Napadi šifrirnih virusov, uhajanje hekerskih orodij ameriških obveščevalnih agencij, testiranje moči energetskih objektov, napadi na ICO in prva uspešna kraja denarja iz ruske banke s sistemom SWIFT – leto 2017 je bilo polno neprijetnih presenečenj. Niso bili vsi pripravljeni nanje. Ravno nasprotno. Kibernetski kriminal postaja vse hitrejši in večji. Provladni hekerji niso več le vohuni, temveč kradejo denar in izvajajo kibernetsko sabotažo.
Vsako protiukrepanje kibernetskim grožnjam je vedno tekmovanje med oklepom in projektilom. In dogodki v letošnjem letu so pokazali, da mnoga podjetja in celo države podlegajo kibernetskim kriminalcem. Ker ne vedo, kdo je sovražnik, kako ravna in kje čakati na naslednji udarec. Večino napadov je treba preprečiti že v fazi priprave s tehnologijami zgodnjega opozarjanja Threat Intelligence. Biti nekaj korakov pred kibernetskimi kriminalci pomeni prihraniti svoj denar, informacije in ugled.

Ransomware virusi

Najbolj razširjeni tako po razširjenosti kot po škodi so bili v letu 2017 kibernetski napadi z uporabo izsiljevalskih virusov. Za njimi stojijo provladni hekerji. Zapomnimo si jih po imenih.

Posledice napada WonnaCry: supermarket Rost, Harkov, Ukrajina.

Lazarus (znan tudi kot Dark Seoul Gang) je ime severnokorejske skupine hekerjev, za katero se domneva, da stoji za uradom 121, enim od oddelkov obveščevalnega direktorata generalštaba KPA (DPRK), ki je odgovoren za izvajanje kibernetskih operacije. Hekerji iz severnokorejske skupine Lazarus so dolga leta vohunili za ideološkimi sovražniki režima – vladnimi agencijami in zasebnimi korporacijami v ZDA in Južni Koreji. Zdaj Lazarus napada banke in finančne institucije po vsem svetu: odgovorni so za poskus kraje skoraj 1 milijarde dolarjev iz centralne banke Bangladeša februarja 2016, napade na banke na Poljskem, pa tudi za zaposlene v centralni banki Ruske federacije. Federacije, Centralne banke Venezuele, Centralne banke Brazilije, Centralne banke Čila in poskusa dviga 60 milijonov dolarjev od Far Eastern International Bank (glejte razdelek »Ciljni napadi na banke«). Konec leta 2017 so bili severnokorejski hekerji opaženi pri napadih na storitve kriptovalut in napadih z uporabo mobilnih trojancev.

Trend leta

24. oktobra se je v Ukrajini in Rusiji zgodil obsežen kibernetski napad z uporabo izsiljevalskega virusa BadRabbit. Virus je napadel računalnike in strežnike kijevskega metroja, ministrstva za infrastrukturo in mednarodnega letališča v Odesi. Več žrtev je končalo tudi v Rusiji - zaradi napada so bila poškodovana uredništva zveznih medijev, zabeleženi pa so bili tudi poskusi okužbe bančne infrastrukture. Kot je ugotovila Group-IB, za napadom stoji skupina Black Energy.

Ciljni napadi na banke

Kriminalne združbe, ki so spomladi in poleti 2017 napadle ruske banke, so svojo pozornost preusmerile na druge države in regije: ZDA, Evropo, Latinsko Ameriko, Azijo in Bližnji vzhod. Konec leta so ponovno začeli delati v Rusiji.

Leta 2017 so provladni hekerji spremenili svoje cilje – začeli so izvajati kibernetsko sabotažo proti finančnemu sektorju. Da bi vohunili ali ukradli denar, hekerji poskušajo pridobiti dostop do SWIFT, obdelave kartic. To pomlad je skupina BlackEnergy vdrla v integratorja v Ukrajini in pridobila dostop do omrežja ukrajinskih bank. Nekaj ​​mesecev kasneje se je začela epidemija WannyCry in NotPetya, za katerima sta stali skupini Lazarus in BlackEnergy.

Vendar pa smo bili do začetka oktobra, ko je skupina Group-IB predložila svoje letno poročilo, polni previdnega optimizma: ciljani napadi na banke v Rusiji so se zmanjšali za 33 %. Vse kriminalne združbe, ki so napadle ruske banke, so svojo pozornost postopoma preusmerile na druge države in regije: ZDA, Evropo, Latinsko Ameriko, Azijo in Bližnji vzhod. Konec leta je pokvaril statistiko - zabeležili smo številne kibernetske napade na banke, decembra se je zgodil prvi uspešen napad na rusko banko s SWIFT, ki ga je izvedla skupina Cobalt.

Napadi na SWIFT

Oktobra so oropali Far Eastern International Bank v Tajvanu. Ko so hekerji dosegli sistem mednarodnih medbančnih nakazil (SWIFT), na katerega je bila banka povezana, so lahko dvignili skoraj 60 milijonov dolarjev na račune v Šrilanki, Kambodži in ZDA. Za napadom naj bi stala skupina Lazarus. Novembra je bila največja nepalska nedržavna banka NIC Asia Bank tarča kibernetskih kriminalcev, ki so pridobili dostop do sistema SWIFT in dvignili 4,4 milijona dolarjev na račune v ZDA, Veliki Britaniji, na Japonskem in v Singapurju.

Sredi decembra je postalo znano o uspešnem napadu na rusko banko s pomočjo SWIFT (mednarodni sistem za prenos finančnih informacij). Spomnimo se, da so prej v Rusiji ciljni napadi potekali z uporabo sistemov za obdelavo kartic, bankomatov in avtomatiziranih delovnih mest KBR (avtomatizirana delovna postaja stranke ruske banke).

Skupina Cobalt je verjetno vpletena v napad. Prodor v banko se je zgodil prek zlonamerne programske opreme, ki jo je skupina pred nekaj tedni razdelila bankam – tovrstni napad je značilen za Cobalt. Mediji so poročali, da so kriminalci poskušali ukrasti približno milijon dolarjev, vendar jim je uspelo dvigniti približno 10%. FinCERT, strukturni oddelek centralne banke za informacijsko varnost, je v svojem poročilu skupino Cobalt označil za glavno grožnjo kreditnim institucijam.

Po podatkih Group-IB je skupina izvedla vsaj 50 uspešnih napadov na banke po vsem svetu: v Rusiji, Veliki Britaniji, na Nizozemskem, v Španiji, Romuniji, Belorusiji, na Poljskem, v Estoniji, Bolgariji, Gruziji, Moldaviji, Kirgizistanu, Armeniji. , Tajvan in Malezija . Vse poletje in jesen so napadali banke po vsem svetu, preizkušali nova orodja in sheme, ob koncu leta pa se niso upočasnili - skoraj vsak teden beležimo njihovo pošiljanje z zlonamernimi programi v notranjosti.

Netelesnost in zlonamerni skripti so nov (in zdaj osnovni) princip napadov. Hekerji skušajo ostati neodkriti in za to uporabljajo "raztelešene" programe, ki delujejo samo v RAM-u in se po ponovnem zagonu uničijo. Poleg tega jim skripte v lupini PowerShell, VBS, PHP pomagajo zagotoviti obstojnost (sidranje) v sistemu, pa tudi avtomatizirati nekatere faze napada. Opažamo tudi, da hekerji bank ne napadajo neposredno, temveč preko zaupanja vrednih partnerjev – integratorjev, izvajalcev. Zaposlene napadajo, ko so doma, pregledujejo osebno elektronsko pošto, družbena omrežja

Trend leta

Odkritje leta: MoneyTaker

10 zanimivih dejstev o MoneyTakerju

• Njihove žrtve so bile majhne banke - regionalne v Rusiji in lokalne banke z nizko stopnjo zaščite v ZDA. Hekerji so v eno od ruskih bank vdrli prek domačega računalnika sistemskega administratorja.
• Ena izmed ameriških bank je bila dvakrat vdrta.
• Po uspešnem napadu so še naprej vohunili za bančnimi uslužbenci s posredovanjem dohodnih pisem na naslove Yandex in Mail.ru.
• Ta skupina je vedno uničila sledi po napadu.
• Prek bankomatov so poskušali dvigniti denar iz ene ruske banke, a jim ni uspelo, tik pred tem je centralna banka njihovemu lastniku odvzela licenco. Dvigoval denar prek avtomatiziranega delovnega mesta CBD.
• Ukraden pa ni bil samo denar, temveč tudi interni dokumenti, navodila, predpisi in dnevniki transakcij. Sodeč po ukradenih dokumentih, povezanih z delom SWIFT, hekerji pripravljajo napade na cilje v Latinski Ameriki.
• V nekaterih primerih so hekerji spreminjali programsko kodo sproti – kar med napadom.
• Hekerji so uporabili datoteko SLRSideChannelAttack.exe., ki so jo javno objavili raziskovalci.
• MoneyTaker je uporabil javno dostopna orodja in namenoma skril vse elemente pripisa ter raje ostal v senci. Programi imajo samo enega avtorja - to je razvidno iz tipičnih napak, ki se selijo iz enega samonapisanega programa v drugega.

Puščanje orodij za vdiranje obveščevalnih podatkov

Izkoriščanja informacij iz NSA in Cie so se začela aktivno uporabljati za izvajanje ciljno usmerjenih napadov. So že vključeni v glavna orodja za izvajanje penetracijskih testov proti finančno motiviranim in nekaterim provladnim hekerjem.

WikiLeaks in Vault7

WikiLeaks je vse leto metodično razkrival skrivnosti Cie in objavljal podatke o hekerskih orodjih obveščevalnih služb v okviru projekta Vault 7. Eden od njih, CherryBlossom, omogoča sledenje lokaciji in internetni dejavnosti uporabnikov, povezanih z brezžičnim usmerjevalnikom Wi-Fi. Takšne naprave se pogosto uporabljajo v domovih, pisarnah, restavracijah, barih, hotelih, na letališčih in v vladnih agencijah. WikiLeaks je celo razkril tehnologijo Cie za vohunjenje za kolegi iz FBI, DHS in NSA. Urad CIA za tehnične storitve (OTS) je razvil vohunsko programsko opremo ExpressLane za skrivaj pridobivanje podatkov iz biometričnega obveščevalnega sistema, ki ga CIA distribuira svojim kolegom v ameriški obveščevalni skupnosti. Malo prej je WikiLeaks razkril informacije o zlonamerni programski opremi Pandemic, namenjeni vdoru v računalnike s skupnimi mapami, in o programu ELSA, ki prav tako spremlja geolokacijo naprav, ki podpirajo Wi-Fi, in omogoča sledenje navadam uporabnikov. Wikileaks je februarja 2017 začel s serijo publikacij Vault-7. Uhajanje je vsebovalo informacije, ki opisujejo ranljivosti programske opreme, vzorce zlonamerne programske opreme in tehnike računalniških napadov.

Hekerska orodja iz še enega, enako priljubljenega vira – uhajanja informacij NSA, ki jih je objavila skupina Shadow Brokers, niso bila le zelo povpraševana, ampak so se tudi izboljševala in izpopolnjevala. Na podzemnih forumih se je pojavil skript za avtomatizacijo iskanja strojev z ranljivostmi protokola SMB, ki temelji na pripomočkih ameriških obveščevalnih agencij, ki jih je aprila letos objavila skupina Shadow Brokers. Zaradi uhajanja sta bila pripomoček fuzzbunch in izkoriščanje ETERNALBLUE v javni domeni, vendar po izboljšavah povsem dokončan izdelek napadalcem olajša napad.

Naj spomnimo, da je bil protokol SMB tisti, s katerim je izsiljevalska programska oprema WannaCry okužila na stotisoče računalnikov v 150 državah. Pred mesecem dni je ustvarjalec iskalnika Shodan John Matherly povedal, da so na spletu našli 2.306.820 naprav z odprtimi vrati za dostop prek protokola SMB. 42% (približno 970 tisoč) jih omogoča gostujoči dostop, to pomeni, da lahko vsi, ki uporabljajo protokol SMB, nepooblaščeno dostopajo do podatkov.

Poleti je skupina Shadow Brokers obljubila, da bo vsak mesec objavila nove podvige za svoje naročnike, vključno z usmerjevalniki, brskalniki, mobilnimi napravami, ogroženimi podatki iz bančnih omrežij in SWIFT, informacijami o jedrskih in raketnih programih. Navdihnjen s pozornostjo je Shadow Brokers zvišal začetno ceno naročnine s 100 kovancev Zcash (približno 30.000 USD) na 200 kovancev Zcash (približno 60.000 USD). Status VIP naročnika stane 400 kovancev Zcash in vam omogoča, da prejmete izkoriščanja po meri.

Napadi na kritično infrastrukturo

Energetski sektor je postal poligon za raziskave novega kibernetskega orožja. Kriminalna združba BlackEnergy nadaljuje z napadi na finančna in energetska podjetja. Orodja, ki jih imajo na razpolago, jim omogočajo daljinsko upravljanje daljinske terminalske enote (RTU), ki je odgovorna za fizično odpiranje/zapiranje električnega omrežja.

Prvi virus, ki je dejansko lahko onesposobil opremo, je bil Stuxnet, ki ga je uporabljala skupina Equation Group (Five Eyes/Tilded Team). Leta 2010 je virus prodrl v sistem iranske tovarne za bogatenje urana v Nathanu in okužil krmilnike Siemens SIMATIC S7, ki so vrteli centrifuge z uranom s frekvenco 1000 obratov na sekundo. Stuxnet je rotorje centrifuge pospešil na 1400 vrt/min, tako da so začeli vibrirati in se sesedati. Od 5000 centrifug, nameščenih v hali, jih je bilo približno 1000 onesposobljenih. Iranski jedrski program se je zavrnil za nekaj let.

Po tem napadu je nekaj let vladal mir. Izkazalo se je, da so hekerji ves ta čas iskali priložnost, da bi vplivali na ICS in jih po potrebi onemogočili. Skupina, ki je napredovala v tej smeri, je Black Energy, znana tudi kot Sandworm.

Njihov poskusni napad na ukrajinsko postajo konec lanskega leta je pokazal, kaj zmore nov nabor orodij, imenovan Industroyer ali CRASHOVERRIDE. Na konferenci Black Hat so programsko opremo Industroyer označili za "največjo grožnjo industrijskim nadzornim sistemom po Stuxnetu." Orodja BlackEnergy vam na primer omogočajo daljinsko upravljanje oddaljenih terminalskih enot (RTU), ki so odgovorne za fizično odpiranje/zapiranje električnega omrežja. Oboroženi s takšnimi orodji jih lahko hekerji spremenijo v mogočno kibernetsko orožje, ki jim bo omogočilo, da bodo cela mesta pustila brez svetlobe in vode.

Težave se lahko pojavijo ne samo v Ukrajini: nove napade na energetske sisteme so julija zabeležili v Veliki Britaniji in na Irskem. Motenj v električnem omrežju ni bilo, vendar strokovnjaki menijo, da bi lahko hekerji ukradli gesla za varnostne sisteme. V ZDA je FBI po pošiljanju zlonamernih e-poštnih sporočil zaposlenim v energetskih podjetjih podjetja opozoril na možne kibernetske napade.

Napadi na ICO

Banke in njihove stranke so bile dolgo časa glavna tarča kibernetskih kriminalcev. Zdaj pa imajo močne konkurente v obliki ICO-jev in blockchain startupov – vse, kar je povezano s kriptovalutami, pritegne pozornost hekerjev.

ICO (Initial Coin Offering – postopek za prvo postavitev žetonov) so sanje vsakega hekerja. Bliskovito hiter, pogosto povsem preprost napad na storitve kriptovalut in startupe blockchain prinese milijone dolarjev dobička z minimalnim tveganjem za kriminalce. Po podatkih Chainalysis je hekerjem uspelo ukrasti 10 % vseh sredstev, vloženih v ICO projekte v letu 2017 na Ethereumu. Skupna škoda je znašala skoraj 225 milijonov dolarjev, pri čemer je 30.000 vlagateljev v povprečju izgubilo 7500 dolarjev.

Analizirali smo približno sto napadov na blockchain projekte (borze, menjalnice, denarnice, sklade) in prišli do zaključka, da je glavnina težav v ranljivosti samih kriptostoritev, ki uporabljajo blockchain tehnologijo. V primeru Ethereuma niso opazili težav s samo platformo, ampak s kripto-storitvami: naleteli so na ranljivosti v lastnih pametnih pogodbah, deface, ogrožanje skrbniških računov (Slack, Telegram), lažna spletna mesta, ki kopirajo vsebino spletnih mest. podjetij, ki vstopajo v ICO.

Obstaja več ranljivosti:

• Spletna mesta za lažno predstavljanje - kloni uradnega vira
• Ranljivosti mesta/spletne aplikacije
• Napadi preko zaposlenih v podjetju
• Napadi na IT infrastrukturo

Pogosto nas sprašujejo, na kaj moramo biti pozorni, kaj najprej preveriti? Obstajajo trije veliki bloki, na katere je treba biti pozoren: zaščita ljudi, zaščita procesov in zaščita infrastrukture.

Ukradite denar s trojanci Android

Trg bančnih trojancev Android se je izkazal za najbolj dinamičnega in hitro rastočega. Škoda zaradi bančnih trojancev za Android v Rusiji se je povečala za 136 % - znašala je 13,7 milijona dolarjev - in je za 30 % pokrila škodo zaradi trojancev za osebne računalnike.

Lani smo napovedali to rast, saj postajajo okužbe z zlonamerno programsko opremo vse bolj nezaznavne, kraje pa avtomatizirane z uporabo metode samodejnega izpolnjevanja. Po naših ocenah je škoda zaradi tovrstnega napada v Rusiji v zadnjem letu znašala 13,7 milijona dolarjev.

Pridržanje članov hudodelske združbe Cron

WannaCry, Petya, Mischa in drugi izsiljevalski virusi vas ne bodo ogrožali, če boste upoštevali preprosta priporočila za preprečevanje okužbe z računalnikom!

Prejšnji teden je ves internet pretresla novica o novem šifrirnem virusu. V številnih državah po svetu je izzval veliko večjo epidemijo kot zloglasni WannaCry, katerega val je bil maja letos. Novi virus ima veliko imen: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, najpogosteje pa se pojavlja preprosto kot Petya.

Napadi se nadaljujejo ta teden. Celo naša pisarna je prejela pismo, premeteno preoblečeno v neko mitsko posodobitev programske opreme! Na srečo nihče ni pomislil, da bi odprl poslani arhiv brez mene :) Zato bi rad današnji članek posvetil vprašanju, kako zaščititi svoj računalnik pred virusi ransomware in ne postati žrtev Petya ali katerega drugega šifrirnika.

Kaj počnejo izsiljevalski virusi?

Prvi virusi izsiljevalske programske opreme so se pojavili okoli zgodnjih 2000-ih. Mnogi, ki so v preteklih letih uporabljali internet, se verjetno spomnijo Trojan.WinLock. Blokirala je zagon računalnika in je za prejem kode za odklepanje zahtevala prenos določenega zneska v denarnico WebMoney ali račun mobilnega telefona:

Prvi zaviralci sistema Windows so bili precej neškodljivi. Njihovo okno z besedilom o potrebi po prenosu sredstev na začetku lahko preprosto "pribijete" prek upravitelja opravil. Nato so se pojavile bolj zapletene različice trojanca, ki je spreminjal nivo registra in celo MBR. Toda tudi to bi se dalo "ozdraviti", če bi vedeli, kaj storiti.

Sodobni izsiljevalski virusi so postali zelo nevarne stvari. Ne le blokirajo delovanje sistema, ampak tudi šifrirajo vsebino trdega diska (vključno z glavnim zagonskim zapisom MBR). Za odklepanje sistema in dešifriranje datotek napadalci sedaj zaračunavajo provizijo v BitCoinih, kar ustreza znesku od 200 do 1000 ameriških dolarjev!Poleg tega, tudi če nakažete dogovorjena sredstva v določeno denarnico, to sploh ne zagotavlja, da bodo hekerji vam pošlje ključ za odklepanje.

Pomembno je, da danes praktično ni delujočih načinov, kako se znebiti virusa in vrniti svoje datoteke. Zato je po mojem mnenju bolje, da na začetku ne nasedete vsem vrstam trikov in bolj ali manj zanesljivo zaščitite svoj računalnik pred morebitnimi napadi.

Kako preprečiti, da bi postali žrtev virusa

Izsiljevalski virusi se običajno širijo na dva načina. Prvi izkorišča različne Tehnične ranljivosti sistema Windows. WannaCry je na primer uporabil EternalBlue exploit, ki je omogočal dostop do računalnika prek protokola SMB. In novi šifrirnik Petya lahko prodre v sistem prek odprtih vrat TCP 1024-1035, 135 in 445. Pogostejši način okužbe je lažno predstavljanje. Preprosto povedano, uporabniki sami okužijo svoj računalnik z odpiranjem zlonamernih datotek, poslanih po pošti!

Tehnična zaščita pred šifrirnimi virusi

Čeprav neposredne okužbe z virusi niso tako pogoste, se pojavljajo. Zato je bolje že znane potencialne varnostne luknje odpraviti proaktivno. Najprej morate posodobiti protivirusni program ali ga namestiti (brezplačni 360 ​​Total Security na primer dobro prepozna viruse izsiljevalske programske opreme). Drugič, ne pozabite namestiti najnovejših posodobitev sistema Windows.

Zato je Microsoft za odpravo potencialno nevarne napake v protokolu SMB izdal izredne posodobitve za vse sisteme, začenši z Windows XP. Lahko jih prenesete za svojo različico OS.

Za zaščito pred Petya je priporočljivo zapreti več vrat na vašem računalniku. Najlažji način za to je uporaba standarda požarni zid. Odprite ga na nadzorni plošči in izberite razdelek v stranski vrstici "Dodatne možnosti". Odpre se okno za upravljanje pravil filtriranja. Izberite "Pravila za dohodne povezave" in na desni strani kliknite "Ustvari pravilo". Odpre se poseben čarovnik, v katerem morate ustvariti pravilo "Za pristanišče", nato izberite možnost "Določena lokalna pristanišča" in napišite naslednje: 1024-1035, 135, 445 :

Ko dodate seznam vrat, nastavite možnost na naslednjem zaslonu "Blokiraj povezavo" za vse profile in podajte ime (izbirni opis) za novo pravilo. Če verjamete priporočilom na internetu, bo to virusu preprečilo prenos datotek, ki jih potrebuje, tudi če pride na vaš računalnik.

Poleg tega, če ste iz Ukrajine in uporabljate računovodsko programsko opremo Me.Doc, lahko namestite posodobitve, ki vsebujejo stranska vrata. Ta stranska vrata so bila uporabljena za obsežno okužbo računalnikov z virusom Petya.A. Od danes analiziranih so znane vsaj tri posodobitve z varnostnimi ranljivostmi:

• 10.01.175-10.01.176 od 14. aprila;
• 10.01.180-10.01.181 od 15. maja;
• 10.01.188-10.01.189 od 22. junija.

Če ste namestili te posodobitve, ste v nevarnosti!

Zaščita pred lažnim predstavljanjem

Kot rečeno, je za večino okužb še vedno kriv človeški faktor. Hekerji in pošiljatelji neželene pošte so sprožili obsežno kampanjo lažnega predstavljanja po vsem svetu. V njegovem okviru so bila pošiljana elektronska sporočila domnevno uradnih organizacij z različnimi priponkami, ki so bile predstavljene kot računi, posodobitve programske opreme ali drugi »pomembni« podatki. Dovolj je bilo, da je uporabnik odprl prikrito zlonamerno datoteko, pa je na računalnik namestil virus, ki je šifriral vse podatke!

Kako ločiti lažno e-pošto od pravega. To je zelo enostavno narediti, če upoštevate zdrav razum in naslednja priporočila:

1. Od koga je pismo? Najprej smo pozorni na pošiljatelja. Hekerji lahko pismo podpišejo tudi z imenom vaše babice! Vendar pa obstaja pomembna točka. "Babičin" e-poštni naslov morate poznati, naslov pošiljatelja lažnega e-poštnega sporočila pa bo praviloma nedefiniran nabor znakov. Nekaj ​​kot: " [e-pošta zaščitena]". In še ena niansa: ime pošiljatelja in njegov naslov, če je to uradno pismo, običajno med seboj ustrezata. Na primer, E-pošta določenega podjetja "Pupkin in Co" je lahko videti kot " [e-pošta zaščitena]", vendar je malo verjetno, da bo videti kot " [e-pošta zaščitena]" :)
2. O čem govori pismo? E-poštna sporočila z lažnim predstavljanjem običajno vsebujejo nekakšen poziv k dejanju ali namig na dejanje v vrstici z zadevo. V tem primeru jedro pisma običajno bodisi ne pove ničesar ali pa predstavlja dodatno motivacijo za odpiranje pripetih datotek. Besede »NUJNO!«, »Račun za storitve« ali »Kritična posodobitev« v pismih neznanih pošiljateljev so lahko jasen primer, da vas poskušajo vdreti. Razmišljajte logično! Če od določenega podjetja niste zahtevali nobenih računov, posodobitev ali drugih dokumentov, potem obstaja 99% verjetnost, da gre za lažno predstavljanje...
3. Kaj je v pismu? Glavni element lažnega e-poštnega sporočila so njegove priloge. Najbolj očitna vrsta priloge bi bila datoteka EXE, ki vsebuje lažno »posodobitev« ali »program«. Takšne naložbe so precej surov ponaredek, vendar se pojavljajo.

   Bolj »elegantni« načini zavajanja uporabnika vključujejo prikrivanje skripte, ki prenese virus, v Excelov ali Wordov dokument. Maskiranje je lahko dveh vrst. V prvi možnosti je sam skript predstavljen kot pisarniški dokument in ga je mogoče prepoznati po »dvojni« končnici imena, na primer »Račun .xls.js« ali »Nadaljuj .doc.vbs". V drugem primeru je priloga lahko sestavljena iz dveh datotek: pravega dokumenta in datoteke s skriptom, ki se kliče kot makro iz pisarniškega dokumenta Word ali Excel.

   Vsekakor pa takšnih dokumentov ne odpirajte, tudi če vas »pošiljatelj« to odločno prosi! Tudi če se nenadoma med vašimi strankami najde nekdo, ki bi vam teoretično lahko poslal pismo s podobno vsebino, je bolje, da se potrudite in ga neposredno kontaktirate in ugotovite, ali vam je poslal kakšne dokumente. Dodatno gibanje telesa vas v tem primeru lahko reši pred nepotrebnimi težavami!

Mislim, da če zaprete vse tehnične vrzeli v vašem računalniku in ne podležete provokacijam pošiljateljev neželene pošte, potem se ne boste bali nobenih virusov!

Kako obnoviti datoteke po okužbi

Pa vendar vam je uspelo okužiti vaš računalnik s šifrirnim virusom... NIKOLI NE IZKLJUČITE RAČUNALNIKA PO PRIKAZU SPOROČILA O ŠIFRIRANJU!!!

Dejstvo je, da zaradi številnih napak v kodi samih virusov obstaja možnost, da pred ponovnim zagonom računalnika iz pomnilnika odstranite ključ, ki je potreben za dešifriranje datotek! Na primer, za pridobitev ključa za dešifriranje WannaCry je primeren pripomoček wannakiwi. Žal, takšnih rešitev za obnovitev datotek po napadu Petya ni, lahko pa jih poskusite izvleči iz senčnih kopij podatkov (če ste aktivirali možnost, da jih ustvarite na particiji trdega diska) s pomočjo miniaturnega programa ShadowExplorer:

Če ste že znova zagnali računalnik ali zgornji nasveti niso pomagali, potem lahko obnovite datoteke samo s programi za obnovitev podatkov. Praviloma šifrirni virusi delujejo po naslednji shemi: ustvarijo šifrirano kopijo datoteke in izbrišejo izvirnik, ne da bi ga prepisali. To pomeni, da se dejansko izbriše samo oznaka datoteke, sami podatki pa se shranijo in jih je mogoče obnoviti. Na naši spletni strani sta dva programa: bolj primeren je za oživljanje medijskih datotek in fotografij, R.Saver pa se dobro spopada z dokumenti in arhivi.

Seveda morate sam virus odstraniti iz sistema. Če se Windows zažene, je Malwarebytes Anti-Malware dobro orodje za to. Če je virus blokiral prenos, vam bo pomagala zagonska disketa Dr.Web LiveCD s preizkušenim pripomočkom za boj proti različni zlonamerni programski opremi Dr.Web CureIt na krovu. V slednjem primeru boste morali začeti obnavljati tudi MBR. Ker LiveCD iz Dr.Weba temelji na Linuxu, mislim, da vam bodo navodila iz Habra na to temo koristna.

zaključki

Problem virusov v sistemu Windows je aktualen že vrsto let. In vsako leto vidimo, da pisci virusov izumljajo vse bolj sofisticirane oblike povzročanja škode na računalnikih uporabnikov. Zadnje epidemije šifrirnih virusov nam kažejo, da napadalci postopoma prehajajo k aktivnemu izsiljevanju!

Na žalost, tudi če plačate denar, verjetno ne boste prejeli nobenega odgovora. Najverjetneje boste morali svoje podatke obnoviti sami. Zato je bolje biti previden pravočasno in preprečiti okužbo, kot pa dolgo časa poskušati odpraviti njene posledice!

P.S. Dovoljeno je prosto kopiranje in citiranje tega članka, pod pogojem, da je navedena odprta aktivna povezava do vira in ohranjeno avtorstvo Ruslana Tertyshnyja.

Sodobne tehnologije omogočajo hekerjem, da nenehno izboljšujejo svoje metode goljufij proti običajnim uporabnikom. Praviloma se za te namene uporablja virusna programska oprema, ki prodre v računalnik. Še posebej nevarni so šifrirni virusi. Grožnja je, da se virus zelo hitro širi in šifrira datoteke (uporabnik preprosto ne bo mogel odpreti niti enega dokumenta). In če je povsem preprosto, potem je veliko težje dešifrirati podatke.

Kaj storiti, če je virus šifriral datoteke v vašem računalniku

Vsakdo je lahko napaden z izsiljevalsko programsko opremo; tudi uporabniki, ki imajo zmogljivo protivirusno programsko opremo, niso imuni. Trojanci za šifriranje datotek so na voljo v različnih kodah, ki morda presegajo zmožnosti protivirusnega programa. Hekerjem uspe na podoben način napasti tudi velika podjetja, ki niso poskrbela za potrebno zaščito svojih podatkov. Torej, ko ste na spletu pobrali izsiljevalski program, morate sprejeti številne ukrepe.

Glavna znaka okužbe sta počasno delovanje računalnika in spreminjanje imen dokumentov (vidno na namizju).

1. Znova zaženite računalnik, da zaustavite šifriranje. Pri vklopu ne potrdite zagona neznanih programov.
2. Zaženite protivirusni program, če ga ni napadla izsiljevalska programska oprema.
3. V nekaterih primerih bodo senčne kopije pomagale obnoviti podatke. Če jih želite najti, odprite »Lastnosti« šifriranega dokumenta. Ta metoda deluje s šifriranimi podatki iz razširitve Vault, o kateri so informacije na portalu.
4. Prenesite najnovejšo različico pripomočka za boj proti izsiljevalskim virusom. Najbolj učinkovite ponuja Kaspersky Lab.

Izsiljevalski virusi v letu 2016: primeri

Pri boju proti kakršnemu koli napadu virusa je pomembno razumeti, da se koda zelo pogosto spreminja, dopolnjuje pa jo nova protivirusna zaščita. Seveda varnostni programi potrebujejo nekaj časa, dokler razvijalec ne posodobi baz podatkov. Izbrali smo najnevarnejše šifrirne viruse zadnjega časa.

Ishtar Ransomware

Ishtar je izsiljevalska programska oprema, ki od uporabnika izsiljuje denar. Virus je bil opažen jeseni 2016 in je okužil ogromno število računalnikov uporabnikov iz Rusije in številnih drugih držav. Razdeljeno po e-pošti, ki vsebuje pripete dokumente (namestitvene programe, dokumente itd.). Podatki, ki jih je okužil šifrirnik Ishtar, imajo v imenu predpono "ISHTAR". Postopek ustvari testni dokument, ki nakazuje, kam iti za pridobitev gesla. Napadalci zanj zahtevajo od 3.000 do 15.000 rubljev.

Nevarnost virusa Ishtar je v tem, da danes ni dekriptorja, ki bi pomagal uporabnikom. Podjetja protivirusne programske opreme potrebujejo čas za dešifriranje celotne kode. Zdaj lahko pomembne informacije (če so še posebej pomembne) izolirate samo na ločen medij in čakate na izdajo pripomočka, ki lahko dešifrira dokumente. Priporočljivo je, da znova namestite operacijski sistem.

Neitrino

Šifrirnik Neitrino se je na internetu pojavil leta 2015. Načelo napada je podobno kot pri drugih virusih podobne kategorije. Spremeni imena map in datotek z dodajanjem "Neitrino" ali "Neutrino". Virus je težko dešifrirati, tega se ne lotijo ​​vsi predstavniki protivirusnih podjetij, saj navajajo zelo zapleteno kodo. Nekaterim uporabnikom bo morda koristila obnovitev senčne kopije. Če želite to narediti, z desno miškino tipko kliknite šifrirani dokument, pojdite na »Lastnosti«, zavihek »Prejšnje različice« in kliknite »Obnovi«. Dobro bi bilo uporabiti brezplačen pripomoček podjetja Kaspersky Lab.

Denarnica ali .wallet.

Virus za šifriranje Wallet se je pojavil konec leta 2016. Med postopkom okužbe spremeni ime podatkov v »Name..wallet« ali kaj podobnega. Tako kot večina izsiljevalskih virusov vstopi v sistem prek priponk v e-poštnih sporočilih, ki jih pošljejo napadalci. Ker se je grožnja pojavila pred kratkim, je protivirusni programi ne opazijo. Po šifriranju ustvari dokument, v katerem prevarant navede e-pošto za komunikacijo. Trenutno si razvijalci protivirusne programske opreme prizadevajo dešifrirati kodo virusa izsiljevalske programske opreme. [e-pošta zaščitena]. Uporabniki, ki so bili napadeni, lahko samo čakajo. Če so podatki pomembni, je priporočljivo, da jih shranite na zunanji pogon tako, da počistite sistem.

Enigma

Izsiljevalski virus Enigma je računalnike ruskih uporabnikov začel okuževati konec aprila 2016. Uporablja se šifrirni model AES-RSA, ki ga danes najdemo v večini izsiljevalskih virusov. Virus prodre v računalnik s pomočjo skripte, ki jo uporabnik zažene tako, da odpre datoteke iz sumljive elektronske pošte. Še vedno ni univerzalnega sredstva za boj proti izsiljevalski programski opremi Enigma. Uporabniki s protivirusno licenco lahko zaprosijo za pomoč na uradni spletni strani razvijalca. Najdena je bila tudi majhna "vrzel" - Windows UAC. Če uporabnik klikne »Ne« v oknu, ki se pojavi med postopkom okužbe z virusom, bo lahko naknadno obnovil podatke s pomočjo senčnih kopij.

granit

Jeseni 2016 se je na spletu pojavil nov izsiljevalski virus Granit. Okužba se zgodi po naslednjem scenariju: uporabnik zažene namestitveni program, ki okuži in šifrira vse podatke na osebnem računalniku in tudi na povezanih pogonih. Boj proti virusu je težak. Če ga želite odstraniti, lahko uporabite posebne pripomočke Kaspersky, vendar nam še ni uspelo dešifrirati kode. Morda bo pomagala obnovitev prejšnjih različic podatkov. Poleg tega lahko strokovnjak z bogatimi izkušnjami dešifrira, vendar je storitev draga.

Tyson

Nedavno opažen. Gre za razširitev že znane izsiljevalske programske opreme no_more_ransom, o kateri lahko izveste na naši spletni strani. Do osebnih računalnikov pride iz elektronske pošte. Številni osebni računalniki podjetij so bili napadeni. Virus ustvari besedilni dokument z navodili za odklepanje in ponudi plačilo »odkupnine«. Izsiljevalska programska oprema Tyson se je pojavila pred kratkim, zato ključa za odklepanje še ni. Edini način za obnovitev podatkov je vrnitev prejšnjih različic, če jih ni izbrisal virus. Seveda lahko tvegate z nakazilom denarja na račun, ki ga določijo napadalci, vendar ni nobenega zagotovila, da boste prejeli geslo.

Spora

V začetku leta 2017 je veliko uporabnikov postalo žrtev nove izsiljevalske programske opreme Spora. Po principu delovanja se ne razlikuje veliko od podobnih, a se ponaša z bolj profesionalno zasnovo: navodila za pridobitev gesla so bolje napisana, spletna stran pa je videti lepša. Izsiljevalski virus Spora je bil ustvarjen v jeziku C in uporablja kombinacijo RSA in AES za šifriranje podatkov žrtve. Praviloma so bili napadeni računalniki, na katerih je bil aktivno uporabljen računovodski program 1C. Virus, ki se skriva pod krinko preprostega računa v formatu .pdf, prisili zaposlene v podjetju, da ga zaženejo. Zdravljenja še ni bilo.

1C.Drop.1

Ta šifrirni virus 1C se je pojavil poleti 2016 in motil delo številnih računovodskih oddelkov. Razvit je bil posebej za računalnike, ki uporabljajo programsko opremo 1C. Ko je v računalniku prek datoteke v e-pošti, lastnika pozove, naj posodobi program. Ne glede na gumb, ki ga uporabnik pritisne, bo virus začel šifrirati datoteke. Strokovnjaki Dr.Web delajo na orodjih za dešifriranje, vendar rešitve še niso našli. To je posledica zapletene kode, ki ima lahko več sprememb. Edina zaščita pred 1C.Drop.1 je pazljivost uporabnika in redno arhiviranje pomembnih dokumentov.

da_vinci_code

Nova izsiljevalska programska oprema z nenavadnim imenom. Virus se je pojavil spomladi 2016. Od svojih predhodnikov se razlikuje po izboljšani kodi in močnem načinu šifriranja. da_vinci_code okuži računalnik s pomočjo izvedbene aplikacije (običajno priložene e-poštnemu sporočilu), ki jo uporabnik samostojno zažene. Orodje za šifriranje da Vinci kopira telo v sistemski imenik in register, kar zagotavlja samodejni zagon, ko je Windows vklopljen. Vsakemu računalniku žrtve je dodeljen edinstven ID (pomaga pridobiti geslo). Podatke je skoraj nemogoče dešifrirati. Napadalcem lahko plačate denar, vendar nihče ne jamči, da boste prejeli geslo.

[e-pošta zaščitena] / [e-pošta zaščitena]

Dva e-poštna naslova, ki sta ju leta 2016 pogosto spremljala izsiljevalska programska oprema. Služijo za povezavo žrtve z napadalcem. Priloženi so bili naslovi za različne vrste virusov: da_vinci_code, no_more_ransom in tako naprej. Zelo priporočljivo je, da ne kontaktirate prevarantov ali jim nakažete denarja. Uporabniki v večini primerov ostanejo brez gesel. Tako dokazuje, da izsiljevalska programska oprema napadalcev deluje in ustvarja dohodek.

Breaking Bad

Pojavila se je v začetku leta 2015, vendar se je aktivno razširila šele leto kasneje. Načelo okužbe je enako kot pri drugih izsiljevalskih programih: namestitev datoteke iz elektronske pošte, šifriranje podatkov. Običajni protivirusni programi virusa Breaking Bad praviloma ne opazijo. Nekatera koda ne more zaobiti Windows UAC, tako da ima uporabnik možnost obnoviti prejšnje različice dokumentov. Nobeno podjetje, ki razvija protivirusno programsko opremo, še ni predstavilo dekriptorja.

XTBL

Zelo pogosta izsiljevalska programska oprema, ki povzroča težave mnogim uporabnikom. Ko virus vstopi v računalnik, v nekaj minutah spremeni pripono datoteke v .xtbl. Ustvari se dokument, v katerem napadalec izsiljuje denar. Nekatere različice virusa XTBL ne morejo uničiti datotek za obnovitev sistema, kar vam omogoča, da dobite nazaj pomembne dokumente. Sam virus lahko odstrani veliko programov, dešifriranje dokumentov pa je zelo težavno. Če ste lastnik licenčnega protivirusnega programa, uporabite tehnično podporo tako, da priložite vzorce okuženih podatkov.

Kukarača

Izsiljevalska programska oprema Cucaracha je bila odkrita decembra 2016. Virus z zanimivim imenom skriva uporabniške datoteke z uporabo algoritma RSA-2048, ki je zelo odporen. Protivirusni program Kaspersky ga je označil kot Trojan-Ransom.Win32.Scatter.lb. Kukaracha je mogoče odstraniti iz računalnika, da se drugi dokumenti ne okužijo. Okuženih pa je trenutno skoraj nemogoče dešifrirati (zelo močan algoritem).

Kako deluje izsiljevalski virus?

Izsiljevalskih programov je ogromno, a vse delujejo po podobnem principu.

1. Dostop do osebnega računalnika. Običajno zaradi priložene datoteke e-poštnemu sporočilu. Namestitev sproži uporabnik sam z odpiranjem dokumenta.
2. Okužba datoteke. Skoraj vse vrste datotek so šifrirane (odvisno od virusa). Ustvari se besedilni dokument, ki vsebuje kontakte za komunikacijo z napadalci.
3. Vse. Uporabnik ne more dostopati do nobenega dokumenta.

Kontrolna sredstva iz priljubljenih laboratorijev

Široka uporaba izsiljevalske programske opreme, ki je prepoznana kot najnevarnejša grožnja uporabniškim podatkom, je postala spodbuda za številne protivirusne laboratorije. Vsako priljubljeno podjetje svojim uporabnikom ponuja programe, ki jim pomagajo v boju proti izsiljevalski programski opremi. Poleg tega mnogi od njih pomagajo pri dešifriranju dokumentov in zaščiti sistema.

Kaspersky in virusi ransomware

Eden najbolj znanih protivirusnih laboratorijev v Rusiji in svetu danes ponuja najučinkovitejša orodja za boj proti virusom ransomware. Prva ovira za izsiljevalski virus bo Kaspersky Endpoint Security 10 z najnovejšimi posodobitvami. Protivirusni program preprosto ne bo dovolil, da bi grožnja vstopila v vaš računalnik (čeprav morda ne bo zaustavil novih različic). Za dešifriranje informacij razvijalec predstavlja več brezplačnih pripomočkov: XoristDecryptor, RakhniDecryptor in Ransomware Decryptor. Pomagajo najti virus in izbrati geslo.

dr. Splet in izsiljevalska programska oprema

Ta laboratorij priporoča uporabo njihovega protivirusnega programa, katerega glavna funkcija je varnostno kopiranje datotek. Shramba s kopijami dokumentov je zaščitena tudi pred nepooblaščenim dostopom vsiljivcev. Lastniki licenčnega izdelka Dr. Spletna funkcija je na voljo za zahtevo po pomoči tehnične podpore. Res je, tudi izkušeni strokovnjaki se ne morejo vedno upreti tej vrsti grožnje.

ESET Nod 32 in izsiljevalska programska oprema

Tudi to podjetje ni ostalo ob strani in je svojim uporabnikom zagotovilo dobro zaščito pred virusi, ki vstopajo v njihov računalnik. Poleg tega je laboratorij pred kratkim izdal brezplačen pripomoček s posodobljenimi zbirkami podatkov - Eset Crysis Decryptor. Razvijalci pravijo, da bo pomagal v boju proti celo najnovejši izsiljevalski programski opremi.

Nadaljuje svoj zatiralski pohod po internetu, okužuje računalnike in šifrira pomembne podatke. Kako se zaščititi pred izsiljevalsko programsko opremo, zaščititi Windows pred izsiljevalsko programsko opremo – so bili izdani popravki za dešifriranje in razkuževanje datotek?

Novi izsiljevalski virus 2017 Wanna Cryše naprej okužuje poslovne in zasebne osebne računalnike. U Škoda zaradi napada virusa znaša skupno milijardo dolarjev. V 2 tednih je virus izsiljevalske programske opreme okužen najmanj 300 tisoč računalnikov, kljub opozorilom in varnostnim ukrepom.

Ransomware virus 2017, kaj je to?- praviloma lahko "poberete" na na videz najbolj neškodljivih mestih, na primer bančnih strežnikih z uporabniškim dostopom. Ko je izsiljevalska programska oprema na trdem disku žrtve, se »naseli« v sistemsko mapo System32. Od tam program takoj onemogoči protivirusni program in gre v "Autorun"" Po vsakem ponovnem zagonu, izsiljevalska programska oprema teče v register, ki začne svoje umazano delo. Izsiljevalska programska oprema začne prenašati podobne kopije programov, kot sta Ransom in Trojan. Pogosto se tudi zgodi samopodvajanje izsiljevalske programske opreme. Ta proces je lahko trenuten ali pa traja tedne, dokler žrtev ne opazi, da je nekaj narobe.

Izsiljevalska programska oprema se pogosto prikrije kot običajne slike ali besedilne datoteke, vendar je bistvo vedno isto - to je izvršljiva datoteka s končnico .exe, .drv, .xvd; včasih - knjižnice.dll. Najpogosteje ima datoteka popolnoma neškodljivo ime, na primer " dokument. doc" ali " slika.jpg", kjer je razširitev napisana ročno, in prava vrsta datoteke je skrita.

Ko je šifriranje končano, uporabnik namesto znanih datotek vidi niz "naključnih" znakov v imenu in znotraj, razširitev pa se spremeni v prej neznano - .NO_MORE_RANSOM, .xdata in drugi.

Wanna Cry virus ransomware 2017 – kako se zaščititi. Želel bi takoj opozoriti, da je Wanna Cry precej skupni izraz za vse šifrirne in izsiljevalske viruse, saj v zadnjem času najpogosteje okužuje računalnike. Torej, pogovorili se bomo o Zaščitite se pred izsiljevalsko programsko opremo Ransom Ware, ki jih je zelo veliko: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Kako zaščititi Windows pred izsiljevalsko programsko opremo. – EternalBlue prek protokola vrat SMB.

Zaščita sistema Windows pred izsiljevalsko programsko opremo 2017 – osnovna pravila:

• Windows posodobitev, pravočasen prehod na licenčni OS (opomba: različica XP ni posodobljena)
• posodabljanje protivirusnih baz podatkov in požarnih zidov na zahtevo
• skrajno previdno pri nalaganju kakršnih koli datotek (luštni “pečati” lahko povzročijo izgubo vseh podatkov)
• Varnostno kopiranje pomembnih informacij na izmenljive medije.

Ransomware virus 2017: kako razkužiti in dešifrirati datoteke.

Če se zanašate na protivirusno programsko opremo, lahko za nekaj časa pozabite na dekriptor. V laboratorijih Kaspersky, dr. Splet, Avast! in drugi antivirusi za zdaj rešitev za zdravljenje okuženih datotek ni bila najdena. Trenutno je virus mogoče odstraniti s protivirusnim programom, vendar še ni algoritmov, ki bi vse povrnili »v normalno stanje«.

Nekateri poskušajo uporabiti dekriptorje, kot je pripomoček RectorDecryptor, vendar to ne bo pomagalo: algoritem za dešifriranje novih virusov še ni bil sestavljen. Prav tako ni povsem znano, kako se bo virus obnašal, če ga po uporabi takih programov ne odstranimo. Pogosto lahko to povzroči izbris vseh datotek – kot opozorilo tistim, ki ne želijo plačati napadalcem, avtorjem virusa.

Trenutno je najučinkovitejši način za obnovitev izgubljenih podatkov stik s tehnično podporo. podporo prodajalca protivirusnega programa, ki ga uporabljate. Če želite to narediti, morate poslati pismo ali uporabiti obrazec za povratne informacije na spletnem mestu proizvajalca. Ne pozabite dodati šifrirane datoteke v prilogo in, če je na voljo, kopijo izvirnika. To bo programerjem pomagalo pri sestavljanju algoritma. Na žalost je za mnoge napad virusa popolno presenečenje in kopije niso najdene, kar močno zaplete situacijo.

Srčne metode zdravljenja sistema Windows pred izsiljevalsko programsko opremo. Na žalost se včasih morate zateči k popolnemu formatiranju trdega diska, kar pomeni popolno spremembo OS. Mnogi bodo razmišljali o obnovitvi sistema, vendar to ni možnost - tudi "vrnitev nazaj" se bo znebila virusa, vendar bodo datoteke še vedno ostale šifrirane.

15.05.2017, pon, 13:33, moskovski čas , Besedilo: Pavel Pritula

Pred dnevi se je v Rusiji zgodil eden največjih in najbolj "hrupnih" kibernetskih napadov, sodeč po tisku: napadalci so napadli omrežja več oddelkov in največjih organizacij, vključno z ministrstvom za notranje zadeve. Virus je šifriral podatke na računalnikih zaposlenih in jim izsilil veliko vsoto denarja, da so lahko nadaljevali svoje delo. To je jasen primer, da nihče ni imun na izsiljevalsko programsko opremo. Vendar pa se je s to grožnjo mogoče spopasti – pokazali bomo več metod, ki jih ponuja Microsoft.

Kaj vemo o izsiljevalski programski opremi? Zdi se, da gre za kriminalce, ki od vas zahtevajo denar ali stvari pod grožnjo škodljivih posledic. To se občasno zgodi v poslu in vsak ima približno predstavo, kaj storiti v takih situacijah. Toda kaj storiti, če se je na vaše službene računalnike naselil izsiljevalski virus, blokira dostop do vaših podatkov in zahteva, da določenim osebam nakažete denar v zameno za kodo za odklepanje? Obrniti se morate na strokovnjake za informacijsko varnost. In najbolje je, da to storite vnaprej, da se izognete težavam.

Število kibernetskih zločinov se je v zadnjih letih povečalo za red velikosti. Po raziskavi SentinelOne je bila polovica podjetij v večjih evropskih državah napadena z izsiljevalsko programsko opremo, pri čemer jih je več kot 80 % tarča trikrat ali večkrat. Podobno sliko opažamo po vsem svetu. Podjetje Clearswift, specializirano za informacijsko varnost, imenuje nekakšen »vrh« držav, najbolj prizadetih zaradi izsiljevalske programske opreme – ransomware: ZDA, Rusija, Nemčija, Japonska, Velika Britanija in Italija. Mala in srednje velika podjetja so še posebej zanimiva za napadalce, ker imajo več denarja in občutljivejše podatke kot posamezniki ter nimajo močnih varnostnih služb velikih podjetij.

Kaj storiti in, kar je najpomembnejše, kako preprečiti napad izsiljevalske programske opreme? Najprej ocenimo samo grožnjo. Napad se lahko izvede na več načinov. Ena najpogostejših je elektronska pošta. Kriminalci aktivno uporabljajo metode socialnega inženiringa, katerih učinkovitost se od časov slavnega hekerja 20. stoletja Kevina Mitnicka ni prav nič zmanjšala. Lahko pokličejo zaposlenega v podjetju žrtve v imenu resnične nasprotne stranke in po pogovoru pošljejo elektronsko sporočilo s priponko, ki vsebuje zlonamerno datoteko. Zaposleni ga bo seveda odprl, ker je ravnokar govoril s pošiljateljem po telefonu. Ali pa lahko računovodja prejme pismo, ki naj bi bilo od službe sodnih izvršiteljev ali banke, ki opravlja storitve za njegovo podjetje. Nihče ni imun in to ni prvič, da je utrpelo škodo celo Ministrstvo za notranje zadeve: pred nekaj meseci so hekerji poslali ponarejen račun Rostelecoma računovodskemu oddelku direktorata za proge Kazan Ministrstva za notranje zadeve z šifrirni virus, ki je blokiral delo računovodskega sistema.

Vir okužbe je lahko lažno spletno mesto, do katerega je uporabnik dostopal prek goljufive povezave, ali bliskovni pogon, ki ga je "pomotoma pozabil" eden od obiskovalcev pisarne. Vse pogosteje se okužbe dogajajo prek nezaščitenih mobilnih naprav zaposlenih, s katerih ti dostopajo do virov podjetja. In protivirusni program morda ne bo deloval: znanih je na stotine zlonamerne programske opreme, ki obide protivirusne programe, da ne omenjamo »napadov ničelnega dne«, ki izkoriščajo na novo odkrite »luknje« v programski opremi.

Kaj je "kibernetska izsiljevalska programska oprema"?

Program, znan kot ransomware, ransomware, blokira uporabniku dostop do operacijskega sistema in običajno šifrira vse podatke na trdem disku. Na zaslonu se prikaže sporočilo, da je računalnik zaklenjen in da je lastnik dolžan napadalcu nakazati veliko vsoto denarja, če želi ponovno prevzeti nadzor nad podatki. Najpogosteje se na zaslonu prikaže odštevanje 2-3 dni, tako da naj uporabnik pohiti, sicer bo vsebina diska uničena. Glede na apetite kriminalcev in velikost podjetja se zneski odkupnine v Rusiji gibljejo od nekaj deset do več sto tisoč rubljev.

Vrste izsiljevalske programske opreme

Vir: Microsoft, 2017

Ta zlonamerna programska oprema je znana že vrsto let, v zadnjih dveh ali treh letih pa je doživela pravi razcvet. Zakaj? Prvič, ker ljudje plačajo napadalce. Po podatkih družbe Kaspersky Lab se 15 % ruskih podjetij, napadenih na ta način, odloči plačati odkupnino, 2/3 podjetij na svetu, ki so bila izpostavljena takšnemu napadu, pa je izgubilo vse ali del svojih korporativnih podatkov.

Drugič, orodja kibernetskih kriminalcev so postala bolj izpopolnjena in dostopna. In tretjič, neodvisni poskusi žrtve, da "uganejo geslo", se ne končajo dobro in policija le redko najde zločince, zlasti med odštevanjem.

Mimogrede. Vsi hekerji ne porabijo časa za dajanje gesla žrtvi, ki jim je nakazala zahtevani znesek.

Kaj je poslovni problem

Glavna težava na področju informacijske varnosti za mala in srednje velika podjetja v Rusiji je, da nimajo denarja za zmogljiva specializirana orodja za informacijsko varnost, je pa več kot dovolj IT sistemov in zaposlenih, s katerimi lahko pride do različnih vrst incidentov. . Za boj proti izsiljevalski programski opremi ni dovolj le konfiguriran požarni zid, protivirusni program in varnostne politike. Uporabiti morate vsa razpoložljiva orodja, predvsem tista, ki jih ponuja prodajalec operacijskega sistema, ker so poceni (ali vključena v ceno OS) in so 100-odstotno združljiva z lastno programsko opremo.

Velika večina odjemalskih računalnikov in velik del strežnikov poganja Microsoft Windows. Vsi poznajo vgrajena varnostna orodja, kot sta Windows Defender in Windows Firewall, ki skupaj z nedavnimi posodobitvami operacijskega sistema in omejitvami uporabniških pravic zagotavljajo povsem zadostno stopnjo varnosti za povprečnega zaposlenega v odsotnosti specializiranih orodij.

A posebnost odnosa med podjetji in kiberkriminalci je v tem, da prvi pogosto ne vedo, da jih napadejo drugi. Verjamejo, da so zaščiteni, v resnici pa je zlonamerna programska oprema že prodrla v omrežno območje in tiho opravlja svoje delo – navsezadnje se vsi ne obnašajo tako predrzno kot izsiljevalski trojanci.

Microsoft je spremenil svoj pristop k varnosti: zdaj je razširil svojo linijo izdelkov za informacijsko varnost in se osredotoča ne le na čim večjo zaščito podjetij pred sodobnimi napadi, ampak tudi na to, da jih je mogoče raziskati, če pride do okužbe.

Zaščita pošte

Poštni sistem, kot glavni kanal za prodor groženj v korporativno omrežje, je treba dodatno zaščititi. Za to je Microsoft razvil sistem Exchange ATP (Advanced Treat Protection), ki analizira e-poštne priloge ali internetne povezave in se takoj odzove na zaznane napade. To je ločen izdelek, integrira se z Microsoft Exchange in ne zahteva uvajanja na vsakem odjemalskem računalniku.

Exchange ATP lahko celo zazna napade ničelnega dne, ker zažene vse priloge v peskovniku, ne da bi jih izdal operacijskemu sistemu, in analizira njihovo vedenje. Če ne vsebuje znakov napada, se priponka šteje za varno in jo uporabnik lahko odpre. Morebitno zlonamerna datoteka je poslana v karanteno in skrbnik je o tem obveščen.

Kar zadeva povezave v pismih, so tudi preverjene. Exchange ATP nadomesti vse povezave z vmesnimi. Uporabnik klikne na povezavo v pismu, pride do vmesne povezave in v tem trenutku sistem preveri naslov za varnost. Preverjanje poteka tako hitro, da uporabnik zamude ne opazi. Če povezava vodi do okuženega mesta ali datoteke, je klik nanjo prepovedan.

Kako deluje Exchange ATP

Vir: Microsoft, 2017

Zakaj se preverjanje zgodi v trenutku klika in ne ob prejemu pisma - ker je takrat več časa za raziskovanje in bo zato potrebna manjša računalniška moč? To je bilo narejeno posebej za zaščito pred hekerskimi triki zamenjave vsebine prek povezave. Tipičen primer: pismo prispe v nabiralnik ponoči, sistem preveri in ne najde ničesar, do jutra pa je prek te povezave na strani že objavljena datoteka z denimo trojancem, ki jo uporabnik uspešno prenese.

In tretji del storitve Exchange ATP je vgrajen sistem poročanja. Omogoča vam raziskovanje incidentov, ki so se zgodili, in zagotavlja podatke za odgovore na vprašanja: kdaj je do okužbe prišlo, kako in kje je do nje prišlo. To vam omogoča, da poiščete vir, ugotovite škodo in razumete, ali je šlo za naključni zadetek ali namenski ciljni napad na to podjetje.

Ta sistem je uporaben tudi za preventivo. Administrator lahko na primer zbere statistiko o tem, koliko klikov je bilo opravljenih na povezave, označene kot nevarne, in kateri uporabniki so to storili. Tudi če do okužbe ni prišlo, je treba s temi zaposlenimi še vedno izvajati ozaveščevalno delo.

Res je, obstajajo kategorije zaposlenih, ki jih službene obveznosti prisilijo k obiskovanju različnih spletnih mest - kot so na primer tržniki, ki raziskujejo trg. Microsoftove tehnologije jim omogočajo, da konfigurirate pravilnik, tako da bodo vse prenesene datoteke preverjene v peskovniku, preden se shranijo v računalnik. Poleg tega so pravila nastavljena dobesedno v nekaj klikih.

Zaščita poverilnic

Ena od tarč napadov kibernetskih kriminalcev so uporabniške poverilnice. Tehnologij za krajo uporabniških prijav in gesel je veliko, zoperstaviti pa se jim je treba z močno zaščito. Malo je upanja za zaposlene same: izmislijo si preprosta gesla, z enim geslom dostopajo do vseh virov in jih zapišejo na listek, ki ga prilepijo na monitor. Proti temu se je mogoče boriti z administrativnimi ukrepi in s programsko nastavitvijo zahtev za geslo, vendar še vedno ne bo zagotovljenega učinka.

Če podjetje skrbi za varnost, loči pravice dostopa in na primer inženir ali komercialist ne more dostopati do računovodskega strežnika. Toda hekerji imajo v rokavu še en trik: iz zajetega računa običajnega zaposlenega lahko pošljejo pismo ciljanemu strokovnjaku, ki ima potrebne informacije (finančne podatke ali poslovne skrivnosti). Ko prejme pismo od "kolege", ga bo prejemnik popolnoma odprl in zagnal priponko. In izsiljevalska programska oprema bo pridobila dostop do za podjetje dragocenih podatkov, za vrnitev katerih lahko podjetje plača veliko denarja.

Za zagotovitev, da zajeti račun napadalcem ne omogoči vdora v sistem podjetja, Microsoft ponuja zaščito z večfaktorsko avtentikacijo Azure. To pomeni, da za prijavo morate vnesti ne samo par prijava/geslo, ampak tudi kodo PIN, poslano prek SMS-a, potisno obvestilo, ki ga ustvari mobilna aplikacija, ali odgovoriti na telefonski klic robota. Večfaktorska avtentikacija je še posebej uporabna pri delu z oddaljenimi zaposlenimi, ki se lahko prijavijo v sistem podjetja z različnih koncev sveta.

Večfaktorsko preverjanje pristnosti Azure