Вирусная атака шифровальщик. Вирус шифровальщик файлов Wanna Cry — как защититься и спасти данные. Самые новые модификации
Меры безопасности
Регулятор рекомендует банкам убедиться, что у них обновлено общесистемное и специальное программное обеспечение, установлены и обновлены антивирусы. FinCert также рекомендует сегментировать компьютерные сети финансовых учреждений и проверить настройки межсетевых экранов — они должны блокировать соединения с нерегламентированными сетевыми адресами. Также рекомендуется провести резервное копирование критичных информационных систем и баз данных.
Кроме того, регулятор советует проинструктировать сотрудников банков, чтобы они обращали внимание на подозрительные почтовые сообщения и не посещали сомнительные сайты.
Представитель ЦБ сообщил «Ведомостям», что с марта по август 2017 года ЦБ уже шесть раз предупреждал банки о шифровальщиках.
При этом об опасности вируса-шифровальщика WannaCry банки были предупреждены еще в апреле. 12 мая, когда стало известно о попытках хакеров атаковать ряд организаций по всему миру с помощью вируса WannaCry, FinCERT на банки, после чего повторил свое предупреждение. Названия пострадавших банков в том сообщении не раскрывались. Известно, что вирус пытался , однако, по сообщению финансовой организации, проникновения хакеров в их системы не произошло.
От вируса-шифровальщика Petya российский банковский сектор . «В результате атак зафиксированы единичные случаи заражения», — писал FinCERT. Среди известных банков, пострадавших от атаки, — « ». Банк сообщил, что данные о клиентах и операциях скомпроментированы не были.
Представители банков, опрошенные «Ведомостями», отмечают, что рекомендации ЦБ — регулярные, и в финансовых учреждениях они выполняются.
Потенциальная кибератака
Аналитик центра мониторинга киберугроз Solar JSOC Алексей Павлов рассказал газете, что в течение последних нескольких дней организации различных отраслей, в том числе и банки, получали предупреждения о возможной активности шифровальщиков, хотя данных о подготовке новой хакерской атаке у центра мониторинга нет.
Данных о новой атаке нет и в «Лаборатории Касперского», говорит руководитель группы исследования и анализа мошенничества Денис Горчаков. Он предполагает, что письмо FinCERT связано с предупреждением об угрозе в энергетическом секторе: накануне, 9 августа, о том, что в ближайшее время может быть проведена новая кибератака, предупредили в .
В связи с угрозой хакерской атаки энергокомпания попросила директоров своих филиалов ограничить доступ пользователей корпоративной сети к интернету в период с 4 по 14 августа и также предупредить сотрудников, чтобы они не открывали вложения от неизвестных отправителей и не переходили по посторонним ссылкам в электронной почте.
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) — структура ЦБ, которая занимается кибербезопасностью. Создана в 2015 году по решению Совета безопасности России. Банки направляют в ЦБ сведения о выявленных компьютерных атаках (на карточные счета, системы дистанционного обслуживания, банковские сайты), после чего специалисты анализируют эти данные, выявляют причины проблем и направляют участникам рынка и правоохранительным органам результаты анализа.
Специалисты компании "Доктор Веб" изучают новый троянец-шифровальщик Trojan.Encoder.12544 , упоминаемый в СМИ как Petya, Petya.A, ExPetya и WannaCry-2. На основании предварительного анализа вредоносной программы компания "Доктор Веб" представляет рекомендации, как избежать заражения, рассказывает, что делать, если заражение уже произошло, и раскрывает технические подробности атаки.
Наделавший много шума червь-шифровальщик Trojan.Encoder.12544 представляет серьезную опасность для персональных компьютеров, работающих под управлением Microsoft Windows. Различные источники называют его модификацией троянца, известного под именем Petya (Trojan.Ransom.369 ), но Trojan.Encoder.12544 имеет с ним лишь некоторое сходство. Эта вредоносная программа проникла в информационные системы целого ряда госструктур, банков и коммерческих организаций, а также заразила ПК пользователей в нескольких странах.
На текущий момент известно, что троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее использовались злоумышленниками для внедрения на компьютеры жертв троянца WannaCry. Массовое распространение Trojan.Encoder.12544 началось в первой половине дня 27.06.2017. При запуске на атакуемом компьютере троянец несколькими способами ищет доступные в локальной сети ПК, после чего по списку полученных IP-адресов начинает сканировать порты 445 и 139. Обнаружив в сети машины, на которых открыты эти порты, Trojan.Encoder.12544 пытается инфицировать их с использованием широко известной уязвимости в протоколе SMB (MS17-10).
В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее во временную папку, после чего запускает. При помощи утилиты Mimikatz, а также двумя другими способами Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 использует утилиту для управления удаленным компьютером PsExec (она также хранится в ресурсах троянца) или стандартную консольную утилиту для вызова объектов Wmic.exe.
Контроль своего повторного запуска энкодер осуществляет с помощью файла, сохраняемого им в папке C:\Windows\. Этот файл имеет имя, соответствующее имени троянца без расширения. Поскольку распространяемый злоумышленниками в настоящий момент образец червя имеет имя perfc.dat, то файл, предотвращающий его повторный запуск, будет иметь имя C:\Windows\perfc. Однако стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании), уже не спасет компьютер от заражения. Кроме того, троянец осуществляет проверку наличия файла, только если у него достаточно для этого привилегий в операционной системе.
После старта троянец настраивает для себя привилегии, загружает собственную копию в память и передает ей управление. Затем энкодер перезаписывает собственный файл на диске мусорными данными и удаляет его. В первую очередь Trojan.Encoder.12544 портит VBR (Volume Boot Record, загрузочная запись раздела) диска C:, первый сектор диска заполняется мусорными данными. Затем шифровальщик копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку компьютера, и начинает шифровать все обнаруженные на локальных физических дисках файлы с расширениями.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.
Троянец шифрует файлы только на фиксированных дисках компьютера, данные на каждом диске шифруются в отдельном потоке. Шифрование осуществляется с использованием алгоритмов AES-128-CBC, для каждого диска создается собственный ключ (это - отличительная особенность троянца, не отмеченная другими исследователями). Этот ключ шифруется с использованием алгоритма RSA-2048 (другие исследователи сообщали, что используется 800-битный ключ) и сохраняется в корневую папку зашифрованного диска в файл с именем README.TXT. Зашифрованные файлы не получают дополнительного расширения.
После выполнения созданного ранее задания компьютер перезагружается, и управление передается троянской загрузочной записи. Она демонстрирует на экране зараженного компьютера текст, напоминающий сообщение стандартной утилиты для проверки дисков CHDISK.
2017 был годом шифровальщиков (ransomware) – наиболее значимой угрозы в сфере информационной безопасности как для малых, средних и крупных предприятий, так и для домашних пользователей. Такие атаки как и требовали выкуп на многих компьютерах в мире, захватив при этом заголовки всех ведущих СМИ во всех странах. На самом деле, в прошлом году суммарный ущерб от шифровальщиков составил порядка 5 миллиардов долларов США, что делает эти трояны самым мощным и изощренным типом кибер-атак, показавшим 350% рост по сравнению с 2016 годом.
3. Регулярно проводите аудиты безопасности и тесты на наличие уязвимостей, чтобы четко знать точки проникновения в ваши системы.
4. Используйте современное и передовое мультиплатформенное решение информационной безопасности с опциями расширенной защиты, такое как , для проведения экспертного анализа в реальном времени. Это позволит вам предотвращать и обнаруживать такие типы атак, а также выполнять требуемые действия по реагированию и восстановлению после атаки.
Вирус-шифровальщик атаковал российские СМИ, одно из которых – «Интерфакс», говорится в сообщении российской компании Group-IB. Пострадала лишь часть агентства, поскольку его IT-службы успели отключить часть критичной инфраструктуры. Вирусу присвоен идентификатор BadRabbit.
О беспрецедентной вирусной атаке на «Интерфакс» на своей странице в Facebook сообщил замдиректора агентства Юрий Погорелый. «Интерфакс» столкнулся с беспрецедентной вирусной атакой. Часть наших сервисов недоступна для клиентов. Наши инженеры восстанавливают их работоспособность. Приношу свои извинения. Стараемся вернуться к вам как можно быстрее!» - написал он.
ЦБ предупредил банки о возможной кибератаке вируса-шифровальщика
Два предыдущих вируса WannaCry и Petya уже пытались атаковать банки
По наблюдениям «Ведомостей», не работает мобильное приложение агентства и предоставляемый «Интерфаксом» сервис раскрытия отчетности российских компаний на сайте e-disclosure.ru.
Продолжают работать подразделения «Инфтерфакса» в Великобритании, Азербайджане, Белоруссии и на Украине и сайт «Интерфакс-религия», сказал «Ведомостям» Погорелый. Пока непонятно, по какой причине повреждения не коснулись других подразделений, возможно, это связано с топологией сети «Интерфакса», с тем, где территориально находятся серверы, и с операционной системой, которая на них установлена, говорит он.
Два сотрудника «Интерфакса» подтвердили «Ведомостям» отключение компьютеров. По словам одного из них, визуально заблокированный экран похож на результат действий известного вируса Petya. Атаковавший «Интерфакс» вирус предупреждает, что не стоит пытаться самостоятельно расшифровать файлы, и требует заплатить выкуп в 0,05 биткойна ($283), для чего приглашает проследовать на специальный сайт в сети Tor. Зашифрованному компьютеру вирус присвоил персональный идентификационный код.
Не только «Интерфакс»
От вируса-шифровальщика пострадали еще два российских СМИ, одно из которых – петербургское издание «Фонтанка», уточняет Group-IB.
Главный редактор «Фонтанки» Александр Горшков сказал «Ведомостям», что серверы «Фонтанки» были атакованы злоумышленниками сегодня в 15.20. «После этого сайт издания оказался недоступен, и он недоступен до сих пор. Наши технические специалисты предпринимают все необходимые усилия для того, чтобы восстановить работу сайта. Мы не сомневаемся, что эти действия были совершены террористическими организациями», - отметил он.
На протяжении последних недель преступники атакуют редакцию «Фонтанки», размещая в сети интернет сотни ложных заказных статей с упоминанием журналистов и редакторов издания. Кроме того, до контролирующих органов доводится ложная информация о деятельности издателя «Фонтанки» АО «Ажур-медиа», говорит он. «Мы не сомневаемся, что эти действия имеют единого заказчика и это звенья одной цепи», - заключил Горшков.
