Если вы не видите здесь изображений, то используйте VPN.

вторник, 1 марта 2016 г.

Введение

Предупреждён — наполовину защищён

Translation into English

Knowledge stops Ransomware before it starts
Знание остановит вымогателя до его запуска


   К сожалению, большинство пользователей не знает основ безопасности при пользовании Интернетом и его возможностями, не понимает вреда, который исходит от вредоносных программ, шифрующих файлы, пока не станет жертвой вымогательства и шифрования. Поэтому у создателей программ-вымогателей есть фора для вредоносной деятельности и реализации проектов по блокировке, шифрованию и повреждению ценных пользовательских данных. Действуя на опережение, они вымогают у пострадавших немалые денежные средства, толкая их на добывание суммы для выкупа незаконным или опасным для финансов путём.

  Экономя на безопасности и защите своих персональных и конфиденциальных данных, пользователи используют для своей защиты бесплатные антивирусы (Freeware) или программные подачки (Freemium), переходя от одной к другой, не приобретя полезных знаний и не закрепив полученных результатов хотя бы по одному антивирусному решению. См. также "Бесплатные программы и майнинг криптовалюты".

  Как показывают многолетние тесты с защитным ПО, Free-антивирусы не могут защитить от большинства угроз, основанных на уязвимостях разного типа, регулярно обнаруживаемых в ОС и приложениях. Не защитят они и от крипто-вымогателей. Даже комплексные продукты класса Internet Security с фаерволом и расширенным функционалом по обеспечению безопасности пропускают отдельные виды вымогательского ПО и хакерские инструменты удаленного управления. Чего уж говорить об Free-антивирусах, главная задача которых — реклама платных решений. 


Не экономьте на антивирусной защите своих ПК!
Покупайте антивирусы класса Internet Security или выше!


Что такое шифровальщик-вымогатель? 

Что такое программа-шантажист? 


   Шифровальщик-вымогатель (крипто-вымогатель, Сrypto-Ransomware) является одним из видов вредоносного программного обеспечения, которое, захватив управление компьютером и зашифровав файлы пользователя, вымогает деньги у пострадавшего. Требование выкупа отображается часто через обычный текстовый файл, html- или hta-файл (веб-страницы), открываемый в браузере, реже другими способами. Этот тип вредоносных программ использует удивление, смущение, страх и запугивание своих жертв, чтобы заставить их выплатить требуемый выкуп. 





История вымогательских программ

   История вымогательского ПО насчитывает более 10 лет, если начинать считать с вредоносов-вымогателей MayArchive, Krotten, Gpcode, Cryzip, Archiveus и прочие... 
   И более 20 лет, если начинать считать с исследовательской статьи "Cryptovirology: Extortion-Based Security Threats and Countermeasures" (1996), где описано использование криптологии для вредоносных целей. 
   И даже почти 30 лет, если считать от первого вируса-вымогателя, созданного в 1989 году биологом Джозефом Л. Поппом, который распространил 20000 дискет с вирусом AIDS Trojan (он же PC Cyborg) с листовками, на которых было заявлено: "вы должны возместить компенсацию и возможные убытки для PC Cyborg Corporation, или ваш микрокомпьютер прекратит функционировать как обычно." 

   Одна из первых современных Ransomware-атак с требованием денежного выкупа была реализована в марте 2006 года в России. Тогда Cryzip Ransomware (он же ZippoCrypt) перемещал файлы в защищённый паролем ZIP-архив и удалял оригиналы. В каждой папке с зашифрованными файлами оставлялась записка о выкупе AUTO_ZIP_REPORT.TXT с E-Gold-аккаунтом для выкупа. Чтобы восстановить свои файлы, жертвам приходилось перечислять требуемые 300 долларов на счёт в E-Gold. 
  Система E-Gold была предшественницей криптовалюты Bitcoin и часто использовалась мошенниками как средство анонимного платежа и обмана интернет-пользователей (например, в финансовых пирамидах). 
  Экспертам компании Sophos удалось, проанализировав код вредоноса, определить пароль дешифрования: "C:Program FilesMicrosoft Visual StudioVC98". Таким странным паролем злоумышленник видимо надеялся ввести в заблуждение специалистов, анализировавших код программы.

  За последние 1,5 года крипто-вымогатели кардинально эволюционировали, т.к. начиная с середины 2014 года их производство и распространение существенно прогрессировали. См. ниже историческую схему, отражающую частоту появления криптовымогателей. Она отражает лишь часть подобных угроз для 2016 года. В этом блоге я постараюсь восполнить недостающую информацию по крипто-вымогателям. Читайте, сверяйтесь, просвещайте других. 


Начальная Хронология (2013-2016 гг.)





Упрощённая хронологическая таблица развития Ransomware (2013-2016 гг.)


А где же взять полную хронологию развития Ransomware? - Спросите вы. 
Здесь, в блоге-дайджесте "Шифровальщик-вымогатели" (Crypto-Ransomware), справа от статей расположен "Архив статей" — это и есть полная хронология, которую нам удалось собрать и систематизировать. 


ВАЖНО ЗНАТЬ!!!

   Основные способы распространения крипто-вымогателей (шифровальщиков):

- вредоносные вложения в спамовые и фишинговые сообщения электронной почты (email);
- загрузки файлов с помощью одноранговой P2P-сети, торрентов, расшаренных ресурсов;
- троянские загрузчики и установщики (Trojan-Downloader, Backdoor, Trojan-Dropper);
- сайты, взломанные с целью заражения, размещения эксплойтов и иной компрометации;
- наборы эксплойтов (Angler, Blackhole, RIG, Nuclear, Magnitude, Stegano, Flash 0-day и новые);
- агрессивная, вредоносная реклама, баннеры, ротация, кликбейты, black SEO, инжекты;
- ссылки на изображениях, скрытые и укороченные ссылки, редирект, кликджекинг и пр.;
- загрузки файлов через специальные инструменты удалённого управления, RAT и ботнеты;
- поддельные и перепакованные дистрибутивы, поддельные обновления Windows и другого ПО;
- заражённые архивы, инсталляторы свободного, условно-бесплатного и коммерческого ПО; 
- вредоносные расширения для браузеров и ссылки на фальшивые расширения для браузеров;
- использование атак типа drive-by download, drive-by login, drive-by client и близкотипных; 
- использование файлов с легитимной цифровой подписью, выполняющих определённые функции;
- полученные ссылки на просмотр, загрузку видео, изображений, архивов, приглашения к обмену;
- сайты Даркнета, форумы кибер-андеграунда, распространители RaaS, MaaS и прочие.

   Признаки работы криптовымогателя, атаковавшего ваш ПК:
- не открываются графические и иные файлы;
- исчезли характерные для файлов значки;
- появилось странное расширение на файлах;
- текст с требованием выкупа в текстовых файлах;
- обои изменены на изображение от вымогателей;
- появился экран блокировки с требованием выкупа;
- файлы исчезли или заперты в архив под паролем.  

   Принципиальные отличия криптовымогателей от других вредоносных программ:
- использование сложных алгоритмов для шифрования (AES, RSA и др.);
- проверка работы в системе антивирусов и утилит выявления вредоносов;
- добавление файлам специальных расширений или удаление имеющихся;
- удаление всех теневых копий файлов и точек восстановления системы;
- скрытие командного сервера в доменной зоне .onion анонимной сети Tor;
- вымогание выкупа в биткоинах, долларах, Gift-картах и местной валюте;
- размещение инструкции добывания биткоинов и уплаты выкупа в них;
- предложение расшифровки одного или более зашифрованных файлов;
- эпатажное и наглое поведение (записки о выкупе, угрозы, требования);
- запуск команды самозачистки по окончании шифрования файлов.

   Нужны ли файлы шифровальщика после шифрования?
   1) После произошедшего шифрования файлов нет необходимости оставлять Crypto-Ransomware в системе и, если он сам себя не зачистил, то необходимо проверить систему антивирусным средством и удалить все найденные вирусы, чтобы шифрование не повторилось с новыми файлами.
   2) Иногда шифровальщики оставляют вспомогательные файлы (ID- и ключ-файлы), которые нужны для дешифровки после уплаты выкупа. В таких случаях конкретно указывается это в записках. Такие файлы лучше сохранить, т.к. в будущем может появиться бесплатный дешифровщик. 
   3) Если вы нашли исполняемые файлы шифровальщика, то представьте их по ссылке. Браузер Google Chrome поможет с переводом. Или упакуйте файл в архив с паролем "virus" и загрузите на сайт Sendspace. Ссылку отправьте мне через комментарии или форму для связи (см. внизу). 





  Информация, публикуемая в этом блоге, постоянно дополняется новыми фактами, которые удаётся найти. Имеется раздел Новостей. Хотите быть в курсе — сверяйтесь регулярно. 

  К вашим услугам также мой Глоссарий, где объясняются важные и непонятные слова, которые могут вам встретиться на этом сайте. Для многих объяснённых в Глоссарии слов этот сайт является первоисточником. 


 Не нашли информацию о каком-то ином шифровальщике-вымогателе? Сообщите автору блога. Возможно, что она уже есть в черновиках, но нуждается в дополнении фактами.  
Email автора закодирован с целью защиты от спама: aWQtcmFuc29td2FyZUB5YW5kZXgucnU - декодь на сайте base64decode.net


© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При любом использовании и цитировании ссылка на блог и автора обязательна.  
© Amigo-A (Andrew Ivanov): All blog articles. © Amigo-A (Andrew Ivanov): All blog articles. With any use of articles and quoting, you must in obligatory make a direct link to the blog article and name the author.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *