Если вы не видите здесь изображений, то используйте VPN.

среда, 2 марта 2016 г.

Что такое Ransomware?

FAQ по Ransomware

ВСЁ, ЧТО НУЖНО ЗНАТЬ!!!


   Быстрое развитие вымогателей стало одной из основных проблем безопасности. Успешность атаки шифровальщиков-вымогателей обеспечивается рядом совокупных факторов. Главным из которых является интернет-безграмотность как обычных домашних пользователей, так и конечных пользователей корпоративной сети бизнеса. 

Первые шаги после атаки шифровальщика: Руководство для пострадавшего
Что нужно знать о вымогательстве и крипто-вымогательстве в частности (читайте ниже)
Как вымогатели могут проникнуть на ПК и инфицировать вашу систему (читайте ниже)
Как предотвратить атаку вымогателей в корпоративной или частной сети
Как защититься от шифровальщиков-вымогателей: 10 простых способов

Для исследователей -> Ransomware identification for the judicious analyst

Вот некоторые из наиболее часто задаваемых вопросов и ответы на них.

➤  Что такое Ransomware?

  Ransomware — это программа-вымогатель, являющаяся одним из видов вредоносного ПО, которое блокирует или ограничивает доступ пользователей к их системе. Это может быть сделано путём блокировки экрана или файлов пользователя, пока выкуп не будет уплачен. 
  Современные семейства вымогателей, более известные как крипто-вымогатели, могут шифровать многие типы файлов на зараженных системах и вынуждать пострадавших заплатить выкуп в обмен на ключ дешифрования, необходимый для восстановления доступа к пострадавшим файлам. 

➤  Я посещаю только доверенные веб-сайты. Есть риск?

  Да. Вымогатели распространяются разными способами, а не только через плохие сайты. Рассылка email-спама с вредоносными вложениями является наиболее эффективным методом распространения вымогателей, что подтверждает 76% всех отчетов, собранных с января по май 2016 года. 
Это значит, что киберпреступники освоили технику возбуждения интереса пользователей путем использования эффективных методов социальной инженерии, заставляющих кликнуть на вредоносную ссылку, скачать файл или открыть почтовое вложение. 
  Другие методы распространения: использование зараженного ПО, взлом сайтов, эксплойты, вредоносные скрипты и макросы, вредоносная реклама, целенаправленные атаки, RDP-атаки, захват серверов и пр.
Читайте также статью "Бесплатные программы и майнинг криптовалюты".

➤  В записке о выкупе сказано, что мои файлы зашифрованы. Что это значит?

  Разработанное ранее для обеспечения безопасности связи шифрование используется для того, чтобы только отправитель и получатель могли прочитать зашифрованные данные. К сожалению, это также стало мощным инструментом вымогательства, используемого в крипто-вымогателях и основанном на том, что вы не сможете использовать зашифрованные файлы без ключа дешифрования. Как правило, в тексте о выкупе утверждается, что-то типа "Все ваши файлы были защищены сильным шифрованием RSA...". RSA — это алгоритм асимметричного шифрования, использующий два ключа, один для шифрования или блокировки данных, а другой для их дешифровки. Один из ключей называется открытым (публичным) и доступен для любой стороны, а другой — закрытым (секретным, приватным), потому и скрывается. Вымогатели требуют заплатить им определенную сумму, чтобы получить доступ к закрытым ключам для дешифровки и разблокировать данные, которые были зашифрованы или как-то иначе заблокированы. Зашифрованные файлы обычно переименовываются, чтобы показать жертвам какие именно файлы оказались заложниками и  доказать, что жертва сама не сможет их вернуть.

➤  Можно ли просто переименовать файлы и вернуть к ним доступ после шифрования?

  Нет. Это не поможет. Вымогатели используют криптографию для обеспечения непригодности файлов жертвы для использования, пока не будет выплачен выкуп, чтобы получить закрытый ключ для дешифровки и разблокировки переименованных файлов.

➤  Что такое Bitcoin? Есть ли другие способы оплаты?

  Bitcoin является электронной валютой, которая использует P2P-сети для отслеживания и проверки транзакций. Биткоины могут быть использованы для оплаты различных интернет-услуг, таких как веб-хостинг, разработка мобильных приложений, хранения файлов в облаке. Они также могут быть использованы для оплаты продуктов, таких как игры, музыка, подарочные карты и книги. Использование биткоинов не ограничивается онлайн-транзакциями, некоторые компании также принимают Bitcoin в качестве оплаты за свои товары. 
  Анонимность и тот факт, что Bitcoin-система не имеет центрального органа контроля этой формы валюты, позволяют злоумышленникам наиболее активно использовать биткоины для оплаты своих операций. Последние варианты вымогателей иногда используют альтернативные варианты оплаты, такие как ITunes и Amazon Gift Cards (подарочные карты), которые легко монетизировать. В июне 2016 года были замечены ещё способы обмена Bitcoin через Paypal, в июле через Perfect Money, хотя такие сделки обычно можно проследить. 

➤  Где взять биткоины?

1) Купить, но это дорого, сейчас 1 биткоин стоит более 60* тыс. рублей.
2) Заработать в играх, партнёрских и про-инвестиционных программах.
3) Накопить бесплатно. Да, это самый простой способ, доступный всем.
_
*Сумма в 60 тыс. руб указана на момент написания этого FAQ (весной 2016 года).  

➤  Правда ли я должен заплатить за доступ к моим файлам и системе? 
➤  Расшифруют ли вымогатели мои файлы после оплаты выкупа?

  В прошлом бизнес-модель вымогателей держалась на способности заставить пользователей думать, что оплата выкупа является единственным способом получить доступ к своим файлам, поэтому после получения оплаты файлы требовалось дешифровать. Ведь, если жертвы не будут получать доступа к своим файлам даже после уплаты выкупа, то они перестанут платить. 
  Тем не менее, оплата выкупа никогда не была единственным вариантом, и мы очень рекомендуем жертвам НЕ платить. Правоохранители также не рекомендуют выполнять требования кибер-вымогателей. ФБР выявила случаи, когда жертвы, заплатившие выкуп, не получали нужного ключа дешифрования. И даже если ключ был получен, было не так легко получить доступ к системам, особенно, если под вредоносным воздействием оказывались крупные разветвлённые сети, как было в случае с Hollywood Presbyterian Medical Center (пресвитерианским медицинским центром Голливуда). В другом случае, это повлияло на работу больницы Methodist Hospital, когда злоумышленники после первой уплаты выкупа самым наглым образом потребовали дополнительной оплаты за дешифровку второй части пострадавших данных.

➤  Почему не надо платить выкуп?

1) Нельзя доверять вымогателям!
2) Не факт, что файлы зашифрованы.
3) Не факт, что у них есть декриптор.
4) Не факт, что декриптор дешифрует файлы.
5) Не факт, что декриптор дешифрует все файлы. 
6) Не факт, что вымогатели не потребуют больше денег.
7) Вымогательство — преступление! Нельзя верить преступникам!

➤  В записке о выкупе сказано, что мои файлы выложат в публичный доступ. Правда ли, что они это могут сделать?

 Эта одна из используемых кибер-вымогателями тактик запугивания, чтобы подтолкнуть жертву к уплате выкупа. В других случаях злоумышленники упрекают своих жертв в совершении преступлений, которых они не совершали, чтобы заставить нажать на ссылку для загрузки приложений, или заплатить требуемый выкуп. Зачастую это могут быть пустые угрозы, но злоумышленники не перед чем не остановятся (см. в моём "Глоссарии" описание слова доксинг). 

  Почему полиция не ловит вымогателей? Неужели это так трудно? 

  Правоохранительные органы могли бы найти и арестовать любого вымогателя, если бы захотели или, если бы им приказали. Но дело в том, что обычно правоохранительные органы защищают тех, кто пришёл к власти и тех, кто содержит эту власть, кто манипулирует этой властью, и это тот, кому выгоден действующий закон, который суров только к обычному народу. 
  Поэтому не нужно обольщаться насчёт того, что полиция где-то и когда-то поймает вымогателей. Они не поймают, пока вымогатели не начнут вымогать деньги у тех, у кого есть власть, кто может приказывать полиции, следствию, федеральным службам. Только тогда вымогателей будут хватать пачками и вытряхивать из них ключи дешифрования и дешифраторы. Но даже в самом успешном случае нереально подойти к каждому пострадавшему и расшифровать ему файлы. Никто этого не будет делать, если сами пострадавшие не позаботятся об этом сами. 
В истории также есть случаи когда сами вымогатели или их бывшие партнёры, взломавшие базу конкурентов, выкладывали ключи дешифрования. И тогда не было никакой заслуги правоохранительных органов и ведомств. 
  Ищите информацию о шифровальщиках-вымогателях на этом сайте, она тут есть. Если не находите, то сообщите мне подробности. 


➤  Вымогатели инфицируют только персональные компьютеры? 
Для смартфона они ведь безопасны?

  Нет. Смартфоны тоже являются целью вымогателей. Нередки случаи распространения мобильных вымогателей для Android устройств. Например, распространение вредоноса Flocker (сокращение от "Frantic Locker") набирает обороты с середине апреля 2016 года и уже известно более 1200 его вариантов. Этот мобильный вымогатель проникает на устройство под видом плагина-адвизора US Cyber Police или любого другого правоохранительного органа, обвинив жертву в преступлениях, которые они не совершали. Затем вредоносы требует в качестве оплаты штрафа $200 на сумму подарочных карт iTunes. Кроме того, этот тип мобильных вымогателей может инфицировать смарт-телевизоры на базе Android. 

➤  Может ли антивирусное ПО удалить вымогателей из моей зараженной системы?

  Удаление вымогателей и дешифрование файлов это разные операции, и если крипто-вымогатель будет удалён, то файлы, им зашифрованные, останутся непригодными для использования. Существует немало инструментов, способных удалить вымогателей и дешифровать файлы. 
  Антивирусные компании разрабатывают и предлагают бесплатные утилиты для обнаружения и удаления вымогателей и блокировщиков. Другие их утилиты могут дешифровать файлы, заблокированные некоторыми крипто-вымогателями, без уплаты выкупа или покупки ключа дешифрования. К сожалению, семейства вымогателей постоянно обновляются более сильными алгоритмами шифрования, и единожды созданные утилиты вряд ли будут успешно работать против обновлённого варианта вымогателей. Жертвы более сложных вымогателей всё ещё нуждаются в закрытых ключах, чтобы восстановить доступ к зашифрованным системам и файлам. 

➤  Мой антивирус не смог защитить компьютер. Как такое возможно?

  Да, такое наверняка возможно, если вы использовали Free-антивирус или устаревшую неактуальную защиту. Порой коммерческие продукты неактуальных и необновляемых версий пропускают шифровальщик. Именно поэтому профилактика этой угрозы безопасности является наилучшим способом остановить вымогателей. 
  Интернет — это не место для беспечных прогулок. В нём достаточно много опасных мест, где вас могут обмануть, заманить, атаковать, вынудить загрузить и установить "полезные" программы и "проверенные" файлы. Не верьте никому! А если доверяете и всё же скачиваете — проверяйте современными актуальными антивирусными средствами. Актуальность защиты проверить легко: смотрите "О программе" и если там указан не текущий год разработки — ЗАШИТА НЕАКТУАЛЬНА! 
  Не экономьте на защите, содержите её в актуальном состоянии и она вас не подведёт. 

➤ Где взять актуальную и надёжную защиту? Чтобы попробовать, прежде, чем купить? 

  Обратитесь за помощью в Клуб Симантек. Вам помогут и подскажут, как установить Norton Internet Security, Norton Security или Norton 360, получить ключ и быть под защитой одного из лучших антивирусных решений с мировым именем.

➤  Как я могу наверняка защитить мой ПК и сеть организации от крипто-вымогателей?

  Не существует универсального "противоядия", когда речь идет о предотвращении проникновения вымогателей на ПК домашних пользователей, организаций и предприятий. Комплексный подход, который препятствует их проникновению в сети и системы, является лучшим способом, чтобы свести к минимуму риск для конечных точек. Рекомендуется использование решений для защиты email и веб-шлюзов, но методы инфицирования, используемые киберпреступниками, постоянно меняются и находятся новые лазейки в безопасности. 
  Избегайте непроверенных email-сообщений и не нажимайте на ссылки, встроенные в них. Если письмо пришло от неизвестного адресата,  вообще воздержитесь от его открытия. Если в письме утверждается, что оно пришло от кого-то, кого вы знаете, всегда лучше лишний раз удостовериться в том, что ваш знакомый его действительно отправлял. 
  Делайте регулярное резервное копирование важных файлов с помощью правила "3-2-1": создайте 3 резервные копии на 2-х различных носителях и 1-м хранимом в отдельном месте. Угроза потери пострадавшей стороной базы данных, важных файлов и документов является козырной картой в руках киберпреступников, жаждущих заставить жертву заплатить выкуп. Наличие резервной копии важных файлов сведет повреждения к минимуму. 
  Не забывайте регулярно обновлять программное обеспечение, систему и приложения, чтобы уменьшить риски, связанные с уязвимостями, которые могут быть использованы для установки вредоносных программ, таких как крипто-вымогатели и блокировщики.


  Мой случай исследовали специалисты и сказали, что файлы невозможно расшифровать? 

  Если кто-то говорит вам, что ваши файлы невозможно расшифровать, то он либо говорит за себя, что это он не может расшифровать, либо файлы безнадежно повреждены. Уточните у него эту информацию. Шанс есть всегда. Просто кто-то еще не может этого сделать. Это не значит, что это абсолютно невозможно, просто не могут сделать в этот момент. Это факт. Сохраните зашифрованные файлы и файлы записок с требованиями выкупа. Они могут помочь в будущем, когда появится возможность дешифровки файлов. Известно немало таких случаев. Один из них мой. 
  Нам известно немало случаев, когда сами вымогатели или их конкуренты, или их бывшие компаньоны, или другие вымогатели, взломавшие базу конкурентов, выкладывали ключи дешифрования. 


➤  Ну как же тогда защититься наверняка? 

См. мою статью "10 способов защиты от шифровальщиков-вымогателей". 

➤  Как протестироваться на предмет защиты? 

Пройдите простые тесты "Готов ли ваш ПК выдержать атаку крипто-вымогателей?" и  
➤  Что мне делать??? Мои файлы уже зашифрованы!!!

См. мою статью "Первые шаги после атаки шифровальщика: Руководство для пострадавшего"


Будьте разумны и в безопасности!

PS. Если какой-то из этих пунктов вызывает у вас трудности, пожалуйста, не стесняйтесь попросить о помощи. Наша помощь оказывается без каких-то условий и является бесплатной для читателей и подписчиков. Используйте форму обратной связи (см. ниже этой статьи). 


© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *