Новий спосіб захисту від вірусів-шифрувальників. Вірус шифрувальник файлів Wanna Cry - як захиститися і врятувати дані Незважаючи на націленість вірусу атаки корпоративного сектора, звичайний користувач так само не застрахований від проникнення WannaCry і можливий

Чи існує захист від шифрувальника на сьогоднішній день? Ні. Як би сумно це не звучало, але це справді так. Реального захисту немає і, мабуть, не буде. Але не варто засмучуватись, є ряд простих правил, дотримання яких допоможе знизити ризик зараження вашого комп'ютера. Перед тим, як я дам список рекомендацій, хочу заздалегідь сказати, що в цій статті я не рекламую ніяких антивірусів, а просто описую власний досвід, тому що в офісі вже двічі ловили цього шкідника. Після цих випадків і вийшов перелік рекомендацій.

Отже, насамперед варто переконатися в наявності у вас життєвого антивіруса зі свіжими базами на борту. Ми з колегами проводили експерименти з різними продуктами антивірусних компаній, на підставі одержаних результатів можу сміливо заявити, що найкращий результат показав дистрибутив Лабораторії Касперського. Ми працювали з Kaspesky Endpoint Security для бізнесу Стандартний. Число спрацьовувань на шифрувальника було понад 40%. Тому сміливо ставте антивірус, не гидуйте такими програмами.

Другим пунктом варто заборонити запуск програм із папки %AppData%. Знову ж таки, не факт, що шифрувальник працює саме з цієї папки, але як превентивний захід він себе виправдовує, скорочуючи кількість можливих векторів атак. Також шкідливість може запускатися з:

• %TEMP%
• %LOCALAPPDATA%
• %USERPROFILE%
• %WinDir%
• %SystemRoot%

Найважливішим пунктом та червоною ниткою через всю статтю лежить пункт про те, що необхідно та вкрай важливо робити резервні копії. Якщо вдома ви можете використовувати безкоштовну хмару для зберігання даних, то на робочому місці така можливість є не у всіх. Якщо ви системний адміністратор, придумайте та запустіть резервне копіювання. Якщо ви не належите до IT-відділу, уточніть у свого системного адміністратора про наявність резервного копіюваннякритично важливих даних Можете також продублювати їх у хмару. Благо безкоштовних варіантів досить багато: Яндекс Диск, Mail хмара, DropBox, Google Disk та інше.

Технічними засобами захиститися від шифрувальника практично неможливо. Тому першою лінією оборони у разі виступає сам користувач. Тільки знання та уважність можуть допомогти уникнути зараження. Найголовніше ніколи не переходьте за посиланнями та не відкривайте вкладення в листах від невідомих вам відправників. Інакше з великою ймовірністю ризикуєте втратити свої дані.

Дуже уважно перевіряйте зворотну адресу в листі, а також вкладення. Якщо ви чекаєте на лист із вкладенням від знайомого або контрагента по роботі, при отриманні такого листа переконайтеся, що лист саме від того, від кого ви чекаєте. Нехай це займе деякий час, але витрачений на перевірку час може зекономити добу відновлення даних.

За найменших підозр на компрометуючий лист негайно звертайтеся до своєї служби IT. Повірте, вам за це тільки спасибі скажуть.

Деякі різновиди шифрувальника використовують командні сервери в мережі Tor. Перед початком шифрування вони завантажують тіло вірусу із цих серверів. Мережа Tor має кілька вихідних вузлів у "великий" інтернет, які називаються нодами. Є публічні ноди, а є приховані. Як частина привентивних заходів можна на своєму роутері, якщо він дозволяє, заблокувати відомі вихідні ноди, щоб максимально ускладнити роботу вірусу. Список таких адрес можна знайти на просторах інтернету, зараз їх близько семи тисяч.

Звичайно, все описане вище не дає жодних гарантій, що ви не потрапите до списку жертв, але ці рекомендації допоможуть знизити ризик зараження. Поки не розроблено реального захисту від шифрувальника, наша головна зброя – це уважність та обережність.

Продовжує свою пригнічуючу ходу по Мережі, заражаючи комп'ютери та шифруючи важливі дані. Як захиститися від шифрувальника, захистити Windows від здирника – чи випущені латки, патчі, щоб розшифрувати та вилікувати файли?

Новий вірус-шифрувальник 2017 Wanna Cryпродовжує заражати корпоративні та приватні ПК. У щерб від вірусної атаки налічує 1 млрд доларів. За 2 тижні вірус-шифрувальник заразив щонайменше 300 тисяч комп'ютерівнезважаючи на попередження та заходи безпеки.

