Все, что нужно знать о вымогателях в 2019 году

Угрозы и оскорбления

Фабиан Восар зарабатывает на жизнь разрушением дней банд вымогателей, и у него есть ненавистная почта, чтобы доказать это.

«В какой-то момент мне удалось настолько разозлить автора вымогателей, что они буквально переименовали его в мое имя». говорит он. «Поэтому они переименовали свои вымогатели в« fabiansomware », что довольно странно».

Wosar является руководителем исследований в компании по информационной безопасности Emsisoft, чьи бесплатные инструменты для расшифровки вымогателей были загружены более миллиона раз (если быть точным, 1144 351, не считая загрузок с зеркальных сайтов). При том, что средний писатель-вымогатель, требующий 522 долл. США (около 400 фунтов стерлингов, 750 австралийских долларов) для восстановления файлов жертв, это потенциальные 597 351 222 долл. США (около 455 000 000 австралийских долларов, 833 000 000 австралийских долларов) не попадет в карманы авторов вымогателей. Неплохо для компании из 40 человек без офиса.

«Emsisoft начинала как очень и очень маленькая компания, в которой работало всего два человека». говорит Восар. «Когда вы пытаетесь проникнуть в область антивируса и защиты от вредоносных программ и у вас есть только два человека, вы не можете конкурировать на основе рабочей силы с такими крупными компаниями, как Symantec и Kaspersky или Bitdefender, в которых работают тысячи сотрудников.

Не все комментарии, которые получает Восар, являются оскорблениями; некоторые авторы вымогателей впечатлены

«С самого начала было совершенно очевидно, что мы просто должны быть более гибкими, что нам нужно обеспечить, чтобы все наши внутренние процессы были намного меньше накладных расходов, и нам также нужно было быть намного умнее в отношении того, как мы используем наши ограниченные ресурсы. с пользой. И это деловое мышление, изначально возникшее как необходимость, вскоре стало основной философией всех наших продуктов.

В течение последних 15 лет Emsisoft стабильно росла без каких-либо внешних инвестиций. Это все еще намного меньше, чем многие из его конкурентов, но это не остановило его, конкурируя с гигантами программного обеспечения безопасности.

«Мы начинали как домашняя компания, ориентированная на пользователей. говорит Восар. но в последние годы мы начали продвигаться на бизнес-рынок с растущим успехом, и мы поняли, что домашние пользователи и предприятия часто предъявляют совершенно разные требования и необходимо. Большинство традиционных компаний решают эту проблему, просто вкладывая в это больше ресурсов и часто разделяя линейку продуктов, предлагая разные продукты для разных клиентов, но мы просто не можем этого сделать.

Таким образом, наша философия. держать вещи в тонусе. теперь мы сосредоточены на том, чтобы сделать все эти расширенные функции защиты корпоративного уровня не только доступными для домашних пользователей, но и сделать их доступными и полезными для них, чтобы они могли действительно понимать их и знать, что происходит, и приведение пользователей в действие, сделав их намного более доступными, что станет намного более выдающимся с парой грядущих продуктов, которые мы собираемся выпустить в 2019 году, о которых я не могу много рассказать. Но это сейчас не в фокусе, просто дает силу человеку ».

Краткая история вымогателей

Интерес Wosar к безопасности начался, когда ему было всего 11 лет. «Я заразился вирусом под названием Tequila в старые добрые времена DOS, и меня просто втянуло». говорит он.

Впервые он заинтересовался вымогателями в 2012 году, когда основатель BleepingComputer Лоуренс Абрамс спросил, может ли он помочь некоторым форумчанам, ставшим жертвами вируса ACCDFISA (Департамент по борьбе с киберпреступностью Федерального агентства по интернет-безопасности). одного из первых примеров файла.шифрование вымогателей.

«Ransomware впервые стал большим в виде блокировщиков экрана». объясняет Восар. «По сути, вы просматриваете Интернет, и внезапно появляется экран, блокирующий весь экран, сообщая вам, что ФБР или GCHQ только что увидели, что вы делаете что-то непослушное. Теперь вам нужно пойти в местный магазин и получить Paysafecard и ввести код, чтобы разблокировать вашу систему. Потому что, очевидно, государство примет Paysafecard, верно?

Это всегда интересно, когда люди так злятся, что хотят так сильно оскорбить меня, что в итоге они делают свою вымогателей менее защищенной.

Фабиан Восар, Эмсисофт

Вскоре стало известно, что блокировщики экрана относительно легко удалить (просто перезагрузите компьютер в безопасном режиме и удалите заражение), поэтому люди, стоящие за ними, вместо этого обратились к шифрованию файлов. Это гораздо более серьезная проблема, и Восар посвятил годы решению этой проблемы. в значительной степени раздражению преступников.

Восар регулярно получает оскорбления и часто находит их в самом вымогателе, что может иметь непредвиденные последствия.

«Существует определенный тип шифрования, называемый блочным шифром, который работает с блоками данных». говорит Восар. «Когда вы думаете об этом, если вы не измените свое шифрование с блока на блок, то даже если у вас есть только зашифрованный файл, вы можете по крайней мере сказать, какие части файла содержат идентичные данные, потому что зашифрованные блоки останутся так же, как они были раньше. Так что если у вас есть большие части, которые содержат только нулевые байты, например, вы все равно могли бы видеть эти части ».

Wosar поделился примером, хорошо известным в сообществе безопасности: изображение пингвина Такса, которое было зашифровано с помощью простого блочного шифра, но все еще ясно читаемым. Чтобы обойти эту проблему, вам нужен режим блокировки.

Когда изображение зашифровано простым блочным шифром, части могут быть разборчивыми

«Вы можете думать о режиме блока как о дополнительном шаге, который вы делаете, чтобы один и тот же блок внутри файла выглядел по-разному каждый раз, когда вы шифруете его. говорит Восар. и для этого вы начинаете с того, что называется вектор инициализации или IV. Для этого вымогателя они использовали IV, который содержал данные из памяти, которые были просто случайными. Они не помещали никаких конкретных данных в IV. они просто взяли что-то случайное из памяти, и все, что было в этой памяти раньше, стало IV. Теперь, когда они добавили оскорбления, они фактически поместили оскорбление в IV. Это означает, что IV всегда был таким же, что снизило безопасность их вымогателей.

Читайтек так же

Best TV 2019 — это телевизоры с большим экра... Встречайте 10 лучших телевизоров 2019 года Лучшее руководство по покупке телевизора: примите во внимание обзор лучших телевизоров TechRadar, которые вы можете получить в 2019 году. Хотя в 2019 году еще рано, но уже сейчас можно сказать, что этот год будет одним из лучших для телевизоров. Мы впервые увидели футуристические плоские экраны этого год...
Как закрыть все вкладки в Safari, Chrome и Google ... Узнайте, где скрывается кнопка «закрыть все табы» в этих приложениях iOS. В праздничный сезон для покупок нам пришло время начать рассказывать ваши дорожки онлайн, чтобы вы не испортили праздничный сюрприз. Если вы похожи на меня, то вы покупаете или, по крайней мере, исследуете потенциальные идеи подарков на своем телефоне. И если у вас есть де...
Best gaming mouse 2019 Отзывы и советы по покупке... Если вы все еще используете бесплатную мышь, поставляемую с вашим ПК, пришло время для обновления. Мышь. это простой инструмент: наведи и щелкни. Это оно. Но если вы играете в компьютерные игры, вы знаете, что использование виртуальной бумаги на рабочем столе. это не то же самое, что дробить ботов и стрелять в зомби. (Даже удаленно.) Шпаргалка иг...

«Так что это всегда интересно, когда люди так злятся, что хотят так сильно оскорбить меня, что в итоге они делают свою вымогателей менее защищенной. Так что это довольно забавно.

Угрозы домашним пользователям

Авторы вымогателей начинают понимать, что нацеливание на домашних пользователей не особенно выгодно. отчасти потому, что у многих нет денег на оплату, а отчасти потому, что они просто не заботятся о зашифрованных данных.

«В настоящее время основное внимание уделяется вашему мобильному телефону. говорит Восар. и если у вас есть мобильный телефон, есть вероятность, что его резервное копирование также выполняется в облаке. в Google Photos или iCloud. Если все ваши фотографии в вашей системе зашифрованы, вы можете просто загрузить их, так что это не будет большой проблемой ».

Столкнувшись с домашними пользователями, которые не могут или не будут платить, авторы вымогателей начали разветвляться. «Если вымогатель часто оказывается в системе, которая является особенно мощной или имеет, например, очень хорошую графическую карту, они часто предпочитают не шифровать файлы, а сбрасывать в систему нечто, называемое криптоминантом». говорит Восар. «Затем криптоминер начинает добывать криптовалюту в фоновом режиме и пытается ее скачать.

«Другой тенденцией, часто встречающейся с вымогателями или вредоносными программами в целом, является внедрение криптоджекеров, которые по сути являются небольшими троянами или вредоносными программами, которые ищут в вашей системе кошельки криптовалюты и крадут ее. Финансовое вредоносное ПО также по-прежнему является проблемой для домашних пользователей, пытающихся, например, украсть ваши банковские учетные данные или учетные данные PayPal, чтобы кто-то мог просто получить доступ к вашему банковскому счету и украсть все ваши деньги.

Если вымогатель часто оказывается в системе, которая является особенно мощной или имеет, например, очень хорошую графическую карту, они часто отказываются от шифрования файлов

Фабиан Восар, Эмсисофт

В дополнение к вымогателю, Wosar говорит, что домашние пользователи должны также знать о ботах, которые захватывают вашу систему и делают ее частью сети с дистанционным управлением, называемой ботнетом.

«Вы можете думать об этом как о совокупности систем, которые находятся под контролем единой сущности, которую обычно называют бот-пастухом, и они могут заставить вашу систему делать что угодно, в значительной степени. Однако во многих случаях эти виды ботнетов используются для распространения спам-кампаний, таких как рассылка миллионов спам-писем.

Их можно использовать для запуска DDOS-атак, поэтому ваша система начинает атаковать другие системы и пытается их остановить. И во многих причинах такого рода бот-сети создают основу для новых кампаний по вымогательству, где преступные группы-вымогатели платят пастухам-ботнетам за загрузку вымогателей на компьютеры всех их жертв и просто запускают их там и шифруют все данные ».

Потенциально нежелательные программы или щенки являются еще одной большой проблемой для домашних пользователей. Это дополнительные программы, которые поставляются в комплекте с бесплатными установщиками программного обеспечения и часто подключаются к вашему веб-браузеру с помощью панелей поиска и значков и могут изменить вашу домашнюю страницу и поисковую систему по умолчанию.

Wosar отмечает, что они не являются технически незаконными, потому что часто есть способ избежать их при установке необходимого вам программного обеспечения, Windows научила нас просто нажимать «Далее», «Далее», «Далее», не обращая особого внимания.

Угрозы бизнесу

Это другая история для бизнес-пользователей, которые все еще сталкиваются с серьезной угрозой со стороны вымогателей. «Кампании вымогателей там работают совсем не так, как для домашних пользователей». говорит Восар. «Для домашних пользователей кампании-вымогатели являются частью крупных спам-кампаний, где вредоносные программы только что были разосланы сотням и тысячам пользователей, и [авторы] просто надеются, что кто-то достаточно легковерен, чтобы открыть вложение и запустить все, что было прикреплено. на электронную почту.

«Для бизнеса вымогательство часто является целью. Это означает, что люди пытаются атаковать вашу компанию в частности. Они будут искать слабые места в вашей защите, например, когда дело доходит до интернет-услуг. Обычно это делается с помощью небезопасных функций удаленного управления, например, RDP (Remote Desktop Protocol) ».

Малые предприятия без собственных ИТ-отделов часто передают его другим компаниям, которые устанавливают программное обеспечение для удаленного управления на серверы своих клиентов. Это означает, что им не нужно отправлять технического специалиста каждый раз, когда клиенту нужна помощь, но часто удаленные точки доступа плохо защищены. Слабые пароли, стандартные учетные записи пользователей, учетные записи с большим количеством прав, чем необходимо, и непатентованное программное обеспечение. все это серьезные риски.

Для бизнеса вымогателей часто нацелены. Это означает, что люди пытаются атаковать вашу компанию в частности. Они будут искать слабые места в вашей защите

Фабиан Восар, Эмсисофт

«Эти банды-вымогатели ищут плохо защищенные точки удаленного доступа, в частности, в службах, и, как только они войдут на сервер, они попытаются оттуда перейти на другие системы в локальной сети». говорит Восар. «И если это не удастся, они просто начнут шифровать весь сервер».

Выкуп также обычно намного выше для бизнеса, потому что авторы вымогателей (часто справедливо) предполагают, что у них больше денег. Потенциально, это гораздо выгоднее, чем нацеливание на домашних пользователей.

«Предприятиям также всегда приходится иметь дело с APT. продвинутыми, постоянными угрозами от часто спонсируемых государством групп, которые пытаются, в частности, украсть секреты компании и получить все виды других преимуществ и идей». говорит Восар.

«Я не думаю, что мы увидим много крупных APT в ближайшие годы. в основном потому, что многие из этих крупных кампаний были раскрыты за последние несколько лет. APT будут и впредь представлять угрозу для бизнеса, но они будут стараться скрывать от радаров еще больше целевых атак и небольших кампаний, чтобы убедиться, что все их инструменты и специализированное вредоносное ПО не просочились.

Другая большая угроза для бизнеса. это фишинг. версия фишинга, которая нацелена на конкретный бизнес и даже на отдельного человека, используя собранные данные, чтобы сделать атаку более правдоподобной.

«Классическим примером являются люди, имитирующие генерального директора компании и рассылающие электронные письма сотрудникам бухгалтерии с просьбой перевести деньги для оплаты фиктивных счетов». говорит Восар. «Но такого рода атаки также работают, когда дело доходит до проникновения в компании и заставить владельца компании запускать вредоносные программы в своей системе. Таким образом, одним из распространенных методов является скрытие вредоносных программ внутри приложений. Вы хотите нанять новых сотрудников и получить предложения о работе, и люди отправляют свои приложения с вредоносным ПО, скрытым внутри.

«Эти типы атак более распространены для бизнеса в наши дни, и это, вероятно, те, которые компании хотят остерегаться больше всего».

Как защитить ваши файлы

Все, что нужно знать о вымогателях в 2019 году

«Резервные копии, резервные копии, резервные копии. говорит Восар. «Антивирусное программное обеспечение (и даже Windows как операционная система) прошло долгий путь, когда дело доходит до обнаружения и предотвращения атак вымогателей, поэтому это очень полезная форма защиты, но резервное копирование полезно не только для вымогателей, но и помогает вам во всех других ситуациях. Например, что если ваш жесткий диск выйдет из строя?

При резервном копировании ваших файлов Wosar ссылается на правило три, два, одно. У вас должно быть три копии ваших данных, которые должны храниться на двух разных устройствах, на двух типах хранилищ, и одна из них должна быть вне сайта.

Читайтек так же

Какие телефоны 5G появятся в 2019 году... - Все телефоны 5G, о которых мы слышали до сих пор В ближайшие несколько месяцев будут представлены различные телефоны 5G, а также новые сети 5G, которые, как мы уверены, также начнут выпускаться к середине года. Samsung уже анонсировала Samsung S10 5G, а также есть 5G версия Galaxy Fold. Мы также увидим намного больше устройств 5G, которые увидя...
MWC 2019 Lenovo Tab V7 с 5, 180 мАч аккумулятором,... Штат сотрудников Опубликовано: 25 февраля 2019 15:20 IST Он поступит в продажу в апреле 2019 года. В то время как Lenovo Tab V7 представляет большой 6,9-дюймовый дисплей, который хорошо подходит для наблюдения за выпивкой, он может бороться с тяжелыми играми, поскольку он построен на устаревшем чипсете Qualcomm Snapdragon 450 , Набор из вос...
5G на MWC 2019 Немного магии, немного дыма и зерка... Трудно показать, зачем нам на самом деле нужен 5G в наших телефонах сейчас, как стараются все в мобильной индустрии. Доктор Антонио де Лейси, руководитель службы желудочно-кишечной хирургии в больничной клинике Барселоны, руководит командой, проводящей настоящую операцию с MWC 2019. Желтую линию на экране в операционной комнате сделал де Ласи со в...

Для домашнего пользователя это может означать, что ваша коллекция фотографий будет находиться на внутреннем жестком диске вашего компьютера, затем будет делать резервное копирование по расписанию на внешний жесткий диск и синхронизировать эти резервные копии с такими службами, как Dropbox, OneDrive или Google Drive.

«Поддержание ваших систем в актуальном состоянии очень важно, особенно в бизнесе, особенно в тех системах, к которым можно напрямую обращаться из Интернета». говорит Восар. «WannaCry, например, был очень популярным семейством вымогателей, которое использовало общедоступные эксплойты для эксплуатации систем, в частности серверов, которые были доступны из Интернета. Люди не установили патч, поэтому они заразились буквально через несколько минут после подключения к Интернету ».

Не устанавливая необходимое исправление для системы безопасности, предприятия оставались уязвимыми для WannaCry

Если вы используете компанию для удаленного управления своими ИТ-системами, важно максимально уменьшить поверхность атаки. Убедитесь в наличии надлежащих политик паролей и убедитесь, что пароли длинные, сложные и не используются повторно на разных сайтах.

«По крайней мере, переключитесь с порта по умолчанию с порта RDP по умолчанию на другой, чтобы ваша система не включалась автоматически при простом сканировании порта, сообщая извне, что этот сервер использует RDP». говорит Восар.

«Когда дело доходит до этих сценариев аутсорсинга, зачастую просто не обязательно, чтобы RDP был доступен для всего Интернета. В идеале, он должен быть доступен только для аутсорсинговой компании, которую вы попросили позаботиться о ваших системах, поэтому воспользуйтесь правилами брандмауэра, чтобы ограничить доступ к вашим серверам и, в частности, к удаленным точкам доступа, чтобы заблокировать их настолько, насколько это необходимо возможный.

Как расшифровать ваши файлы

Если ваши файлы зашифрованы, самое главное. не удалять исполняемый файл вымогателя. как бы это не интуитивно звучало. Можно отключить его, поместив в карантин и отключив ссылки автозапуска, чтобы он не запускался автоматически, но не избавлялся от него вообще.

«Первым шагом в попытке выяснить, можно ли расшифровать ваши файлы без уплаты выкупа, является изучение исполняемого файла вымогателя, чтобы выяснить, что именно он сделал с вашими файлами». говорит Восар. «И это становится намного труднее, когда люди удаляют инфекцию, потому что тогда вы должны попытаться найти файлы из одного вымогателя из миллионов и миллионов файлов вымогателя, которые зашифровали ваши данные, что делает весь процесс намного сложнее ».

Если у вас нет резервной копии исходных файлов, он рекомендует создать один из зашифрованных файлов. как бы странно это ни звучало.

«У нас было довольно много случаев, когда после прекращения кампании вымогателей авторы вымогателей выпускали ключи бесплатно. Так что если вам не нужен доступ к вашим файлам сразу, или если вы находитесь в ситуации, когда было бы неплохо вернуть ваши файлы, но для вас также не так важно, что вы готовы потратить деньги на получение их обратно, чтобы просто хранить зашифрованные файлы в ваших резервных копиях ».

Вы также можете расшифровать свои файлы, если правоохранительные органы могут захватить серверы преступников, как это происходило несколько раз в прошлом.

Первым шагом в попытке выяснить, можно ли расшифровать ваши файлы без уплаты выкупа, является поиск исполняемого файла вымогателя, чтобы выяснить, что именно он сделал с вашими файлами.

Фабиан Восар, Эмсисофт

Если вы пострадали от вымогателей, вы можете обнаружить, что есть несколько компаний, которые утверждают, что могут восстановить зашифрованные данные, независимо от заражения. Тем не менее, они не всегда выглядят так, как кажутся, и многие работают как посредники, забирая ваши деньги и передавая их авторам вымогателей.

У Wosar нет проблем с этими компаниями, если они очень прозрачны в том, что они делают. по сути, выполняя потенциально сложный шаг получения биткойна для выплаты выкупа и обработки дешифрования.

«Я не против, если они откровенны об этом. говорит он. но многие люди этого не делают, и многие люди платят этим компаниям кучу денег, думая:« О, но, по крайней мере, Автор вымогателей не получает деньги, но на самом деле они получают. Вы только что заплатили выкуп и некоторые дополнительные за компанию по восстановлению данных.

«Вы также должны иметь в виду, что владельцы этих кампаний-вымогателей фактически предлагают своего рода партнерскую программу для этих компаний по восстановлению данных. Так что, если вы убеждаете своих клиентов платить вымогателей, [авторы] берут только 60%, а вы оставляете остальные 40%, и вы можете либо сдать их, чтобы ваш сервис выглядел более законно, запрашивая меньше, чем вымогатель. Автор сделал, или просто принять это как бонус. это прибыль для вас ».

К Восару даже обращались авторы, спрашивающие, может ли он проигнорировать их кампанию по вымогательству в обмен на долю прибыли, или предложившие сказать жертвам, что нет другой альтернативы, кроме как заплатить, и предложив ему партнерскую ссылку.

Жертвам даже предлагают скидки, если они оставляют положительные отзывы на форумах поддержки, таких как BleepingComputer, заверяя других пользователей, что они вернут свои файлы, если заплатят.

Emsisoft выпустила бесплатное программное обеспечение для расшифровки для многих распространенных типов вымогателей (вместе с подробностями, которые помогут вам определить тип зараженного вами), а также пошаговое руководство по его безопасному удалению.

Если для вашей инфекции нет расшифровщика, на форумах Emsisoft предлагается бесплатная служба первой помощи вымогателей (даже если вы не являетесь клиентом Emsisoft). Проверьте этот пост для процедуры, которой вы должны следовать.