Содержание
Способы предотвратить заражение Защита от шифровальщиков. Пошаговое руководство по защите от вирусов Вирус WannaCry (WannaCryptor) может заразить еще более миллиона компьютерных систем "Лаборатория Касперского" нашла создателей WannaCry в Северной Корее Компьютерный червь Судного Дня: теперь WannaCry покажется детским утренником * * * Вирус WannaCryptor (WannaCry) нельзя вылечить, но можно предотвратить заражение простыми способами Компьютеры по всему миру подверглись крупнейшей за всю историю вирусной атаке. О вирусе WannaCry или WannaCryptor впервые стало известно в марте 2017 года. Майкрософт сразу же выпустил обновление для своих операционных систем и закрыл уязвимость. Тем не менее, накануне вирус-шифровальщик WannaCryptor (WannaCry) проник на компьютеры медицинских учреждений Великобритании и оттуда начал с огромной скоростью распространяться по глобальной сети. Сообщения о заражении поступили также из США, Китая, Тайваня, Вьетнама, Италии, Испании и России. Вирус-шифровальщик обычно распространяется через электронную почту. Письмо, которое открывает пользователь, содержит зараженный файл. Вымогатели используют вводящие в заблуждение заголовки, вынуждая жертву открыть прикрепленный к письму файл. Такие письма обычно содержат ссылки на смешные фотографии, маскируются под выписку с банковского счета или предлагают посмотреть интересное видео. Результатом открытия такого файла будет заражение компьютера вирусом-вымогателем. Вирус WannaCryptor (WannaCry) шифрует все файлы на компьютере и блокирует доступ к нему. За разблокировку злоумышленники требуют 300 долларов в биткоинах. На выплату дается три дня, потом сумма увеличивается в два раза. Вирус WanaCryptor 2.0 (WannaCry) использует гибридный режим шифрования AES + RSA, что почти исключает возможность самостоятельной расшифровки зараженных файлов. В результате заражения к зашифрованным файлам добавляется расширение .WCRY и .WCYR. На данный момент предотвратить заражение можно простым способом: - Загрузите бесплатную версию программы malwarebytes (https://ru.malwarebytes.com/mwb-download/thankyou/) - Убедитесь, что у вас установлено критическое обновление операционной системы Windows (https://support.microsoft.com/ru-ru/help/4012598/title). - Обязательно сделайте резервную копию важных файлов. Храните её на отдельном диске, не подключенном к системе. В случае заражения вирусом WannaCry расшифровать файлы уже не получится, поэтому следуйте простым инструкциям, чтобы предотвратить заражение. Эксперты по информационной безопасности рекомендуют 5 шагов для предотвращения заражения: - Вовремя обновляйте операционную систему - Используйте комплексное защитное программное обеспечение - Не нажимайте на сомнительные ссылки из писем и сообщений в мессенджерах - Делайте резервные копии всех личных файлов и критически важной информации - В случае заражения ни в коем случае не платите деньги злоумышленникам Ранее СМИ сообщили о вирусной атаке WannaCryptor (WannaCry) на серверы МВД, Следственного комитета, МЧС, Сбербанка, «Мегафона», а также на крупнейшие объекты как минимум в 12 странах. Автор: Справка kp.ru
WannaCryptor (WannaCry) - программа, которая шифрует файлы пользователя, изменяет их расширение и просит купить специальный расшифровщик за $600 в криптовалюте Bitcoin, иначе файлы будут удалены. Комментарии специалистов
Илья Коршунов, технический директор KP.RU: - Сам "шифровальщик" WannaCryptor (WannaCry) вирусом в классическом его понимании не является. Он не размножается, не маскируется, не модифицирует системные файлы - просто шифрует (весьма быстро) текстовые файлы и документы на локальном диске и подключенным к нему сетевым дискам. Размножается чаще всего посредством электронной почты - приходит письмо с вложением, а там что-то вроде "Налоговая задолженность, квитанция для оплаты в приложенном файле (или по ссылке)". Пользователь открывает файл или грузит его по ссылке и все - шифрование пошло. Единственный способ спасти данные, если у вас нет бэкапа, - немедленно выключить компьютер. Антивирусы, как правило, через несколько часов после начала почтовых рассылок начинают определять файл WannaCryptor как вирус и все заканчивается. Достаточно обновлять антивирусные базы (как правило, антивирус делает это раз в несколько часов самостоятельно). Директор проекта "Международная информационная безопасность и глобальное управление интернетом" Олег Демидов: - Чтобы организовать такую атаку, не надо быть глубоким специалистом-хакером. Арендуешь управление такой программой - и вперед. Да, это необычный выбор цели, но это укладывается в последние мировые тенденции развития рынка. Раньше все это было развито на кустарно-бытовом уровне, программы-шифровальщики были ориентированны на индивидуальных пользователей. Они шифровали данные на компьютере и требовали выкуп. Последнее время все это перемещается на объекты инраструктуры, в том числе - больницы и подключенное к единой сети "умное оборудование". По материалам kp.ru Защита от шифровальщиков. Пошаговое руководство по защите от вирусов
Сегодня вирусы-шифровальщики стали популярным инструментом киберпреступников. С их помощью злоумышленники вымогают деньги у компаний и обычных пользователей. За разблокировку личных файлов пользователи могут отдать десятки тысяч рублей, а владельцы бизнеса — миллионы (например, если заблокированной окажется база 1С). В руководстве я предлагаю несколько способов защиты от шифровальщиков, которые помогут максимально обезопасить ваши данные. Антивирусная защита Среди всех средств защиты на первом месте стоит антивирус (я пользуюсь ESET NOD32). Вирусные базы данных автоматически обновляются несколько раз в день без участия пользователя, но нужно следить и за актуальностью самой программы. Помимо обновления антивирусных баз разработчики регулярно добавляют в свои продукты современные средства защиты от вирусов. Одним из таких средств является облачный сервис ESET LiveGrid®, который может блокировать вирус раньше, чем он будет занесен в антивирусную базу. Система ESET «на лету» анализирует информацию о подозрительной программе и определяет ее репутацию. В случае возникновения подозрений на вирус все процессы программы будут заблокированы. Проверить, включена ли функция ESET LiveGrid® можно следующим образом: ESET NOD32 — Дополнительные настройки — Служебные программы — ESET LiveGrid® — Включить систему репутации ESET LiveGrid®. Оценить эффективность ESET LiveGrid® можно на сайте, предназначенном для тестирования работы любых антивирусных продуктов. Переходим по ссылке Security Features Check (Проверка функций защиты) — Feature Settings Check for Desktop Solutions (Проверка функций защиты для персональных компьютеров) или Feature Settings Check for Android based Solutions (Проверка функций защиты для устройств на Android) — Test if your cloud protection is enabled (Проверить, включена ли у вас облачная защита). Далее нам предлагается скачать тестовый файл, и, если антивирус среагировал на него, — защита активна, если нет — нужно разбираться, в чем дело. Обновление операционной системы и программных продуктов Злоумышленники часто используют известные уязвимости в программном обеспечении в надежде на то, что пользователи еще не успели установить последние обновления. В первую очередь это касается операционной системы Windows, поэтому следует проверить и, при необходимости, активировать автоматические обновления ОС (Пуск — Панель управления — Центр обновления Windows — Настройка параметров — Выбираем способ загрузки и установки обновлений). Отключение службы шифрования В Windows предусмотрена специальная служба шифрования данных; если не пользуетесь ей регулярно, лучше ее отключить — некоторые модификации шифровальщиков могут использовать эту функцию в своих целях. Для отключения службы шифрования нужно выполнить следующие действия: Пуск — Панель управления — Администрирование — Службы — Шифрованная файловая система (EFS) и перезагрузить систему. Обратите внимание, что если вы применяли шифрование для защиты каких-либо файлов или папок , то следует снять галочки в соответствующих чекбоксах (ПКМ — Свойства — Атрибуты — Дополнительно — Шифровать содержимое для защиты данных). Иначе после отключения службы шифрования, вы не сможете получить доступ к этим файлам. Узнать, какие файлы были зашифрованы, очень просто — они будут выделены зеленым цветом. Ограниченное использование программ Для повышения уровня безопасности можно заблокировать запуск любых программ, которые не соответствуют заданным нами требованиям. По умолчанию такие настройки установлены только для папок Windows и Program Files. Настроить локальную групповую политику можно так: Выполнить — gpedit — Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики ограниченного использования программ — ПКМ — Создать политику ограниченного использования программ. Давайте создадим правило, запрещающее запуск программ из каких-либо мест за исключением разрешенных (Дополнительные правила — ПКМ — Создать правило для пути — Путь: *, т.е. любой путь — Уровень безопасности: Запрещено). В окне «Назначенные типы файлов» указаны расширения, которые будут блокироваться при попытке запуска. Советую добавить сюда расширение .js — java script и удалить .ink, чтобы можно было запускать программы с помощью ярлыков. На эффективную настройку может уйти определенное время, но результат определенно этого стоит. Использование учетной записи обычного пользователя Работать с учетной записи администратора не рекомендуется даже продвинутым пользователям. Ограничение прав учетной записи позволит минимизировать урон при случайном заражении (Включить учетную запись администратора — Задать пароль — Лишить текущего пользователя административных прав — Добавить в группу пользователи). Для выполнения действий с правами администратора в Windows предусмотрен специальный инструмент — «Контроль учетных записей», который запросит пароль для выполнения той или иной операции. Проверить настройки можно здесь: Пуск — Панель управления — Учетные записи пользователей — Изменение параметров контроля учетных записей — По умолчанию — Уведомлять только при попытках внести изменения в компьютер. Контрольные точки восстановления системы Иногда вирусам все равно удается преодолеть все уровни защиты. В этом случае у вас должна быть возможность откатиться на раннее состояние системы. Настроить автоматическое создание контрольных точек можно так: Мой компьютер — ПКМ — Свойства — Защита системы — Параметры защиты. По умолчанию при установке операционной системы защита включена только для системного диска, однако шифровальщик затронет содержимое всех разделов на вашем ПК. Для восстановления файлов стандартными средствами или программой Shadow Explorer следует включить защиту для всех дисков. Контрольные точки займут некоторый объем памяти, однако они могут спасти ваши данные в случае заражения. Резервное копирование Я настоятельно рекомендую регулярно делать резервные копии самой важной информации. Эта мера поможет не только защититься от вирусов, но послужит страховкой на случай выхода жесткого диска из строя. Обязательно делайте копии данных и сохраняйте их на внешних носителях или в облачных хранилищах. Надеюсь, руководство будет для вас полезным и поможет защитить личне данные (и деньги!) от злоумышленников. Севостьянов Антон победитель конкурса «Дорогая редакция» https://club.esetnod32.ru/articles/analitika/zashchita-ot-virusa-shifrovalshchika/ Вирус WannaCry (WannaCryptor) может заразить еще более миллиона компьютерных систем
15.05.2017 года По утверждению специалистов в области кибербезопасности, перед вирусом WannaCry (WannaCryptor) могут не устоять более 1,3 миллиона компьютерных систем. Как пишет издание Financial Times, подготовится к масштабной кибератаке по всему миру, которая может начаться на следующей неделе, посоветовали коммерческим организациями представители британской разведки. "Мы в курсе попыток осуществить атаку на другие британские центры, помимо медслужб", — сообщил изданию директор Национального центра кибербезопасности Великобритании Киаран Мартин. О растущей угрозе киберзаражения заявил и директор Европола Роб Уэйнрайт. По его мнению, очередная серия атак может начаться уже с понедельника. Напомним, накануне несколько стран мира атаковал вирус WannaCry (WannaCryptor), который использует уязвимость в программе компании Microsoft. Больше всего досталось России, но пострадали еще больше 70 стран. WannaCry (WannaCryptor) представляет собой модифицированную вредоносную программу АНБ Eternal Blue - она распространяет вирус через файлообменные протоколы, используемые для обмена данными в корпоративных сетях по всему миру. Бывший сотрудник спецслужб Америки Эдвард Сноуден уже заявил, что это дело рук Агентства национальной безопасности (АНБ) США. Разработчики антивируса Avast сообщили о 57 тысячах хакерских атак при помощи этого вируса. При этом в первую очередь вирусом WannaCry (WannaCryptor) заражаются системы в России, на Украине и Тайване. По материалам "Лаборатория Касперского" нашла создателей WannaCry в Северной Корее
Эксперты "Лаборатории Касперского" нашли хакеров, ответственных за кибератаки, которые прошли недавно по всему миру. О том, что это могут быть программисты из Северной Кореи, заявил ведущий аналитик компании Александр Гостев. Он напомнил аудитории о том, что северокорейские хакеры грабили банки через SWIFT и взламывали Sony Pictures. Это группа под названием Lazarus. "Детектив закручивается все сильней и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus", — написал Гостев в Facebook. При этом экс-сотрудник спецслужб Америки Эдвард Сноуден уже заявил, что это дело рук Агентства национальной безопасности (АНБ) США. Об этом сообщили и американские СМИ. К примеру, по данным Financial Times, WannaCry представляет собой модифицированную вредоносную программу АНБ Eternal Blue — она распространяет вирус через файлообменные протоколы, используемые для обмена данными в корпоративных сетях по всему миру. Президент России Владимир Путин также назвал спецслужбы США источником вируса-вымогателя WannaCry, который парализовал компьютеры ведомств в 150 странах Источник Компьютерный червь Судного Дня: теперь WannaCry покажется детским утренником
23.05.2017 Исследователи безопасности выявили новый штамм вредоносного ПО, которое подобно WannaCry также распространяет себя, используя недостатки в протоколе общего доступа к файлам Windows SMB. Однако в отличие от WansCry Ransomware, который использует только два инструмента для взлома NSA (US National Security Agency ), новый червь использует все семь: EternalBlue — SMBv1 exploit tool EternalRomance — SMBv1 exploit tool EternalChampion — SMBv2 exploit tool EternalSynergy — SMBv3 exploit tool SMBTouch — SMB reconnaissance tool ArchTouch — SMB reconnaissance tool DoublePulsar — Backdoor Trojan На прошлой неделе thehackernews.com предупреждали вас о нескольких хакерских группах, использующих утечку средств взлома из Агентства национальной безопасности США (NSA), но почти все из них использовали только два инструмента: EternalBlue и DoublePulsar. Однако теперь, Мирослав Стампар (Miroslav Stampar), хорватский эксперт CERT (Команды реагирования на компьютерные инциденты) и автор знаменитого инструмента «sqlmap», обнаружил нового сетевого червя, получившего название EternalRocks. Он много опаснее WannaCry, поскольку он использует все 7 эксплойтов NSA и в нем нет переключателя kill. Так же Стампар ещё обнаружил, что EternalRocks маскируется под WannaCry, обманывая всех экспертов по безопасности. Но вместо того, чтобы выводить на экран известный запрос неустановленных «вымогателей» EternalRocks ведет себя тихо, используя несанкционированный доступ к компьютеру для сканирования сети, самокопирования и дальнейшего распространения. При этом даже необходимые для работы скрипты EternalRocks скачивает эпизодически, приблизительно раз в 24 часа, что делает его практически обнаруживаемым. По словам Мирослава «единственная цель EternalRocks на данный момент — это максимальное самораспространение и ожидание дальнейших инструкций от своих создателей. То есть вся эта история с WannaCry — это как бы маскировочная прелюдия». Прелюдией к чему является WannaCry зависит от количества компьютеров, зараженных EternalRocks, но как бы пролеченных от WannaCry. Как минимум речь может идти о сотнях тысяч, как максимум — об миллионах. И если речь идет именно о максимальной цифре — не трудно вообразить, что будет, если в мире одновременно остановятся миллионы компьютеров. Наверное поэтому Мирослав Стампар назвал EternalRocks «Червь Судного Дня» (DoomsDayWorm). http://thehackernews.com/2017/05/smb-windows-hacking-tools.html |
Оставлять комментарии могут только зарегистрированные пользователи. Пожалуйста, пройдите процедуру авторизации здесь.