вторник, 1 марта 2016 г.

Введение

Предупреждён — наполовину защищён

Knowledge stops Ransomware before it starts
Знание остановит вымогателя до его запуска


   К сожалению, большинство пользователей не знает основ безопасности при пользовании Интернетом и его возможностями, не понимает вреда, который исходит от вредоносных программ, шифрующих файлы, пока не станет жертвой вымогательства и шифрования. Поэтому у создателей программ-вымогателей есть фора для вредоносной деятельности и реализации проектов по блокировке, шифрованию и повреждению ценных пользовательских данных. Действуя на опережение, они вымогают у пострадавших немалые денежные средства, толкая их на добывание суммы для выкупа незаконным или опасным для финансов путём.

  Экономя на безопасности и защите своих персональных и конфиденциальных данных, пользователи используют для своей защиты бесплатные антивирусы (Freeware) или программные подачки (Freemium), переходя от одной к другой, не приобретя полезных знаний и не закрепив полученных результатов хотя бы по одному антивирусному решению. См. также "Бесплатные программы и майнинг криптовалюты".

  Как показывают многолетние тесты с защитным ПО, Free-антивирусы не могут защитить от большинства угроз, основанных на уязвимостях разного типа, регулярно обнаруживаемых в ОС и приложениях. Не защитят они и от крипто-вымогателей. Даже комплексные продукты класса Internet Security с фаерволом и расширенным функционалом по обеспечению безопасности пропускают отдельные виды вымогательского ПО и хакерские инструменты удаленного управления. Чего уж говорить об Free-антивирусах, главная задача которых — реклама платных решений. 


Не экономьте на антивирусной защите своих ПК!
Покупайте антивирусы класса Internet Security или выше!


Что такое шифровальщик-вымогатель? 

Что такое программа-вымогатель? 


   Шифровальщик-вымогатель (крипто-вымогатель, Сrypto-Ransomware) является одним из видов вредоносного программного обеспечения, которое, захватив управление компьютером и зашифровав файлы пользователя, вымогает деньги у пострадавшего. Требование выкупа отображается часто через обычный текстовый файл, html- или hta-файл (веб-страницы), открываемый в браузере, реже другими способами. Этот тип вредоносных программ использует удивление, смущение, страх и запугивание своих жертв, чтобы заставить их выплатить требуемый выкуп. 




История вымогательских программ

   История вымогательского ПО насчитывает почти 10 лет, если начинать считать с вредоносов-вымогателей MayArchive, Krotten, Gpcode, Cryzip, Archiveus и прочие... 
   И 20 лет, если начинать считать с исследовательской статьи "Cryptovirology: Extortion-Based Security Threats and Countermeasures" (1996), где описано использование криптологии для вредоносных целей. 
   И даже 27 лет, если считать от первого вируса-вымогателя, созданного в 1989 году биологом Джозефом Л. Поппом, который распространил 20000 дискет с вирусом AIDS Trojan (он же PC Cyborg) с листовками, на которых было заявлено: "вы должны возместить компенсацию и возможные убытки для PC Cyborg Corporation, или ваш микрокомпьютер прекратит функционировать как обычно." 

   Одна из первых современных Ransomware-атак с требованием денежного выкупа была реализована в марте 2006 года в России. Тогда Cryzip Ransomware (он же ZippoCrypt) перемещал файлы в защищённый паролем ZIP-архив и удалял оригиналы. В каждой папке с зашифрованными файлами оставлялась записка о выкупе AUTO_ZIP_REPORT.TXT с E-Gold-аккаунтом для выкупа. Чтобы восстановить свои файлы, жертвам приходилось перечислять требуемые 300 долларов на счёт в E-Gold. 
  Система E-Gold была предшественницей криптовалюты Bitcoin и часто использовалась мошенниками как средство анонимного платежа и обмана интернет-пользователей (например, в финансовых пирамидах). 
  Экспертам компании Sophos удалось, проанализировав код вредоноса, определить пароль дешифрования: "C:Program FilesMicrosoft Visual StudioVC98". Таким странным паролем злоумышленник видимо надеялся ввести в заблуждение специалистов, анализировавших код программы.

  За последние 1,5 года крипто-вымогатели кардинально эволюционировали, т.к. начиная с середины 2014 года их производство и распространение существенно прогрессировали. См. ниже историческую схему, отражающую частоту появления криптовымогателей. Она отражает лишь часть подобных угроз для 2016 года. В этом блоге я постараюсь восполнить недостающую информацию по крипто-вымогателям. Читайте, сверяйтесь, просвещайте других. 


Начальная Хронология (2013-2016 гг.)



