Криптиращи вируси (Ransomware) - описание и защита от тях
 


Какво е рансъмуер (ransomware)
През последните няколко години станахме свидетели на нов вид атаки на зловредния софтуер - криптиращи вируси. Наименованието им на английски е Ransomware, което е съкращение от Ransom и Software и означава софтуер, искащ откуп. За по-кратко хората ги наричат криптори (cryptors), локери (lockers), комбинацията от двете - cryptolockers и други. Общо взето криптиращите вируси са два вида - такива, които заключват екрана (WinLockers) на потребителя и такива, които криптират файловете и/или буут сектора (cryptors) на компютърната система. И при двата случая, атакуващият иска да платите откуп, за да си върнете достъпът до компютъра или файловете. Проведените атаки от този род вируси придобиха изключително големи мащаби и заразиха милиони компютри по целия свят. В резултат на това нанесените щети са изключително големи и много потребители изгубиха важни за тях неща, като снимки, документи, музикални и видео файлове, бази данни и други.

 

Как криптиращите вируси проникват в компютърната система
Криптиращите вируси могат да проникнат в една компютърна система по много начини, но най-често използваните методи за атаки са изброени отдолу:

Чрез прикачени файлове в електронната поща - най-често крипторите се разпространяват като прикачени файлове в писма от електронната поща, като подателят на писмото се опитва да Ви накара да изтеглите и отворите прикаченият файл. При този случай трябва много да се внимава, защото атакуващите се опитват да имитират писмата на различни държавни институции и банкови организации. Най-често се прикачват изпълними файлове (.exe), архиви (.zip, .rar), скриптове (.js, .vbs), файлове с двойни разширения (invoice.pdf.js, DHL_Post.xlsx.exe, Jemifer.jpg.exe) и други;

Чрез посещение на заразена страница - другият разпространен метод е атакуващият да накара потребителя да посети предварително инфектирана страница, като това може да стане с изпращане на препратка към нея по месинджър, поща, социалните мрежи или просто да попаднете на такава, докато работите в Интернет. При тази ситуация са възможни два варианта - страницата да Ви подкани да инсталирате или да обновите определена добавка към браузъра Ви или чрез използване на определена уязвимост в браузъра или операционната система, криптора да се изтегли и изпълни автоматично;

Чрез инсталирането на нелегален софтуер - много често съпътстващите файлове на нелегалния софтуер, тоест тези, които трябва да го направят легален (пачове, кракове, генератори на ключове и други) освен тази си функция съдържат в себе си и зловреден софтуер, който може да изтегли и инсталира на системата криптор, спайуер, вирус или друг злонамерен софтуер. В този случай трябва много да се внимава какво се стартира на компютърната система и всички файлове да се проверяват с антивирусен софтуер;

Чрез локална мрежа - по-малко срещан метод за разпространение на крипторите е чрез атака по локална мрежа. Тоест ако някой компютър от локалната мрежа бъде инфектиран с определен Троянски кон, който отговаря за изтеглянето, изпълнението и разпространението на криптора, то той ще се опита да разпространи вируса до всички мрежови ресурси, до които има достъп - компютри, сървъри, мрежови носители за съхранение на информация и други;

Чрез инфектирани външни носители - много често за пренасяне на информация (особено с голям обем) се използват външни твърди дискове или флашки. Ако към компютърната система се свърже вече заразен външен носител, то има голяма възможност да се стартира автоматичното изпълнение на вирус, който изтегля и заразява системата с криптиращ или друг вид злонамерен софтуер;

Чрез използване на неоткрити уязвимости - друг начин за разпространението на крипторите е използването на неоткрити и следователно непоправени уязвимости в операционната система, които позволяват на атакуващия да внедри и изпълни зловреден код, който изтегля и заразява системата с криптор и/или друг зловреден софтуер. Такъв случай е разпространението на криптора WannaCry.
 

Защита от криптиращи вируси
Най-общо казано, за да предотвратите заразяване е необходимо да забраните изпълнението на непознати файлове от следните папки: %appdata%, %localappdata%, %temp%, %UserProfile%, както и от архиви. Тоест да се направят филтри, забраняващи изпълнението на непознати файлова, а само на такива, които са познати легални приложения и са в "бял" списък. Също така е добре да настроите защитната си стена така, че да не позволява достъп до интернет на непознати програми, а само на тези, които ползвате, тоест безопасни легални програми. Това правило ще спре комуникацията на подобен род вирус със сървърът му за съхранение на криптиращите ключове и може да предотврати криптирането на файловете Ви. Ако използвате на домашната или корпоративна система програма за електронна поща (Microsoft Outlook, Mozilla Thunderbird или друг мениджър за електронна поща), то е добре в настройките на програмата или корпоративните правила да забраните изтеглянето на потенциално опасни прикачени файлове в електронните писма. Пример за това е да забраните изтеглянето на прикачени към електронната поща файлове със следните примерни разширения: .js (JavaScript), .jar (Java), .bat (Batch file), .exe (Windows executable), .cpl (Control Panel), .scr (Screensaver), .com (COM file), .pif (Program Information File), .vbs (Visual Basic Script) и други. Важно е да се отбележи, че прилагането на тези настройки за защита от крипто вируси не осигурява 100 процентова защита от тях. Необходима е и елементарна култура на поведение при работа на компютърната система и в интернет от страна на потребителя.

Прилагането на горните настройки от един обикновен потребител е трудна задача, особено ако не притежава достатъчно добро ниво на компютърна грамотност, за да се справи с намирането на необходимата информация и приложи правилата за защита. За щастие има създадени доста програмни инструменти и антивирусни модули за защита от криптиращи вируси, които автоматично създават горните правила и следят поведението на използваните програми, за да предотвратят заразяване на системата с криптори. Част от тях ще разгледам отдолу.
 

Инструменти за защита от криптиращи вируси
Криптиращите вируси се превърнаха в най-бързо развиващото се звено от злонамерения софтуер. Тяхното главоломно разпространение причини огромни щети и доведе до загубата на изключително много потребителски и корпоративни данни. Поради тази причина бяха създадени специални инструменти и антивирусни модули, които да могат да отговорят адекватно на новият вид заплаха. Част от тях са:

CryptoPrevent - Това е една от първите програми, създадена за защита от първият крипто вирус - CryptoLocker. В началото програмата само създаваше автоматично настройките и правилата за защита от криптори, изброени от мен по-горе, но в последствие претърпя сериозно развитие и сега работи и като инструмент за защита в реално време, използващ освен определени правила, то и дефиниции за откриване на криптиращи вируси и някои други злонамерени програми. CryptoPrevent е разработена така, че да може да работи съвместно с Вашата антивирусна програма, да не забавя производителността на системата, да не изисква особена поддръжка и да не изисква специализирани знания от потребителя за нейната употреба. Програмата работи на операционна система от Windows XP нагоре (XP, Vista, 7, 8, 8.1, 10), притежава безплатна версия и може да бъде изтеглена от тук.

Kaspersky Anti-Ransomware Tool for Business (KART) - Една от най-големите световноизвестни компании, занимаваща се с доставянето на продукти за компютърна сигурност, разработи и представи специален безплатен инструмент за защита от криптиращи вируси, насочен към корпоративни клиенти. Въпреки това инструментът може да се използва и за домашна употреба. KART използва няколко метода за откриване на криптори - дефиниции, облачна услуга - KSN (Kaspersky Security Network) и анализ по поведение за неизвестни заплахи. При откриване на заплаха KART автоматично я блокира и я добавя към списък с блокирани приложения. Ако все пак, преди да бъде открит, зловредният софтуер успее да извърши някакво нежелано действие в операционната система (създаване или промяна на файлове, записване на стойности в системния регистър и други), то KART извършва отмяна на действията, направени от зловредното приложение. За целта инструментът запазва история с активността на програмите. Kaspersky Anti-Ransomware Tool работи съвместно с вашата антивирусна програма, стига тя да не е друг продукт на компанията (KES, KIS, KTS, KAV) и поддържа операционни системи от Windows 7 нагоре (7, 8, 8.1, 10). KART е много добър инструмент за защита от криптиращи вируси и моята препоръка е да го използвате редом с Вашата антивирусна програма. Трябва да се отбележи, че от Касперски не предоставят официална помощ и поддръжка за инструмента, но такава можете да намерите в техния форум. Можете да го изтеглите от тук или след регистрация от тук.

Антивирусните програми на Касперски Лаб, без чистият антивирус и безплатната версия, предлагат много допълнителни модули за защита, освен дефиниции, включително и такива за Контрол на програмите, наблюдение на системата и облачни услуги, които биха могли да Ви предпазят от криптиращи вируси. От поддръжката на компанията са създали ръководства, които описват как да се направят настройките на програмата за предпазване от подобни криптори. Ръководства можете да намерите за: Kaspersky Internet Security версия: 2017, 2016, 2015, 2014, 2013; Kaspersky Total Security версия: 2017, 2016, 2015; Kaspersky Small Office Security версия: 4.0; Kaspersky Endpoint Security за Windows Workstations версия: 10.

RansomFree - Друг безплатен инструмент за защита от криптиращи вируси е RansomFree на компанията Cybereason. За откриването на криптори, този инструмент използва поведенчески анализ, а не разчита на дефиниции. Поставят се малки файлове на стратегически места в компютърната система, от където принципно крипторите започват криптиране на файловете на системата и се следи начинът, по който приложенията си взаимодействат с тези файлове. Когато се открие криптиране, RansomFree спира процеса, изкарва съобщение на потребителя, че неговите файлове са в опасност и позволява на потребителя да спре атаката. Безплатният инструмент работи съвместно с други антивирусни програми, инсталирани на компютъра, поддържа операционни системи от Windows 7 нагоре (7, 8, 8.1, 10, 2008 R2 и 2012 R2) и може да бъде изтеглен от тук.

RansomOff - Още едно безплатно решение, което използва анализ по поведение, вместо дефиниции, за откриване и защита от криптиращи вируси. Програмата предпазва от криптиране файлове на локални, преносими и мрежови устройства, като същевременно предпазва и Master Boot Record (MBR) от презаписване. Трябва да се отбележи, че инструментът е още в стадий на разработка (бета версия) и може да се появят проблеми при използването му. Работи на операционна система от Windows 7 нагоре (7, 8, 8.1, 10) и може да бъде изтеглена версия за 32 битова и 64 битова операционна система от тук.

Съществуват и други програми за защита от криптиращи вируси. Такива са BitDefender Anti-Ransomware, Malwarebyres Anti-Ransomware и други, но използването на един от горните инструменти съвместно с Вашата антивирусна програма, особено ако тя е безплатна версия, ще намали значително рискът от криптиране на файловете Ви.
 

Малко полезни препратки
В интернет се появиха много сайтове, които дават различна информация за криптиращите вируси. Повечето от тях просто споменават наличието на нова атака и дават основна информация за крипторите. Отдолу ще изброя няколко наистина сериозни сайтове, които биха могли да Ви помогнат да идентифицирате крипто вируса, ако сте пострадали от такъв, и да ви предложат начин за декриптиране на файловете, ако това е възможно към момента:

No More Ransom - Интернет страницата https://www.nomoreransom.org/bg/index.html е създадена по инициатива на Отделът за компютърни престъпления на Холандската полиция, Европейския център за киберпрестъпления на Европол и две компании за кибер сигурност - Kaspersky Lab и Intel Security. Целта на страницата е правилното идентифициране на крипто вирусите и безплатно декриптиране на файловете, ако е възможно към момента. От откриването на сайта през Юли 2016 година още много организации (правителствени и частни) се присъединиха към проекта и разшириха възможностите му. Сега страницата разполага с услугата Crypto Sheriff, която отговаря за идентифицирането на криптора. Това става или като приложите и изпратите криптиран файл за анализ или като напишете или прикачите файл с информацията, оставена от криптиращият вирус на поразената система. Също така сайта предлага и подробен списък с декриптори за някои криптиращи вируси, с помощта на които бихте могли да декриптирате файловете си. Въпреки, че специалистите по компютърна сигурност работят постоянно за създаване и усъвършенстване на инструментите за декриптиране, то такива не са налични за всички криптори. NoMoreRansom предоставя още и информация за криптиращите вируси, съвети за защита, както и възможност да съобщите за киберпрестъпление.

ID Ransomware - Стартирал като персонален проект, сайтът https://id-ransomware.malwarehunterteam.com/ е разработен от специалисти по компютърна сигурност от екипа на Malware Hunter Team. Целта на сайта е да идентифицира успешно криптиращият вирус и да насочи потребителя, станал жертва на криптор, в правилната посока за намиране на точна информация за вируса и ако е възможно - начин за декриптиране на файловете. Идентифицирането на вируса става чрез прикачване и изпращане на криптиран файл и/или пояснителните бележки, оставени след атаката на криптора. Сайтът не предлага списък с декриптори, но при идентифициране на вируса, предоставя връзки към информация за него и дали е възможно декриптирането на файловете. Към момента ID Ransomware е способен да разпознае над 500 различни криптиращи вируса.

Списъци на декриптори - За всеки криптиращ вирус се пише много информация в интернет, като за някои от тях се предлагат и инструменти за декриптиране на поразените файлове. Няколко сайта са събрали по-известните и най-често използваните декриптори в собствени списъци. На адрес https://www.nomoreransom.org/bg/decryption-tools.html ще намерите доста пълен списък с инструменти за декриптиране на файлове. Друг такъв списък ще намерите на сайта на Kaspersky Lab: https://noransom.kaspersky.com/. Също така от Bleeping Computer са предоставили за изтегляне списък с декриптиращи инструменти на адрес: https://www.bleepingcomputer.com/download/windows/ransomware-decryptors/. В интернет съществуват и други страници, на които ще намерите декриптиращи инструменти, но информацията в изброените сайтове се обновява най-често с последните версии на програмите.
 

В заключение
Съществуват много варианти на крипто вирусите, като нови такива излизат често и се разпространяват най-вече като спам в електронните пощи и социалните мрежи. Затова е много важно да не отваряте непознати писма, файлове и препратки, получени в пощата или месинджърът Ви. Лично според мен, най-добрата защита е честото архивиране (правенето на резервни копия) на важните за Вас неща (бази данни, документи, снимки, музика и други) на друго външно устройство, освен на компютърът Ви. Също така използвайте и добра антивирусна програма, която притежава облачни услуги и допълнителни модули за защита и я настройте така, че да предотвратите подобен вид заразяване. Първите варианти на крипто вирусите запазваха на самия компютър ключът за декриптиране на файловете и за тяхното възстановяване са създадени различни инструменти. За съжаление новите криптиращи вируси изпращат ключа за декриптиране на отдалечен сървър и не го съхраняват на заразеният компютър. Това прави декриптрирането на файловете изключително трудно, а в повечето случаи и практически невъзможно.

 

Ако желаете, можете да си изтеглите електронна книга, която съдържа информацията в този документ, като отидете в раздел Изтегляне или натиснете тук.

 

 

© 2014-2017 Tigertron™
/Иван Георгиев/

http://tigertron.free.bg/

Copyright (Условия за копиране):

Забранява се копирането и/или използването на статията или на части от нея за каквито и да било цели без знанието и изричното позволение на автора.
С неразрешеното от автора (Иван Георгиев) използване на материали и текстове от сайта се задължаваме към Иван Георгиев с 5000 (пет хиляди) USD/ден.