Меню
Бесплатно
Регистрация
Главная  /  Прошивка  /  Новый вирус шифровальщик защита. WannaCry: как защититься от вируса-шифровальщика

Новый вирус шифровальщик защита. WannaCry: как защититься от вируса-шифровальщика

Вкратце: Для защиты данных от вирусов-шифровальщиков можно использовать зашифрованный диск на основе крипто-контейнера, копию которого необходимо держать в облачном хранилище.

  • Анализ криптолокеров показал что они шифруют только документы и файл контейнер от зашифрованного диска не представляет интерес для Криптолокеров.
  • Файлы внутри такого крипто-контейнера недоступны для вируса, когда диск отключен.
  • А поскольку Зашифрованный Диск включается только в момент когда необходимо поработать с файлами, то высока вероятность что криптолокер не успеет его зашифровать либо обнаружит себя до этого момента.
  • Даже если криптолокер зашифрует файлы на таком диске, вы сможете легко восстановить резервную копию крипто-контейнера диска из облачного хранилища, которая автоматически создается раз в 3 дня или чаще.
  • Хранить копию контейнера диска в облачном хранилище безопасно и легко. Данные в контейнере надежно зашифрованы а значит Google или Dropbox не смогут заглянуть внутрь. Благодаря тому что крипто-контейнер это один файл, закачивая его в облако вы на самом деле закачиваете все файлы и папки которые внутри него.
  • Крипто-контейнер может быть защищен не только длинным паролем но и электронным ключем типа rutoken с очень стойким паролем.

Вирусы-шифровальщики (ransomware) такие как Locky, TeslaCrypt , CryptoLocker и криптолокер WannaCry предназначены для вымогания денег у владельцев зараженных компьютеров, поэтому их еще называют «программы-вымогатели». После заражения компьютера вирус шифрует файлы всех известных программ (doc, pdf, jpg…) и затем вымогает деньги за их обратную расшифровку. Пострадавшей стороне скорее всего придется заплатить пару сотен долларов чтобы расшифровать файлы, поскольку это единственный способ вернуть информацию.

В случае если информация очень дорога ситуация безвыходная, и усложняется тем что вирус включает обратный отсчет времени и способен самоликвидироваться не дав вам возможности вернуть данные если вы будете очень долго думать.

Преимущества программы Rohos Disk Encryption для защиты информации от крипто-вирусов:

  • Создает Крипто-контейнер для надежной защиты файлов и папок.
    Используется принцип ширования на лету и стойкий алгоритм шифрования AES 256 Бит.
  • Интегрируется с Google Drive, Dropbox, Облако Mail.ru , Yandex Диск.
    Rohos Disk позволяет данным службам переодически сканировать крипто-контейнер и загружать в облако только изменения зашифрованных данных благодаря чему облако хранит несколько ревизий крипто-диска.
  • Утилита Rohos Disk Browser позволяет работать с крипто-диском так чтобы другие программы (в том числе и вирусы) не имели доступа к этому диску.

Крипто-контейнер Rohos Disk

Программа Rohos Disk создает крипто-контейнер и букву диска для него в системе. Вы работаете с таким диском как обычно, все данные на нем автоматически шифруются.

Когда крипто-диск отключен он недоступен для всех программ, в том числе и для вирусов шифровальщиков.

Интеграция с облачными хранилищами

Программа Rohos Disk позволяет разместить крипто-контейнер в папке службы облачного хранилища и периодически запускать процесс синхронизации крипто-контейнера.

Поддерживаемые службы: Google Drive, Dropbox, Облако Mail.ru , Yandex Диск.

В случае если крипто-диск был включен, произошло заражение вирусом и вирус начал шифровать данные на крипто-диске у вас есть возможность восстановить образ крипто-контейнера из облака. Для сведения — Google Drive и Dropbox способны отслеживать изменения в файлах (ревизии), хранят только измененные части файла и поэтому позволяют восстановить одну из версий крипто-контейнера из недалекого прошлого (обычно это 30-60 дней в зависимости от свободного места на Google Drive).

Утилита Rohos Disk Browser

Rohos Disk Browser позволяет открывать крипто-контейнер в режиме проводника без того чтобы делать диск доступным на уровне драйвера для всей системмы.

Преимущества такого подхода:

  • Информация с диска отображается только в Rohos Disk Browser
  • Никакое другое приложение не может получить доступ к данным с диска.
  • Пользователь Rohos Disk Browser может добавлять файл или папку, открыть файл и делать другие операции.

Полная защита данных от вредоносных программ:

  • Файлы не доступны другим программам в том числе компонентам Windows.

Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.

Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать .

Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.

Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.

Что делать, если вы стали жертвой WannaCry?

Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:

  • Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
  • Поменяйте драйвера.
  • Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
  • Обновите операционную систему и все остальное ПО.
  • Обновите и запустите антивирусник.
  • Повторно подключитесь к сети.
  • Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.

Важно!

Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.

Стоит ли платить деньги злоумышленникам?

Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус . Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.

Но NCA настойчиво призывает не платить деньги . Если же вы все-таки решитесь это сделать, то имейте в виду следующее:

  • Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
  • Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
  • В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.

Как защититься от WannaCry?

Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:

Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось, либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.

У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.

Что именно можно и необходимо предпринять на данный момент:

1. Установить последние обновления.

Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать .

2. Сделать резервные копии важной информации.

3. Быть внимательными при работе с почтой и сетью интернет.

Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.

Продолжает свое угнетающее шествие по Сети, заражая компьютеры и шифруя важные данные. Как защититься от шифровальщика, защитить Windows от вымогателя – выпущены ли заплатки, патчи, чтобы расшифровать и вылечить файлы?

Новый вирус-шифровальщик 2017 Wanna Cry продолжает заражать корпоративные и частные ПК. Ущерб от вирусной атаки насчитывает 1 млрд долларов . За 2 недели вирус-шифровальщик заразил по меньшей мере 300 тысяч компьютеров , несмотря на предупреждения и меры безопасности.

Вирус-шифровальщик 2017, что это - как правило, можно «подцепить», казалось бы, на самых безобидных сайтах, например, банковских серверах с доступом пользователя. Попав на жесткий диск жертвы, шифровальщик «оседает» в системной папке System32 . Оттуда программа сразу отключает антивирус и попадает в «Автозапуск ». После каждой перезагрузки программа-шифровальщик запускается в реестр , начиная свое черное дело. Шифровальщик начинает скачивать себе подобные копии программ типа Ransom и Trojan . Также нередко происходит саморепликация шифровальщика . Процесс этот может быть сиюминутным, а может происходить неделями – до тех пор, пока жертва заметит неладное.

Шифровальщик часто маскируется под обычные картинки, текстовые файлы , но сущность всегда одна – это исполняемы файл с расширением.exe, .drv, .xvd ; иногда – библиотеки.dll . Чаще всего файл несет вполне безобидное имя, например «документ. doc », или «картинка.jpg », где расширение прописано вручную, а истинный тип файла скрыт .

После завершения шифровки пользователь видит вместо знакомых файлов набор «рандомных» символов в названии и внутри, а расширение меняется на доселе неизвестное - .NO_MORE_RANSOM, .xdata и другие.

Вирус-шифровальщик 2017 Wanna Cry – как защититься . Хотелось бы сразу отметить, что Wanna Cry – скорее собирательный термин всех вирусов шифровальщиков и вымогателей, так как за последнее время заражал компьютеры чаще всех. Итак, речь пойдет о защите от шифровальщиков Ransom Ware, коих великое множество: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry .

Как защитить Windows от шифровальщика. EternalBlue через протокол SMB портов .

Защита Windows от шифровальщика 2017 – основные правила:

  • обновление Windows, своевременный переход на лицензионную ОС (примечание: версия XP не обновляется)
  • обновление антивирусных баз и файрволлов по требованию
  • предельная внимательность при скачивании любых файлов (милые «котики» могут обернуться потерей всех данных)
  • резервное копирование важной информации на сменный носитель.

Вирус-шифровальщик 2017: как вылечить и расшифровать файлы.

Надеясь на антивирусное ПО, можно забыть о дешифраторе на некоторое время . В лабораториях Касперского, Dr. Web, Avast! и других антивирусов пока не найдено решение по лечению зараженных файлов . На данный момент есть возможность удалить вирус с помощью антивируса, но алгоритмов вернуть все «на круги своя» пока нет.

Некоторые пытаются применить дешифраторы типа утилиты RectorDecryptor , но это не поможет: алгоритм для дешифровки новых вирусов пока не составлен . Также абсолютно неизвестно, каким образом поведет себя вирус, если он не удален, после применения таких программ. Часто это может обернуться стиранием всех файлов – в назидание тем, кто не хочет платить злоумышленникам, авторам вируса.

На данный момент самым эффективным способом вернуть потерянные данные – это обращение в тех. поддержку поставщика антивирусной программы, которую вы используете . Для этого следует отправить письмо, либо воспользоваться формой для обратной связи на сайте производителя. Во вложение обязательно добавить зашифрованный файл и, если таковая имеется – копия оригинала. Это поможет программистам в составлении алгоритма. К сожалению, для многих вирусная атака становится полной неожиданностью, и копий не находится, что в разы осложняет ситуацию.

Кардиальные методы лечения Windows от шифровальщика . К сожалению, иногда приходится прибегать к полному форматированию винчестера, что влечет за собой полную смену ОС. Многим придет в голову восстановление системы, но это не выход – даже есть «откат» позволит избавиться от вируса, то файлы все равно останутся зашированными.

Мир киберпреступлений эволюционирует от количества к качеству: новых вредоносных программ становится меньше, зато их сложность повышается. В гонку хакерских технологий включились государственные спецслужбы, что подтвердил крупнейший инцидент 2016-2017 гг., связанный с утечкой кибервооружений из АНБ. Хакерам понадобились считанные дни, чтобы использовать попавшие в открытый доступ разработки спецслужб в мошеннических целях. Громкие инциденты в области ИБ привлекли внимание к проблеме защиты данных, и глобальный рынок средств защиты информации продолжает расти высокими темпами.

На данный момент рост киберпреступности в целом не столь значителен, каким он был в 2007-2010 гг. «В тот период времени количество создаваемых вредоносных программ, росло действительно по экспоненте, в сотни и тысячи раз превышая показатели предыдущих лет. В последние года мы вышли на «плато», и ежегодные цифры за последние три года стабильны», – рассказывает Юрий Наместников , руководитель российского исследовательского центра «Лаборатории Касперского». «В то же время наблюдается сразу несколько интересных процессов, которые в сумме и дают ощущение большего размаха действий хакеров», – отмечает собеседник CNews.

Среди трендов 2016-2017 гг. прежде всего следует отметить значительное увеличение числа «state-sponsored» атак, которые имеют своей целью шпионаж или критическое повреждение инфраструктуры. В области традиционной киберспреступности наибольшее развитие получили сложные таргетированные атаки против крупных компаний и финансовых институтов, которые разрабатываются с учетом уникального ландшафта ИТ-инфраструктуры конкретной организации. Кроме того, большой популярностью у злоумышленников пользуются программы-вымогатели, требующие выкуп за дешифровку данных. «В сумме эти процессы дают ощущение большего размаха действий хакеров», – комментирует Юрий Наместников.

Утечка из АНБ привела к эпидемии

Из событий в области ИБ, прежде всего, обратил на себя внимание скандал, связанный с вмешательством хакеров в выборы в США. На рынок ИБ влияет не только экономика, но и геополитическая обстановка в мире, утверждает Илья Четвертнев , заместитель технического директора компании «Информзащита»: «Ярким примером стали последние выборы президента США, которые показали, насколько взлом информационных систем могут повлиять на страну в целом. Поэтому в настоящее время к классическим объектам атак добавилась критическая инфраструктура предприятий с целью промышленного шпионажа».

Кроме того, в 2016 г. хакеры из группы Shadow Brokers похитили из американской АНБ (NSA, National Security Agency) секретные инструменты для взлома компьютерных сетей, при этом источник утечки до сих пор . Некоторые из разработок попали в открытый доступ, что привело к печальным последствиям. В мае 2017 г. разразилась эпидемия вредоносного червя WannaCry, который распространяется с помощью разработанного в АНБ эксплойта EternalBlue, использующего ранее неизвестную уязвимость в ОС Windows. WannaCry шифрует данные на зараженном компьютере и требует выкуп в криптовалюте. В общей сложности заражению подверглись сотни тысяч компьютеров по всему миру.

Нехватка цифровой гигиены

По словам Максима Филиппова , директора по развитию бизнеса Positive Technologies в России, после публикации нового эксплойта проходит всего 2–3 дня перед тем, как он будет использован киберпреступниками: «После утечки архивов АНБ очень многие взяли на вооружение опубликованные техники и тактики, а в результате они будут использоваться чаще и модифицироваться злоумышленниками, в том числе и для более эффективного «заметания» следов».

«Злоумышленники смещают фокус с уязвимостей в приложениях на уязвимости в операционных системах, – комментирует технический директор компании «Код безопасности» Дмитрий Зрячих . – Информация об этих уязвимостях добывается спецслужбами, а потом утекает на свободный рынок. Причем проблема остается даже после выхода обновлений для базового ПО: за три месяца до эпидемии WannaCry Microsoft выпустил патч, предотвращающий заражение, но несмотря на это WannaCry заразил более 500 тысяч компьютеров по всему миру».

Проблема заключается в том, что многие пользователи игнорируют обновления и не устанавливают их вовремя. Директор центра ИБ «Инфосистемы Джет» Алексей Гришин отмечает негативное влияние человеческого фактора: «Компании зачастую забывают о базовой безопасности, так называемой цифровой гигиене: управлении обновлениями и уязвимостями, антивирусной защите, минимизации прав пользователей, разумном управлении правами доступа и т.п. В таких условиях не спасают даже новейшие системы безопасности».

Кроме того, современным компаниям не всегда удается правильно организовать права доступа тех или иных пользователей. «Неконтролируемый доступ привилегированных пользователей (как внутренних, так и внешних: подрядчиков, службы поддержки, аудиторов и т.д.) может привести к серьезным последствиям. Заказчики делились случаями, когда их инфраструктуры практически выходили из-под их влияния по причине всемогущества подрядчиков и отсутствия правильной организации их работы», – рассказывает Олег Шабуров , руководитель департамента кибербезопасности группы компаний Softline.

Бум шифровальщиков

WannaCry оказалась не единственной программой-вымогателем, получившей известность в 2016-2017 г. Ранее получили распространение вредоносные утилиты Petya и BadRabbit, которые также шифруют данные на ПК и требует выкуп в биткойнах за доступ к ним. При этом атаки с использованием BadRabbit носили более таргетированный характер, поражая в основном компьютеры на объектах инфраструктуры на Украине.

По данным «Лаборатории Касперского», за прошедший год программами-шифровальщиками были атакованы 32% российских компаний, причем в 37% из них были зашифрованы значительные объемы данных. Потеряли все свои ценные данные либо так и не сумели восстановить доступ к значительной их части 31% компаний. А заплатить выкуп предпочли 15% опрошенных компаний (хотя это и не гарантирует возвращение файлов). «Основная проблема с шифровальщиками и вымогателями сегодня заключается в том, что зачастую жертвы соглашаются заплатить злоумышленникам, так как не видят другого способа вернуть доступ к своим ценным данным», – комментирует Юрий Наместников.

Инвестиции в ИБ растут

Последние полтора-два года были богаты на инциденты в области информационной безопасности, что способствовало росту инвестиций в защиту информационных систем. По данным IDC, по итогам 2017 г. глобальная выручка от поставок продуктов ИБ увеличится на 8,2% до $81,7 млрд. Сходные цифры приводят аналитики Gartner, они предсказывают рост на 7% до $86,4 млрд по итогам года. При этом сегмент ИБ развивается быстрее, чем рынок ИТ в целом: согласно оценке Gartner, глобальные траты на ИТ по итогам 2017 г. увеличатся только на 2,4%. Сходную динамику демонстрирует российский рынок: согласно данным рейтинга CNews Security, по итогам 2016 г. отечественные поставки ИБ увеличились на 8% в долларах и на 18%.

Объем глобального рынка ИБ в 2016 г. и прогноз на 2017 г., в $ млрд

12 апреля 2017 года появилась информация о стремительном распространении по всему миру вируса-шифровальщика под названием WannaCry, что можно перевести как «Хочется плакать». У пользователей появились вопросы про обновление Windows от вируса WannaCry.

Вирус на экране компьютера выглядит так:

Нехороший вирус WannaCry, который все шифрует

Вирус шифрует все файлы на компьютере и требует выкуп на кошелек Биткоина в сумме 300$ или 600$ для якобы расшифровки компьютера. Заражению подверглись компьютеры в 150 странах мира, самая пострадавшая – Россия.

Мегафон, РЖД, МВД, Минздрав и другие компании вплотную столкнулись с этим вирусом. Среди пострадавших есть и простые пользователи Интернета.

Перед вирусом практически все равны. Разница, пожалуй, в том, что в компаниях вирус распространяется по всей локальной сети внутри организации и мгновенно заражает максимально возможное количество компьютеров.

Вирус WannaCry шифрует файлы на компьютерах, использующих Windows. В компании Microsoft еще в марте 2017 года были выпущены обновления MS17-010 для различных версий Windows XP, Vista, 7, 8, 10.

Получается, что те, у кого настроено автоматическое обновление Windows, находятся вне зоны риска для вируса, ибо своевременно получили обновление и смогли его избежать. Не берусь утверждать, что так оно и есть на самом деле.

Рис. 3. Сообщение при установке обновления KB4012212

Обновление KB4012212 после установки потребовало перезагрузки ноутбука, что мне не очень понравилось, ибо неизвестно, чем это может закончиться, но куда деваться пользователю? Впрочем, перезагрузка прошла нормально. Значит, живем спокойно до следующей вирусной атаки, а что такие атаки будут – сомневаться, увы, не приходится.


В любом случае, важно иметь , чтобы было откуда восстанавливать операционную систему и свои файлы.

Обновление Windows 8 от WannaCry

Для ноутбука с лицензионной Windows 8 было установлено обновление KB 4012598, ибо