Как это упакованный вирус

Обновлено: 28.03.2024

2. Что такое вымогатели (ransomware)?

Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа.

Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.

Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.

3. Сколько денег требуют в качестве выкупа?

4. Зашифрованные файлы можно восстановить без выкупа?

Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.

Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.

5. Как платят выкуп?

Обычно с помощью криптовалюты — биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно. Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.

Некоторые вымогатели используют анонимные интернет-кошельки или даже вовсе платежи на номер мобильного телефона. Самый экстравагантный способ на нашей памяти — когда злоумышленники принимали выкуп исключительно карточками iTunes номиналом $50.

6. Как на мой компьютер могут попасть вымогатели?

Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.

Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security — последние версии умеют это делать автоматически).

Некоторые вымогатели умеют распространяться с помощью локальной сети. Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.

Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.

7. Каких файлов стоит опасаться?

Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).

Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.

8. Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?

9. У меня Mac. Для них же нет вымогателей?

Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.

Наши эксперты считают, что со временем вымогателей для устройств Apple будет все больше и больше. Более того, поскольку сами устройства дорогие, то злоумышленники не постесняются требовать с их владельцев более солидные суммы выкупа.

Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена.

10. А я с телефона. Мне не страшно?

Еще как страшно. Для аппаратов на Android есть как шифровальщики, так и блокировщики. Последние на смартфонах даже более распространены. На компьютере от них можно избавиться, просто переставив жесткий диск в другой системный блок и удалив зловреда, а вот из смартфона память так просто не достанешь. Так что антивирус на смартфоне — это совсем не блажь.

Все о троянах-вымогателях в вопросах и ответах

11. Что, даже для iPhone есть вымогатели?

12. Как можно понять, что подцепил вымогателя?

Шифровальщик непременно расскажет вам об этом сам. Вот так:

Как не попасть на деньги или трояны-вымогатели в вопросах и ответах

Все о троянах-вымогателях в вопросах и ответах

Все о троянах-вымогателях в вопросах и ответах

А блокировщики делают это как-нибудь так:

Все о троянах-вымогателях в вопросах и ответах

13. Какие бывают наиболее примечательные вымогатели?

14. Что делать, если я подцепил вымогателя?

От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.

С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.

Следующий этап — восстановление зашифрованных файлов.

Если есть резервная копия, то проще всего восстановить файлы из нее.

Все о троянах-вымогателях в вопросах и ответах

Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.

15. Почему не стоит платить выкуп?

Во-первых, нет никаких гарантий, что файлы к вам вернутся, — верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы — он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.

Во-вторых, не стоит поддерживать преступный бизнес.

16. Я нашел нужный декриптор, но он не помогает

Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий.

17. Если вовремя заметил угрозу, можно что-то сделать?

В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно — они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.

18. А если я делаю бэкапы, я в безопасности?

Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.

19. Антивируса достаточно, чтобы не заразиться?

Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить — значит, сразу блокируем.

Все о троянах-вымогателях в вопросах и ответах

В дополнение к этому Kaspersky Total Security позволяет автоматизировать резервное копирование файлов. Даже если что-то вдруг пойдет совсем не так, вы сможете восстановить важные данные из бэкапов.

20. Можно что-то настроить на компьютере, чтобы защититься надежнее?

а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.

б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.

Как минимизировать последствия атаки шифровальщика для компании.


18 февраля 2021

В нашем блоге есть тысяча и одна статья про то, как защититься от той или иной заразы. Но бывает и так, что защититься не получается, и зараза просачивается внутрь периметра. Некоторые в этот момент начинают паниковать — а надо, напротив, сохранять трезвый рассудок и действовать максимально быстро и осознанно. Собственно, ваши действия определят, станет ли этот инцидент гигантской проблемой для компании или еще одной успешно решенной задачей. Давайте выясним, что и как делать, на примере заражения шифровальщиком.

Часть первая: ищем и изолируем

Итак, зловред проник в вашу сеть, и вы об этом уже знаете. Но он может быть далеко не на одной машине и даже не в одном офисе. Так что первым делом ищите зараженные компьютеры и сегменты сети в инфраструктуре предприятия и изолируйте их от остальной сети, чтобы зловред не зацепил другие.

Как искать? Если машин мало, то посмотрите в логи антивирусов, в EDR и файрволы. Как вариант — буквально пройдитесь от машины к машине ногами и проверьте, как там дела. Если компьютеров много, то проще и удобнее анализировать события и логи в SIEM-системе. Походить потом все равно придется, но лучше сначала получить общее представление.

При этом не стоит забывать, что в пылу сражения с шифровальщиком важно не уничтожить улики, иначе потом будет сложно отследить, откуда он взялся, и понять, где искать другие инструменты группировки, которая атаковала ваши компьютеры. В общем, берегите логи и прочие следы зловредов на компьютерах, они вам еще пригодятся.

После того как вы изолировали зараженные машины от сети, лучше всего снять с них образы дисков и больше не трогать до окончания расследования. Если простой компьютеров невозможен, все равно сделайте образы и сохраните дамп памяти — он тоже может пригодиться в расследовании. Также не забывайте документировать все свои действия: это нужно для того, чтобы максимально прозрачно и честно рассказывать о происходящем как сотрудникам, так и всему миру. Но об этом позже.

Часть вторая: зачищаем и действуем

После проверки периметра у вас будет список машин с дисками, полными зашифрованных файлов, а также образы этих дисков. Все машины уже отключены от сети и больше не представляют угрозы. Можно попытаться сразу же взяться за восстановление, но лучше, как уже было сказано выше, их пока не трогать, а заняться безопасностью всего остального хозяйства.

Для этого проведите внутреннее расследование: покопайтесь в логах и попытайтесь понять, на каком компьютере шифровальщик появился в первую очередь и почему его там ничто не остановило. Найдите — и уничтожьте.

По итогам расследования, во-первых, зачистите сеть от сложных и особо скрытных зловредов и, если возможно, заново запустите работу бизнеса. Во-вторых, разберитесь, чего же не хватило в плане программных средств обеспечения безопасности, и устраните эти пробелы. В-третьих, обучите сотрудников, чтобы они больше не наступали на такие грабли и не скачивали опасные файлы на рабочие компьютеры. Наконец, в-четвертых, озаботьтесь своевременной установкой обновлений и патчей — пусть это будет приоритетом для IT-администраторов, поскольку часто зловреды лезут через уязвимости, для которых уже выпустили заплатки.

Часть третья: разбираемся с последствиями

На этом этапе угрозы в сети больше нет, и дыры, через которую она пролезла, тоже. Самое время вспомнить, что после инцидента остался парк неработающих компьютеров. Если для расследования они уже не нужны, то лучше отформатировать машины начисто, а потом восстановить на них данные из бэкапа, сделанного незадолго до заражения.

Если резервной копии нет, то придется пытаться расшифровать то, что есть. Зайдите на сайт No Ransom — есть шанс, что там найдется дешифратор для именно вашего шифровальщика. Если не нашелся — напишите в поддержку компании, которая предоставляет вам услуги в сфере кибербезопасности. Не исключено, что там смогут помочь.

В общем, если что-то утекло, то считайте, что оно уже опубликовано, и отталкивайтесь в своих действиях от этого. Зашифрованные файлы, кстати, все равно не удаляйте: если декриптора нет сейчас, то есть шанс, что его сделают позже — так тоже уже бывало.

Еще об инциденте придется говорить. Причем буквально со всеми: и с сотрудниками, и с акционерами, и с госструктурами, и, скорее всего, с журналистами… Говорить лучше честно и открыто, это ценят. Неплохим примером служит инцидент у промышленного гиганта Hydro в 2019-м, когда представители регулярно публиковали доклады о том, как разбираются с последствиями инцидента, и даже провели пресс-конференцию спустя несколько часов после заражения. В любом случае PR-отдел и compliance-менеджеров ждут жаркие деньки.

Часть четвертая: лучше не доводить

Крупный киберинцидент — это всегда много суеты и головной боли. И в идеале, конечно, лучше их не допускать. Для этого надо заранее думать о том, что может пойти не так, и готовиться:


В статье приводятся результаты сравнительного теста популярных антивирусов по детектированию упакованных 20 различными утилитами одного и того же вируса. В сравнении участвуют антивирусы Symantec, Trend Micro, McAfee, Sophos, Kaspersky, Eset NOD32, CA eTrust, Norman, BitDefender, Panda, AVG, Dr.Web и Hauri.

Большинство ведущих производителей антивирусов в описании своих продуктов заявляют о поддержке основных упаковщиков и архиваторов, таких как ZIP, RAR и так далее. Некоторые из них заявляют о поддержке огромного числа упаковщиков и архиваторов, например, Лаборатория Касперского утверждает о поддержке в общей сложности более 1200 различных версий.

В связи с этим, интересно было бы проверить, как же реально обстоят дела с детектированием упакованных вирусов. Ведь ни для кого не секрет, что почти все вредоносные программы, так или иначе, упакованы. Часто один и тот же вирус упаковывается десятками разных упаковщиков (бывает даже несколькими одновременно), что позволяет ему проникать в корпоративные сети, несмотря на их защищенность антивирусом уже на уровне шлюза.

Представим себе ситуацию, когда уже известный всем вирус упаковывается других упаковщиком. Если новый упаковщик не поддерживается вашим антивирусом, то он легко пройдет сквозь защиту и потребуется время, пока антивирусная компания добавит в базу данных новую сигнатуру, способную детектировать по-новому упакованный вирус. В случае поддержки упаковщика, антивирус его сразу же обнаружит, благодаря чему не потребуется дожидаться реакции антивирусной компании на новую угрозу и соответствующего обновления антивирусных баз.

Подобные возможности антивируса, согласитесь, являются крайне необходимыми при современных темпах роста количества различных вирусов и их версий (одного только червя MyDooom было обнаружено несколько десятков версий). Чтобы проверить какой из антивирусов справляется с задачей детектирования упакованных вирусов, обратимся к результатам недавнего сравнительного теста, опубликованного специалистами IBM Virus CERT в октябре 2005 года.

Кратко о методике проведения сравнительного теста

Для сравнительного теста был взят всем известный нашумевший вирус Nimda.A, который был упакован 20 различными упаковщиками с настройками по умолчанию, среди которых:

  1. ZIP self-extracting archive (SFX)
  2. RAR SFX
  3. ASPack 2.12
  4. ASProtect 1.23 RC4 build 08.07
  5. exe32pack 1.42
  6. EXECryptor 2.0
  7. ExeStealth 3.04
  8. FSG 2.0
  9. MEW11 SE 1.2
  10. MoleBox 2.3.3
  11. Morphine 2.7
  12. Packman 0.0.0.1
  13. PECompact2 2.55
  14. PE-PACK 1.0
  15. Petite 2.3
  16. UPX 1.25W
  17. WWPack32 1.20
  18. yoda’s Crypter 1.3
  19. yoda’s Protector 1.0b
  20. (Win)UPack 0.27 beta

В сравнении участвовали следующие антивирусы для персональных компьютеров и рабочих станций:

  1. Symantec AntiVirus Corporate Edition 10.0.0.359 (SAV) with engine 103.0.2.7
  2. Trend Micro PC-cillin Internet Security 2005 with engine 7.510.1002
  3. McAfee VirusScan Professional 2005 (9.0) with engine 4.4.00
  4. Sophos Anti-Virus 5.0.3 (SAV)
  5. Kaspersky Anti-Virus Personal Pro 5.0.14 (KAV)
  6. Eset NOD32 Antivirus System 2.12.3
  7. CA eTrust EZ Antivirus 6.2.1.1 (CAI) with engine 11.5.0.0
  8. Norman Virus Control 5.80 with engine5.82.01
  9. BitDefender 8 Standard with engine 7.01620
  10. Panda Titanium Antivirus 2005 (4.02.00)
  11. AVG Anti-Virus 7.0 Professional (7.0.323)
  12. Dr.Web Scanner for Windows 95-XP v4.32b
  13. Hauri ViRobot Expert 4.0 with engine 2005-06-05.00

Тест проводится 6 июня 2005 года, все базы антивирусов были обновлены и актуальны на тот момент.

Результаты сравнительного тестирования

В следующих таблицах представлены результаты сканирования упакованных файлов перечисленными выше антивирусами отдельно для антивирусных мониторов (on access scaner) и проверки по требованию (on demand scaner). Первая строка таблицы (неупакованный вирус Nimda) является проверочной, подтвреждающей работу антивируса вообще, поэтому может быть исключена из дальнейших расчетов.

Таблица 1: Проверка антивирусным монитором (on-access scaner)

Таблица 2: Проверка сканером по требованию (on-demand scaner)

Как видно из таблиц 1 и 2, многие антивирусы показали более чем слабые результаты. При этом ни один из антивирусов не обнаружил все по-разному упакованные вирусы Nimda!

Итоговая таблица результатов, в которой рассчитывается процент эффективности для каждого антивируса, представлена ниже.

Таблица 3: Итоговая таблица

Лучшая пятерка по результатам этого теста антивирусов выглядит следующим образом:

  1. Kaspersky - 86%
  2. BitDefender - 67%
  3. Sophos - 57%
  4. Trend Micro и McAfee - 55%
  5. Dr.Web - 48%
  6. Norman - 40%

Остальные антивирусы показали очень слабые результаты поддержки упаковщиков, например, Nod32 не взял ни одного упакованного вируса Nimda, а Hauri и CA - только один ASPack антивирусным монитором и еще четыре упаковщика сканером по требованию! От части теперь становится понятным, почему эти антивирусы показали такие хорошие результаты по скорости работы (см. наше предыдущее "Сравнение скорости работы ведущих антивирусов"), ведь ни для кого не секрет, что проверка архивов заметно замедляет антивирусную проверку.

Также необходимо обратить внимание на то, что во время проверки по требованию все антивирусы (за исключением аутсайдера Nod32 и Sophos) показали результаты лучшие, чем при проверке антивирусным монитором. Особенно в этом плане выделяется Norman - 71% детектирования сканером по требованию против 10% детектирования при проверки антивирусным монитором. Видно, что производители антивирусов стараются оптимизировать скорость работы своих продуктов, отключая сканирование некоторых типов упакованных объектов.

Мы будем рады прочитать Ваши комментарии и ответить на все Ваши вопросы по данному сравнению в нашем форуме.

Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.


Сколько всего в мире существует универсальных упаковщиков? По нашим скромным подсчетам – более 100 видов, а по некоторым данным их число приближается к 200. Владея таким арсеналом специального программного обеспечения, вирусописатели создают новые модификации одного и того же вируса, не прилагая практически никаких усилий.

При этом многие антивирусные компании зачастую хитрят. В антивирусные базы вносятся сигнатуры вирусов и их модификаций (в том числе и упакованных), но непосредственно поддержка упаковщиков в антивирусе отсутствует. Это приводит к тому, что при появлении по-новому упакованного вируса таким вендорам приходится вносить в антивирусные базы новые сигнатуры, в то время как при наличии поддержки упаковщика, новая модификация вируса стала бы детектироваться автоматически.

Конечно, не все антивирусные компании поступают подобным образом, но ситуация осложняется тем, что упаковщики и протекторы постоянно обновляются и за их новыми версиями необходимо следить так же, как и за появлением новых вирусов.

После продолжительных консультаций с антивирусными вендорами и различными независимыми экспертами из всего многообразия упаковщиков для теста мы выбрали 21 тип, основываясь на данных:

  1. Популярности упаковщиков у вирусописателей;
  2. Нашем собственном анализе упаковщиков и возможности их использования для скрытия вредоносного кода.

Для проведения теста были взяты самые последние версии упаковщиков, которые на тот момент были публично доступны в сети Интернет.

Проведение теста

На основе полученных данных мы готовим список упаковщиков. За неделю до начала теста, мы фиксируем версии упаковщиков, которые будут участвовать в тестировании. Эта информация доступна для разработчиков антивирусов.

В это же время отбираются экземпляры вирусов 5-10 штук, среди которых обязательно присутствуют различные типы вредоносного кода (вирусы, черви, трояны, шпионские программы, кейлогеры и т.п.). Основное требование к этим экземплярам – они не упакованы и в данном виде успешно детектируются всем антивирусами, участвующими в тесте. Информация по взятым экземплярам вредоносного кода не доступна разработчикам антивирусов, до окончания теста.

  1. Производится запаковка выбранных экземпляров вирусов упаковщиками, т.е. получаем Х модификаций каждого вируса, где Х – это число упаковщиков, участвующих в тестировании.
  2. Далее каждый экземпляр проверяется на работоспособность – т.е. полное выполнение своей функциональности после упаковки.
  3. Происходит непосредственно сам тест на детектирование упакованных вирусов последними версиями антивирусов с актуальными базами данных.

Шаги 1 и 2 выполняются в течение недели до тестирования, но после того, как официально были зафиксированы версии упаковщиков. Если после упаковки вируса каким-либо из пакеров не получается добиться его работоспособности, тогда данная модификация вируса исключается из тестирования.

Как уже писалось выше, тестирование проводится актуальными версиями антивирусного программного обеспечения с актуальными обновлениями.

Пакеры, детектируемые всеми участниками теста, в следующем тестировании не учавствуют, если не изменялась их версия (алгоритмы, методы и т.д.).

Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Читайте также: