Netzwerke
Smart TV
Lösungen
Android
Modems
Geräte
Programme

Ransomware für Virenangriffe. Wanna Cry-Dateiverschlüsselungsvirus - So schützen und speichern Sie Daten. Neueste Änderungen

Sicherheitsmaßnahmen

Die Aufsichtsbehörde empfiehlt den Banken, sicherzustellen, dass sie systemweite und spezielle Software, installierte und aktualisierte Virenschutzprogramme aktualisiert haben. FinCert empfiehlt außerdem, die Computernetzwerke von Finanzinstituten zu segmentieren und die Firewall-Einstellungen zu überprüfen. Sie sollten Verbindungen zu nicht regulierten Netzwerkadressen blockieren. Es wird auch empfohlen, kritische Informationssysteme und Datenbanken zu sichern.

Darüber hinaus empfiehlt die Aufsichtsbehörde, Bankangestellte anzuweisen, auf verdächtige E-Mail-Nachrichten zu achten und keine fragwürdigen Websites zu besuchen.

Ein Vertreter der Zentralbank teilte Vedomosti mit, dass die Zentralbank die Banken von März bis August 2017 bereits sechs Mal vor Ransomware gewarnt habe.

Gleichzeitig wurden die Banken bereits im April vor der Gefahr des WannaCry-Ransomware-Virus gewarnt. Am 12. Mai, als bekannt wurde, dass Hacker versucht haben, eine Reihe von Organisationen auf der ganzen Welt mit dem WannaCry-Virus FinCERT auf Banken anzugreifen, wiederholte sie ihre Warnung. Die Namen der betroffenen Banken wurden in dieser Nachricht nicht bekannt gegeben. Es ist bekannt, dass der Virus versucht hat, aber laut Finanzorganisation drangen Hacker nicht in ihre Systeme ein.

Vom Petja-Ransomware-Virus, dem russischen Bankensektor. "Infolge der Angriffe wurden vereinzelte Infektionsfälle registriert", schrieb FinCERT. Zu den bekannten Banken, die von dem Angriff betroffen sind, gehören "". Die Bank sagte, dass die Daten über Kunden und Transaktionen nicht kompromittiert worden seien.

Von Vedomosti befragte Bankvertreter stellen fest, dass die Empfehlungen der Zentralbank regelmäßig sind und in Finanzinstituten umgesetzt werden.

Möglicher Cyberangriff

Alexey Pavlov, Analyst im Solar JSOC Cyber \u200b\u200bThreat Monitoring Center, teilte der Zeitung mit, dass Organisationen in verschiedenen Branchen, einschließlich Banken, in den letzten Tagen Warnungen über die mögliche Aktivität von Ransomware erhalten hätten, obwohl das Überwachungszentrum keine Daten zur Vorbereitung eines neuen Hackerangriffs habe.

Es gibt keine Daten über den neuen Angriff im Kaspersky Lab, sagt Denis Gorchakov, Leiter der Gruppe für Betrugsforschung und -analyse. Er schlägt vor, dass der FinCERT-Brief mit einer Warnung vor einer Bedrohung im Energiesektor zusammenhängt: Am Vorabend, am 9. August, könnte in naher Zukunft ein neuer Cyberangriff durchgeführt werden, c.

Im Zusammenhang mit der Gefahr eines Hackerangriffs forderte das Energieversorgungsunternehmen die Direktoren seiner Niederlassungen auf, den Zugang der Benutzer des Unternehmensnetzwerks zum Internet vom 4. bis 14. August zu beschränken und die Mitarbeiter davor zu warnen, Anhänge von unbekannten Absendern zu öffnen und Links von Drittanbietern nicht per E-Mail zu folgen.

Das Zentrum für die Überwachung und Reaktion auf Computerangriffe im Kredit- und Finanzbereich (FinCERT) ist eine Struktur der Zentralbank, die sich mit Cybersicherheit befasst. Erstellt im Jahr 2015 durch Beschluss des russischen Sicherheitsrates. Banken senden Informationen über erkannte Computerangriffe an die Zentralbank (auf Kartenkonten, Remote-Service-Systemen, Bankstandorten). Anschließend analysieren Spezialisten diese Daten, identifizieren die Ursachen von Problemen und senden die Analyseergebnisse an Marktteilnehmer und Strafverfolgungsbehörden.

Doctor Web-Spezialisten untersuchen einen neuen Ransomware-Trojaner Trojan.Encoder.12544 , in den Medien als Petya, Petya.A, ExPetya und WannaCry-2 bezeichnet. Basierend auf der vorläufigen Analyse der Malware gibt Doctor Web Empfehlungen zur Vermeidung von Infektionen, erklärt, was zu tun ist, wenn die Infektion bereits aufgetreten ist, und gibt die technischen Details des Angriffs bekannt.

Der Ransomware-Wurm, der viel Lärm machte Trojan.Encoder.12544 stellt eine ernsthafte Bedrohung für PCs dar, auf denen Microsoft Windows ausgeführt wird. Verschiedene Quellen bezeichnen es als eine Modifikation des als Petya bekannten Trojaners ( Trojan.Ransom.369), aber Trojan.Encoder.12544 hat nur einige Ähnlichkeiten mit ihm. Dieses Schadprogramm hat die Informationssysteme einer Reihe von Regierungsbehörden, Banken und Handelsorganisationen sowie infizierte PCs von Benutzern in mehreren Ländern infiltriert.

Derzeit ist bekannt, dass der Trojaner Computer mit denselben Sicherheitslücken infiziert, die zuvor von Cyberkriminellen verwendet wurden, um WannaCry-Trojaner-Opfer auf Computer zu injizieren. Massenverteilung Trojan.Encoder.12544 begann am Morgen des 27. Juni 2017. Beim Start auf einem angegriffenen Computer sucht der Trojaner auf verschiedene Weise nach im lokalen Netzwerk verfügbaren PCs. Anschließend beginnt er mit dem Scannen der Ports 445 und 139 anhand der Liste der empfangenen IP-Adressen. Nachdem er im Netzwerk Computer gefunden hat, auf denen diese Ports geöffnet sind, Trojan.Encoder.12544 versucht, sie mithilfe einer bekannten Sicherheitsanfälligkeit im SMB-Protokoll (MS17-10) zu infizieren.

Der Trojaner enthält 4 komprimierte Ressourcen in seinem Hauptteil, von denen 2 32- und 64-Bit-Versionen des Mimikatz-Dienstprogramms sind, mit denen Kennwörter für offene Sitzungen in Windows abgefangen werden sollen. Abhängig von der Aktualität des Betriebssystems wird die entsprechende Version des Dienstprogramms entpackt, in einem temporären Ordner gespeichert und anschließend gestartet. Verwenden des Dienstprogramms Mimikatz sowie auf zwei weitere Arten Trojan.Encoder.12544 Ruft eine Liste der lokalen und Domänenbenutzer ab, die auf dem infizierten Computer autorisiert sind. Anschließend sucht es nach beschreibbaren Netzwerkordnern, versucht, diese mit den erhaltenen Anmeldeinformationen zu öffnen, und speichert dort eine Kopie. Um Computer zu infizieren, auf die er Zugriff hatte, Trojan.Encoder.12544 verwendet das PsExec-Dienstprogramm zur Steuerung eines Remotecomputers (der auch in den Ressourcen des Trojaners gespeichert ist) oder das Standardkonsolendienstprogramm zum Aufrufen von Wmic.exe-Objekten.

Der Encoder steuert seinen Neustart mithilfe einer Datei, die er im Ordner C: \\ Windows \\ speichert. Diese Datei hat einen Namen, der dem Namen des Trojaners ohne die Erweiterung entspricht. Da der Beispielwurm, der derzeit von den Angreifern verteilt wird, den Namen perfc.dat trägt, heißt die Datei, die verhindert, dass er erneut ausgeführt wird, C: \\ Windows \\ perfc. Wenn Cyberkriminelle jedoch den ursprünglichen Namen des Trojaners ändern, wird der Computer durch das Erstellen einer Datei mit dem Namen perfc im Ordner C: \\ Windows \\ ohne Erweiterung (wie von einigen Antiviren-Unternehmen empfohlen) nicht mehr vor Infektionen geschützt. Darüber hinaus prüft der Trojaner nur dann, ob eine Datei vorhanden ist, wenn er über ausreichende Betriebssystemberechtigungen verfügt.

Nach dem Start richtet der Trojaner Berechtigungen für sich selbst ein, lädt seine eigene Kopie in den Speicher und überträgt die Kontrolle an ihn. Der Encoder überschreibt dann seine eigene Datei auf der Festplatte mit Junk-Daten und löscht sie. Als allererstes Trojan.Encoder.12544 beschädigt VBR (Volume Boot Record) des Laufwerks C:, der erste Sektor des Laufwerks ist mit Mülldaten gefüllt. Anschließend kopiert die Ransomware den ursprünglichen Windows-Startdatensatz auf einen anderen Teil der Festplatte, nachdem sie ihn zuvor mit dem XOR-Algorithmus verschlüsselt hat, und schreibt stattdessen einen eigenen. Als Nächstes wird eine Aufgabe zum Neustarten des Computers erstellt und alle auf lokalen physischen Datenträgern gefundenen Dateien mit den Erweiterungen 3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, verschlüsselt. .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx , .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py,. pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Der Trojaner verschlüsselt Dateien nur auf festen Festplatten des Computers. Die Daten auf jeder Festplatte werden in einem separaten Stream verschlüsselt. Die Verschlüsselung erfolgt mit AES-128-CBC-Algorithmen, und für jede Festplatte wird ein separater Schlüssel erstellt (dies ist eine Besonderheit des Trojaners, die von anderen Forschern nicht bemerkt wurde). Dieser Schlüssel wird mit dem RSA-2048-Algorithmus verschlüsselt (andere Forscher haben berichtet, dass ein 800-Bit-Schlüssel verwendet wird) und im Stammordner der verschlüsselten Festplatte in einer Datei namens README.TXT gespeichert. Verschlüsselte Dateien erhalten keine zusätzliche Erweiterung.

Nach Abschluss der zuvor erstellten Aufgabe wird der Computer neu gestartet und die Steuerung auf den Trojaner-Startdatensatz übertragen. Auf dem Bildschirm eines infizierten Computers wird Text angezeigt, der der Meldung des Standarddienstprogramms zum Scannen von CHDISK-Datenträgern ähnelt.

2017 war das Jahr der Ransomware - die größte Bedrohung für die Cybersicherheit für kleine, mittlere und große Unternehmen sowie Privatanwender. Solche Angriffe erforderten Lösegeld auf vielen Computern der Welt und sorgten gleichzeitig für die Schlagzeilen aller führenden Medien in allen Ländern. Tatsächlich betrug der Gesamtschaden durch Ransomware im letzten Jahr etwa 5 Milliarden US-Dollar. Damit sind diese Trojaner die mächtigste und raffinierteste Art von Cyberangriffen und weisen gegenüber 2016 einen Anstieg von 350% auf.

3. Führen Sie regelmäßige Sicherheitsüberprüfungen und Schwachstellentests durch, um die Eindringpunkte in Ihre Systeme klar zu verstehen.

4. Verwenden Sie eine moderne und fortschrittliche plattformübergreifende Informationssicherheitslösung mit erweiterten Schutzoptionen, z. B. für Expertenanalysen in Echtzeit. Auf diese Weise können Sie diese Arten von Angriffen verhindern und erkennen und nach dem Angriff die erforderlichen Reaktions- und Wiederherstellungsmaßnahmen ergreifen.

Der Ransomware-Virus hat die russischen Medien angegriffen, darunter Interfax, so das russische Unternehmen Group-IB. Nur ein Teil der Agentur war betroffen, da ihre IT-Services einen Teil der kritischen Infrastruktur ausschalten konnten. Dem Virus wurde die BadRabbit-ID zugewiesen.

Über den beispiellosen Virenangriff auf Interfax auf seiner Seite in Facebook berichtet stellvertretender Direktor der Agentur Yuri Pogorely. Interfax war einem beispiellosen Virenangriff ausgesetzt. Einige unserer Dienstleistungen stehen Kunden nicht zur Verfügung. Unsere Ingenieure stellen sie wieder in Betrieb. Ich entschuldige mich. Wir versuchen, uns so schnell wie möglich bei Ihnen zu melden! " - er schrieb.

Die Zentralbank warnte die Banken vor einem möglichen Cyberangriff auf den Ransomware-Virus

Zwei frühere Viren, WannaCry und Petya, haben bereits versucht, Banken anzugreifen

Laut den Beobachtungen von Vedomosti funktionieren die mobile Anwendung der Agentur und der von Interfax bereitgestellte Dienst zur Offenlegung von Aussagen russischer Unternehmen auf der Website e-disclosure.ru nicht.

Die Unterabteilungen von "Inferfax" in Großbritannien, Aserbaidschan, Weißrussland und der Ukraine sowie die Website "Interfax-Religion" funktionieren weiterhin, sagte Pogorely gegenüber Vedomosti. Es ist noch nicht klar, warum der Schaden keine Auswirkungen auf andere Geräte hatte. Möglicherweise liegt dies an der Topologie des Interfax-Netzwerks, in dem sich die Server geografisch befinden, und an dem Betriebssystem, auf dem sie installiert sind.

Zwei Mitarbeiter von "Interfax" bestätigten gegenüber "Vedomosti" das Herunterfahren von Computern. Einer von ihnen zufolge ähnelt der visuell gesperrte Bildschirm dem Ergebnis der Aktionen des berühmten Petya-Virus. Der Virus, der "Interfax" angegriffen hat, warnt Sie davor, die Dateien selbst zu entschlüsseln, und verlangt, dass Sie ein Lösegeld von 0,05 Bitcoin (283 US-Dollar) zahlen, für das Sie aufgefordert werden, eine spezielle Site im Tor-Netzwerk aufzurufen. Der Virus hat dem verschlüsselten Computer einen persönlichen Identifikationscode zugewiesen.

Nicht nur Interfax

Laut Group-IB haben zwei weitere russische Medien unter dem Ransomware-Virus gelitten, darunter die St. Petersburg-Ausgabe von Fontanka.

Fontankas Chefredakteur Alexander Gorshkov sagte gegenüber Vedomosti, dass Fontankas Server heute um 15.20 Uhr von Übeltätern angegriffen wurden. „Danach war die Website der Edition nicht mehr verfügbar und ist immer noch nicht zugänglich. Unsere Techniker bemühen sich nach Kräften, die Baustelle wieder funktionsfähig zu machen. Wir haben keinen Zweifel daran, dass diese Aktionen von Terrororganisationen begangen wurden “, sagte er.

In den letzten Wochen haben Kriminelle die Redaktion von Fontanka angegriffen und Hunderte falscher benutzerdefinierter Artikel im Internet veröffentlicht, die auf Journalisten und Herausgeber der Veröffentlichung verweisen. Darüber hinaus erhalten die Regulierungsbehörden falsche Informationen über die Aktivitäten des Herausgebers von Fontanka, JSC Azhur-Media. "Wir haben keinen Zweifel daran, dass diese Aktionen einen einzigen Kunden haben und dies sind Glieder in derselben Kette", schloss Gorshkov.

Drucken
Auch interessant:
Spionageprogramm für iPhone und Android-Smartphones
So entfernen Sie doppelte Daten in Excel
Eine Auswahl von "Hacker" -Programmen für Android
Wir empfehlen zu lesen:
So finden Sie ein verlorenes oder gestohlenes Telefon
19.12.2020
So finden Sie ein verlorenes oder gestohlenes Telefon
Installieren eines Web-Antiviren-Manuls von Yandex
19.12.2020
Installieren eines Web-Antiviren-Manuls von Yandex
Wanna Cry File Ransomware Virus - wie man Daten schützt und speichert
19.12.2020
Wanna Cry File Ransomware Virus - wie man Daten schützt und speichert
Fortsetzung des Themas:
Wie verwende ich das Manul-Antivirus von Yandex?
Smart TV
Wie verwende ich das Manul-Antivirus von Yandex?

UPD. Yandex hat die Entwicklung und Unterstützung seines Antivirus eingestellt. RIP Manul: (Zusammen mit der Firma Revisium hat Yandex ein Antivirenprogramm für Websites namens Manul veröffentlicht.

×
Neue Artikel
/
Beliebt
Fügen Sie beliebigen Code in WordPress-Posts und -Seiten ein. Finden Sie die richtigen Dienste
19.12.2020
Fügen Sie beliebigen Code in WordPress-Posts und -Seiten ein. Finden Sie die richtigen Dienste
Geräte
Optimale Nutzung von XSS-Schwachstellen Xss-Noscript-Warnung
19.12.2020
Optimale Nutzung von XSS-Schwachstellen Xss-Noscript-Warnung
Netzwerke
Suche nach Gesichtern: So finden Sie andere Fotos einer Person (Yandex und Google)
19.12.2020
Suche nach Gesichtern: So finden Sie andere Fotos einer Person (Yandex und Google)
Android
So finden Sie ein verlorenes Telefon - eine Übersicht über Programme, mit denen Sie ein fehlendes Gadget zurückgeben können
19.12.2020
So finden Sie ein verlorenes Telefon - eine Übersicht über Programme, mit denen Sie ein fehlendes Gadget zurückgeben können
das Internet
Easy CAP Video Adapter mit Audio Schnellinstallationsanleitung Online-Shop kaufen Easycap USB 2 Disk Image
19.12.2020
Easy CAP Video Adapter mit Audio Schnellinstallationsanleitung Online-Shop kaufen Easycap USB 2 Disk Image
Programme
Nützliche Plugins für Visual Studio Code
19.12.2020
Nützliche Plugins für Visual Studio Code
Windows
Überprüfen Sie die Hash-Summe. Hash-Berechnung. Grundsätze für die Verwendung von Prüfsummen
Überprüfen Sie die Hash-Summe. Hash-Berechnung. Grundsätze für die Verwendung von Prüfsummen
Ist es möglich, einen Router ohne Computer einzurichten?
Ist es möglich, einen Router ohne Computer einzurichten?
So speichern Sie ein Office-Dokument als PDF als libreoffice-Datei als PDF
So speichern Sie ein Office-Dokument als PDF als libreoffice-Datei als PDF
Abgesicherter Modus unter Android OS
Abgesicherter Modus unter Android OS
Deaktivieren Sie die Kennwortprüfung in Windows 10
Deaktivieren Sie die Kennwortprüfung in Windows 10
Die besten Programme zum Partitionieren (Aufteilen) einer Festplatte
Die besten Programme zum Partitionieren (Aufteilen) einer Festplatte
© comuedu.ru 2020 Website über Computertechnologie