Nowoczesne technologie umożliwiają hakerom ciągłe ulepszanie sposobów oszukiwania zwykłych użytkowników. Z reguły do ​​tych celów wykorzystywane jest oprogramowanie antywirusowe, które przenika do komputera. Wirusy szyfrujące są uważane za szczególnie niebezpieczne. Zagrożenie polega na tym, że wirus rozprzestrzenia się bardzo szybko, szyfrując pliki (użytkownik po prostu nie może otworzyć żadnego dokumentu). A jeśli jest to dość proste, to znacznie trudniej jest odszyfrować dane.

Co zrobić, jeśli wirus zaszyfrował pliki na Twoim komputerze

Każdy może zostać zaatakowany przez oprogramowanie ransomware, nawet użytkownicy posiadający potężne oprogramowanie antywirusowe nie są ubezpieczeni. Trojany szyfrujące pliki są reprezentowane przez inny kod, który może być poza zasięgiem programu antywirusowego. Hakerom udaje się nawet zaatakować w ten sposób duże firmy, które nie zadbały o niezbędną ochronę swoich informacji. Tak więc, po „odebraniu” programu ransomware online, musisz podjąć szereg środków.

Głównymi oznakami infekcji są powolne działanie komputera i zmiana nazw dokumentów (widać to na pulpicie).

1. Uruchom ponownie komputer, aby zatrzymać szyfrowanie. Po włączeniu nie potwierdzaj uruchamiania nieznanych programów.
2. Uruchom program antywirusowy, jeśli nie został zaatakowany przez oprogramowanie ransomware.
3. W niektórych przypadkach kopie w tle pomogą przywrócić informacje. Aby je znaleźć, otwórz „Właściwości” zaszyfrowanego dokumentu. Ta metoda działa z zaszyfrowanymi danymi Rozszerzenia skarbca, o której informacje znajdują się na portalu.
4. Pobierz narzędzie Ostatnia wersja do zwalczania wirusów ransomware. Najskuteczniejsze z nich oferuje firma Kaspersky Lab.

Wirusy szyfrujące w 2016 roku: przykłady

Kiedy walczysz z jakimkolwiek atak wirusa ważne jest, aby zrozumieć, że kod zmienia się bardzo często, uzupełniony o nową ochronę antywirusową. Oczywiście programy zabezpieczające potrzebują trochę czasu, zanim deweloper zaktualizuje bazy danych. Wybraliśmy najniebezpieczniejsze wirusy szyfrujące ostatnich czasów.

Oprogramowanie ransomware Ishtar

Ishtar to oprogramowanie ransomware, które wyłudza pieniądze od użytkownika. Wirus został zauważony jesienią 2016 roku, infekując ogromną liczbę komputerów użytkowników z Rosji i szeregu innych krajów. Jest dystrybuowany za pomocą dystrybucji e-mail, która zawiera załączone dokumenty (instalatory, dokumenty itp.). Dane zainfekowane oprogramowaniem ransomware Ishtar otrzymują w nazwie przedrostek „ISHTAR”. Proces tworzy dokument testowy, który wskazuje, gdzie się udać, aby uzyskać hasło. Napastnicy żądają za to od 3000 do 15 000 rubli.

Niebezpieczeństwo wirusa Ishtar polega na tym, że obecnie nie ma deszyfratora, który pomógłby użytkownikom. Firmy produkujące oprogramowanie antywirusowe potrzebują czasu na rozszyfrowanie całego kodu. Teraz możemy tylko izolować ważna informacja(jeśli mają szczególne znaczenie) na osobny nośnik, czekając na wydanie narzędzia zdolnego do odszyfrowywania dokumentów. Zaleca się ponowną instalację systemu operacyjnego.

Neitrino

Oprogramowanie ransomware Neitrino pojawiło się w Internecie w 2015 roku. Na zasadzie ataku jest podobny do innych wirusów z tej kategorii. Zmienia nazwy folderów i plików, dodając „Neitrino” lub „Neutrino”. Wirus jest trudny do rozszyfrowania - nie podejmują się tego wszyscy przedstawiciele firm antywirusowych, powołując się na bardzo złożony kod. Przywrócenie kopii w tle może pomóc niektórym użytkownikom. Aby to zrobić, kliknij kliknij prawym przyciskiem myszy kliknij zaszyfrowany dokument, przejdź do "Właściwości", zakładka "Poprzednie wersje", kliknij "Przywróć". Używanie go nie byłoby zbyteczne darmowe narzędzie z Kaspersky Lab.

Portfel lub .portfel.

Wirus szyfrujący Wallet pojawił się pod koniec 2016 roku. Podczas procesu infekcji zmienia nazwę danych na „Nazwa..wallet” lub podobną. Jak większość wirusów ransomware, dostaje się do systemu przez załączniki w e-maile wysłane przez atakujących. Ponieważ zagrożenie pojawiło się całkiem niedawno, programy antywirusowe go nie zauważają. Po zaszyfrowaniu tworzy dokument, w którym oszust określa pocztę do komunikacji. Obecnie twórcy oprogramowania antywirusowego pracują nad odszyfrowaniem kodu wirusa ransomware. [e-mail chroniony] Zaatakowani użytkownicy mogą tylko czekać. Jeśli dane są ważne, zaleca się ich zapisanie na dysk zewnętrzny poprzez wyczyszczenie systemu.

Enigma

Wirus szyfrujący Enigma zaczął infekować komputery rosyjskich użytkowników pod koniec kwietnia 2016 roku. Wykorzystuje model szyfrowania AES-RSA, który można znaleźć w większości współczesnych programów ransomware. Wirus przenika do komputera za pomocą skryptu uruchamianego przez użytkownika, otwierającego pliki z podejrzanej wiadomości e-mail. Nadal nie ma uniwersalnego lekarstwa na radzenie sobie z szyfrem Enigmy. Użytkownicy posiadający licencję na program antywirusowy mogą poprosić o pomoc na oficjalnej stronie dewelopera. Znaleziono również małą „lukę” - Kontrola konta użytkownika systemu Windows. Jeśli użytkownik kliknie „Nie” w oknie, które pojawi się podczas infekcji wirusem, może później przywrócić informacje za pomocą kopii w tle.

Granit

Nowy wirus ransomware Granit pojawił się w sieci jesienią 2016 roku. Infekcja przebiega zgodnie z następującym scenariuszem: użytkownik uruchamia instalator, który infekuje i szyfruje wszystkie dane na komputerze i podłączonych dyskach. Walka z wirusem jest trudna. Aby go usunąć, możesz użyć specjalnych narzędzi firmy Kaspersky, ale kod nie został jeszcze odszyfrowany. Pomocne może być przywrócenie poprzednich wersji danych. Ponadto specjalista, który ma wspaniałe doświadczenie ale usługa jest droga.

Tyson

Widziano go niedawno. Jest to rozszerzenie znanego już ransomware no_more_ransom, o którym możesz dowiedzieć się na naszej stronie internetowej. Dostaje się do komputerów osobistych z poczty e-mail. Wiele komputerów firmowych zostało zaatakowanych. Wirus tworzy Dokument tekstowy z instrukcjami odblokowania, proponując zapłatę „okupu”. Niedawno pojawiło się oprogramowanie ransomware Tyson, więc nie ma jeszcze klucza odblokowującego. Jedynym sposobem na odzyskanie informacji jest powrót poprzednie wersje chyba że zostały usunięte przez wirusa. Możesz oczywiście zaryzykować przelewając pieniądze na konto wskazane przez atakujących, ale nie ma gwarancji, że otrzymasz hasło.

Spora

Na początku 2017 r. wielu użytkowników padło ofiarą nowego oprogramowania ransomware Spora. Zgodnie z zasadą działania niewiele różni się od swoich odpowiedników, ale może pochwalić się bardziej profesjonalnym działaniem: instrukcje uzyskania hasła są lepiej napisane, strona wygląda ładniej. Stworzone oprogramowanie ransomware Spora w języku C wykorzystuje kombinację RSA i AES do szyfrowania danych ofiar. Z reguły komputery, na których aktywnie używany jest program księgowy 1C, były atakowane. Wirus, ukrywający się pod przykrywką prostej faktury w formacie .pdf, zmusza pracowników firmy do jej uruchomienia. Nie znaleziono jeszcze lekarstwa.

1C.Drop.1

Ten wirus szyfrujący dla 1C pojawił się latem 2016 roku, zakłócając pracę wielu działów księgowych. Zaprojektowany specjalnie dla komputerów, które używają oprogramowanie 1C. Przechodząc przez plik w wiadomości e-mail do komputera PC, monituje właściciela o aktualizację programu. Niezależnie od tego, który przycisk naciśnie użytkownik, wirus rozpocznie szyfrowanie plików. Specjaliści Dr.Web pracują nad narzędziami deszyfrującymi, ale jak dotąd nie znaleziono rozwiązania. Wynika to ze złożonego kodu, który może podlegać kilku modyfikacjom. Jedyną ochroną przed 1C.Drop.1 jest czujność użytkowników i regularne archiwizowanie ważnych dokumentów.

Kod da vinci

Nowe oprogramowanie ransomware o nietypowej nazwie. Wirus pojawił się wiosną 2016 roku. Różni się od swoich poprzedników ulepszonym kodem i silnym trybem szyfrowania. da_vinci_code infekuje komputer dzięki aplikacji wykonywalnej (zazwyczaj dołączonej do wiadomości e-mail), którą użytkownik samodzielnie uruchamia. Szyfr da Vinci (kod da Vinci) kopiuje treść do katalogu systemowego i rejestru, zapewniając: automatyczny start w włączam Windows. Komputer każdej ofiary ma przypisany unikalny identyfikator (pomaga w uzyskaniu hasła). Odszyfrowanie danych jest prawie niemożliwe. Możesz zapłacić napastnikom, ale nikt nie gwarantuje, że otrzymasz hasło.

[e-mail chroniony] / [e-mail chroniony]

Dwa adresy e-mail, które często towarzyszyły oprogramowaniu ransomware w 2016 r. Służą do łączenia ofiary z napastnikiem. W załączeniu adresy do większości różne rodzaje wirusy: da_vinci_code, no_more_ransom i tak dalej. Zdecydowanie nie zaleca się kontaktowania, a także przesyłania pieniędzy oszustom. Użytkownicy w większości przypadków pozostają bez haseł. W ten sposób pokazuje, że oprogramowanie ransomware atakującego działa, generując dochód.

Breaking Bad

Pojawił się na początku 2015 roku, ale aktywnie rozprzestrzenił się dopiero rok później. Zasada infekcji jest identyczna jak w przypadku innych ransomware: instalacja pliku z wiadomości e-mail, szyfrowanie danych. Konwencjonalne antywirusy zwykle nie zauważają wirusa Breaking Bad. Niektóre kody nie mogą ominąć UAC systemu Windows, więc użytkownik nadal może przywrócić poprzednie wersje dokumentów. Dekoder nie został jeszcze zaprezentowany przez żadną firmę tworzącą oprogramowanie antywirusowe.

XTBL

Bardzo powszechne oprogramowanie ransomware, które powodowało problemy dla wielu użytkowników. Na komputerze wirus zmienia rozszerzenie pliku na .xtbl w ciągu kilku minut. Powstaje dokument, w którym atakujący wymusza gotówka. Niektóre szczepy wirusa XTBL nie mogą niszczyć plików przywracania systemu, umożliwiając odzyskanie ważnych dokumentów. Sam wirus może zostać usunięty przez wiele programów, ale odszyfrowanie dokumentów jest bardzo trudne. Jeśli posiadasz licencjonowany program antywirusowy, skorzystaj z pomocy technicznej, dołączając próbki zainfekowanych danych.

Kukaracza

Szyfr Kukaracha został zauważony w grudniu 2016 roku. Wirus z ciekawa nazwa ukrywa pliki użytkownika za pomocą algorytmu RSA-2048, który jest bardzo bezpieczny. Antywirus Kaspersky nazwał go Trojan-Ransom.Win32.Scatter.lb. Kukaracha można usunąć z komputera, aby inne dokumenty nie zostały zainfekowane. Jednak zainfekowane są dziś prawie niemożliwe do odszyfrowania (bardzo potężny algorytm).

Jak działa oprogramowanie ransomware

Istnieje ogromna liczba programów ransomware, ale wszystkie działają na podobnej zasadzie.

1. Hit na Komputer osobisty. Z reguły dzięki załączonemu plikowi do maila. Instalacja jest inicjowana przez samego użytkownika poprzez otwarcie dokumentu.
2. Infekcja pliku. Prawie wszystkie typy plików są szyfrowane (w zależności od wirusa). Tworzony jest dokument tekstowy zawierający kontakty do komunikacji z intruzami.
3. Wszystko. Użytkownik nie ma dostępu do żadnego dokumentu.

Środki z popularnych laboratoriów

Rozpowszechnione oprogramowanie ransomware, które jest uznawane za najbardziej niebezpieczne zagrożenia dla tych użytkowników stała się impulsem dla wielu laboratoria antywirusowe. Każda popularna firma dostarcza swoim użytkownikom programy, które pomagają im w walce z ransomware. Ponadto wiele z nich pomaga w odszyfrowaniu dokumentów chronionych przez system.

Kaspersky i wirusy szyfrujące

Jedno z najbardziej znanych laboratoriów antywirusowych w Rosji i na świecie oferuje obecnie najskuteczniejsze sposoby zwalczania wirusów ransomware. Pierwszą przeszkodą dla wirusa ransomware będzie: Kaspersky Endpoint Bezpieczeństwo 10s najnowsze aktualizacje. Antywirus po prostu nie pozwoli zagrożeniu dostać się do komputera (jednak nowe wersje mogą nie zostać zatrzymane). Aby odszyfrować informacje, deweloper udostępnia jednocześnie kilka bezpłatnych narzędzi: XoristDecryptor, RakhniDecryptor i Ransomware Decryptor. Pomagają znaleźć wirusa i odebrać hasło.

Dr. Internet i oprogramowanie ransomware

To laboratorium zaleca ich używanie program antywirusowy, główna cecha którym była kopia zapasowa plików. Magazyn z kopiami dokumentów jest również chroniony przed nieuprawnionym dostępem ze strony intruzów. Właściciele licencjonowanego produktu Dr. Web, funkcja wezwania pomocy jest dostępna w pomoc techniczna. To prawda, że ​​nawet doświadczeni specjaliści nie zawsze potrafią oprzeć się tego typu zagrożeniom.

ESET Nod 32 i oprogramowanie ransomware

Ta firma również nie ustępowała, zapewniając swoim użytkownikom dobrą ochronę przed wirusami dostającymi się do komputera. Ponadto laboratorium udostępniło niedawno darmowe narzędzie z aktualnymi bazami danych - Eset Crysis Decryptor. Twórcy twierdzą, że pomoże w walce nawet z najnowszym ransomware.

Według pierwszych doniesień, wirus ransomware aktywowany we wtorek był przypisywany znanej już rodzinie ransomware Petya, ale później okazało się, że rozmawiamy o nowej rodzinie złośliwego oprogramowania o znacznie różniących się funkcjach. Kaspersky Lab nazwał nowego wirusa ExPetr.

„Analiza przeprowadzona przez naszych ekspertów wykazała, że ​​ofiary początkowo nie miały szans na zwrot swoich akt. Badacze z Kaspersky Lab przeanalizowali część kodu szkodliwego oprogramowania, która jest związana z szyfrowaniem plików i odkryli, że po zaszyfrowaniu dysku twórcy wirusa nie mają możliwości odszyfrowania go z powrotem.

Jak zauważono w firmie, odszyfrowanie wymaga unikalny identyfikator konkretna instalacja trojana. We wcześniej znanych wersjach podobnego oprogramowania ransomware Petya/Mischa/GoldenEye identyfikator instalacji zawierał informacje potrzebne do odszyfrowania. W przypadku ExPetr ten identyfikator nie istnieje. Oznacza to, że twórcy złośliwego oprogramowania nie mogą uzyskać informacji wymaganych do odszyfrowania plików. Innymi słowy, ofiary ransomware nie są w stanie odzyskać swoich danych, wyjaśnia Kaspersky Lab.

Wirus blokuje komputery i żąda 300 dolarów w bitcoinach, powiedział Group-IB RIA Novosti. Atak rozpoczął się we wtorek około godziny 11:00. Według doniesień mediów, w środę o godzinie 18.00 portfel bitcoin, który został wskazany do przekazywania środków szantażystom, otrzymał dziewięć transferów. Uwzględniając prowizję za przelewy, ofiary przekazały hakerom około 2,7 tys. dolarów.

W porównaniu z WannaCry wirus ten jest uznawany za bardziej destrukcyjny, ponieważ rozprzestrzenia się na kilka sposobów – od Okna Management Instrumentation, PsExec i exploit EternalBlue. Ponadto w szyfratorze wbudowane jest bezpłatne narzędzie Mimikatz.

Kaspersky Lab, który bada falę infekcji komputerowych, poinformował w środę, że liczba użytkowników zaatakowanych przez nowego wirusa ransomware „Nowy Petya” osiągnęła 2 000.

Według firmy antywirusowej ESET atak rozpoczął się na Ukrainie, która ucierpiała na nim bardziej niż inne kraje. Według rankingu firmy według krajów dotkniętych wirusem, Włochy są na drugim miejscu po Ukrainie, a Izrael jest na trzecim. W pierwszej dziesiątce znalazły się również Serbia, Węgry, Rumunia, Polska, Argentyna, Czechy i Niemcy. Rosja w ta lista zajęła 14 miejsce.

Ponadto Avast powiedział, które System operacyjny najbardziej dotknięty przez wirusa.

Pierwsze miejsce zajął Windows 7 - 78% wszystkich zainfekowanych komputerów. Na kolejnych miejscach plasują się Windows XP (18%), Windows 10 (6%) i Windows 8.1 (2%).

Tym samym WannaCry praktycznie niczego nie nauczył światową społeczność – komputery pozostały niezabezpieczone, systemy nie były aktualizowane, a wysiłki Microsoftu, aby wypuścić łatki nawet dla przestarzałych systemów, poszły na marne.

Po świecie przetoczyła się fala nowego wirusa szyfrującego WannaCry (inne nazwy Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), który szyfruje dokumenty na komputerze i wymusza 300-600 USD na ich odszyfrowanie. Jak sprawdzić, czy komputer jest zainfekowany? Co należy zrobić, aby nie stać się ofiarą? A co można zrobić, aby uzdrowić?

Po zainstalowaniu aktualizacji komputer będzie musiał zostać ponownie uruchomiony.

Jak odzyskać od wirusa szyfrującego Wana Decrypt0r?

Kiedy narzędzie antywirusowe, wykryje wirusa, albo usunie go natychmiast, albo poprosi o leczenie, czy nie? Odpowiedzią jest uzdrowienie.

Jak odzyskać pliki zaszyfrowane przez Wana Decryptor?

Nic pocieszającego ten moment nie możemy powiedzieć. Jak dotąd nie utworzono narzędzia do deszyfrowania plików. Na razie pozostaje tylko czekać na opracowanie deszyfratora.

Według Briana Krebsa, eksperta ds. bezpieczeństwo komputera, w tym momencie przestępcy otrzymali tylko 26 000 USD, czyli tylko około 58 osób zgodziło się zapłacić okup szantażystom. Czy w tym samym czasie odrestaurowali swoje dokumenty, tego nikt nie wie.

Jak zatrzymać rozprzestrzenianie się wirusa w sieci?

W przypadku WannaCry zablokowanie portu 445 na zaporze może być rozwiązaniem problemu ( zapora ogniowa), przez które dochodzi do zakażenia.

Od dziesięcioleci cyberprzestępcy z powodzeniem wykorzystywali wady i luki w zabezpieczeniach ogólnoświatowa sieć. Jednak w ostatnich latach nastąpił wyraźny wzrost liczby ataków, a także wzrost ich poziomu – napastnicy stają się coraz bardziej niebezpieczni, a złośliwe oprogramowanie rozprzestrzeniają się w niespotykanym dotąd tempie.

Wstęp

Mówimy o oprogramowaniu ransomware, które dokonało niesamowitego skoku w 2017 roku, wyrządzając szkody tysiącom organizacji na całym świecie. Na przykład w Australii ataki ransomware, takie jak WannaCry i NotPetya, wzbudziły nawet obawy na szczeblu rządowym.

Podsumowując „sukcesy” oprogramowania ransomware w tym roku, przyjrzymy się 10 najniebezpieczniejszym z nich, które spowodowały największe szkody dla organizacji. Miejmy nadzieję, że w przyszłym roku wyciągniemy wnioski i zapobiegniemy przeniknięciu tego problemu do naszych sieci.

