Вирус шифровальщик мвд и мегафон

Обновлено: 27.03.2024

2. Что такое вымогатели (ransomware)?

Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа.

Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.

Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.

3. Сколько денег требуют в качестве выкупа?

4. Зашифрованные файлы можно восстановить без выкупа?

Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.

Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.

5. Как платят выкуп?

Обычно с помощью криптовалюты — биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно. Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.

Некоторые вымогатели используют анонимные интернет-кошельки или даже вовсе платежи на номер мобильного телефона. Самый экстравагантный способ на нашей памяти — когда злоумышленники принимали выкуп исключительно карточками iTunes номиналом $50.

6. Как на мой компьютер могут попасть вымогатели?

Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.

Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security — последние версии умеют это делать автоматически).

Некоторые вымогатели умеют распространяться с помощью локальной сети. Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.

Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.

7. Каких файлов стоит опасаться?

Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).

Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.

8. Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?

9. У меня Mac. Для них же нет вымогателей?

Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.

Наши эксперты считают, что со временем вымогателей для устройств Apple будет все больше и больше. Более того, поскольку сами устройства дорогие, то злоумышленники не постесняются требовать с их владельцев более солидные суммы выкупа.

Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена.

10. А я с телефона. Мне не страшно?

Еще как страшно. Для аппаратов на Android есть как шифровальщики, так и блокировщики. Последние на смартфонах даже более распространены. На компьютере от них можно избавиться, просто переставив жесткий диск в другой системный блок и удалив зловреда, а вот из смартфона память так просто не достанешь. Так что антивирус на смартфоне — это совсем не блажь.

Все о троянах-вымогателях в вопросах и ответах

11. Что, даже для iPhone есть вымогатели?

12. Как можно понять, что подцепил вымогателя?

Шифровальщик непременно расскажет вам об этом сам. Вот так:

Как не попасть на деньги или трояны-вымогатели в вопросах и ответах

Все о троянах-вымогателях в вопросах и ответах

Все о троянах-вымогателях в вопросах и ответах

А блокировщики делают это как-нибудь так:

Все о троянах-вымогателях в вопросах и ответах

13. Какие бывают наиболее примечательные вымогатели?

14. Что делать, если я подцепил вымогателя?

От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.

С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.

Следующий этап — восстановление зашифрованных файлов.

Если есть резервная копия, то проще всего восстановить файлы из нее.

Все о троянах-вымогателях в вопросах и ответах

Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.

15. Почему не стоит платить выкуп?

Во-первых, нет никаких гарантий, что файлы к вам вернутся, — верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы — он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.

Во-вторых, не стоит поддерживать преступный бизнес.

16. Я нашел нужный декриптор, но он не помогает

Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий.

17. Если вовремя заметил угрозу, можно что-то сделать?

В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно — они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.

18. А если я делаю бэкапы, я в безопасности?

Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.

19. Антивируса достаточно, чтобы не заразиться?

Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить — значит, сразу блокируем.

Все о троянах-вымогателях в вопросах и ответах

В дополнение к этому Kaspersky Total Security позволяет автоматизировать резервное копирование файлов. Даже если что-то вдруг пойдет совсем не так, вы сможете восстановить важные данные из бэкапов.

20. Можно что-то настроить на компьютере, чтобы защититься надежнее?

а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.

б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.

Как работает сайт-блокировщик

Рассказывать будем на примере сайта-блокировщика, недавно найденного нашими экспертами. Несмотря на свое название, сайт не блокирует компьютер, а всего лишь мешает его работе.

Для пользователя все выглядит так: на экране — окно браузера, сверху — настоящий адрес сайта МВД, а на самой странице — обвинение в правонарушении и требование заплатить штраф в несколько тысяч рублей. За неповиновение жертве блокировщика угрожают тюремным сроком по статье 242 УК РФ (распространение порнографии) и шифрованием файлов. Для пущего эффекта угрозы и требование заплатить штраф также дублируются звуком.

Мошенники сообщают, что жертва нарушила закон и теперь должна оплатить штраф в размере 5000 рублей переводом по номеру телефона

Мошенники сообщают, что жертва нарушила закон и теперь должна оплатить штраф в размере 5000 рублей переводом по номеру телефона

Курсор мыши злоумышленники прячут с помощью специальных настроек сайта. В них же они пытаются заблокировать доступ к некоторым клавишам, чтобы не дать жертве свернуть окно — но, как выяснили наши эксперты, в современных браузерах эта блокировка не работает.

Вообще говоря, сайты-блокировщики могут маскироваться под разные страницы, но всегда будут запугивать жертву — несуществующими системными ошибками, атаками вирусов или, например, ответственностью за нарушения авторских прав. Однако, если не идти на поводу у мошенников, реальной угрозы такие сайты обычно не представляют.

И хотя отразить такую атаку достаточно просто, блокировщики браузеров весьма популярны в среде вымогателей — по нашим данным, только в IV квартале 2020 года с описанным выше блокировщиком столкнулись более 55 тысяч пользователей.

Что делать, если браузер заблокирован

Избавиться от блокировщика, будь то копия сайта МВД России или любая другая страница, обычно не так уж трудно. Главное правило при столкновении с любыми вымогателями — ни в коем случае не платить выкуп. Во-первых, так вы финансируете преступников и показываете им, что схема работает. Во-вторых, перечисление средств вовсе не гарантирует, что вы избавитесь от проблемы.

Корпоративные сети начал поражать вирус-шифровальщик, требующий деньги за доступ к файлам на компьютерах. Согласно предварительным данным, уже поражены сети МВД России, оператора "Мегафон" , "Сбербанка" и британских больниц. Вот что появилось на экранах всех рабочих компьютеров Мегафон Ритейл :


Вирус под условным названием "WannaCry" распространился в разных странах мира в течение нескольких часов. В частности, в нескольких регионах Великобритании медицинские учреждения национальной службы здравоохранения из-за вируса были вынуждены прекратить прием пациентов, которым не требуется срочной помощи. В Испании кибератаке поверглись крупные организации, в том числе телекоммуникационная коммания Telefonica.


Для атаки хакеры использовали модифицированную программу EternalBlue, изначально раазработанную Агентством национальной безопасности США. Она была украдена хакерами The Shadow Brokers у хакеров Equation Group в августе 2016 года и опубликована в апреле 2017-го.

Судя по русскоязычной версии программы, условия выкупа изначально были написаны на другом языке и переведены машинным способом

О связи Equation Group c Агенством национальной безопасности США писали в WikiLeaks. В "Лаборатории Касперского" отмечали схожесть инструментов Equation Group со Stuxnet - компьютерным червем, который, по данным New York Times, американские и израильские власти использовали для атаки на иранскую ядерную программу.

Бывший сотрудник американских спецслужб Эдвард Сноуден заявил, что АНБ может быть косвенно причастна к атаке.

"Решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц", - написал он в "Твиттере".

АНБ пока никак не прокомментировало эти утверждения, в то время как министерство внутренней безопасности США заявило, что осведомлено о ситуации с вирусом WannaCry и работает над предотвращением его последствий на гражданские и государственные сети.

Пользователи рассказывают, что вирус попадает на их компьютеры без каких-либо действий с их стороны и бесконтрольно распространяется в сетях. На форуме Лаборатории Касперского указывают, что даже включенный антивирус не гарантирует безопасности. Предположительно заражение произошло несколькими днями ранее, однако вирус проявил себя только после того, как зашифровал все файлы на компьютере.

В России компьютерный "червь" поразил сеть МВД России в некоторых регионах. Источники также сообщают о заражении компьютеров "Мегафон-Ритейл". По данным из соцсетей, вирус распространился в "Евросети" и "Связном".

"Началось массовое заражение криптовирусом сети МВД по стране. Точно уже есть в Липецкой, Пензенской, Калужской областях. На рабочем столе просят 300 баксов. Название вируса @wanadecriptor. На некоторых компах идет отчет до 19 мая", - пишет пользователь коллективного блога "Пикабу" vasa48.

В МВД России подтвердили, что вирус заразил около тысячи компьютеров ведомства (менее 1%, как говорится в заявлении) и был локализован.


Microsoft в марте выпустила программу, закрывающую эту уязвимость, но компьютеры, которые подверглись атаке, по всей видимости, не обновили.

Меньше чем за сутки пострадавшие перевели на них более 7 биткойнов, что равно 12 тыс. долларов. Учитывая, что пользователи обычно откладывают выкуп на последний день, "прибыль" может вырасти многократно.

Это, а также география заражений, позволяет говорить о самой масштабной атаке с использованием программы-вымогателя в истории.


Официальных комментариев от антивирусных лабораторий пока не последовало. Согласно интерактивной карте от проекта Botnet Tracker, действие вируса фиксируется практически по всему миру, особенно в Европе.


Отмечается, что вирус вымогателей WanaCrypt0r 2.0 это версия WCry/WannaCry и распространяется она с бешеной скоростью - "как в аду".



Менее чем за 3 часа, даже можно сказать меньше чем за 2 часа, если считать от начала атаки, жертвами стали 11 стран:


Наиболее пострадавшие страны: Россия, Тайвань, Испания:


Как сообщается в твиттере антивирусной компании Avast, из более чему 100к компьютеров подвергшемся атакам за последние менее чем 24 часа, более 57% расположены в России.


Как отмечается в новостном блоге этой же антивирусной компании, первую версию WanaCrypt0r мы могли наблюдать, еще в феврале.12 мая 2017 г в 8 часов утра было змаечено увеличение активности этого штамма, который быстро перерос в массовое распространение, начиная с 10 утра.

original_name_of_file.jpg.WNCRY.

Вымогатели оставляют текст в текстовом файле:


please_read_me_.txt _-_ notepad_WanaCryt0r2.0.jpg


Выкуп составляет $ 300 Bitcoins. Вирус "показывает":

-инструкции о том, как заплатить выкуп

-объяснение того, что произошло

-таймер обратного отсчета времени.

Кроме того, обои на столе зараженного компа меняются на следующий рисунок:


Как пишут специалисты, WanaCrypt0r 2,0 распространяется в первую очередь на группу компьютеров и сетей, которые подозревались в связях с АНБ.

Как пишет The New York Times создатели вируса-вымогателя использовали инструмент, украденный у Агентства национальной безопасности (АНБ) США, где его разработали.


Газета при этом отмечает, что укаденный у АНБ инструмент был выставлен в интернете группой хакеров, называщей себя Shadow Brokers.

"Хакерская группа под названием ShadowBrokers, в ходе сотрудничества с АНБ, похитила некоторые хакерские инструменты АНБ и публично выпустила их в "вольное плавание","- сообщает другой источник.

Как подтвердил исследователь безопасности, Kafeine , эксплоит, известный как ETERNALBLUE или MS17-010, злоумышленниками вероятно использовалась уязвимость WanaCrypt0r для Windows SMB (Server Message Block, протокол обмена файлов по сети).

Обнаружившим заражение WanaCrypt0r 2,0 настоятельно рекомендуется полностью обновить свою систему и установить последние доступные патчи для неё.

Затронутые системы обновления безопасности:

-Microsoft Windows Vista с пакетом обновления 2

-Windows Server 2008 R2 SP1 и SP2

-Windows RT 1

-Windows Server 2012 R2

-Windows Server 2016

Профилактика и меры по смягчению последствий

-Обновление системы до последней версии со всеми офф. патчами.

-Для систем без поддержки или возможностей исправления, рекомендуется изолировать сеть или выключить её в ходе переустановки.

-Изолировать коммуникационные порты 137 и 138 UDP и TCP порты 139 и 445 в сетях организаций.

Узнайте , какие системы в рамках своей сети, они могут быть уязвимы для атак через уязвимость Windows , и в этом случае они могут быть выделены, обновлены и / или выключены.

Как указывается в одном из докладов по вирусу, выплата вымогателям для "спасения" компьютера и данных не гарантирует , что злоумышленники пришлют Вам утилиту и / или пароль для дешифрования.

Программы-вымогатели обычно устанавливаются через документы, распространяемые по электронной почте. Как называется файл-переносчик в случае с WannaCry, пока также не ясно.

Полностью исключает возможность заражения установка соответствующего обновления для Windows.

Противоядие для компьютеров, зараженных WannaCry, пока не выпущено.

В случае, если Вы пострадали от этой кампании не выбрасывайте диск с резервным копированим системы. Рекомендуется сохранить файлы, которые были зашифрованы с помощью вируса вымогателей, так как не исключено, что в будущем появится инструмент что бы расшифровать документы, которые были затронуты.

при полном или частичном использовании материалов гипперссылка на блог обязательна

Как минимизировать последствия атаки шифровальщика для компании.


18 февраля 2021

В нашем блоге есть тысяча и одна статья про то, как защититься от той или иной заразы. Но бывает и так, что защититься не получается, и зараза просачивается внутрь периметра. Некоторые в этот момент начинают паниковать — а надо, напротив, сохранять трезвый рассудок и действовать максимально быстро и осознанно. Собственно, ваши действия определят, станет ли этот инцидент гигантской проблемой для компании или еще одной успешно решенной задачей. Давайте выясним, что и как делать, на примере заражения шифровальщиком.

Часть первая: ищем и изолируем

Итак, зловред проник в вашу сеть, и вы об этом уже знаете. Но он может быть далеко не на одной машине и даже не в одном офисе. Так что первым делом ищите зараженные компьютеры и сегменты сети в инфраструктуре предприятия и изолируйте их от остальной сети, чтобы зловред не зацепил другие.

Как искать? Если машин мало, то посмотрите в логи антивирусов, в EDR и файрволы. Как вариант — буквально пройдитесь от машины к машине ногами и проверьте, как там дела. Если компьютеров много, то проще и удобнее анализировать события и логи в SIEM-системе. Походить потом все равно придется, но лучше сначала получить общее представление.

При этом не стоит забывать, что в пылу сражения с шифровальщиком важно не уничтожить улики, иначе потом будет сложно отследить, откуда он взялся, и понять, где искать другие инструменты группировки, которая атаковала ваши компьютеры. В общем, берегите логи и прочие следы зловредов на компьютерах, они вам еще пригодятся.

После того как вы изолировали зараженные машины от сети, лучше всего снять с них образы дисков и больше не трогать до окончания расследования. Если простой компьютеров невозможен, все равно сделайте образы и сохраните дамп памяти — он тоже может пригодиться в расследовании. Также не забывайте документировать все свои действия: это нужно для того, чтобы максимально прозрачно и честно рассказывать о происходящем как сотрудникам, так и всему миру. Но об этом позже.

Часть вторая: зачищаем и действуем

После проверки периметра у вас будет список машин с дисками, полными зашифрованных файлов, а также образы этих дисков. Все машины уже отключены от сети и больше не представляют угрозы. Можно попытаться сразу же взяться за восстановление, но лучше, как уже было сказано выше, их пока не трогать, а заняться безопасностью всего остального хозяйства.

Для этого проведите внутреннее расследование: покопайтесь в логах и попытайтесь понять, на каком компьютере шифровальщик появился в первую очередь и почему его там ничто не остановило. Найдите — и уничтожьте.

По итогам расследования, во-первых, зачистите сеть от сложных и особо скрытных зловредов и, если возможно, заново запустите работу бизнеса. Во-вторых, разберитесь, чего же не хватило в плане программных средств обеспечения безопасности, и устраните эти пробелы. В-третьих, обучите сотрудников, чтобы они больше не наступали на такие грабли и не скачивали опасные файлы на рабочие компьютеры. Наконец, в-четвертых, озаботьтесь своевременной установкой обновлений и патчей — пусть это будет приоритетом для IT-администраторов, поскольку часто зловреды лезут через уязвимости, для которых уже выпустили заплатки.

Часть третья: разбираемся с последствиями

На этом этапе угрозы в сети больше нет, и дыры, через которую она пролезла, тоже. Самое время вспомнить, что после инцидента остался парк неработающих компьютеров. Если для расследования они уже не нужны, то лучше отформатировать машины начисто, а потом восстановить на них данные из бэкапа, сделанного незадолго до заражения.

Если резервной копии нет, то придется пытаться расшифровать то, что есть. Зайдите на сайт No Ransom — есть шанс, что там найдется дешифратор для именно вашего шифровальщика. Если не нашелся — напишите в поддержку компании, которая предоставляет вам услуги в сфере кибербезопасности. Не исключено, что там смогут помочь.

В общем, если что-то утекло, то считайте, что оно уже опубликовано, и отталкивайтесь в своих действиях от этого. Зашифрованные файлы, кстати, все равно не удаляйте: если декриптора нет сейчас, то есть шанс, что его сделают позже — так тоже уже бывало.

Еще об инциденте придется говорить. Причем буквально со всеми: и с сотрудниками, и с акционерами, и с госструктурами, и, скорее всего, с журналистами… Говорить лучше честно и открыто, это ценят. Неплохим примером служит инцидент у промышленного гиганта Hydro в 2019-м, когда представители регулярно публиковали доклады о том, как разбираются с последствиями инцидента, и даже провели пресс-конференцию спустя несколько часов после заражения. В любом случае PR-отдел и compliance-менеджеров ждут жаркие деньки.

Часть четвертая: лучше не доводить

Крупный киберинцидент — это всегда много суеты и головной боли. И в идеале, конечно, лучше их не допускать. Для этого надо заранее думать о том, что может пойти не так, и готовиться:

RUPOSTERS.RU

RUPOSTERS.RU

Система МВД, "Мегафон" и больницы: компьютеры по всему миру поражает новый вирус-шифровальщик

Андрей Кабанов

Станислав Раус


Станислав Раус

🤣

Какой то одинокий литеха порнушки решил посмотреть

Дмитрий Маслов

Андрей, с трудом все конфликты устранишь, установишь, а потом он из репозиториев обновляться будет?

Андрей Кабанов

Константин Алексеев

Вячеслав Дементьев

Дмитрий Маслов

😜

Zeta, если вирус не обновляется из Оффициальных репозиториев - это фуфло, а не вирус

Константин Алексеев

😉

Zeta, тогда в столбик. Или счёты и да, вспоминать в какую сторону ручку арифмометра крутить. Всё при деле.

Дмитрий Маслов

Валерий Бобров

Zeta, как система может себя восстановить из снимка, если исполняемые файлы зашифрованы от самой системы?)

Валерий Бобров

Валерий Бобров

Zeta, я в курсе. Но снимок хранится в тех же жопах в каких зашифрованы библиотеки например. Андерстенд?)

Валерий Бобров

Zeta, это актуально онли когда снимок хранится не на том же физическом носителе. Таких программ много. Наиболее популярная Эверест. Акронис ещё.

Валерий Бобров

Zeta, если запретить системе изменять файлы и папки, то да вирус и зловред по бороде. Но и сама система тоже не сможет их перезаписывать. Палка о двух концах. Только снимок системы и хранить на внешнем винте.

Валерий Бобров

Валерий Бобров

Сергей Гузиеватый

Пётр Мерзогитов


Пётр Мерзогитов

В Windows есть функция FileHistory которой блин некто не пользуется а зря! Это аналог эпловской ТайпМашин.
Ну а в идеале чем то типа Acronis делать копию компа раз в сутки или при выключение например. И что бы это всё на NAS писалось. Насрать вам будет на все шифровальщики.
Ну а в идеале конечно нужно иметь мозг и прямые руки.

Читайте также: