вторник, 1 марта 2016 г.

Введение

Предупреждён — наполовину защищён

Knowledge stops Ransomware before it starts
Знание остановит вымогателя до его запуска


   К сожалению, наверное большинство пользователей не знает основ безопасности при пользовании Интернетом и его возможностями, не понимает вреда, который исходит от вредоносных программ, шифрующих файлы, пока не станет жертвой вымогательства и шифрования. Поэтому у создателей программ-вымогателей есть фора для вредоносной деятельности и реализации проектов по блокировке, шифрованию и повреждению ценных пользовательских данных. Действуя на опережение, они вымогают у пострадавших немалые денежные средства, толкая их на добывание суммы для выкупа незаконным или опасным для финансов путём.

  Экономя на безопасности и защите своих персональных и конфиденциальных данных, пользователи используют для своей защиты бесплатные антивирусы (Freeware) или программные подачки (Freemium), переходя от одной к другой, не приобретя полезных знаний и не закрепив полученных результатов хотя бы по одному антивирусному решению.

  Как показывают многолетние тесты с защитным ПО, Free-антивирусы не могут защитить от большинства угроз, основанных на уязвимостях разного типа, регулярно обнаруживаемых в ОС и приложениях. Не защитят они и от криптовымогателей. Даже комплексные продукты класса Internet Security с фаерволом и расширенным функционалом по обеспечению безопасности пропускают отдельные виды вымогательского ПО и хакерские инструменты удаленного управления. Чего уж говорить об Free-антивирусах, главная задача которых — реклама платных решений. 


Не экономьте на антивирусной защите своих ПК!
Покупайте антивирусы класса Internet Security или выше!


Что такое шифровальщик-вымогатель? Что такое программа-вымогатель? 




   Шифровальщик-вымогатель (крипто-вымогатель, Сrypto-Ransomware) является одним из видов вредоносного программного обеспечения, которое, захватив управление компьютером и зашифровав файлы пользователя, вымогает деньги у пострадавшего. Требование выкупа отображается часто через обычный текстовый файл, html- или hta-файл (веб-страницы), открываемый в браузере, реже другими способами. Этот тип вредоносных программ использует удивление, смущение, страх и запугивание своих жертв, чтобы заставить их выплатить требуемый выкуп. 



История вымогательских программ

   История вымогательского ПО насчитывает почти 10 лет, если начинать считать с вредоносов-вымогателей MayArchive, Krotten, Gpcode, Cryzip, Archiveus и прочие... 
   И 20 лет, если начинать считать с исследовательской статьи "Cryptovirology: Extortion-Based Security Threats and Countermeasures" (1996), где описано использование криптологии для вредоносных целей. 
   И даже 27 лет, если считать от первого вируса-вымогателя, созданного в 1989 году биологом Джозефом Л. Поппом, который распространил 20000 дискет с вирусом AIDS Trojan (он же PC Cyborg) с листовками, на которых было заявлено: "вы должны возместить компенсацию и возможные убытки для PC Cyborg Corporation, или ваш микрокомпьютер прекратит функционировать как обычно." 

   Одна из первых современных Ransomware-атак с требованием денежного выкупа была реализована в марте 2006 года в России. Тогда Cryzip Ransomware (он же ZippoCrypt) перемещал файлы в защищённый паролем ZIP-архив и удалял оригиналы. В каждой папке с зашифрованными файлами оставлялась записка о выкупе AUTO_ZIP_REPORT.TXT с E-Gold-аккаунтом для выкупа. Чтобы восстановить свои файлы, жертвам приходилось перечислять требуемые 300 долларов на счёт в E-Gold. 
  Система E-Gold была предшественницей криптовалюты Bitcoin и часто использовалась мошенниками как средство анонимного платежа и обмана интернет-пользователей (например, в финансовых пирамидах). 
  Экспертам компании Sophos удалось, проанализировав код вредоноса, определить пароль дешифрования: "C:Program FilesMicrosoft Visual StudioVC98". Таким странным паролем злоумышленник видимо надеялся ввести в заблуждение специалистов, анализировавших код программы.

  За последние 1,5 года крипто-вымогатели кардинально эволюционировали, т.к. начиная с середины 2014 года их производство и распространение существенно прогрессировали. См. ниже историческую схему, отражающую частоту появления криптовымогателей. Она отражает лишь часть подобных угроз для 2016 года. В этом блоге я постараюсь восполнить недостающую информацию по крипто-вымогателям. Читайте, сверяйтесь, просвещайте других. 


Начальная Хронология (2013-2016 гг.)



Упрощённая хронологическая таблица развития Ransomware (2013-2016 гг.)


ВАЖНО ЗНАТЬ!!!

   Основные способы распространения крипто-вымогателей (шифровальщиков):

- вредоносные вложения в спамовые и фишинговые сообщения электронной почты (email);
- загрузки файлов с помощью одноранговой P2P-сети, торрентов, расшаренных ресурсов;
- троянские загрузчики и установщики (Trojan-Downloader, Backdoor, Trojan-Dropper);
- сайты, взломанные с целью заражения, размещения эксплойтов и иной компрометации;
- наборы эксплойтов (Angler, Blackhole, RIG, Nuclear, Magnitude, Stegano, Flash 0-day и пр.);
- агрессивная, вредоносная реклама, баннеры, ротация, кликбейты, black SEO, инжекты;
- ссылки на изображениях, скрытые и укороченные ссылки, редирект, кликджекинг и пр.;
- загрузки файлов через специальные инструменты удалённого управления, RAT и ботнеты;
- поддельные и перепакованные дистрибутивы, поддельные обновления Windows и другого ПО;
- заражённые архивы, инсталляторы свободного, условно-бесплатного и коммерческого ПО; 
- вредоносные расширения для браузеров и ссылки на фальшивые расширения для браузеров;
- использование атак типа drive-by download, drive-by login, drive-by client и близкотипных; 
- использование файлов с легитимной цифровой подписью, выполняющих определённые функции;
- полученные ссылки на просмотр, загрузку видео, изображений, архивов, приглашения к обмену;
- сайты Даркнета, форумы кибер-андеграунда, распространители RaaS, MaaS и прочие.

   Признаки работы криптовымогателя, атаковавшего ваш ПК:
- не открываются графические и иные файлы;
- исчезли характерные для файлов значки;
- появилось странное расширение на файлах;
- текст с требованием выкупа в текстовых файлах;
- обои изменены на изображение от вымогателей;
- появился экран блокировки с требованием выкупа;
- файлы исчезли или заперты в архив под паролем.  

   Принципиальные отличия криптовымогателей от других вредоносных программ:
- использование сложных алгоритмов для шифрования (AES, RSA и др.);
- проверка работы в системе антивирусов и утилит выявления вредоносов;
- добавление файлам специальных расширений или удаление имеющихся;
- удаление всех теневых копий файлов и точек восстановления системы;
- скрытие командного сервера в доменной зоне .onion анонимной сети Tor;
- вымогание выкупа в биткоинах, долларах, Gift-картах и местной валюте;
- размещение инструкции добывания биткоинов и оплаты выкупа в них;
- предложение расшифровки одного или более зашифрованных файлов;
- эпатажное и наглое поведение (записки о выкупе, угрозы, требования);
- запуск команды самозачистки по окончании шифрования файлов.

   После произошедшего шифрования файлов нет необходимости оставлять Crypto-Ransomware в системе и, если он сам себя не зачистил, то необходимо проверить систему антивирусным средством и удалить все найденные вирусы, чтобы шифрование не повторилось с новыми файлами.



  Информация, публикуемая в этом блоге, постоянно дополняется новыми фактами, которые удаётся найти. Имеется раздел Новостей. Хотите быть в курсе — сверяйтесь регулярно. 


  К вашим услугам также мой Глоссарий, где объясняются важные и непонятные слова, которые могут вам встретиться на этом сайте. Для многих объяснённых в Глоссарии слов этот сайт является первоисточником. 

 Не нашли информацию о каком-то ином шифровальщике-вымогателе? Сообщите автору блога. Возможно, что она уже есть в черновиках. 
Email автора: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net


© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании ссылка на блог и/или автора обязательна. 

Комментариев нет:

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton