Програма-вимагач Архіви - Блог Грідінсофт

Все, Що Потрібно Знати про Програми-вимагачі (Ransomware) в 2022: Гайд Рекомендацій

Програми-вимагачі (ransomware) вважаються одним із найнебезпечніших видів шкідливих програм. Ви можете не погоджуватися, але все ж таки випадок, коли ваші дані стають недоступними, робить всі інші загрози значно меншими. У той час як атаки шпигунських програм, бекдори або рекламне програмне забезпечення намагаються зробити їх безшумними або, принаймні, не дуже помітними, програми-вимагачі заявляють про себе у повний зріст. Знання про те, як захистити свою систему від атаки програм-вимагачів, важливі незалежно від того, хто ви — фрілансер, співробітник величезної корпорації чи полковник у відставці.

Чому Важливий Захист від Програм-вимагачів (Ransomware)?

Проблема захисту від програм-вимагачів є досить актуальною, оскільки існує більше десятка різних груп кіберзлочинців, націлених на різні категорії користувачів. Кожен з них має різні способи розповсюдження, маскування та міцність ключа шифрування. Деякі з атак вимагачів можуть бути розшифровані через нерозсудливість їх розробників, деякі мають конструктивні недоліки, які роблять шифр простим перебором, що розшифровується.

РЕКОМЕНДАЦІЯ: Ви можете спробувати найкращий інструмент захисту від шифрувальників-вимагачів – Gridinsoft Anti-Malware. Цей інструмент захисту від шкідливого ПЗ виявляє, видаляє та запобігає програмам-вимагачам.
Ми покажемо вам способи захистити себе, коли ви є простим користувачем, а також коли ви перебуваєте в корпорації, спираючись на типові прийоми, які вони використовують. Крім того, ми також пояснимо робочі етапи захисту від програм-вимагачів.

Чи важливий захист вашого ПК від програм-вимагачів (Ransomware)?

По-перше, дозвольте мені пояснити, чому атака програм-вимагачів (ransomware) є такою поганою ознакою. Йдеться не лише про те, щоб зробити ваші дані недоступними. Існує кілька інших типів шкідливих програм, які запобігають доступу користувачів до файлів. Однак значного поширення вони не набули. Такі речі, як скрінлокери, шифрувальники-архіватори та ярликові віруси просто перестали існувати — і це не просто тому, що так склалося. Ось чому дуже важливо знайти гарне та працююче рішення для захисту від атак вимагачів.

Шифрувальники-вимагачі (принаймні більшість із них) використовують дуже складний шифр, який робить практично неможливим повернення ваших даних. Точніше, навіть якщо ви використовуєте сучасний квантовий комп’ютер, ви, скоріше за все, витратите більше кількох тисяч років на підбір ключа розшифровки.

ПРИМІТКА. До списку небезпечних програм-вимагачів входять: програма-вимагач Avaddon, програма-вимагач STOP/Djvu, шифрувальник LockBit, Makop і т.д.

Але це ще не єдина катастрофа — деякі зразки програм-вимагачів несуть шпигунські ПЗ разом зі своїм основним навантаженням і збирають усі дані, до яких можуть дістатися. На жаль, ніхто (крім самих шахраїв) не може видалити вкрадені дані. Ось чому важливо знайти працюючі рішення для кращого програмного забезпечення для захисту від програм-вимагачів, щоб бути на озброєнні.

Взагалі відновлення файлів після атаки шифрувальника – складне завдання, якщо ви не збираєтесь платити викуп. Сучасні варіанти програм-вимагачів можуть видяляти тіньові копії томів, резервні копії OneDrive та інші популярні методи резервного копіювання. Шахраї часто лякають жертв тим, що будь-яка спроба відновлення файлів призведе до втрати даних.

Вони також можуть сказати, що ваші дані будуть видалені, якщо вимога про сплату викупу не буде виконана. У той час як перше частково вірне, друге – повна брехня – просто щоб налякати вас і змусити платити викуп. Проте мати справу із наслідками атаки ніколи не буває приємно. Давайте розберемося, як запобігти атакам програм-вимагачів.

Поради щодо запобігання атак програм-вимагачів (Ransomware)

Рекомендації щодо того, як залишатися в безпеці, залежать від вашого середовища. Шахраї будуть застосовувати різні підходи для атаки на окремого користувача чи співробітника компанії. Навіть коли ви працюєте вдома за своїм персональним комп’ютером, ви будете атаковані по-іншому, коли шахраї націлені не тільки на ваш комп’ютер, а й на всю компанію.

Не використовуйте сумнівних/ненадійних джерел програмного забезпечення, фільмів та інших ризикованих матеріалів. Близько 90% випадків програм-вимагачів припадає на використання сторонніх сайтів для отримання потрібних програм або фільмів, не заплативши ні копійки.
Пам’ятайте: безкоштовним може бути тільки шматок сиру в мишоловці. Великі гравці серед шифрувальників, такі як STOP/Djvu, навіть створюють свої сайти-одноденки, що імітують форуми зі зламаним софтом, або сторінки з новими фільмами для безкоштовного скачування. Торрент-трекінги, які поширюються через ці сайти, містять шкідливе ПЗ, яке виконується відразу після завершення завантаження.
Не відкривайте вкладення електронної пошти від невідомих відправників. Шахраї спробують замаскувати свої адреси електронної пошти, щоб вони виглядали законно, але уважний погляд на них покаже вам правду.
Якщо ви не впевнені, що отриманий вами електронний лист від служби доставки є реальним, не полінуйтеся перевірити список реальних адрес електронної пошти підтримки/доставки. І не будьте наївними – ніхто не пропонує отримати приз у лотереї, в якій ви ніколи не брали участі.
Будьте обережні з програмним забезпеченням, яке ви знайшли на форумах чи соціальних мережах. Не всі з них небезпечні, і не всі небезпечні містять програми здирники. Але все одно користуватись такими програмами все одно, що купувати напої у брудному під’їзді.
Ви ніколи не знаєте, справжній цей файл, або підроблений, але ви точно знаєте, хто винен у проблемах, які ви побачите наступного дня. Такий спосіб поширення досить рідкісний, але все ж таки не варто його викреслювати, особливо враховуючи високий рівень довіри до таких додатків.

Поради щодо запобігання впровадженню програм-вимагачів у корпорації

Ці поради будуть корисними як адміністраторам, так і співробітникам, яким доводиться мати справу з потенційними напрямками здійснення кібератак. Як правило, атаки на компанії здійснюються специфічними методами та не повторюють напрямки атак на фізичних осіб. Таким чином, ви можете побачити те, що є спільним для обох ситуацій.

Використовуйте захищене з’єднання RDP. Атаки RDP через брутфорс логіну та паролю є одним із найпоширеніших векторів атак. Вони використовуються для розгортання програм-вимагачів, шпигунських програм, просунутих постійних загроз (APT) і лише Бог знає чого ще. Дуже важливо контролювати цей момент; буде ідеально, якщо сисадміни самі налаштують усі RDP — щоб унеможливити будь-які невірні налаштування. Брутфорс з’єднання RDP стає доступним лише тоді, коли порти, які використовуються для встановлення з’єднання, є типовими та незахищеними. На жаль, ці порти використовуються за замовчуванням, тому недосвідчені користувачі, які вперше налаштовують RDP, швидше за все, виберуть їх.
Кластеризувати внутрішню корпоративну мережу. У більшості компаній всі комп’ютери підключені до однієї локальної мережі в одному офісі. Такий крок полегшує управління, але значно полегшує і зараження цієї мережі. Коли їх 4-5 штук, кожна з яких керується окремим ПК адміністратора, а потім — контролером домену, хакери, швидше за все, не зможуть атакувати усю мережу одразу.
Використовуйте 2FA для входу в вразливі місця. Щоб розширити свою присутність у зараженій мережі, зловмисники намагаються вкрасти облікові дані або перебрати всі місця, які можуть бути використані для поширення шкідливого ПЗ в мережі. Їхня кінцева мета – контролер домену – комп’ютер, який управляє всією мережею і має доступ до серверів. Його захист має бути максимально високим.
Ініціювати регулярну зміну пароля серед персоналу. Деякі з відомих атак сталися після витоку пароля з однієї з мереж. Крім того, просунуті атаки можуть тривати кілька місяців — а паролі, що раптово змінилися, повністю заплутати їх карти.

Як постскриптум хочу порадити уникати деяких поширених паролів — «qwerty», «12345» або щось таке. Успіх перебору є особливо важливим для таких простих паролів. Їх містять навіть найдешевші (або навіть безкоштовні) бази паролів для перебору. Використовуйте надійні паролі, щоб їх неможливо було зламати – це одна з головних запоруок успіху.

* Будь ласка, ЗВЕРНІТЬ УВАГУ: Ще однією поширеною помилкою є додавання особистої інформації в паролі. Дата народження вас чи вашого партнера, ім’я вашого, дата, коли ви приєдналися до компанії – все це дуже легко з’ясувати за допомогою даних з відкритих джерел. Майте це на увазі, створюючи таку важливу річ!

Покажіть співробітникам, як відрізнити підроблений лист від справжнього. Найчастіше саме компанії та їх електронні адреси стають цілями для подібного спаму, адже щодня надходять сотні листів. Вчитатися у деталі чи тим паче виявити підробку може просто не стати часу – особливо у “гарячі” дні перед святами.

* А кіберзлочинці не лінуються придумувати справді хитрі маскування для своїх листів. Вони можуть імітувати запити у вашу техпідтримку, пропозиції від інших компаній, повідомлення про рахунки, які потрібно сплатити компанії тощо. Немає нічого небезпечного в тому, щоб відкрити та прочитати таке повідомлення, але будь-які посилання в ньому і прикріплених файлах наражають вас на потенційну небезпеку.

*ХОЧУ НАГАДАТИ: дуже важливо вибрати для себе найкраще рішення для захисту від програм-вимагачів, щоб захистити себе та свій комп’ютер. Вивчивши необхідні матеріали та дослідження, ви захистите свій ПК від рекламного програмного забезпечення, шпигунських програм, програм-вимагачів та інших загроз.

Найкращий захист від шифрувальників-вимагачів(ransomware) можливий при постійному оновленні баз даних і, що важливіше, правильному про активному захисті. Ці дві речі вже дадуть досить високий коефіцієнт захисту. Тим не менш, проблеми більшості масових антивірусів нікуди не поділися: вони, як і раніше, можуть перевантажувати ваш ЦП/ОЗУ, а також розкидати вашу конфіденційність, надсилаючи багато телеметрії.

Ось чому я рекомендував би вам той, у якого немає обох цих недоліків — Gridinsoft Anti-Malware. Його бази даних оновлюються щогодини, а загальне споживання ЦП та ОЗУ досить низьке, щоб відповідати навіть найслабшим системам. Проактивний захист, заснований одночасно на евристичному двигуні та нейронній мережі, безперечно зробить ваш пристрій набагато більш захищеним від більшості типів шкідливих програм.

Група LockBit зазнала потужної DDoS-атаки

Минулого тижня, після злому компанії з інформаційної безпеки Entrust, хакерська група LockBit зазнала потужної DDoS-атаки. Зараз хакери кажуть, що покращили захист від DDoS і планують у майбутньому зайнятися потрійним здирством, використовуючи такі атаки як додаткові важелі впливу на жертв.

Bleeping Computer нагадує, що LockBit з’явився в 2019 році і з того часу став однією з найактивніших загроз. Раніше ми писали про те, що хакери запустили LockBit 3.0 та Bug Bounty Ransomware, а також про те, що експерти знаходять схожість між LockBit та BlackMatter.

Нагадаю, Entrust було зламано ще у червні 2022 року. Тоді компанія підтвердила ЗМІ, що Entrust зазнала атаки програми-вимагача, під час якої з її систем було викрадено дані. Крім того, на сайті, який хакерська група LockBit використовує для витоку даних, є розділ, присвячений Entrust. Зловмисники заявили, що збираються опублікувати там всю вкрадену в компанії інформацію. Зазвичай такі дії означають, що компанія-жертва відмовилася вести переговори з вимагачами або виконувати їхні вимоги.

Однак невдовзі після публікації даних Tor-сайт хакерів вийшов з ладу, і група повідомила, що зазнала DDoS-атаки саме через злом Entrust. Справа в тому, що DDoS супроводжується повідомленнями: DELETE_ENTRUSTCOM_MOTHERFUCKERS.

Lockbit: "We're being DDoS'd because of the Entrust hack"
vx-underground: "How do you know it's because of the Entrust breach?"
Lockbit: pic.twitter.com/HUO2hdTbwz
— vx-underground (@vxunderground) August 21, 2022

Як зараз пишуть журналісти Bleeping Computer, представник групи, відомий як LockBitSupp, повідомив, що група знову працює з серйознішою інфраструктурою, і тепер сайт витоку даних не боїться DDoS-атак.

Більше того, хакери заявили, що сприйняли цю DDoS-атаку як можливість вивчити тактику потрійного викупу, яка може стати в нагоді їм у майбутньому. Адже за допомогою DDoS-атак можна зробити додатковий тиск на жертв з метою виплати викуп (крім шифрування даних та загроз опублікувати вкрадену інформацію у відкритому доступі).

Шукаю дудосерів у команду, швидше за все тепер ми будемо атакувати цілі і вимагати потрійного викупу: шифрування + витік даних + дудоси, тому що я відчув силу дудосів і як це бадьорить і робить життя цікавішим.”- LockBitSup пише на форумі хакерів.

LockBit також пообіцяв поширювати всі вкрадені в Entrust дані через торрент на 300 ГБ, щоб “весь світ дізнався про ваші секрети”. При цьому представник групи пообіцяв, що спочатку хакери ділитимуться даними Entrust у приватному порядку з усіма, хто з ними зв’яжеться. Журналісти зазначають, що у вихідні LockBit вже випустив торрент під назвою «entrust.com», що містить 343 ГБ інформації.

https://twitter.com/masterchaerge/status/1563525794785140738?s=20&t=-AyXzSMur3sTjZBdfQ5RFg

Що стосується захисту від DDoS-атак, то одним із методів, що вже реалізовані хакерами, є використання унікальних посилань у записках з вимогою викупу.

“Вже реалізована функція рандомізації посилань у нотатках локера, кожна збірка локера матиме унікальне посилання, яке дудосер не зможе розпізнати”, – говорить LockBitSupp.

Хакери також заявили про збільшення кількості дзеркал і резервних серверів, а також планують підвищити доступність вкрадених даних, опублікувавши їх у звичайному інтернеті та використовуючи для цього «куленепробивний» хостинг.

Прекурсори програм-вимагачів. Що це?

Нещодавно дослідники з компанії Lumu Technologies опублікували досить інформативну флеш-картку про програми-вимагачі. У 2021 році вони зібрали 21 820 764 індикаторів компромісу, які були пов’язані з одним із важливих етапів атаки програми-вимагача — прекурсор програми-вимагача.

Що таке прекурсор програм-вимагачів?

Фахівці з Lumu Technologies зазначають, що атаки програм-вимагачів не виникають нізвідки. Навпаки, вони часто ретельно й прискіпливо організовані. А попередник програм-вимагачів є важливою частиною всього ансамблю.

Хакери покладаються на ці види шкідливого програмного забезпечення, щоб зібрати необхідну інформацію в цільовій мережі та підготувати налаштування для крадіжки та шифрування даних. Тут криється можливість. Виявивши попередник програм-вимагачів, спеціалісти з кібербезпеки зможуть успішно зупинити повномасштабну атаку програм-вимагачів.

