ウイルス攻撃ランサムウェア。 WannaCryファイル暗号化ウイルス-データを保護および保存する方法。 最新の変更

セキュリティ対策

規制当局は、銀行に対し、システム全体の特別なソフトウェアを更新し、アンチウイルスをインストールして更新したことを確認することを推奨しています。 FinCertは、金融機関のコンピューターネットワークをセグメント化し、ファイアウォール設定を確認することも推奨しています。規制されていないネットワークアドレスへの接続をブロックする必要があります。 重要な情報システムとデータベースをバックアップすることもお勧めします。

さらに、規制当局は、疑わしい電子メールメッセージに注意を払い、疑わしいサイトにアクセスしないように銀行員に指示することをお勧めします。

中央銀行の代表者はVedomostiに、2017年3月から8月まで、中央銀行はすでに身代金について銀行に6回警告していたと語った。

同時に、銀行は4月にWannaCryランサムウェアウイルスの危険性について警告を受けました。 5月12日、ハッカーがWannaCryウイルスであるFinCERTを銀行に使用して世界中の多くの組織を攻撃しようとしていることが判明した後、警告を繰り返しました。 影響を受けた銀行の名前はそのメッセージで明らかにされませんでした。 ウイルスが試みたことが知られているが、金融機関によると、ハッカーは彼らのシステムに侵入しなかった。

Petyaランサムウェアウイルスから、ロシアの銀行部門。 「攻撃の結果、孤立した感染例が記録されました」とFinCERTは書いています。 攻撃の影響を受けた有名な銀行の中には「」があります。 銀行は、クライアントとトランザクションに関するデータが危険にさらされていないと述べました。

Vedomostiがインタビューした銀行の代表者は、中央銀行の勧告は定期的であり、金融\u200b\u200b機関で従われていると述べています。

潜在的なサイバー攻撃

Solar JSOC Cyber\u200b\u200b Threat MonitoringCenterのアナリストであるAlexeyPavlovは、監視センターには新しいハッカー攻撃の準備に関するデータはありませんが、過去数日間、銀行を含むさまざまな業界の組織がランサムウェアの活動の可能性について警告を受けたと新聞に語りました。

Kaspersky Labでの新しい攻撃に関する情報はありません、と詐欺の研究と分析グループの責任者であるDenisGorchakovは言います。 彼は、FinCERTの手紙は、エネルギー部門の脅威に関する警告に関連していると示唆しています。前夜、8月9日、新しいサイバー攻撃が近い将来に実行される可能性があるということです。

ハッカー攻撃の脅威に関連して、電力会社は、8月4日から8月14日まで、企業ネットワークのユーザーのインターネットへのアクセスを制限し、不明な送信者からの添付ファイルを開かないように、また電子メールでサードパーティのリンクをたどらないように従業員に警告するように支店の取締役に要請しました。

信用金融分野におけるコンピューター攻撃の監視と対応のためのセンター（FinCERT）は、サイバーセキュリティを扱う中央銀行の構造です。 ロシア安全保障評議会の決定により2015年に作成されました。 銀行は、検出されたコンピューター攻撃に関する情報を中央銀行（カードアカウント、リモートサービスシステム、銀行サイト）に送信し、その後、専門家がこのデータを分析し、問題の原因を特定し、分析結果を市場参加者と法執行機関に送信します。

Doctor Webスペシャリストは、新しいランサムウェアトロイの木馬を研究しています Trojan.Encoder.12544 、メディアではPetya、Petya.A、ExPetya、WannaCry-2と呼ばれています。 マルウェアの予備分析に基づいて、Doctor Webは感染を回避する方法に関する推奨事項を提供し、感染がすでに発生している場合の対処方法を示し、攻撃の技術的な詳細を開示します。

騒ぎ立てた身代金ワーム Trojan.Encoder.12544 MicrosoftWindowsを実行しているパーソナルコンピュータに深刻な脅威をもたらします。 さまざまな情報源は、Petyaとして知られているトロイの木馬の修正としてそれを参照しています（ Trojan.Ransom.369）、 だが Trojan.Encoder.12544 彼との類似点はいくつかあります。 この悪意のあるプログラムは、多くの政府機関、銀行、商業組織の情報システムに侵入し、いくつかの国のユーザーのPCに感染しました。

現時点では、このトロイの木馬は、サイバー犯罪者がWannaCryトロイの木馬の犠牲者をコンピューターに注入するために以前に使用したのと同じ一連の脆弱性を使用してコンピューターに感染することが知られています。 大量分布 Trojan.Encoder.12544 2017年6月27日の朝に始まりました。 攻撃されたコンピューターで起動されると、トロイの木馬はいくつかの方法でローカルネットワーク上で利用可能なPCを検索し、その後、受信したIPアドレスのリストを使用してポート445および139のスキャンを開始します。これらのポートが開いているネットワーク上のマシンを見つけると、 Trojan.Encoder.12544 SMBプロトコル（MS17-10）のよく知られた脆弱性を使用してそれらに感染しようとします。

このトロイの木馬の本体には4つの圧縮リソースが含まれており、そのうち2つはWindowsで開いているセッションのパスワードを傍受するように設計されたMimikatzユーティリティの32ビットバージョンと64ビットバージョンです。 OSのビット数に応じて、対応するバージョンのユーティリティを解凍し、一時フォルダに保存してから起動します。 Mimikatzユーティリティの使用、および他の2つの方法 Trojan.Encoder.12544 感染したコンピューターで許可されたローカルユーザーとドメインユーザーのリストを取得します。 次に、書き込み可能なネットワークフォルダーを探し、受け取った資格情報を使用してそれらを開こうとし、そこにコピーを保存します。 彼がアクセスすることができたコンピューターに感染するために、 Trojan.Encoder.12544 ユーティリティを使用してリモートコンピュータのPsExec（トロイの木馬のリソースにも保存されています）または標準のコンソールユーティリティを使用してWmic.exeオブジェクトを呼び出します。

エンコーダは、C：\\ Windows \\フォルダに保存されているファイルを使用して再起動を制御します。 このファイルの名前は、拡張子のないトロイの木馬の名前に対応しています。 攻撃者によって現在配布されているサンプルワームの名前はperfc.datであるため、ワームの再実行を妨げるファイルの名前はC：\\ Windows \\ perfcになります。 ただし、サイバー犯罪者がトロイの木馬の元の名前を変更した場合、拡張子のないC：\\ Windows \\フォルダーにperfcという名前のファイルを作成しても（一部のウイルス対策会社がアドバイスしているように）、コンピューターが感染から保護されなくなります。 さらに、このトロイの木馬は、ファイルが十分なオペレーティングシステム特権を持っている場合にのみ、ファイルの存在をチェックします。

起動されると、トロイの木馬は自身の特権を設定し、自身のコピーをメモリにロードして、制御を転送します。 次に、エンコーダーはディスク上の自身のファイルをジャンクデータで上書きして削除します。 まず第一に Trojan.Encoder.12544 C：ドライブのVBR（ボリュームブートレコード）が破損し、ドライブの最初のセクターがガベージデータでいっぱいになります。 次に、ランサムウェアは、XORアルゴリズムを使用して以前に暗号化した元のWindowsブートレコードをディスクの別の部分にコピーし、代わりに独自のレコードを書き込みます。 次に、コンピューターを再起動するタスクを作成し、ローカル物理ディスクで見つかったすべてのファイルの暗号化を開始します。拡張子は.3ds、.7z、.accdb、.ai、.asp、.aspx、.avhd、.back、.bak、.c、 .cfg、.conf、.cpp、.cs、.ctl、.dbf、.disk、.djvu、.doc、.docx、.dwg、.eml、.fdb、.gz、.h、.hdd、.kdbx 、.mail、.mdb、.msg、.nrg、.ora、.ost、.ova、.ovf、.pdf、.php、.pmf、.ppt、.pptx、.pst、.pvi、.py、。 pyc、.rar、.rtf、.sln、.sql、.tar、.vbox、.vbs、.vcb、.vdi、.vfd、.vmc、.vmdk、.vmsd、.vmx、.vsdx、.vsv、 .work、.xls、.xlsx、.xvd、.zip。

このトロイの木馬は、コンピューターの固定ディスク上のファイルのみを暗号化します。各ディスク上のデータは、個別のストリームで暗号化されます。 暗号化はAES-128-CBCアルゴリズムを使用して実行され、ディスクごとに個別のキーが作成されます（これは、他の研究者によって注目されていないトロイの木馬の特徴的な機能です）。 このキーはRSA-2048アルゴリズムを使用して暗号化され（他の研究者は800ビットキーが使用されると報告しています）、README.TXTと呼ばれるファイルで暗号化されたディスクのルートフォルダーに保存されます。 暗号化されたファイルは、追加の拡張子を受け取りません。

以前に作成したタスクを完了すると、コンピューターが再起動し、制御がトロイの木馬のブートレコードに移されます。 感染したコンピューターの画面に、標準のCHDISKディスクスキャンユーティリティのメッセージに似たテキストが表示されます。

2017年はランサムウェアの年でした。これは、中小企業およびホームユーザーにとって最も重大なサイバーセキュリティの脅威です。 このような攻撃は、世界中の多くのコンピューターで身代金を要求する一方で、すべての国のすべての主流メディアの見出しを捉えました。 実際、昨年のランサムウェアによる被害総額は約50億ドルであり、これらのトロイの木馬は最も強力で洗練されたタイプのサイバー攻撃となり、2016年と比較して350％の増加を示しています。

3.定期的なセキュリティ監査と脆弱性テストを実施して、システムへの侵入ポイントを明確に理解します。

4.リアルタイムの専門家分析など、高度な保護オプションを備えた最新の高度なマルチプラットフォーム情報セキュリティソリューションを使用します。 これにより、これらのタイプの攻撃を防止および検出し、攻撃後に必要な対応および回復アクションを実行できます。

ロシアの会社Group-IBによると、ランサムウェアウイルスはロシアのメディアを攻撃しました。その1つがInterfaxです。 ITサービスが重要なインフラストラクチャの一部をオフにすることができたため、影響を受けたのは代理店の一部のみでした。 ウイルスにはBadRabbit識別子が割り当てられています。

のページにあるInterfaxに対する前例のないウイルス攻撃について フェイスブック 報告 代理店ユーリ・ポゴレリーの副所長。 Interfaxは前例のないウイルス攻撃に直面しました。 一部のサービスはご利用いただけません。 私たちのエンジニアはそれらを機能するように復元しています。 謝罪します。 できるだけ早くご連絡を差し上げます！」 - 彼が書きました。

中央銀行は、ランサムウェアウイルスのサイバー攻撃の可能性について銀行に警告しました

以前の2つのウイルスWannaCryとPetyaはすでに銀行を攻撃しようとしました

Vedomostiの見解によると、e-disclosure.ruWebサイトでロシア企業の声明を開示するためにInterfaxが提供する代理店のモバイルアプリケーションとサービスは機能しません。

英国、アゼルバイジャン、ベラルーシ、ウクライナの「インフェルファックス」の細分化とサイト「インターファックス-宗教」は引き続き機能している、とポゴレリーはヴェドモスティに語った。 損傷が他の部門に影響を与えなかった理由はまだ明らかではありません。おそらくこれは、サーバーが地理的に配置されているInterfaxネットワークのトポロジと、サーバーにインストールされているオペレーティングシステムが原因であると彼は言います。

「Interfax」の2人の従業員は、「Vedomosti」にコンピューターの切断を確認しました。 そのうちの1人によると、視覚的にロックされた画面は、有名なPetyaウイルスのアクションの結果に似ています。 「Interfax」を攻撃したウイルスは、自分でファイルを復号化しようとしないように警告し、0.05ビットコイン（283ドル）の身代金を支払う必要があります。そのため、Torネットワークの特別なサイトにアクセスするように勧められます。 ウイルスは、暗号化されたコンピューターに個人識別コードを割り当てました。

Interfaxだけでなく

さらに2つのロシアのメディアがランサムウェアウイルスに苦しんでおり、そのうちの1つはフォンタンカのサンクトペテルブルク版であるとGroup-IBは指定しています。

Fontankaの編集長であるAlexanderGorshkovは、Fontankaのサーバーが今日15.20にサイバー犯罪者によって攻撃されたとVedomostiに語った。 「その後、エディションのWebサイトは利用できなくなり、まだアクセスできません。 当社の技術スペシャリストは、サイトを機能するように復元するためにあらゆる努力をしています。 これらの行動がテロ組織によって行われたことは間違いありません」と彼は言いました。

過去数週間にわたって、犯罪者はフォンタンカの編集局を攻撃し、ジャーナリストや出版物の編集者に言及して、インターネット上に何百もの誤った委託記事を投稿してきました。 さらに、規制当局には、フォンタンカの発行者であるJSCAzhur-Mediaの活動に関する誤った情報が与えられていると彼は言います。 「これらのアクションには単一の顧客がいて、これらは同じチェーン内のリンクであることは間違いありません」とGorshkov氏は結論付けました。