Как определить вирус шифровальщик

Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder)

Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder) появились еще в 2005 году вместе с вымогателями. Сейчас криптовирусы обладают более качественным кодом, более серьезными и сложными методами работы и в целом представляют большую опасность, чем раньше. Попав в систему, они зашифровывают все пользовательские файлы или их часть, требуя выкуп за ключ расшифрования или специальную программу-декриптор. Многие создатели шифровальщиков используют для оплаты биткойны, чтобы избежать отслеживания и обнаружения. В 2016 году был замечен огромный всплеск активности таких инфекций; «Лаборатория Касперского» назвала шифровальщики главной темой в информационной безопасности этого года.

Классификация вирусов-шифровальщиков

Поскольку шифровальщики относятся к вредоносным программам, для них справедливы те же типовые классификационные основания, что и для других образцов опасного кода. Например, можно подразделять их по способу распространения: через фишинговые или спам-рассылки, загрузку зараженных файлов, использование файлообменных сервисов и т.д. Преобразовав файлы пользователя, вирус-шифровальщик (virus-encoder) обычно оставляет инструкцию: в виде фона рабочего стола, как текстовый документ на рабочем столе или в каждой папке с зашифрованными файлами.

Предполагается, что после выплаты выкупа пользователь получит подробные инструкции по расшифровке файлов либо специальную утилиту для обратного криптографического преобразования. В среднем шифровальщики требуют за разблокировку 300 долларов США, но не все из них действительно восстанавливают файлы после оплаты. Например, некоторые образцы имеют ошибки в криптопроцедурах, делающие расшифрование невозможным, или вообще не содержат соответствующих функций. Больше всего шифровальщиков написано для операционных систем Windows и Android, хотя существуют разновидности и для macOS или Linux.

Объект воздействия вирусов-шифровальщиков

Обычно целями этих специфических вымогателей являются небольшие организации, но были случаи атак и на крупные компании. Потому создание шифровальщиков — очень прибыльное дело. Так, создатели CryptoLocker в период с октября по декабрь 2013 года заработали около 27 миллионов долларов. Подробнее об их деятельности можно прочитать в статье «Check Point заблокировала кибервымогателя Cryptolocker » .

Тем не менее, объектом воздействия могут быть и персональные компьютеры обычных пользователей. В связи с этим полезно помнить, что заражение криптовирусом проще предупредить, чем вылечить:

1. Делайте резервные копии важных файлов. Желательно размещать их в облачном хранилище или на внешнем накопителе, который обычно отключен от компьютера.
2. Не открывайте подозрительные файлы или ссылки в электронных письмах.
3. Скачивайте программы только с сайта разработчика или с проверенных ресурсов.
4. Установите себе на компьютер хороший антивирус. Некоторые антивирусные решения предлагают проактивную защиту от вымогателей: например, функция защиты папок с важными данными от любых изменений на уровне файловой системы недавно появилась во встроенном антивирусе Windows Defender.

Если же вы все-таки заразились шифровальщиком, вам может помочь только одно — декриптор, т.е. специальное средство расшифрования. В некоторых случаях его можно найти (и бесплатно скачать) на сайтах производителей антивирусов.

Источник угрозы

Вирусы-шифровальщики распространяются так же, как и любые другие программы-вымогатели. Методы и способы их доставки жертве постепенно усложняются: злоумышленники маскируют их под официальное приложение банка, новую версию известного ПО (зафиксированы даже случаи, когда шифровальщики устанавливались под видом обновления Adobe Flash Player или Oracle Java). Однако самым популярным способом распространения шифровальщиков остается спам.

Анализ риска

В 2016 году произошел всплеск активности шифровальщиков, отголоски которого заметны до сих пор. Современный уровень развития технологий дает возможность легко зашифровать файлы с помощью сверхстойких алгоритмов, расчетное время взлома которых превышает время жизни Вселенной. В ряде случаев производителям антивирусного ПО удается найти изъяны, позволяющие создать декриптор, но иногда восстановление данных оказывается вообще невозможным. Поэтому риск потери важной и ценной информации при атаке шифровальщика очень велик.

Как уже говорилось, основными целями криптовирусов являются предприятия и организации: они более платежеспособны, чем рядовой пользователь. Поэтому в случае масштабной вирусной атаки распространите среди сотрудников информацию о ней и расскажите им о той роли, которую они играют в защите цифровых активов компании. Осведомленность коллег крайне важна. Прежде всего сообщите сотрудникам, что они ни при каких обстоятельствах не должны открывать файлы или переходить по ссылкам, если не знают источника. В случае сомнений им следует обращаться в ИТ-отдел.

В свою очередь, ИТ-специалисты могут использовать программные комплексы, позволяющие создать виртуальную клиентскую программу электронной почты. Это обеспечит защиту от заражения через ссылки в сообщениях или вложения. Используя такие программы в масштабах всей компании, можно гарантировать наличие всех необходимых настроек безопасности. Использование антивируса, технологии DLP (предотвращения утечек информации), «белых» списков и других защитных решений совместно с виртуальной клиентской программой электронной почты создаст дополнительные барьеры на пути инфекции.

Мобильные устройства представляют собой первоочередную цель для вредоносных программ. Использование технологии контейнеризации (containerization) позволяет предотвратить атаки на мобильные устройства за счет централизации операций по управлению, защите и контролю для приложений и данных, не затрагивая личную информацию пользователя. Cистемы виртуализации для мобильных устройств могут блокировать не соответствующие корпоративным требованиям гаджеты сотрудников, выполнять проверку отсутствия взлома («джейлбрейка») для установки пиратских или непроверенных приложений.

Важно и необходимо выполнять резервное копирование всей ценной информации с помощью сервисов синхронизации и обмена файлами: даже если вы заплатили злоумышленнику выкуп, у вас нет никаких гарантий, что данные будут восстановлены. Подобные сервисы хранят несколько версий одного файла, поэтому компании-клиенты могут восстановить доступ к нужной информации, не соглашаясь на условия злоумышленников.

Выявляем атаку вируса-шифровальщика, получаем доступ к контроллеру домена и пробуем противостоять этим атакам

WannaCry, NotPetya, BadRabbit и другие — вирусы-шифровальщики, которые гремели на весь мир ещё около года-двух назад. Сегодня об атаках таким типов вирусов шума меньше, но истории с атаками всё равно происходят. В этой статье я покажу один из инструментов для остановки атаки такого вируса: быстро выявить вторжение и локализовать проблему. Всё это при помощи инструмента для лог-аналити и защиты от вторжений Quest InTrust. Под катом скриншоты и ссылка на репозитории вредоносных скриптов. Погнали!

Quest InTrust — это интегрированное решение, которое включает в себя сбор разных типов логов, syslog-данных и готовых парсеров для разного типа оборудования. Здесь же есть предустановленные правила для выполнения действий в целях предотвращения атак. Сейчас подробнее со всем этим разберёмся на примерах разбора атаки вируса-шифровальщика и получения доступа к контроллеру домена

Атака вируса-шифровальщика

Принцип атаки — создание новых зашифрованных файлов или папок и удаление оригинальных. Ну а дальше запрос выкупа в биткоинах или другим способом. Определение такого типа атаки основано на выявлении массового удаления и создания файлов. Особенно если это происходит во внеурочное время.

Пара репозиториев с примерами скриптов шифрования

Для сбора событий по изменениям мы используем интеграцию с решением для аудита Quest Change Auditor (о нём уже писали в предыдущей статье и даже сравнивали с продуктом от конкурента). Для событий из этого источника в InTrust есть предустановленные правила для выявления аномалий. Конечно, сюда можно добавить любую логику обработки событий. В моём примере определено, что при массовом создании файлов (более 5 штук за 1 минуту) учётная запись пользователя будет блокирована и ему будет запрещён доступ к общим директориям.

В настройках политик указывается директория, на которую распространяется правило и список оповещаемых. Если в AD есть информация о подчинённости сотрудника, можно отправить письмо и его руководителю. Полезный кейс — выявление попыток доступа к файлам, которые, казалось бы, не нужны для исполнения обязанностей этим конкретным сотрудником. Особенно может быть актуально перед увольнением, когда хочется забрать с собой готовые наработки.

После проверки всех настроек, перейдём к заранее заготовленному скрипту-шифровальщику. И запустим его.

В настройках обнаружения атаки было указано «более 5 файлов», как видно, после 7 файла вирус был остановлен (заблокирован пользователь и отключен доступ к директории). Легко отделались. При этом ответственные сотрудники получили уведомления.

Атака на контроллер домена

Ниже будет сценарий атаки, который позволяет получить доступ к административной учётной записи и в итоге к контроллеру домена. Обнаружение исполнения специализированных зловредных командлетов (например, выгрузки учётных записей домена) тоже входят в список предустановленных правил Quest InTrust (первая строка в выделении на изображении ниже). Кроме этого, в моём примере указаны пользователи из «белого листа», на которые правила не распространяются (вторая строка в выделении на изображении ниже).

При помощи скрипта invoke-mimikatz включается создание дампа реквизитов учётных записей. При этом на файловой системе никаких файлов не создаётся. Для начала проверим имя учётной записи, под которой выполнен вход. Как видно, этот пользователь из «белого списка», который беспрепятственно может выполнять любые командлеты.

Затем выполним заранее заготовленный скрипт. На выходе получаем вывод, в котором находим реквизиты нашего тестового пользователя.

На следующем шаге выясняем в какие группы входит этот пользователь. Группы администраторов присутствуют.

Теперь узнаём имена контроллеров домена. В моём примере он один.

Следующий шаг потенциально возможной атаки — вход на контроллер домена. Остаётся ввести уже засвеченный пароль.

И получить доступ к исполнению любых команд на контроллере домена.

Теперь попробуем проделать тот же алгоритм действий, но уже от имени пользователя, который не был добавлен в «белый список» в InTrust. Для чистоты эксперимента проверяем имя пользователя. Затем выполняем сценарий invoke-mimikatz.

Среди действий, указанных в InTrust, были прерывание сессии терминального доступа и блокировка пользователя. Что и произошло.

Теперь проверим эту учётную запись ещё раз.

Атака предотвращена, пользователь заблокирован, мир спасён.

Если у вас есть свои политики борьбы с вторжениями различных типов — их также можно указать в InTrust. Вместе с другими продуктами Quest (Change Auditor и Enterprise Reporter) на базе InTrust можно построить полноценную SIEM систему для выявления и предотвращения тяжёлых последствий цифровых атак для бизнеса.

InTrust и другие продукты Quest можно попробовать в вашем окружении в рамках пилотного проекта. Оставьте заявку, чтобы узнать подробности.

Другие наши статьи по тэгу gals software.

• информационная безопасность
• аудит безопасности
• аудит изменений
• аудит active directory
• аудит файловых серверов
• аудит azure
• аудит exchange
• quest intrust
• intrust
• siem
• gals software

• Блог компании Gals Software
• Информационная безопасность
• IT-инфраструктура
• Софт

Вирусы-шифровальщики или вирусы-вымогатели

Вирус-шифровальщик, он же вирус-вымогатель — это программа, которая зашифровывает всю информацию на Вашем компьютере или сервере. Главная цель хакеров-создателей таких программ — получить от владельцев зараженных компьютеров выкуп за расшифровку информации.

Что такое вирус-шифровальщик

Вирус-шифровальщик, он же вирус-вымогатель — это программа, которая зашифровывает всю информацию на Вашем компьютере или сервере. Главная цель хакеров-создателей таких программ — получить от владельцев зараженных компьютеров выкуп за расшифровку информации. Зараженные компьютеры обычно демонстрируют почтовый адрес, через который можно связаться со злоумышленниками, которые за выкуп пришлют (а может быть, и не пришлют) дешифратор. Деньги обычно требуют в криптовалюте, например, в биткоинах. Сумма выкупа может быть различной. В практике БелАдминГрупп встречались суммы выкупа в размере от $300 до $5 000 в криптовалютном эквиваленте. Примечательно, что все “плохие парни”, с которыми мы имели дело, легко вели с нами переписку на русском языке!

Как вирус-шифровальщик попадает на Ваш компьютер или сервер?

• Настройка безопасного удаленного доступа к вашим серверам — используйте протоколы VPN вместо RDP и проверяйте закрытость вашего порта 3389.
• Создание резервных копий ваших баз данных, недоступных для проникновения через сеть. Например, каждый день делайте резервную копию и записывайте ее на флэшку или в облако. НО! Обращаем ваше внимание, что популярные облачные сервисы Google и Яндекс работают по принципу сетевой папки. Если вирусы или хакеры зашифровали данные на вашем компьютере, синхронизация с папками Google и Яндекс приведет к тому, что туда также будут записаны зашифрованные данные. БелАдминГрупп для хранения резервных копий баз данных клиентов использует облачные сервисы MicroSoft, которые защищены от удаления и несанкционированной перезаписи резервных копий.

Можно ли расшифровать файлы после вируса-шифровальщика

Зашифрованные файлы ещё можно спасти. Советы для тех кто хочет расшифровать файлы после вируса-шифровальщика.

Специфика этой проблемы в том, что далеко не всегда файлы поддаются расшифровке, а случаи выплат выкупа злоумышленникам всё ещё не единичны. Последний громкий случай — атака энкодеров на американскую компанию Colonial Pipeline, в результате которой оператор трубопровода выплатил хакерам огромную сумму в биткойнах, чтобы восстановить работоспособность своей инфраструктуры.

По большому счёту, каждый случай заражения энкодерами уникален: вероятность расшифровать файл после вируса-шифровальщика во многом зависит от его алгоритма работы, применяемых методов шифрования, наличия ошибок в коде трояна, возможности получить ключи шифрования и т. д.

В настоящее время по нашей статистике расшифровка поврежденных этими троянами файлов силами специалистов компании возможна менее чем в 1% случаев.

Но это не означает, что к расшифровке данных нельзя применять общие алгоритмы и добиваться высоких показателей по восстановлению испорченных файлов без необходимости выплачивать деньги злоумышленникам.

Так, в своё время «Доктор Веб» стал первой компанией, которой удалось разработать механизм, позволяющий с вероятностью в 90% восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398. Для этого была проведена серьёзная научно-исследовательская работа, длившаяся несколько месяцев, которая принесла свои плоды. До этого момента восстановление данных, испорченных этим шифровальщиком, считалось невозможным.

Другой пример — создание методики расшифровки файлов, которые были зашифрованы трояном-энкодером, печально известным как Vault (по классификации Dr.Web — Trojan.Encoder.2843). В 2015 году эта вредоносная программа активно распространялась при помощи почтовых рассылок. Для разработки «противоядия» принцип действия этого шифровальщика был досконально изучен, и в результате многие пользователи избавились от необходимости идти на поводу у вымогателей.

В 2016 году расшифровке стали поддаваться данные, поврежденные в результате действий вредоносной программы CryptXXX (Trojan.Encoder.4393), в 2017 — Trojan.Encoder.10465. В этих и многих других случаях пострадавшие пользователи могли обратиться в нашу службу технической поддержки, получить квалифицированную помощь специалистов и воспользоваться специально разработанными утилитами для расшифровки.

Отдельно отметим, что при столкновении с энкодерами важно соблюдать ряд мер, которые позволят не усугубить ситуацию и возможно расшифровать файлы после вируса-шифровальщика.

Как не усугубить ситуацию после работы вируса-шифровальщика?

Нельзя пытаться удалять какие-либо файлы с компьютера или переустановить ОС, а также пользоваться зараженным ПК до получения инструкций от профессионалов.

Если энкодер распространялся через электронную почту, письмо с вложением, после которого файлы оказались зашифрованы, также требуется сохранить. Если было запущено антивирусное сканирование, не следует предпринимать какие-либо действия по лечению или удалению обнаруженных вредоносных программ — они могут понадобиться специалистам в процессе поиска ключа для расшифровки файлов.

Что касается рекомендаций по защите от энкодеров, то они довольно просты. Во избежание заражения необходимо:

• использовать антивирус;
• устанавливать все обновления ОС и программ на компьютере;
• регулярно создавать резервные копии важных данных;
• не переходить по ссылкам, поступившим от неизвестных пользователей, в сообщениях электронной почты;
• не открывать файлы из сообщений от неизвестных отправителей;
• не пользоваться пиратским софтом.

Следите за новыми постами по любимым темам

Подпишитесь на интересующие вас теги, чтобы следить за новыми постами и быть в курсе событий.