Повномасштабна атака програм-вимагачів є кінцевим результатом ланцюга, який починається з, здавалося б, не надто шкідливого зловмисного програмного забезпечення», — пишуть фахівці з Lumu Technologies у Flashcard.

Перервання будь-якого зв’язку зі зловмисними командно-контрольними серверами гарантує, що подальший етап атаки не буде виконано. За допомогою зловмисного програмного забезпечення-прекурсора хакери переміщуються по мережі і отримують доступ перед фактичним розгортанням зловмисного програмного забезпечення, яке краде та шифрує дані.

Прекурсори програм-вимагачів. Що це? — Візуалізований ланцюжок атаки програми-вимагача

Щоб спростити, ланцюжок атак програм-вимагачів складається з початкового доступу, це може бути фішинг, уразливість або зловмисне програмне забезпечення; потім з’являється попереднє шкідливе програмне забезпечення, як Dridex, Emotet і TrickBot. І останній етап — це фактичний вимагач, який краде та шифрує дані.

Чому це не варіант просто заплатити викуп?

Після шифрування файлів програма вимагає сплатити викупу за ключ дешифрування. Злочинці пишуть свої записки про викуп таким чином, щоб переконати жертву, що єдиний найдешевший і найпростіший спосіб – сплатити цей викуп.

Але часто фахівці з кібербезпеки попереджають, що тут немає нічого дешевого і легкого. Навпаки, більше негативних наслідків від сплати вимаганого викупу.

Найочевиднішою причиною побоювань з міркувань кібербезпеки може бути те, що у вас немає реальних гарантій того, що ви отримаєте свої файли назад. Хоча деякі групи загроз люб’язно обіцяють повернення даних.

Крім того, ви також не маєте гарантій, що у вашій системі не зостався залишок програми-вимагача. Уявіть, що ви щойно заплатили викуп, і ось вона знову повернулася. Ваші файли зашифровані.

І по-третє, у деяких країнах існують правові наслідки сплати викупу. Крім перерахованого вище, ви можете отримати проблеми із законом.

Статистика спеціалістів з Lumu щодо прекурсорів програм-вимагачів

Фахівці з Lumu Technologies також зібрали коротку статистику про те, яке саме шкідливе програмне забезпечення використовувалося як прекурсор програм-вимагачів. Така інформація стане в нагоді фахівцям з кібербезпеки, які зможуть «полювати» на конкретну загрозу.

Emotet, спочатку банківський троян, еволюціонував, і тепер включає доставку зловмисного програмного забезпечення та розсилку спаму, зайнявши перше місце, складаючи три чверті виявленого зловмисного програмного забезпечення-прекурсора в 2021 році. Це шкідливе програмне забезпечення працює разом у ланцюжку програм-вимагачів також із TrickBot для розгортання програм-вимагачів Conti та Ryuk.

Phorpiex посів друге місце серед найбільш виявлених зловмисних програм-прекурсорів з 13% у 2021 році. Раніше Phorpiex використовувався для криптоджекінгу, але тепер він використовується для розгортання Pony, GandCrab, DSoftCrypt/ReadMe, BitRansomware, Nemty та Avaddon.

Dridex, який, як відомо, використовувався для крадіжки банківських облікових даних, тепер розгортає BitPaymer і DoppelPaymer. Було помічено, що Ursnif розгортає Egregor.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів

Якщо ви один з тих криптовалютних ентузіастів на Діскорд, то наведена нижче інформація точно для вас. Дослідники з кібербезпеки попереджають про новий вид криптору, який спеціально використовується в атаках на криптовалютні спільноти. Вони кажуть, що під загрозою цього зловмисного програмного забезпечення стоять такі криптоспільноти, як DeFi, NFT і Crypto. Для тих, хто не надто цікавиться усією цією криптовалютною справою, NFT це невзаємозамінні токени. Цей термін позначає унікальні токени, які дають право власності на дані, що зберігаються на блокчейн технології. За декілька років вся індустрія значно зросла, оцінювана вартість якої, складає тепер понад 2,5 трильйона доларів.

Всередині індустрії люди використовують Діскорд, групову платформу для спілкування, де можна приєднатися до будь-якого чату та надсилати один одному приватні повідомлення. Криптору, що атакує такі спільноти фахівці дали назву Бабадеда (за російськомовною назвою плейсхолдера, який використовується в програмі). Криптор легко обходить антивірусну на основі сигнатур детекцію. Під час останніх кампаній зловмисники використовували Бабадеда для доставки RAT, викрадачів інформації та навіть програм-вимагачів LockBit.

Для створення ілюзії справжності у Діскорд хакери застосували ряд заходів

Для проведення кампанії хакер створив бота Діскорд на офіційному каналі компанії. Вони надсилали нічого не підозрююючим жертвам приватні повідомлення із запрошенням завантажити програму, яка дасть користувачеві доступ до нових функцій та/або додаткових переваг. Багато людей прийняли їх за справжні, все виглядало так, ніби вони були прислані від компанії. Повідомлення містили URL-адресу, яка спрямовувала користувача на підроблений сайт. Все було організовано так, щоб користувач завантажив шкідливу програму-інсталятор.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів — “Нібито” справжні повідомлення, що отримували користувачі на Діскорд

Для стоворення ілюзії справжності хакери застосували додаткових мір. Серед них:

Підроблена сторінка мала дуже схожий на оригінальну сторінку інтерфейс користувача;

Хакери підписували домени сертифікатом (через LetsEncrypt), який вмикав з’єднання HTTPS;

Вони також використовували техніку під назвою кіберсквоттинг. Це коли додаються або видаляються літери з оригінального домену або домену верхнього рівня для створення фейкового;

Коли користувач натискав «Завантажити додаток», сайт перенаправляв запит на завантаження на інший домен через /downland.php,. Така схема вможливлювала непоміченість фейковості сайту. Фахівці з кібербезпеки виявили 82 доменів, створені в період з 24 липня 2021 року по 17 листопада 2021 року. Вони також знайшли різні варіанти криптору. Усі вони мали однаковий основний потік виконання. Зловмисники приховували криптор всередині офіційних програм, що ускладнювало його виявлення.

Одразу за тим, як користувач завантажує шкідливий інсталятор через несправжній Діскорд чат, починає виконуватися процес копіювання стиснутих файлів в щойно створену папку з ім’ям цілком непримітного якогось застосунка як “Монітор здоров’я додатків IIS” використовуючи один з наступних шляхів каталогу:
C:\Users\<користувач>\AppData\Local\
C:\Users\\AppData\Roaming\

Короткі технічні деталі роботи криптора

Програма починає встановлення і копіювання шкідливих файлів разом з іншими безкоштовними файлами або файлами з відкритим вихідним кодом. Після завершення видалення файлів починається виконання через основний виконуваний файл. На цьому етапі з’являється фейкове повідомлення про помилку програми, певно зроблено для того, щоб змусити користувача подумати, що програма вийшла з ладу, поки вона все ще продовжує працювати у фоновому режимі. Після ретельного огляду коду функції фахівці з кібербезпеки виявили, що він набагато довший, ніж фактичний код завантаження DLL. Це було зроблено спеціально для того, щоб приховати справжні функціональності програми та ускладнити її виявлення антивірусами. Наступний етап виконання відбувається всередині додаткового файлу, зазвичай це файл PDF або XML. Але фахівці з кібербезпеки відзначають, що вони також спостерігали використання таких файлів, як PNG, Text або JavaScript. Далі слідує складний ряд дій, який занадто довгий, щоб помістити його в одну публікацію.

Будемо коротко. Завершальним етапом є фіксація таблиці адрес імпорту та таблиці переміщення знову введеного PE. І зловмисне програмне забезпечення переходить до точки входу щойно введеного PE з оригінальними аргументами командного рядка.