Упрощённая хронологическая таблица развития Ransomware (2013-2016 гг.)


ВАЖНО ЗНАТЬ!!!

   Основные способы распространения крипто-вымогателей (шифровальщиков):

- вредоносные вложения в спамовые и фишинговые сообщения электронной почты (email);
- загрузки файлов с помощью одноранговой P2P-сети, торрентов, расшаренных ресурсов;
- троянские загрузчики и установщики (Trojan-Downloader, Backdoor, Trojan-Dropper);
- сайты, взломанные с целью заражения, размещения эксплойтов и иной компрометации;
- наборы эксплойтов (Angler, Blackhole, RIG, Nuclear, Magnitude, Stegano, Flash 0-day и пр.);
- агрессивная, вредоносная реклама, баннеры, ротация, кликбейты, black SEO, инжекты;
- ссылки на изображениях, скрытые и укороченные ссылки, редирект, кликджекинг и пр.;
- загрузки файлов через специальные инструменты удалённого управления, RAT и ботнеты;
- поддельные и перепакованные дистрибутивы, поддельные обновления Windows и другого ПО;
- заражённые архивы, инсталляторы свободного, условно-бесплатного и коммерческого ПО; 
- вредоносные расширения для браузеров и ссылки на фальшивые расширения для браузеров;
- использование атак типа drive-by download, drive-by login, drive-by client и близкотипных; 
- использование файлов с легитимной цифровой подписью, выполняющих определённые функции;
- полученные ссылки на просмотр, загрузку видео, изображений, архивов, приглашения к обмену;
- сайты Даркнета, форумы кибер-андеграунда, распространители RaaS, MaaS и прочие.

   Признаки работы криптовымогателя, атаковавшего ваш ПК:
- не открываются графические и иные файлы;
- исчезли характерные для файлов значки;
- появилось странное расширение на файлах;
- текст с требованием выкупа в текстовых файлах;
- обои изменены на изображение от вымогателей;
- появился экран блокировки с требованием выкупа;
- файлы исчезли или заперты в архив под паролем.  

   Принципиальные отличия криптовымогателей от других вредоносных программ:
- использование сложных алгоритмов для шифрования (AES, RSA и др.);
- проверка работы в системе антивирусов и утилит выявления вредоносов;
- добавление файлам специальных расширений или удаление имеющихся;
- удаление всех теневых копий файлов и точек восстановления системы;
- скрытие командного сервера в доменной зоне .onion анонимной сети Tor;
- вымогание выкупа в биткоинах, долларах, Gift-картах и местной валюте;
- размещение инструкции добывания биткоинов и оплаты выкупа в них;
- предложение расшифровки одного или более зашифрованных файлов;
- эпатажное и наглое поведение (записки о выкупе, угрозы, требования);
- запуск команды самозачистки по окончании шифрования файлов.

   Нужны ли файлы шифровальщика после шифрования?
   1) После произошедшего шифрования файлов нет необходимости оставлять Crypto-Ransomware в системе и, если он сам себя не зачистил, то необходимо проверить систему антивирусным средством и удалить все найденные вирусы, чтобы шифрование не повторилось с новыми файлами.
   2) Иногда шифровальщики оставляют вспомогательные файлы (ID- и ключ-файлы), которые нужны для дешифровки после уплаты выкупа. В таких случаях конкретно указывается это в записках. Такие файлы лучше сохранить, т.к. в будущем может появиться бесплатный дешифровщик. 
   3) Если вы нашли исполняемые файлы шифровальщика, то представьте их по ссылке. Браузер Google Chrome поможет с переводом. Или упакуйте файл в архив с паролем "virus" и загрузите на сайт Sendspace. Ссылку отправьте мне через комментарии или форму для связи (см. внизу). 





  Информация, публикуемая в этом блоге, постоянно дополняется новыми фактами, которые удаётся найти. Имеется раздел Новостей. Хотите быть в курсе — сверяйтесь регулярно. 
  К вашим услугам также мой Глоссарий, где объясняются важные и непонятные слова, которые могут вам встретиться на этом сайте. Для многих объяснённых в Глоссарии слов этот сайт является первоисточником. 
 Не нашли информацию о каком-то ином шифровальщике-вымогателе? Сообщите автору блога. Возможно, что она уже есть в черновиках, но нуждается в дополнении фактами.  
Email автора закодирован с целью защиты от спама: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net
© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При любом использовании и цитировании ссылка на блог и автора обязательна.  
© Amigo-A (Andrew Ivanov): All blog articles. At any use and quoting reference to the blog and the author is obligatory.

Комментариев нет:

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton