Шифровальщики раздули иб-бюджеты. Вирус-шифровальщик WannaCry заблокировал ПК! Как защититься от заражения? Новый вирус шифровальщик защита

12 апреля 2017 года появилась информация о стремительном распространении по всему миру вируса-шифровальщика под названием WannaCry, что можно перевести как «Хочется плакать». У пользователей появились вопросы про обновление Windows от вируса WannaCry.

Вирус на экране компьютера выглядит так:

Нехороший вирус WannaCry, который все шифрует

Вирус шифрует все файлы на компьютере и требует выкуп на кошелек Биткоина в сумме 300$ или 600$ для якобы расшифровки компьютера. Заражению подверглись компьютеры в 150 странах мира, самая пострадавшая – Россия.

Мегафон, РЖД, МВД, Минздрав и другие компании вплотную столкнулись с этим вирусом. Среди пострадавших есть и простые пользователи Интернета.

Перед вирусом практически все равны. Разница, пожалуй, в том, что в компаниях вирус распространяется по всей локальной сети внутри организации и мгновенно заражает максимально возможное количество компьютеров.

Вирус WannaCry шифрует файлы на компьютерах, использующих Windows. В компании Microsoft еще в марте 2017 года были выпущены обновления MS17-010 для различных версий Windows XP, Vista, 7, 8, 10.

Получается, что те, у кого настроено автоматическое обновление Windows, находятся вне зоны риска для вируса, ибо своевременно получили обновление и смогли его избежать. Не берусь утверждать, что так оно и есть на самом деле.

Рис. 3. Сообщение при установке обновления KB4012212

Обновление KB4012212 после установки потребовало перезагрузки ноутбука, что мне не очень понравилось, ибо неизвестно, чем это может закончиться, но куда деваться пользователю? Впрочем, перезагрузка прошла нормально. Значит, живем спокойно до следующей вирусной атаки, а что такие атаки будут – сомневаться, увы, не приходится.

В любом случае, важно иметь , чтобы было откуда восстанавливать операционную систему и свои файлы.

Обновление Windows 8 от WannaCry

Для ноутбука с лицензионной Windows 8 было установлено обновление KB 4012598, ибо

Мир киберпреступлений эволюционирует от количества к качеству: новых вредоносных программ становится меньше, зато их сложность повышается. В гонку хакерских технологий включились государственные спецслужбы, что подтвердил крупнейший инцидент 2016-2017 гг., связанный с утечкой кибервооружений из АНБ. Хакерам понадобились считанные дни, чтобы использовать попавшие в открытый доступ разработки спецслужб в мошеннических целях. Громкие инциденты в области ИБ привлекли внимание к проблеме защиты данных, и глобальный рынок средств защиты информации продолжает расти высокими темпами.

На данный момент рост киберпреступности в целом не столь значителен, каким он был в 2007-2010 гг. «В тот период времени количество создаваемых вредоносных программ, росло действительно по экспоненте, в сотни и тысячи раз превышая показатели предыдущих лет. В последние года мы вышли на «плато», и ежегодные цифры за последние три года стабильны», – рассказывает Юрий Наместников , руководитель российского исследовательского центра «Лаборатории Касперского». «В то же время наблюдается сразу несколько интересных процессов, которые в сумме и дают ощущение большего размаха действий хакеров», – отмечает собеседник CNews.

Среди трендов 2016-2017 гг. прежде всего следует отметить значительное увеличение числа «state-sponsored» атак, которые имеют своей целью шпионаж или критическое повреждение инфраструктуры. В области традиционной киберспреступности наибольшее развитие получили сложные таргетированные атаки против крупных компаний и финансовых институтов, которые разрабатываются с учетом уникального ландшафта ИТ-инфраструктуры конкретной организации. Кроме того, большой популярностью у злоумышленников пользуются программы-вымогатели, требующие выкуп за дешифровку данных. «В сумме эти процессы дают ощущение большего размаха действий хакеров», – комментирует Юрий Наместников.

Утечка из АНБ привела к эпидемии

Из событий в области ИБ, прежде всего, обратил на себя внимание скандал, связанный с вмешательством хакеров в выборы в США. На рынок ИБ влияет не только экономика, но и геополитическая обстановка в мире, утверждает Илья Четвертнев , заместитель технического директора компании «Информзащита»: «Ярким примером стали последние выборы президента США, которые показали, насколько взлом информационных систем могут повлиять на страну в целом. Поэтому в настоящее время к классическим объектам атак добавилась критическая инфраструктура предприятий с целью промышленного шпионажа».

Кроме того, в 2016 г. хакеры из группы Shadow Brokers похитили из американской АНБ (NSA, National Security Agency) секретные инструменты для взлома компьютерных сетей, при этом источник утечки до сих пор . Некоторые из разработок попали в открытый доступ, что привело к печальным последствиям. В мае 2017 г. разразилась эпидемия вредоносного червя WannaCry, который распространяется с помощью разработанного в АНБ эксплойта EternalBlue, использующего ранее неизвестную уязвимость в ОС Windows. WannaCry шифрует данные на зараженном компьютере и требует выкуп в криптовалюте. В общей сложности заражению подверглись сотни тысяч компьютеров по всему миру.

Нехватка цифровой гигиены

По словам Максима Филиппова , директора по развитию бизнеса Positive Technologies в России, после публикации нового эксплойта проходит всего 2–3 дня перед тем, как он будет использован киберпреступниками: «После утечки архивов АНБ очень многие взяли на вооружение опубликованные техники и тактики, а в результате они будут использоваться чаще и модифицироваться злоумышленниками, в том числе и для более эффективного «заметания» следов».

«Злоумышленники смещают фокус с уязвимостей в приложениях на уязвимости в операционных системах, – комментирует технический директор компании «Код безопасности» Дмитрий Зрячих . – Информация об этих уязвимостях добывается спецслужбами, а потом утекает на свободный рынок. Причем проблема остается даже после выхода обновлений для базового ПО: за три месяца до эпидемии WannaCry Microsoft выпустил патч, предотвращающий заражение, но несмотря на это WannaCry заразил более 500 тысяч компьютеров по всему миру».

Проблема заключается в том, что многие пользователи игнорируют обновления и не устанавливают их вовремя. Директор центра ИБ «Инфосистемы Джет» Алексей Гришин отмечает негативное влияние человеческого фактора: «Компании зачастую забывают о базовой безопасности, так называемой цифровой гигиене: управлении обновлениями и уязвимостями, антивирусной защите, минимизации прав пользователей, разумном управлении правами доступа и т.п. В таких условиях не спасают даже новейшие системы безопасности».

Кроме того, современным компаниям не всегда удается правильно организовать права доступа тех или иных пользователей. «Неконтролируемый доступ привилегированных пользователей (как внутренних, так и внешних: подрядчиков, службы поддержки, аудиторов и т.д.) может привести к серьезным последствиям. Заказчики делились случаями, когда их инфраструктуры практически выходили из-под их влияния по причине всемогущества подрядчиков и отсутствия правильной организации их работы», – рассказывает Олег Шабуров , руководитель департамента кибербезопасности группы компаний Softline.

Бум шифровальщиков

WannaCry оказалась не единственной программой-вымогателем, получившей известность в 2016-2017 г. Ранее получили распространение вредоносные утилиты Petya и BadRabbit, которые также шифруют данные на ПК и требует выкуп в биткойнах за доступ к ним. При этом атаки с использованием BadRabbit носили более таргетированный характер, поражая в основном компьютеры на объектах инфраструктуры на Украине.

По данным «Лаборатории Касперского», за прошедший год программами-шифровальщиками были атакованы 32% российских компаний, причем в 37% из них были зашифрованы значительные объемы данных. Потеряли все свои ценные данные либо так и не сумели восстановить доступ к значительной их части 31% компаний. А заплатить выкуп предпочли 15% опрошенных компаний (хотя это и не гарантирует возвращение файлов). «Основная проблема с шифровальщиками и вымогателями сегодня заключается в том, что зачастую жертвы соглашаются заплатить злоумышленникам, так как не видят другого способа вернуть доступ к своим ценным данным», – комментирует Юрий Наместников.

Инвестиции в ИБ растут

Последние полтора-два года были богаты на инциденты в области информационной безопасности, что способствовало росту инвестиций в защиту информационных систем. По данным IDC, по итогам 2017 г. глобальная выручка от поставок продуктов ИБ увеличится на 8,2% до $81,7 млрд. Сходные цифры приводят аналитики Gartner, они предсказывают рост на 7% до $86,4 млрд по итогам года. При этом сегмент ИБ развивается быстрее, чем рынок ИТ в целом: согласно оценке Gartner, глобальные траты на ИТ по итогам 2017 г. увеличатся только на 2,4%. Сходную динамику демонстрирует российский рынок: согласно данным рейтинга CNews Security, по итогам 2016 г. отечественные поставки ИБ увеличились на 8% в долларах и на 18%.

Объем глобального рынка ИБ в 2016 г. и прогноз на 2017 г., в $ млрд

• Заражению подверглись уже более 200 000 компьютеров!

Основные цели атаки были направлены на корпоративный сектор, за ним потянуло уже и телекоммуникационные компании Испании, Португалии, Китая и Англии.

• Самый крупный удар был нанесен по российским пользователям и компаниям. В том числе «Мегафон», РЖД и, по неподтвержденной информации, Следственный Комитет и МВД. Сбербанк и Минздрав то же сообщили об атаках на свои системы.

За расшифровку данных злоумышленники требуют выкуп от 300 до 600 долларов в биткоинах (около 17 000-34000 рублей).

Как установить официальный ISO-образ Windows 10 без использования Media Creation Tool

Интерактивная карта заражения (КЛИКНИ ПО КАРТЕ)
Окно с требованием выкупа
Шифрует файлы следующих расширений

Несмотря на нацеленность вируса атаки корпоративного сектора, обычный пользователь так же не застрахован от проникновения WannaCry и возможной потери доступа к файлам.

• Инструкция по защите компьютера и данных в нем от заражения:

1. Выполните установку приложения Kaspersky System Watcher , которое оснащено встроенной функцией отката изменений, возникших от действий шифровальщика, которому все-таки удалось обойти средства защиты.

2. Пользователям антивирусника от «Лаборатории Касперского» рекомендуется проверить, чтоб была включен функция «Мониторинг системы».

3. Пользователям антивирусника от ESET NOD32 для Windows 10, внедрена функция проверки новых доступных обновлений ОС. В том случае если вы позаботились заранее и она была у вас включена, то все необходимые новые обновления Windows будут установлены и ваша система будет полностью защищена от данного вируса WannaCryptor и других похожих атак.

4. Так же у пользователей продуктов ESET NOD32, имеется такая функция в программе, как детектирования еще неизвестных угроз. Данный метод основан на использование поведенческих, эвристических технологии.

Если вирус ведет себя как вирус - скорее всего, это вирус.

Технология облачной системы ESET LiveGrid с 12 мая отражал очень успешно все нападения атак данного вируса и всё это происходило еще до поступления обновлении сигнатурных баз.

5. Технологии ESET предоставляют защищенность в том числе и устройствам с прошлыми системами Windows XP, Windows 8 и Windows Server 2003 ( рекомендуем отказаться от использования данных устаревших систем ). Из за возникшей весьма высокого уровня угрозы, для данных ОС, Microsoft приняла решение выпустить обновления. Скачать их .

6. Для снижения до минимума угрозы причинения вреда вашему ПК, необходимо в срочном порядке выполнить обновление своей версии Windows 10: Пуск - Параметры - Обновление и безопасность - Проверка наличия обновлений (в других случаях: Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить).

7. Выполните установку официального патча (MS17-010) от Microsoft, который исправляет ошибку сервера SMB, через которую может проникнуть вирус. Данный сервер задействован в этой атаке.

8. Проверьте, чтобы на вашем компьютере были запущены и находились в рабочем состояний все имеющиеся инструменты безопасности.

9. Выполните проверку на вирусы всей системы. При обнажении вредоносной атаки с названием MEM:Trojan.Win64.EquationDrug.gen , перезагрузите систему.

И еще раз вам рекомендую проверить чтобы были установлены патчи MS17-010.

В настоящее время специалисты «Лаборатории Касперского», «ESET NOD32» и других антивирусных продуктов, ведут активную работу над написанием программы для дешифрования файлов, которое будет в помощь пользователям зараженных ПК для восстановления доступа к файлам.

Вкратце: Для защиты данных от вирусов-шифровальщиков можно использовать зашифрованный диск на основе крипто-контейнера, копию которого необходимо держать в облачном хранилище.

• Анализ криптолокеров показал что они шифруют только документы и файл контейнер от зашифрованного диска не представляет интерес для Криптолокеров.
• Файлы внутри такого крипто-контейнера недоступны для вируса, когда диск отключен.
• А поскольку Зашифрованный Диск включается только в момент когда необходимо поработать с файлами, то высока вероятность что криптолокер не успеет его зашифровать либо обнаружит себя до этого момента.
• Даже если криптолокер зашифрует файлы на таком диске, вы сможете легко восстановить резервную копию крипто-контейнера диска из облачного хранилища, которая автоматически создается раз в 3 дня или чаще.
• Хранить копию контейнера диска в облачном хранилище безопасно и легко. Данные в контейнере надежно зашифрованы а значит Google или Dropbox не смогут заглянуть внутрь. Благодаря тому что крипто-контейнер это один файл, закачивая его в облако вы на самом деле закачиваете все файлы и папки которые внутри него.
• Крипто-контейнер может быть защищен не только длинным паролем но и электронным ключем типа rutoken с очень стойким паролем.

Вирусы-шифровальщики (ransomware) такие как Locky, TeslaCrypt , CryptoLocker и криптолокер WannaCry предназначены для вымогания денег у владельцев зараженных компьютеров, поэтому их еще называют «программы-вымогатели». После заражения компьютера вирус шифрует файлы всех известных программ (doc, pdf, jpg…) и затем вымогает деньги за их обратную расшифровку. Пострадавшей стороне скорее всего придется заплатить пару сотен долларов чтобы расшифровать файлы, поскольку это единственный способ вернуть информацию.

В случае если информация очень дорога ситуация безвыходная, и усложняется тем что вирус включает обратный отсчет времени и способен самоликвидироваться не дав вам возможности вернуть данные если вы будете очень долго думать.

Преимущества программы Rohos Disk Encryption для защиты информации от крипто-вирусов:

• Создает Крипто-контейнер для надежной защиты файлов и папок.
  Используется принцип ширования на лету и стойкий алгоритм шифрования AES 256 Бит.
• Интегрируется с Google Drive, Dropbox, Облако Mail.ru , Yandex Диск.
  Rohos Disk позволяет данным службам переодически сканировать крипто-контейнер и загружать в облако только изменения зашифрованных данных благодаря чему облако хранит несколько ревизий крипто-диска.
• Утилита Rohos Disk Browser позволяет работать с крипто-диском так чтобы другие программы (в том числе и вирусы) не имели доступа к этому диску.

Крипто-контейнер Rohos Disk

Программа Rohos Disk создает крипто-контейнер и букву диска для него в системе. Вы работаете с таким диском как обычно, все данные на нем автоматически шифруются.

Когда крипто-диск отключен он недоступен для всех программ, в том числе и для вирусов шифровальщиков.

Интеграция с облачными хранилищами

Программа Rohos Disk позволяет разместить крипто-контейнер в папке службы облачного хранилища и периодически запускать процесс синхронизации крипто-контейнера.

Поддерживаемые службы: Google Drive, Dropbox, Облако Mail.ru , Yandex Диск.

В случае если крипто-диск был включен, произошло заражение вирусом и вирус начал шифровать данные на крипто-диске у вас есть возможность восстановить образ крипто-контейнера из облака. Для сведения — Google Drive и Dropbox способны отслеживать изменения в файлах (ревизии), хранят только измененные части файла и поэтому позволяют восстановить одну из версий крипто-контейнера из недалекого прошлого (обычно это 30-60 дней в зависимости от свободного места на Google Drive).

Утилита Rohos Disk Browser

Rohos Disk Browser позволяет открывать крипто-контейнер в режиме проводника без того чтобы делать диск доступным на уровне драйвера для всей системмы.

Преимущества такого подхода:

• Информация с диска отображается только в Rohos Disk Browser
• Никакое другое приложение не может получить доступ к данным с диска.
• Пользователь Rohos Disk Browser может добавлять файл или папку, открыть файл и делать другие операции.

Полная защита данных от вредоносных программ:

• Файлы не доступны другим программам в том числе компонентам Windows.