Вирус шифровальщик уголовное дело

Обновлено: 27.03.2024

Борьба с шифровальщиками. Обращение в полицию (для жителей России).

Технический ресурс борьбы с шифровальщиками себя исчерпал. Утилиты для расшифровки не помогают, пользователи послушно платят авторам зловреда, вирусописательство превратилось в прибыльный процветающий бизнес. Злоумышленники активно используют социальную инженерию, присылают вирус под видом письма из прокуратуры или суда. Лучший способ решить проблему — устранить причину, мы же пока боремся с последствиями и проигрываем. Решить проблему под силу любому пострадавшему, нужно всего лишь обратиться в полицию. Если Вы представитель юридического лица или предприниматель, рекомендую обратиться за очной консультацией к адвокату, который будет защищать Ваши права (у Вас есть право на возмещение убытков, причиненных вирусом и возмещение упущенной выгоды).

Нежелание обращаться в полицию мотивированно страхом привлечения к ответственности за использование не лицензионного программного обеспечения. Статья 146 УК РФ предусматривает ответственность за незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере. Примечанием установлено, что деяния, предусмотренные настоящей статьей, признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают сто тысяч рублей, а в особо крупном размере - один миллион рублей. Основание уголовной ответственности - совершение деяния, содержащего все признаки состава преступления. То есть, стоимость не лицензионных программ, фильмов, музыки должна превышать 100 000 рублей. На практике привлекают тех, кто занимается сбытом. Когда Ваша коллекция музыки и фильмов зашифрована, проверить что лицензионное, а что нет — невозможно. Тем не менее, если Вы понимаете, что стоимость используемых не лицензионных объектов авторского права превышает 100 тыс. руб обращаться в полицию я не рекомендую, просто потому, что нервные клетки не восстанавливаются и нет ни чего хуже, чем находиться все время в состоянии страха и тревоги. Статья 7.12 КоАП РФ также предусматривает ответственность за нарушение авторских и смежных прав. Ввоз, продажа, сдача в прокат или иное незаконное использование экземпляров произведений или фонограмм в целях извлечения дохода в случаях, если экземпляры произведений или фонограмм являются контрафактными в соответствии с законодательством Российской Федерации об авторском праве и смежных правах либо на экземплярах произведений или фонограмм указана ложная информация об их изготовителях, о местах их производства, а также об обладателях авторских и смежных прав, а равно иное нарушение авторских и смежных прав в целях извлечения дохода. Здесь главный признак правонарушения — использование в целях излечения дохода. Если Вы просто пользуетесь, например ОС Windows для личных нужд, события правонарушения не будет. Гражданская ответственность наступает в случае, если автор программы обратиться в суд с иском лично к Вам и потребует выплатить ему компенсацию.

Необходимо также понимать, что расследование уголовного дела процесс не быстрый. Чудес не бывает. Если Вы не готовы к тому, что Ваш компьютер заберут на экспертизу, которая может продолжаться месяц или больше, Вас будут опрашивать, когда дело дойдет до суда Вас вызовут в суд на уголовный процесс — обращаться в полицию я Вам не рекомендую по причине описанной выше, нервные клетки не восстанавливаются.

Итак, на Вашем компьютере зашифрованы файлы. Вы видите окно с требованием перечислить деньги или связаться со злоумышленником по электронной почте. Ваша задача ни чего не трогать до приезда сотрудников полиции. Не нужно пытаться восстановить файлы, скачивать антивирусные программы и т.*д. Необходимо позвонить в полицию со стационарного телефона по номеру 02, а с мобильного 020 или 102. Назовите спокойно, без спешки свою Фамилию, Имя и Отчество, свой адрес и контактный телефон. Сообщите дежурному, что в отношении Вас было совершено преступление, неустановленное лицо против Вашей воли посредством вредоносного программного обеспечения зашифровало информацию на Вашем компьютере и требует деньги за расшифровку. Дежурный направит к Вам оперативно-следственную группу. По приезду оперативно-следственная группа возьмет у Вас объяснение, Вы расскажите как все произошло. Опросят тех, кто был рядом, например Ваших родственников. Под протокол Вы сделаете заявление о преступлении. С обязательным присутствием понятых будет проведен осмотр места происшествия с составлением протокола, также будет составлен протокол об изъятии компьютера, также в присутствии понятых. Дальше Вас могут попросить принять участие в оперативно-розыскных мероприятиях, то есть связаться со злоумышленником и получить у него реквизиты для перевода денег либо заплатить ему. Не исключено, что таким образом Вы сразу получите доступ к своим данным, копию которых Вам обязаны предоставить по Вашей просьбе.

Как видите, ни чего сложного нет. Я по роду своей деятельности сотрудничаю с правоохранительными органами и готов ответить на Ваши вопросы, но только для жителей России, о работе правоохранителей других стран мне ни чего не известно. Отвечаю в течении 24-х часов.

Копирование и распространение статьи с обязательным указанием ссылки на источник приветствуется.

//На базе этой статьи в ближайшее время я подготовлю тему для раздела "Чаво", в ней останется только самое важное, непосредственные шаги для обращения.

Аватар пользователя Антон Макаров

В статье рассказывается о том, как необходимо действовать пользователю в случае заражения его устройства вредоносной программой, а также что необходимо знать при обращении в правоохранительные органы. К материалу прикреплена форма заявления для корректного обращения в полицию.

Введение

Однако несмотря на статистику, эксперты предупреждают, что количество подобных преступлений будет увеличиваться. Так, например, объем денежных средств, которые злоумышленники похитили с банковских карт россиян в прошлом году, составил 650 млн рублей.

Это важно!

Для возбуждения уголовного дела в отношении преступников сотрудникам полиции необходим процессуальный повод — заявление о преступлении. Помните, что вы можете быть далеко не единственным пострадавшим, но первым обратившим внимание на деятельность злоумышленников, и ваше своевременное обращение в полицию поможет прекратить их деятельность.

Заражение персонального компьютера

Рисунок 1. Пример фишингового письма с вредоносным содержимым

Пример фишингового письма с вредоносным содержимым

Первая и лучшая мера защиты информации от шифровальщиков — регулярно обновляемая резервная копия данных. Характерное для шифратора поведение напоминает работу исполняемого файла из папок AppData или Local AppData. Рекомендуется создать правила блокировки запуска исполняемых файлов для этих папок при помощи стандартных возможностей Windows.

В случае заражения персонального компьютера, например, вирусом-вымогателем, ни в коем случае не следует платить выкуп — вы никогда не получите код разблокировки, который обещали вымогатели!

Рисунок 2. Пример вируса-вымогателя

Пример вируса-вымогателя

Если вы не владеете достаточными знаниями для решения этой проблемы, ни в коем случае не пытайтесь самостоятельно предпринимать какие-либо действия. Например: удаление входящего вредоносного письма или переустановка операционной системы. Если вы запустили антивирусное сканирование, то нельзя предпринимать никаких действий по лечению/удалению вредоносных объектов. Лучше не запускать антивирусное сканирование и не менять ничего на пострадавшем компьютере.

При обращении в правоохранительные органы приготовьтесь к тому, что ваш компьютер может быть изъят для экспертизы с целью обнаружения и фиксации следов работы вредоносной программы. Поэтому очень важно оставить систему без изменений. В среднем экспертиза длится от двух до трех дней, но учитывая объем работы сотрудников в подразделениях ЭКЦ МВД России, компьютер может быть изъят на больший срок.

Заражение мобильного устройства

У многих пользователей банковская карта привязана к номеру телефона для совершения дистанционных банковских операций. Этим и пользуются злоумышленники, создавая для мобильных устройств приложения, которые удаленно выполняют команды для незаконного перевода денег.

Заражение такими вредоносами может произойти, если скачивать приложения из неофициальных источников. Хотя в последнее время большинство вредоносных приложений распространяются через Google Play.

Рисунок 3. Пример распространения вредоносного приложения

Пример распространения вредоносного приложения

Как и в случае с персональным компьютером, мобильное устройство может быть заблокировано троянцем-вымогателем (Android.Locker), который требует оплату за разблокировку. Этот троянец обычно распространяется под видом системного обновления.

В большинстве случаев для разблокировки потребуется прошивка телефона, что требует определенных знаний.

Рисунок 4. Пример вредоносного приложения Android.Locker

Пример вредоносного приложения Android.Locker

Так же, как и в случае с персональным компьютером, имейте в виду, что в случае обращения в полицию ваш телефон может быть изъят на некоторое время для экспертизы.

Порядок действий при обращении в правоохранительные органы

Любой гражданин, если против него совершены незаконные действия, может подать заявление в правоохранительные органы следующими способами:

  • Лично через дежурную часть. Заявление оформляется письменно и регистрируется в журнале. Заявителю выдается талон-уведомление с датой обращения и его номером.
  • В электронном виде. Заявление оформляется через Единый портал государственных услуг, а также на официальных сайтах Министерства внутренних дел.
  • Направив письмо руководителю подразделения. Такое заявление стоит отправлять заказным письмом с уведомлением.

Этапы и сроки рассмотрения заявления:

  1. Сотрудник подразделения делопроизводства докладывает о заявлении руководителю подразделения, который определяет исполнителя. Распоряжение заносится в журнал с указанием срока исполнения.
  2. Сотрудники полиции связываются с заявителем и вызывают его для уточнения обстоятельств случившегося или выезжают к нему сами.
  3. По окончании срока рассмотрения выносится решение, которое направляется заявителю.
  1. Возбуждение уголовного дела.
  2. Отказ в возбуждении уголовного дела.
  3. Передача заявления. (Если информация в заявлении не относится к деятельности полиции, заявление может быть направлено для рассмотрения в другие госорганы).

Это важно!

Если у вас отказываются принять заявление — получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции.

При обращении в правоохранительные органы имейте в виду, что в большинстве случаев успешное расследование преступлений зависит от результата исследования информации, находящейся в памяти персонального компьютера или мобильного устройства. Поэтому рекомендуется не вносить никаких изменений в устройство. Будьте готовы предоставить сотрудникам полиции следующую информацию.

При незаконном списании средств с мобильного счета (банковской карты), а также в случае заражения мобильного устройства вредоносной программой:

  • как и когда обнаружено происшествие (несанкционированная транзакция, факт мошенничества и т. д.);
  • об используемых системах дистанционного банковского обслуживания;
  • наблюдались ли отклонения от стандартного функционирования устройства в процессе дистанционного банковского обслуживания;
  • использовались ли антивирусы;
  • для каких еще целей использовалось мобильное устройство (звонки, SMS, работа с интернет-ресурсами, скачивание и просмотр фото- и видеофайлов, игры и т. д.).

В случае заражения персонального компьютера вредоносной программой:

  • как и когда обнаружено происшествие (несанкционированная транзакция, факт мошенничества и т. д.);
  • об электронной почте (в случае заражения персонального компьютера через фишинговое письмо с вредоносным содержимым);
  • о последнем установленном программном обеспечении;
  • о последних посещаемых интернет–ресурсах;
  • использовались ли антивирусы;
  • имел ли кто-то еще доступ к компьютеру.

Выводы

В статье рассмотрены типичные вредоносные программы, которыми могут быть заражены как мобильные устройства, так и персональные компьютеры. Они создаются злоумышленниками для получения финансовой выгоды. Зачастую преступники остаются безнаказанными из-за того, что потерпевшие не обращаются в правоохранительные органы, что позволяет и дальше совершать противоправные действия. Сегодня атаке подверглись вы, а завтра кто-то из ваших близких, друзей, знакомых.

Поэтому для привлечения злоумышленников к уголовной ответственности настоятельно рекомендуется обращаться в полицию, если вы подверглись хакерской атаке.

Скорая помощь при атаке вируса-вымогателя. Возможна ли расшифровка?

Есть ли у вас план действий на случай, когда вы увидите на экране своего компьютера требование заплатить киберпреступникам деньги за расшифровку ваших файлов? Что предпринять в первую очередь? Какие программы можно использовать для спасения своих данных? Есть ли гарантии расшифровки ваших данных, если заплатить злоумышленникам выкуп? На эти и другие подобные вопросы вы найдете ответы в статье.

Введение

Вирусы-шифровальщики (криптолокеры, вирусы-вымогатели) — бич нашего времени. Никто не застрахован от того, что не получит от злоумышленников требование заплатить деньги за собственные же данные. Как правило, для того чтобы человек заплатил, киберпреступники шифруют файлы пользователя, которые могут быть важны для него.

C сожалением приходится признать, что мы находимся в начале большого пути, на котором человечество ждут масштабные пандемии вирусов-вымогателей и подобных им вредоносных программ. На сегодня мир пережил две пандемии: WannaCry и NonPetya. Проанализировов итоги этих атак, в статье мы предложим метод, который поможет спасти данные пользователя после их шифрования вредоносной программой.

Как работают криптолокеры?

Наиболее часто вирусы-шифровальщики используют следующие приемы для ограничения доступа пользователя к его данным:

На этом сервере криптоключ хранится в течение некоторого времени. Для того чтобы знать, кто заплатил деньги, для каждого зашифрованного компьютера создается отдельный bitcoin-кошелек.

Как владелец файлов может расшифровать их?

Владелец зашифрованных файлов может выкупить криптографический ключ и получить от злоумышленников программу, которая, используя этот ключ, расшифрует его файлы.

Но даже если зашифрованные файлы важны для пользователя, он может не заплатить по следующим причинам:

  1. У владельца компьютера может просто не быть нужной суммы денег.
  2. Владелец компьютера не сможет собрать нужную сумму в течение установленного вымогателями периода, по истечении которого криптоключ будет удален с командного сервера.
  3. Владелец компьютера не сможет понять, как осуществить платеж злоумышленникам. Большинство пострадавших являются людьми, имеющими опосредованное отношение к компьютерным технологиям, и поэтому им трудно разобраться в том, как создать bitcoin-кошелек, как положить на него деньги и как осуществить платеж.

Существуют ли гарантии расшифровки файлов?

Нет никаких гарантий того, что если владелец зашифрованных файлов заплатит кибепреступникам деньги, то ему пришлют программу для расшифровки файлов. Это может произойти по следующим причинам:

Создание копии ОЗУ: зачем это надо?

Классика учит нас, что спасение утопающихдело рук самих утопающих. В этой главе будет рассказано о том, какие действия может предпринять пользователь инфицированного компьютера, чтобы спасти свои данные. Этот способ не является универсальным и не гарантирует стопроцентного спасения данных. Однако это лучше, чем ничего.

Единственное, в чем можно быть уверенным в момент осуществления атаки криптолокера — это то, что, когда владелец компьютера впервые видит на экране монитора требование заплатить деньги, криптографический ключ, использованный для шифрования файлов, скорее всего еще находится в памяти компьютера. В этот момент следует сделать криминалистическую копию оперативной памяти компьютера (ОЗУ). В дальнейшем специалисты могут извлечь из этой копии криптографический ключ и расшифровать файлы владельца компьютера.

Одним из инструментов, которым можно сделать копию оперативной памяти, является Belkasoft Live RAM Capturer.

Рисунок 1. Форма запроса Belkasoft

Форма запроса Belkasoft

После этого вы получите электронное письмо, в котором будет ссылка на скачивание Belkasoft Live RAM Capturer. Загрузите эту программу и поместите ее на флешку. Подключите флешку к компьютеру, подвергнувшемуся атаке вируса-вымогателя.

Существует 32-битная (файл RamCapture.exe) и 64-битная (файл RamCapture64.exe) версии Belkasoft Live RAM Capturer.

Рисунок 2. Файлы Belkasoft Live RAM Capturer

Файлы Belkasoft Live RAM Capturer

Кликните на файл, разрядность которого соответствует разрядности вашей операционной системы.

После запуска Belkasoft Live RAM Capturer вы увидите основное окно программы.

Рисунок 4. Главное окно Belkasoft Live RAM Capturer

Главное окно Belkasoft Live RAM Capturer

Belkasoft Live RAM Capturer предложит сохранить создаваемую копию оперативной памяти компьютера на подключенную флешку. Кликните кнопку Capture!

Это связано с тем, что Windows не может записать файл размером более 4Гб в файловую систему FAT (FAT32). Для того чтобы сохранить создаваемую копию памяти на флешку, предварительно отформатируйте ее в exFAT или NTFS. Если не сделать этого, можно указать иное место на жестком диске компьютера, где будет сохранена эта копия. В качестве примера был использован путь C:\Users\Igor\Document. Как показано на рисунке 6, такая копия была успешно создана.

Имя файла, который содержит копию RAM, соответствует дате его создания.

Рисунок 7. Файл, содержащий данные из ОЗУ компьютера

Файл, содержащий данные из ОЗУ компьютера

Восстановление криптографического ключа

В качестве примера рассмотрим восстановление криптографического ключа, с помощью которого осуществляется шифрование файлов вирусом-вымогателем WannaCry. Как известно, этот вымогатель осуществляет шифрование файлов пользователя с использованием RSA-ключа. Существует несколько плагинов (например, плагин MoVP II) к Volatility – бесплатной утилиты, используемой для анализа дампов оперативной памяти компьютеров, с помощью которых можно восстановить RSA-ключ и его сертификаты.

Однако в статье будет показан пример восстановления RSA-ключа с помощью GREP-анализа. Для этого загрузите полученную ранее копию ОЗУ зараженного компьютера в WinHex и произведите поиск по заголовку RSA-ключа – 308202 (в шестнадцатеричном виде). В нашем случае было обнаружено 2486 совпадений.

Рисунок 8. Результаты поиска RSA-ключа в копии ОЗУ компьютера, подвергнутого атаке вируса-вымогателя WannaCry

Результаты поиска RSA-ключа в копии ОЗУ компьютера, подвергнутого атаке вируса-вымогателя WannaCry

Конечно же, не все эти совпадения являются криптографическим ключом. Однако количество вариантов ключей, которые могут быть использованы для расшифровки пользовательских данных, существенно сокращается, что повышает вероятность успеха спасения зашифрованных данных пользователя.

Выводы

В статье были рассмотрены приемы, которые используют криптолокеры для вымогания денег у пользователей компьютеров; дан ответ на вопросы: как владелец может расшифровать зашифрованные файлы? существуют ли гарантии расшифровки файлов? Рассмотрен способ создания криминалистической копии оперативной памяти компьютера, подвергнувшегося атаке вируса-вымогателя, и приведен пример восстановления криптографического ключа из нее.

В будущем атаки криптолокеров будут только возрастать. Известные миру криптолокеры портируются под новые операционные системы, и поэтому мир может снова услышать об их атаках, а количество устройств, которые они способны заразить, возрастет в разы. WikiLeaks продолжает выкладывать новые образцы кибероружия, похищенного киберпреступниками у правительственных организаций (Wikileaks рассекретил еще один шпионский вирус ЦРУ). Поэтому каждый должен иметь такой набор программ, который позволит ему спасти свои данные.

Шифровальщики в медицине: в чём опасность и как защищаться?

Введение

В 2020 году популярность вирусов-вымогателей взлетела до недостижимых прежде высот и сегодня продолжает бить рекорды. Программы этого типа, попадая в компьютер, шифруют все данные и требуют выкуп за доступ к заблокированной информации. Эксперты Check Point Research (CPR) подсчитали, что за первые четыре месяца нынешнего года с вирусами-вымогателями столкнулось на 102 % больше компаний, чем за аналогичный период прошлого года. Основная цель атакующих — компьютеры работающих удалённо сотрудников крупных компаний, потому что это позволяет получать доступ в корпоративные сети.

Злоумышленники сместили фокус атак с индивидуальных пользователей на крупные организации, в том числе — на государственные и медицинские учреждения. В топ-5 наиболее атакуемых отраслей входят производство, ретейл, государственные учреждения, здравоохранение, строительство. По данным CPR, чаще всего с хакерами-вымогателями сталкиваются в сфере здравоохранения: в среднем за неделю происходит 109 атак на одну организацию (см. рис. 1).

Рисунок 1. Количество атак хакеров-вымогателей в мире за неделю, 2021 г.

Количество атак хакеров-вымогателей в мире за неделю, 2021 г.

Статистика Positive Technologies гласит, что в большинстве случаев при атаках на крупные организации предметами интереса злоумышленников становятся персональные данные, коммерческая тайна и учётные записи, позволяющие получить расширенный доступ к системам организации (рис. 2).

По оценкам Group-IB, в 2020 году минимальный ущерб от атак с применением вирусов-шифровальщиков превысил миллиард долларов. Реальных цифр не знает никто — многие организации предпочитают не предавать огласке факт компрометации системы.

Рисунок 2. Какие данные интересны хакерам-вымогателям

Какие данные интересны хакерам-вымогателям

Шифруем данные: гарантия, анонимность

В современных программах-вымогателях злоумышленники используют гибридное шифрование, совмещая высокие скорости симметричных систем и преимущества ключей ассиметричных алгоритмов, когда для расшифровки данных необходим ключ, которым владеет только злоумышленник. Если владелец отказывается платить выкуп за доступ к своей информации, злоумышленники обычно выставляют данные на продажу.

Чем происходящее опасно для медиков?

Медучреждения занимают первое место по числу совершаемых против них атак с применением шифровальщиков. Количество инцидентов в этой сфере, по оценкам аналитиков, продолжает стремительно расти. Почему так происходит? Большинство медицинских организаций не имеет надёжной защиты, не стремится предавать огласке инциденты в области утечек, но вместе с тем осознаёт опасность отсутствия доступа к данным в течение продолжительного периода и нередко платит преступникам.

Всё это вкупе с понятной и действенной схемой реализации атак открывает хакерам неплохие перспективы. Получив доступ к данным в корпоративной сети медучреждения, атакующие могут реализовать несколько вредоносных сценариев. Вот основные из них:

  1. блокирование нормальной деятельности медицинских систем, которое может привести к простою в работе, угрожать репутации организации, а также, что самое страшное, непосредственно повлиять на здоровье и жизни людей;
  2. блокирование данных и их копирование с целью дальнейшего шантажа; иногда после получения выкупа хакеры не останавливаются и через некоторое время переходят к угрозам выложить данные в публичный доступ, что может обернуться серьёзным ударом по репутации.

Пути проникновения в систему

Есть три основных способа первичной компрометации сети с помощью вируса-шифровальщика, с которых начинаются атаки.

Заражение через внешние службы удалённого доступа

Технологии удалённой работы и обучения используются сегодня повсеместно в связи с пандемией. При этом большинство организаций не в состоянии быстро внедрять решения для безопасной удалённой работы сотрудников вне офисов, а одна только уязвимость протокола удалённого рабочего стола (RDP) позволяет злоумышленникам получать административный доступ и, например, использовать те же вирусы-шифровальщики на компьютере жертвы.

Процесс атаки с использованием внешних служб удалённого доступа, как правило, реализуется следующим образом:

Как правило, атака производится за счёт встроенных в плавающие фреймы ссылок на взломанных веб-ресурсах. Злоумышленники размещают вредоносные скрипты во фреймах веб-страниц, которые могут показаться пользователю достойными доверия.

Другим распространённым способом реализации данного типа атаки является помещение скрипта загрузки стороннего ПО во всплывающие окна. Последние могут представлять собой рекламу или другую активную часть веб-ресурса, причём даже попытка закрытия всплывающего окна может привести к запуску скрипта злоумышленника.

Фишинговые рассылки через электронную почту

Основным каналом распространения шифровальщиков была и остаётся электронная почта. Злоумышленник маскирует письма с вредоносным кодом под обычную рабочую переписку: уведомления из налоговой инспекции, информацию о найме сотрудников и т. д.

Несмотря на то что такие письма похожи на настоящие, в них обычно несложно распознать фишинговое послание. Если присмотреться, можно увидеть, что адрес отправителя не соответствует подписи и домен отличается от официального.

Громкие атаки на медучреждения с использованием шифровальщиков

Итак, чего конкретно ждать от шифровальщиков, к чему может привести реализация атаки с использованием подобных программ? Назовём некоторые из самых масштабных случаев.

В марте этого года UHS опубликовала отчёт, где сообщила, что эта атака обошлась ей в 67 млн долларов США. Сюда включены расходы на восстановление данных из бэкапов, упущенная прибыль из-за простоя и снижения потока пациентов и так далее.

Интересно, что при атаках на здравоохранение злоумышленники часто предпочитают шифровать и воровать данные именно с серверов, а не с рабочих станций — как это случилось с серверами Florida Orthopaedic Institute, когда злоумышленники зашифровали (предварительно похитив) данные 640 тысяч пациентов. Впоследствии институт столкнулся с весьма неприятным иском от компании представляющей интересы пострадавших пациентов.

Рисунок 3. Распределение атак хакеров-вымогателей по странам

Распределение атак хакеров-вымогателей по странам

Прогнозы на будущее

На основе статистики можно с уверенностью сказать, что рост количества площадок для торговли данными по доступу к корпоративным сетям продолжится, что, в свою очередь, повысит число атак на крупные организации.

Не стоит ожидать снижения количества атак на почтовые сервисы с применением шифровальщиков: возможно хищение данных из локальных почтовых сервисов или выведение почтовой системы из строя.

Также стоит отметить нарастающую в России популярность фишинговых партнёрских программ и использование одноразовых ссылок на веб-фишинг через почтовые сервисы.

Как защититься?

Рассмотрим основные пути защиты компьютеров и сети организации от вирусов-шифровальщиков. Действовать нужно проактивно. Прежде всего необходимо внедрить способы, методы, программные решения, позволяющие проводить мониторинг, собирать и анализировать индикаторы компрометации. С учётом быстрого развития методов атак с использованием вирусов-шифровальщиков необходимо также уделять внимание обновлению инструментов мониторинга и обучению персонала.

Приведём основные рекомендации по техническому оснащению инфраструктуры организаций для предотвращения атак:

Платить или не платить?

Здесь всё индивидуально, каждая организация решает сама и универсальных советов быть не может. В большинстве случаев восстановление доступа к похищенным или зашифрованным данным невозможно без ключа или декриптора, находящихся в руках злоумышленника, даже если применяется слабая криптография. Конечно, возможны и ошибки разработчиков вредоносных программ, однако это крайне редко приводит к дешифровке данных.

Также стоит обратить внимание на нежелание организаций афишировать факты компрометации системы и потери значимых данных. В таком случае предпочтение отдаётся варианту выкупа данных у злоумышленника.

О чём стоит помнить, когда вы платите злоумышленникам:

  1. При такой сделке нет никакой гарантии, что после перевода денег злоумышленник действительно предоставит декриптор для расшифровывания информации.
  2. В случае удачного расшифровывания данных предоставленным декриптором организация возвращает критически важную информацию и может восстановить работу, однако копия базы всё ещё может быть у злоумышленника. Тогда могут последовать продолжительные требования материального вознаграждения за нераспространение этих данных или информации о самом факте компрометации.
  3. Как правило, если злоумышленник смог успешно проникнуть в сеть и запустить вирус-шифровальщик, то это говорит о недостаточной защищённости системы. В таком случае нет гарантий, что злоумышленник не получил доступа к другим ресурсам или базам данных организации, что может привести к повторным атакам или вымогательству.
  4. Также в случае быстрого принятия решения о выплате выкупа у злоумышленника появляется мотивация для повторения мошенничества в сторону данной организации для получения лёгкого заработка.

Таким образом, в случае компрометации ресурсов в первую очередь стоит сконцентрироваться на предотвращении распространения шифровальщика по сети.

Локализация и ликвидация заражений

Как восстанавливаться после атаки? К сожалению, далеко не всегда удаётся обеспечить надлежащий уровень безопасности корпоративных сетей и сервисов организаций, в том числе по причине постоянного развития инструментария злоумышленников и из-за человеческого фактора. В таком случае встаёт вопрос о плане по устранению последствий инцидентов.

Изоляция

В случае обнаружения активности вируса-шифровальщика в корпоративной сети необходимо определить зону заражения, поскольку степень распространения на момент первого появления признаков неизвестна. Нужно изолировать все заражённые компьютеры и сегменты, чтобы вирус не распространялся на другие части сети.

Если сеть предприятия — небольшая и нераспределённая, то данную зону можно определить по логам антивируса, оповещениям от EDR и брандмауэров. В случае больших организаций стоит перед этим провести анализ логов от SIEM-систем.

Отсечение заражённых узлов от сети возможно по сетевому кабелю, через отключение сетевого интерфейса или порта на коммутаторе. Необходимо блокировать межсегментный трафик, исключая необходимые и незаражённые узлы внутри сети, с помощью межсетевых экранов и списков контроля доступа (ACL-листов) на коммутаторах.

На этапе локализации также стоит озаботиться сохранностью улик для последующего анализа путей распространения шифровальщика: следует обратить внимание на сохранность логов и других следов действия вируса на заражённых компьютерах. Также после локализации инцидента необходимо снять образы дисков и сохранить дампы памяти для последующего расследования.

Расследование и восстановление

После локализации инцидента и обеспечения работы незаражённой части сети в штатном режиме необходимо провести анализ действий шифровальщика: определить пути распространения и причины появления. В большинстве случаев источник вируса-шифровальщика — это другие вредоносные программы из семейства троянов, например дроппер, RAT, загрузчик и др. Необходимо найти первичную причину возникновения инцидента, локализовать её и начать процедуры по удалению стороннего программного обеспечения. Также стоит обратить внимание на причины отсутствия блокировки вируса на конечном компьютере.

По итогу анализа путей и причин возникновения шифровальщика необходимо:

  1. Уничтожить вредоносный код на всех единицах техники в корпоративной сети.
  2. Выявить уязвимость системы, послужившую причиной возникновения инцидента, и закрыть её через установку средств защиты или изменение настроек.
  3. Провести обучающие беседы с сотрудниками организации для предотвращения повторного возникновения угрозы.
  4. Установить все обновления для средств защиты и антивирусных баз.

Последующие работы

После устранения как самой угрозы, так и уязвимости, которая привела к её появлению, возможно введение ранее заражённых машин в общую сеть организации. Если нет необходимости сохранять данные на машинах для последующего анализа и расследования, то по возможности стоит отформатировать компьютеры и восстановить на них данные из резервных копий, сделанных ранее.

Для восстановления последних данных (или всей информации в случае отсутствия системы резервирования) возможно прибегнуть к помощи компаний предоставляющих услуги в сфере кибербезопасности или же попытаться найти открытый декриптор (например, на сайте проекта No More Ransom) для определённого вида шифровальщика.

Также стоит принять решение о том, раскрывать ли информацию об инциденте сотрудникам и акционерам, а также публике через СМИ. Обнародование информации о компрометации сети и возможной утечке данных может привести к репутационным рискам. Вместе с тем, появление данной информации в сети без участия организации может привести к ещё большим потерям.

Выводы

Всем компаниям, которые сталкиваются с действиями киберпреступников (и особенно когда речь идёт о шифровальщиках), необходимо помнить о том, что количество инцидентов будет расти, атаки будут повторяться, если не противостоять хакерам. Необходимо приложить максимум усилий к защищённости своих ресурсов, а также к созданию мощного информационного поля, которое поможет другим организациям. Ведь каждый обнародованный и тщательно изученный инцидент позволяет специалистам по ИБ улучшать стратегию защиты. Когда мы начнём противостоять злоумышленникам единым фронтом, хакерам станет намного сложнее атаковать, их инструменты перестанут работать, стоимость атак возрастёт. В первую очередь следует обеспечить надёжную защиту в медицинской сфере, где под ударом оказываются не только и не столько информационные ресурсы, сколько человеческие жизни.

Особенно важно вести такую работу по противостоянию кибератакам в России, поскольку в нашей стране не развита система страхования рисков для ИБ и отсутствует судебная практика по инцидентам с программами-вымогателями.

Данная статья имеет информационно-развлекательный характер.

14.04.2020 9:42:01 Отдел бухгалтерии

Дело было теплым апрельским утром, ничто не предвещало беды для компании Н, как вдруг Некто (Зоя Васильевна) из отдела бухгалтерии открыла письмо о профориентационных курсах, пришедших всему отделу.

В письме было приглашение на бесплатные курсы профориентации для специалистов самого высокого уровня. Решено - нужно участвовать и пройти регистрацию.

20.04.2020 14:00:33

Менеджер отдела закупок увидел сбои в работе всей системы документаоборота и 1С. По привычке оставил заявку техническому отделу, и, получив очередной ответ "разберемся" стал дальше проверять данные поставщиков, но уже с меньшей продуктивностью.

24.04.2020 16:30:52

Добрая половина офиса жалуется на работу компьютеров и потерю данных. Дело усугубляется остановкой работы отделов HR. ИТ служба понимает, что эти выходные она проводит в офисе.

27.04.2020 10:10:01

Разберем, что же произошло с компанией Н.

Для начала идентифицируем вид вирусного ПО. Симптом потери данных и снижение скорости работы присущи двум видам вирусов: RootKit и BothNet.

Для справки - RootKit - ПО, которое предоставляет доступ к управлению компьютером злоумышленникам.

Пропажа данных у HR, как раз показывает управление данными сторонним пользователем. Скорее всего эти данные будут проданы теневым биржам, для оформления микрокредитов или точечной рекламной рассылки.

Этот этап является самым долгим, он может проходить до 6 месяцев, в зависимости от защищенности всей инфраструктуры. Во время этого периода в организацию внедряются ПО, собирающее целевую информацию. Оценивается масштаб финансового ущерба. Собирается статистика и финансовые показатели организации: периоды работы сисадмина, защищенность сегментов сети, фактический оборот компании, зависимость от определенных сервисов и увеличения атакуемых сотрудников, для целевого фишинга и соц. инжиниринга.

В письме злоумышленника была прикреплена презентация PDF. PDF файлы могут содержать вложения с вирусами. Заражение происходит в момент открытия файлов.

Инфицирование и копирование кода вируса по системе.

“Один из возможных”.

Подмена API и получения RooT-прав (управления ПК). Если проще, то это стадия, когда управление переходит в руки злодеев.

Получение данных о работниках.

Получение платежной информации.

Получение информации о заказчиках и поставщиках.

Извлечение и продажа данной информации.

ЭТАП 4 (терминальный)

Уничтожение системных файлов и внедрение посторонних ПО для управления hardaware-ной части ПК. Отключение системы охлаждения и механизма тепловой блокировки системы. В следствии перегрева - выход из строя части ПК, где RootKit внедрил часть вредоносного кода в hardware.

Последний этап используется злоумышленником чаще в заказных атаках. Подобными атаками пользуются конкуренты для остановки производства или нарушения технологических цепочек.

Теперь прикинем во сколько обошлись вышеперечисленные события и оценим масштабы поражения.

Данные представлены в виде таблицы:

Вот большинство признаков заражения, если верить статье:

автоматическое открытие окон с незнакомым содержимым при запуске компьютера;

Существует много точек входа вредоносного ПО и злоумышленников, и данная статья наверняка не осветит и 10% всех интернет угроз, но определенно точно расскажет, что можно предпринять чтобы защититься от 70% всех угроз.

А вот чего. Большинство сисадминов и пользователей думают так: “Раз я КУПИЛ себе антивирус - я нахожусь, как за каменной стеной”. Формально это так и есть, только проблема стоит шире вирусного заражения, особенно в корпоративной среде. Сегодня самой серьезной проблемой стоит не само вредоносное ПО, а предлог к его запуску. Этими материями заведует “социальный инжинирнг", для непросвещенных - набор методов психологического/социального воздействия на пользователя (читайте сам Хабр/Вики). Если коротко, Вас вынуждают действовать в нужном для злодея направлении, ссылаясь на внешние причины.

Отвечая на вопрос, как же мне защититься от Petya? (установку и использование антивирусов опустим), разобьём ответ на две части. Для людей/ для компаний.

  • освоить ДВУХФАКТОРНУЮ АУТЕНТИФИКАЦИЮ;
  • поменьше разрешать программам использовать права администратора;
  • "серфить" по здоровой части интернета, очевидно, что сайту НОВОГО 100% ЭФФЕКТИВНОГО СРЕДСТВА ДЛЯ ПОХУДЕНИЯ будет мало доверия;
  • оставлять свои данные в проверенных источниках, вроде "ГосПортала" и тп. Некоторые компании грешат продажей контактов своих клиентов. (Пруф Аваст/ Пруф РБК);
  • установить АНТИВИРУСНОЕ РАСШИРЕНИЕ на браузер. В 2020-ом люди получают 90% информации из браузера, поэтому и антивирусы перебираются в online.

Вряд ли защита от DDos атак или Supply-chain атак будут актуальны для обычных пользователей ПК.

Читайте также: