В последнее время многократно участились случаи обращения ко мне людей с одной и той же проблемой: в результате тех или иных действий их компьютер становился жертвой троянов-вымогателей, полностью либо частично блокирующих доступ к компьютеру или браузеру и требующих отправить SMS на короткий номер, чтобы получить код разблокировки и тем самым от него избавиться. За 3 дня 5 обращений! Посмотрев на методы, которыми люди боролись с данной напастью, решил изложить более гуманные (чем переустановка Windows ) способы борьбы с ней.
Заражения происходили разными способами. В большинстве случаев пациент говорил «оно само», очевидно полагая, что я тут же в это поверю, но находились и смелые люди, объяснявшие ничего не стесняясь, как это произошло и на какого рода сайтах эта зараза была подцеплена. Большинство заражений происходили после перехода по заманчивой ссылке в интернете.
Например «Посмотри как развлекаются звезды шоу-бизнеса!» или еще чего покруче. Далее либо сразу следовало заражение через дырявый браузер, либо предложение скачать и установить «дополнение к flash player «, якобы позволяющее посмотреть это самое видео. Некоторым людям ссылка пришла в Mail . ru -агенте, от проверенных друзей. Некоторые и сами не понимают, откуда подцепили…
Итак, вы стали жертвой программы-вымогателя, которая мешает работать и требует отправить SMS с кодом на короткий номер, чтобы получить код разблокировки и тем самым избавить вас от себя. Текст, который показывает такая программа может быть абсолютно разным. Я видел варианты и про какую-то программу-downloader, у которой якобы кончилась лицензия, и про подписку на эротическое видео (при этом кроме текста демонстрировались соответствующие картинки), так же были вариации на тему активации Windows , а то и просто одни знаки вопроса вместо русских букв. В общем, фантазия дерьмописателей таких дерьмопрограмм достаточно богата. (а вот с русским языком у них проблема, сразу видно — неграмотная школота).
Вирусы Ransomware блокировщики и вымогатели
Что делать? Прежде всего — не паниковать. Ни в коем случае не вздумайте отправлять SMS на указанный номер . Мало того, что вы потеряете деньги, так еще и простимулируете злоумышленника продолжать свою деятельность! Пусть этот гад несет убытки (короткий SMS -номер денег стоит, да и написание и раскрутка этого дерьма занимает время)! Никаких СМС.
Как бы там в программе вам не угрожали. Мы не идем на переговоры с террористами!
Дальнейшие действия зависят от того, как именно вас поимели. Вариантов несколько:
1. Потерян контроль только над браузером. Это когда компьютер работает нормально, но при открытии браузера появляется либо баннер, либо страничка требующая отправить SMS. (пока не важно какой браузер, Internet Explorer , Mozilla FireFox и Opera одинаково подвержены заражению, правда Internet Explorer заразить гораздо проще)
2. Частично потерян контроль над компьютером. В этом случае посреди экрана висит большое окно требующее от вас отправить SMS. Оно не закрывается никакими комбинациями клавиш, но при этом можно открыть меню «Пуск» и запустить какую-либо программу. Кроме того, окно не занимает всю площадь экрана.
Widows заблокирован.Компьютер заблокирован за просмотр порно. Вирус баннер или вымогатель.
3. Контроль над компьютером потерян полностью. Тут уже полный трындец: компьютер загружается, но весь экран закрыть окном требующим денег и больше ни на что компьютер не реагирует. Никакие комбинации (включая Ctrl+Alt+Del) не помогают.
Если потерян контроль над браузером
Итак, компьютер работает нормально, но открывая Internet Explorer , Mozilla FireFox или Opera видим нехорошую бяку. Что делать?
1. Попробуйте восстановить систему до состояния предшествующего заражению. Способ актуален для всех Windows начиная с Windows XP . Для этого заходим «Пуск»-> «Все программы»->»Стандартные»->»Служебные»->»Восстановление системы».
В Windows разных версий восстановление системы выглядит по разному, поэтому буду описывать применительно к Windows XP . Если спросят какую задачу мы хотим выполнить, выбираем «Восстановление более раннего состояния компьютера». Далее, в календарике слева выбираем точку восстановления ранее момента заражения, т.е. например, если заражение произошло сегодня, лучше выбрать точку восстановления ближайшую к текущей дате, например вчера.
Дни, для которых есть точки восстановления в Windows XP отмечаются на календаре жирным шрифтом. В Windows 7 точки восстановления показаны списком, где в первой колонке стоит дата и время создания точки. Итак, выбираем точку ранее момента заражения, жмем «Далее», компьютер перезагрузится и начнет процедуру восстановления. В 80% случаев этот способ мне помог быстро и безболезненно привести компьютер в чувства.
2. Если восстановление системы не помогло, или нет точек восстановления, или просто не охота им пользоваться, тогда будем копать глубже. Для каждого браузера индивидуально.
Для Internet Explorer — Запускаем Internet Explorer, заходим в меню «Сервис» и выбираем либо «Управление надстройками» либо «Надстройки» (зависит от версии IE). В открывшемся окне проходимся по всем надстройкам, имеющим состояние «Включено» и выключаем их (либо переключателем внизу окна, либо кнопкой «Отключить», зависит от версии IE). После этого закрываем Internet Explorer и запускаем его еще раз — все должно быть нормально
Для Mozilla FireFox — Открываем меню Tools (Инструменты) — Add — ons (Дополнения). Проверяем все закладки: Extensions (Расширения), Themes (Темы), Plugins (Надстройки). Отключаем все подозрительное.
Для Opera — Заходим в настройки: Tools (Инструмены) — Preferences (Настройки). На последней закладке Advanced (Дополнительно) выбираем 4-й пункт Content (Содержимое) и нажимаем справа кнопку « JavaScript Options …» («Настроить JavaScript «). Удаляем содержимое текстового поля « User JavaScript files » («Папка пользовательских файлов JavaScript «)
Если частично потерян контроль над компьютером
Итак, висит гадкое окошко, но компьютер реагирует на команды и позволяет запускать программы. Это хорошо. Даже если окно трояна нам мешает, окно другой программы можно подвигать под ним так, чтобы увидеть или выбрать что-нибудь. Это радует. Итак:
1. Попробуйте восстановить систему до состояния предшествующего заражению. Как это сделать описано в предыдущем разделе в пункте 1. Придется поерзать окошком восстановления системы под окошком трояна так, чтобы все увидеть и выбрать. Но это не сложно. В 80% случаев на компьютерах клиентов восстановление мне помогло.
2. Если не удалось запустить восстановление системы или его окно закрывается окном трояна так, что ничего там сделать нельзя — попробуйте загрузить Windows в безопасном режиме. Если в безопасном режиме окна вымогателя не будет — запускайте восстановление и вперед.
3. Если восстановление системы не удалось, или этот способ вам не подходит — попробуйте вычислить код, который заставит троянца закрыться. Сделать это можно на сайте Сервис деактивации вымогателей-блокеров Лаборатории Касперского или на аналогичной странице сайта антивируса DrWeb .
Если вы плохо разбираетесь в компьютерах и на данном этапе у вас ничего не вышло — рекомендую обратиться за помощью к профессионалам, т.к. перечисленные дальше способы могут вызвать у вас затруднения.
4. Способы 1-3 не прокатили ? Пора пускать в ход тяжелую артиллерию. Качаем с сайта Sysinternals программу Process Explorer. Запускаем ее и видим список процессов, которые запущены в системе. Ищем подозрительные процессы и удаляем их, предварительно запоминая пути к запущенным файлам.
Если после удаления процесса окно дерьмопрограммы исчезло — значит идем по запомненному пути и убиваем эту сволочь. А заодно поищем ее в реестре и удалим ссылки на нее и оттуда.
Ничего не помогает? Почитайте статью Лаборатории Касперского Способы борьбы с программами-вымогателями класса Trojan-Ransom. Там достаточно хорошо изложены методы борьбы.
Если контроль над компьютером потерян полностью
Этот вариант значительно хуже, т.к. требует определенного багажа знаний для борьбы. Если вы не обладаете такими знаниями — рекомендую обратиться к профессионалам. Людям с опытом посоветую следующее:
1. Загрузить систему в безопасном режиме с поддержкой командной строки и вычислить процесс, блокирующий работу системы. Например утилитой Марка Руссиновича Process Explorer.
2. Загрузить систему в безопасном режиме с поддержкой командной строки и пройтись по списку автозапуска с помощью утилиты Марка Руссиновича Autoruns удалив все подозрительное.
3. Можно восстановить вручную реестр из системной контрольной точки восстановления. Для этого понадобится любой Windows Live CD , например BartPE . Грузимся с Live CD , заходим в C : System Volume Information и ищем там последнюю или предпоследнюю точку восстановления (папка типа RPxxx где xxx — номер точки восстановления) ищем там копии ключей реестра и заменяем ими рабочие ключи в папке C:WindowsSystem32config. Если надо объяснить подробнее, как это делается — пишите в комментариях, допишу подробности.
Заключение
Иногда, помогает способ «ничего не делать». Попадались мне такие программы, которые сами исчезали спустя несколько часов. Видимо, дерьмоавторы этих дерьмопрограмм таким образом страхуются от уголовного кодекса…
К сожалению, последний ублюдок на земле умрет не в нашей жизни, поэтому надо быть готовым ко всему. Однако, как говорят врачи, проще предупредить болезнь, чем лечить ее. А посему, дам несколько советов, как не попасть в положение, когда эта статья — последнее средство:
1. Не кликайте по сомнительным ссылкам! Трижды подумайте, а надо ли вам знать, как отрываются звезды у себя на даче? Броские заголовки потому и броские, чтобы завлекать наивных простачков!
2. Не пользуйтесь Internet Explorer -ом. Скачайте Opera или Mozilla FireFox . Эти браузеры гораздо менее дырявы, чем детище Microsoft
3. Регулярно обновляйте Windows . Очень много гадости проникает не только через браузеры, но и через дыры самой Windows .
4. Пользуйтесь хорошим антивирусом! Не жалейте денег! Не думайте, что бесплатный антивирус даст вам 100% защиту. Ее не даст даже платный. Но если сравнивать — платные решения всегда лучше бесплатных.
Из платных рекомендую русские разработки, например Антивирус Касперского или DrWeb, т.к. они более заточены под вирусы, обитающие на территории нашего государства. Из иностранческих решений рекомендую решение компании ESET: ESET Nod32. Еще больше можно защитить компьютер если использовать не просто антивирусы, а их более продвинутые версии, совмещенные с файерволлом. Стоят они немножко дороже, но в добавок к антивирусной защите дают так же защиту от проникновения на ваш компьютер хакеров, зловредных программ из интернета, из почты, в общем, являются средством тотальной защиты. У Касперского такой пакет называется Kaspersky Internet Security, у Доктора Веба Dr.Web Security Space, у нода ESET NOD32 Smart Security.
5. Регулярно обновляйте антивирус. Почему-то об этом люди тоже не думают. Сидят с базами двухлетней давности, и думают что защищены…
В общем, будьте бдительны! Вы — на войне! Интернет не только великое благо, но и притон мошенников. Стоит зазеваться — и вы уже на крючке.
За сим прощаюсь. Благодарности, как обычно, принимаются здесь.
Спасибо freeman _ net за помощь в подготовке статьи.
PS: Если Вы хотите приобрести антивирус, но не знаете какой лучше, определиться с выбором может помочь обучающий видеокурс «Защита компьютера от вирусов».
PPS: Вопросы и предложения приветствуются. Спрашивайте, помогу чем могу.
Источник: hardisoft.ru
WannaCry — это только начало? Утилиты против злобных интернет-вымогателей
Программы-вымогатели, подобные WannaCry, не новы. Они предпочитают ОС Windows, шифруют файлы и должны расшифровывать их после выплаты так называемого «выкупа». Однако платить ни в коем случае не стоит, хотя бы потому, что нет никаких гарантий того, что ваши файлы расшифруют. Мы расскажем, как можно защититься от таких угроз, и как вы можете удалить вымогателя-троянца.
Лучшая защита от вымогателей-троянцев
Исполненный благих намерений совет: инвестируйте немного времени в организацию защиты от вредоносных программ, и оно непременно окупится. Ведь если вымогатель-троянец однажды проникнет в вашу систему, последствия могут стать действительно катастрофичными. В настоящее время это можно увидеть по вирусу WannaCry, который парализовал множество Windows-компьютеров по всему миру.
При этом лучшая защита от подобных угроз — это своевременная установка обновлений Windows плюс регулярное создание резервных копий данных. Все это делается стандартными средствами операционной системы, но вы можете воспользоваться и такими дополнительными утилитами, как Macrium Reflect или Paragon Backup Co. Используйте такие инструменты, как RansomFree, Malwarebytes Anti-Ransomware или CryptoPrevent в качестве дополнительной защиты.
В том случае, если вы точно не знаете, каким вымогателем была повержена ваша система, помощь предлагает бесплатное веб-приложение ID Ransomware. Вам достаточно загрузить ReadMe-файл с требованиями вируса-вымогателя или зашифрованный им файл, чтобы почти сразу получить сведения о том, какой именно вирус к поразил ваш ПК.
Эта информация может быть очень полезной для составления плана лечения. Хорошим примером программного обеспечения для борьбы с вымогателями является Ransomware Removal Kit. Здесь вы получите моментальную помощь против десяти вредоносных программ такого рода, а также советы по профилактике и идентификации вирусов.
Удаляем вымогателя. Часть 1: троянец
Когда требуется удалить вымогателя, следует помнить о различиях между вымогателем-троянцем и шифрованием. Утилит, которые ищут известные программы-вымогатели и могут удалить их (например, TrendMicro Anti-Ransomware, специализирующаяся на вымогателях, блокирующих рабочий стол) создано достаточно много. Полезным здесь окажется и антивирусный сканер.
Если есть подозрения, что в систему проник именно вымогатель-троянец, то нужно немедленно изолировать пораженный компьютер от Интернета и создать на чистом компьютере загрузочный диск с несколькими антивирусными сканерами. Хорошую службу тут может сослужить бесплатная программа под названием Sardu.
Удаляем вымогателя. Часть 2: шифрование
Конечно, основной задачей является победа над самим троянцем, но зачастую пользователи сталкиваются еще с одной задачей — расшифровка файлов, до которых добрался троянец. Это второй шаг, и он является самым хлопотным во всей теме борьбы с вымогателями-троянцами.
Если вымогатели используют простое шифрование, то вам можно попробовать предпринять брутфорс-атаку. Но шансы на успех при этом очень низкие. Иногда экспертам по безопасности удается найти уязвимости в методах шифрования, которые затем могут использоваться для взлома.
При этом вы должны действовать следующим образом: прежде всего, узнайте, какой именно шифровальщик поработал с вашими файлами. Затем вам нужно искать подходящий инструмент для дешифровки. Например, бесплатная программа TeslaDecoder помогает справиться с последствиями работы вымогателя-троянца TeslaCrypt. Другими средствами, которые можно попробовать применить к зашифрованным файлам, являются Panda Ransomware Decrypt или Kaspersky Ransomware Decryptor.
Средства против вымогателей-троянцев:
| Троян | Средство защиты | Средство для удаления | Взлом шифрования и восстановление данных |
| WannaCry | Malwarebytes Anti-Ransomware | Sardu | нет доступного решения; попробуйте Revuva или TestDisk |
| Bitcryptor | Malwarebytes Anti-Ransomware | Sardu | Kaspersky Ransomware Decryptor |
| CryptoLocker | Malwarebytes Anti-Ransomware | Sardu | нет доступного решения; попробуйте Revuva или TestDisk |
| Cryptowall | Malwarebytes Anti-Ransomware | Sardu | нет доступного решения; попробуйте Revuva или TestDisk |
| CTB-Locker | Malwarebytes Anti-Ransomware | Sardu | нет доступного решения; попробуйте Revuva или TestDisk |
| Jigsaw | Malwarebytes Anti-Ransomware | Sardu | Jigsaw Decryptor |
| Locky | Malwarebytes Anti-Ransomware | Sardu | нет доступного решения; попробуйте Revuva или TestDisk |
| Petya | Malwarebytes Anti-Ransomware | Sardu | Petya Sector Extractor |
| TeslaCrypt | Malwarebytes Anti-Ransomware | Sardu | TeslaDecoder или ESET TeslaDecryptor |
| AutoLocky | Malwarebytes Anti-Ransomware | Sardu | Emsisoft Decrypter для AutoLocky |
| Alpha | Malwarebytes Anti-Ransomware | Sardu | Alpha Decrypter |
Крайние меры против вымогателей
Тот, кто пострадал от действий программ-вымогателей и чья система больше не может работать, при определенных обстоятельствах с помощью программ для восстановления данных может вернуть важные файлы. Речь идет о таких программах, как Recuva или TestDisk, которые позволяют восстановить удаленные файлы. В случае с вымогателями-троянцами они могут быть полезными для того, чтобы найти версию файла, еще не зашифрованную злоумышленниками.
Мнение Chip: побеспокойтесь о защите заранее
Вымогатель-троянец на компьютере — это настоящая проблема, которой, однако, легко можно избежать. Своевременно применяйте обновления Windows, регулярно делайте резервные копии и защищайте систему антивирусным сканером и утилитами для борьбы с вымогателями. Если троянцу все-таки удастся пробиться сквозь все рубежи защиты, то благодаря бэкапу вы сможете быстро вернуть систему в нормальное рабочее состояние. В любом случае, удаление вредоносного ПО и расшифровка закодированных данных потребуют значительно больше времени. Причем нет никакой гарантии, что последнее получится сделать.
Источник: ichip.ru
Программы-вымогатели — бич современного предприятия
На первый взгляд простейшим (и единственным) решением проблемы является уплата выкупа, однако в этой ситуации важно понимать, что никаких гарантии? последующей расшифровки и восстановления файлов не существует.
erid: LjN8KRuAv
ИТ Медиа
erid: LjN8KRuAv
ИТ Медиа
Есть ли ИТ-специалист, который ни разу не сталкивался с криптолокерами, или программами-вымогателями (ransomware), при том, что именно эта угроза сегодня считается одной из самых опасных в теневой индустрии киберпреступников? На мероприятиях по кибербезопасности, где я достаточно часто выступаю, задавая этот вопрос, всегда вижу лес рук.
Кто-то подходит в перерывах и на ушко говорит, что тоже сталкивался, но постеснялся поднимать руку. Это действительно бич современного предприятия, приносящий преступникам колоссальную прибыль — до $1 млрд в год (только за первые три месяца 2016-го «в казну» преступников поступило $209 млн, полученных от жертв вымогателей).
И это несмотря на то, что сама по себе угроза вымогательства со стороны вредоносного ПО не является чем-то новым. Первые примеры известны еще с конца 1980-х.
Но именно сегодня стечение несколько обстоятельств привело к тому, что криптолокеры стали самым доходным видом вредоносных программ: · легкое и эффективное шифрование на пользовательских компьютерах; · популярность эксплойт-китов, осуществляющих заражение компьютеров; · фишинг, заставляющий пользователей посещать вредоносные сайты или открывать вредоносные вложения; · готовность платить выкуп шантажистам. Пользователи и организации, ставшие жертвой программ-вымогателей, находятся в незавидном положении — приходится верить кибершантажисту.
На первый взгляд простейшим (и единственным) решением проблемы является уплата выкупа, однако в этой ситуации важно понимать, что никаких гарантии? последующей расшифровки и восстановления файлов не существует. Ошибки в ранних версиях некоторых программ-вымогателей приводили к полной утрате файлов даже в случае уплаты выкупа.
Но авторы криптолокеров тоже не стоят на месте и постоянно модифицируют и свои творения, и свою тактику. Например, при повторном заражении (а таких случаев немало) тем же самым вымогательским ПО его авторами запрашивалась меньшая сумма выкупа — своего рода «скидка» для «постоянных клиентов».
Также встречается и противоположный подход: сумма выкупа увеличивается, если при первой атаке пользователь не торопится платить злоумышленнику. При этом преступники даже могут устанавливать крайние сроки (таймеры), по истечении которых увеличивается сумма выкупа или безвозвратно уничтожаются ключи шифрования. Процедура заражения Как происход заражение криптолокером?
Основными векторами кибершантажистов являются электронная почта и вредоносная реклама. Однако некоторые организаторы атак пользуются уязвимостями сетей и серверов в сети Интернет.
Невысокая квалификация пользователей часто приводит к тому, что они, не задумываясь, кликают на приходящих им почтовых сообщениях, содержащих либо уже вредоносные вложения, либо ссылки на сайт с таким вредоносным вложением. При в эксплойт-китах, благодаря которым программы-вымогатели превратились в столь серьезную угрозу, по-прежнему эффективно используются уязвимости Adobe Flash.
Например, недавний анализ популярного эксплойт-кита Nuclear, выполненный силами аналитиков по безопасности Cisco, показал, что на технологию Flash приходится 80% успешных попыток проникновения в систему. И даже несмотря на то, что сама Adobe постепенно сворачивает поддержку и развитие Flash, этот канал распространения будет еще долго очень популярным — ведь он по умолчанию включен во многие браузеры (исключая платформу Apple iOS).
Рекламные сети невольно (или намеренно) также начинают играть все большую роль в распространении вредоносной рекламы и таким образом способствуют формированию новой бизнес-модели для хакеров, которую можно назвать «вредоносная реклама как услуга». Организаторы атак покупают рекламные места на популярных веб-сайтах с хорошей репутацией, чтобы разместить на них вредоносный контент.
Таким образом, преступники получают возможность распространять угрозы посредством самых разных, никак не связанных между собой веб-сайтов. Реклама отображается в течение короткого времени, и его почти всегда недостаточно для выявления угрозы.
Рекламные сети используют различные виды таргетирования, например по типу и версии браузера, что облегчает преступникам задачу организации адресных атак в отношении конкретных категории? пользователей, включая отбор, скажем, по языковому признаку. При этом рекламные места приобретаются для показа рекламы, непосредственно инфицирующей компьютеры, или же для переадресации пользователей на страницу с зараженными файлами.
Нередко наблюдается и многократная переадресация. Иногда заражение происходит в фоновом режиме без прямого взаимодействия пользователя с вредоносным рекламным содержимым, что еще больше усложняет процесс защиты.
Разумной и недорогой ответной мерой для борьбы с распространением критоплокеров через рекламные баннеры на сайтах становятся средства блокировки рекламы или скриптов в веб-страницах. Они приобретают особую актуальность в связи с появлением разнообразных видов атак, при которых заражение системы и загрузка вредоносного ПО происходят без прямого участия пользователя.
Однако есть крупные поставщики онлайн-контента, требующие от своих посетителей отключить подобную блокировку, поскольку значительная часть прибыли этих компании? непосредственно связана с интернет-рекламой. И пользователи, как и специалисты по безопасности, стоят перед дилеммой — отключить рекламу при доступе к тем или иным сайтам или блокировать эти сайты, если они отказываются отображать информацию пользователю, имеющему блокировщик.
Почему платят выкуп? Кстати, почему пользователи платят выкуп? Все очень просто. Злоумышленники, распространяющие программы-вымогатели, проводят собственные маркетинговые исследования, чтобы определить идеальную цену для выбранной целевой аудитории (в разных странах эти суммы обычно разные).
Взятая на вооружение идея состоит в том, что требуемый размер выкупа не должен быть неподъемным для жертвы и уж тем более не должен побудить пользователя обратиться к органам правопорядка. В итоге сумма больше напоминает раздражающий платеж. Пользователи платят. На Западе средняя плата составляет $300–500.
У нас это значение доходит до 5–10 тыс. рублей, что сопоставимо со стоимостью расшифровки данных, в какую оценивают свои работы некоторые антивирусные компании. Недавно было обнаружено несколько кампании?, разработанных и запущенных с целью заражения определенных групп пользователей, в частности любителей онлайн-игр.
Некоторые разработчики вымогательского ПО также создали варианты криптолокеров на таких необычных языках, как исландский, чтобы убедиться, что пользователи в регионах, где преимущественно распространен тот или иной язык, не игнорировали сообщение программы-вымогателя. Все направлено на то, чтобы повысить эффективность подобных программ и получать баснословные доходы (до нескольких десятков миллионов долларов на одно семейство вымогательского ПО).
А почему же тогда злоумышленников никто не ловит, если известно, кому надо заплатить выкуп? Почти все транзакции, связанные с программами-вымогателями, выполняются через анонимную сеть Tor. Осуществляя платежи, злоумышленники полагаются на криптовалюту биткойн — она позволяет сохранить анонимность пользователей, и поэтому органам правопорядка труднее отслеживать транзакции.
Биткойн допускает разделение на дробные части, вот почему даже один биткойн можно распределить между всеми участниками атаки, то есть расплатиться со всеми сторонами удобным и абсолютно анонимным способом. А чтобы поддерживать хорошую репутацию на рынке, заключающуюся в возможности выполнить свое обещание предоставить доступ к зашифрованным файлам после оплаты, многие операторы программ-вымогателей организовали работу офиса поддержки заказчиков, по сути, копируя деятельность рынка ПО, только со знаком минус.
Инновации криптолокеров На что еще можно обратить внимание, анализируя последние семейства вымогательского ПО? К инновациям я бы отнес: · Маркировку уже зашифрованных систем (чтобы не тратить усилия на уже занятый плацдарм). · Индивидуальное шифрование для каждой цели с возможностью выбора каталогов и типов файлов. · Устойчивость управления и контроля, в т.ч. полное отсутствие инфраструктуры контроля и управления, не позволяющее обнаружить и перехватить управление вредоносной кампанией. · Применение уже зараженных компьютеров.
Некоторые авторы вредоносного ПО, понимая, что в тои? или иной системе может присутствовать и другая «инфекция», пытаются использовать ее для распространения собственного вредоносного ПО. · Самораспространение. Самораспространяющееся вредоносное ПО далеко не новая технология. По этому же принципу создаются «черви» и бот-сети, существующие уже не одно десятилетие.
Однако в криптолокерах она пока не применялась и только сейчас к ней начинают присматриваться владельцы теневого рынка. · Анализируя инновации в области программ-вымогателей, можно заключить, что авторы новой волны вымогательского ПО склонны применять модульную архитектуру, которая встречается во многих известных пакетах с открытым исходным кодом, предназначенных для проверки защищенности систем. Такой способ дает возможность наделить «продукт» нужным набором функции?. Это увеличивает эффективность и позволяет менять тактику в случае, если тот или иной вид активности был обнаружен или не приносит результатов. · Репликация на все доступные накопители и распространение через файлы автозапуска и USB-накопители большой емкости. Еще одной интересной и пугающей тенденцией стало применение в вымогательском ПО протокола DNS, без которого невозможен современный Интернет и который обычно разрешен на всех периметровых средствах защиты. Проведенный анализ вредоносного ПО показал, что 91,3% вредоносного ПО использует службу доменных имен (DNS) одним из трех следующих способов: · перехват управления системой; · извлечение и утечка данных; · перенаправление трафика. 
При этом DNS является слепым пятном для многих специалистов по информационной безопасности — его мониторят всего 32% компаний. Как бороться с вымогателями? Мы плавно подошли к вопросу о том, как бороться с программами-вымогателями? Увы, одного продукта или решения в этой области не существует.
Как показывает практика, злоумышленники очень заинтересованы в том, чтобы и дальше продолжать стричь купоны с этой, очень доходной категории вредоносного ПО, и потому будут продолжать активно вкладываться в развитие своего детища. Создатели и распространители программ-вымогателеи? нанимают и финансируют целые группы профессиональных разработчиков для поддержания прибыльности своего преступного бизнеса. Они находят и применяют все новые методы, например такие, как обнаружение «песочниц», чтобы скрыть свое присутствие в сетях и компьютерах своих жертв. Постоянная модификация и работа на опережение приводит нас к мысли, что для нейтрализации этой угрозы требуется комплексный подход, учитывающий разные этапы жизненного цикла программы-вымогателя и различные вектора их проникновения. 
Набор технологий для борьбы с современными программами-вымогателями Обратите внимание, на рис. 5 мы видим, что бороться с вымогательским ПО нам помогают не только и не столько антивирусы, которые обычно имеют дело с уже попавшим на компьютером вымогателем, да еще и успевшим заразить жертву.
Да-да, антивирусы далеко не всегда сразу обнаруживают и предотвращают заражение, часто просто не видя специально разработанное для обхода антивируса вредоносное ПО. Мы должны сначала выстроить «стену» вокруг пользовательских компьютеров с помощью традиционных, но по-прежнему эффективных средств обнаружения и предотвращения угроз, а также межсетевых экранов и защитных интернет-шлюзов, блокирующих доступ к известным вредоносным сайтам.
Мы не должны забывать про мониторинг всех каналов, которые используют программы-вымогатели для своего проникновения в жертву, подгрузки новых модулей и организации оплаты выкупа. Это E-mail, DNS, HTTP, HTTPS, Tor.
Ни в коем случае не стоит упускать из виду мониторинг Netflow (или IPFIX, sFlow, jFlow и т. п.), который присутствует на сетевом оборудовании и по анализу которого можно составить представление об аномалиях в сети, в том числе и о действии вымогательского ПО, сумевшего обойти все остальные защитные преграды. И только потом вступают в игру антивирусы и иные средства защиты, устанавливаемые на персональных компьютерах.
Они нужны тогда, когда все остальные технологии защиты не справились со своей задачей и пропустили криптолокер, достигший своей жертвы. Но… даже в случае успешного заражения не стоит опускать руки. Вспомните о такой простой, но эффективной мере борьбы с зашифрованными файлами, как резервное копирование.
Если у вас есть бэкап ваших данных, то так уж важно, успешно сработал криптолокер или нет? Вы можете легко вернуть систему в предатакованное состояние, восстановив данные из резервной копии (главное, чтобы они там тоже не были в зашифрованном виде). Важно извлечь уроки из заражения и не дать злоумышленникам повторить свой путь внутри вашей сети.
Понятно, что такой набор защитных технологий — недешевое удовольствие и не каждая компания готова сразу потратить немалую часть своего ИТ/ИБ-бюджета на борьбу с этой важной, но не единственной угрозой. С другой стороны, вы же защищаетесь не в чистом поле и какие-то средства защиты у вас уже есть, в том числе и встроенные в сетевое оборудование серверы, системное и прикладное ПО.
Но если бы меня спросили, назовите две технологии, которые должны быть реализованы для наибольшей эффективности в борьбе с программами-вымогателями, я бы ответил: защита e-mail и мониторинг DNS. Они позволят нейтрализовать до 90% всех проблем с криптолокерами. Могу предположить, что программы-вымогатели следующего поколения будут еще более устойчивыми к анализу и методам противодействия; при этом также возрастет эффективность тактик проникновения криптолокеров в системы своих жертв. Поэтому организациям и пользователям важно уже сейчас подготовиться к очередному витку «гонки вооружений», в том числе и создав резервные копии критически важных данных. Без этого битва с вымогательским ПО, приносящим своим владельцам миллиарды, будет проиграна.
Источник: www.it-world.ru