Сегодня поговорим с Вами о вредных программах, которые способны нанести урон вашему кошельку, данным, а так же репутации.
Что такое вирусы вымогатели?
Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа:
- Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.
- Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.
Для того, чтобы лучше понимать с чем мы имеем дело, окунемся в историю.
Обратите внимание, на рисунок ниже, на котором отображены годы и вирусы, здесь далеко не все представители данной индустрии, а лишь самые активные и известные.
«Мозг», вышедший из-под контроля
Требование выкупа содержал первый же вирус, вызвавший глобальную эпидемию среди персональных компьютеров. Его история началась в 1986 году в небольшом компьютерном магазине в пакистанском Лахоре.
Управляющие магазином братья Фарук Алви — 17-летний басит и 24-летний Амджад — разработали программу для отслеживания состояния сердечно-сосудистой системы. Программу тут же украли пираты, в результате братья недополучали прибыль.
Тогда братья создали Brain («Мозг») — для защиты интеллектуальной собственности, как объяснили они спустя два года журналу Time. Этот вирус должен был атаковать компьютеры с установленной нелегальной копией их медицинской программы.
Вирус замедлял работу жесткого диска и операционной системы любого компьютера, куда вставляли зараженные дискеты. Он быстро вышел из-под контроля и атаковал университеты и компании, где никогда не слышали о программе Фаруков Алви.
Троян СПИД 1989
Первый вирус-вымогатель был создан в 1989 году подготовленным в Гарварде биологом-эволюционистом Джозефом Поппом. Его называли «трояном СПИД», также известным как компьютерный киборг. Попп отправил 20 000 зараженных дискет с пометкой «Информация о СПИДе — вводные дискеты» участникам международной конференции по СПИДу Всемирной организации здравоохранения. Троян «СПИД» был вредоносным программным обеспечением первого поколения, и его было относительно легко преодолеть. Троянец использовал простую симметричную криптографию, и вскоре стали доступны инструменты для расшифровки имен файлов. Но «троян» по СПИДу подготовил почву для того, что должно было произойти.
GPCoder 2005
Одним из первых примеров распространения вымогателей в Интернете был троян GPCoder. Впервые обнаруженный в 2005 году, GPCoder инфицировал системы Windows и целевые файлы с различными расширениями. Найденные файлы были скопированы в зашифрованном виде, а оригиналы удалены из системы. Новые зашифрованные файлы были нечитаемыми, а использование надежного шифрования RSA-1024 гарантировало, что попытки их разблокировки крайне маловероятны. На домашнем экране пользователей было отображено сообщение, направляющее их в файл .txt, размещенный на их рабочем столе, который содержал подробную информацию о том, как заплатить выкуп и разблокировать затронутые файлы.
Archievus
Вместо нацеливания на определенные исполняемые файлы и расширения файлов, Archievus просто зашифровал все в папке «Мои документы» жертвы.
WinLock 2011
В 2011 году появилась новая форма вымогателей. Троян WinLock считается первым широко распространенным примером того, что стало известно как вымогатель «Locker». Вместо того, чтобы зашифровывать файлы на устройстве жертвы, программа просто делает невозможным полный вход в устройство.
CryptoLocker
Во второй половине 2013 года появился новый вариант крипто-вымогателей, который провел новую черту на песке в борьбе за кибербезопасность.
Программисты CryptoLocker были очень прямолинейны в том, что они делали, посылая жертвам тупое сообщение о том, что все их файлы были зашифрованы и будут удалены, если выкуп не будет выплачен в течение трех дней.
Во-вторых, CryptoLocker продемонстрировал, что возможности шифрования, которые теперь могут использовать киберпреступники, были значительно сильнее, чем те, которые были доступны, когда первая криптографическая программа появилась почти десять лет назад. Используя серверы C2 в скрытой сети Tor, программисты CryptoLocker смогли сгенерировать 2048-битное шифрование открытого и закрытого ключей RSA для заражения файлов с указанными расширениями.
KeRanger
В 2016 году также появился первый скрипт-вымогатель, который воздействует на системы Mac. KeRanger был особенно неприятен, потому что ему удавалось зашифровать резервные копии Time Machine, а также обычные файлы Mac, преодолев обычную способность Mac откатываться к более ранним версиям при возникновении проблемы.
WannaCry
12 мая 2017 года червь-вымогатель, который станет известен во всем мире как WannaCry, поразил своих первых жертв в Испании. В течение нескольких часов он распространился на сотни компьютеров в десятках стран. Спустя несколько дней эта сумма превысила четверть миллиона, что сделало WannaCry самой крупной в истории атакой на вымогателей, а также убедило весь мир смириться с угрозой.
WannaCry означает сокращение от WannaCrypt, ссылаясь на тот факт, что WannaCry является криптографическим программным обеспечением. Более конкретно, оно способно автоматически размножаться и распространяться.
То, что сделало WannaCry таким эффективным и таким шокирующим для широкой публики, было то, как он был распространен. Не было фишинг-атак и загрузок с скомпрометированных сайтов бот-сетей. Вместо этого WannaCry был нацелен на известные уязвимости на компьютерах. Он был запрограммирован на траление в сети для компьютеров, работающих на более старых версиях Windows Server, которые имели известный недостаток безопасности, и заражал их. Как только он заразил один компьютер в сети, он быстро обнаружил другие с тем же недостатком и заразил их тоже.
Именно так WannaCry распространился так быстро, и именно поэтому он был особенно мощным в атаке на системы крупных организаций, включая банки, транспортные органы, университеты и службы здравоохранения, такие как Государственная служба здравоохранения Великобритании.
Но многих шокировало то, что уязвимость, которую WannaCry эксплуатировал в Windows, была обнаружена Агентством национальной безопасности США (NSA) несколько лет назад. Но вместо того, чтобы предупредить об этом мир, АНБ молчало и разработало свой собственный эксплойт, чтобы использовать слабость в качестве кибер-оружия. По сути, WannaCry был построен на системе, разработанной агентством государственной безопасности.
Petya 2017
По горячим следам WannaCry, еще одна трансконтинентальная атака вымогателей обрушила тысячи компьютеров во всех четырех уголках мира.
LeakerLocker 2019
Ориентируясь на устройства Android, LeakerLocker пригрозил поделиться всем содержимым устройства мобильного пользователя со всеми в своем списке контактов. Поэтому, если на вашем телефоне хранится что-то смущающее или компрометирующее, вам лучше заплатить, иначе все ваши друзья, коллеги и родственники могут скоро увидеть, что вам нужно скрыть.
Какие типы ОС подвержены опасности заразиться шифровальщиками?
Windows? – Очевидно
Mac OS — Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.
Linux — Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена. Lilocked — не первое семейство угроз для серверов Linux. В феврале 2019 года Bleeping Computer наблюдал, как B0r0nt0K требует 20 биткойнов (тогда стоит примерно 75 000 долларов) с серверов Linux, содержимое которых он зашифровал. Несколько месяцев спустя Intezer Labs обнаружила новое семейство вредоносных программ под названием HiddenWasp, предназначенное для серверов Linux с целью обеспечения целевого удаленного управления. Совсем недавно, в июле 2019 года, Intezer Labs заметила, что QNAPCrypt преследует Linux-системы хранения файлов (серверы NAS).
Как можно заразиться?
• Путем загрузки небезопасных файлов с торрент-сайтов
• Внедряется в систему через вредоносные ссылки для скачивания и гиперссылки по электронной почте.
• Распространяется через эксплойты недостаточно защищенных портов протокола удаленного рабочего стола.
Конечно, вышеперечисленные пути заражения являются лишь основными, всегда будут появляться новые, и оставаться банальные старые такие как «флешка друга».
Как я узнаю, что я заразился?
Как правило вымогатели не скучные люди, они всегда готовы поглумится над жертвой, в любом случае, атака шифровальщика, сразу покажет себя, не заметить ее будет сложно, ниже пару примеров, как это выглядит:
Самый главные вопрос: «Как себя защитить?»
Инфекция вымогателей может быть ограничена и иногда предотвращена с помощью нескольких лучших практик:
• Используйте актуальное современное антивирусное решение, которое постоянно обновляется, совершенствуется и способно выполнять активное сканирование.
• Запланируйте резервное копирование файлов (локально или в облаке), чтобы данные могли быть восстановлены в случае повреждения
• Следуйте правилам безопасного интернета, не посещая сомнительные веб-сайты, не нажимая на ссылки и не открывая вложения в сообщениях электронной почты из неопределенных источников, а также, не предоставляя личную информацию в общедоступных чатах или на форумах.
• Внедрить / включить возможности блокировки рекламы и антиспам-фильтры
• Виртуализируйте или полностью отключите Flash, так как он неоднократно использовался в качестве вектора заражения.
• Обучайте сотрудников выявлению попыток социальной инженерии и фишинг-писем.
Мы предлагаем лучшую защиту, которая поможет справиться с вирусами шифровальщиками и всеми современными угрозами.
• Признан в основных независимых тестах защиты, производительности и удобства использования и заслуживает доверия для защиты более 500 миллионов конечных точек по всему миру
• Глобальная защитная сеть анализирует и сопоставляет информацию с 500 млн. Конечных точек и других источников для прогнозирования, предотвращения и обнаружения атак в любой точке мира менее чем за 3 секунды.
• Усовершенствованная защита конечных точек с использованием машинного обучения и расширенной эвристикой для обнаружения и блокирования даже самых сложных вымогателей и атак нулевого дня
• Простая в использовании унифицированная консоль управления, разработанная снизу вверх для облачных вычислений и виртуализации, которая обеспечивает видимость на всех платформах
Вендор победитель многочисленных тестов.
Какие технологии Bitdefender помогают бороться с вирусами шифровальщиками?
Интеллектуальный агент безопасности GravityZone оценивает хост-компьютер при установке для самостоятельной настройки в оптимальной форме и адаптирует свое поведение в соответствии с доступностью конечной точки.
Администраторы безопасности распределяют ресурсы для задач безопасности посредством политик для групп компьютеров.
Машинное обучение – решение, которое автоматически обучается на основе 1 триллиона образцов из более чем 500 миллионов конечных точек по всему миру. Независимо от того, насколько сильно изменено вредоносное ПО или вымогатель, Bitdefender может точно обнаруживать новые шаблоны вымогателей как в режиме предварительного выполнения, так и во время выполнения.
Advanced anti-exploit — авторы вымогателей часто используют наборы эксплойтов, которые используют уязвимости нулевого дня или незащищенные, чтобы закрепиться в системах. Сосредоточив внимание на методах атаки, Bitdefender защищает ваши системы и предотвращает распространение вымогателей.
Технология предотвращения эксплойтов защищает память и уязвимые приложения, такие как браузеры, программы чтения документов, медиа-файлы и среды выполнения (например, Flash, Java). Усовершенствованные механизмы следят за процедурами доступа к памяти, чтобы обнаружить и заблокировать такие методы эксплойта, как верификация вызывающих программ API, разворот стека, обратно-ориентированное программирование и другие.
HyperDetect
Bitdefender расширяет запатентованную технологию HyperDetect, которая позволяет динамический анализ следующего поколения и настраиваемое машинное обучение, чтобы защититься от атак без файлов, пользовательских вредоносных программ и угроз нулевого дня, исключая ложные срабатывания.
HyperDetect работает совместно с дополнительными технологиями Bitdefender без подписи, такими как защита памяти или расширенный контроль угроз, и выделяется благодаря своей уникальной способности переключать агрессивность машинного обучения на категории серьезных угроз, таких как целевые атаки и эксплойты.
Вместо того, чтобы полагаться на сигнатуры, двоичные или кодовые отпечатки пальцев, эвристическое обнаружение основывается на сложных алгоритмах, которые определяют реальные паттерны и поведение, что может указывать на вредоносность приложения. Это работает, потому что вредоносные программы неизбежно пытаются выполнять действия в контексте, которого не делают легитимные приложения. Примерами подозрительного поведения могут служить попытки сокрытия файлов, маскировки процессов, а также вставки или выполнения кода в памяти другого процесса. Поскольку эвристическое обнаружение ищет поведенческие характеристики, а не полагается на простое сопоставление шаблонов, оно может обнаруживать и блокировать угрозы нулевого дня, для которых еще только предстоит выпустить сигнатуру или отпечаток. Для защиты компьютеров большинство эвристических технологий обнаружения, включая эвристический движок Bitdefender B-HAVE, временно задерживает запуск приложений, пока код выполняется в полностью изолированной или изолированной от реального компьютера виртуальной среде. Если подозрительного поведения не наблюдается, компьютер получает инструкции по нормальному запуску приложения. С другой стороны, при подозрительном поведении программа блокируется от выполнения. Весь процесс занимает доли секунды, поэтому практически не влияет ни на впечатления пользователей, ни на их впечатления от работы. Чтобы быть еще более эффективным, Bitdefender использует репутацию приложения, форму белого списка, и, таким образом, может использовать более легкую эвристику для приложений, которые, как известно, могут быть безопасными. Репутация приложений сохраняется в целости и сохранности для получения ложных срабатываний благодаря частым обновлениям из облака Bitdefender. Хотя такой подход, безусловно, значительно повышает безопасность, у него есть пара недостатков. Во-первых, программы могут выполняться в виртуальной среде только в течение короткого периода времени, поскольку, очевидно, было бы неприемлемо откладывать их запуск на какое-либо значительное количество времени. Это означает, что вредоносное ПО может избежать обнаружения, просто задерживая выполнение каких-либо вредоносных действий. Во-вторых, программа, которая уже была проверена (и, следовательно, ей можно доверять), может быть использована для взлома и либо изменена в памяти во время работы, либо использована для запуска вредоносного процесса со своими собственными учетными данными. Для устранения этих недостатков в 2010 году компания Bitdefender представила программу Active Virus Control (теперь известную как технология Advanced Threat Control).
Advanced Threat Control — отслеживает действия определенных процессов, выполняемых в ОС. Он ищет поведение, специфичное для вредоносного ПО, и присваивает баллы каждому процессу на основе его действий и контекста, в котором они были совершены. Когда общий балл за процесс достигает определенного порога, процесс считается вредным. В зависимости от профиля пользователя, он либо отключается для изоляции и устранения угрозы, либо пользователю предлагается указать действия, которые необходимо предпринять (в зависимости от профиля настроек продукта Bitdefender).
Всегда совокупный подход к проблеме/угрозе, является самым действенным. Поэтому компания Bitdefender заслуживает выбор 500 миллионов пользователей для защиты их устройств.
https://bitdefender.ru/news/virusy-shifrovalshhiki-aktualny/
