Το ransomware επιτίθεται σε ιούς. Wanna Cry file encryption virus - πώς να προστατεύσετε και να αποθηκεύσετε δεδομένα. Νεότερες τροποποιήσεις

Μέτρα ασφαλείας

Η ρυθμιστική αρχή προτείνει στις τράπεζες να βεβαιωθούν ότι έχουν ενημερωθεί σε ολόκληρο το σύστημα και ειδικό λογισμικό, έχουν εγκαταστήσει και ενημερώσει antivirus. Η FinCert συνιστά επίσης την τμηματοποίηση των δικτύων υπολογιστών των χρηματοπιστωτικών ιδρυμάτων και τον έλεγχο των ρυθμίσεων τείχους προστασίας - θα πρέπει να αποκλείουν συνδέσεις σε μη ρυθμιζόμενες διευθύνσεις δικτύου. Συνιστάται επίσης η δημιουργία αντιγράφων ασφαλείας κρίσιμων συστημάτων πληροφοριών και βάσεων δεδομένων.

Επιπλέον, η ρυθμιστική αρχή συμβουλεύει να δώσει εντολή στους υπαλλήλους των τραπεζών να δώσουν προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και να μην επισκέπτονται αμφισβητήσιμους ιστότοπους.

Ένας εκπρόσωπος της Κεντρικής Τράπεζας είπε στο Vedomosti ότι από τον Μάρτιο έως τον Αύγουστο του 2017, η Κεντρική Τράπεζα είχε ήδη προειδοποιήσει τις τράπεζες για ransomware έξι φορές.

Ταυτόχρονα, οι τράπεζες προειδοποιήθηκαν για τον κίνδυνο του ιού WannaCry ransomware τον Απρίλιο. Στις 12 Μαΐου, όταν έγινε γνωστό για τις απόπειρες των χάκερ να επιτεθούν σε διάφορους οργανισμούς σε όλο τον κόσμο χρησιμοποιώντας τον ιό WannaCry, το FinCERT στις τράπεζες, μετά την οποία επανέλαβε την προειδοποίησή του. Τα ονόματα των τραπεζών που επηρεάστηκαν δεν αποκαλύφθηκαν σε αυτό το μήνυμα. Είναι γνωστό ότι ο ιός προσπάθησε, ωστόσο, σύμφωνα με την οικονομική οργάνωση, οι χάκερ δεν διείσδυσαν στα συστήματά τους.

Από τον ιό Petya ransomware, τον ρωσικό τραπεζικό τομέα. «Ως αποτέλεσμα των επιθέσεων, καταγράφηκαν μεμονωμένα κρούσματα λοίμωξης», έγραψε το FinCERT. Μεταξύ των γνωστών τραπεζών που επηρεάζονται από την επίθεση είναι οι "". Η τράπεζα είπε ότι τα δεδομένα για πελάτες και συναλλαγές δεν είχαν παραβιαστεί.

Οι εκπρόσωποι των τραπεζών που πήραν συνέντευξη από τον Vedomosti σημειώνουν ότι οι συστάσεις της Κεντρικής Τράπεζας είναι τακτικές και εφαρμόζονται σε χρηματοπιστωτικά ιδρύματα.

Πιθανή επίθεση στον κυβερνοχώρο

Ο Alexey Pavlov, αναλυτής στο Solar JSOC Cyber \u200b\u200bThreat Monitor Center, δήλωσε στην εφημερίδα ότι τις τελευταίες ημέρες, οργανισμοί σε διάφορες βιομηχανίες, συμπεριλαμβανομένων των τραπεζών, έλαβαν προειδοποιήσεις σχετικά με την πιθανή δραστηριότητα του ransomware, αν και το κέντρο παρακολούθησης δεν έχει στοιχεία για την προετοιμασία μιας νέας επίθεσης χάκερ.

Δεν υπάρχουν πληροφορίες σχετικά με τη νέα επίθεση στο Kaspersky Lab, λέει ο Denis Gorchakov, επικεφαλής της ομάδας έρευνας και ανάλυσης της απάτης. Προτείνει ότι η επιστολή FinCERT σχετίζεται με μια προειδοποίηση για απειλή στον ενεργειακό τομέα: την παραμονή, στις 9 Αυγούστου, ότι θα μπορούσε να πραγματοποιηθεί μια νέα επίθεση στον κυβερνοχώρο στο εγγύς μέλλον, γ.

Σε σχέση με την απειλή επίθεσης χάκερ, η εταιρεία ενέργειας ζήτησε από τους διευθυντές των υποκαταστημάτων της να περιορίσουν την πρόσβαση των χρηστών του εταιρικού δικτύου στο Διαδίκτυο από τις 4 Αυγούστου έως τις 14 Αυγούστου και επίσης προειδοποιεί τους υπαλλήλους να μην ανοίγουν συνημμένα από άγνωστους αποστολείς και να μην ακολουθούν συνδέσμους τρίτων με e-mail.

Το Κέντρο Παρακολούθησης και Ανταπόκρισης σε Επιθέσεις Υπολογιστών στην Πιστωτική και Χρηματοοικονομική Σφαίρα (FinCERT) είναι μια δομή της Κεντρικής Τράπεζας που ασχολείται με την ασφάλεια στον κυβερνοχώρο. Δημιουργήθηκε το 2015 με απόφαση του Ρωσικού Συμβουλίου Ασφαλείας. Οι τράπεζες αποστέλλουν πληροφορίες σχετικά με τις εντοπισμένες επιθέσεις σε υπολογιστή στην Κεντρική Τράπεζα (σε λογαριασμούς καρτών, συστήματα απομακρυσμένων υπηρεσιών, τοποθεσίες τραπεζών), μετά την οποία οι ειδικοί αναλύουν αυτά τα δεδομένα, εντοπίζουν τις αιτίες των προβλημάτων και στέλνουν τα αποτελέσματα ανάλυσης στους συμμετέχοντες στην αγορά και στις υπηρεσίες επιβολής του νόμου.

Οι ειδικοί του Doctor Web μελετούν ένα νέο Trojan ransomware Trojan.Encoder.12544 , αναφέρονται στα μέσα ενημέρωσης ως Petya, Petya.A, ExPetya και WannaCry-2. Με βάση μια προκαταρκτική ανάλυση του κακόβουλου λογισμικού, το Doctor Web παρέχει συστάσεις σχετικά με τον τρόπο αποφυγής μόλυνσης, λέει τι να κάνει εάν η λοίμωξη έχει ήδη συμβεί και αποκαλύπτει τις τεχνικές λεπτομέρειες της επίθεσης.

Το σκουλήκι ransomware που έκανε πολύ θόρυβο Trojan.Encoder.12544 αποτελεί σοβαρή απειλή για προσωπικούς υπολογιστές που χρησιμοποιούν Microsoft Windows. Διάφορες πηγές το αναφέρουν ως τροποποίηση του Τρώου που είναι γνωστό ως Petya ( Trojan.Ransom.369), αλλά Trojan.Encoder.12544 έχει μόνο κάποιες ομοιότητες μαζί του. Αυτό το κακόβουλο πρόγραμμα έχει διεισδύσει στα συστήματα πληροφοριών ορισμένων κυβερνητικών υπηρεσιών, τραπεζών και εμπορικών οργανισμών, καθώς και μολυσμένων υπολογιστών χρηστών σε διάφορες χώρες.

Προς το παρόν, είναι γνωστό ότι ο Trojan μολύνει υπολογιστές χρησιμοποιώντας το ίδιο σύνολο τρωτών σημείων που χρησιμοποιούνταν προηγουμένως από εγκληματίες στον κυβερνοχώρο για να εγχύσουν τα θύματα του WannaCry Trojan σε υπολογιστές. Κατανομή μάζας Trojan.Encoder.12544 ξεκίνησε το πρωί στις 27 Ιουνίου 2017. Όταν ξεκίνησε σε έναν υπολογιστή που δέχθηκε επίθεση, ο Trojan αναζητά υπολογιστές που είναι διαθέσιμοι στο τοπικό δίκτυο με διάφορους τρόπους, μετά τον οποίο ξεκινά τη σάρωση των θυρών 445 και 139 χρησιμοποιώντας τη λίστα των ληφθέντων διευθύνσεων IP. Έχοντας βρει μηχανές στο δίκτυο που έχουν αυτές τις θύρες ανοιχτές Trojan.Encoder.12544 προσπαθεί να τους μολύνει χρησιμοποιώντας μια γνωστή ευπάθεια στο πρωτόκολλο SMB (MS17-10).

Στο σώμα του, το Trojan περιέχει 4 συμπιεσμένους πόρους, 2 εκ των οποίων είναι 32- και 64-bit εκδόσεις του βοηθητικού προγράμματος Mimikatz που έχουν σχεδιαστεί για να παρακολουθούν τους κωδικούς πρόσβασης των ανοιχτών συνεδριών στα Windows. Ανάλογα με το bitness του λειτουργικού συστήματος, αποσυσκευάζει την αντίστοιχη έκδοση του βοηθητικού προγράμματος, το αποθηκεύει σε έναν προσωρινό φάκελο και, στη συνέχεια, το εκτελεί. Χρησιμοποιώντας το βοηθητικό πρόγραμμα Mimikatz, καθώς και με δύο άλλους τρόπους Trojan.Encoder.12544 λαμβάνει μια λίστα με τοπικούς χρήστες και χρήστες τομέα που έχουν εξουσιοδοτηθεί στον μολυσμένο υπολογιστή. Στη συνέχεια αναζητά εγγράψιμους φακέλους δικτύου, προσπαθεί να τους ανοίξει χρησιμοποιώντας τα διαπιστευτήρια που έλαβε και αποθηκεύει ένα αντίγραφο εκεί. Για να μολύνει υπολογιστές στους οποίους κατάφερε να αποκτήσει πρόσβαση, Trojan.Encoder.12544 χρησιμοποιεί το βοηθητικό πρόγραμμα PsExec για τον έλεγχο ενός απομακρυσμένου υπολογιστή (αποθηκεύεται επίσης στους πόρους του Trojan) ή το τυπικό βοηθητικό πρόγραμμα κονσόλας για την κλήση αντικειμένων Wmic.exe.

Ο κωδικοποιητής ελέγχει την επανεκκίνηση του χρησιμοποιώντας ένα αρχείο που αποθηκεύει στο φάκελο C: \\ Windows \\. Αυτό το αρχείο έχει ένα όνομα που αντιστοιχεί στο όνομα του Trojan χωρίς την επέκταση. Επειδή το δείγμα worm που διανέμεται επί του παρόντος από τους εγκληματίες στον κυβερνοχώρο ονομάζεται perfc.dat, το αρχείο που το εμποδίζει να εκτελεστεί ξανά θα ονομάζεται C: \\ Windows \\ perfc. Ωστόσο, εάν οι εγκληματίες του κυβερνοχώρου αλλάξουν το αρχικό όνομα του Trojan, η δημιουργία ενός αρχείου με το όνομα perfc στο φάκελο C: \\ Windows \\ χωρίς επέκταση (όπως προτείνουν ορισμένες εταιρείες προστασίας από ιούς) δεν θα σώσει πλέον τον υπολογιστή από μόλυνση. Επιπλέον, ο Trojan ελέγχει την ύπαρξη ενός αρχείου μόνο εάν διαθέτει επαρκή δικαιώματα λειτουργικού συστήματος για να το κάνει.

Μόλις ξεκινήσει, ο Trojan δημιουργεί προνόμια για τον εαυτό του, φορτώνει το δικό του αντίγραφο στη μνήμη και μεταφέρει τον έλεγχο σε αυτό. Στη συνέχεια, ο κωδικοποιητής αντικαθιστά το δικό του αρχείο σε δίσκο με ανεπιθύμητα δεδομένα και το διαγράφει. Πρωτα απο ολα Trojan.Encoder.12544 καταστρέφει το VBR (Volume Boot Record) του δίσκου C: ο πρώτος τομέας του δίσκου είναι γεμάτος με δεδομένα απορριμμάτων. Στη συνέχεια, το ransomware αντιγράφει την αρχική εγγραφή εκκίνησης των Windows σε άλλο μέρος του δίσκου, αφού προηγουμένως την κρυπτογράφησε χρησιμοποιώντας τον αλγόριθμο XOR και γράφει το δικό του αντί αυτού. Στη συνέχεια, δημιουργεί μια εργασία για επανεκκίνηση του υπολογιστή και αρχίζει να κρυπτογραφεί όλα τα αρχεία που βρίσκονται σε τοπικούς φυσικούς δίσκους με επεκτάσεις. .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx , .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py ,. pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Το Trojan κρυπτογραφεί αρχεία μόνο σε σταθερούς δίσκους του υπολογιστή, τα δεδομένα σε κάθε δίσκο κρυπτογραφούνται σε ξεχωριστή ροή. Η κρυπτογράφηση πραγματοποιείται χρησιμοποιώντας αλγόριθμους AES-128-CBC και δημιουργείται ξεχωριστό κλειδί για κάθε δίσκο (αυτό είναι ένα ξεχωριστό χαρακτηριστικό του Trojan που δεν έχει παρατηρηθεί από άλλους ερευνητές). Αυτό το κλειδί κρυπτογραφείται χρησιμοποιώντας τον αλγόριθμο RSA-2048 (άλλοι ερευνητές ανέφεραν ότι χρησιμοποιείται ένα κλειδί 800-bit) και αποθηκεύεται στον ριζικό φάκελο του κρυπτογραφημένου δίσκου σε ένα αρχείο που ονομάζεται README.TXT. Τα κρυπτογραφημένα αρχεία δεν λαμβάνουν επιπλέον επέκταση.

Μετά την ολοκλήρωση της προηγουμένως δημιουργηθείσας εργασίας, ο υπολογιστής επανεκκινείται και ο έλεγχος μεταφέρεται στην εγγραφή Trojan boot. Εμφανίζει κείμενο στην οθόνη ενός μολυσμένου υπολογιστή που μοιάζει με το μήνυμα του τυπικού βοηθητικού προγράμματος σάρωσης δίσκου CHDISK.

Το 2017 ήταν η χρονιά του ransomware - η πιο σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο για μικρές, μεσαίες και μεγάλες επιχειρήσεις και οικιακούς χρήστες. Τέτοιες επιθέσεις απαιτούν λύτρα σε πολλούς υπολογιστές σε όλο τον κόσμο, ενώ καταγράφουν τα πρωτοσέλιδα όλων των mainstream μέσων σε όλες τις χώρες. Στην πραγματικότητα, πέρυσι η συνολική ζημιά από ransomware ανήλθε σε περίπου 5 δισεκατομμύρια δολάρια ΗΠΑ, καθιστώντας αυτούς τους Trojans τον πιο ισχυρό και εξελιγμένο τύπο επίθεσης στον κυβερνοχώρο, παρουσιάζοντας αύξηση 350% σε σύγκριση με το 2016.

3. Πραγματοποιήστε τακτικούς ελέγχους ασφαλείας και δοκιμές ευπάθειας για να κατανοήσετε με σαφήνεια τα σημεία διείσδυσης στα συστήματά σας.

4. Χρησιμοποιήστε μια σύγχρονη και προηγμένη λύση ασφάλειας πληροφοριών πολλαπλών πλατφορμών με προηγμένες επιλογές προστασίας, όπως για ανάλυση ειδικών σε πραγματικό χρόνο. Αυτό θα σας επιτρέψει να αποτρέψετε και να εντοπίσετε αυτούς τους τύπους επιθέσεων και να πραγματοποιήσετε τις απαιτούμενες ενέργειες απόκρισης και ανάκτησης μετά την επίθεση.

Ο ιός ransomware επιτέθηκε στα ρωσικά μέσα ενημέρωσης, ένα από τα οποία είναι η Interfax, σύμφωνα με τη ρωσική εταιρεία Group-IB. Επηρεάστηκε μόνο ένα μέρος του οργανισμού, καθώς οι υπηρεσίες πληροφορικής του κατάφεραν να απενεργοποιήσουν μέρος της κρίσιμης υποδομής. Στον ιό έχει εκχωρηθεί το αναγνωριστικό BadRabbit.

Σχετικά με την άνευ προηγουμένου επίθεση ιών στο Interfax στη σελίδα του στο Facebook έχουν αναφερθεί Αναπληρωτής διευθυντής του οργανισμού Yuri Pogorely. Το Interfax αντιμετώπισε μια άνευ προηγουμένου επίθεση ιών. Ορισμένες από τις υπηρεσίες μας δεν είναι διαθέσιμες στους πελάτες. Οι μηχανικοί μας τα αποκαθιστούν στη δουλειά. ΖΗΤΩ συγγνωμη. Προσπαθούμε να επικοινωνήσουμε μαζί σας το συντομότερο δυνατόν! " - έγραψε.

Η Κεντρική Τράπεζα προειδοποίησε τις τράπεζες για πιθανή επίθεση στον κυβερνοχώρο του ιού ransomware

Δύο προηγούμενοι ιοί WannaCry και Petya έχουν ήδη προσπαθήσει να επιτεθούν σε τράπεζες

Σύμφωνα με τις παρατηρήσεις της Vedomosti, η εφαρμογή για κινητά του οργανισμού και η υπηρεσία που παρέχει η Interfax για την αποκάλυψη των δηλώσεων των ρωσικών εταιρειών στον ιστότοπο του e-disclosure.ru δεν λειτουργούν.

Οι υποδιαιρέσεις του "Inferfax" στη Μεγάλη Βρετανία, το Αζερμπαϊτζάν, τη Λευκορωσία και την Ουκρανία και ο ιστότοπος "Interfax-θρησκεία" συνεχίζουν να λειτουργούν, δήλωσε ο Pogorely στο Vedomosti. Δεν είναι ακόμη σαφές γιατί η ζημιά δεν επηρέασε άλλα τμήματα, ίσως αυτό οφείλεται στην τοπολογία του δικτύου Interfax, όπου οι διακομιστές βρίσκονται γεωγραφικά και το λειτουργικό σύστημα που είναι εγκατεστημένο σε αυτούς, λέει.

Δύο υπάλληλοι της "Interfax" επιβεβαίωσαν στην "Vedomosti" την αποσύνδεση των υπολογιστών. Σύμφωνα με έναν από αυτούς, η οπτικά κλειδωμένη οθόνη είναι παρόμοια με το αποτέλεσμα των ενεργειών του διάσημου ιού της Petya. Ο ιός που επιτέθηκε στο "Interfax" προειδοποιεί ότι δεν πρέπει να προσπαθήσετε να αποκρυπτογραφήσετε τα αρχεία μόνοι σας και απαιτεί από εσάς να πληρώσετε λύτρα 0,05 bitcoin (283 $), για τα οποία σας προσκαλεί να μεταβείτε σε έναν ειδικό ιστότοπο στο δίκτυο Tor. Ο ιός εκχώρησε έναν προσωπικό κωδικό αναγνώρισης στον κρυπτογραφημένο υπολογιστή.

Όχι μόνο το Interfax

Δύο ακόμη ρωσικά μέσα ενημέρωσης έχουν υποφέρει από τον ιό ransomware, ένα από τα οποία είναι η έκδοση της Αγίας Πετρούπολης του Fontanka, σύμφωνα με το Group-IB.

Ο αρχισυντάκτης του Fontanka, Alexander Gorshkov, δήλωσε στο Vedomosti ότι οι διακομιστές της Fontanka δέχτηκαν επίθεση από malefactors σήμερα στις 15.20. «Μετά από αυτό, ο ιστότοπος της έκδοσης δεν ήταν διαθέσιμος και εξακολουθεί να είναι απρόσιτος. Οι τεχνικοί μας καταβάλλουν κάθε δυνατή προσπάθεια για να αποκαταστήσουν τον ιστότοπο για να λειτουργήσει. Δεν έχουμε καμία αμφιβολία ότι αυτές οι ενέργειες διαπράχθηκαν από τρομοκρατικές οργανώσεις », είπε.

Τις τελευταίες εβδομάδες, εγκληματίες επιτέθηκαν στο συντακτικό γραφείο του Fontanka, δημοσιεύοντας εκατοντάδες ψευδή άρθρα που έχουν ανατεθεί στο Διαδίκτυο με αναφορές σε δημοσιογράφους και εκδότες της έκδοσης. Επιπλέον, οι ρυθμιστικές αρχές λαμβάνουν ψευδείς πληροφορίες σχετικά με τις δραστηριότητες του εκδότη του Fontanka, JSC Azhur-Media, λέει. «Δεν έχουμε καμία αμφιβολία ότι αυτές οι ενέργειες έχουν έναν μόνο πελάτη και αυτοί είναι σύνδεσμοι στην ίδια αλυσίδα», κατέληξε ο Γκορσκόφ.