Nie Petya

Atak tego ransomware rozpoczął się od ukraińskiego programu księgowego M.E.Doc, który zastąpił 1C, który był zakazany na Ukrainie. W ciągu zaledwie kilku dni NotPetya zainfekował setki tysięcy komputerów w ponad 100 krajach. To złośliwe oprogramowanie jest odmianą starszego szantaż Petya, różnią się tylko tym, że ataki NotPetya wykorzystywały ten sam exploit, co ataki WannaCry.

Gdy się rozprzestrzenił, NotPetya dotknął kilka organizacji w Australii, takich jak fabryka czekolady Cadbury na Tasmanii, która musiała tymczasowo zamknąć cały swój system informatyczny. To ransomware zdołało również zinfiltrować największy na świecie kontenerowiec, posiadana firma Maersk, który podobno stracił do 300 milionów dolarów przychodów.

WannaCry

To oprogramowanie ransomware, straszliwe w swojej skali, opanowało praktycznie cały świat. Jego ataki wykorzystywały niesławny exploit EternalBlue, wykorzystujący lukę w protokole Microsoft Server Message Block (SMB).

WannaCry zainfekował ofiary w 150 krajach i na ponad 200 000 maszynach tylko pierwszego dnia. Opublikowaliśmy to rewelacyjne złośliwe oprogramowanie.

Locky

Locky był najpopularniejszym oprogramowaniem ransomware w 2016 r., ale nie zbankrutował również w 2017 r. Nowe warianty Locky, nazwane Diablo i Lukitus, pojawiły się w tym roku, wykorzystując ten sam wektor ataku (phishing) do uruchamiania exploitów.

To Locky stał za skandalem z e-mailem Australia Post. Według Australijskiej Komisji ds. Konkurencji i Konsumentów obywatele stracili ponad 80 000 dolarów z powodu tego oszustwa.

kryzys

Ta instancja została zauważona za mistrzowskie wykorzystanie protokołu zdalnego pulpitu ( Zdalny ekran protokół, PROW). RDP to jedna z najpopularniejszych metod dystrybucji ransomware, ponieważ może być wykorzystywana przez cyberprzestępców do włamywania się do maszyn kontrolujących całe organizacje.

Ofiary CrySis były zmuszone zapłacić od 455 do 1022 dolarów za przywrócenie swoich plików.

Nemukod

Nemucod jest dystrybuowany za pośrednictwem wiadomości phishingowej, która wygląda jak faktura wysyłkowa. To ransomware pobiera złośliwe pliki przechowywane na zhakowanych stronach internetowych.

Jeśli chodzi o korzystanie z wiadomości phishingowych, Nemucod ustępuje tylko Locky.

dżaff

Jaff jest podobny do Locky'ego i używa podobnych metod. To oprogramowanie ransomware nie wyróżnia się oryginalnymi metodami dystrybucji lub szyfrowania plików, ale wręcz przeciwnie, łączy w sobie najbardziej udane praktyki.

Stojący za nim atakujący zażądali do 3700 dolarów za dostęp do zaszyfrowanych plików.

Spora

Aby rozpowszechniać tego typu oprogramowanie ransomware, cyberprzestępcy włamują się do legalnych stron internetowych, dodając do nich kod JavaScript. Użytkownicy, którzy wylądują na takiej stronie, otrzymają wyskakujące okienko z ostrzeżeniem z prośbą o aktualizację Przeglądarka Chrome aby kontynuować przeglądanie strony. Po pobraniu tak zwanego Chrome Font Pack użytkownicy zostali zainfekowani Spora.

Cerber

Jednym z wielu wektorów ataków, z których korzysta Cerber, jest RaaS (ang. Ransomware-as-a-Service). W ramach tego schematu osoby atakujące oferują zapłatę za dystrybucję trojana, obiecując w zamian pewien procent otrzymanych pieniędzy. Za pośrednictwem tej „usługi” cyberprzestępcy wysyłają oprogramowanie ransomware, a następnie udostępniają innym atakującym narzędzia do jego dystrybucji.

Cryptomix

Jest to jedno z niewielu ransomware, które nie ma określonego typu portalu płatniczego dostępnego w ciemnej sieci. Dotknięci użytkownicy muszą poczekać, aż cyberprzestępcy wyślą do nich e-mail e-mail instrukcje.

Ofiary Cryptomix to użytkownicy z 29 krajów, którzy byli zmuszeni zapłacić do 3000 USD.

Puzzle

Kolejne szkodliwe oprogramowanie z listy, które rozpoczęło swoją działalność w 2016 roku. Jigsaw wstawia do wiadomości spamowych obraz klauna z serii filmów Piła. Gdy tylko użytkownik kliknie na obraz, oprogramowanie ransomware nie tylko szyfruje, ale także usuwa pliki w przypadku, gdy użytkownik jest zbyt późno, aby zapłacić okup w wysokości 150 USD.

Wyniki

Jak widać, współczesne zagrożenia wykorzystują coraz bardziej wyrafinowane exploity przeciwko dobrze chronionym sieciom. Podczas gdy zwiększona świadomość pracowników pomaga zarządzać skutkami infekcji, firmy muszą wyjść poza podstawowe standardy cyberbezpieczeństwa, aby się chronić. Ochrona przed współczesnymi zagrożeniami wymaga proaktywnego podejścia, które wykorzystuje moc analizy w czasie rzeczywistym opartej na mechanizmie uczenia się, który obejmuje zrozumienie zachowania i kontekstu zagrożeń.

Kaspersky Lab o oprogramowaniu ransomware WannaCry

Specjaliści z Kaspersky Lab przeanalizowali informacje o infekcjach programem ransomware o nazwie „WannaCry”, z którymi zmagały się firmy na całym świecie 12 maja

Specjaliści z Kaspersky Lab przeanalizowali informacje o infekcjach oprogramowaniem ransomware o nazwie „WannaCry”, które firmy na całym świecie napotkały 12 maja. Jak wykazała analiza, do ataku wykorzystano dobrze znaną lukę sieciową Microsoft Security Bulletin MS17-010. Następnie na zainfekowanym systemie został zainstalowany rootkit, za pomocą którego atakujący uruchomili program szyfrujący.

Wszystkie rozwiązania firmy Kaspersky Lab wykrywają to szkodliwe oprogramowanie użyte w tym ataku na podstawie następujących werdyktów:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (składnik Monitor systemu musi być włączony, aby wykryć to złośliwe oprogramowanie)

Aby odszyfrować dane, atakujący żądają okupu w wysokości 600 dolarów w kryptowalucie Bitcoin. W tej chwili Kaspersky Lab zarejestrował około 45 000 prób ataków w 74 krajach na całym świecie. Najwięcej prób infekcji obserwuje się w Rosji.

Jeśli Twoje pliki są zaszyfrowane, surowo zabrania się korzystania z narzędzi deszyfrujących oferowanych w Internecie lub otrzymywanych w wiadomościach e-mail. Pliki są szyfrowane silnym algorytmem i nie można ich odszyfrować, a pobierane narzędzia mogą wyrządzić jeszcze więcej szkód zarówno komputerowi, jak i komputerom w całej organizacji, ponieważ są potencjalnie złośliwe i mają na celu nową falę epidemii.

Jeśli stwierdzisz, że Twój komputer został zainfekowany, wyłącz go i skontaktuj się z bezpieczeństwo informacji w celu uzyskania dalszych instrukcji.

• zainstalowaćoficjalna łatka zMicrosoft , który zamyka podatność wykorzystaną w ataku (w szczególności aktualizacje dla wersji)OknaPDorazOkna2003);
• Upewnij się, że rozwiązania zabezpieczające są włączone we wszystkich węzłach sieci;
• Jeśli korzystasz z rozwiązania zabezpieczającego firmy Kaspersky Lab, upewnij się, że jego wersja zawiera komponent Monitor systemu i że jest on włączony;
• Uruchom zadanie skanowania obszarów krytycznych w rozwiązaniu zabezpieczającym firmy Kaspersky Lab, aby jak najszybciej wykryć możliwą infekcję (w przeciwnym razie wykrycie nastąpi automatycznie w ciągu 24 godzin);
• Po wykryciu Trojan.Win64.EquationDrug.gen uruchom ponownie system;
• W przyszłości, aby zapobiegać takim incydentom, korzystaj z usług raportowania zagrożeń, aby otrzymywać aktualne dane o najgroźniejszych atakach ukierunkowanych i możliwych infekcjach.

Więcej dokładna informacja o atakach WannaCry można znaleźć w raporcie Kaspersky Lab