Новости Software → Шифрование и защита данных
Главная новость

Дешифратор WannaCry создан, но не всё так просто

Чтобы уберечься от вируса-вымогателя WannaCry, нужно не так уж много — установить необходимые обновления для Windows (или специальный патч для систем, которые более не поддерживаются) и соблюдать простые правила безопасности в Сети. Однако что делать, если компьютер уже пострадал от вредоносной программы, и файлы на нём оказались зашифрованы, а их резервных копий нет? Платить киберпреступникам эксперты по безопасности категорически не советуют — во-первых, эти действия будут только поощрять злоумышленников; во-вторых, нет никакой гарантии, что таким способом можно действительно вернуть доступ к информации, и перечисленная сумма (а это не менее $300) не окажется потраченной зря. Впрочем, на сегодняшний день уже существуют программы, которые позволяют дешифровать закодированные вирусом данные без уплаты выкупа. Одна из них называется WannaKey, но работает она только под Windows XP. Французский исследователь Бенджамин Делпи (Benjamin Delpy) создал на её базе собственный инструмент, который называется WannaKiwi и подходит не только для Windows XP, но также и для Windows Server 2003 и Windows 7. Кроме того, теоретически приложение должно работать на Windows Vista, 2008 и 2008 R2.

Быстрый переход

Эксперты оценили ущерб от WannaCry в $1 млрд

Вирус-вымогатель WannaCry, шифрующий файлы на заражённых компьютерах под управлением операционных систем Windows и требующий выкуп от $300 в биткоиновом эквиваленте, атаковал Интернет две недели назад. Уже тогда многие эксперты предрекали серьёзный ущерб, который несёт с собой данная программа. И вот, наконец, появились предварительные оценки убытков от упомянутой атаки, охватившей, по разным данным, от 200 до 300 тысяч компьютеров по всему миру.

В компании KnowBe4, занимающейся вопросами информационной безопасности, полагают, что ущерб, причинённый WannaCry в первые четыре дня его активности, может превысить $1 млрд. Эта сумма складывается из потерь по причине простоев и снижения производительности, трат на восстановление повреждённых данных и обучение персонала для предотвращения подобных инцидентов в будущем, а также других прямых или косвенных расходов. Не секрет, что от WannaCry наиболее серьёзно пострадали не простые пользователи, а организации — как коммерческие, так и государственные.

При этом сами вымогатели «заработали» на выкупах чуть более 50 биткоинов, что по текущему курсу криптовалюты к доллару США (1 BTC = $2735) эквивалентно сумме, немного превышающей $137 000. По мнению экспертов, это достаточно мало для атаки такого масштаба, а значит не исключено, что финансовый вопрос на данном этапе интересовал хакеров не в первую очередь. В таком случае следует опасаться новых, более разрушительных вирусных эпидемий.

KnowBe4 также приводит данные из отчёта Cybersecurity Ventures, согласно которым суммарный ущерб от вирусов-вымогателей за последние два года вырос в 15 раз и продолжает увеличиваться в среднем на 350 % в год.

Источник:

Эпидемия WannaCry: как вирус-вымогатель повлиял на мир

В эту пятницу, 12 мая, новостные ленты всего мира захлестнула волна заметок о вирусной атаке на компьютеры программой-вымогателем WannaCry (WanaCrypt0r 2.0), которая стала самой крупной за последнее время. По данным разработчиков антивируса Avast, случаи заражения им были зафиксированы в 99 странах (ранее «Лаборатория Касперского» сообщала о 74 странах), при этом наибольшее число «жертв» оказалось в России, Украине и Тайване.

Twitter

Twitter 

О масштабах «эпидемии» говорит тот факт, что ей оказались подвержены не только отдельные граждане, но также компании, организации и ведомства. В России, к примеру, сообщалось об атаках на «Сбербанк», «МегаФон», РЖД, МВД и МЧС. Однако большая их часть, если верить официальным комментариям, была успешно отражена, в связи с чем экономический ущерб от WannaCry в нашей стране большим не ожидается. Тем не менее, некоторые провайдеры перешли к активным мерам: один из операторов в Санкт-Петербурге запустил предупреждающую страницу-«заглушку», которая отображается каждый раз при открытии в браузере ссылки или нового сайта. Она содержит рекомендации по защите от программы-вымогателя и ссылки на обновления для Windows, препятствующие заражению.

Richie Tongo / EPA

Richie Tongo / EPA

Масштабные инциденты по вине WannaCry зафиксированы и за рубежом. В Великобритании, к примеру, под удар попала система здравоохранения — там была нарушена работа нескольких десятков больниц. Пациенты не могли получить полноценное лечение из-за блокировки их электронных медкарт на компьютерах клиник, также их предупреждали об увеличении времени ожидания приёма. Позже премьер-министр страны Тереза Мэй прокомментировала данную ситуацию, заявив, что сведения о пациентах скомпрометированы не были, так как хакеры не получили доступ к важной медицинской информации. Правда, пока остаётся неясным, все ли зашифрованные вредоносной программой базы данных имели резервные копии. Госпожа Мэй выразила надежду, что бэкапы есть.

Госпиталь в Нортумбрии через соцсети предупредил об увеличении времени ожидания приёма из-за вируса

Госпиталь в Нортумбрии через соцсети предупредил об увеличении времени ожидания приёма из-за вируса

В Германии вирус проник в сеть крупнейшего железнодорожного оператора Deutsche Bahn. Сведений о перебоях в движении поездов не поступало, но на электронных табло ряда станций пассажиры могли видеть характерное окно поверх расписания. Проблемы возникли также у автоконцернов Renault и Nissan, банкоматов в Китае, национальных провайдеров Испании и Португалии и много где ещё в мире, о чём мы писали в нашей подробной хронике.

Twitter / Nick Lange

Twitter / Nick Lange

Перечисленные выше эпизоды — это далеко не полный перечень последствий атаки WannaCry, во многих случаях ущерб ещё не оценён. Что касается самого вируса, то на данный момент он остановлен путём регистрации специального домена, который, как оказалось, служил для него своеобразным «рубильником»: на него постоянно отправлялись запросы, и в случае получения ответа распространение прекращалось. Если верить карте заражений MalwareTech, обновляемой в режиме реального времени, то на момент подготовки этой статьи заражённые хосты отправили около 227 700 обращений, но активны из них чуть более 160.

Однако это не означает, что атаки не возобновятся — хакерам достаточно лишь изменить код, и WannaCry продолжит своё шествие по миру. Но даже пока этого не произошло, полностью прекратить распространение зловреда невозможно: существуют корпоративные прокси-серверы, из-за которых запросы на «выключающий» сайт доходить не будут. Кроме того, как заявил эксперт в области компьютерной безопасности и глава фирмы Trusona Ори Эйсен (Ori Eisen), нынешняя атака — это только начало, и последующие будут только наращивать свою мощь. «Сегодня это случилось с 10 000 компьютеров, но ничто не мешает завтра сделать это со 100 000», — отметил он.

Тем временем, если обратиться к тем трём Bitcoin-кошелькам, которые предлагались жертвам для перевода выкупа, то можно узнать, сколько денег получили преступники. На момент написания данного материала общая сумма составила чуть менее 18 биткоинов, то есть около $32 100. Очевидно, что она продолжит увеличиваться, поскольку в мире остаётся большое число компьютеров, важные данные на которых зашифрованы, а их резервных копий нет. И хотя эксперты в один голос призывают не платить злоумышленникам, в ряде случаев безвозвратная потеря критических файлов грозит большими убытками, чем сумма выкупа. Правда, нет никаких гарантий, что после внесения оплаты данные будут расшифрованы. 

Источники:

WannaCry: как не стать жертвой вируса

Вчера, 12 мая, компьютеры под управлением операционных систем Windows по всему миру подверглись самой масштабной атаке за последнее время. Речь идёт о вирусе WannaCry (WNCRY, Wana Decrypt0r 2.0), относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идёт о суммах от $300 до $600, которые жертва должна перечислить на определённый кошелёк в биткойнах. Размер выкупа зависит от времени, прошедшего с момента заражения — через определённый интервал она повышается.

По данным Лаборатории Касперского, наибольшее число заражений WannaCry наблюдается в России

По данным «Лаборатории Касперского», наибольшее распространение WannaCry получил в России

Чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых ещё не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы.

Окно шифровальщика-вымогателя WannaCry

Окно шифровальщика-вымогателя WannaCry (Wana Decrypt0r 2.0)

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

  • Trojan-Ransom.Win32.Gen.djd;
  • Trojan-Ransom.Win32.Scatter.tr;
  • Trojan-Ransom.Win32.Wanna.b;
  • Trojan-Ransom.Win32.Wanna.c;
  • Trojan-Ransom.Win32.Wanna.d;
  • Trojan-Ransom.Win32.Wanna.f;
  • Trojan-Ransom.Win32.Zapchast.i;
  • PDM:Trojan.Win32.Generic.
Вирус владеет многими языками

Вирус «владеет» многими языками

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

  • наиболее распространённые офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
  • некоторые менее популярные типы документов (.sxw, .odt, .hwp).
  • архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
  • базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
  • ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • графические форматы (.vsd, .odg, .raw, .nef, .svg, .psd).
  • файлы виртуальных машин (.vmx, .vmdk, .vdi).

И в заключение: если заражения избежать всё же не удалось, платить злоумышленникам всё равно нельзя. Во-первых, даже в случае перечисления денег на указанный Bitcoin-кошелёк никто не гарантирует дешифрование файлов. Во-вторых, нельзя быть уверенным в том, что атака на этот же компьютер не повторится, и при этом киберпреступники не потребуют большую сумму выкупа. И, наконец, в-третьих, оплата «услуги» разблокировки будет поощрением тех, кто ведёт преступную деятельность в Сети и служить им стимулом для проведения новых атак.

Источники:

Samsung защитит Galaxy S8 и Smart TV антивирусами McAfee

Компании McAfee и Samsung объявили о расширении сотрудничества, что подразумевает предустановку программного обеспечения McAfee VirusScan на все смартфоны Galaxy S8 и S8+. В рамках этой же программы Samsung с начала текущего года продаёт свои компьютеры с пакетом McAfee LiveSafe. При этом пользователям даётся 60-дневный пробный период, по истечении которого они могут оформить платную подписку.

Также антивирусную защиту McAfee получат телевизоры Samsung Smart TV. Они и сейчас поставляются с ней, но пока только на рынки США и Южной Кореи. Однако до конца первого полугодия 2017 года Samsung планирует расширить список регионов, где будет доступна данная опция.

«Защита каждого подключённого к Интернету устройства в доме абсолютно необходима сегодня», — заявил исполнительный вице-президент McAfee Джон Джиаматтео (John Giamatteo). По его словам, это важно потому, что атака даже на один гаджет ставит под угрозу всю домашнюю сеть. Согласно недавнему опросу, проведённому компанией McAfee, порядка 44 % респондентов опасаются за свою конфиденциальную финансовую информацию, а 38 % боятся незаконного использования их персональных данных.

Источник:

Хакеры взломали последнюю версию защиты Denuvo

Хакерам удалось взломать последнюю версию DRM-защиты Denuvo. Она используется в таких играх, как 2Dark, Nier: Automata, Dead Rising 4, а также в последней версии Mass Effect: Andromeda.

Стоит отметить, что взлом системы не означает взлом игры, которая защищена от пиратского распространения. Тем не менее, определённой группе умельцев уже удалось отключить Denuvo в приключенческом хорроре 2Dark.

Игра использует x86-вариант актуальной версии технологии Denuvo, а не x64. Согласно отчётам, x86-версия взламывается легче. Это может объяснить, почему именно 2Dark оказалась первым проектом в списке.

В Nier: Automata, Dead Rising 4 и Mass Effect: Andromeda задействована x64-версия Denuvo, поэтому последние версии этих игр пиратам пока не покорились. Напомним, что в предыдущей версии Mass Effect: Andromeda хакерам всё-таки удалось взломать защиту — произошло это 4 апреля.

Впрочем, взлом вышеперечисленных проектов — это, скорее всего, лишь вопрос времени. На данный момент лишь четыре компании пошли игрокам навстречу и убрали поддержку Denuvo из своих проектов. Это id Software (DOOM), Crytek (The Climb), Dampbuster Studios (Homefront: The Revolution) и Playdead (Inside).

Необходимо учитывать, что Denuvo всё же остаётся самой надёжной защитой от нелегального копирования. Некоторые игры с её поддержкой не удавалось взломать очень долго — например, в Just Cause 3 система продержалась больше года. 

Источник:

Графический пароль на смартфоне — находка для взломщика

Согласно статистике, графический ключ (Lock Pattern) вместо традиционного пароля или PIN-кода используют примерно 40 % владельцев смартфонов и планшетов под управлением операционной системы Android. Возможно, они даже не задумываются над тем, как легко, оказывается, подобрать придуманную ими последовательность линий. Исследователи из Ланкастерского университета (Великобритания), Северо-западного университета (Китай) и Университета Бата (Великобритания) продемонстрировали, как за менее чем пять попыток разблокировать устройство, защищённое подобным способом.

Фото: Lancaster University

Фото: Lancaster University 

Для осуществления эксперимента им потребовалось всего две вещи: видеозапись, на которой запечатлён процесс разблокировки гаджета, и специальное программное обеспечение на базе технологии машинного зрения. Особых требований к видеоролику нет — на нём может не быть видно изображения на экране смартфона, диагональ последнего также значения не имеет. Запись может быть сделана на камеру мобильного телефона с расстояния до двух с половиной метров, а если применяется более качественная съёмочная аппаратура, например, цифровая зеркальная камера, то расстояние до объекта съёмки может достигать девяти метров.

play.google.com

play.google.com 

Отснятое видео обрабатывается с помощью приложения, алгоритмы которого позволяют распознать движения руки «жертвы» и на основании полученной информации предложить оператору наиболее вероятные варианты графического ключа. Для опытов исследователи взяли 120 уникальных «паттернов», созданных независимыми участниками эксперимента, то есть простыми пользователями. Из них им удалось взломать свыше 95 %. При этом, как выяснилось, чем сложнее «рисунок», тем легче его скопировать. Объясняется это тем, что сложные графические пароли состоят из большего числа линий, что позволяет алгоритму программы сузить диапазон возможных вариантов.

Источник:

Хакеры обчистили филиал российского банка

Один из российских банков лишился более 100 млн рублей в результате хакерской атаки на его автоматизированную банковскую систему (АБС), передаёт «Коммерсантъ» со ссылкой на лиц, близких к ЦБ РФ. В настоящее время правоохранительные органы и FinCERT Банка России проводят проверку данного инцидента.

Как утверждает источник, атаке подвергся филиал одной региональной кредитной организации, название которой пока не раскрывается. Сообщается лишь, что киберпреступники якобы проникли во внутреннюю сеть банка и воспользовались уязвимостью АБС, разработчиком которой является компания «Диасофт». В результате платёж из АБС был проведён с подменным адресом. Однако пока это предварительная информация, так что выводы можно будет делать только после того, как станут известны первые итоги расследования. Если факт взлома подтвердится, то это станет первым случаем успешной атаки на АБС со столь серьёзным ущербом.

Как отмечает «Коммерсантъ», клиентами «Диасофта» являются более трёхсот российских финансовых учреждений, в том числе «Сбербанк». Однако в самом «Сбербанке» данную информацию не подтвердили, заверив, что используют другую АБС, которая разработана с учётом возможных угроз и содержит все необходимые средства защиты от атак.

В самом «Диасофте» о конкретном инциденте тоже ничего не уточняют, но при этом заявляют, что за последние несколько недель не получали от клиентов никаких жалоб, связанных с информационной безопасностью.

Автоматизированная банковская система — это аппаратно-программный комплекс, с помощью которого кредитные организации осуществляют автоматизацию своей деятельности. В АБС хранятся данные о клиентах и их счетах, обрабатываются платёжные поручения и т. п. АБС, как правило, изолированы от внешних каналов связи и работают во внутренних сетях банков.

Источник:

Эксперты назвали вредным совет ФБР чаще менять пароли

На минувшей неделе Федеральное бюро расследований США опубликовало в своём твиттере рекомендации относительно того, как уберечь личные данные в сезон праздничных распродаж в Сети. «Совершаете покупки онлайн? Обезопасьте ваши аккаунты, используйте надёжные пароли и часто меняйте их», — говорится в сообщении ведомства.

Первая часть совета, касающаяся использования надёжных паролей, бесспорна: киберзлоумышленникам гораздо легче угадать комбинацию наподобие «123456», чем подобрать более сложные сочетания букв и цифр. А вот что касается предложения чаще менять пароли, то многие эксперты в области информационной безопасности с ним не согласились.

По их мнению, данная практика приведёт лишь к тому, что пользователи начнут придумывать такие пароли, которые им легче запомнить, а хакерам, соответственно, взломать. При этом существует немало других действенных и в то же время простых способов, позволяющих пользоваться Всемирной паутиной без риска стать жертвой похищения конфиденциальной информации. К ним относятся двухфакторная аутентификация и отказ от применения одного и того же пароля для разных учётных записей.

Комментируя рекомендации ФБР, один из специалистов в области защиты персональных данных — Пер Торсхайм (Per Thorsheim) — заявил следующее: «Я удивлён и опечален тем, что ФБР даёт такие вредные советы, в то время как серьёзные академические исследования, многочисленные организации, корпорации и даже само правительство США считают частую смену паролей плохой идеей. Я не знаю, кто из ФБР отвечает за их страницу в Twitter, но эти люди явно не в курсе эффективных практик».

Источник:

Steam начал предупреждать покупателей о наличии защиты Denuvo Antitamper

С последним обновлением в системе цифровой дистрибуции Steam появилось предупреждение об использовании в играх системы защиты от копирования Denuvo Antitamper.

У части пользователей сложилось негативное отношение к упомянутой системе, некоторые игроки вообще призывают бойкотировать проекты с Denuvo. Какими бы ни были их мотивы, теперь они будут заранее знать, имеется ли эта защита в той или иной игре. К примеру, в описании двух готовящихся к релизу проектов — Dishonored 2 и Planet Coaster — появились отдельные предупреждения о наличии Denuvo. «DRM-технология сторонних поставщиков: Denuvo Antitamper; 5 уникальных ПК в течение одного дня — максимальное число активаций на машинах», — говорится в описании продуктов.

Отметим, что на момент написания новости новые правила были распространены лишь на игры, которые ещё только должны поступить в продажу. К примеру, на страничках DOOM или Deus Ex: Mankind Divided соответствующих уведомлений нет, хотя всем прекрасно известно, что оба проекта используют упомянутую выше защиту. Как бы то ни было, теперь покупатели будут знать заранее, что именно они приобретают, поскольку с некоторыми предыдущими играми установить наличие сторонней защиты от копирования можно было лишь после покупки. 

Источник: