Атаки вірусів-шифрувальників, витоку хакерських інструментів американських спецслужб, перевірка на міцність об'єктів енергетики, удари по ICO і перша успішна крадіжка грошей з російського банку з системою SWIFT - 2017 рік, що минає, був сповнений неприємних сюрпризів. Не всі виявилися готові до них. Скоріше навпаки. Кіберзлочинність стає швидшим і масштабнішим. Продержавні хакери – вже не лише шпигуни, вони крадуть гроші та влаштовують кібердиверсії.
Будь-яка протидія кіберзагрозам – це завжди змагання броні та снаряда. І події цього року показали, що багато компаній і навіть держави поступаються кіберзлочинцям. Тому що не знають, хто ворог, як він діє і де слід чекати наступного удару. Більшість атак потрібно запобігати ще на етапі їхньої підготовки за допомогою технологій раннього попередження Threat Intelligence. Бути на кілька кроків наперед кіберзлочинців, значить зберегти свої гроші, інформацію та репутацію.

Віруси-шифрувальники

Наймасштабнішими як з погляду поширення, так і збитків у 2017 році стали кібератаки з використанням вірусів-шифрувальників. За ними стоять продержавні хакери. Згадаймо їх поіменно.

Наслідки атаки WonnaCry: супермаркет "Рост", Харків, Україна.

Lazarus (відома також як Dark Seoul Gang) – ім'я північнокорейської групи хакерів, за якими, ймовірно, стоїть Bureau 121 – один із підрозділів Розвідувального Управління Генштабу КНА (КНДР), який відповідає за проведення кібероперацій. Хакери з північнокорейської групи Lazarus довгі роки шпигунили за ідеологічними ворогами режиму - держустановами та приватними корпораціями США та Південної Кореї. Тепер Lazarus атакує банки та фінансові установи по всьому світу: на їхньому рахунку спроба вкрасти у лютому 2016 року майже $1 млрд із центрального банку Бангладеш, атаки на банки Польщі, а також співробітників ЦБ РФ, ЦБ Венесуели, ЦБ Бразилії, ЦБ Чилі та спроба вивести з Far Eastern International Bank $60 млн (див. "Цільові атаки на банки"). Наприкінці 2017 року північнокорейські хакери були помічені в атаках на криптовалютні сервіси та атаки з використанням мобільних троянів.

Тренд року

24 жовтня в Україні та Росії відбулася масштабна кібератака з використанням вірусу-шифрувальника «BadRabbit». Вірус атакував комп'ютери та сервери Київського метрополітену, Міністерства інфраструктури, Міжнародного аеропорту "Одеса". Декілька жертв опинилися і в Росії - в результаті атаки постраждали редакції федеральних ЗМІ, а також зафіксовано факти спроб заражень банківських інфраструктур. За атакою, як встановила Group-IB, стоїть група Black Energy.

Цільові атаки на банки

Злочинні групи, які атакували російські банки, навесні та влітку 2017 року переключили свою увагу на інші країни та регіони: США, Європа, Латинська Америка, Азія та Близький Схід. Наприкінці року вони знову запрацювали у Росії.

У 2017 році у продержавних хакерів змінилися цілі – вони почали проводити кібердиверсії на фінансовий сектор. Для шпигунства або крадіжки грошей зломщики намагаються отримати доступ до SWIFT, карткового процесингу. Навесні цього року група BlackEnergy зламала інтегратора в Україні та отримала доступ до мережі українських банків. Через кілька місяців почалася епідемія WannyCry та NotPetya, за якими стоять гурти Lazarus та BlackEnergy.

Тим не менш, на початок жовтня, коли команда Group-IB здавала щорічний звіт, ми були сповнені стриманого оптимізму: цілеспрямовані атаки на банки в Росії впали на 33%. Усі злочинні групи, які атакували російські банки, поступово переключили свою увагу на інші країни та регіони: США, Європа, Латинська Америка, Азія та Близький Схід. Кінець року зіпсував статистику - ми зафіксували цілу низку кібератак на банки, у грудні відбулася перша успішна атака на російський банк зі SWIFT у виконанні групи Cobalt.

Атаки на SWIFT

У жовтні пограбували банк Far Eastern International Bank Тайваню. Добравшись до системи міжнародних міжбанківських переказів (SWIFT), до якої було підключено банк, хакери змогли вивести майже $60 мільйонів на рахунки в Шрі-Ланці, Камбоджі та США. За атакою, попередньо, стоїть гурт Lazarus. У листопаді найбільший недержавний банк Непалу NIC Asia Bank зазнав цілеспрямованої атаки кіберзлочинців, які отримали доступ до системи SWIFT і вивели $4,4 млн на рахунки в США, Великій Британії, Японії та Сінгапурі.

У середині грудня стало відомо про успішну атаку на російський банк із використанням SWIFT (міжнародна система передачі фінансової інформації). Нагадаємо, що раніше в Росії цільові атаки проходили з використанням систем карткового процесингу, банкоматів та АРМ КБР (автоматизоване робоче місце клієнта банку Росії).

До атаки, ймовірно, причетне угруповання Cobalt. Проникнення в банк сталося через шкідливе програмне забезпечення, яке розсилалося угрупуванням кілька тижнів тому по банках - такий спосіб атаки характерний для Cobalt. ЗМІ повідомляли, що злочинці спробували вкрасти близько $1 млн, але вдалося вивести близько 10%. FinCERT, структурний підрозділ ЦБ з інформбезпеки, у своєму звіті назвав групу Cobalt головною загрозою для кредитних організацій.

За даними Group-IB, на рахунку угруповання не менше 50 успішних атак на банки по всьому світу: у Росії, Великій Британії, Нідерландах, Іспанії, Румунії, Білорусії, Польщі, Естонії, Болгарії, Грузії, Молдові, Киргизії, Вірменії, Тайвані та Малайзії . Все літо та осінь вони атакували банки по всьому світу, тестували нові інструменти та схеми, і під кінець року не знизили обертів – практично щотижня ми фіксуємо їхні поштові розсилки зі шкідливими програмами всередині.

Безтілесність та шкідливі скрипти – новий (і тепер уже основний) принцип проведення атак. Хакери намагаються залишатися непоміченими і для цього використовують безтілесні програми, які працюють тільки в оперативній пам'яті і знищуються після перезавантаження. Крім того, скрипти на PowerShell, VBS, PHP допомагають забезпечувати персистентність (закріплення) в системі, а також автоматизувати деякі етапи атаки. Ще ми зауважуємо, що хакери атакують банки не в лоб, а через довірених партнерів – інтеграторів, підрядників. Вони атакують співробітників, коли ті перебувають удома, перевіряють особисту пошту, соцмережі.

Тренд року

Відкриття року: MoneyTaker

10 цікавих фактів про MoneyTaker

• Їхньою жертвою ставали невеликі банки - у Росії регіональні, у США - ком'юніті-банки з невисоким рівнем захисту. В один із російських банків хакери проникли через домашній комп'ютер сісадміну.
• Один із американських банків зламали аж двічі.
• Здійснивши успішну атаку, продовжували шпигувати за співробітниками банку за допомогою пересилання вхідних листів на адреси Yandex та Mail.ru.
• Це угруповання завжди знищувало сліди після атаки.
• Гроші з одного російського банку намагалися вивести через банкомати, але вони не працювали - у їхнього власника незадовго до цього ЦБ забрав ліцензію. Вивели гроші через АРМ КБР.
• Викрадали не лише гроші, а й внутрішні документи, інструкції, регламенти, журнали транзакцій. Судячи з вкрадених документів, пов'язаних із роботою SWIFT, хакери готують атаки на об'єкти в Латинській Америці.
• У деяких випадках хакери вносили зміни до коду програми «на льоту» - прямо під час проведення атаки.
• Зломщики використовували файл SLRSideChannelAttack.exe., який було викладено у публічний доступ дослідниками.
• MoneyTaker використовували загальнодоступні інструменти, цілеспрямовано приховували будь-які елементи атрибуції, воліючи залишатися в тіні. Автор у програм один - це видно з типових помилок, які кочують з однієї самописної програми до іншої.

Витікання хакерських інструментів спецслужб

Експлойти з витоків АНБ та ЦРУ почали активно використовуватись для проведення цілеспрямованих атак. Вони вже включені до основних інструментів для проведення тестів на проникнення фінансово мотивованих та деяких продержавних хакерів.

WikiLeaks та Vault7

Весь рік WikiLeaks методично розкривав секрети ЦРУ, публікуючи в рамках проекту Vault 7 інформацію про інструменти хакерів спецслужб. Один з них – CherryBlossom («Вишневий колір») дозволяє відстежувати місцезнаходження та інтернет-активність користувачів, підключених до бездротового роутера Wi-Fi. Такі пристрої повсюдно використовуються у будинках, офісах, ресторанах, барах, готелях, аеропортах та держустановах. WikiLeaks навіть розкрив технологію шпигунства ЦРУ за колегами з ФБР, МВБ, АНБ. Управління технічних служб (OTS) у ЦРУ розробило шпигунське ПЗ ExpressLane для таємного вилучення даних із біометричної системи збору інформації, яку ЦРУ поширює своїм колегам із розвідуспільноти США. Трохи раніше WikiLeaks розкрила інформацію про шкідливу програму Pandemic, призначену для злому комп'ютерів із загальними папками, і про програму ELSA, яка також відстежує геолокацію пристроїв з підтримкою Wi-Fi і дозволяє відстежувати звички користувача. Wikileaks розпочав серію публікацій Vault-7 у лютому 2017 року. Витіки містили інформацію з описом уразливостей у програмному забезпеченні, зразками шкідливих програм та техніками проведення комп'ютерних атак.

Хакерські інструменти з іншого не менш популярного джерела - витоку АНБ, які публікує група Shadow Brokers, не тільки мала підвищений попит, але ще вдосконалювалася і допрацьовувалась. На андеграундних форумах з'явився скрипт для автоматизації пошуку машин з уразливістю SMB-протоколу, заснований на утилітах американських спецслужб, опублікованих угрупуванням Shadow Brokers у квітні цього року. Внаслідок витоку утиліта fuzzbunch та експлойт ETERNALBLUE опинилися у відкритому доступі, але після проведеного доопрацювання повністю готовий продукт спрощує зловмисникам процес атаки.

Нагадаємо, що саме SMB-протокол використовувався шифрувальником WannaCry для зараження сотень тисяч комп'ютерів у 150 країнах світу. Місяць тому творець пошукової системи Shodan Джон Мазерл (John Matherly) заявив, що в Мережі виявлено 2306820 пристроїв з відкритими портами для доступу по SMB-протоколу. 42% (близько 970 тис.) з них надають гостьовий доступ, тобто будь-який бажаючий за допомогою протоколу SMB може отримати доступ до даних без авторизації.

Влітку група Shadow Brokers пообіцяла щомісяця публікувати для своїх передплатників нові експлойти, у тому числі для роутерів, браузерів, мобільних пристроїв, скомпрометовані дані з банківських мереж та SWIFT, інформацію про ядерні та ракетні програми. Натхнені увагою Shadow Brokers підняли первісну вартість передплати зі 100 монет Zcash (близько $30 000) до 200 монет Zcash (близько $60 000). Статус VIP-передплатника коштує 400 монет Zcash і дозволяє отримувати експлойти на замовлення.

Атаки на критичну інфраструктуру

Енергетичний сектор став тестовим полігоном для дослідження нової кіберзброї. Злочинна група BlackEnergy продовжує атаки на фінансові та енергетичні компанії. Інструменти, що опинилися в їх розпорядженні, дозволяють віддалено керувати Remote terminal unit (RTU), які відповідають за фізичне розмикання/замикання енергомережі.

Першим вірусом, який реально зміг вивести обладнання з ладу, був Stuxnet, який використовується Equation Group (Five Eyes/Tilded Team). У 2010 році вірус проник у систему іранського заводу зі збагачення урану в Натані і вразив контролери SIMATIC S7 Siemens, що обертали центрифуги з ураном із частотою 1000 обертів за секунду. Stuxnet розігнав ротори центрифуг до 1400 оборотів, так що вони почали вібрувати і руйнуватися. З 5000 центрифуг, встановлених у залі, з ладу було виведено близько 1000 штук. Іранська ядерна програма на декілька років відкотилася назад.

Після цієї атаки кілька років спостерігалося затишшя. Виявилося, що весь цей час хакери шукали можливість впливати на ICS і виводити їх з ладу, коли це буде потрібно. Далі за інших у цьому напрямку просунувся гурт Black Energy, також відомий як Sandworm.

Їхня тестова атака на українську підстанцію наприкінці минулого року показала, на що здатний новий набір інструментів, який отримав назву Industroyer або CRASHOVERRIDE. На конференції Black Hat програмне забезпечення Industroyer було названо «найбільшою загрозою промисловим системам управління з часів Stuxnet». Наприклад, інструменти BlackEnergy дозволяють дистанційно керувати Remote terminal unit (RTU), які відповідають за фізичне розмикання/замикання енергомережі. Озброїлася такими інструментами, що хакери можуть перетворити його на грізну кіберзброю, яка дозволить залишати без світла і води цілі міста.

Проблеми можуть виникнути не лише в Україні: нові атаки на енергосистеми у липні були зафіксовані у Великій Британії та Ірландії. Збоїв у роботі енергомереж не було, але, як вважають експерти, хакери могли викрасти паролі до систем безпеки. У США після розсилки співробітникам енергетичних компаній шкідливих листів ФБР попередило компанії про можливі кібератаки.

Атаки на ICO

Довгий час банки та їхні клієнти були головною метою кіберзлочинців. Але тепер у них сильні конкуренти в особі ICO та блокчейн-стартапів - все, що пов'язане з криптовалютами привертає увагу хакерів.

ICO (Initial Coin Offering – процедура первинного розміщення токенів) – мрія будь-якого хакера. Блискавична, досить проста атака на криптовалютні сервіси і блокчейн-стартапи приносить мільйони доларів прибутку з мінімальним ризиком для злочинців. За даними Chainalysis, хакерам вдалося вкрасти 10% усіх коштів, інвестованих в ICO-проекти у 2017 році у Ethereum. Загальні збитки склали майже $225 мільйонів, 30 000 інвесторів втратили в середньому по $7500.

Ми проаналізували близько сотні атак на блокчейн-проекти (біржі, обмінники, гаманці, фонди) і дійшли висновку, що основна маса проблем криється у вразливості самих криптосервісів, які використовують технологію блокчейну. У випадку з Ethereum проблеми спостерігалися не біля самої платформи, а криптосервісів: вони зіткнулися з уразливістю у власних смарт-контрактах, deface, компрометацією адмінських акаунтів (Slack, Telegram), фішинговими сайтами, що копіюють контент сайтів компаній, що виходять на ICO.

Є кілька вразливих місць:

• Фішингові сайти – клони офіційного ресурсу
• Вразливості сайту / веб-додатки
• Атаки через співробітників компанії
• Атаки на IT-інфраструктуру

Нас дуже часто питають, на що звертати увагу, що перевіряти насамперед? Є три великі блоки, на які треба звернути увагу: захистити людей, захистити процеси та захистити інфраструктуру.

Крадіжки грошей за допомогою Android-троянів

Ринок банківських Android-троянів виявився найдинамічнішим і зростаючим. Збитки від банківських троянів під Android у Росії зросли на 136% - вони склали $13,7 млн. - і перекрили збитки від троянів для персональних комп'ютерів на 30%.

Ми передбачали це зростання ще торік, оскільки зараження шкідливим програмним забезпеченням стають непомітнішими, а розкрадання автоматизуються за допомогою методу автозатоки. За нашими оцінками, збитки від цього виду атак у Росії за минулий рік становили $13,7 млн.

Затримання учасників злочинної групи Cron

WannaCry, Petya, Mischa та інші віруси-вимагачі не загрожуватимуть Вам, якщо Ви дотримуватиметеся нескладних рекомендацій щодо запобігання зараженню ПК!

Минулого тижня весь Інтернет сколихнула новина про нового вірусу-шифрувальника. Він спровокував набагато масштабнішу епідемію в багатьох країнах світу, ніж сумнозвісний WannaCry, хвиля якого припала на травень цього року. Імен у нового вірусу багато: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, проте найчастіше він фігурує просто як Petya.

Цього тижня атаки продовжуються. Навіть до нашої контори прийшов лист, хитро замаскований під якесь міфічне оновлення ПЗ! Благо, без мене ніхто не додумався відкрити надісланий архів:) Тому я б хотів сьогоднішню статтю присвятити питанню того, як захистити свій комп'ютер від вірусів-вимагачів і не стати жертвою Petya або ще якогось шифрувальника.

Що роблять віруси-здирники?

Перші віруси-здирники з'явилися приблизно на початку 2000-х років. Багато хто, хто в ці роки користувався Інтернетом, пам'ятають Trojan.WinLock. Він блокував завантаження комп'ютера і для отримання коду розблокування вимагав перерахувати певну суму на гаманець WebMoney або на рахунок мобільного телефону:

Перші блокувальники Windows були дуже невинними. Їхнє вікно з текстом про необхідність перерахувати кошти спочатку можна було просто "прибити" через Диспетчер завдань. Потім з'явилися складніші версії трояна, який вносив редагування на рівні реєстру і навіть MBR. Але це можна було " вилікувати " , якщо знати, що робити.

Сучасні ж віруси-здирники стали дуже небезпечними штуками. Вони не тільки блокують роботу системи, але й шифрують вміст жорсткого диска (у тому числі головний завантажувальний запис MBR). За розблокування системи і дешифрацію файлів зловмисники тепер беруть плату в BitCoin"ах, еквівалентну сумі від 200 до 1000 доларів США! .

Важливим моментом є те, що на сьогоднішній день практично не існує робочих способів позбутися вірусу і отримати свої файли. Тому, на мій погляд, краще спочатку не потрапляти на всілякі хитрощі і більш-менш надійно захистити свій комп'ютер від потенційних атак.

Як не стати жертвою вірусу

Віруси-шифрувальники зазвичай поширюються двома шляхами. Перший експлуатує різні технічні уразливості Windows.Наприклад, WannaCry використав експлоїт EternalBlue, який дозволяв отримати доступ до комп'ютера за протоколом SMB. А новий шифрувальник Petya може проникати в систему через відкриті TCP-порти 1024-1035, 135 і 445. Більше ж поширеним способом зараження є фішинг. Простіше кажучи, користувачі самі заражають ПК, відкриваючи надіслані поштою шкідливі файли!

Технічний захист від вірусів-шифрувальників

Хоча прямі зараження вірусами й менш часті, але вони трапляються. Тому краще заздалегідь усунути вже відомі потенційні проломи безпеки. По-перше, потрібно оновити антивірус або встановити його (наприклад, добре справляється з розпізнаванням вірусів-шифрувальників безкоштовний 360 Total Security). По-друге, потрібно обов'язково інсталювати останні оновлення Windows.

Так для усунення потенційно небезпечного бага у протоколі SMB Microsoft випустила позачергові оновлення для всіх систем, починаючи з Windows XP. Завантажити їх для Вашої версії ОС можна.

Для захисту від Petya рекомендують закрити низку портів на комп'ютері. Для цього найпростіше скористатися штатним брандмауером. Відкрийте його в панелі керування та виберіть у бічній панелі розділ "Додаткові параметри". Відкриється вікно керування правилами фільтрації. Виберіть "Правила для вхідних підключень"та у правій частині натисніть "Створити правило". Відкриється спеціальний майстер, у якому потрібно зробити правило "Для порту", після чого вибрати опцію "Певні локальні порти"та прописати наступне: 1024-1035, 135, 445 :

Після додавання списку портів установіть на наступному екрані опцію "Блокувати підключення"для всіх профілів та введіть ім'я (опис за бажанням) для нового правила. Якщо вірити рекомендаціям в Інтернеті, це не дасть вірусу завантажити потрібні файли навіть, якщо він потрапить до Вас на комп'ютер.

Крім того, якщо Ви з України та користувалися бухгалтерським ПЗ Me.Doc, то могли встановити оновлення, які містили бекдори. Ці бекдор були використані для масштабного зараження комп'ютерів вірусом Petya.A. З проаналізованих сьогодні відомо, як мінімум, три оновлення з уразливістю безпеки:

• 10.01.175-10.01.176 від 14 квітня;
• 10.01.180-10.01.181 від 15 травня;
• 10.01.188-10.01.189 від 22 червня.

Якщо Ви встановлювали ці оновлення, Ви в групі ризику!

Захист від фішингу

Як вже було сказано, у більшості заражень винен, все ж таки, людський фактор. Хакери та спамери розгорнули масштабну фішингову акцію у всьому світі. У її рамках розсилалися електронні листи нібито від офіційних організацій з різними вкладеннями, які видавалися за рахунки, оновлення програмного забезпечення або інші "важливі" дані. Достатньо було користувачеві відкрити замаскований шкідливий файл, як він встановлював на комп'ютер вірус, який шифрував усі дані!

Як відрізнити фішингове лист від реального. Зробити це дуже нескладно, якщо дотримуватися здорового глузду та наступних рекомендацій:

1. Від кого листа?Насамперед звертаємо увагу на відправника. Хакери можуть підписати листа, хоч іменем Вашої бабусі! Проте є важливий момент. Email "бабусі" Ви повинні знати, а адреса відправника фішингового листа, як правило, буде невизначеним набором символів. Щось на зразок: " [email protected]І ще нюанс: ім'я відправника та його адреса, якщо цей офіційний лист, зазвичай, корелюють між собою. Наприклад, E-Mail від якоїсь фірми "Пупкін і Ко" може виглядати як " [email protected]", але навряд чи матиме вигляд" [email protected]" :)
2. Про що лист?Як правило, фішингові листи містять у темі будь-який заклик до дії або натяк на нього. При цьому в тілі листа зазвичай або взагалі нічого не написано, або дано якусь додаткову мотивацію до відкриття вкладених файлів. Слова "ТЕРМІНОВО!", "Рахунок за послуги" або "Критичне оновлення" у листах від невідомих відправників можуть бути яскравим прикладом того, що Вас намагаються зламати. Думайте логічно! Якщо Ви не просили жодних рахунків, оновлень чи інших документів у тієї чи іншої компанії, то це з ймовірністю 99% - фішинг.
3. Що у листі?Головним елементом фішингового листа є його вкладення. Найбільш очевидним типом вкладення може бути EXE-файл із фейковим "оновленням" або "програмою". Такі вкладення є досить грубим підробкою, але трапляються.

   Більш "витончені" способи обдурити користувача полягають у маскуванні скрипту, що завантажує вірус, під документ Excel або Word. Маскування може бути двох типів. При першому варіанті сам скрипт видається за офісний документ і розпізнати його можна за "подвійним" розширенням імені, наприклад, "Рахунок .xls.jsабо "Резюме .doc.vbsУ другому випадку вкладення може складатися з двох файлів: реального документа та файлу зі скриптом, який викликається як макрос з офісного документа Word або Excel.

   У будь-якому випадку відкривати такі документи не варто, навіть якщо "відправник" Вас дуже про це просить! Якщо навіть раптом серед Ваших клієнтів є той, хто теоретично міг би Вам вислати лист з подібним вмістом, краще попрацюйте безпосередньо з ним і уточнити, чи не надсилав він Вам будь-яких документів. Зайвий рух тіла в даному випадку може врятувати Вас від непотрібних турбот!

Думаю, якщо Ви закриєте всі технічні проломи у своєму комп'ютері і не піддаватиметеся на провокації спамерів, то ніякі віруси Вам не страшні!

Як відновити файли після зараження

І, все ж таки, Вас догодило заразити комп'ютер вірусом-шифрувальником... НІ В ЯКОМУ РАЗІ НЕ ВИМИКАЙТЕ ПК ПІСЛЯ ПОЯВИ ПОВІДОМЛЕННЯ ПРО ШИФРУВАННЯ!!!

Справа в тому, що через ряд помилок у коді самих вірусів до перезавантаження комп'ютера є шанс витягнути з пам'яті ключ, який потрібен для розшифрування файлів! Наприклад, для отримання ключа дешифрування WannaCry підійде утиліта wannakiwi. На жаль, для відновлення файлів після атаки Petya подібних рішень немає, але можна спробувати витягти їх з тіньових копій даних (якщо у Вас активована опція створення на розділі жорсткого диска) за допомогою мініатюрної програми ShadowExplorer :

Якщо ви вже перезавантажили комп'ютер або вищенаведені поради не допомогли, то відновити файли можна лише за допомогою програм для відновлення даних. Як правило, віруси-шифрувальники працюють за наступною схемою: створюють зашифровану копію файлу та видаляють оригінал без його перезапису. Тобто фактично видаляється лише мітка файлу, а самі дані зберігаються і можуть бути відновлені. На нашому сайті є дві програми: підійде більше для реанімації медіафайлів та фото, а R.Saver добре справляється з документами та архівами.

Звичайно, що потрібно видалити з системи і сам вірус. Якщо Windows завантажується, то для цього добре підійде програма Malwarebytes Anti-Malware. Якщо вірус заблокував завантаження, то Вас виручить завантажувальний диск Dr.Web LiveCD з перевіреною утилітою для боротьби з різними зловредами Dr.Web CureIt на борту. В останньому випадку доведеться ще й зайнятися відновленням MBR. Оскільки LiveCD від Dr.Web на базі Linux, то, думаю, Вам знадобиться інструкція з Хабра на цю тему.

Висновки

Проблема вірусів на Windows є актуальною вже багато років. І з кожним роком ми бачимо, що вірусописувачі винаходять все більш витончені форми заподіяння шкоди комп'ютерам користувачів. Останні епідемії вірусів-шифрувальників демонструють нам, що зловмисники поступово переходять до активного здирництва!

На жаль, навіть якщо Ви заплатите гроші, то навряд чи отримаєте будь-яку відповідь. Швидше за все, відновлювати свої дані доведеться самостійно. Тому краще вчасно виявити пильність і не допустити зараження, ніж потім довго возитися з ліквідацією його наслідків!

P.S. Дозволяється вільно копіювати та цитувати цю статтю за умови вказівки відкритого активного посилання на джерело та збереження авторства Руслана Тертишного.

Сучасні технології дозволяють хакерам постійно вдосконалювати способи шахрайства стосовно звичайних користувачів. Як правило, для цих цілей використовується вірусне програмне забезпечення, що проникає на комп'ютер. Особливо небезпечним вважаються віруси-шифрувальники. Загроза полягає в тому, що вірус дуже швидко розповсюджується, зашифровуючи файли (користувач просто не зможе відкрити жоден документ). І якщо досить просто, то значно складніше розшифрувати дані.

Що робити, якщо вірус зашифрував файли на комп'ютері

Піддатися атаці шифрувальника може кожен, не застраховані навіть користувачі, у яких стоїть потужне антивірусне програмне забезпечення. Трояни шифрувальники файлів представлені різним кодом, який може бути не під силу антивірусу. Хакери навіть примудряються атакувати у такий спосіб великі компанії, які не подбали про необхідний захист своєї інформації. Отже, підчепивши в онлайні програму шифрувальник, необхідно вжити ряд заходів.

Головні ознаки зараження - повільна робота комп'ютера та зміна найменувань документів (можна помітити на робочому столі).

1. Перезапустіть комп'ютер, щоб перервати шифрування. Під час увімкнення не підтверджуйте запуск невідомих програм.
2. Запустіть антивірус, якщо він не зазнав атаки шифрувальника.
3. Відновити інформацію в деяких випадках допоможуть тіньові копії. Щоб знайти їх, відкрийте «Властивості» зашифрованого документа. Цей спосіб працює із зашифрованими даними розширення Vault, про який є інформація на порталі.
4. Завантажте утиліту останньої версії для боротьби з вірусами-шифрувальниками. Найефективніші пропонує «Лабораторія Касперського».

Віруси-шифрувальники у 2016: приклади

При боротьбі з будь-якою вірусною атакою важливо розуміти, що код часто змінюється, доповнюючись новим захистом від антивірусів. Само собою, програмам захисту потрібен якийсь час, поки розробник не оновить бази. Нами були відібрані найнебезпечніші віруси-шифрувальники останнього часу.

Ishtar Ransomware

Ishtar – шифрувальник, який вимагає у користувача гроші. Вірус був помічений восени 2016 року, заразивши величезну кількість комп'ютерів користувачів з Росії та інших країн. Поширюється за допомогою email-розсилки, в якій йдуть вкладені документи (інсталятори, документи тощо). Заражені шифрувальником Ishtar дані одержують у назві приставку «ISHTAR». У процесі створюється тестовий документ, де зазначено, куди звернутися за отриманням пароля. Зловмисники вимагають за нього від 3000 до 15000 рублів.

Небезпека вірусу Ishtar у тому, що на сьогоднішній день немає дешифратора, який би допоміг користувачам. Компаніям, які займаються створенням антивірусного ПЗ, потрібен час, щоб розшифрувати весь код. Зараз можна лише ізолювати важливу інформацію (якщо особливу важливість) на окремий носій, чекаючи виходу утиліти, здатної розшифрувати документи. Рекомендується повторно інсталювати операційну систему.

Neitrino

Шифрувальник Neitrino з'явився на просторах Мережі у 2015 році. За принципом атаки схожий на інші віруси подібної категорії. Змінює найменування папок та файлів, додаючи "Neitrino" або "Neutrino". Дешифрації вірус піддається важко – беруться за це далеко не всі представники антивірусних компаній, посилаючись на дуже складний код. Деяким користувачам допоможе відновлення тіньової копії. Для цього клацніть правою кнопкою миші зашифрований документ, перейдіть в «Властивості», вкладка «Попередні версії», натисніть «Відновити». Не зайвим буде скористатися і безкоштовна утиліта від «Лабораторії Касперського».

Wallet або .wallet.

З'явився вірус-шифрувальник Wallet наприкінці 2016 року. У процесі зараження змінює найменування даних на "Ім'я.. wallet" або схоже. Як і більшість вірусів-шифрувальників, потрапляє до системи через вкладення в електронних листах, які розсилають зловмисники. Оскільки загроза виникла зовсім недавно, антивірусні програми не помічають його. Після шифрації створюється документ, в якому шахрай вказує пошту для зв'язку. В даний час розробники антивірусного ПЗ працюють над розшифруванням коду вірусу-шифрувальника [email protected]. Користувачам, які зазнали атаки, залишається лише чекати. Якщо важливі дані, рекомендується зберегти на зовнішній накопичувач, очистивши систему.

Enigma

Вірус-шифрувальник Enigma почав заражати комп'ютери російських користувачів наприкінці квітня 2016 року. Використовується модель шифрування AES-RSA, яка сьогодні зустрічається у більшості вірусів-вимагачів. На комп'ютер вірус проникає за допомогою скрипта, який запускає користувач, відкривши файли з підозрілого електронного листа. Досі немає універсального засобу для боротьби із шифрувальником Enigma. Користувачі, які мають ліцензію на антивірус, можуть попросити про допомогу на офіційному сайті розробника. Також було знайдено невелику «лазівку» – Windows UAC. Якщо користувач натисне «Ні» у віконці, що з'являється в процесі зараження вірусом, зможе згодом відновити інформацію за допомогою тіньових копій.

Granit

Новий вірус-шифрувальник Granit з'явився в Мережі восени 2016 року. Зараження відбувається за таким сценарієм: користувач запускає інсталятор, який заражає і шифрує всі дані на ПК, а також підключених накопичувачах. Боротися із вірусом складно. Для видалення можна скористатися спеціальними утилітами Kaspersky, але розшифрувати код ще не вдалося. Можливо допоможе відновлення попередніх версій даних. Крім цього, може розшифрувати фахівець, який має великий досвід, але послуга коштує дорого.

Tyson

Був помічений нещодавно. Є розширенням вже відомого шифрувальника no_more_ransom, про який ви можете дізнатися на нашому сайті. Потрапляє на персональні комп'ютери із електронної пошти. Атаку зазнало багато корпоративних ПК. Вірус створює текстовий документ із інструкцією для розблокування, пропонуючи заплатити викуп. Шифрувальник Tyson з'явився нещодавно, тому ключа для розблокування ще немає. Єдиний спосіб відновити інформацію – повернути попередні версії, якщо вони не зазнали видалення вірусом. Можна, звичайно, ризикнути, перевівши гроші на вказаний зловмисниками рахунок, але немає гарантій, що ви отримаєте пароль.

Spora

На початку 2017 року низка користувачів стала жертвою нового шифрувальника Spora. За принципом роботи він не сильно відрізняється від своїх побратимів, але може похвалитися професійнішим виконанням: краще складено інструкцію з отримання пароля, веб-сайт виглядає красивішим. Створено вірус-шифрувальник Spora на мові С, використовує поєднання RSA та AES для шифрування даних жертви. Атаку зазнали, як правило, комп'ютери, на яких активно використовується бухгалтерська програма 1С. Вірус, ховаючись під виглядом простого рахунку у форматі.pdf, змушує працівників компаній запускати його. Лікування поки що не знайдено.

1C.Drop.1

Цей вірус-шифрувальник для 1С з'явився влітку 2016 року, порушивши роботу багатьох бухгалтерій. Розроблено спеціально для комп'ютерів, на яких використовується програмне забезпечення 1С. Потрапляючи за допомогою файлу в електронному листі до ПК, пропонує власнику оновити програму. Яку кнопку користувач не натиснув, вірус почне шифрування файлів. Над інструментами для розшифровки працюють фахівці «Dr.Web», але поки що рішення не знайдено. Виною тому є складний код, який може бути в декількох модифікаціях. Захистом від 1C.Drop.1 стає лише пильність користувачів та регулярне архівування важливих документів.

da_vinci_code

Новий шифрувальник з незвичайною назвою. З'явився вірус навесні 2016 року. Від попередників відрізняється покращеним кодом та стійким режимом шифрування. da_vinci_code заражає комп'ютер завдяки виконавчому додатку (додається зазвичай до електронного листа), який користувач самостійно запускає. Шифрувальник "да Вінчі" (da vinci code) копіює тіло в системний каталог і реєстр, забезпечуючи автоматичний запуск при включенні Windows. Комп'ютеру кожної жертви надається унікальний ID (допомагає отримати пароль). Розшифрувати дані практично неможливо. Можна сплатити гроші зловмисникам, але ніхто не гарантує отримання пароля.

[email protected] / [email protected]

Дві адреси електронної пошти, якими часто супроводжувалися віруси-шифрувальники у 2016 році. Саме вони служать для зв'язку жертви зі зловмисником. Додавалися адреси до різних видів вірусів: da_vinci_code, no_more_ransom і так далі. Вкрай не рекомендується зв'язуватися, а також переказувати гроші шахраям. Користувачі здебільшого залишаються без паролів. Таким чином, показуючи, що шифрувальники зловмисників працюють, приносячи дохід.

Breaking Bad

З'явився ще на початку 2015 року, але активно поширився лише за рік. Принцип зараження ідентичний іншим шифрувальникам: інсталяція файлу з електронного листа, шифрування даних. Звичайні антивіруси, зазвичай, не помічають вірус Breaking Bad. Деякий код не може обминути Windows UAC, тому користувач має можливість відновити попередні версії документів. Дешифратора поки що не представила жодна компанія, яка розробляє антивірусне ПЗ.

XTBL

Дуже поширений шифрувальник, який завдав неприємностей багатьом користувачам. Потрапивши на ПК, вірус за лічені хвилини змінює розширення файлів на .xtbl. Створюється документ, у якому зловмисник вимагає коштів. Деякі різновиди XTBL не можуть знищити файли для відновлення системи, що дозволяє повернути важливі документи. Сам вірус можна видалити багатьма програмами, але розшифрувати документи дуже складно. Якщо є власником ліцензійного антивірусу, скористайтесь технічною підтримкою, додавши зразки заражених даних.

Kukaracha

Шифрувальник «Кукарача» був помічений у грудні 2016 року. Вірус з цікавою назвою приховує файли користувача за допомогою алгоритму RSA-2048, який відрізняється високою стійкістю. Антивірус Kaspersky позначив його як Trojan-Ransom.Win32.Scatter.lb. Kukaracha може бути видалено з комп'ютера, щоб зараження не зазнали інших документів. Проте заражені на сьогодні практично неможливо розшифрувати (дуже потужний алгоритм).

Як працює вірус-шифрувальник

Існує безліч шифрувальників, але вони працюють за подібним принципом.

1. Влучення на персональний комп'ютер. Як правило, завдяки вкладеному файлу до електронного листа. Інсталяцію у своїй ініціює сам користувач, відкривши документ.
2. Зараження файлів. Піддаються шифрації майже всі типи файлів (залежить від вірусу). Створюється текстовий документ, у якому вказані контакти зв'язку зі зловмисниками.
3. Всі. Користувач не може отримати доступу до жодного документа.

Засоби боротьби від популярних лабораторій

Широке поширення шифрувальників, які визнаються найбільш небезпечними загрозами для даних користувачів, стало поштовхом для багатьох антивірусних лабораторій. Кожна популярна компанія надає своїм користувачам програми, що допомагають боротися із шифрувальниками. Крім того, багато хто з них допомагає з розшифровкою документів захистом системи.

Kaspersky та віруси-шифрувальники

Одна з найвідоміших антивірусних лабораторій Росії та світу пропонує сьогодні найбільш дієві засоби для боротьби з вірусами-вимагачами. Першою перешкодою для вірусу-шифрувальника стане Kaspersky Endpoint Security 10 з останніми оновленнями. Антивірус просто не пропустить на комп'ютер загрозу (щоправда, нові версії може не зупинити). Для розшифровки інформації розробник представляє відразу кілька безкоштовних утиліт: , XoristDecryptor, RakhniDecryptor та Ransomware Decryptor. Вони допомагають шукати вірус і підбирають пароль.

Dr. Web та шифрувальники

Ця лабораторія рекомендує використовувати їхню антивірусну програму, головною особливістю якої стало резервування файлів. Сховище з копіями документів, захищене від несанкціонованого доступу зловмисників. Власникам ліцензійного продукту Dr. Web доступна функція звернення за допомогою на технічну підтримку. Щоправда, і досвідчені фахівці не завжди можуть протистояти цьому типу загроз.

ESET Nod 32 та шифрувальники

Осторонь не залишилася ця компанія, забезпечуючи своїм користувачам непоганий захист від проникнення вірусів на комп'ютер. Крім того, лабораторія нещодавно випустила безкоштовну утиліту з актуальними базами – Eset Crysis Decryptor. Розробники заявляють, що вона допоможе у боротьбі навіть із найновішими шифрувальниками.

Продовжує свою пригнічуючу ходу по Мережі, заражаючи комп'ютери та шифруючи важливі дані. Як захиститися від шифрувальника, захистити Windows від здирника – чи випущені латки, патчі, щоб розшифрувати та вилікувати файли?

Новий вірус-шифрувальник 2017 Wanna Cryпродовжує заражати корпоративні та приватні ПК. У щерб від вірусної атаки налічує 1 млрд доларів. За 2 тижні вірус-шифрувальник заразив щонайменше 300 тисяч комп'ютерівнезважаючи на попередження та заходи безпеки.

Вірус-шифрувальник 2017, що це- Як правило, можна «підчепити», здавалося б, на найнешкідливіших сайтах, наприклад, банківських серверах з доступом користувача. Потрапивши на жорсткий диск жертви, шифрувальник «осідає» у системній папці System32. Звідти програма відразу відключає антивірус і потрапляє до «Автозапуску». Після кожного перезавантаження програма-шифрувальник запускається до реєструпочинаючи свою чорну справу. Шифрувальник починає завантажувати собі подібні копії програм типу Ransom та Trojan. Також нерідко відбувається самореплікація шифрувальника. Процес цей може бути миттєвим, а може відбуватися тижнями – доти, доки жертва помітить недобре.

Шифрувальник часто маскується під звичайні картинки, текстові файли, Але сутність завжди одна - це виконувані файли з розширенням.exe, .drv, .xvd; іноді – бібліотеки.dll. Найчастіше файл несе цілком невинне ім'я, наприклад « документ. doc», або « картинка.jpg», де розширення прописано вручну, а істинний тип файлу прихований.

Після завершення шифрування користувач бачить замість знайомих файлів набір «рандомних» символів у назві та всередині, а розширення змінюється на досі невідоме - .NO_MORE_RANSOM, .xdataта інші.

Вірус-шифрувальник 2017 Wanna Cry - як захиститися. Хотілося б відразу відзначити, що Wanna Cry – скоріше збірний термін всіх вірусів шифрувальників і здирників, оскільки останнім часом заражав комп'ютери найчастіше. Отже, мова піде про з захистіть від шифрувальників Ransom Ware, яких безліч: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Як захистити Windows від шифрувальника. – EternalBlue через протокол SMB портів.

Захист Windows від шифрувальника 2017 – основні правила:

• оновлення Windows, своєчасний перехід на ліцензійну ОС (примітка: версія XP не оновлюється)
• оновлення антивірусних баз та файрволлів на вимогу
• гранична уважність при завантаженні будь-яких файлів (милі «котики» можуть обернутися втратою всіх даних)
• резервне копіювання важливої ​​інформації на змінний носій.

Вірус-шифрувальник 2017: як вилікувати та розшифрувати файли.

Сподіваючись на антивірусне програмне забезпечення, можна забути про дешифратора на деякий час. У лабораторіях Касперського, Dr. Web, Avast!та інших антивірусів поки не знайдено рішення щодо лікування заражених файлів. На даний момент є можливість видалити вірус за допомогою антивірусу, але алгоритмів повернути всі «на круги своя» поки що немає.

Деякі намагаються застосувати дешифратори типу утиліти RectorDecryptor, але це не допоможе: алгоритм для дешифрування нових вірусів поки не складено. Також абсолютно невідомо, як поведеться вірус, якщо він не видалений, після застосування таких програм. Часто це може обернутися стиранням всіх файлів – для науки тим, хто не хоче платити зловмисникам, авторам вірусу.

На даний момент найефективнішим способом повернути втрачені дані – це звернення до тих. підтримку постачальника антивірусної програми, яку ви використовуєте. Для цього слід надіслати листа або скористатися формою для зворотного зв'язку на сайті виробника. У вкладення обов'язково додати зашифрований файл і, якщо така є копія оригіналу. Це допоможе програмістам у складанні алгоритму. На жаль, для багатьох вірусна атака стає повною несподіванкою, і копій немає, що в рази ускладнює ситуацію.

Кардіальні методи лікування Windows від шифрувальника. На жаль, іноді доводиться вдаватися до повного форматування вінчестера, що спричиняє повну зміну ОС. Багатьом спаде на думку відновлення системи, але це не вихід – навіть є «відкат» дозволить позбутися вірусу, то файли все одно залишаться зашированими.

15.05.2017, Пн, 13:33, Мск Текст: Павло Притула

Днями в Росії сталася одна з найбільших і найшумніших, судячи з преси, кібератак: напад зловмисників зазнали мережі кількох відомств і найбільших організацій, включаючи МВС. Вірус шифрував дані на комп'ютерах співробітників та вимагав велику суму грошей за те, щоб вони могли продовжити свою роботу. Це приклад того, що ніхто не застрахований від здирників. Тим не менш, з цією загрозою можна боротися - ми покажемо кілька способів, які пропонує Microsoft.

Що ми знаємо про здирників? Начебто це злочинці, які вимагають від вас гроші чи речі під загрозою настання несприятливих наслідків. У бізнесі таке іноді трапляється, всі приблизно уявляють, як треба чинити в таких ситуаціях. Але що робити, якщо вірус-здирник оселився на ваших робочих комп'ютерах, блокує доступ до ваших даних і вимагає переказати гроші певним особам в обмін на код розблокування? Потрібно звертатися до фахівців з інформаційної безпеки. І найкраще зробити це наперед, щоб не допустити проблем.

Число кіберзлочинів в останні роки зросло на порядок. За даними дослідження SentinelOne, половина компаній у найбільших європейських країнах зазнала атак вірусів-вимагачів, причому більше 80% з них стали жертвами три і більше разів. Аналогічна картина спостерігається у всьому світі. Компанія Clearswift, що спеціалізується на інформаційній безпеці, називає своєрідний «топ» країн, найбільше постраждалих від ransomware – програм-вимагачів: США, Росія, Німеччина, Японія, Великобританія та Італія. Особливий інтерес зловмисників викликають малий і середній бізнес, тому що вони мають більше грошей і більш чутливі дані, ніж приватні особи, і немає потужних служб безпеки, як великі компанії.

Що робити і, головне, як запобігти атакі здирників? Спочатку оцінимо саму загрозу. Атака може проводитись кількома шляхами. Один із найпоширеніших – електронна пошта. Злочинці активно користуються методами соціальної інженерії, ефективність якої не знизилася з часів знаменитого хакера ХХ століття Кевіна Мітника. Вони можуть зателефонувати співробітнику компанії-жертви від імені реально існуючого контрагента і після розмови надіслати лист із вкладенням, що містить шкідливий файл. Співробітник, звичайно ж, його відкриє, бо він щойно розмовляв із відправником по телефону. Або бухгалтер може отримати листа нібито від служби судових приставів або від банку, в якому обслуговується його компанія. Не застрахований ніхто, і навіть МВС страждає не вперше: кілька місяців тому хакери надіслали до бухгалтерії Казанського лінійного управління МВС фальшивий рахунок від «Ростелекому» із вірусом-шифрувальником, який заблокував роботу бухгалтерської системи.

Джерелом зараження може стати і фішинговий сайт, на який користувач зайшов за обманним посиланням, та «випадково забута» кимось із відвідувачів офісу флешка. Все частіше і частіше зараження відбувається через незахищені мобільні пристрої співробітників, з яких вони отримують доступ до корпоративних ресурсів. А антивірус може і не спрацювати: відомі сотні шкідливих програм, що обходять антивіруси, не кажучи вже про «атаки нульового дня», які експлуатують щойно відкриті «дірки» у програмному забезпеченні.

Що є «кібервимагачем»?

Програма, відома як "вимагач", "шифрувальник", ransomware блокує доступ користувача до операційної системи і зазвичай шифрує всі дані на жорсткому диску. На екрані виводиться повідомлення про те, що комп'ютер заблокований і власник зобов'язаний передати зловмиснику велику суму грошей, якщо хоче повернути собі контроль над даними. Найчастіше на екрані включається зворотний відлік за 2-3 доби, щоб користувач поспішив, інакше вміст диска буде знищено. Залежно від апетитів злочинців та розмірів компанії суми викупу в Росії становлять від кількох десятків до кількох сотень тисяч рублів.

Типи здирників

Джерело: Microsoft, 2017

Ці шкідники відомі вже багато років, але останні два-три роки вони переживають справжній розквіт. Чому? По-перше, тому, що люди платять зловмисникам. За даними «Лабораторії Касперського», 15% російських компаній, атакованих таким чином, воліють заплатити викуп, а 2/3 компаній у світі, які зазнали такої атаки, втратили свої корпоративні дані повністю або частково.

Друге – інструментарій кіберзлочинців став більш досконалим та доступним. І третє – самостійні спроби жертви «підібрати пароль» нічим добрим не закінчуються, а поліція рідко може знайти злочинців, особливо за зворотного відліку.

До речі. Не всі хакери витрачають свій час на те, щоб повідомити пароль жертві, яка перерахувала їм необхідну суму.

У чому проблема бізнесу

Головна проблема в галузі інформаційної безпеки у малого та середнього бізнесу в Росії полягає в тому, що грошей на потужні спеціалізовані засоби ІБ у них немає, а ІТ-систем та співробітників, з якими можуть відбуватися різного роду інциденти, більш ніж достатньо. Для боротьби з ransomwareнедостатньо мати лише налаштовані фаєрвол, антивірус і безпекову політику. Потрібно використовувати всі доступні кошти, в першу чергу, що надаються постачальником операційної системи, тому що це недорого (або входить у вартість ОС) і на 100% сумісне з його власним ПЗ.

Переважна більшість клієнтських комп'ютерів і більшість серверів працюють під керуванням ОС Microsoft Windows. Всім відомі вбудовані засоби безпеки, такі, як "Захисник Windows" і "Брандмауер Windows", які разом зі свіжими оновленнями ОС та обмеженням прав користувача забезпечують цілком достатній для пересічного співробітника рівень безпеки за відсутності спеціалізованих засобів.

Але особливість взаємин бізнесу та кіберзлочинців полягає в тому, що перші часто не знають про те, що вони атаковані іншими. Вони вважають себе захищеними, а насправді зловреди вже проникли через периметр мережі і тихо роблять свою роботу – адже не всі з них поводяться так нахабно, як трояни-вимагачі.

Microsoft змінила підхід до забезпечення безпеки: тепер вона розширила лінійку продуктів ІБ, а також наголошує не тільки на тому, щоб максимально убезпечити компанії від сучасних атак, але і на тому, щоб дати можливість розслідувати їх, якщо зараження все ж таки відбулося.

Захист пошти

Поштову систему, як головний канал проникнення загроз у корпоративну мережу, необхідно захистити додатково. Для цього Microsoft розробила систему Exchange ATP (Advanced Treat Protection), яка аналізує поштові вкладення або інтернет-посилання та своєчасно реагує на виявлені атаки. Це окремий продукт, він інтегрується в Microsoft Exchange і не вимагає розгортання на кожній машині клієнта.

Система Exchange ATP здатна виявляти навіть «атаки нульового дня», тому що запускає всі вкладення у спеціальній «пісочниці», не випускаючи їх в операційну систему, та аналізує їхню поведінку. Якщо воно не містить ознак атаки, то вкладення вважається безпечним і користувач може відкрити його. А потенційно шкідливий файл відправляється до карантину і про нього повідомляється адміністратор.

Щодо посилань у листах, то вони теж перевіряються. Exchange ATP замінює всі посилання на проміжні. Користувач кликає по лінку в листі, потрапляє на проміжне посилання, і система система перевіряє адресу на безпеку. Перевірка відбувається так швидко, що користувач не помічає затримки. Якщо посилання веде на заражений сайт або файл, перехід по ньому забороняється.

Як працює Exchange ATP

Джерело: Microsoft, 2017

Чому перевірка відбувається в момент кліку, а не при отриманні листа - адже тоді на дослідження є більше часу і, отже, знадобляться менші обчислювальні потужності? Це зроблено спеціально для захисту від трюку зловмисників із заміною вмісту за посиланням. Типовий приклад: лист у поштову скриньку приходить вночі, система проводить перевірку і нічого не виявляє, а до ранку на сайті за цим посиланням вже розміщено, наприклад, файл з трояном, який користувач скачує.

І третина сервісу Exchange ATP – вбудована система звітності. Вона дозволяє проводити розслідування інцидентів, що відбулися, і дає дані для відповідей на запитання: коли сталося зараження, як і де воно сталося. Це дозволяє знайти джерело, визначити шкоду та зрозуміти, що це було: випадкове влучення або цілеспрямована, таргетована атака проти цієї компанії.

Корисна ця система для профілактики. Наприклад, адміністратор може підняти статистику, скільки було переходів за посиланнями, поміченими як небезпечні, і хто з користувачів це робив. Навіть якщо не відбулося зараження, все одно з цими співробітниками слід провести роз'яснювальну роботу.

Щоправда, є категорії співробітників, яких посадові обов'язки змушують відвідувати різні сайти – такі, наприклад, маркетологи, які досліджують ринок. Для них технології Microsoft дозволяють налаштувати політику так, що будь-які файли, що завантажуються, перед збереженням на комп'ютері будуть перевірятися в «пісочниці». Причому правила задаються буквально кілька кліків.

Захист облікових даних

Однією з цілей атак зловмисників є облікові дані користувачів. Технології крадіжок логінів та паролів користувачів досить багато, і їм має протистояти міцний захист. Надій на самих співробітників мало: вони вигадують прості паролі, використовують один пароль для доступу на всі ресурси і записують їх на стікері, який приклеюють на монітор. З цим можна боротися адміністративними заходами та задаючи програмно вимоги до паролів, але гарантованого ефекту все одно не буде.

Якщо в компанії піклуються про безпеку, в ній розмежовуються права доступу, і, наприклад, інженер або менеджер з продажу не може зайти на бухгалтерський сервер. Але в запасі хакери мають ще один трюк: вони можуть надіслати із захопленого акаунта рядового співробітника лист цільовому фахівцю, який володіє потрібною інформацією (фінансовими даними або комерційною таємницею). Отримавши листа від «колеги», адресат стовідсотково його відкриє і запустить вкладення. І програма-шифрувальник отримає доступ до цінних для компанії даних, за повернення яких компанія може заплатити великі гроші.

Щоб захоплений обліковий запис не давав зловмисникам можливості проникнути в корпоративну систему, Microsoft пропонує захистити її засобами багатофакторної автентифікації Azure Multifactor Authentication. Тобто для входу потрібно ввести не тільки пару логін/пароль, а й ПІН-код, надісланий у СМС, Push-повідомленні, згенерований мобільним додатком, або відповісти на телефонний дзвінок. Особливо корисна багатофакторна автентифікація під час роботи з віддаленими співробітниками, які можуть входити до корпоративної системи з різних точок світу.

Azure Multifactor Authentication