Программы-вымогатели размером с песчинку, они повсюду. И они могут зашифровать больше, чем вы думаете. Уничтожение ваших личных файлов — это большая потеря, но когда программа-вымогатель атакует ваши копии, эта боль усиливается еще больше.
Существует несколько вариантов программ-вымогателей, которые атакуют не только жесткие диски, но и другие системные диски, не остались без внимания и облачные диски. Итак, пришло время вам точно определить, что такое резервные копии файлов и где они хранятся.
Программы-вымогатели атакуют повсюду
Мы знаем, что атака программы-вымогателя может иметь разрушительные последствия. Программа-вымогатель представляет собой особое препятствие, поскольку ее целевыми файлами являются изображения, музыка, фильмы и документы всех видов. На вашем жестком диске хранятся личные, рабочие и деловые файлы, которые являются основными объектами шифрования. После шифрования вы увидите сообщение о выкупе с требованием оплаты — обычно в биткойнах, которые трудно отследить — за безопасное освобождение ваших файлов.
И даже в этом случае нет никакой гарантии, что вы получите пароль шифрования или инструмент для дешифрования.
КриптоЛоккер
CryptoLocker — это вариант программы-вымогателя, которая может зашифровать несколько ваших жестких дисков. Впервые он появился в 2013 году и распространялся через зараженные вложения электронной почты. Когда CryptoLocker установлен на компьютер, он может сканировать жесткий диск на наличие определенного списка расширений файлов. Кроме того, он сканирует все диски, подключенные к машине, будь то USB или сетевые.
Сетевой диск с доступом на чтение/запись будет зашифрован так же, как и жесткий диск. Это проблема для предприятий, сотрудники которых имеют доступ к общим сетевым папкам.
К счастью, исследователи безопасности опубликовали копию базы данных жертв CryptoLocker и сопоставили каждое шифрование. Они создали портал Decrypt CryptoLocker, чтобы помочь жертвам расшифровать свои файлы.
Эволюция: КриптоФортресс
Появился CryptoLocker и заявил, что у него 500 000 жертв. По словам Кейта Джарвиса из Dell SecureWorks, CryptoLocker мог получить 30 миллионов долларов за первые 100 дней после операции по вымогательству (эта цифра увеличилась бы до 150 миллионов долларов, если бы каждая жертва заплатила выкуп по 300 долларов). Однако удаление CryptoLocker не является началом предотвращения программ-вымогателей, отображающих сетевые драйверы.
CryptoFortress был обнаружен в 2015 году исследователем безопасности Кафеином. Он имеет внешний вид и подход TorrentLocker, но является одним из ключевых усовершенствований; он может шифровать несопоставленные сетевые драйверы.
Обычно программа-вымогатель получает список подключенных сетевых дисков, например C:, D:, E: и т. д. Затем она сканирует диски, сравнивает расширения файлов и шифрует их.Шифрование соответствующих файлов. Кроме того, CryptoFortress перечисляет все открытые сетевые ресурсы Server Message Block (SMB) и шифрует все, что они обнаруживают.
Локки
Locky — еще один вариант программы-вымогателя, известный тем, что изменяет отдельные файлы на .locky, а также Wallet.dat — кошелек Биткойна. Locky также нацелен на файлы на компьютерах или файлы в несопоставленных сетевых ресурсах, изменяя файлы в процессе. Этот хаос усложняет процесс восстановления.
Кроме того, у Locky нет декодера.
Программы-вымогатели в облаке
Программа-вымогатель обходит сеть и физическую память компьютера, а также выходит за пределы облачных данных. Это важный вопрос. Облачное хранилище часто рекламируется как один из самых безопасных вариантов резервного копирования, сохраняя резервные копии ваших данных вдали от внутренних сетевых ресурсов и создавая изоляцию от окружающих опасностей. Но, к сожалению, варианты программ-вымогателей обходят эту защиту.
Согласно отчету RightScale State of the Cloud, 82% предприятий используют мультиоблачную стратегию. А дальнейшее исследование (электронная книга Slideshare) компании Intuit показывает, что к 2020 году 78% малых предприятий будут использовать облачные функции. Этот радикальный сдвиг со стороны больших и малых предприятий делает облачные сервисы основной мишенью для поставщиков программ-вымогателей.
Ransom_Cerber.cad
Поставщики вредоносных программ найдут способ обойти эту проблему. Социальная инженерия и фишинг электронной почты являются ключевыми инструментами, и их можно использовать для обхода надежных мер безопасности. Исследователи безопасности Trend Micro обнаружили специальный вариант программы-вымогателя под названием RANSOM_CERBER.CAD. Он предназначен для домашних и бизнес-пользователей Microsoft 365, облачных вычислений и платформ повышения производительности.
Вариант Cerber может шифровать 442 типа файлов с использованием комбинации AES-265 и RSA, изменять настройки зоны Internet Explorer на компьютере, удалять теневые копии, отключать восстановление при загрузке Windows и завершать работу программ Outlook, The bat!, Thunderbird и Microsoft Word.
Более того, и это поведение характерно для других вариантов программ-вымогателей, Cerber запрашивает географическое расположение зараженной системы. Если хост-система является членом Содружества Независимых Государств (страны бывшего Советского Союза, такие как Россия, Молдова и Беларусь), программа-вымогатель автоматически прекратит работу.
Облако как инструмент заражения
Программа-вымогатель Petya впервые появилась в 2016 году. Это делает всю систему непригодной для использования. Затем, после перезагрузки, вместо этого отображалась записка о выкупе Petya с изображением черепа и просьбой об оплате в биткойнах.
Во-вторых, Petya распространился на несколько систем через зараженный файл, хранившийся в Dropbox и маскирующийся под резюме. Ссылка замаскирована под сведения о приложении, хотя на самом деле она ведет на самораспаковывающийся исполняемый файл для установки программы-вымогателя.
К счастью, анонимный программист нашел способ взломать шифрование Пети. Этот метод позволяет обнаружить ключ шифрования, необходимый для разблокировки MBR и освобождения захваченных файлов.
Использование облачных сервисов для распространения программ-вымогателей вполне понятно. Пользователям рекомендуется использовать облачные решения для резервного копирования данных, поскольку они обеспечивают дополнительный уровень безопасности. Безопасность — ключ к успеху облачных сервисов. Однако доверие пользователей к облачной безопасности может быть использовано в плохих целях.
Суммируя
Облачное хранилище, подключенные или несопоставленные сетевые драйверы и системные файлы остаются уязвимыми для программ-вымогателей. Это уже не новость. Однако распространители вредоносного ПО активно атакуют файлы резервных копий, что повышает уровень беспокойства пользователей. Напротив, необходимо принять дополнительные меры предосторожности .
Домашним и деловым пользователям следует создавать резервные копии важных файлов на съемных жестких дисках. Принятие мер сейчас — это действие, которое поможет вам восстановить вашу систему после нежелательного заражения программой-вымогателем из ненадежного источника.