Современная преступность отходит от традиционных приемов типа «гоп-стоп» и очень даже активно применяет современные технологии. 21-й век... Причем, те, кто все-таки освоил новые технологии для совершения противоправных действий, как правило отличаются «умом и сообразительностью» (с). И это на фоне пугающей безграмотности пользователей!
Встретил на портале Касперского пару статеек. Вот их и решил запостить. Для повышения общего градуса образованности, так сказать. Сначала пользователям ПК. Причем, на базе OS WINDOWS. Таких подавляющее большинство.
Как правило, вымогатели не являются чем-то уж особо страшным. Однако их новая разновидность, например CryptoLocker, вызывает особую тревогу, так как эти преступники не просто запугивают, а на самом деле шифруют содержимое вашего компьютера при помощи сильной криптографии.
Если вы до сих пор не в курсе, то существует целый ряд программ-вымогателей, которые при заражении какого-либо компьютера сообщают его хозяину, что система якобы заблокирована. И для разблокировки нужно заплатить выкуп. Понятно, что нет никакой гарантии, что этот выкуп как-то поможет. Иногда компьютер остается заблокированным и после перечисления дани по указанному адресу. А сам факт выкупа только подстегивает вымогателей на дальнейшее вытягивание денег из хозяина. Но от большинства программ такого плана легко избавиться с помощью антивируса или специальных утилит, а вот с CryptoLocker нет легких рецептов. Он шифрует ваши файлы, и никакого простого способа расшифровки нет.
Мы пишем о многих серьезных угрозах здесь, которые или сами по себе интересны, или же вы уже слышали о них в новостях. Нам очень хочется объяснить вам, как эти угрозы работают и что из себя представляют. О способах борьбы тоже рассказываем. Однако если многие угрозы не вызывают у нас особых опасений, поскольку они легко лечатся, то в случае с криптолокерами все гораздо неприятнее. Без правильно хранимых резервных копий CryptoLocker способен свести на нет плоды недельной, месячной или годичной работы.
Совсем неудивительно, что некоторые жертвы, компьютеры которых были заблокированы, после оплаты выкупа так и не получали ключа разблокировки. Хотя, по некоторым сообщениям, хакеры все же стали рассылать ключи-дешифраторы. На данный момент известно о нескольких группах, использующих атаки на основе CryptoLocker. Об одной такой группе я написал в прошлом месяце. Заражению и шифровке подвергались фотографии, видео, документы и многое другое. Атакующие даже присылали жертвам полные списки заблокированных файлов. Для блокировки использовалось асимметричное шифрование RSA-2048 с уникальным для каждого компьютера секретным ключом. Вымогатели выводили на экран жертвы информацию о том, что этот ключ действителен всего лишь три дня, после чего уничтожается. И если за это время жертва не выкупала ключ, то данные восстановить уже было никак нельзя. Кстати, обычная сумма выкупа составляет $300, которые можно перевести различными способами, в том числе и биткоинами.
Масштаб угрозы оказался таким, что в дело включилась группа US-CERT (центр реагирования на компьютерные инциденты). Именно этой группе поручено изучить и проанализировать все аспекты возникшей угрозы. Группа подтвердила высокую опасность криптолокеров, однако рекомендовала в любом случае не платить выкупа вымогателям.
По большей части CryptoLocker распространяется через фишинговые письма, причем в ряде случаев используются письма от известных компаний. Например, службы отслеживания посылок и уведомлений UPS или Federal Express. По словам Костина Райюиз «Лаборатории Касперского», эта угроза в первую очередь направлена на пользователей из США, Великобритании, а также Индии, Канады, Франции и Австралии.
Некоторые версии CryptoLocker, как сообщается, способны шифровать не только локальные файлы, но также подключенные съемные хранилища. Например, опасности могут подвергаться USB-флешки, переносные жесткие диски, карты памяти, а также сетевые устройства и облачные хранилища, которые могут синхронизировать данные локального диска с серверами. US-CERT предупреждает также, что этот вредонос может передаваться в локальной сети от машины к машине, поэтому необходимо незамедлительно отключать инфицированный компьютер от сети.
Авторитетный исследователь безопасности и журналист Брайан Кребс рассказал не так давно, что вымогатели увеличили 72-часовой срок на более длинный из-за нежелания терять большие деньги, которые жертвы не могут по разным причинам быстро заплатить. Например, не могут быстро разобраться с тем, как платить через Bitcoin или MoneyPak. В этом случае «контрольный срок» остается в силе, но ключ не уничтожается по его окончании. Правда, за просроченный ключ придется заплатить в 5–10 раз больше.
Лоуренс Абрамс с сайта о технической поддержке BleepingComputer.com, на которого в своей статье как раз и ссылается Кребс, утверждает, что у ряда физических и юридических лиц просто нет выбора, кроме как заплатить этот выкуп. Я же с этим не согласен — это должно быть делом принципа. Если вы будете платить выкуп, то это только подстегнет злоумышленников на дальнейшие вымогательства. Поэтому рекомендую, не откладывая в долгий ящик, сделать резервную копию системы и всех ценных данных прямо сейчас, а также делать такие копии регулярно. И не держите хранилище с этими копиями постоянно подключенным к вашему компьютеру. И если вы заразились этой гадостью, то просто вылечите ее (это несложно, в отличие от расшифровки файлов) и только тогда подключите диск с резервной копией к машине и восстановитесь.
Совсем неудивительно, что некоторые жертвы, компьютеры которых были заблокированы, после оплаты выкупа так и не получали ключа разблокировки. Хотя, по некоторым сообщениям, хакеры все же стали рассылать ключи-дешифраторы. На данный момент известно о нескольких группах, использующих атаки на основе CryptoLocker. Об одной такой группе я написал в прошлом месяце. Заражению и шифровке подвергались фотографии, видео, документы и многое другое. Атакующие даже присылали жертвам полные списки заблокированных файлов. Для блокировки использовалось асимметричное шифрование RSA-2048 с уникальным для каждого компьютера секретным ключом. Вымогатели выводили на экран жертвы информацию о том, что этот ключ действителен всего лишь три дня, после чего уничтожается. И если за это время жертва не выкупала ключ, то данные восстановить уже было никак нельзя. Кстати, обычная сумма выкупа составляет $300, которые можно перевести различными способами, в том числе и биткоинами.
Масштаб угрозы оказался таким, что в дело включилась группа US-CERT (центр реагирования на компьютерные инциденты). Именно этой группе поручено изучить и проанализировать все аспекты возникшей угрозы. Группа подтвердила высокую опасность криптолокеров, однако рекомендовала в любом случае не платить выкупа вымогателям.
По большей части CryptoLocker распространяется через фишинговые письма, причем в ряде случаев используются письма от известных компаний. Например, службы отслеживания посылок и уведомлений UPS или Federal Express. По словам Костина Райюиз «Лаборатории Касперского», эта угроза в первую очередь направлена на пользователей из США, Великобритании, а также Индии, Канады, Франции и Австралии.
Некоторые версии CryptoLocker, как сообщается, способны шифровать не только локальные файлы, но также подключенные съемные хранилища. Например, опасности могут подвергаться USB-флешки, переносные жесткие диски, карты памяти, а также сетевые устройства и облачные хранилища, которые могут синхронизировать данные локального диска с серверами. US-CERT предупреждает также, что этот вредонос может передаваться в локальной сети от машины к машине, поэтому необходимо незамедлительно отключать инфицированный компьютер от сети.
Авторитетный исследователь безопасности и журналист Брайан Кребс рассказал не так давно, что вымогатели увеличили 72-часовой срок на более длинный из-за нежелания терять большие деньги, которые жертвы не могут по разным причинам быстро заплатить. Например, не могут быстро разобраться с тем, как платить через Bitcoin или MoneyPak. В этом случае «контрольный срок» остается в силе, но ключ не уничтожается по его окончании. Правда, за просроченный ключ придется заплатить в 5–10 раз больше.
Лоуренс Абрамс с сайта о технической поддержке BleepingComputer.com, на которого в своей статье как раз и ссылается Кребс, утверждает, что у ряда физических и юридических лиц просто нет выбора, кроме как заплатить этот выкуп. Я же с этим не согласен — это должно быть делом принципа. Если вы будете платить выкуп, то это только подстегнет злоумышленников на дальнейшие вымогательства. Поэтому рекомендую, не откладывая в долгий ящик, сделать резервную копию системы и всех ценных данных прямо сейчас, а также делать такие копии регулярно. И не держите хранилище с этими копиями постоянно подключенным к вашему компьютеру. И если вы заразились этой гадостью, то просто вылечите ее (это несложно, в отличие от расшифровки файлов) и только тогда подключите диск с резервной копией к машине и восстановитесь.
Некоторые антивирусы, к сожалению, удаляют CryptoLocker уже после того, как файлы зашифрованы. В этом случае если у жертвы и возникло желание отправить вымогателям выкуп, то сделать это уже проблематично. Кстати, интересное решение этой проблемы придумали сами авторы криптолокера. Они стали использовать в качестве информации о себе системные обои. В этом случае у жертвы даже после удаления криптолокера на обоях оставалась информация о том, где заново скачать себе вирус, чтобы расшифровать свою информацию.
Хорошие новости для пользователей Kaspersky Internet Security состоят в том, что мы блокируем все модификации CryptoLocker еще до запуска, поэтому не даем им шанса на захват системы.
Хорошие новости для пользователей Kaspersky Internet Security состоят в том, что мы блокируем все модификации CryptoLocker еще до запуска, поэтому не даем им шанса на захват системы.
PS. От себя. Несколько раз пробовал поймать данную хрень в виде эксперимента на виртуальной машине. Антивирус Касперского очень даже достойно себя повел. Из того, что я успел понять о данном зловреде, это то, что для его распространение используются методы социальной инженерии. Вам на мыло приходит письмецо от человека, вам хорошо знакомого, только с ящика не его. Внутри архив ZIP. И текст типа "Глянь. Это то самое, о чем я тебе говорил". Естественное желание любого человека - двойной клик по архиву. И все... Винт начинает усиленно клацать головками производя чтение-запись. Иначе говоря, поиск пользовательских файлов и их шифрацию. Есть одно но. Само запускаемое тело не способно произвести какие-либо вредные манипуляции. При дойном клике запускается скрипт, который докачивает с нета сам зловред и по окончании работы зловреда ключ на сервер закидывает. Способ защиты - сетевой экран, антивирь и мозги. Если все-таки платить не хочется, то можно попробовать просканить на предмет стертых и переписанных файлов. может и помочь. Но маловероятно. Растут в профессиональном плане. Развиваются.
Осенью прошлого года мы рассказывали о зловредной программе под названием CryptoLocker, которая намертво шифрует содержимое Windows-компьютера и требует выкуп за восстановление данных. И хотя аппетиты злоумышленников трудно назвать скромными, никаких гарантий того, что в обмен на деньги они пришлют ключ для дешифровки данных, никто не дает. Так вот, похоже, что теперь аналогичная зараза может подкинуть проблем владельцам устройств на базе Android: на днях стало известно о появлении под эту платформу программы-вымогателя, практически полностью блокирующей смартфон. Причем распространяется она среди злоумышленников с упоминанием печально известного криптолокера, что, конечно, заставляет напрячься: все-таки вымогатели-шифровальщики на Android — это пока еще экзотика. Впрочем, на самом ли деле новая программа так же опасна, как и ее десктопный аналог?
Практически все программы-вымогатели работают по одному и тому же принципу: блокируют управление операционной системой и требуют деньги за то, чтобы все вернулось на свои места. Чаще всего, правда, такие зловреды действуют сравнительно примитивно, серьезного ущерба системе не наносят и нейтрализуются без особых проблем. Но CryptoLocker — совсем другое дело: эта зараза не просто блокирует компьютер, но зашифровывает некоторые важные файлы при помощи сильной криптографии. Единственный способ расшифровать их — применить специальный ключ, которым, как нетрудно догадаться, злоумышленники готовы поделиться только за хорошее вознаграждение.
Ответственность за новый Android-зловред вменяется группе, несколько лет назад распространявшей другой блокер-вымогатель — программу Reveton. Одним из первых специалистов, обнаруживших заразу, оказался известный в определенных кругах исследователь-безопасник под ником Kafeine.Он выяснил, что, когда жертва с Android-устройством заходит на сайт, зараженный данным конкретным штаммом зловреда, сервер тут же перенаправляет пользователя на порносайт, который, в свою очередь, использует методы социальной инженерии для того, чтобы вынудить его скачать файл APK. Именно этот пакет, маскирующийся под порноприложение, и содержит вредоносный код.
Таким образом, с одной стороны, у нас есть хорошие новости: новый блокер создаст проблемы только в том случае, если вы по глупости или недосмотру пустите его к себе на смартфон, самостоятельно установив программу. Так что если вы пользуетесь только официальным магазином Google Play и не ходите по подозрительным сайтам, то бояться вам нечего. С другой стороны, есть новости похуже: попав в систему, зловред действительно блокирует доступ к основным функциям операционки. В частности, попытки запустить любое приложение, вызвать какую-либо функцию или даже просто открыть список запущенных программ оказываются бесполезны.
Ответственность за новый Android-зловред вменяется группе, несколько лет назад распространявшей другой блокер-вымогатель — программу Reveton. Одним из первых специалистов, обнаруживших заразу, оказался известный в определенных кругах исследователь-безопасник под ником Kafeine.Он выяснил, что, когда жертва с Android-устройством заходит на сайт, зараженный данным конкретным штаммом зловреда, сервер тут же перенаправляет пользователя на порносайт, который, в свою очередь, использует методы социальной инженерии для того, чтобы вынудить его скачать файл APK. Именно этот пакет, маскирующийся под порноприложение, и содержит вредоносный код.
Таким образом, с одной стороны, у нас есть хорошие новости: новый блокер создаст проблемы только в том случае, если вы по глупости или недосмотру пустите его к себе на смартфон, самостоятельно установив программу. Так что если вы пользуетесь только официальным магазином Google Play и не ходите по подозрительным сайтам, то бояться вам нечего. С другой стороны, есть новости похуже: попав в систему, зловред действительно блокирует доступ к основным функциям операционки. В частности, попытки запустить любое приложение, вызвать какую-либо функцию или даже просто открыть список запущенных программ оказываются бесполезны.
Так выглядит выводимое блокером на экран сообщение с предупреждением (скриншот Kafeine)
При каждом подобном действии на экране появляется сообщение, в котором пользователь обвиняется в просмотре и распространении порнографии, а также предупреждение о том, что за эти деяния пользователю светит тюремный срок от 5 до 11 лет, так что, дескать, неплохо бы заплатить $300, чтобы избежать наказания. На сегодняшний день версия данного зловреда включает в себя варианты сообщений для жертв в более чем 30 странах, в том числе США, Германии, Франции, Испании, Великобритании. России в списке не оказалось, несмотря на то что оригинальный рекламный текст, при помощи которого злоумышленники распространяют зловред и который был обнаружен исследователем, написан на русском языке.
Но вернемся к главному вопросу: опасен ли этот блокер так же, как его десктопный прародитель? Судя по всему, нет: программа лишь не дает пользователю добраться до приложений и настроек, сами же данные остаются нетронутыми, в целости и сохранности. Почему и зачем распространители зловреда упоминают CryptoLocker в своей рекламе — пока что до конца неясно. Вполне вероятно, что это банальная спекуляция на громком имени с целью подогреть спрос на свою поделку. С другой стороны, не исключено, что это задел на будущее и одна из следующих модификаций действительно будет способна намертво шифровать содержимое смартфона на базе Android.
Как бы там ни было, как только нам будут известны новые подробности — сразу же вам о них расскажем. Будьте внимательны и не забывайте регулярно читать наш блог.
Но вернемся к главному вопросу: опасен ли этот блокер так же, как его десктопный прародитель? Судя по всему, нет: программа лишь не дает пользователю добраться до приложений и настроек, сами же данные остаются нетронутыми, в целости и сохранности. Почему и зачем распространители зловреда упоминают CryptoLocker в своей рекламе — пока что до конца неясно. Вполне вероятно, что это банальная спекуляция на громком имени с целью подогреть спрос на свою поделку. С другой стороны, не исключено, что это задел на будущее и одна из следующих модификаций действительно будет способна намертво шифровать содержимое смартфона на базе Android.
Как бы там ни было, как только нам будут известны новые подробности — сразу же вам о них расскажем. Будьте внимательны и не забывайте регулярно читать наш блог.
PS. От себя. Сегодня видел такой смарт. Работоспособность смарта вернул с помощью прошивки. А вот с данными людям пришлось попрощаться. Все фотографии зашифрованы. Открыть возможности небыло. На флешку много процедур чтения-записи производилось за последнее время.
Свежие комментарии