Атаки вирусов-вымогателей
Атаки вирусов-вымогателей
Вирусы WannaCry, Petya и Bad Rabbit
Авторы проекта
Нурмухаметов Станислав
Наместникова Алёна
Вирусы-Вымогатели
Тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нём данных, а затем требует от жертвы выкуп для восстановления исходного состояния.
В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:
- шифрование файлов в системе
- блокировка или помеха работе в системе
- блокировка или помеха работе в браузерах
После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.
- уязвимости веб-браузеров ;
- уязвимости клиентов электронной почты;
- уязвимости операционной системы;
- скачивание вредоносного контента с заражённых веб-сайтов;
- через ботнет;
- через игровые серверы (Trojan-Ransom.Win32.CiDox);
- с помощью фишинга и вишинга
- регулярное резервное копирование важных файлов;
- наличие на компьютере антивируса уровня Internet Security со свежими базами;
- проверка антивирусом всех новых программ перед их первым запуском;
- запуск подозрительных программ в виртуальной среде («безопасная среда», «песочница»), если антивирус предоставляет такую возможность;
- регулярное обновление компонентов операционной системы (Windows Update);
- презумпция виновности и предвзятости ко всем получаемым бинарным файлам любым способом.
WannaCry
Вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая компьютеры под управлением операционной системы Microsoft Windows.
Принцип работы
WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.
Авторство программы
Хакерская группировка The Shadow Brokers.
Ущерб
По оценкам экспертов, за первые дни кибератаки пострадали около 300 тысяч пользователей в 150 странах мира. Общий ущерб оценён в сумму 1 млрд долларов.
Оценки
Международный хакерский конгломерат «Анонимус» высказал своё возмущение деятельностью создателей червя WannaCry в связи с тем, что этим червём были поражены компьютерные сети публичных и медицинских учреждений.
EternalRocks
Хорватский эксперт по кибербезопасности Мирослав Стампар с помощью системы Honeypot обнаружил новую вредоносную программу-червя под названием «EternalRocks», которая использует семь украденных у АНБ хакерских инструментов и делает компьютеры, работающие на ОС Windows, уязвимыми для будущих атак, которые могут случиться в любое время. При этом данный червь маскируется под WannaCry с целью запутать исследователей.
Массовое распространение
Массовое распространение WannaCry началось 12 мая 2017 года. В общей сложности, за короткое время от червя пострадало 500 тысяч компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более 200 странах мира.
Bad Rabbit
Вирус-шифровальщик, разработанный для ОС семейства Windows, обнаруженный 24 октября 2017 года. Программа имеет сходство отдельных фрагментов с вирусом NotPetya.
Принцип работы
Попадая на компьютер, вредоносная программа шифрует файлы системы и данные пользователя, блокируя доступ к компьютеру посредством пароля. Все, что отображается на экране, – это окно вируса, требования злоумышленника и номер счета, на который тот требует перевести деньги для разблокировки.
История
24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов.
Оценки
Согласно оценке Symantec вирус получил статус низкой угрозы. По утверждению специалистов был создан теми же разработчиками, что и вирусы, обнаруженные за пару месяцев до Bad Rabbit, NotPetya и Petya, поскольку имеет схожие алгоритмы работы.
Petya
Вредоносная программа и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Вирус был обнаружен в марте 2016 года.
Принцип работы
Программа шифрует файлы на жёстком диске компьютера, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске. Уплата выкупа является бесполезной, так как версия Petya 2017 года не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно.
Ущерб
Впервые вирус Petya был обнаружен в марте 2016 года. Хотя принцип его работы был похож на другие известные вирусы того времени, его поведение заметно отличалось, благодаря чему Petya «был отмечен как следующий шаг в развитии программ-вымогателей»
27 июня 2017 года началась масштабная атака новой модификации этой программы. Для восстановления доступа к данным требовалось отправить хакерам 300 долларов в биткойнах, но вернуть систему к работе было уже нельзя.
Атаке подверглись энергетические компании, госбанки, и другие организации по всему миру.
27 июня 2017 года началась масштабная атака новой модификации этой программы. Для восстановления доступа к данным требовалось отправить хакерам 300 долларов в биткойнах, но вернуть систему к работе было уже нельзя.
Атаке подверглись энергетические компании, госбанки, и другие организации по всему миру.
Цель атаки
По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба разным сферам.
Ссылки на дополнительные источники
Изображения подготовлены с помощью нейросети Kandinsky 2.2 от Сбера:
https://www.sberbank.com/promo/kandinsky/
https://www.sberbank.com/promo/kandinsky/
