Предупреждён — наполовину защищён
Translation into English
Knowledge stops Ransomware before it starts
Знание остановит вымогателя до его запуска
К сожалению, большинство пользователей не знает основ безопасности при пользовании Интернетом и его возможностями, не понимает вреда, который исходит от вредоносных программ, шифрующих файлы, пока не станет жертвой вымогательства и шифрования. Поэтому у создателей программ-вымогателей есть фора для вредоносной деятельности и реализации проектов по блокировке, шифрованию и повреждению ценных пользовательских данных. Действуя на опережение, они вымогают у пострадавших немалые денежные средства, толкая их на добывание суммы для выкупа незаконным или опасным для финансов путём.
Экономя на безопасности и защите своих персональных и конфиденциальных данных, пользователи используют для своей защиты бесплатные антивирусы (Freeware) или программные подачки (Freemium), переходя от одной к другой, не приобретя полезных знаний и не закрепив полученных результатов хотя бы по одному антивирусному решению. См. также "Бесплатные программы и майнинг криптовалюты".
Как показывают многолетние тесты с защитным ПО, Free-антивирусы не могут защитить от большинства угроз, основанных на уязвимостях разного типа, регулярно обнаруживаемых в ОС и приложениях. Не защитят они и от крипто-вымогателей. Даже комплексные продукты класса Internet Security с фаерволом и расширенным функционалом по обеспечению безопасности пропускают отдельные виды вымогательского ПО и хакерские инструменты удаленного управления. Чего уж говорить об Free-антивирусах, главная задача которых — реклама платных решений.
Не экономьте на антивирусной защите своих ПК!
Покупайте антивирусы класса Internet Security или выше!
Что такое шифровальщик-вымогатель?
Что такое программа-шантажист?
Шифровальщик-вымогатель (крипто-вымогатель, Сrypto-Ransomware) является одним из видов вредоносного программного обеспечения, которое, захватив управление компьютером и зашифровав файлы пользователя, вымогает деньги у пострадавшего. Требование выкупа отображается часто через обычный текстовый файл, html- или hta-файл (веб-страницы), открываемый в браузере, реже другими способами. Этот тип вредоносных программ использует удивление, смущение, страх и запугивание своих жертв, чтобы заставить их выплатить требуемый выкуп.
История вымогательских программ
История вымогательского ПО насчитывает более 10 лет, если начинать считать с вредоносов-вымогателей MayArchive, Krotten, Gpcode, Cryzip, Archiveus и прочие...
И более 20 лет, если начинать считать с исследовательской статьи "Cryptovirology: Extortion-Based Security Threats and Countermeasures" (1996), где описано использование криптологии для вредоносных целей.
И даже почти 30 лет, если считать от первого вируса-вымогателя, созданного в 1989 году биологом Джозефом Л. Поппом, который распространил 20000 дискет с вирусом AIDS Trojan (он же PC Cyborg) с листовками, на которых было заявлено: "вы должны возместить компенсацию и возможные убытки для PC Cyborg Corporation, или ваш микрокомпьютер прекратит функционировать как обычно."
Одна из первых современных Ransomware-атак с требованием денежного выкупа была реализована в марте 2006 года в России. Тогда Cryzip Ransomware (он же ZippoCrypt) перемещал файлы в защищённый паролем ZIP-архив и удалял оригиналы. В каждой папке с зашифрованными файлами оставлялась записка о выкупе AUTO_ZIP_REPORT.TXT с E-Gold-аккаунтом для выкупа. Чтобы восстановить свои файлы, жертвам приходилось перечислять требуемые 300 долларов на счёт в E-Gold.
Система E-Gold была предшественницей криптовалюты Bitcoin и часто использовалась мошенниками как средство анонимного платежа и обмана интернет-пользователей (например, в финансовых пирамидах).
Экспертам компании Sophos удалось, проанализировав код вредоноса, определить пароль дешифрования: "C:Program FilesMicrosoft Visual StudioVC98". Таким странным паролем злоумышленник видимо надеялся ввести в заблуждение специалистов, анализировавших код программы.
За последние 1,5 года крипто-вымогатели кардинально эволюционировали, т.к. начиная с середины 2014 года их производство и распространение существенно прогрессировали. См. ниже историческую схему, отражающую частоту появления криптовымогателей. Она отражает лишь часть подобных угроз для 2016 года. В этом блоге я постараюсь восполнить недостающую информацию по крипто-вымогателям. Читайте, сверяйтесь, просвещайте других.
Начальная Хронология (2013-2016 гг.)
Упрощённая хронологическая таблица развития Ransomware (2013-2016 гг.)
ВАЖНО ЗНАТЬ!!!
А где же взять полную хронологию развития Ransomware? - Спросите вы.
Здесь, в блоге-дайджесте "Шифровальщик-вымогатели" (Crypto-Ransomware), справа от статей расположен "Архив статей" — это и есть полная хронология, которую нам удалось собрать и систематизировать.
ВАЖНО ЗНАТЬ!!!
Основные способы распространения крипто-вымогателей (шифровальщиков):
- вредоносные вложения в спамовые и фишинговые сообщения электронной почты (email);- загрузки файлов с помощью одноранговой P2P-сети, торрентов, расшаренных ресурсов;
- троянские загрузчики и установщики (Trojan-Downloader, Backdoor, Trojan-Dropper);
- сайты, взломанные с целью заражения, размещения эксплойтов и иной компрометации;
- наборы эксплойтов (Angler, Blackhole, RIG, Nuclear, Magnitude, Stegano, Flash 0-day и новые);
- агрессивная, вредоносная реклама, баннеры, ротация, кликбейты, black SEO, инжекты;
- ссылки на изображениях, скрытые и укороченные ссылки, редирект, кликджекинг и пр.;
- загрузки файлов через специальные инструменты удалённого управления, RAT и ботнеты;
- поддельные и перепакованные дистрибутивы, поддельные обновления Windows и другого ПО;
- заражённые архивы, инсталляторы свободного, условно-бесплатного и коммерческого ПО;
- вредоносные расширения для браузеров и ссылки на фальшивые расширения для браузеров;
- использование атак типа drive-by download, drive-by login, drive-by client и близкотипных;
- использование файлов с легитимной цифровой подписью, выполняющих определённые функции;
- полученные ссылки на просмотр, загрузку видео, изображений, архивов, приглашения к обмену;
- сайты Даркнета, форумы кибер-андеграунда, распространители RaaS, MaaS и прочие.
Признаки работы криптовымогателя, атаковавшего ваш ПК:
- не открываются графические и иные файлы;
- исчезли характерные для файлов значки;
- появилось странное расширение на файлах;
- текст с требованием выкупа в текстовых файлах;
- обои изменены на изображение от вымогателей;
- появился экран блокировки с требованием выкупа;
- файлы исчезли или заперты в архив под паролем.
Принципиальные отличия криптовымогателей от других вредоносных программ:
- использование сложных алгоритмов для шифрования (AES, RSA и др.);
- проверка работы в системе антивирусов и утилит выявления вредоносов;
- добавление файлам специальных расширений или удаление имеющихся;
- удаление всех теневых копий файлов и точек восстановления системы;
- скрытие командного сервера в доменной зоне .onion анонимной сети Tor;
- вымогание выкупа в биткоинах, долларах, Gift-картах и местной валюте;
- размещение инструкции добывания биткоинов и уплаты выкупа в них;
- предложение расшифровки одного или более зашифрованных файлов;
- эпатажное и наглое поведение (записки о выкупе, угрозы, требования);
- запуск команды самозачистки по окончании шифрования файлов.
Нужны ли файлы шифровальщика после шифрования?
1) После произошедшего шифрования файлов нет необходимости оставлять Crypto-Ransomware в системе и, если он сам себя не зачистил, то необходимо проверить систему антивирусным средством и удалить все найденные вирусы, чтобы шифрование не повторилось с новыми файлами.
2) Иногда шифровальщики оставляют вспомогательные файлы (ID- и ключ-файлы), которые нужны для дешифровки после уплаты выкупа. В таких случаях конкретно указывается это в записках. Такие файлы лучше сохранить, т.к. в будущем может появиться бесплатный дешифровщик.
3) Если вы нашли исполняемые файлы шифровальщика, то представьте их по ссылке. Браузер Google Chrome поможет с переводом. Или упакуйте файл в архив с паролем "virus" и загрузите на сайт Sendspace. Ссылку отправьте мне через комментарии или форму для связи (см. внизу).
Информация, публикуемая в этом блоге, постоянно дополняется новыми фактами, которые удаётся найти. Имеется раздел Новостей. Хотите быть в курсе — сверяйтесь регулярно.
Email автора закодирован с целью защиты от спама: aWQtcmFuc29td2FyZUB5YW5kZXgucnU - декодь на сайте base64decode.net
© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При любом использовании и цитировании ссылка на блог и автора обязательна.
© Amigo-A (Andrew Ivanov): All blog articles. © Amigo-A (Andrew Ivanov): All blog articles. With any use of articles and quoting, you must in obligatory make a direct link to the blog article and name the author.
© Авторское право распространяется на все статьи блога. При любом использовании и цитировании ссылка на блог и автора обязательна.
© Amigo-A (Andrew Ivanov): All blog articles. © Amigo-A (Andrew Ivanov): All blog articles. With any use of articles and quoting, you must in obligatory make a direct link to the blog article and name the author.
Комментариев нет:
Добавлять новые комментарии запрещено.