вторник, 1 марта 2016 г.

Введение

Предупреждён — наполовину защищён

Knowledge stops Ransomware before it starts
Знание остановит вымогателя до его запуска


   Большинство пользователей не имеют представления об элементарных основах безопасности при пользовании Интернетом и его возможностями, и не понимают вреда, который исходит от вирусов, шифрующих пользовательские файлы, пока сами не станут его жертвой. Поэтому у создателей вымогательских программ имеется широчайшее поле для их "творческой" деятельности и реализации проектов по похищению, шифрованию, уничтожению ценных пользовательских данных. Они действуют на опережение, вымогая у пострадавших немалые денежные средства и толкая их на добывание суммы для выкупа незаконным или опасным для их финансов путём.

  Экономя на безопасности и защите своих персональных и конфиденциальных данных, пользователи используют для своей защиты бесплатные антивирусы (Freeware) или программные подачки (Freemium), переходя от одной к другой, не приобретя полезных знаний и не закрепив полученных результатов хотя бы по одному антивирусному решению.

  Как показывают многолетние тесты с защитным ПО, Free-антивирусы не могут защитить от большинства угроз, основанных на уязвимостях разного типа, регулярно обнаруживаемых в ОС и приложениях. Не защитят они и от криптовымогателей. Даже комплексные продукты класса Internet Security с фаерволом и расширенным функционалом по обеспечению безопасности пропускают отдельные виды вымогательского ПО и хакерские инструменты удаленного управления. Чего уж говорить об Free-антивирусах, главная задача которых — реклама платных решений. 


НЕ экономьте на антивирусной защите!!! 
Покупайте только программы классы Internet Security!!!


Что такое шифровальщик-вымогатель? Что такое программа-вымогатель? 




   Шифровальщик-вымогатель (крипто-вымогатель, Сrypto-Ransomware) является одним из видов вредоносного программного обеспечения, которое, захватив управление компьютером и зашифровав файлы пользователя, вымогает деньги у пострадавшего. Требование выкупа отображается, как правило, через обычный текстовый файл или html-файл (веб-страницу), открываемый в браузере. Этот тип вредоносных программ использует удивление, смущение, страх и запугивание своих жертв, чтобы заставить их выплатить требуемый выкуп.

   История вымогательского ПО насчитывает почти 10 лет, если начинать считать с вредоносов-вымогателей MayArchive, Krotten, Gpcode, Cryzip, Archiveus и пр., и 20 лет, если начинать считать с исследовательской статьи "Cryptovirology: Extortion-Based Security Threats and Countermeasures" (1996), где описано использование криптологии для вредоносных целей.

  За последние 1,5 года крипто-вымогатели кардинально эволюционировали, т.к. начиная с середины 2014 года их производство и распространение существенно прогрессировали. См. ниже историческую схему, отражающую частоту появления криптовымогателей. Она отражает лишь часть подобных угроз для 2016 года. В этом блоге я постараюсь восполнить недостающую информацию по криптовымогателям. Читайте, сверяйтесь, просвещайте других. К вашим услугам мой Глоссарий, где объясняются важные и непонятные слова, которые могут вам встретиться на этом сайте.   


   Основные способы распространения крипто-вымогателей:

- вредоносные вложения в спамовые и фишинговые сообщения электронной почты (email);
- загрузки файлов с помощью одноранговой P2P-сети, торрентов, расшаренных ресурсов;
- троянские загрузчики и установщики (Trojan-Downloader, Backdoor, Trojan-Dropper);
- сайты, взломанные с целью заражения, размещения эксплойтов и иной компрометации;
- наборы эксплойтов (Angler, Blackhole, RIG, Nuclear, Magnitude, Stegano, Flash 0-day и пр.);
- агрессивная, вредоносная реклама, баннеры, ротация, кликбейты, black SEO, инжекты;
- ссылки на изображениях, скрытые и укороченные ссылки, редирект, кликджекинг и пр.;
- загрузки файлов через специальные инструменты удалённого управления, RAT и ботнеты;
- поддельные и перепакованные дистрибутивы, поддельные обновления Windows и другого ПО;
- заражённые архивы, инсталляторы свободного, условно-бесплатного и коммерческого ПО; 
- вредоносные расширения для браузеров и ссылки на фальшивые расширения для браузеров;
- использование атак типа drive-by download, drive-by login, drive-by client и близкотипных; 
- использование файлов с легитимной цифровой подписью, выполняющих определённые функции;
- полученные ссылки на просмотр, загрузку видео, изображений, архивов, приглашения к обмену.

   Признаки работы криптовымогателя, атаковавшего ваш ПК:
- не открываются графические и иные файлы;
- исчезли характерные для файлов значки;
- появилось странное расширение на файлах;
- текст с требованием выкупа в текстовых файлах;
- обои изменены на изображение от вымогателей;
- появился экран блокировки с требованием выкупа;
- файлы исчезли или заперты в архив под паролем.  

   Принципиальные отличия криптовымогателей от других вредоносных программ:
- использование сложных алгоритмов для шифрования (AES, RSA и др.);
- проверка работы в системе антивирусов и утилит выявления вредоносов;
- добавление файлам специальных расширений или удаление имеющихся;
- удаление всех теневых копий файлов и точек восстановления системы;
- скрытие командного сервера в доменной зоне .onion анонимной сети Tor;
- вымогание выкупа в биткоинах, долларах, Gift-картах и местной валюте;
- размещение инструкции добывания биткоинов и оплаты выкупа в них;
- предложение расшифровки одного или более зашифрованных файлов;
- эпатажное и наглое поведение (записки о выкупе, угрозы, требования);
- запуск команды самозачистки по окончании шифрования файлов.

   После произошедшего шифрования файлов нет необходимости оставлять Crypto-Ransomware в системе и, если он сам себя не зачистил, то необходимо проверить систему антивирусным средством и удалить все найденные вирусы, чтобы шифрование не повторилось с новыми файлами.



  Информация, публикуемая в этом блоге, постоянно дополняется новыми фактами, которые удаётся найти. Хотите быть в курсе — сверяйтесь регулярно. 
 Не нашли информацию о каком-то ином шифровальщике-вымогателе? Сообщите автору блога. Возможно, что она уже есть в черновиках. 
Email автора: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net


© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании ссылка на блог и/или автора обязательна. 

Комментариев нет:

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *