Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (38)
  • добавить в избранное
    Добавить в закладки

Трояны-вымогатели — обратная сторона криптографии

Прочитали: 14843 Комментариев: 10 Рейтинг: 28

5 мая 2022

Ежегодно 5 мая в нашей стране отмечается День криптографической службы России. Криптография неотделимо связана с безопасностью информации. Прикладное значение этой древней науки невозможно переоценить, так как потребность человека ограничивать доступ к информации так же естественна, как и потребность эту информацию распространять. В этом смысле криптографию можно считать удивительной наукой — естественная и стройная, как математика, при этом живая и многофункциональная, как всякий язык. Не будет преувеличением сказать, что современный цифровой мир твердо опирается на законы криптографии: методы обеспечения защиты информации по определению немыслимы без соответствующих знаний.

И если бы все светлые концепции, до которых додумывался человек, использовались лишь в благих целях, мир, безусловно, стал бы утопией. Трояны-шифровальщики — частный, но очень показательный пример того, как заложенные в криптографии идеи нашли свое широчайшее применение и у киберпреступников. Криптография как наука занимает очень важное место в извечном противостоянии меча и щита, поэтому среди объемного багажа знаний вирусных аналитиков «Доктор Веб» знания в области криптографии являются определяющими.

В сегодняшнем выпуске «Антивирусной правды», приуроченном к знаменательной дате, мы решили кратко рассказать нашим читателям, почему стоит избегать встречи с троянами-шифровальщиками, и напомнить о несложных правилах, которые позволят уберечь компьютер от таких атак.

Троянов-шифровальщиков часто называют цифровой чумой XXI века. Массовые заражения компьютеров шифровальщиками начались в середине нулевых, хотя сама концепция таких атак была сформулирована гораздо раньше — в 90-е. Первые атаки были достаточно примитивны: зачастую вирусы шифровали только названия файлов и каталогов, либо же злоумышленники использовали некриптостойкие алгоритмы шифрования, которые позволяли впоследствии восстановить измененные файлы. Но идея вымогательства и шантажа очень «удачно» легла в основу таких атак.

С развитием технологий — совершенствованием алгоритмов шифрования, созданием анонимных сетей типа Tor, распространением криптовалют и ростом процессорных мощностей — развитие получили и атаки шифровальщиков. Вирусописатели стали использовать заимствованный код, отвечающий за шифрование данных, при этом поменялась и сама схема шифрования. Ключ дешифровки стал уникальным для каждой жертвы, таким образом с его помощью нельзя было расшифровать файлы, зашифрованные другой копией трояна. Алгоритмы шифрования, такие как RSA, AES и их разновидности обладают достаточной криптостойкостью, чтобы расшифровать файлы без ключа дешифровки или ошибки в коде трояна было попросту невозможно.

Атаки шифровальщиков стали настоящей эпидемией в прошлом десятилетии, при этом множество злоумышленников сфокусировались на более крупных целях — компаниях и предприятиях. Перспектива необратимой потери информации на корпоративных компьютерах может быть фатальна для бизнеса, поэтому аппетиты злоумышленников росли в геометрической прогрессии. Так, средний выкуп за восстановление файлов обычного пользователя мог оцениваться в 300-500$, а для организаций — сотни тысяч и даже миллионы долларов в зависимости от масштабов компании-жертвы.

Что делает атаки шифровальщиков столь опасными? В первую очередь, перспектива полной потери измененных данных. Жертва как правило не осознает ценность своей цифровой информации до тех пор, пока не столкнется с последствиями такой атаки. Фотографии, видео, заметки и записи, собранные коллекции — все это для большинства из нас представляет очень высокую эмоциональную ценность, порой невыражаемую в денежном эквиваленте. Злоумышленники прекрасно это понимают, поэтому умело играют на чувствах жертвы. Для компаний, как было сказано выше, потеря информации может обернуться многомиллионными издержками, репутационными потерями или вовсе крахом бизнеса. Во-вторых, злоумышленники зачастую шантажируют жертв (обычно крупные компании) обнародованием украденной информации. При этом доподлинно неизвестно, были ли файлы украдены и зашифрованы, либо же только зашифрованы. Неизвестность, внезапность, ощущение, что все козыри на стороне злоумышленников — все это оказывает серьезное давление на жертву таких атак.

Эффективность и прибыльность атак шифровальщиков на крупные компании привела к распространению Ransomware-As-A-Service («вымогательство как услуга»). Вирусописатели продают так называемым операторам готовые наборы ПО для атак на различные цели, при этом получая комиссию от вырученной прибыли.

Одним из последних трендов в мире шифровальщиков является использование вирусописателями утилиты BitLocker, встроенной в современные ОС Windows. Такой подход позволяет минимизировать риск детектирования вредоносной активности антивирусом, так как BitLocker определяется как легитимная программа. Как правило, сценарий заражения следующий: злоумышленник получает доступ к RDP-сессии жертвы и доставляет полезную нагрузку, позволяющую запустить BitLocker с нужными параметрами, после чего шифрует логические диски жертвы.

Стоит отдельно отметить, что все специалисты по компьютерной безопасности и компания «Доктор Веб» в частности категорически не рекомендуют идти на поводу у преступников и платить выкуп за якобы восстановление файлов. Во-первых, что бы ни обещали злоумышленники, нет никаких гарантий, что после оплаты жертва получит ключ дешифровки. Во-вторых, оплата выкупа спонсирует команды вирусописателей и мотивирует их на продолжение преступной деятельности.

Как же обезопасить себя от атак вымогателей? В первую очередь, проблемы не существовало бы в принципе, если бы у каждой цели преступников были актуальные и работоспособные бэкапы. О важности бэкапов мы писали в этой статье. Стоит заметить, что многие трояны-шифровальщики могут зашифровать и бэкапы, если в момент атаки они будут находиться в зоне досягаемости. Поэтому накопитель с резервными копиями должен быть надежно защищен или изолирован в тот момент, когда копирование не происходит. Во-вторых, следует своевременно устанавливать обновления для используемых на компьютере программ, в особенности это касается ОС, программ сетевого оборудования и, конечно же, антивирусного ПО. Многие шифровальщики в качестве вектора атаки используют известные и по каким-то причинам незакрытые уязвимости для заражения устройств. Своевременное обновление ПО позволяет минимизировать эти риски. И, конечно же, следует использовать надежное комплексное антивирусное решение, обладающее механизмами несигнатурного, поведенческого анализа. Одним из таких решений является наш программный продукт Dr.Web Security Space, который успешно противостоит различным видам шифровальщиков и блокирует попытки исполнения неавторизованного вредоносного кода.

#Trojan.Encoder #Windows #бэкап #вымогательство #защита_от_потери_данных #шифровальщик #шифрование

Антивирусная правДА! рекомендует

  1. Соблюдайте основные правила цифровой гигиены — тем самым вы многократно снизите шанс заражения шифровальщиком. Трояны часто распространяются через вложения электронных писем или мимикрируют под легальное ПО. Таким образом, в большинстве случаев жертва собственноручно запускает на исполнение вредоносный код.
  2. Регулярно создавайте резервные копии и не забывайте хотя бы время от времени проверять их на работоспособность.
  3. Своевременно обновляйте ОС, программные продукты и антивирус.
  4. Максимально обезопасьте RDP-сессии. Используйте VPN и двухфакторную аутентификацию и ограничьте доступ к корпоративным ресурсам извне. Тем самым вы сократите потенциальные точки входа для атак злоумышленников.
  5. Не мешайте антивирусу делать свою работу и не отключайте его компоненты защиты.
  6. Используйте комплексное антивирусное решение, позволяющее детектировать вредоносную активность на основе поведенческого анализа.
  7. Если заражение все же произошло, и ваши файлы оказались зашифрованы, мы не рекомендуем платить злоумышленникам выкуп. Вы можете обратиться за помощью в техническую поддержку «Доктор Веб» — есть вероятность, что ключ дешифровки вашей копии трояна уже находится в открытом доступе.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей