Теги → шифровальщик
Быстрый переход

ESET предупреждает о всплеске активности нового шифратора GandCrab

Работающая в сфере IT-безопасности компания ESET информирует о всплеске активности новой программы-шифровальщика GandCrab, блокирующей доступ к данным на компьютере и требующей выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Шифратор распространяется под видом программ для взлома популярных в пользовательской среде приложений и игр, таких, как Minecraft, Counter Strike, StarCraft, Adobe Acrobat, Microsoft Office, антивирусный софт и др. Попав в систему жертвы, GandCrab собирает информацию с устройства, включая имя компьютера, имя пользователя и IP-адрес. Далее вредоносная программа запускает процесс шифрования данных на жёстких, съёмных и сетевых дисках, удаляет резервные копии операционной системы и выводит на экран требование выкупа в криптовалюте.

GandCrab может шифровать файлы различных форматов, в том числе документы Microsoft Office, OpenOffice, PDF и текстовые файлы, базы данных, фотографии, музыку и видео. При этом восстановить зашифрованные данные в настоящее время не представляется возможным.

Эксперты компании ESET советуют воздержаться от установки любых «кряков» и пиратских версий легитимных программных продуктов. «Если заражение шифратором произошло, платить вымогателям не рекомендуется — получение выкупа ни к чему их не обязывает, зато мотивирует продолжать противоправную деятельность», — говорится в информационном сообщении антивирусного вендора.

Сложный шифровальщик использует новую технику для обхода защитных решений

Специалисты «Лаборатории Касперского» обнаружили весьма сложную вредоносную программу, которая шифрует файлы на компьютере жертвы с целью получения выкупа.

Речь идёт о новой версии зловреда SynAck, известного с конца 2017 года. Оригинальная модификация шифровальщика атаковала преимущественно англоговорящих пользователей, применяя брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла.

Новый зловред действует гораздо более хитроумно. Отмечается, что это первый шифровальщик, использующий так называемую технику Doppelgänging, которая позволяет вредоносной программе маскироваться под легитимный процесс. Для этого бесфайловый вредоносный код внедряется в безобидные системные процессы.

Кроме того, шифровальщик применяет ряд других методов обхода антивирусных решений. В результате, обнаружение вредоносной программы в системе становится весьма сложной задачей.

Любопытно, что сейчас атаки шифровальщика носят целевой характер. Нападения зафиксированы в США, Кувейте, Германии и Иране. При этом шифровальщик избегает компьютеров с кириллической раскладкой на клавиатуре.

Средний размер выкупа, который требует зловред, составляет 3000 долларов США. Более подробную информацию о вредоносной программе можно найти здесь

Новый шифровальщик кодирует файлы без возможности восстановления

«Доктор Веб» предупреждает о появлении новой вредоносной программы, которая атакует пользователей операционных систем Windows с целью наживы.

Зловред получил обозначение Trojan.Encoder.25129. Это троян-шифровальщик, кодирующий данные на инфицированном компьютере. Увы, из-за ошибки вирусописателей восстановление повреждённых шифровальщиком файлов в большинстве случаев невозможно.

После проникновения на ПК зловред проверяет географическое расположение пользователя по IP-адресу. По задумке злоумышленников, троян не должен кодировать файлы, если компьютер расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде программа шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Троян кодирует содержимое папок текущего пользователя, рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron.

За восстановление доступа к файлам злоумышленники требуют выкуп в криптовалюте — биткоинах. Но, даже заплатив деньги, что категорически не рекомендуется, жертвы зловреда не смогут вернуть свои данные. 

У жертв шифровальщика Cryakl появилась возможность восстановить файлы

Бельгийская федеральная полиция и «Лаборатория Касперского» провели кибероперацию, результатом которой стало создание утилиты для восстановления файлов, закодированных новыми версиями вымогателя Cryakl.

Вредоносная программа Cryakl, также известная как «Фантомас», атакует пользователей ещё с 2014 года. Сначала зловред распространялся через вложения-архивы в письмах, якобы отправленных арбитражным судом в связи с правонарушениями. Позже письма стали приходить и от других инстанций, в частности, от ТСЖ.

В процессе шифрования файлов Cryakl создаёт длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно. За восстановление данных злоумышленники требуют выкуп.

В ходе проведённой кибероперации бельгийской полиции удалось обезвредить несколько командных серверов, на которые заражённые машины отправляли ключи. Специалисты «Лаборатории Касперского», в свою очередь, проанализировали полученные данные и извлекли ключи для дешифровки закодированных файлов.

Функции для восстановления данных, зашифрованных новыми версиями зловреда Cryakl, уже добавлены в дешифратор RakhniDecryptor, доступный на сайте проекта No More Ransom.

Добавим, что проект No More Ransom существует с июля 2016 года. Он помог бесплатно расшифровать файлы, приведённые в негодность вымогателями, десяткам тысяч людей и лишил злоумышленников как минимум 10 млн евро потенциальной прибыли. 

Новый троян-шифровальщик угрожает пользователям Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, вымогающей деньги у своих жертв: зловред получил обозначение Trojan.Encoder.24384, но создатели называют его «GandCrab!».

Троян атакует пользователей персональных компьютеров под управлением операционных систем Windows. Проникнув на ПК, вымогатель шифрует содержимое фиксированных, съёмных и сетевых накопителей, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания кодирования зловред отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.

Троян также может собирать информацию о наличии запущенных процессов антивирусов. Вымогатель способен принудительно завершать процессы программ по заданному вирусописателями списку.

Закодированным файлам присваивается расширение *.GDCB. Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле трояна зашифрованными с использованием алгоритма XOR.

После выполнения вредоносных операций программа выводит сообщение с требованием выкупа. Увы, в настоящее время расшифровка файлов, закодированных зловредом, невозможна. 

Acronis выпустила бесплатное решение для защиты от программ-шифровальщиков

Компания Acronis объявила о выпуске бесплатного продукта Ransomware Protection, предназначенного для защиты от вредоносных программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы для возвращения доступа к ценной информации.

В основу Acronis Ransomware Protection положена технология Active Protection, распознающая нетипичные модели поведения приложений при доступе к файлам и нейтрализующая атаки программ-шифровальщиков. При этом для выявления аномалий в работе системных процессов используются не только эвристические механизмы, но и дополнительные функции, в том числе технологии машинного обучения и искусственного интеллекта на базе нейронных сетей.

В случае атаки программы-вымогателя Ransomware Protection блокирует вредоносный процесс и уведомляет об этом пользователя через сообщение во всплывающем окне. Если какие-то файлы были зашифрованы или повреждены во время атаки, приложение Acronis автоматически восстанавливает их из резервных копий.

Скачать установочный дистрибутив Active Protection можно по этой ссылке на сайте компании-разработчика. На данный момент решение доступно только для ОС Windows. Всем пользователям приложения Acronis предоставляет бесплатное облачное хранилище объёмом 5 Гбайт для резервного копирования и защиты важных файлов не только от вредоносных программ, но и от аппаратных сбоев, стихийных бедствий и иных событий, вызывающих потерю данных.

Россия остаётся одной из основных мишеней программ-шифровальщиков

«Лаборатория Касперского» проанализировала активность программ-шифровальщиков в третьем квартале текущего года: интенсивность атак таких зловредов в июле–сентябре стабильно росла.

В прошлом квартале эксперты выделили пять новых семейств шифровальщиков. Такие программы, попав на компьютер жертвы, кодируют файлы распространённых форматов, после чего требуют выкуп за восстановление доступа к информации. Обычно злоумышленники вымогают деньги в криптовалютах.

Как сообщается, июль оказался месяцем с наименьшей активностью шифровальщиков, сентябрь — с наибольшей. Хотя количество атак росло на протяжении квартала, оно осталось ниже показателей мая и июня, когда прогремели две массовые эпидемии вымогателей (WannaCry и ExPetr).

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, третий квартал 2017

Количество уникальных пользователей, атакованных троянами-шифровальщиками, третий квартал 2017

Россия остаётся одной из основных мишеней программ-шифровальщиков. Причём если во втором квартале наша страна находилась на десятой позиции рейтинга наиболее атакуемых стран, то в третьей четверти нынешнего года она поднялась на шестую строку.

В прошлом квартале наибольшее распространение получили шифровальщики семейства WannaCry (16,78 %). Эксперты полагают, что такая картина будет наблюдаться ещё некоторое время: зловред распространяется бесконтрольно, а в мире остаётся огромное число компьютеров с незакрытой уязвимостью, которую он эксплуатирует.

На второе место вышел Crypton (14,41 %) — этот шифровальщик появился ещё прошлой весной, с тех пор он много раз видоизменялся и был замечен под множеством названий: CryptON, JuicyLemon, PizzaCrypts, Nemesis, x3m, Cry9, Cry128, Cry36. Замыкает первую тройку шифровальщик Purgen (6,90 %). 

Киберкампания Bad Rabbit: оценка возможности дешифровки и восстановления файлов

«Лаборатория Касперского» обнародовала довольно детальный анализ вредоносной программы Bad Rabbit, которая атаковала компьютеры компаний, организаций и рядовых пользователей на этой неделе.

По данным «Лаборатории Касперского», Bad Rabbit относится к ранее неизвестному семейству программ-вымогателей. Зловред распространятся с помощью атаки типа drive-by: жертва посещает легитимный веб-сайт, а на её компьютер из инфраструктуры организатора атаки загружается дроппер. Преступники не использовали эксплойты, поэтому для заражения пользователь должен был вручную запустить файл, замаскированный под установщик Adobe Flash.

Вымогатель шифрует файлы и накопитель поражённого компьютера. Для файлов используются алгоритмы AES-128-CBC и RSA-2048; разделы диска шифруются драйвером DiskCryptor с использованием AES в режиме XTS.

Алгоритмы работы Bad Rabbit предполагают, что организаторы атаки могут декодировать зашифрованные файлы. Увы, расшифровать данные без содействия злоумышленников невозможно: симметричные ключи безопасно генерируются на стороне зловреда, что на практике исключает возможность их подбора.

Но шансы вернуть файлы, не платя выкуп, всё же есть. «Данные, зашифрованные Bad Rabbit, могут быть восстановлены. Исследователи "Лаборатории Касперского" обнаружили, что Bad Rabbit не удаляет теневые копии после шифрования файлов. Это означает, что жертва зловреда может восстановить оригинальные версии файлов в том случае, если теневые копии были созданы до заражения, а шифровальщик по какой-то причине не выполнил полное шифрование диска. Для восстановления данных понадобятся стандартные механизмы Windows или сторонние утилиты», — приводит Агентство городских новостей «Москва» заявления специалистов «Лаборатории Касперского».

Сейчас эксперты подробно анализируют шифровальщик, чтобы найти возможные недостатки в его криптографических алгоритмах. 

Атака вымогателя BadRabbit: подробности и способ защиты

В минувший вторник, 24 октября, в России была зафиксирована масштабная атака шифровальщика BadRabbit, от которого пострадали средства массовой информации (СМИ), различные компании и рядовые пользователи. После предварительного анализа зловреда специалисты по вопросам информационной безопасности поделились первыми выводами.

Как ранее сообщала «Лаборатория Касперского», атака направлена прежде всего на корпоративные сети. За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу составляет около $280, или примерно 16 тыс. рублей.

По данным вирусной лаборатории ESET, атакам BadRabbit (Diskcoder.D) подверглись СМИ, транспортные компании и государственные учреждения. «Система телеметрии ESET в настоящее время фиксирует сотни атак Diskcoder.D. Большинство срабатываний антивирусных продуктов ESET приходится на Россию и Украину, затронуты также Турция, Болгария и некоторые другие страны», — говорится в сообщении.

«Лаборатория Касперского» уже высказывала предположения, что атака BadRabbit может быть связана с киберкампанией ExPetr (она же Petya или NotPetya). Теперь эту информацию подтверждают специалисты Group-IB. В частности, установлено, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit включает в себя части, полностью повторяющие NotPetya.

Экспертами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика со взломанных интернет-ресурсов. На таких сайтах в HTML-код был загружен JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление плеера Adobe Flash. В случае согласия происходила загрузка и запуск вредоносного файла.

BadRabbit имеет модуль распространения с использованием протокола SMB. Установлено также, что в атаке используется программа Mimikatz, которая перехватывает на заражённой машине логины и пароли.

Для защиты от BadRabbit эксперты рекомендуют создать файл C:\windows\infpub.dat и задать для него атрибут «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы. Разумеется, нельзя пренебрегаться антивирусными средствами и обновлением операционной системы, а также инструментов безопасности.

Некоторые дополнительные подробности о киберкампании BadRabbit можно найти здесь

Bad Rabbit: в России грядёт эпидемия нового шифровальщика

«Лаборатория Касперского» предупреждает о том, что в России наблюдаются атаки опасной вредоносной программы — шифровальщика Bad Rabbit. Эти нападения могут вылиться в очередную масштабную эпидемию.

Предварительный анализ показывает, что зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

После проникновения на компьютер жертвы вредоносная программа шифрует пользовательские файлы. Для восстановления доступа к закодированным данным предлагается заплатить выкуп в размере 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам США или 15 700 рублям. При этом злоумышленники предупреждают, что в случае промедления цена за расшифровку вырастет.

Подробности о схеме распространения Bad Rabbit пока отсутствуют. Не ясно и то, можно ли расшифровать файлы. Но уже известно, что большинство жертв атаки находятся в России. Кроме того, похожие нападения зафиксированы в Украине, Турции и Германии, но в значительно меньшем количестве.

В нынешнем году российские пользователи уже попадали под удар двух нашумевших шифровальщиков. Речь идёт о зловредах WannaCry и ExPetr (он же Petya). «Лаборатория Касперского» отмечает, что организаторы атаки Bad Rabbit используются методы, похожие на те, что наблюдались в ходе киберкампании ExPetr. Однако связь между двумя этими атаками пока не подтверждена.

По имеющимся данным, из-за атаки Bad Rabbit пострадали российское информационное агентство «Интерфакс» и онлайн-издание «Фонтанка». На момент написания заметки корреспондентам 3DNews не удалось открыть эти ресурсы.

«Из-за хакерской атаки в работе серверов Интерфакса возник сбой. Технические службы предпринимают все меры для восстановления работы систем», — пишет в Twitter «Интерфакс».

Очевидно, что атака Bad Rabbit тщательно готовилась. Эксперты по вопросам информационной безопасности занимаются изучением проблемы и поиском методов расшифровки файлов. Мы будем следить за развитием событий. 

Пользователям Android угрожает опасный шифратор с функцией блокировки устройства

Компания ESET предупреждает о появлении опасной вредоносной программы, атакующей владельцев мобильных устройств под управлением операционной системы Android.

Обнаруженный зловред получил имя DoubleLocker: это шифровальщик, вымогающий деньги у пользователей смартфонов и планшетов. В основу программы положен один из мобильных банковских троянов, но функции сбора персональных данных жертв не предусмотрены.

Вместо кражи банковской информации DoubleLocker пытается вынудить владельцев Android-устройств заплатить деньги за восстановление доступа к гаджету и данным. Дело в том, что после проникновения на смартфон или планшет зловред изменяет PIN-код на произвольный, а также шифрует найденные файлы. Такое сочетание функций в экосистеме Android, как отмечает ESET, наблюдается впервые.

Вымогатель распространяется преимущественно под видом Adobe Flash Player через скомпрометированные сайты. После запуска зловред предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые для работы разрешения, DoubleLocker активирует права администратора.

ESET

ESET

Путём изменения PIN-кода зловред препятствует использованию устройства. В качестве нового PIN задаётся случайное значение, причём код не хранится на устройстве и не отправляется куда-либо вовне, поэтому пользователь или специалист по безопасности не сможет его восстановить. Зато после получения выкупа злоумышленник может удалённо сбросить PIN и разблокировать гаджет.

DoubleLocker шифрует все файлы в основном хранилище устройства, используя алгоритм AES. При этом закодированные файлы получают расширение .cryeye. Сумма выкупа составляет 0,013 биткоина (около 4000 рублей), в сообщении подчёркивается, что оплата должна быть произведена в течение 24 часов. Если выкуп не перечислить, данные останутся зашифрованными, но удалены не будут. 

Новый зловред имитирует работу шифровальщика

Компания ESET предупреждает о росте активности новой вредоносной программы, которая «притворяется» зловредом с функциями вымогателя.

Программа носит имя MSIL/Hoax.Fake.Filecoder. Проникнув на компьютер жертвы, она отображает окно с требованием выкупа за восстановление доступа к якобы закодированным файлам. На деле же функции шифрования зловред не поддерживает.

Любопытно, что выводимое сообщение закрывает рабочий стол, блокируя доступ пользователя к файлам, папкам и приложениям. В этом уведомлении говорится, что все важные документы, фотографии и видеоматериалы, базы данных и другие ценные файлы заблокированы. Пользователю предлагается внести выкуп в размере 0,5 биткоина в течение трёх дней. Через три дня сумма выкупа удваивается, через семь — расшифровать файлы будет невозможно.

В целом, MSIL/Hoax.Fake.Filecoder весьма убедительно копирует поведение «классических» шифраторов. Это может ввести жертву в заблуждение.

ESET отмечает, что вредоносная программа распространяется по стандартной для большинства шифраторов схеме — в электронной почте с вредоносным вложением или ссылкой. В качестве документа-приманки, запускающего загрузку вредоносной программы, выступают «исковые заявления», «кредитные договоры», «неоплаченные счета» и пр.

Анализ показывает, что осуществлять шифрование файлов программа не способна в принципе — в её коде попросту отсутствуют соответствующие алгоритмы. Операторы лжешифратора рассчитывают исключительно на методы социальной инженерии, а также общественный резонанс от недавних атак шифраторов. 

Киберпреступная схема «вымогатель как услуга» набирает популярность

Исследование, проведённое компанией Positive Technologies, показало, что во втором квартале текущего года продолжили набирать популярность сервисы «вымогатели как услуга» по сдаче троянов в аренду. США и Россия стали наиболее частыми жертвами атак, хотя больше четверти (28 %) киберкампаний были масштабными и затронули одновременно десятки стран.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение с требованием выкупа за восстановление доступа к данным. Обычно жертве предлагается заплатить некую сумму в криптовалюте.

По статистике Positive Technologies, 67 % атак шифровальщиков во втором квартале текущего года были совершены с целью получения прямой финансовой выгоды. Так, нашумевшая эпидемия вируса-вымогателя WannaCry принесла злоумышленникам около $130 тыс., а ущерб компаний составил более миллиарда долларов.

Киберпреступники всё чаще сдают вредоносное ПО с функциями шифрования в аренду. Так, дистрибьютор Petya или Mischa получает от 25 % до 85 % от суммы платежей жертв, а троян-шифровальщик Karmen продаётся на чёрном рынке за $175.

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв. 

Компания Maersk потеряла $300 млн из-за ExPetr

В конце июня текущего года датская компания A.P. Moller-Maersk, занимающаяся судоходным и логистическим бизнесом, стала жертвой компьютерного вируса-вымогателя ExPetr. Согласно прогнозу, опубликованному в отчёте за второй квартал, это обойдётся ей в $200–300 млн упущенной выгоды. Уточнённую сумму убытков конгломерат, скорее всего, сообщит уже в итогах третьей четверти, ведь негативные последствия кибератаки он продолжал испытывать на себе на протяжении первых двух недель июля.

Наибольшие масштабы заражения шифровальщиком ExPetr наблюдались в подразделениях Maersk Line (морские грузоперевозки), APM Terminals (контейнерные терминалы) и Damco (логистика). Работа нескольких портов была парализована в течение нескольких дней, что для компании такого уровня не могло не обойтись сотнями миллионов долларов ущерба. Отметим, что представительства Maersk находятся более чем в 135 странах мира, а общее число их сотрудников достигает 90 000 человек. Кроме того, Maersk считается крупнейшим в мире оператором морских контейнерных перевозок.

Leon Compton / Twitter

Leon Compton / Twitter 

Напомним, что ExPetr начал свое распространение 27 июня 2017 года с Украины через скомпрометированное обновление программы документооборота M.E.Doc, а затем проник в Россию и другие страны. Как и его предшественник WannaCry, зловред требовал выкуп в размере $300 в Bitcoin-эквиваленте за якобы расшифровку файлов. Однако, как позже выяснили эксперты «Лаборатории Касперского», на самом деле такая функция в него заложена не была. Кроме того, email-адрес, посредством которого жертвы должны были связываться с хакерами для разблокировки своих компьютеров, был закрыт сервис-провайдером Posteo.

Проект No More Ransom сэкономил жертвам вымогателей миллионы евро

Год назад Европол, полиция Нидерландов, «Лаборатория Касперского» и Intel Security запустили проект No More Ransom для борьбы с программами-шифровальщиками и вымогателями. Теперь участники инициативы отрапортовали о результатах работы этого ресурса.

В рамках проекта был запущен специальный веб-сайт, на котором пользователи могут найти информацию о шифровальщиках и исходящих от них угрозах, а также получить бесплатные инструменты для восстановления своих данных.

Сообщается, что за прошедший год инициативу поддержали более ста партнёров, среди которых как частные компании, так и правоохранительные органы разных стран. Это, в частности, банковский конгломерат Barclays, бельгийский CERT (CERT.BE), и Глобальный форум по киберэкспертизе (Global Forum on Cyber Expertise, GFCE).

Сейчас на сайте No More Ransom можно найти 54 утилиты для расшифровки файлов, разработанные «Лабораторией Касперского» и другими участниками проекта. Эти инструменты успешно борются со 104 семействами вымогателей. За год ресурс посетили 1,3 миллиона уникальных пользователей.

В общей сложности за минувший год благодаря проекту No More Ransom было расшифровано более 28 тысяч заражённых вредоносным ПО устройств. Сумма сэкономленных на выкупе денег составила 8 миллионов евро.

Отмечается также, что общее количество пользователей, столкнувшихся с шифровальщиками, растёт: за последний год оно увеличилось на 11 % и превысило уже 2,5 миллиона человек. В такой ситуации развитие проекта No More Ransom помогает эффективнее бороться с кибервымогателями.