Як захистити пк від вірусів шифрувальників. Основні цілі атаки були спрямовані на корпоративний сектор, за ним потягнуло вже телекомунікаційні компанії Іспанії, Португалії, Китаю та Англії. Що не варто робити

Головна / Захист

Новий вірусздирник Petya.A став, мабуть, головною подією минулого тижня. Вірусна атака призвела до зараження сотні тисяч комп'ютерів не тільки в Росії та країнах СНД, а й у всьому світі. Поки що немає єдиної думки, що могло стати причиною (наприклад, не актуальна версія Windows) і хто знаходиться в зоні небезпеки: тільки установи, банки, держструктури або всі комп'ютери під керуванням Windows, необхідно заздалегідь убезпечити свою систему. Як захиститися від вірусу шифрувальника Petya?

Уникайте стороннього програмного забезпечення

Програмне забезпечення слід завантажувати безпосередньо від виробника, а не від третіх осіб. Особлива обережність пропонується в порталах завантаження, які пропонують дороге програмне забезпеченнянадзвичайно дешево чи навіть безкоштовно. Передбачувана пропозиція часто є пасткою.

Що робити, якщо це сталося?

Крім того, експерти наполегливо радять регулярно виконувати резервне копіювання зовнішніх носіїв даних. Однак, носії даних повинні зберігатися окремо від комп'ютера. Також не слід використовувати відповідний жорсткий диск. Це важливо тому, що, на щастя, вже є засіб.

Немає протиотрути - і тепер

Платіж мотивував шантажистів лише далі.

Оригінальний вірус Petyaвперше виявив активність у 2016 році. Розробник використовує псевдонім Janus Cybercrime Solutions. Відомий також акаунт у Twitter - зловмисники використали обліковий запис@JanusSecretary після злому облікового запису зловмисників, що створили вірус Chimera. Нагадаємо, тоді в відкритому доступібули опубліковані ключі, що дозволяють повернути до вихідний станфайли, що постраждали від шифрувальника.

Крім того, немає гарантії, що дані знову будуть розшифровані. У багатьох випадках ключ не було надано після оплати. Дані залишаються зашифрованими. Тоді тільки повідомити справу в поліцію та сподіватися на рішення у майбутньому. Відомий з радіо та телебачення, цей троян потрапив до Німеччини, Європи, а також до інших частин світу. Результатом атаки було понад тисячу зашифрованих файлів на локальному диску, а також на всіх мережних дисках, до яких у користувача був доступ.

Як і майже кожен черв'як чи троян, Локкі приходив поштою і поширювався через вразливих користувачів у мережі та поширювався. Не пізніше, коли більшість важливих програм чи документів зашифровані. Тут, після зараження, допоможе тільки нова установкапорушених систем та відновлення незашифрованих файлів.

Після епідемії вірусу NotPetya, яка розпочалася у червні, автори оригінального здирника зробили чергову заяву. Стало відомо, що вони зайнялися вивченням NotPetya, а також намагаються використовувати ключі від Petya для розшифровки файлів. Однак багато фахівців одразу припустили, що це не спрацює. Новий вірус працює інакше – він навмисне вносить серйозні зміни до структури диска (включаючи шифрування запису MFT), а також повністю видаляє ключ. Швидше за все, повноцінно розшифрувати файли, що постраждали, вже фізично неможливо.

Важливе питання, яке ми чули останні кілька тижнів. Кількість троянців невпинно зростає. За допомогою дуже складних та інтелектуальних систем ви можете запобігти проникненню троянця. Але хорошого вірусного сканера часто недостатньо. Розробники програмного забезпечення шкідливого коду стають все кращими і швидше.

Резервне копіювання важливих даних

У випадку Локкі рівень зараження був дуже високим у перші кілька годин. Так само швидко, як виробники антивірусних програм не могли реагувати – він уже заразив близько 000 клієнтів. Тому вам потрібно більше інформаціїпро шлюз або продукт захисту від спаму. Чисте тестування на основі шаблонів, таких як постачальник антивірусного програмного забезпечення, не може зупинити вірус, який щойно закінчився.

Спосіб поширення вірусу Petya.A

Поширення нового вірусу відбувається за допомогою звичайної атаки фішинга (розсилка шкідливого коду у вигляді вкладень на e-mail адреси). Будь-який підозрілий лист, який містить вкладення – потенційне джерело загрози.

