Поиск сообщества
Showing results for tags 'wannacryptor'.
Найдено: 4 результата
-
Год назад программа-вымогатель WannaCryptor.D (также известная как WannaCry и WCrypt) вызвала одни из самых разрушительных последствий в цифровом мире. И хотя сама угроза уже не представляет большой опасности, эксплойт EternalBlue, который вызвал волну распространения, по-прежнему угрожает системам без надлежащей защиты и примененных исправлений. По данным телеметрии ESET, его распространенность в течение последних нескольких месяцев растет, а недавно уровень выявления угрозы превзошел самые высокие показатели 2017 года. EternalBlue использует уязвимость (в Microsoft Security Bulletin MS17-010) реализации протокола Server Message Block (SMB) в устаревшей версии Microsoft. В результате атаки киберпреступники сканируют Интернет на наличие открытых портов SMB, а обнаружив их, запускают код эксплойта. При наличии уязвимости злоумышленники запускают выбранный под жертву компонент. Именно с помощью этого механизма год назад через сеть распространялась угроза WannaCryptor.D. Согласно данным телеметрии ESET, в течение следующих месяцев после пика распространения WannaCryptor количество попыток использовать эксплойт EternalBlue уменьшилась до сотни в день. Однако с сентября прошлого года использование угрозы начало медленно расти, достигнув новых высоких показателей в середине апреля 2018 года. Выявления EternalBlue в течение 2017-2018 годов в соответствии с ESET Live Grid® Стоит отметить, что метод проникновения EternalBlue на компьютеры пользователей не является успешным на устройствах с защитой ESET. Один из нескольких уровней защиты — Модуль защиты сети от атак — блокирует эту угрозу на начальном этапе. Это подтвердилось во время распространения WannaCryptor 12 мая 2017, а также всех предыдущих и последующих атаках киберпреступников. Напомним, эксплойт EternalBlue использовался во многих высокопрофильных кибератаках. Кроме WannaCryptor, эксплойт также применялся во время атаки Diskcoder.C (также известная как Petya, NotPetya и ExPetya) в июне 2017 года, а также программы-вымогателя BadRabbit в 4-м квартале 2017 года. EternalBlue также использовался группой киберпреступников Sednit (также известная как APT28, Fancy Bear и Sofacy) для атак сетей Wi-Fi в европейских отелях. Кроме этого, эксплойт стал одним из механизмов распространения вредоносных программ для майнинга криптовалюты. А совсем недавно EternalBlue был использован для распространения программы-вымогателя Satan. Напомним, эксплойт EternalBlue якобы был похищен из Агентства национальной безопасности (NSA), вероятно, в 2016 году. В Интернет угроза попала 14 апреля 2017 благодаря группе Shadow Brokers. Компания Microsoft опубликовала обновление, которое фиксируют уязвимость SMB 14 марта 2017, но до сих пор в реальной среде есть множество машин без примененных исправлений. Этот эксплойт и все атаки с его использованием показывают важность своевременного применения исправлений, а также потребность в надежном и многоуровневом решении для защиты, которое может заблокировать этот и другие вредоносные инструменты. Пресс-выпуск.
-
ESET (/исэ́т/) обновила бесплатную утилиту для восстановления данных, зашифрованных трояном-шифратором Crysis. Теперь утилитой могут воспользоваться жертвы вымогателя, данные которых зашифрованы с расширениями .wallet и .onion. Кроме того, инструмент помогает вернуть доступ к файлам, получившим расширения .xtb, .crysis, .crypt, .lock, .crypted и .dharma. Crysis — программа-вымогатель, которая шифрует файлы и требует выкуп за их восстановление. 14 ноября 2016 года на сайте BleepingComputer.com была опубликована первая партия мастер-ключей для расшифровки Crysis. На тот момент антивирусные продукты ESET NOD32 детектировали различные версии шифратора в 123 странах мира, около 5% обнаружений пришлось на Россию. ESET обновляет инструмент для дешифровки по мере появления новых ключей. Ранее ESET выпустила утилиту для проверки рабочих станций на предмет защиты от шифратора WannaCry и других вредоносных программ, распространяющихся с помощью эксплойта EternalBlue для уязвимости Microsoft Windows. Утилита проверяет список установленных обновлений безопасности и ищет патч MS17-010, закрывающий уязвимость. Антивирусные продукты ESET блокируют сетевые атаки с использованием EternalBlue, а также распознают все модификации шифраторов Crysis и WannaCry. Утилиты для защиты от шифраторов доступны для скачивания на сайте ESET: — дешифратор для жертв Crysis https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe — проверка защиты от эксплойта EternalBlue https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe Пресс-выпуск.
-
- wannacryptor
- wannacry
-
(и ещё %d)
C тегом:
-
Что случилось? Вирусная эпидемия. Начиная с 12 мая организации в 150 странах мира стали жертвой трояна-шифратора WannaCryptor (WannaCry, Wcry). Он шифрует ценные файлы, базы данных, почту, после чего выводит на экран требование выкупа за восстановление доступа — 300 долларов в биткоин-эквиваленте. На момент публикации на счет злоумышленников поступило более 80 тысяч долларов. Прибыль сравнительно невелика — в отличие от ущерба, который атака нанесла пользователям по всему миру. Чем опасен WannaCryptor? Сам по себе шифратор WannaCryptor не является сложной или особо опасной угрозой. Масштаб эпидемии обусловлен его связкой с эксплойтом EternalBlue для сетевой уязвимости Microsoft Windows. Считается, что этот эксплойт разработан Агентством национальной безопасности США. 14 апреля 2017 года EternalBlue и некоторые другие эксплойты АНБ были опубликованы в открытом доступе. Microsoft выпустила обновление безопасности MS17-010, закрывающее данную уязвимость, еще 14 марта. Тем не менее, на 12 мая патч был установлен далеко не на всех рабочих станциях, что обусловило массовый характер атаки. Как происходит заражение? В отличие от множества шифраторов, распространяющихся в спам-рассылках, WannaCryptor может заразить рабочие станции без непосредственного участия пользователя. Вредоносная программа сканирует сеть на предмет незащищенных узлов, затем следует установка шифратора, который, в свою очередь, блокирует доступ к файлам. Пользователи ESET защищены? Да, антивирусные продукты ESET распознают эту угрозу на нескольких этапах атаки. Рассмотрим подробнее: — Модуль «Защита от сетевых атак» распознает и блокирует попытки атак с использованием эксплойта EternalBlue. Продукты ESET фиксируют эксплуатацию EternalBlue с 26 апреля (первоначально с его помощью распространялась другая вредоносная программа — CoinMiner). — Microsoft выпустила обновление MS17-010, закрывающее уязвимость, 14 марта. Все продукты ESET поддерживают функцию проверки доступности обновлений. Если не отключать эту функцию и вовремя устанавливать все патчи, система защищена от подобных атак — Антивирусные продукты ESET блокировали WannaCryptor до начала эпидемии. Первые версии шифратора были добавлены в вирусные базы еще в начале апреля. — Эвристические технологии ESET позволяют детектировать новые, ранее неизвестные угрозы. Продукты ESET блокировали модификацию Win32/Filecoder.WannaCryptor.D, с которой началась атака 12 мая, до обновления вирусных баз. — Подробнее о том, как работают технологии безопасности ESET на разных этапах атаки. Кто пострадал? По данным системы телеметрии ESET, 12-14 мая большинство отраженных атак WannaCryptor зафиксировано в России (45,07% срабатываний защитных решений), Украине (11,88%) и Тайване (11,55%). Угроза ориентирована преимущественно на корпоративных пользователей. Среди жертв — подразделения МВД России, завод Renault во Франции, медицинские учреждения в Великобритании и др. Что делать, если файлы зашифрованы? Обратитесь в службу технической поддержки вашего антивирусного вендора. Производители работают с пострадавшими и дешифруют файлы в вирусных лабораториях. К сожалению, расшифровка не всегда возможна. Если файлы обработаны с применением сложных алгоритмов шифрования (WannaCryptor использует гибридный алгоритм RSA+AES), расшифровать их с большой долей вероятности не удастся. Если заплатить выкуп, файлы расшифруют? Не рекомендуем платить злоумышленникам по следующим причинам: — По нашим данным, пока ни одна жертва WannaCryptor не получила ключ расшифровки в обмен на выкуп. Скорее всего, такая возможность отсутствует — платежи поступают на общие биткоин-кошельки, и атакующие не могут идентифицировать отправителя. — Выкуп в принципе ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки — его может не быть у самих хакеров. — Получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости. — Выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности. Что надо сделать в первую очередь, чтобы не заразиться WannaCryptor? — Установите все обновления Microsoft Windows, это можно сделать по прямой ссылке. — По необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue, воспользовавшись бесплатной утилитой ESET. Скачайте архив, распакуйте его и запустите VerifyEternalBlue.vbs — Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает наиболее современные технологии обнаружения угроз. — Откажитесь от использования Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем установите обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003. — По возможности отключайте протокол SMB. — При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу техподдержки вашего антивирусного вендора. Какие еще меры защиты от шифраторов стоит принять? — Включите службу ESET LiveGrid в антивирусном продукте ESET. — Включите в продуктах ESET функцию проверки доступности обновлений операционной системы. — Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз. Инструкция по настройке доступна на сайте ESET. — Используйте сервисы, обеспечивающие доступ ваших ИТ и ИБ-специалистов к информации о новейших угрозах, например, ESET Threat Intelligence. — Используйте услуги аудита безопасности корпоративной сети — подобные сервисы позволяют оценить защиту и минимизировать риски, связанные с человеческим фактором. — Не открывайте приложения и не переходите по ссылкам, полученным от неизвестных отправителей. В отличие от WannaCryptor, множество шифраторов распространяется посредством фишинговых писем. — Проведите обучение сотрудников основам информационной безопасности. — Регулярно выполняйте резервное копирование данных. — Отключите или ограничьте доступ к протоколу удаленного рабочего стола (RDP). — Если вы все еще используйте Windows XP, отключите протокол SMBv1. Но лучше обновите операционную систему! Решения ESET NOD32 детектируют и блокируют все модификации шифратора WannaCryptor, а также попытки сетевых атак через уязвимость EternalBlue. Пресс-выпуск.
-
Эпидемия шифратора WannaCryptor: рекомендации ESET
Ego Dekker добавил тема в Eset NOD32 Antivirus & Smart Security
12 мая организации в десятках стран мира стали жертвой атаки с применением шифратора WannaCryptor (WannaCry, Wcry). Вредоносная программа шифрует файлы распространенных форматов и требует выкуп в размере 300 долларов США в биткоинах. WannaCryptor использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным. WannaCryptor распространяется при помощи сетевой уязвимости в операционных системах Microsoft Windows MS17-010. Данная уязвимость закрыта Microsoft в марте, обновление доступно по прямой ссылке. Решения ESET NOD32 детектируют угрозу как Filecoder.WannaCryptor и блокируют данную версию шифратора и его модификации. В продуктах реализована функция проверки доступности обновлений Microsoft Windows. Для предотвращения заражения ESET рекомендует следующие меры: 1. Установите все обновления Microsoft Windows. В продуктах ESET реализована функция проверки доступности обновлений операционной системы. Если данная функция включена и все обновления Microsoft Windows установлены, система защищена от WannaCryptor и других подобных атак. 2. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО. Защитные решения могут предотвратить заражение даже в том случае, если обновления Windows пока не установлены. Антивирусные продукты ESET NOD32 детектируют модификации WannaCryptor, при этом облачная система ESET LiveGrid отражала атаку 12 мая до обновления сигнатурных баз. 3. Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз. Технологии на базе эвристики позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа. Более подробная информация о настройке эвристических инструментов в продуктах ESET доступна на сайте https://noransom.esetnod32.ru. 4. Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003. 5. Используйте сервисы для доступа к информации о новейших угрозах. Успеху кибератак зачастую способствует низкая осведомленность организаций об опасности и векторах заражения. Снижает риски доступ ИТ и ИБ-специалистов к информации о новейших угрозах. Для этого, в частности, предназначен корпоративный сервис ESET Threat Intelligence – он предоставляет статистику о новых угрозах, позволяет прогнозировать целевые атаки и адаптироваться к изменениям киберландшафта. При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями. Пресс-выпуск.-
- wannacryptor
- wannacry
-
(и ещё %d)
C тегом: