15.05.2017, Luni, 13:33, ora Moscovei, Text: Pavel Prytula

Zilele trecute, unul dintre cele mai mari și „zgomotoase”, judecând după presă, au avut loc atacuri cibernetice în Rusia: rețelele mai multor departamente și organizații importante, inclusiv Ministerul Afacerilor Interne, au fost atacate de răufăcători. Virusul a criptat datele de pe computerele angajaților și a extorcat o sumă mare de bani pentru ca aceștia să-și poată continua munca. Acest bun exemplu ca nimeni nu este ferit de estorcatori. Cu toate acestea, această amenințare poate fi combatetă - vom arăta mai multe moduri pe care Microsoft le oferă.

Ce știm despre ransomware? Se pare că aceștia sunt criminali care îți cer bani sau lucruri sub amenințarea unor consecințe negative. În afaceri, asta se întâmplă din când în când, toată lumea știe aproximativ cum să acționeze în astfel de situații. Dar ce se întâmplă dacă un virus ransomware s-a instalat pe computerele tale de lucru, blochează accesul la datele tale și îți solicită să transferi bani către anumite persoane în schimbul unui cod de deblocare? Trebuie să contactați experții securitatea informatiei. Și cel mai bine este să faceți acest lucru în avans pentru a evita problemele.

Numărul infracțiunilor cibernetice a crescut cu un ordin de mărime în ultimii ani. Jumătate dintre companiile din marile țări europene au fost lovite de ransomware, mai mult de 80% dintre ele fiind afectate de trei sau mai multe ori, potrivit cercetării SentinelOne. Un model similar este observat în întreaga lume. Clearswift, o companie specializată în securitatea informațiilor, numește un fel de „top” al țărilor cele mai afectate de ransomware – ransomware: Statele Unite ale Americii, Rusia, Germania, Japonia, Marea Britanie și Italia. De interes deosebit pentru atacatori sunt mici și afaceri medii, pentru că au mai mulți bani și date mai sensibile decât persoanele fizice și nu au servicii de securitate puternice precum companiile mari.

Ce să faci și, cel mai important, cum să previi un atac ransomware? În primul rând, să evaluăm amenințarea în sine. Atacul poate fi efectuat în mai multe moduri. Una dintre cele mai comune - E-mail. Infractorii folosesc în mod activ metodele Inginerie sociala, a cărui eficacitate nu s-a diminuat din zilele lui hacker celebru secolul al XX-lea Kevin Mitnick. Ei pot suna un angajat al companiei victimă în numele unei contrapărți din viața reală și, după conversație, pot trimite un e-mail cu un atașament care conține un fișier rău intenționat. Angajatul, desigur, îl va deschide, pentru că tocmai a vorbit cu expeditorul la telefon. Sau un contabil poate primi o scrisoare care se pretinde a fi de la serviciul executorului judecătoresc sau de la banca în care este deservită compania sa. Nimeni nu este asigurat, iar nici Ministerul Afacerilor Interne suferă nu pentru prima dată: în urmă cu câteva luni, hackerii au trimis o factură falsă de la Rostelecom cu un virus de criptare care a blocat sistemul de contabilitate către departamentul de contabilitate al Departamentului de linie Kazan al Ministerul Afacerilor Interne.

Sursa de infecție poate fi, de asemenea, un site de phishing, pe care utilizatorul l-a accesat printr-un link fraudulos, sau o unitate flash „uitată accidental” de unul dintre vizitatorii biroului. Din ce în ce mai des, infecția are loc prin dispozitivele mobile neprotejate ale angajaților de pe care aceștia accesează resursele corporative. Și este posibil ca antivirusul să nu funcționeze: se știe că sute de programe rău intenționate ocolesc antivirusurile, ca să nu mai vorbim de „atacurile zero-day” care exploatează „găurile” nou descoperite în software.

Ce este „ransomware cibernetic”?

Un program cunoscut sub numele de „ransomware”, „ransomware”, ransomware blochează accesul utilizatorului la sistemul de operare și, de obicei, criptează toate datele de pe hard disk. Pe ecran este afișat un mesaj care spune că computerul este blocat și proprietarul este obligat să transfere o sumă mare de bani atacatorului dacă dorește să recâștige controlul asupra datelor. Cel mai adesea, o numărătoare inversă pentru 2-3 zile este activată pe ecran, astfel încât utilizatorul să se grăbească, altfel conținutul discului va fi distrus. În funcție de apetitul criminalilor și de dimensiunea companiei, sumele de răscumpărare în Rusia variază de la câteva zeci la câteva sute de mii de ruble.

Tipuri de ransomware

Sursa: Microsoft, 2017

Aceste programe malware sunt cunoscute de mulți ani, dar în ultimii doi-trei ani au cunoscut o adevărată înflorire. De ce? În primul rând, pentru că oamenii îi plătesc pe atacatori. Potrivit Kaspersky Lab, 15% dintre companiile ruse atacate în acest mod preferă să plătească o răscumpărare, iar 2/3 dintre companiile din întreaga lume care au fost supuse unui astfel de atac și-au pierdut total sau parțial datele corporative.

În al doilea rând, instrumentele infractorilor cibernetici au devenit mai avansate și mai accesibile. Și în al treilea rând, încercările independente ale victimei de a „prelua parola” nu se termină cu nimic bun, iar poliția poate găsi rar infractorii, mai ales în timpul numărătorii inverse.

Apropo. Nu toți hackerii își petrec timpul spunând parola victimei care le-a transferat suma necesară.

Care este problema afacerii

Principala problemă în domeniul securității informațiilor pentru întreprinderile mici și mijlocii din Rusia este că acestea nu au bani pentru instrumente puternice de securitate a informațiilor specializate și există mai mult decât suficiente sisteme IT și angajați cu care pot apărea diverse tipuri de incidente. . Pentru a combate ransomware-ul, nu este suficient să ai doar politicile de firewall, antivirus și de securitate configurate. Trebuie să utilizați toate instrumentele disponibile, în primul rând cele furnizate de furnizorul sistemului de operare, deoarece este ieftin (sau inclus în costul sistemului de operare) și este 100% compatibil cu propriul software.

Marea majoritate a computerelor client și o parte semnificativă a serverelor rulează sistemul de operare Microsoft Windows. Toată lumea cunoaște funcțiile de securitate încorporate, cum ar fi „ Windows Defender” și „Windows Firewall”, care, împreună cu actualizări noi ale sistemului de operare și restricții ale drepturilor de utilizator, oferă un nivel de securitate destul de suficient pentru un angajat obișnuit în absența instrumentelor specializate.

Dar particularitatea relației dintre afaceri și infractorii cibernetici este că primii adesea nu știu că sunt atacați de cei din urmă. Ei cred că sunt protejați, dar, de fapt, malware-ul a pătruns deja în perimetrul rețelei și își face treaba în liniște - la urma urmei, nu toți se comportă la fel de neclar ca troienii ransomware.

Microsoft și-a schimbat abordarea cu privire la securitate: acum și-a extins linia de produse de securitate a informațiilor și se concentrează, de asemenea, nu numai pe modul de a proteja companiile cât mai mult posibil de atacurile moderne, ci și pe a face posibilă investigarea acestora în cazul unei infecții. are loc.

Protecția e-mailului

Sistemul de poștă, ca principal canal de intrare a amenințărilor în rețeaua corporativă, trebuie protejat în continuare. Pentru a face acest lucru, Microsoft a dezvoltat sistemul Exchange ATP (Advanced Treat Protection), care analizează atașamentele de e-mail sau legăturile de internet și răspunde prompt la atacurile detectate. Acesta este un produs separat, este integrat în Microsoft Exchangeși nu necesită implementare pe fiecare computer client.

Sistemul Exchange ATP este capabil să detecteze chiar și „atacuri zero-day”, deoarece rulează toate atașamentele într-un „sandbox” special, fără a le elibera în sistemul de operare și le analizează comportamentul. Dacă nu conține semne de atac, atunci atașamentul este considerat sigur și utilizatorul îl poate deschide. Un fișier potențial rău intenționat este trimis în carantină și administratorul este notificat despre acesta.

În ceea ce privește linkurile din e-mailuri, acestea sunt, de asemenea, verificate. Exchange ATP înlocuiește toate legăturile cu unele intermediare. Utilizatorul face clic pe linkul din scrisoare, ajunge la linkul intermediar, iar în acest moment sistemul verifică adresa pentru siguranță. Verificarea este atât de rapidă încât utilizatorul nu observă întârzierea. Dacă linkul duce la un site sau fișier infectat, nu este permis să-l urmărească.

Cum funcționează Exchange ATP

Sursa: Microsoft, 2017

De ce verificarea are loc în momentul unui clic, și nu atunci când se primește un e-mail - pentru că atunci este mai mult timp pentru cercetare și, prin urmare, mai puțin putere de calcul? Acest lucru se face special pentru a proteja împotriva trucului atacatorului cu înlocuirea conținutului cu link. Un exemplu tipic: o scrisoare ajunge în cutia poștală noaptea, sistemul verifică și nu găsește nimic, iar până dimineața site-ul de la acest link a postat deja, de exemplu, un fișier troian pe care utilizatorul îl descarcă în siguranță.

Și a treia parte a serviciului Exchange ATP este sistemul de raportare încorporat. Vă permite să investigați incidentele care au avut loc și oferă date pentru a răspunde la întrebări: când a apărut infecția, cum și unde a avut loc. Acest lucru vă permite să găsiți sursa, să determinați daunele și să înțelegeți ce a fost: o lovitură accidentală sau un atac țintit împotriva acestei companii.

Acest sistem este util și pentru prevenire. De exemplu, un administrator poate ridica statistici cu privire la câte clicuri au fost făcute pe link-urile marcate ca periculoase și ce utilizatori au făcut-o. Chiar dacă nu a existat nicio infecție, este totuși necesar să se efectueze o muncă explicativă cu acești angajați.

Adevărat, există categorii de angajați ale căror responsabilități de muncă îi obligă să viziteze o varietate de site-uri - cum ar fi, de exemplu, marketerii care cercetează piața. Pentru ei, tehnologiile Microsoft vă permit să configurați politica astfel încât orice fișiere descărcate să fie verificate în sandbox înainte de a fi stocate pe computer. În plus, regulile sunt stabilite în doar câteva clicuri.

Protecția acreditărilor

Una dintre ținta atacurilor rău intenționate este acreditările utilizatorului. Există o mulțime de tehnologii pentru furtul numelor de utilizator și parolelor și trebuie să li se reziste printr-o protecție puternică. Există puține speranțe pentru angajații înșiși: ei inventează parole simple, utilizați o singură parolă pentru a accesa toate resursele și notați-le pe un autocolant care este lipit pe monitor. Acest lucru poate fi rezolvat prin măsuri administrative și prin stabilirea de cerințe de parolă în mod programatic, dar nu va exista încă un efect garantat.

Dacă unei companii îi pasă de securitate, drepturile de acces sunt limitate în ea și, de exemplu, un inginer sau un manager de vânzări nu poate accesa serverul de contabilitate. Dar hackerii mai au un truc în rezervă: pot trimite o scrisoare dintr-un cont capturat al unui angajat obișnuit unui specialist țintă care deține informația corectă(date financiare sau secrete comerciale). După ce a primit o scrisoare de la un „coleg”, destinatarul o va deschide absolut și va lansa atașamentul. Și programul de criptare va avea acces la date valoroase pentru companie, pentru returnarea cărora compania poate plăti mulți bani.

A capturat Cont nu le-a oferit atacatorilor posibilitatea de a pătrunde în sistemul corporativ, Microsoft oferă să-l protejeze cu Azure Multifactor Authentication. Adică, pentru a intra, trebuie să introduceți nu numai o pereche de autentificare/parolă, ci și un cod PIN trimis prin SMS, Notificare Push generată de aplicatie de mobil, sau răspunde la un apel telefonic către robot. Deosebit de util autentificare multifactor atunci când lucrați cu angajați la distanță care se pot conecta la sistemul corporativ din diferite părți ale lumii.

Autentificare multifactor Azure

WannaCry, Petya, Mischa și alte programe ransomware nu vă vor amenința dacă urmați recomandări simple pentru a preveni infectarea PC-ului!

Săptămâna trecută, întregul Internet a fost agitat de știrile despre un nou virus ransomware. A provocat o epidemie mult mai mare în multe țări ale lumii decât infamul WannaCry, al cărui val a venit în luna mai a acestui an. Noul virus are multe nume: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, cu toate acestea, cel mai adesea apare pur și simplu ca Petya.

Săptămâna aceasta atacurile continuă. Până și biroul nostru a primit o scrisoare, deghizată inteligent într-un fel de actualizare mitică a software-ului! Din fericire, fără mine, nimeni nu s-a gândit să deschidă arhiva trimisă :) Prin urmare, aș dori să dedic articolul de astăzi întrebării cum să vă protejați computerul de virușii ransomware și să nu deveniți o victimă a Petya sau a unui alt ransomware.

Ce fac virușii ransomware?

Primul ransomware a apărut la începutul anilor 2000. Mulți oameni care au folosit internetul în acei ani probabil își amintesc Trojan.WinLock. A blocat încărcarea computerului și, pentru a primi codul de deblocare, a cerut să transfere o anumită sumă către Portofel WebMoney sau la un cont de telefon mobil:

Primele blocante Windows au fost destul de inofensive. Fereastra lor cu textul despre necesitatea de a transfera fonduri la început ar putea fi pur și simplu „bătută” prin Task Manager. Apoi au apărut versiuni mai complexe ale troianului, care au făcut modificări la nivel de registru și chiar MBR. Dar chiar și asta ar putea fi „vindecat” dacă ai ști ce să faci.

Virușii ransomware moderni au devenit lucruri foarte periculoase. Ele nu numai că blochează sistemul, ci și criptează conținutul hard disk(inclusiv MBR). Pentru deblocarea sistemului și decriptarea fișierelor, atacatorii percep acum o taxă în BitCoins, echivalent cu suma de la 200 la 1000 de dolari SUA! Mai mult, chiar dacă transferați fondurile convenite în portofelul specificat, acest lucru nu va garanta deloc că hackerii vă vor trimite cheia de deblocare.

Punctul important este că astăzi practic nu există modalități de funcționare de a scăpa de virus și de a vă recupera fișierele. Prin urmare, în opinia mea, este mai bine să nu cădeți de la început în tot felul de trucuri și să vă protejați mai mult sau mai puțin fiabil computerul de potențiale atacuri.

Cum să nu devii o victimă a virusului

Virușii ransomware se răspândesc de obicei în două moduri. Primul exploatează diverse Vulnerabilități tehnice Windows. De exemplu, WannaCry a folosit exploit-ul EternalBlue, care a permis accesul la un computer prin protocolul SMB. Și noul ransomware Petya poate pătrunde în sistem deschideți porturile TCP 1024-1035, 135 și 445. Cel mai frecvent mod de infecție este phishing. Mai simplu spus, utilizatorii înșiși infectează un computer prin deschiderea fișierelor rău intenționate trimise prin poștă!

Protecție tehnică împotriva virușilor ransomware

Deși infecțiile directe cu viruși nu sunt atât de frecvente, ele se întâmplă. Prin urmare, este mai bine să eliminați în avans potențialele găuri de securitate deja cunoscute. În primul rând, trebuie să vă actualizați antivirusul sau să-l instalați (de exemplu, 360 ​​Total Security gratuit recunoaște virușii ransomware). În al doilea rând, trebuie să setați Ultimele actualizări Windows.

Așadar, pentru a elimina o eroare potențial periculoasă în protocolul SMB, Microsoft a lansat actualizări extraordinare pentru toate sistemele începând cu Windows XP. Le puteți descărca pentru versiunea dvs. de sistem de operare.

Pentru a vă proteja împotriva Petya, se recomandă închiderea unui număr de porturi de pe computer. Pentru a face acest lucru, cel mai simplu mod este să utilizați obișnuit firewall. Deschideți-l în Panoul de control și selectați secțiunea din bara laterală "Opțiuni suplimentare" . Se va deschide fereastra pentru gestionarea regulilor de filtrare. Selectați „Reguli pentru conexiunile de intrare” iar în partea dreaptă faceți clic „Creează o regulă”. Se va deschide un vrăjitor special în care trebuie să faceți o regulă "pentru port", apoi selectați opțiunea "Anumit porturi locale" si scrie urmatoarele: 1024-1035, 135, 445 :

După adăugarea listei de porturi, setați opțiunea pe ecranul următor „Blocați conexiunea” pentru toate profilurile și dați un nume (descriere opțională) pentru noua regulă. Dacă credeți recomandările de pe Internet, acest lucru va împiedica virusul să descarce fișierele de care are nevoie, chiar dacă ajunge pe computer.

În plus, dacă sunteți din Ucraina și ați folosit software-ul de contabilitate Me.Doc, puteți instala actualizări care au conținut backdoors. Aceste uși din spate au fost folosite pentru a infecta masiv computerele cu virusul Petya.A. Dintre cele analizate astăzi, se cunosc cel puțin trei actualizări cu vulnerabilități de securitate:

• 10.01.175-10.01.176 din 14 aprilie;
• 10.01.180-10.01.181 din 15 mai;
• 10.01.188-10.01.189 din 22 iunie.

Dacă ați instalat aceste actualizări, atunci sunteți în pericol!

Protecție împotriva phishingului

După cum am menționat deja, majoritatea infecțiilor sunt vinovate, totuși, de factorul uman. Hackerii și spammerii au lansat o campanie de phishing pe scară largă în întreaga lume. În cadrul acestuia, e-mail-uri au fost trimise aparent de la organizații oficiale cu diverse atașamente care au fost emise pentru facturi, actualizări de software sau alte date „importante”. A fost suficient ca utilizatorul să deschidă un fișier malițios mascat, deoarece a instalat un virus pe computer care a criptat toate datele!

Cum să deosebești un e-mail de phishing de unul real. Acest lucru este foarte ușor de făcut dacă urmați bunul simț și următoarele recomandări:

1. De la cine este scrisoarea?În primul rând, acordăm atenție expeditorului. Hackerii pot semna o scrisoare chiar și cu numele bunicii tale! Cu toate acestea, există un punct important. Adresa de e-mail a „bunicii” Ar trebui să știți, iar adresa expeditorului unui e-mail de phishing va fi de obicei un set nedefinit de caractere. Ceva asemănător cu: " [email protected]„. Și o altă nuanță: numele expeditorului și adresa sa, dacă aceasta este o scrisoare oficială, de obicei se corelează între ele. De exemplu, e-mailul de la o anumită companie „Pupkin and Co” poate arăta ca „ [email protected]", dar este puțin probabil să arate ca " [email protected]" :)
2. Despre ce este scrisoarea? De regulă, e-mailurile de phishing conțin un fel de îndemn la acțiune sau un indiciu al acestuia în linia de subiect. În același timp, în corpul scrisorii, de obicei nu este scris nimic, sau se oferă o motivație suplimentară pentru a deschide fișierele atașate. Cuvintele „URGENT!”, „Factura de serviciu” sau „Actualizare critică” din e-mailurile de la expeditori necunoscuți pot fi un exemplu excelent de cineva care încearcă să vă pirateze. Gandeste logic! Dacă nu ați solicitat nicio factură, actualizări sau alte documente de la o anumită companie, atunci este 99% probabil să fie phishing...
3. Ce este în scrisoare? Elementul principal al unui e-mail de phishing sunt atașamentele acestuia. Cel mai evident tip de atașament ar putea fi un fișier EXE cu o „actualizare” sau „program” falsă. Astfel de investiții sunt un fals destul de grosolan, dar ele apar.

   Modalități mai „elegante” de a înșela utilizatorul sunt de a deghiza scriptul care descarcă virusul ca document Excel sau cuvânt. Mascarea poate fi de două tipuri. În prima opțiune, scriptul în sine este prezentat ca un document de birou și poate fi recunoscut după extensia de nume „dublă”, de exemplu, „Cont .xls.js" sau "Rezumat .doc.vbs". În al doilea caz, atașarea poate consta din două fișiere: un document real și un fișier cu un script, care este numit ca macro din birou. document word sau Excel.

   În orice caz, nu ar trebui să deschideți astfel de documente, chiar dacă „expeditorul” vă întreabă cu tărie despre asta! Chiar daca dintr-o data printre clientii tai se afla cineva care teoretic ti-ar putea trimite o scrisoare cu continut asemanator, este mai bine sa te obosesti sa-l contactezi direct si sa-l lamuri daca ti-a trimis vreun document. Mișcarea excesivă a corpului acest caz vă poate scuti de multe bătăi de cap inutile!

Cred că dacă închideți toate golurile tehnice din computerul dvs. și nu cedați provocărilor spammerilor, atunci nu vă veți teme de niciun virus!

Cum se recuperează fișierele după infecție

Și totuși, ați reușit să vă infectați computerul cu un virus ransomware... NU OPRIȚI NICIODATĂ PCUL DUPĂ APARE MESAJUL DE CRIPTARE!!!

Faptul este că, din cauza unui număr de erori în codul virușilor înșiși, înainte de a reporni computerul, există șansa de a obține cheia necesară pentru a decripta fișierele din memorie! De exemplu, pentru a obține cheia Decriptare WannaCry Utilitarul Wannakiwi va face. Din păcate, pentru a restaura fișierele după Petya atacă nu există astfel de soluții, dar puteți încerca să le extrageți din copii umbră ale datelor (dacă aveți opțiunea de a le crea pe o partiție de hard disk activată) folosind programul miniatural ShadowExplorer:

Dacă ați repornit deja computerul sau sfaturile de mai sus nu au ajutat, atunci puteți recupera fișierele numai cu ajutorul programelor de recuperare a datelor. De regulă, virușii de criptare funcționează conform următoarei scheme: creează o copie criptată a fișierului și șterg originalul fără a-l suprascrie. Adică, doar eticheta fișierului este de fapt eliminată, în timp ce datele în sine sunt păstrate și pot fi restaurate. Pe site-ul nostru există două programe: este mai potrivit pentru resuscitarea fișierelor media și a fotografiilor, iar R.Saver face față bine documentelor și arhivelor.

Desigur, trebuie să eliminați virusul în sine din sistem. Dacă Windows pornește, atunci Malwarebytes Anti-Malware este un program bun pentru asta. Dacă virusul a blocat descărcarea, atunci veți fi salvat disc de pornire Dr.Web LiveCD cu utilitarul anti-malware dovedit Dr.Web CureIt la bord. În acest din urmă caz, va trebui să faceți mai mult Recuperare MBR. De când LiveCD de la Dr.Web pe Bazat pe Linux, atunci cred că veți avea nevoie de o instrucțiune de la Habr pe această temă.

concluzii

Problema virușilor pe Windows este relevantă de mulți ani. Și în fiecare an vedem că scriitorii de viruși inventează forme din ce în ce mai sofisticate de a deteriora computerele utilizatorilor. Cele mai recente izbucniri de ransomware ne arată că infractorii cibernetici se îndreaptă treptat la extorcarea activă!

Din păcate, chiar dacă plătiți bani, este puțin probabil să primiți vreun răspuns. Cel mai probabil, va trebui să vă restaurați singur datele. Prin urmare, este mai bine să fii vigilent la timp și să previi infecția decât să te încurci cu eliminarea consecințelor ei pentru o lungă perioadă de timp!

P.S. Se acordă permisiunea de a copia și cita în mod liber Acest articol sub rezerva indicarii deschiderii link activ despre sursa și păstrarea paternului lui Ruslan Tertyshny.

Atacuri ale virușilor ransomware, scurgeri de instrumente pentru hackeri de la agențiile de informații americane, testarea puterii instalațiilor energetice, atacuri asupra ICO-urilor și primul furt cu succes de bani de la o bancă rusă cu sistemul SWIFT - anul trecut 2017 a fost plin de surprize neplăcute. Nu toată lumea era pregătită pentru ei. Mai degrabă, dimpotrivă. Criminalitatea cibernetică devine din ce în ce mai rapidă și mai mare. Hackerii pro-guvernamentali nu mai sunt doar spioni, ei fură bani și efectuează cibersabotaj.
Orice contracarare la amenințările cibernetice este întotdeauna o competiție între armură și proiectil. Și evenimentele din acest an au arătat că multe companii și chiar state cedează în fața infractorilor cibernetici. Pentru că nu știu cine este inamicul, cum acționează și unde să aștepte următoarea lovitură. Majoritatea atacurilor trebuie prevenite în stadiul pregătirii lor folosind tehnologiile de avertizare timpurie Threat Intelligence. A fi cu câțiva pași înaintea infractorilor cibernetici înseamnă economisirea banilor, a informațiilor și a reputației.

Viruși de criptare

Cele mai mari, atât în ​​ceea ce privește distribuția, cât și daunele în 2017, au fost atacurile cibernetice folosind viruși de criptare. În spatele lor sunt hackeri pro-guvernamentali. Să le amintim pe nume.

Consecințele atacului WonnaCry: supermarketul Rost, Harkov, Ucraina.

Lazarus (cunoscut și sub numele de Dark Seoul Gang) este numele unui grup de hackeri nord-coreeni despre care se crede că este Biroul 121, una dintre unitățile de operațiuni cibernetice ale Direcției de Informații a Statului Major General al KPA (RPDC). Hackerii din grupul nord-coreean Lazarus spionează de mulți ani inamicii ideologici ai regimului - instituții de stat și corporații private din Statele Unite și Coreea de Sud. Acum Lazăr atacă băncile și institutii financiareîn întreaga lume: din cauza încercării lor de a fura în februarie 2016 aproape 1 miliard de dolari din Banca centrala Bangladesh, atacuri asupra băncilor din Polonia, precum și asupra angajaților Băncii Centrale a Federației Ruse, Băncii Centrale a Venezuelei, Băncii Centrale a Braziliei, Băncii Centrale a Chile și o încercare de a retrage 60 de milioane de dolari de la Banca Internațională a Orientului Îndepărtat (vezi secțiunea Atacuri direcționate asupra băncilor). La sfârșitul anului 2017, hackeri nord-coreeni au fost văzuți atacând serviciile de criptomonede și folosind troieni mobili.

Tendința anului

Pe 24 octombrie, un atac cibernetic la scară largă a avut loc în Ucraina și Rusia, folosind virusul de criptare BadRabbit. Virusul a atacat computerele și serverele Metroului Kiev, Ministerul Infrastructurii, Aeroport internațional"Odesa". Mai multe victime au ajuns și în Rusia - în urma atacului au fost avariate redacțiile presei federale și au fost înregistrate și fapte de tentative de infectare a infrastructurilor bancare. În spatele atacului, așa cum a stabilit Group-IB, se află grupul Black Energy.

Atacurile vizate asupra băncilor

Grupările criminale care au atacat băncile rusești în primăvara și vara anului 2017 și-au îndreptat atenția către alte țări și regiuni: Statele Unite, Europa, America Latină, Asia și Orientul Mijlociu. La sfârșitul anului au început să lucreze din nou în Rusia.

În 2017, hackerii pro-guvernamentali și-au schimbat obiectivele - au început să efectueze sabotaj cibernetic împotriva sectorului financiar. Pentru a spiona sau a fura bani, hackerii încearcă să obțină acces la SWIFT, procesarea cardurilor. În această primăvară, grupul BlackEnergy a piratat un integrator din Ucraina și a obținut acces la o rețea de bănci ucrainene. Câteva luni mai târziu, a început epidemia WannyCry și NotPetya, în spatele căreia se află grupurile Lazarus și BlackEnergy.

Cu toate acestea, până la începutul lunii octombrie, când echipa Group-IB și-a prezentat raportul anual, eram plini de optimism reținut: atacurile vizate asupra băncilor din Rusia au scăzut cu 33%. Toate grupurile criminale care au atacat băncile rusești și-au îndreptat treptat atenția către alte țări și regiuni: SUA, Europa, America Latină, Asia și Orientul Mijlociu. Sfârșitul anului a stricat statisticile - am înregistrat o serie de atacuri cibernetice asupra băncilor, în decembrie primul atac cu succes asupra unei bănci rusești cu SWIFT a fost efectuat de grupul Cobalt.

Atacurile asupra SWIFT

În octombrie, Banca Internațională din Orientul Îndepărtat din Taiwan a fost jefuită. Ajunși la sistemul de transferuri interbancare internaționale (SWIFT), la care banca era conectată, hackerii au reușit să transfere aproape 60 de milioane de dolari în conturi din Sri Lanka, Cambodgia și Statele Unite. În spatele atacului, provizoriu, se află grupul Lazăr. În noiembrie, NIC Asia Bank, cea mai mare bancă non-statală din Nepal, a fost vizată de infractorii cibernetici care au obținut acces la sistemul SWIFT și au retras 4,4 milioane de dolari în conturi din SUA, Marea Britanie, Japonia și Singapore.

La mijlocul lunii decembrie, s-a aflat despre un atac de succes asupra unei bănci rusești folosind SWIFT (International Financial Information Transfer System). Reamintim că mai devreme în Rusia, atacurile vizate au fost efectuate folosind sisteme de procesare a cardurilor, bancomate și AWS KBR (locul de muncă automatizat al unui client al unei bănci din Rusia).

Grupul Cobalt a fost probabil implicat în atac. Banca a fost pătrunsă prin malware care a fost trimis de grup în urmă cu câteva săptămâni către bănci - acest tip de atac este tipic pentru Cobalt. Presa a relatat că infractorii au încercat să fure aproximativ 1 milion de dolari, dar au reușit să retragă aproximativ 10%. FinCERT, o subdiviziune structurală a Băncii Centrale pentru securitatea informațiilor, în raportul său a numit grupul Cobalt principala amenințare la adresa instituțiilor de credit.

Potrivit Group-IB, grupul are cel puțin 50 de atacuri reușite asupra băncilor din întreaga lume: în Rusia, Marea Britanie, Țările de Jos, Spania, România, Belarus, Polonia, Estonia, Bulgaria, Georgia, Moldova, Kârgâzstan, Armenia, Taiwan și Malaezia. Toată vara și toamna, au atacat bănci din întreaga lume, au testat noi instrumente și scheme, iar până la sfârșitul anului nu au încetinit - le reparăm aproape în fiecare săptămână lista de e-mail-uri cu malware înăuntru.

Incorporealitatea și scripturile rău intenționate sunt un nou (și acum principalul) principiu de atac. Hackerii încearcă să rămână neobservați și pentru asta folosesc programe „incorporale” care funcționează doar în RAM și sunt distruse după un reboot. În plus, scripturile din PowerShell, VBS, PHP îi ajută să asigure persistența (repararea) în sistem, precum și să automatizeze unele etape ale atacului. De asemenea, observăm că hackerii atacă băncile nu direct, ci prin parteneri de încredere - integratori, contractori. Aceștia atacă angajații când sunt acasă, verifică corespondența personală, rețelele sociale

Tendința anului

Descoperirea anului: MoneyTaker

10 fapte interesante despre MoneyTaker

• Băncile mici au devenit victimele lor - bănci regionale din Rusia, bănci comunitare cu un nivel scăzut de protecție în SUA. Una dintre băncile rusești a fost spartă computer de acasă administrator de sistem.
• Una dintre băncile americane a fost spartă de două ori.
• După ce au făcut un atac cu succes, au continuat să spioneze angajații băncii, trimițând scrisorile primite către adresele Yandex și Mail.ru.
• Acest grup a distrus întotdeauna urme după atac.
• Au încercat să retragă bani de la o bancă rusă prin ATM-uri, dar nu au funcționat - cu puțin timp înainte, Banca Centrală le-a luat licența proprietarului lor. Banii au fost retrase prin AWP KBR.
• Au furat nu numai bani, ci și documente interne, instrucțiuni, regulamente, jurnalele de tranzacții. Potrivit documentelor furate legate de activitatea SWIFT, hackerii pregătesc atacuri asupra obiectelor din America Latină.
• În unele cazuri, hackerii au făcut modificări la codul programului „din zbor” - chiar în timpul atacului.
• Hackerii au folosit fișierul SLRSideChannelAttack.exe., care a fost postat în acces public cercetători.
• MoneyTaker a folosit instrumente publice, ascunzând în mod deliberat orice elemente de atribuire, preferând să rămână în umbră. Programele au un singur autor - acesta poate fi văzut din greșeli comune, care rătăcesc de la un program auto-scris la altul.

Scurgeri de instrumente hacker ale serviciilor speciale

Exploatările din scurgerile NSA și CIA au început să fie utilizate în mod activ pentru atacuri țintite. Aceștia sunt deja incluși în principalele instrumente de realizare a testelor de penetrare pentru hackeri motivați financiar și unii pro-guvernamentali.

WikiLeaks și Vault7

Pe tot parcursul anului, WikiLeaks a dezvăluit metodic secretele CIA, publicând informații despre instrumentele de hacking ale serviciilor speciale în cadrul proiectului Vault 7. Unul dintre ele - CherryBlossom ("Cherry Blossom") vă permite să urmăriți locația și activitatea pe Internet a utilizatorilor conectați la un router Wi-Fi wireless. Astfel de dispozitive sunt utilizate pe scară largă în case, birouri, restaurante, baruri, hoteluri, aeroporturi și agenții guvernamentale. WikiLeaks a dezvăluit chiar tehnologia de spionaj a CIA pentru colegii de la FBI, DHS, NSA. Biroul de Servicii Tehnice (OTS) al CIA a dezvoltat programul spion ExpressLane pentru a extrage în secret date dintr-un sistem biometric de colectare a informațiilor pe care CIA îl distribuie omologilor săi din comunitatea de informații din SUA. Puțin mai devreme, WikiLeaks a dezvăluit informații despre malware-ul Pandemic, conceput pentru a pirata computerele cu foldere partajate, și despre programul ELSA, care urmărește și geolocalizarea dispozitivelor compatibile cu Wi-Fi și vă permite să urmăriți obiceiurile utilizatorilor. Wikileaks a început seria Vault-7 în februarie 2017. Scurgerile au conținut informații care descriu vulnerabilitățile software, mostre de malware și tehnici de atac pe computer.

Instrumentele de hacker din altă sursă la fel de populară - scurgerile NSA publicate de grupul Shadow Brokers, au fost nu numai la mare căutare, ci și îmbunătățite și finalizate. Pe forumurile subterane a apărut un script pentru a automatiza căutarea mașinilor cu o vulnerabilitate a protocolului SMB, pe baza utilităților serviciilor de informații americane publicate de grupul Shadow Brokers în aprilie anul acesta. Ca urmare a scurgerii, utilitarul fuzzbunch și exploit-ul ETERNALBLUE au fost puse la dispoziția publicului, dar după revizuire, produsul complet finit facilitează atacul atacatorilor.

Amintiți-vă că protocolul SMB a fost folosit de ransomware-ul WannaCry pentru a infecta sute de mii de computere din 150 de țări din întreaga lume. În urmă cu o lună, creatorul motorului de căutare Shodan, John Matherly, a anunțat că 2.306.820 de dispozitive cu porturi deschise pentru acces prin protocolul SMB. 42% (aproximativ 970 mii) dintre ei oferă acces oaspeților, adică oricine cu ajutorul Protocolul SMB pot accesa date fără autorizație.

În vară, grupul Shadow Brokers a promis că va publica noi exploit-uri pentru abonații săi în fiecare lună, inclusiv pentru routere, browsere, dispozitive mobile, date compromise din rețelele bancare și SWIFT, informații despre programe nucleare și de rachete. Inspirat de atenție, Shadow Brokers a crescut prețul inițial al abonamentului de la 100 Zcash (aproximativ 30.000 USD) la 200 Zcash (aproximativ 60.000 USD). Statutul unui abonat VIP costă 400 de monede Zcash și îți permite să primești exploit-uri la comandă.

Atacurile asupra infrastructurii critice

Sectorul energetic a devenit un teren de testare pentru cercetarea noilor arme cibernetice. Gruparea criminală BlackEnergy continuă să atace companiile financiare și energetice. Instrumentele pe care le au la dispoziție vă permit să controlați de la distanță unitatea terminală de la distanță (RTU), care sunt responsabile pentru deschiderea/închiderea fizică a rețelei electrice.

Primul virus care a spart efectiv hardware-ul a fost Stuxnet, folosit de Equation Group (Five Eyes/Tilded Team). În 2010, un virus a intrat în sistemul uzinei iraniene de îmbogățire a uraniului din Natan și a lovit controlerele SIMATIC S7 Siemens care au rotit centrifugele de uraniu cu o frecvență de 1000 de rotații pe secundă. Stuxnet a condus rotoarele centrifugei până la 1400 rpm, atât de mult încât au început să vibreze și să se prăbușească. Din cele 5.000 de centrifuge instalate în hală, aproximativ 1.000 au fost dezactivate. Programul nuclear al Iranului a revenit cu câțiva ani.

După acest atac, a fost o pauză de câțiva ani. S-a dovedit că în tot acest timp hackerii căutau o oportunitate de a influența ICS și de a le dezactiva atunci când era necesar. Grupul Black Energy, cunoscut și sub numele de Sandworm, a mers mai departe decât alții în această direcție.

Atacul lor de testare asupra unei substații ucrainene la sfârșitul anului trecut a arătat de ce este capabil un nou set de instrumente numit Industroyer sau CRASHOVERRIDE. La conferința Black Hat, software-ul Industroyer a fost numit „cea mai mare amenințare pentru sisteme industriale management de la Stuxnet”. De exemplu, instrumentele BlackEnergy vă permit să controlați de la distanță unitatea terminală de la distanță (RTU), care este responsabilă pentru deschiderea/închiderea fizică a rețelei electrice. Înarmați cu astfel de instrumente, hackerii o pot transforma într-o armă cibernetică formidabilă care va permite orașelor întregi să rămână fără lumină și apă.

Probleme pot apărea nu numai în Ucraina: noi atacuri asupra sistemelor energetice în iulie au fost înregistrate în Marea Britanie și Irlanda. Nu au existat pene de curent, dar experții cred că hackerii ar fi putut fura parolele sistemelor de securitate. În Statele Unite, după ce a trimis e-mailuri rău intenționate angajaților companiilor energetice, FBI a avertizat companiile despre posibile atacuri cibernetice.

Atacurile asupra ICO-urilor

Multă vreme, băncile și clienții lor au fost ținta principală a infractorilor cibernetici. Dar acum au concurenți puternici sub formă de ICO-uri și startup-uri blockchain - tot ce ține de criptomonede atrage atenția hackerilor.

ICO (Initial Coin Offering - procedura de plasare inițială a jetoanelor) este visul oricărui hacker. Un atac fulgerător, adesea destul de simplu, asupra serviciilor de criptomonedă și a startup-urilor blockchain aduce milioane de dolari în profituri cu risc minim pentru criminali. Potrivit Chainalysis, hackerii au reușit să fure 10% din toate fondurile investite în proiecte ICO în 2017 în Ethereum. Prejudiciul total s-a ridicat la aproape 225 de milioane de dolari, 30.000 de investitori au pierdut în medie 7.500 de dolari.

Am analizat aproximativ o sută de atacuri asupra proiectelor blockchain (burse, schimbătoare, portofele, fonduri) și am ajuns la concluzia că cea mai mare parte a problemelor constă în vulnerabilitatea serviciilor cripto în sine folosind tehnologia blockchain. În cazul Ethereum, s-au observat probleme nu cu platforma în sine, ci cu serviciile cripto: au întâlnit vulnerabilități în propriile contracte inteligente, deface, conturi de administrator compromise (Slack, Telegram), site-uri de phishing care copiază conținutul site-urilor web ale companiilor. intrând în ICO.

Există mai multe vulnerabilități:

• Site-uri de phishing - clone ale resursei oficiale
• Vulnerabilitatea site-ului / aplicației web
• Atacuri prin angajații companiei
• Atacuri asupra infrastructurii IT

Furarea de bani cu troienii Android

Piața troienilor bancar Android s-a dovedit a fi cea mai dinamică și cu cea mai rapidă creștere. Daunele cauzate de troienii bancar Android din Rusia au crescut cu 136% la 13,7 milioane USD și au acoperit daunele de la troieni pentru calculatoare personale cu 30%.

Am prezis această creștere anul trecut, deoarece infecțiile cu malware devin mai puțin vizibile și furtul este automatizat folosind metoda de completare automată. Potrivit estimărilor noastre, pagubele cauzate de acest tip de atac în Rusia în ultimul an s-au ridicat la 13,7 milioane de dolari.

Reținerea membrilor grupului criminal Cron

Acest manual nu este destinat specialisti tehnici, De aceea:

1. definițiile unor termeni sunt simplificate;
2. detaliile tehnice nu sunt luate în considerare;
3. metodele de protecție a sistemului (instalarea actualizărilor, configurarea sistemelor de securitate etc.) nu sunt luate în considerare.

Glosar

Criptare este transformarea datelor într-o formă care nu poate fi citită fără o cheie de criptare.

Cheie de criptare sunt informații secrete utilizate la criptarea/decriptarea fișierelor.

Decodor- un program care implementează algoritmul de decriptare.

Algoritm- un set de instrucțiuni care descriu procedura pentru ca executantul să obțină un anumit rezultat.

atașament la e-mail- un fișier atașat unui e-mail.

Extensie(extensia numelui fișierului) este o secvență de caractere adăugată la numele fișierului și utilizată pentru a identifica tipul de fișier (de exemplu, *.doc, *.jpg). În funcție de tipul de fișiere, un anumit program va fi folosit pentru a le deschide. De exemplu, dacă extensia de fișier este *.doc, atunci MS Word va fi lansat pentru a-l deschide, dacă este *.jpg, atunci va fi lansat vizualizatorul de imagini etc.

Legătură(sau, mai precis, un hyperlink) este o parte a unei pagini web a unui document care se referă la un alt element (comandă, text, titlu, notă, imagine) din documentul propriu-zis sau la un alt obiect (fișier, director, aplicație) aflate pe un disc local sau în rețeaua de calculatoare.

Fisier text este un fișier de calculator care conține date text.

Arhivare- aceasta este compresia, adică reducerea dimensiunii fișierului.

Copie de rezervă— un fișier sau un grup de fișiere create ca urmare a unei copii de siguranță a informațiilor.

Backup- procesul de creare a unei copii a datelor pe un mediu (hard disk, dischetă etc.) menită să restaureze datele în locația de stocare inițială sau nouă în caz de deteriorare sau distrugere.

Domeniu(nume de domeniu) - un nume care face posibilă accesarea site-urilor de Internet și a resurselor de rețea aflate pe acestea (site-uri web, servere de e-mail, alte servicii) într-o formă convenabilă pentru o persoană. De exemplu, în loc de 172.217.18.131, introduceți google.com.ua, unde ua, com, google sunt domenii de diferite niveluri.

Ce este un virus ransomware?

Care este pericolul unor astfel de viruși?

În marea majoritate a cazurilor, după codare, criptatorul șterge fișierele originale folosind algoritmi speciali, ceea ce exclude posibilitatea recuperării.

O altă caracteristică periculoasă a virușilor de acest fel este că destul de des sunt „invizibili” pentru antivirusuri, deoarece algoritmii utilizați pentru criptare sunt, de asemenea, folosiți în multe programe juridice(de exemplu, client-bank), motiv pentru care multe criptoare nu sunt percepute de antivirusuri ca malware.

Modalități de infectare.

Mai rar, infecția are loc după instalarea unui software piratat sau după ce faceți clic pe un link infectat de pe un site web sau în corpul unui e-mail.

Trebuie avut în vedere că de foarte multe ori, după infectarea unui PC din rețea, un virus se poate răspândi la alte mașini folosind vulnerabilități în Windows și/sau programe instalate.

Semne de infecție.

1. Foarte des, după lansarea fișierului atașat la scrisoare, există o activitate ridicată a hard disk-ului, procesorul este încărcat până la 100%, adică. Computerul începe să încetinească mult.
2. La ceva timp după lansarea virusului, computerul repornește brusc (în majoritatea cazurilor).
3. Se deschide după repornire fisier text, care precizează că fișierele utilizatorului sunt criptate și specifică contacte pentru comunicare (e-mail). Uneori, în loc să deschidă fișierul, imaginea de fundal de pe desktop este înlocuită cu text de răscumpărare.
4. Majoritatea fișierelor utilizatorului (documente, fotografii, baze de date) ajung cu o extensie diferită (de exemplu, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl etc.) sau sunt complet redenumite, și nu deschideți niciun program, chiar dacă schimbați extensia. Uneori criptat HDDîn întregime. În acest caz, Windows nu pornește deloc, iar mesajul de răscumpărare este afișat aproape imediat după pornirea computerului.
5. Uneori, toate fișierele utilizator sunt plasate într-o arhivă protejată prin parolă. Acest lucru se întâmplă dacă un atacator pătrunde în PC și arhivează și șterge fișierele manual. Adică la lansarea unui fișier rău intenționat de la atașament la e-mail Fișierele utilizator nu sunt criptate automat, dar instalarea are loc software, permițând unui atacator să se conecteze în secret la un computer prin Internet.

Ce să faci dacă infecția a apărut deja?

1. Dacă procesul de criptare a început în prezența dvs. (PC-ul „încetinește” mult; a fost deschis un fișier text cu un mesaj despre criptare; fișierele au început să dispară, iar copiile lor criptate au început să apară în schimb), ar trebui să IMEDIAT opriți alimentarea computerului prin deconectarea cablului de alimentare sau ținând-l ținând strâns timp de 5 secunde. butonul de pornire. Poate că acest lucru va salva o parte din informații. NU RESTARTEȚI PC-ul! NUMAI OFF!
2. Dacă criptarea a avut loc deja, în niciun caz nu trebuie să încercați să vă vindecați singur infecția sau să ștergeți sau să redenumiți fișierele criptate sau fișierele create de ransomware.

În ambele cazuri, ar trebui să raportați imediat incidentul administratorului de sistem.

IMPORTANT!!!

Nu încercați să negociați independent cu atacatorul prin contactele furnizate de acesta! În cel mai bun caz, acest lucru este inutil; în cel mai rău caz, poate crește valoarea răscumpărării pentru decriptare.

Cum să preveniți infecția sau să minimizați consecințele acesteia?

1. Nu deschideți e-mailuri suspecte, în special cele cu atașamente (vedeți mai jos cum să recunoașteți astfel de e-mailuri).
2. Nu faceți clic pe linkuri suspecte de pe site-uri web și din e-mailurile pe care le primiți.
3. Nu descărcați și nu instalați programe din surse nesigure (site-uri web cu software piratat, dispozitive de urmărire a torrentului).
4. Fă-o mereu copii de rezervă fișiere importante. Cea mai bună opțiune va stoca copii de rezervă pe un alt mediu care nu este conectat la computer (unitate flash, unitate externă, DVD), sau în cloud (de exemplu, Yandex.Disk). Adesea, virusul criptează și fișierele de arhivă (zip, rar, 7z), astfel încât stocarea copiilor de rezervă pe același computer pe care sunt stocate fișierele originale este inutilă.

Cum să recunoști un e-mail rău intenționat?

2. Scrisoarea conține informații care nu au legătură cu țara noastră, regiunea sau zona de activitate a companiei noastre. De exemplu, o cerință de a rambursa o datorie la o bancă înregistrată în Federația Rusă.

3. Adesea e-mail rău intenționat conceput ca un presupus răspuns la o parte din scrisoarea dumneavoastră. La începutul subiectului unei astfel de scrisori, există o combinație de „Re:”. De exemplu, „Re: Factură”, deși știți sigur că nu ați trimis scrisori la această adresă.

4. Scrisoarea ar fi venit de la o firmă cunoscută, dar adresa expeditorului scrisorii conține secvențe fără sens de litere, cuvinte, numere, domenii străine care nu au nicio legătură cu adresele oficiale ale companiei menționate în text. a scrisorii.

5. Câmpul „Către” conține un nume necunoscut (nu cutia dvs. poștală), un set de caractere incoerente sau un nume duplicat cutie poștală expeditor.

6. În textul scrisorii, sub diverse pretexte, destinatarului i se cere să furnizeze sau să confirme orice informație cu caracter personal sau de proprietate, să descarce un fișier sau să urmeze un link, raportând în același timp urgența sau eventualele sancțiuni în cazul nerespectării instrucțiunile specificate în scrisoare.

7. Arhiva atașată scrisorii conține fișiere *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. De asemenea, este foarte comun să folosiți camuflaj. extensie rău intenționată. De exemplu, în numele fișierului „Accounts Receivable.doc.js”, *.doc este o extensie falsă care nu are nicio funcționalitate, iar *.js este o extensie reală fișier virus.

8. Dacă scrisoarea a venit de la un expeditor binecunoscut, dar stilul scrisorii și alfabetizarea sunt foarte diferite, acesta este și un motiv de precauție. Pe lângă conținutul necaracteristic - de exemplu, un client a primit o solicitare de a plăti o factură. În acest caz, este mai bine să contactați expeditorul printr-un alt canal de comunicare (telefon, Skype), deoarece este probabil ca computerul său să fi fost spart sau infectat cu un virus.

Un exemplu de e-mail rău intenționat

Noul malware ransomware WannaCry (cunoscut și sub numele de WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții medicale din Marea Britanie au fost criptate. După cum a devenit clar în curând situație similară au existat companii în zeci de țări, iar Rusia, Ucraina, India și Taiwan au avut cel mai mult de suferit. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.

De ce este WannaCry periculoasă? Virusul criptează fișierele tipuri variate(obținerea unei extensii .wcry face fișierele complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile, fișierele nu vor putea fi deloc decriptate.

Amenințarea de infectare cu virusul ransomware WannaCry afectează computerele bazate pe sisteme de operare Windows. Dacă utilizați versiuni licențiate Windows și efectuați în mod regulat actualizări de sistem, atunci nu trebuie să vă faceți griji că un virus va intra în sistemul dvs. în acest fel.

Utilizatori MacOS, ChromeOS și Linux, precum și sisteme de operare mobile iOS și Android Atacurile WannaCry nu ar trebui să-ți fie deloc frică.

Ce să faci dacă devii victimă a lui WannaCry?

Agenția Națională a Crimei (NCA) din Marea Britanie recomandă întreprinderilor mici care au fost victimele unui ransomware și sunt îngrijorate de răspândirea virusului online să ia următoarele măsuri:

• Izolați-vă imediat computerul, laptopul sau tableta de companie/ rețeaua internă. Opriți Wi-Fi.
• Schimbați driverele.
• Nu este conectat la Rețele WiFi, conectați-vă direct computerul la internet.
• Actualizați sistemul de operare și toate celelalte software-uri.
• Actualizați și rulați antivirusul.
• Reconectați-vă la rețea.
• Monitorizați traficul de rețea și/sau rulați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.

Important!

Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția intrușilor. Prin urmare, nu pierde timp și bani pe acei „genii IT” care promit să te salveze de această durere de cap.

Merită să plătiți bani atacatorilor?

Primele întrebări puse de utilizatorii care au întâlnit noul virus ransomware WannaCry sunt: cum să recuperați fișierele și cum să eliminați un virus. Negăsind liberă și moduri eficiente decizii, ei se confruntă cu o alegere - să plătească sau nu bani extortionistului? Deoarece utilizatorii au adesea ceva de pierdut (documentele personale și arhivele foto sunt stocate pe computer), apare cu adevărat dorința de a rezolva problema cu ajutorul banilor.

Dar NCA îndeamnă Nuplăti bani. Dacă tot decideți să faceți acest lucru, țineți cont de următoarele:

• În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
• În al doilea rând, computerul poate fi în continuare infectat cu un virus chiar și după plată.
• În al treilea rând, cel mai probabil îți vei oferi banii infractorilor cibernetici.

Cum să te protejezi de WannaCry?

Ce măsuri trebuie luate pentru a preveni infectarea cu virusul, explică Vyacheslav Belashov, șeful departamentului pentru implementarea sistemelor de securitate a informațiilor la SKB Kontur:

Particularitate Virusul WannaCry este că poate pătrunde în sistem fără intervenția umană, spre deosebire de alți viruși ransomware. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - a urmat un link dubios dintr-un e-mail care nu era cu adevărat destinat lui sau a descărcat un atașament rău intenționat. În cazul WannaCry, se exploatează o vulnerabilitate care există direct în sistemul de operare în sine. Prin urmare, în primul rând în pericol erau computerele pornite Baza Windows, care nu a instalat actualizările din 14 martie 2017. Unul infectat este suficient stație de lucru din compozitie retea locala astfel încât virusul să se răspândească la alții cu o vulnerabilitate existentă.

Utilizatorii afectați de virus au unul natural întrebarea principală- cum să vă decriptați informațiile? Din păcate, deocamdată solutie garantata nu, și puțin probabil să fie. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.

Ce anume se poate și trebuie făcut în acest moment:

1. Instalați cele mai recente actualizări.

Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor protectie antivirus. Puteți găsi informații despre actualizarea Windows.

2. Faceți copii de rezervă ale informațiilor importante.

3. Aveți grijă când lucrați cu poșta și internetul.

Acordați atenție e-mailurilor primite cu link-uri și atașamente îndoielnice. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.