Як правило, вкладення поширюються у вигляді документів Microsoft Word, але можуть бути інші файли. Тут буде не зайвим, ще раз нагадати вам про основні .

Тому ви не повинні відкривати свій брандмауер від внутрішнього до зовнішнього. Перевірка набагато глибша і точніша, ніж багато інших антиспамових продуктів. Ця точна перевірка вмісту дає вам найкращий захист, ніж інші виробники. Пісочницю потрібно уявити як віртуального «дурного» користувача, який натискає на все, що він прикріплює до вкладень електронної пошти. Наприклад, відкриваються підключення до Інтернету та намагаються встановити додаткові програми. Завдяки цьому рішенню ви зможете розпізнавати навіть зовсім невідомі трояни і захищати своїх користувачів та дані.

Після відкриття сумнівного вкладення відбувається зараження комп'ютера, і вірус шифрує головну завантажувальний запис.

Чим небезпечний вірус Petya.A?

Розшифровка системи в обмін на грошовий викуп досить поширений і пересічний метод для традиційних кіберхуліганів. Однак, що стосується найшкідливішого коду, як стверджують авторитетні джерела — він не дилетантський.

Здається, що вважаються дні, коли чистий антивірусний сканерпропонує повний захист вашого бізнесу. Атаки стають більш цілеспрямованими, точнішими та небезпечнішими. Завдяки нашим продуктам та нашим партнерам у поєднанні з нашими ноу-хау ми можемо захистити вас та вашу компанію. Не намагайтеся перешкоджати кінцевого користувачапопередженнями та повідомленнями про те, що і як відкрити або прочитати вкладення електронної пошти. Людина є і залишається найбільшою небезпекою у бізнесі вірусів та троянів.

Ми будемо раді повідомити вас про найкращий захиствашої компанії від шкідливого ПЗ та хакерських атак. Записатися на прийом до наших спеціалістів незадовго до наступного трояна! Глобальна мережає основним джерелом поширення шкідливих програм всіх видів. Шкідлива програма може увійти до комп'ютера з наступними діями користувача.

Це не просто вірус-вимагач. Технічні умовита обладнання для здійснення даної кібератаки виключає версію звичайного мережевого шахрайства. На думку низки аналітиків, вірус має політичне коріння.

Проте нас більше турбує його наслідки. Новий вірус Petya зашифровує жорсткий диск і стирає запис, що вкрай ускладнює відновлення інформації у разі зараження системи. Як від нього захиститися?

По-перше, користувач заманюється на шкідливий веб-сайт, використовуючи спам-оголошення, які розповсюджуються електронною поштою або публікуються на порталах оголошень в Інтернеті. Цей сайт перенаправляє запит на сервер від третіх сторін, на яких зберігається експлойт. Коли атака успішна, на комп'ютері встановлений троянець, але користувач нічого не помічає. Це дає злочинцям повний доступ до зараженого комп'ютера.

  • Під час відвідування веб-сайту, що містить шкідливий код.
  • Як приклад можна використовувати атаки приводів.
  • Привідна атака відбувається у два етапи.
Електронні листи, отримані в поштовій скриньцікористувача та зберігаються в поштових базах даних, можуть містити віруси.

Як захиститися від вірусу Petya.A

Проаналізувавши роботу шифрувальника, компанії Symantec оприлюднила простий спосіб захисту. Суть цього способу полягає у створенні на системному диску спеціального файлу, який повинен переконати Petya.A, що він потрапив на вже заражену систему.


Шкідливі програми можуть бути включені до програми, а також до тіла електронної пошти. Коли ви відкриваєте електронну поштуабо зберігаєте файл, прикріплений до електронної пошти на жорсткому диску, можна заразити дані на своєму комп'ютері. Крім того, трафік електронної пошти може створювати дві додаткові загрози: спам та фішинг.

Уразливості у програмному забезпеченні

Так звані порушення безпеки у програмному забезпеченні є основним джерелом атак хакерів. Вразливості дозволяють хакеру мати віддалений доступдо комп'ютера, тобто. на ваші дані, ресурси локальної мережіта інші джерела інформації.

1. Відкрийте звичайний блокнот Windows
2. Виберіть вкладку Файл, і клацніть на пункт Зберегти як
4. Вкажіть файлу ім'я perfc і надайте розширення .dll(Тип файлів - значення - Усі файли)
3. Перемістіть його до C:\windows.
5. Клацніть правою клавішею миші на файлі та виберіть пункт Властивості. Вкажіть атрибут – «Тільки читання».

Запустивши файл, який зберігається на екстремальному диску, можна вставити дані на свій комп'ютер з вірусом. Потім вірус можна вставити в носії даних комп'ютера, не помітивши нічого. Надійні користувачі на перший погляд встановлюють нешкідливі програми та заражають ваш комп'ютер. Цей метод називається соціальною інженерією. Злочинці використовують різні трюки, щоб гарантувати, що жертва сама встановлює шкідливе програмне забезпечення.

Щоб унеможливити ризик зараження

Щоб запобігти ризику зараження комп'ютера, пробна версія Антивірусу Касперського, Антивірусу Касперського, Антивірусу Касперського, Після встановлення програми оновіть бази даних і запустіть повну перевірку комп'ютера. Ми також рекомендуємо використовувати безкоштовний інструментдля перевірки комп'ютера.

Виявивши даний файл, вірус припинить роботу без наслідків системи.

Безумовно, даний спосібне можна віднести як кінцеве вирішення проблеми, але як запобіжний засіб, який дозволяє захиститися від вірусу шифрувальника Petya на сьогоднішній день, рекомендована для виконання на всіх системах під керуванням ОС Windows.

Досвід спілкування з техпідтримкою антивірусу, на що чекати?

В даний час існує безліч загроз, на які може впливати ваш комп'ютер. Шкідливі програми можна розділити на такі типи. Черв'яки: ця категорія шкідливих програм насамперед використовує вразливість операційних систем для поширення. Клас отримав свою назву через свою червону здатність «повзати» з комп'ютера на комп'ютер, використовуючи мережі, електронну пошту та інші інформаційні канали.

Тому черв'яки мають відносно високу швидкість розповсюдження. Черв'яки вводять комп'ютер, визначають мережні адреси інших комп'ютерів і надсилають свої копії на ці адреси. На додаток до мережевих адрес черв'яки часто також використовують дані з адресної книги поштових програм. Представники цього класу шкідливих програм створюють часткові робочі файли системних дисках, але можуть працювати без будь-якого доступу до комп'ютерних ресурсів.

Нещодавно Janus Cybercrime Solutions знову виявили активність. На порталі Mega.nz було опубліковано архів з майстер-ключом, який можна використовувати для всіх версій Petya: першої версії 2016 року, другої модифікації (інтегрованої з здирником Mischa), а також нової версіїяка відома як GoldenEye. Ряд фахівців вже перевірили справжність ключа та підтвердили, що його можна використовувати для отримання доступу до архіву.

Віруси: віруси – це програми, які заражають інші програми, додаючи свій власний код для керування зараженими файлами. Це просте визначення ідентифікує інфекцію як дію, що ґрунтується на вірусах. Троянські програмине можуть автоматично увійти до комп'ютера. Вони поширюються як "корисне" програмне забезпечення, замасковане.

Пошкоджена шкода може значно перевищити рівень традиційної вірусної атаки. Існування шпигунських програмна комп'ютері може залишатися зовсім непоміченим. Шпигунське ПЗ зазвичай переслідує такі цілі. У цьому випадку більшість папок та реєстру комп'ютера скануються для створення списку встановленого програмного забезпечення. Збір інформації про якість з'єднання, метод підключення, швидкість модему і т.д.

  • Моніторинг дій користувача на комп'ютері.
  • Збір інформації про вміст диска.
Але такі програми не просто обмежуються даними, але вони становлять реальну загрозу безпеці.

Нагадаємо, раніше фахівцям вдавалося обійти шифрування першої версії Petya, проте публікація майстер-ключа дозволить зробити цей процес швидшим та підвищить ймовірність успіху.
Вже відомо, що даний ключне допоможе постраждалим від шкідливої ​​програми NotPetya – вірус значно відрізняється (вірусописувачі запозичили лише частину коду).

Іншими прикладами програм-шпигунів є програми, інтегровані в браузер, встановлений на комп'ютері. Можливо, ви вже стикалися з такими програмами, коли відкривалася зовсім інша сторінка під час виклику адреси веб-сторінки. Фішинг-повідомлення електронної пошти розроблено таким чином, щоб бути максимально схожим на інформаційні листи від банків чи відомих компаній.

Повідомлення вказують на фальшиву сторінку, яка була спеціально підготовлена ​​зловмисником і є копією сторінки організації, з якої, мабуть, надходить пошта. Як правило, рекламне програмне забезпечення інтегрується в програми, які поширюються безкоштовно. Реклама з'являється в інтерфейсі користувача.

Під шифрувальниками (криптолокерами) мається на увазі сімейство шкідливих програм, які за допомогою різних алгоритмів шифрування блокують доступ користувачів до файлів на комп'ютері (відомі, наприклад, bf, chipdale, just, foxmail inbox com, watnik91 aol com та ін).

Зазвичай вірус шифрує популярні типи користувацьких файлів: документи, електронні таблиці, бази даних 1С, будь-які масиви даних, фотографії і т. д. Розшифровка файлів пропонується за гроші - творці вимагають перерахувати певну суму, зазвичай, у біткоінах. І у випадку, якщо в організації не вживалися належних заходів щодо забезпечення безпеки важливої ​​інформації, Перерахування необхідної суми зловмисникам може стати єдиним способом відновити працездатність компанії.

Перевірте, щоб на вашому комп'ютері були запущені та перебували у робочому стані всі наявні інструменти безпеки

Часто такі програми збирають персональні дані користувача та надсилають їх автору програми. Потенційно небезпечні програми: такі програми не мають шкідливих функцій, але за певних обставин вони можуть використовуватися зловмисниками як засіб для шкідливої ​​програми, оскільки вони містять уразливості та помилки. За певних обставин наявність таких програм на комп'ютері створює загрозу безпеці для ваших даних.

У більшості випадків вірус поширюється через електронну пошту, маскуючись під цілком звичайні листи: повідомлення з податкової, акти та договори, інформацію про покупки і т. д. Завантажуючи та відкриваючи такий файл, користувач, сам того не розуміючи, запускає шкідливий код. Вірус послідовно шифрує потрібні файли, а також видаляє вихідні екземпляри методами гарантованого знищення (щоб користувач не зміг відновити нещодавно видалені файли за допомогою спеціальних засобів).

Жарти: жарти - це програмне забезпечення, яке не викликає прямого пошкодження комп'ютера, але повідомляє, що шкода вже завдана або шкода завдана за певних умов. Такі програми часто попереджають користувача про вигадані небезпеки. Наприклад, може відображатися повідомлення, яке повідомляє про форматування жорсткого дискаабо повідомляє вірусний файл файли, які насправді не містять вірусів.

Вони маскують шкідливі програми, щоб запобігти їх виявлення антивірусними програмами. Руткіти також можуть змінювати операційну системукомп'ютера та замінювати його основні функції, тим самим приховуючи своє існування та дії, що виконуються зловмисником на зараженому комп'ютері. Ці програми включають хакерські утиліти, конструктори вірусів, сканери вразливостей, програми крадіжки паролів, інші програми для вторгнення в мережеві ресурсиабо вторгнення до атакуючої системи. Спам: спам - анонімна маса небажаних повідомленьелектронної пошти.

Сучасні шифрувальники

Шифрувальники та інші віруси, які блокують доступ користувачів до даних, - не нова проблема в інформаційної безпеки. Перші версії з'явилися ще в 90-х роках, проте вони в основному використовували або слабке (нестійкі алгоритми, малий розмір ключа), або симетричне шифрування (одним ключем шифрувалися файли у великої кількості жертв, також була можливість відновити ключ, вивчивши код вірусу ), або взагалі вигадували власні алгоритми. Сучасні екземпляри позбавлені таких недоліків, зловмисники використовують гібридне шифрування: за допомогою симетричних алгоритмів вміст файлів шифрується з високою швидкістюа ключ шифрування шифрується асиметричним алгоритмом. Це означає, що для розшифрування файлів потрібен ключ, яким володіє лише зловмисник, у вихідному коді програми його не знайти. Для прикладу, CryptoLocker використовує алгоритм RSA з довжиною ключа 2048 біт у поєднанні з симетричним алгоритмом AES з довжиною ключа 256 біт. Дані алгоритми нині визнані криптостійкими.

Комп'ютер заражений вірусом. Що робити?

Варто мати на увазі, що у вірусах-шифрувальниках хоч і використовуються сучасні алгоритми шифрування, але вони не здатні миттєво зашифрувати всі файли на комп'ютері. Шифрування йде послідовно, швидкість залежить від розміру файлів, що шифруються. Тому якщо ви виявили в процесі роботи, що звичні файли та програми перестали коректно відкриватися, слід негайно припинити роботу на комп'ютері і вимкнути його. Ви можете захистити частину файлів від шифрування.

Після того, як ви зіткнулися з проблемою, насамперед потрібно позбутися самого вірусу. Докладно зупинятися на цьому не будемо, достатньо спробувати вилікувати комп'ютер за допомогою антивірусних програм або видалити вірус вручну. Варто лише відзначити, що найчастіше вірус після завершення алгоритму шифрування самознищується, ускладнюючи можливість розшифровки файлів без звернення за допомогою до зловмисників. В такому випадку антивірусна програмаможе нічого не виявити.

Головне питання – як відновити зашифровані дані? На жаль, відновлення файлів після вірусу-шифрувальника практично неможливе. Принаймні гарантувати повне відновлення даних у разі успішного зараження ніхто не буде. Багато виробників антивірусних засобів пропонують свою допомогу з дешифрування файлів. Для цього потрібно надіслати зашифрований файл та додаткову інформацію(файл із контактами зловмисників, відкритий ключ) через спеціальні форми, розміщені на сайтах виробників. Є невеликий шанс, що з конкретним вірусом знайшли спосіб боротися, і ваші файли успішно розшифрують.

Спробуйте скористатися утилітами відновлення віддалених файлів. Можливо, вірус не використовував методи гарантованого знищення і деякі файли вдасться відновити (особливо це може спрацювати з файлами великого розміру, наприклад, з файлами в кілька десятків гігабайт). Також є шанс відновити файли із тіньових копій. При використанні функцій відновлення системи Windowsстворює знімки («Снапшоти»), в яких можуть міститися дані файлів на час створення точки відновлення.

Якщо ваші дані були зашифровані в хмарних сервісах, зверніться до техпідтримки або вивчіть можливості сервісу, яким користуєтеся: в більшості випадків сервіси надають функцію «відкату» на попередні версіїфайлів, в такий спосіб, їх можна відновити.

Чого ми наполегливо не рекомендуємо робити — йти на поводу у здирників і платити за розшифровку. Були випадки коли люди віддавали гроші, а ключі не отримували. Ніхто не гарантує, що зловмисники, отримавши гроші, дійсно надішлють ключ шифрування і ви зможете відновити файли.

Як захиститися від вірусу-шифрувальника. Превентивні заходи

Запобігти небезпечним наслідкам легше, ніж їх виправити:

  • Використовуйте надійні антивірусні засоби та регулярно оновлюйте антивірусні бази. Звучить банально, але це значно знизить можливість успішного впровадження вірусу на ваш комп'ютер.
  • Зберігайте резервні копії даних.

Найкраще це робити за допомогою спеціалізованих засобів резервного копіювання. Більшість криптолокерів вміють шифрувати навіть резервні копії, тому має сенс зберігати резервні копії на інших комп'ютерах (наприклад, на серверах) або на відчужуваних носіях.

Обмежте права зміни файлів у папках з резервними копіями, дозволивши лише дозапис. Крім наслідків шифрувальника, системи резервного копіювання нейтралізують безліч інших загроз, пов'язаних із втратою даних. Поширення вірусу вкотре демонструє актуальність та важливість використання таких систем. Відновити дані набагато легше, ніж розшифрувати!

  • Обмежте програмне середовище в домені.

Ще одним ефективним способомборотьби є обмеження на запуск деяких потенційно небезпечних типів файлів, наприклад, з розширеннями.js,.cmd,.bat,.vba,.ps1 і т.д. SRP централізовано у домені. У мережі є досить докладні посібники, як це зробити. У більшості випадків користувачу немає необхідності використовувати файли сценаріїв, зазначені вище, і шифрувальник має менше шансів на успішне впровадження.

  • Будьте пильні.

Уважність - один із самих ефективних методівзапобігання загрозі. Ставтеся підозріло до кожного листа, отриманого від невідомих осіб. Не поспішайте відкривати всі вкладення, при виникненні сумнівів краще зверніться до адміністратора.

Олександр Власов, старший інженер відділу впровадження систем захисту інформації компанії «СКБ Контур»

Вибір редакції

© 2023 androidas.ru - Все про Android