」します。。 そこから、プログラムはすぐにウイルス対策ソフトウェアを無効にし、 「自動実行」に入ります」 再起動するたびに、ランサムウェアが レジストリにアクセスします、汚れ仕事を開始します。 ランサムウェアは、ランサムやトロイの木馬などのプログラムの同様のコピーをダウンロードし始めます。。 それもよくあります ランサムウェアの自己複製。 このプロセスは瞬間的な場合もあれば、被害者が何かがおかしいことに気づくまでに数週間かかる場合もあります。

ランサムウェアは、通常の画像やテキスト ファイルを装うことがよくあります。しかし、本質は常に同じです - これは拡張子が .exe、.drv、.xvd の実行可能ファイルです。; 時々 - ライブラリ.dll。 ほとんどの場合、ファイルには次のようなまったく無害な名前が付けられます。 書類。 博士"、 または " 絵.jpg"、拡張子は手動で記述されます、そして 本当のファイルタイプは隠されています.

暗号化が完了すると、ユーザーには見慣れたファイルではなく、名前と内部に一連の「ランダムな」文字が表示され、拡張子はこれまで知られていなかったものに変わります。 .NO_MORE_RANSOM、.xdataその他。

Wanna Cry ランサムウェア ウイルス 2017 – 身を守る方法。 Wanna Cry は、最近コンピュータに最も頻繁に感染しているため、むしろすべての暗号化ウイルスとランサムウェア ウイルスの総称であることにすぐに注意してください。 それで、私たちはについて話します Ransom Ware ランサムウェアから身を守ります。Breaking.dad、NO_MORE_RANSOM、Xdata、XTBL、Wanna Cry など、非常に多くの種類があります。.

Windows をランサムウェアから保護する方法。 – SMB ポート プロトコル経由の EternalBlue.

ランサムウェア 2017 から Windows を保護する – 基本ルール:

• Windows アップデート、ライセンスされた OS へのタイムリーな移行 (注: XP バージョンはアップデートされません)
• ウイルス対策データベースとファイアウォールをオンデマンドで更新する
• ファイルをダウンロードするときは細心の注意を払ってください (かわいい「シール」を使用すると、すべてのデータが失われる可能性があります)
• 重要な情報をリムーバブル メディアにバックアップします。

ランサムウェア ウイルス 2017: ファイルを駆除して復号化する方法。

ウイルス対策ソフトウェアに依存すると、しばらくの間復号化ツールのことを忘れることができます。 研究室で カスペルスキー、博士。 ウェブ、アバスト!今のところ他のウイルス対策ソフト 感染したファイルを処理するための解決策が見つかりませんでした。 現時点では、ウイルス対策ソフトを使用してウイルスを削除することは可能ですが、すべてを「通常」に戻すアルゴリズムはまだありません。

RectorDecryptor ユーティリティのような復号化ツールを使用しようとする人もいます、しかしこれは役に立ちません: 新しいウイルスを解読するためのアルゴリズムはまだコンパイルされていません。 また、このようなプログラムを使用した後にウイルスを削除しなかった場合にウイルスがどのように動作するかは全く不明です。 多くの場合、これは、ウイルスの作成者である攻撃者にお金を払いたくない人への警告として、すべてのファイルが消去される可能性があります。

現時点では、失われたデータを回復する最も効果的な方法は、テクニカル サポートに連絡することです。 使用するウイルス対策プログラムのベンダーからのサポート。 これを行うには、手紙を送信するか、製造元の Web サイトにあるフィードバック フォームを使用する必要があります。 必ず暗号化されたファイルを添付ファイルに追加し、可能な場合は元のファイルのコピーを追加してください。 これは、プログラマーがアルゴリズムを構築するのに役立ちます。 残念ながら、多くの人にとって、ウイルス攻撃はまったくの突然のことであり、コピーが見つからないため、状況は非常に複雑になります。

Windows をランサムウェアから治療するための強力な方法。 残念ながら、場合によってはハードドライブを完全にフォーマットしなければならない場合があり、これには OS の完全な変更が必要になります。 多くの人はシステムを復元することを考えるでしょうが、これは選択肢ではありません。「ロールバック」でもウイルスは除去されますが、ファイルは暗号化されたままになります。

2017 年 5 月 15 日、月曜日、13:33、モスクワ時間 、文：Pavel Pritula

先日、報道によると、最も大規模かつ最も「騒々しい」サイバー攻撃の一つがロシアで発生した。内務省を含むいくつかの省庁や最大の組織のネットワークが攻撃者によって攻撃された。 このウイルスは従業員のコンピュータ上のデータを暗号化し、従業員が仕事を継続できるように多額の金銭を脅し取った。 これは、誰もランサムウェアから免れないという明らかな例です。 ただし、この脅威には対処できます。Microsoft が提供するいくつかの方法を示します。

ランサムウェアについて私たちは何を知っていますか? これらは、悪影響を与えると脅してあなたに金や物を要求する犯罪者であるようです。 ビジネスではこのようなことが時々起こりますが、そのような状況でどうすればよいかは誰もが大まかに知っています。 しかし、ランサムウェア ウイルスが職場のコンピューターに定着し、データへのアクセスをブロックし、ロック解除コードと引き換えに特定の人に送金するよう要求した場合はどうすればよいでしょうか。 情報セキュリティの専門家に連絡する必要があります。 問題を避けるために、これを事前に行うことが最善です。

近年、サイバー犯罪の数は桁違いに増加しています。 SentinelOne の調査によると、ヨーロッパの主要国の企業の半数がランサムウェアの攻撃を受けており、80% 以上が 3 回以上標的にされています。 同様の状況が世界中で観察されています。 情報セキュリティを専門とする企業であるクリアスウィフトは、ランサムウェアの被害が最も多い国の一種の「トップ」として、米国、ロシア、ドイツ、日本、英国、イタリアをランサムウェアとして挙げています。 中小企業は、個人よりも多くの資金と機密データを保有しており、大企業のような強力なセキュリティ サービスを備えていないため、攻撃者にとって特に興味深い存在です。

何をすべきか、そして最も重要なこととして、ランサムウェア攻撃を防ぐにはどうすればよいでしょうか? まず、脅威自体を評価しましょう。 攻撃はいくつかの方法で実行されます。 最も一般的なものの 1 つは電子メールです。 犯罪者はソーシャル エンジニアリング手法を積極的に使用していますが、その有効性は 20 世紀の有名なハッカーであるケビン ミトニックの時代からまったく減少していません。 実際の取引相手に代わって被害企業の従業員に電話をかけ、会話の後に悪意のあるファイルを添付した電子メールを送信する可能性があります。 従業員は、送信者と電話で話したばかりなので、当然、開封します。 あるいは、会計士は、執行吏局または会社にサービスを提供している銀行からであると称する手紙を受け取る可能性があります。 誰も免疫を持っておらず、内務省ですら被害を受けるのはこれが初めてではない。数カ月前、ハッカーはロステレコムから内務省カザン線総局の会計部門に偽の請求書を送信した。会計システムの動作をブロックした暗号化ウイルス。

感染源は、ユーザーが不正なリンクを介してアクセスしたフィッシング サイト、またはオフィス訪問者の 1 人が「うっかり忘れた」フラッシュ ドライブである可能性があります。 従業員が企業リソースにアクセスする際に、保護されていないモバイル デバイスを介して感染が発生するケースが増えています。 また、ウイルス対策が機能しない可能性もあります。ソフトウェアで新たに発見された「ホール」を悪用する「ゼロデイ攻撃」は言うまでもなく、ウイルス対策機能をバイパスするマルウェアが何百も知られています。

「サイバーランサムウェア」とは何ですか?

ランサムウェア、ランサムウェア、またはランサムウェアとして知られるこのプログラムは、オペレーティング システムへのユーザーのアクセスをブロックし、通常はハード ドライブ上のすべてのデータを暗号化します。 コンピュータがロックされており、データの制御を取り戻したい場合、所有者は攻撃者に多額の資金を送金する義務があることを示すメッセージが画面に表示されます。 ほとんどの場合、2 ～ 3 日のカウントダウンが画面に表示されるため、ユーザーは急いでください。そうしないと、ディスクの内容が破壊されます。 犯罪者の欲望と会社の規模に応じて、ロシアでの身代金の額は数十から数十万ルーブルの範囲です。

ランサムウェアの種類

出典: マイクロソフト、2017 年

これらのマルウェアは長年にわたって知られていましたが、ここ 2 ～ 3 年で本格的なブームを巻き起こしています。 なぜ？ 第一に、人々は攻撃者にお金を払うからです。 Kaspersky Lab によると、このような攻撃を受けたロシア企業の 15% が身代金の支払いを選択し、このような攻撃を受けた世界中の企業の 3 分の 2 が企業データの全部または一部を失いました。

第二に、サイバー犯罪者のツールはより高度になり、アクセスしやすくなりました。 そして第三に、被害者の「パスワードを推測する」という独自の試みはうまくいかず、特にカウントダウン期間中は、警察が犯人を見つけることはほとんどできません。

ところで。 すべてのハッカーが、必要な金額を転送した被害者にパスワードを渡すことに時間を費やしているわけではありません。

ビジネス上の問題は何ですか

ロシアの中小企業の情報セキュリティ分野における主な問題は、強力な専門情報セキュリティ ツールを購入する資金がないにもかかわらず、さまざまな種類のインシデントが発生する可能性がある IT システムと従業員が十分に存在することです。 。 ランサムウェアに対抗するには、ファイアウォール、ウイルス対策、セキュリティ ポリシーを構成するだけでは十分ではありません。 利用可能なすべてのツール (主にオペレーティング システム ベンダーによって提供されるツール) を使用する必要があります。これは、ツールが安価 (または OS のコストに含まれている) であり、独自のソフトウェアと 100% 互換性があるためです。

クライアント コンピュータの大部分とサーバーの大部分は Microsoft Windows を実行しています。 Windows Defender や Windows ファイアウォールなどの組み込みのセキュリティ ツールは誰もが知っています。これらのツールは、最新の OS アップデートやユーザー権限の制限と合わせて、特殊なツールがない場合でも平均的な従業員に十分なレベルのセキュリティを提供します。

しかし、ビジネスとサイバー犯罪者の関係の特殊性は、前者がサイバー犯罪者から攻撃を受けていることに気づいていないことが多いということです。 彼らは自分たちが守られていると信じていますが、実際には、マルウェアはすでにネットワーク境界に侵入し、静かにその役割を果たしています。結局のところ、それらすべてがランサムウェア トロイの木馬のように厚かましい行動をするわけではありません。

Microsoft は、セキュリティに対するアプローチを変更しました。現在では、情報セキュリティ製品のラインアップを拡大し、最新の攻撃から企業を最大限に保護するだけでなく、感染が発生した場合に調査できるようにすることにも重点を置いています。

メール保護

メール システムは、企業ネットワークに侵入する脅威の主なチャネルとして、さらに保護する必要があります。 これを実現するために、Microsoft は、電子メールの添付ファイルまたはインターネット リンクを分析し、検出された攻撃に即座に対応する Exchange ATP (Advanced Treat Protection) システムを開発しました。 これは別個の製品であり、Microsoft Exchange と統合されており、各クライアント マシンに展開する必要はありません。

Exchange ATP は、すべての添付ファイルをオペレーティング システムに公開せずにサンドボックス内で実行し、その動作を分析するため、ゼロデイ攻撃も検出できます。 攻撃の兆候が含まれていない場合、添付ファイルは安全とみなされ、ユーザーは開くことができます。 悪意のある可能性のあるファイルは隔離に送信され、管理者に通知されます。

文字内のリンクについてもチェックされます。 Exchange ATP は、すべてのリンクを中間リンクに置き換えます。 ユーザーがレター内のリンクをクリックして中間リンクにアクセスすると、この時点でシステムがアドレスのセキュリティをチェックします。 検証は非常に迅速に行われるため、ユーザーは遅れに気づきません。 リンクが感染したサイトまたはファイルにつながっている場合、そのリンクをクリックすることは禁止されます。

Exchange ATP の仕組み

出典: マイクロソフト、2017 年

レターを受け取ったときではなく、クリックした瞬間に検証が行われるのはなぜですか。その場合、調査時間が長くなり、必要な計算能力が少なくなるからです。 これは、リンクを介してコンテンツを置き換えるハッカーのトリックから保護するために特別に行われました。 典型的な例: 夜に手紙がメールボックスに届き、システムがチェックしても何も見つかりませんでしたが、朝までに、たとえばトロイの木馬を含むファイルがすでにこのリンク経由でサイトに投稿されており、ユーザーはそれをダウンロードすることに成功します。

Exchange ATP サービスの 3 番目の部分は、組み込みのレポート システムです。 これにより、発生したインシデントを調査し、感染がいつ発生したのか、どこでどのように発生したのかなどの質問に答えるためのデータが提供されます。 これにより、ソースを見つけて被害を特定し、それが偶発的な攻撃なのか、それともこの会社に対する意図的な標的型攻撃なのかを理解することができます。

このシステムは予防にも役立ちます。 たとえば、管理者は、危険としてマークされたリンクをクリックした回数と、これを行ったユーザーに関する統計を作成できます。 感染が発生していない場合でも、これらの従業員に対する意識向上活動を実施する必要があります。

確かに、たとえば市場を調査するマーケターなど、職務上の責任によりさまざまな現場への訪問を強いられる従業員のカテゴリーが存在します。 Microsoft テクノロジを使用すると、ダウンロードされたファイルがコンピュータに保存される前にサンドボックスでチェックされるようにポリシーを構成できます。 さらに、ルールは文字通り数回のクリックで設定されます。

資格情報の保護

サイバー犯罪攻撃のターゲットの 1 つはユーザーの認証情報です。 ユーザーのログインとパスワードを盗むテクノロジーは数多く存在しており、強力な保護によってそれらに対抗する必要があります。 従業員自身にはほとんど希望がありません。従業員は簡単なパスワードを考え出し、1 つのパスワードを使用してすべてのリソースにアクセスし、それを付箋に書き留めてモニターに貼り付けます。 これは、管理上の手段やプログラムでパスワード要件を設定することで対処できますが、それでも効果は保証されません。

セキュリティを重視する企業であれば、アクセス権を区別しており、例えばエンジニアや営業マネージャーは会計サーバーにアクセスできません。 しかし、ハッカーにはもう 1 つのトリックが用意されています。それは、一般従業員のキャプチャしたアカウントから、必要な情報 (財務データや企業秘密) を持っている標的の専門家に手紙を送信することができるということです。 「同僚」から手紙を受け取った場合、受信者は必ずそれを開いて添付ファイルを起動します。 そして、ランサムウェアは企業にとって貴重なデータにアクセスできるようになり、企業はそのデータを取り戻すために多額の金銭を支払う可能性があります。

キャプチャされたアカウントが攻撃者に企業システムに侵入する機会を与えないように、Microsoft は Azure Multifactor Authentication を使用してアカウントを保護することを提案しています。 つまり、ログインするには、ログイン/パスワードのペアだけでなく、SMS、モバイル アプリケーションによって生成されたプッシュ通知、またはロボットからの電話で送信された PIN コードも入力する必要があります。 多要素認証は、世界のさまざまな場所から企業システムにログインできるリモート従業員と連携する場合に特に役立ちます。

Azure 多要素認証