Вірус-шифрувальник 2017, що це- Як правило, можна «підчепити», здавалося б, на найнешкідливіших сайтах, наприклад, банківських серверах з доступом користувача. Потрапивши на жорсткий дискжертви, шифрувальник «осідає» в системній папці System32. Звідти програма відразу відключає антивірус і потрапляє до «Автозапуску». Після кожного перезавантаження програма-шифрувальник запускається до реєструпочинаючи свою чорну справу. Шифрувальник починає завантажувати собі подібні копії програм типу Ransom та Trojan. Також нерідко відбувається самореплікація шифрувальника. Процес цей може бути миттєвим, а може відбуватися тижнями – доти, доки жертва помітить недобре.

Шифрувальник часто маскується під звичайні картинки, текстові файли , але сутність завжди одна - це виконувані файли з розширенням.exe, .drv, .xvd; іноді – бібліотеки.dll. Найчастіше файл несе цілком невинне ім'я, наприклад « документ. doc», або « картинка.jpg», де розширення прописано вручну, а справжній тип файлу прихований.

Після завершення шифрування користувач бачить замість знайомих файлів набір «рандомних» символів у назві та всередині, а розширення змінюється на досі невідоме - .NO_MORE_RANSOM, .xdataта інші.

Вірус-шифрувальник 2017 Wanna Cry - як захиститися. Хотілося б відразу відзначити, що Wanna Cry – скоріше збірний термін всіх вірусів шифрувальників і здирників, оскільки останнім часом заражав комп'ютери найчастіше. Отже, мова піде про з захистіть від шифрувальників Ransom Ware, яких безліч: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Як захистити Windows від шифрувальника. – EternalBlue через протокол SMB портів.

Захист Windows від шифрувальника 2017 – основні правила:

• оновлення Windows, своєчасний перехід на ліцензійну ОС (примітка: версія XP не оновлюється)
• оновлення антивірусних баз та файрволлів на вимогу
• гранична уважність при завантаженні будь-яких файлів (милі «котики» можуть обернутися втратою всіх даних)
• резервне копіювання важливої ​​інформаціїна змінний носій.

Вірус-шифрувальник 2017: як вилікувати та розшифрувати файли.

Сподіваючись на антивірусне програмне забезпечення, можна забути про дешифратора на деякий час. У лабораторіях Касперського, Dr. Web, Avast!та інших антивірусів поки не знайдено рішення щодо лікування заражених файлів. На даний момент є можливість видалити вірус за допомогою антивірусу, але алгоритмів повернути всі «на круги своя» поки що немає.

Деякі намагаються застосувати дешифратори типу утиліти RectorDecryptorале це не допоможе: алгоритм для дешифрування нових вірусів поки не складено. Також абсолютно невідомо, як поведеться вірус, якщо він не видалений, після застосування таких програм. Часто це може обернутися стиранням всіх файлів – для науки тим, хто не хоче платити зловмисникам, авторам вірусу.

На даний момент самим ефективним способомповернути втрачені дані – це звернення до тих. підтримку постачальника антивірусної програмиВи використовуєте . Для цього слід надіслати лист, або скористатися формою для зворотнього зв'язкуна сайті виробника. У вкладення обов'язково додати зашифрований файл і, якщо така є копія оригіналу. Це допоможе програмістам у складанні алгоритму. На жаль, для багатьох вірусна атака стає повною несподіванкою, і копій немає, що в рази ускладнює ситуацію.

Кардіальні методи лікування Windowsвід шифрувальника. На жаль, іноді доводиться вдаватися до повного форматування вінчестера, що спричиняє повну зміну ОС. Багатьом спаде на думку відновлення системи, але це не вихід – навіть є «відкат» дозволить позбутися вірусу, то файли все одно залишаться зашированими.

Світ кіберзлочинів еволюціонує від кількості до якості: нових шкідливих програмстає менше, зате їхня складність підвищується. У гонку хакерських технологій включилися державні спецслужби, що підтвердив найбільший інцидент 2016-2017 рр., пов'язаний із витоком кіберозброєнь із АНБ. Хакерам знадобилися лічені дні, щоб використовувати потрапили в відкритий доступрозробки спецслужб у шахрайських цілях. Гучні інциденти в області ІБ привернули увагу до проблеми захисту даних, і глобальний ринок засобів захисту продовжує зростати високими темпами.

На даний момент зростання кіберзлочинності в цілому не настільки значне, яким воно було в 2007-2010 роках. «В той період часу кількість шкідливих програм, що створювалися, зростала дійсно за експонентом, у сотні і тисячі разів перевищуючи показники попередніх років. Останніми роками ми вийшли на «плато», і щорічні цифри за останні три роки стабільні», – розповідає Юрій Намісников, керівник російського дослідницького центру "Лабораторії Касперського" "Водночас спостерігається відразу кілька цікавих процесів, які в сумі і дають відчуття більшого розмаху дій хакерів", - зазначає співрозмовник CNews.

Серед трендів 2016-2017 років. Насамперед слід відзначити значне збільшення числа «state-sponsored» атак, які мають на меті шпигунство або критичне пошкодження інфраструктури. В області традиційної кіберзлочинності найбільшого розвитку набули складні таргетовані атаки проти великих компаній та фінансових інститутів, які розробляються з урахуванням унікального ландшафту ІТ-інфраструктури конкретної організації. Крім того, великою популярністю у зловмисників користуються програми-вимагачі, які вимагають викупу за дешифрування даних. "У сумі ці процеси дають відчуття більшого розмаху дій хакерів", - коментує Юрій Наместников.

Витік з АНБ призвів до епідемії

З подій в області ІБ насамперед звернув на себе увагу скандал, пов'язаний із втручанням хакерів у вибори в США. На ринок ІБ впливає не тільки економіка, а й геополітична ситуація у світі, стверджує Ілля Четвертнєв, заступник технічного директора компанії «Інформзахист»: «Яскравим прикладом стали останні вибори президента США, які показали, наскільки злом інформаційних системможуть вплинути країну загалом. Тому зараз до класичних об'єктів атак додалася критична інфраструктура підприємств з метою промислового шпигунства».

Крім того, у 2016 році хакери з групи Shadow Brokers викрали з американської АНБ (NSA, National Security Agency) секретні інструменти для злому. комп'ютерних мереж, у своїй джерело витоку досі . Деякі з розробок потрапили у відкритий доступ, що призвело до сумних наслідків. У травні 2017 р. вибухнула епідемія шкідливого хробака WannaCry, який розповсюджується за допомогою розробленого в АНБ експлойту EternalBlue, який використовує раніше невідому вразливість у ОС Windows. WannaCry шифрує дані на зараженому комп'ютері та вимагає викуп у криптовалюті. Загалом зараження зазнали сотні тисяч комп'ютерів по всьому світу.

Нестача цифрової гігієни

За словами Максима Пилипова, директора з розвитку бізнесу Positive Technologies в Росії, після публікації нового експлойту проходить всього 2-3 дні перед тим, як його буде використано кіберзлочинцями: «Після витоку архівів АНБ дуже багато взяли на озброєння опубліковані техніки та тактики, а в результаті вони будуть використовуватися частіше й модифікуватися зловмисниками, зокрема й більш ефективного «замітання» слідів».

«Зловмисники зміщують фокус з уразливостей у додатках на вразливості операційних системах, - Коментує технічний директор компанії «Код безпеки» Дмитро Зрячих. – Інформація про ці вразливості видобувається спецслужбами, а потім витікає на вільний ринок. Причому проблема залишається навіть після виходу оновлень для базового ПЗ: за три місяці до епідемії WannaCry Microsoft випустив патч, що запобігає зараженню, але, незважаючи на це, WannaCry заразив понад 500 тисяч комп'ютерів по всьому світу».

Проблема полягає в тому, що багато користувачів ігнорують оновлення та не встановлюють їх вчасно. Директор центру ІБ «Інфосистеми Джет» Олексій Гришинзазначає негативний вплив людського фактора: «Компанії часто забувають про базову безпеку, так звану цифрову гігієну: управління оновленнями та вразливістю, антивірусний захист, мінімізації прав користувачів, розумне управління правами доступу тощо. У таких умовах навіть не рятують нові системибезпеки».

Крім того, сучасним компаніям не завжди вдається правильно організувати права доступу тих чи інших користувачів. «Неконтрольований доступ привілейованих користувачів (як внутрішніх, так і зовнішніх: підрядників, служби підтримки, аудиторів тощо) може призвести до серйозних наслідків. Замовники ділилися випадками, коли їхні інфраструктури практично виходили з-під їхнього впливу через всемогутність підрядників та відсутність правильної організації їхньої роботи», – розповідає Олег Шабуров, керівник департаменту кібербезпеки групи компаній Softline

Бум шифрувальників

WannaCry виявилася не єдиною програмою-вимагачем, що здобула популярність у 2016-2017 р. Раніше набули поширення шкідливі утиліти Petya і BadRabbit, які також шифрують дані на ПК і потребують викупу в біткойнах за доступ до них. При цьому атаки з використанням BadRabbit мали більш таргетований характер, вражаючи в основному комп'ютери на об'єктах інфраструктури в Україні.

За даними «Лабораторії Касперського», за минулий рік програмами-шифрувальниками було атаковано 32% російських компаній, причому у 37% з них було зашифровано значні обсяги даних. Втратили всі свої цінні дані або так і не змогли відновити доступ до значної частини 31% підприємств. А заплатити викуп віддали перевагу 15% опитаних компаній (хоча це й не гарантує повернення файлів). «Основна проблема з шифрувальниками та здирниками сьогодні полягає в тому, що часто жертви погоджуються заплатити зловмисникам, оскільки не бачать іншого способу повернути доступ до своїх цінних даних», – коментує Юрій Наместников.

Інвестиції в ІБ зростають

Останні півтора-два роки були багаті на інциденти в області інформаційної безпеки, що сприяло зростанню інвестицій у захист інформаційних систем За даними IDC, за підсумками 2017 р. глобальний виторг від поставок продуктів ІБ збільшиться на 8,2% до $81,7 млрд. Подібні цифри наводять аналітики Gartner, вони прогнозують зростання на 7% до $86,4 млрд за підсумками року. При цьому сегмент ІБ розвивається швидше, ніж ринок ІТ загалом: згідно з оцінкою Gartner, глобальні витрати на ІТ за підсумками 2017 р. збільшаться лише на 2,4%. Подібну динаміку демонструє російський ринок: згідно з даними рейтингу CNews Security, за підсумками 2016 р. вітчизняні постачання ІБ збільшилися на 8% у доларах та на 18%.

Обсяг глобального ринку ІБ у 2016 р. та прогноз на 2017 р.,$ млрд

• Зараження зазнали вже понад 200 000 комп'ютерів!

Основні цілі атаки були спрямовані на корпоративний сектор, за ним потягнуло вже телекомунікаційні компанії Іспанії, Португалії, Китаю та Англії.

• Найбільшого удару було завдано по російським користувачамта компаніям. У тому числі «Мегафон», РЗ та, за непідтвердженою інформацією, Слідчий Комітет та МВС. Ощадбанк і МОЗ також повідомили про атаки на свої системи.

За розшифровку даних зловмисники вимагають викуп від 300 до 600 доларів у биткоинах (близько 17 000-34 000 рублів).

Як встановити офіційний ISO-образ Windows 10 без використання Media Creation Tool

Інтерактивна карта зараження (Клікні по карті)
Вікно з вимогою викупу
Шифрує файли наступних розширень

Незважаючи на націленість вірусу атаки корпоративного сектора, звичайний користувач також не застрахований від проникнення WannaCry і можливої ​​втрати доступу до файлів.

• Інструкція із захисту комп'ютера та даних у ньому від зараження:

1. Виконайте інсталяцію програми Kaspersky System Watcher , яка оснащена вбудованою функцією відкату змін, що виникли від дій шифрувальника, якій таки вдалося обійти засоби захисту.

2. Користувачам антивірусника від «Лабораторії Касперського» рекомендується перевірити, щоб було включено функцію «Моніторинг системи».

3. Користувачам антивірусника від ESET NOD32 для Windows 10 впроваджено функцію перевірки нових доступних оновлень ОС. Якщо ви потурбувалися заздалегідь і вона була у вас включена, то всі необхідні нові оновлення Windows будуть встановлені і ваша система буде повністю захищена від цього вірусу WannaCryptor та інших схожих атак.

4. Також у користувачів продуктів ESET NOD32 є така функція в програмі, як детектування ще невідомих загроз. Цей методзаснований на використання поведінкових, евристичних технологій.

Якщо вірус веде себе як вірус – найімовірніше, це вірус.

Технологія хмарної системи ESET LiveGrid з 12 травня відбивав дуже успішно всі напади атак даного вірусу і все це відбувалося ще до надходження до оновлення сигнатурних баз.

5. Технології ESET надають захищеність у тому числі й пристроям з минулими системами Windows XP, Windows 8 та Windows Server 2003 ( рекомендуємо відмовитися від використання даних застарілих систем). Через високій рівень загрози, для даних ОС, Microsoft прийняла рішення випустити оновлення. Завантажити їх.

6. Для зниження до мінімуму загрози заподіяння шкоди вашому ПК, необхідно в терміновому порядку виконати оновлення своєї версії Windows 10: Пуск - Параметри - Оновлення та безпека - Перевірка наявності оновлень (в інших випадках: Пуск - Всі програми - Windows Update - Пошук оновлень - Завантажити та інсталювати).

7. Виконайте встановлення офіційного патчу (MS17-010) від Microsoft, який виправляє помилку сервера SMB, через яку може проникнути вірус. Цей серверзадіяний у цій атаці.

8. Перевірте, щоб на вашому комп'ютері були запущені та у робочому стані всі наявні інструменти безпеки.

9. Перевірте віруси всієї системи. При оголенні шкідливої ​​атаки під назвою MEM: Trojan.Win64.EquationDrug.gen, перезавантажте систему.

І ще раз вам рекомендую перевірити, щоб були встановлені патчі MS17-010.

В даний час фахівці "Лабораторії Касперського", "ESET NOD32" та інших антивірусних продуктів, ведуть активну роботу над написанням програми для дешифрування файлів, що допоможе користувачам заражених ПК для відновлення доступу до файлів.