暗号化ウイルスによる攻撃、アメリカ諜報機関からのハッキングツールの漏洩、エネルギー施設の強度テスト、ICOへの攻撃、そしてSWIFTシステムを使ったロシアの銀行からの資金窃盗の初成功など、2017年は不快な驚きに満ちた年だった。 誰もがそれらに対する準備ができていたわけではありません。 まったく逆です。 サイバー犯罪は急速かつ大規模化しています。 親政府ハッカーはもはや単なるスパイではなく、金銭を盗み、サイバー破壊活動を行っています。
サイバー脅威に対するあらゆる対抗策は、常に装甲と発射体の競争になります。 そして今年の出来事は、多くの企業、さらには国家がサイバー犯罪に屈していることを示しています。 なぜなら、敵が誰なのか、彼がどのように行動するのか、次の攻撃をどこで待つべきなのかが分からないからです。 ほとんどの攻撃は、脅威インテリジェンスの早期警告テクノロジーを使用して準備の段階で防ぐ必要があります。 サイバー犯罪者の数歩先を行くことは、お金、情報、評判を節約することを意味します。

ランサムウェアウイルス

2017 年に配布と被害の両面で最も蔓延したのは、ランサムウェア ウイルスを使用したサイバー攻撃でした。 彼らの背後には親政府ハッカーがいる。 名前で覚えてみましょう。

WonnaCry 攻撃の結果: ウクライナ、ハリコフのスーパーマーケット Rost。

ラザルス（ダーク・ソウル・ギャングとも呼ばれる）は、朝鮮人民軍総参謀本部情報総局の一部門であり、サイバー作戦の実施を担当する局121の背後にいると考えられている北朝鮮のハッカー集団の名前である。 。 長年にわたり、北朝鮮のグループ「ラザラス」のハッカーは、政権のイデオロギー上の敵である米国の政府機関や民間企業をスパイしてきた。 韓国。 現在、Lazarus は世界中の銀行や金融機関を攻撃しています。彼らは、2016 年 2 月にバングラデシュ中央銀行からほぼ 10 億ドルを盗もうとした試み、ポーランドの銀行、およびロシア中央銀行の従業員に対する攻撃に関与しています。連盟、ベネズエラ中央銀行、ブラジル中央銀行、チリ中央銀行と協力し、極東国際銀行から6,000万ドルを引き出しようとした（「銀行に対する標的型攻撃」の項を参照）。 2017年末、北朝鮮のハッカーによる仮想通貨サービスへの攻撃やモバイルトロイの木馬を使った攻撃が注目された。

今年のトレンド

10月24日、ウクライナとロシアでランサムウェアウイルス「BadRabbit」を使った大規模なサイバー攻撃が発生した。 このウイルスは、キエフ地下鉄、インフラ省、オデッサ国際空港のコンピューターとサーバーを攻撃しました。 数人の犠牲者もロシアにたどり着いた。攻撃の結果、連邦メディアの編集局が被害を受け、銀行インフラに感染しようとした試みも記録された。 Group-IB が確立したように、Black Energy グループが攻撃の背後にいます。

銀行に対する標的型攻撃

2017年の春と夏にロシアの銀行を襲撃した犯罪グループは、米国、欧州、ラテンアメリカ、アジア、中東といった他の国や地域に関心を移した。 年末に彼らは再びロシアで活動を始めた。

2017 年、親政府ハッカーは目標を変更し、金融セクターに対してサイバー破壊活動を開始しました。 ハッカーはスパイしたりお金を盗んだりするために、カード処理である SWIFT へのアクセスを試みます。 この春、BlackEnergy グループはウクライナのインテグレーターをハッキングし、ウクライナの銀行のネットワークにアクセスしました。 数か月後、WannyCry と NotPetya の流行が始まり、その背後に Lazarus と BlackEnergy グループが立っていました。

しかし、グループ IB チームが年次報告書を提出した 10 月初旬までに、私たちは慎重ながらも楽観的な見方をしていました。ロシアの銀行に対する標的型攻撃は 33% 減少しました。 ロシアの銀行を攻撃したすべての犯罪グループは、徐々に他の国や地域、つまり米国、ヨーロッパ、ラテンアメリカ、アジア、中東に関心を移しました。 年末により統計は台無しになりました。私たちは銀行に対する多数のサイバー攻撃を記録しました。12 月には、銀行に対する最初の攻撃が成功しました。 ロシアの銀行グループCobaltによるSWIFT演奏。

SWIFTに対する攻撃

10月には台湾の極東国際銀行が強盗に遭った。 ハッカーらは銀行と接続されていた国際銀行間送金（SWIFT）システムに到達し、スリランカ、カンボジア、米国の口座に約6000万ドルを引き出すことができた。 ラザログループが攻撃の背後にあると考えられている。 11月、ネパール最大の非国営銀行であるNIC Asia Bankがサイバー犯罪者の標的となり、SWIFTシステムにアクセスし、米国、英国、日本、シンガポールの口座に440万ドルを引き出した。

12 月中旬、SWIFT を使用したロシアの銀行への攻撃が成功したことが知られるようになりました ( 国際システム財務情報の送信）。 以前ロシアで、カード処理システム、ATM、KBR（自動化された）の自動化された作業場を使用して標的型攻撃が行われたことを思い出してください。 職場ロシア銀行の顧客）。

Cobalt グループが攻撃に関与している可能性があります。 銀行への侵入は、数週間前にこのグループによって銀行に配布されたマルウェアを通じて行われました。このタイプの攻撃は Cobalt にとって典型的なものです。 メディアは、犯人らが約100万ドルを盗もうとしたが、約10％を引き出すことに成功したと報じた。 中央銀行の情報セキュリティ部門である FinCERT は、報告書の中で、信用機関に対する主な脅威として Cobalt グループを挙げています。

Group-IBによると、このグループはロシア、イギリス、オランダ、スペイン、ルーマニア、ベラルーシ、ポーランド、エストニア、ブルガリア、ジョージア、モルドバ、キルギスタン、アルメニアなど、世界中の銀行に対して少なくとも50回の攻撃を成功させたという。 、台湾、マレーシア。 夏から秋にかけて、彼らは世界中の銀行を攻撃し、新しいツールやスキームをテストし、年末になってもその勢いは衰えませんでした。私たちはほぼ毎週、悪意のあるプログラムが含まれた彼らのメールを記録しています。

非実体性と悪意のあるスクリプトは、新しい (そして今では基本的な) 攻撃の原則です。 ハッカーは検出されないようにするため、RAM 内でのみ動作し、再起動後に破壊される「実体のない」プログラムを使用します。 さらに、PowerShell、VBS、PHP のスクリプトは、システム内での永続性 (アンカー) を確保し、攻撃の一部の段階を自動化するのに役立ちます。 また、ハッカーは銀行を正面から攻撃するのではなく、信頼できるパートナー、つまりインテグレーターや請負業者を通じて攻撃することにも注目しています。 彼らは在宅時に従業員を攻撃し、個人の電子メールやソーシャルネットワークをチェックします

今年のトレンド

今年の発見: MoneyTaker

10 興味深い事実マネーテイカーについて

• 被害者はロシアの地方銀行や米国の保護レベルが低い地域銀行などの小規模銀行だった。 ハッカーは次の方法でロシアの銀行の 1 つに侵入しました。 自宅のコンピューターシステム管理者。
• アメリカの銀行の 1 つが 2 回ハッキングされました。
• 攻撃が成功した後も、彼らは受信した手紙を Yandex と Mail.ru のアドレスに転送することで銀行員をスパイし続けました。
• このグループは攻撃後に必ず痕跡を破壊しました。
• 彼らはロシアのある銀行からATMを使ってお金を引き出そうとしたが、うまくいかなかったが、その直前に中央銀行が銀行の所有者からライセンスを剥奪した。 CBD の自動化された作業場を通じてお金を引き出しました。
• 盗まれたのは金銭だけでなく、内部文書、指示、規制、取引記録なども盗まれました。 SWIFT の活動に関連して盗まれた文書から判断すると、ハッカーはラテンアメリカの標的への攻撃を準備しています。
• 場合によっては、ハッカーは攻撃中にその場でプログラム コードを変更しました。
• ハッカーは、次の場所に投稿されたファイル SLRSideChannel Attack.exe を使用しました。 パブリックアクセス研究者たち。
• MoneyTaker は公開されているツールを使用し、意図的に帰属の要素を隠し、影に残ることを好みました。 プログラムには 1 人の作成者がいます - これは次のことからわかります。 典型的な間違い、自分で書いたプログラムから別のプログラムへとさまよいます。

インテリジェンスハッキングツールの流出

NSA と CIA の漏洩によるエクスプロイトは、標的型攻撃を実行するために積極的に使用され始めています。 これらは、金銭目的のハッカーや一部の政府支持ハッカーに対する侵入テストを実施するための主要ツールにすでに組み込まれています。

ウィキリークスとVault7

ウィキリークスは 1 年を通じて、Vault 7 プロジェクトの一環として諜報機関のハッキング ツールに関する情報を公開し、CIA の秘密を系統的に明らかにしました。 その 1 つ - CherryBlossom (「Cherry Blossom」) を使用すると、接続しているユーザーの位置とインターネット アクティビティを追跡できます。 無線ルーター Wi-Fi。 このようなデバイスは、家庭、オフィス、レストラン、バー、ホテル、空港、政府機関で広く使用されています。 ウィキリークスは、FBI、DHS、NSAの同僚をスパイするためのCIAのテクノロジーさえ暴露した。 CIA の技術サービス局 (OTS) は、CIA が米国情報コミュニティの対応者に配布している生体認証情報システムから秘密裏にデータを抽出する ExpressLane スパイウェアを開発しました。 少し前に、ウィキリークスは、コンピューターをハッキングするように設計されたパンデミック マルウェアに関する情報を公開しました。 共有フォルダ、Wi-Fi 対応デバイスの地理位置情報も追跡し、ユーザーの習慣を追跡できる ELSA プログラムについても説明します。 ウィキリークスは 2017 年 2 月に Vault-7 シリーズの出版を開始しました。 リークには、次の脆弱性を説明する情報が含まれていました。 ソフトウェア、マルウェアのサンプルとテクニック コンピュータ攻撃.

同様に人気のあるもう 1 つの情報源、つまり Shadow Brokers グループによって公開された NSA リークからのハッキング ツールは、需要が高かっただけでなく、改良され洗練されていました。 今年4月にShadow Brokersグループが公開したアメリカ諜報機関のユーティリティをベースにした、SMBプロトコルの脆弱性を持つマシンの検索を自動化するスクリプトが地下フォーラムに登場した。 漏洩の結果、fuzzbunch ユーティリティと ETERNALBLUE エクスプロイトは最終的に オープンアクセス, しかし、修正後は完全に完成した製品となり、攻撃者が攻撃しやすくなります。

WannaCry ランサムウェアが 150 か国の数十万台のコンピュータに感染するために使用したのは SMB プロトコルであったことを思い出してください。 1 か月前、Shodan 検索エンジンの作成者である John Matherly 氏は、 ポートを開く SMB プロトコル経由のアクセス用。 そのうちの 42% (約 97 万) はゲスト アクセスを提供します。つまり、SMB プロトコルを使用する人は誰でも承認なしでデータにアクセスできます。

夏には、Shadow Brokers グループは、ルータ、ブラウザ、モバイル デバイス、銀行ネットワークや SWIFT からの侵害されたデータ、核およびミサイル計画に関する情報など、加入者向けの新しいエクスプロイトを毎月公開すると約束しました。 注目に触発されて、Shadow Brokers は当初のサブスクリプション価格を 100 Zcash コイン (約 30,000 ドル) から 200 Zcash コイン (約 60,000 ドル) に引き上げました。 VIP サブスクライバー ステータスには 400 Zcash コインがかかり、カスタム エクスプロイトを受け取ることができます。

重要インフラへの攻撃

エネルギー部門は、新たなサイバー兵器の研究の実験場となっている。 犯罪グループ BlackEnergy は金融会社やエネルギー会社を攻撃し続けています。 自由に使えるツールを使用すると、送電網を物理的に開閉する役割を担うリモート端末ユニット (RTU) を遠隔制御できます。

実際に機器を無効にする可能性のある最初のウイルスは、Equation Group (Five Eyes/Tilded Team) が使用した Stuxnet でした。 2010年、ウイルスはネイサンにあるイランのウラン濃縮プラントのシステムに侵入し、ウランを含む遠心分離機を毎秒1000回転の頻度で回転させるSIMATIC S7シーメンスのコントローラーに感染した。 Stuxnet は遠心分離機のローターを 1400 rpm まで加速しましたが、あまりにも速すぎるとローターが振動して崩壊し始めました。 ホールに設置された5,000台の遠心分離機のうち、約1,000台が故障した。 イラン人 核開発計画数年前に戻りました。

この攻撃の後、数年間は平穏な状態が続きました。 ハッカーたちはずっと、ICS に影響を与え、必要に応じて無効にする機会を探していたことが判明しました。 この方向にさらに進んでいるグループは、サンドワームとしても知られる Black Energy です。

昨年末のウクライナの変電所に対するテスト攻撃では、Industroyer または CRASHOVERRIDE と呼ばれる新しいツール セットが何ができるかを示しました。 Black Hat カンファレンスでは、Industroyer ソフトウェアは「Stuxnet 以来、産業用制御システムに対する最大の脅威」と呼ばれていました。 たとえば、BlackEnergy ツールを使用すると、電力網を物理的に開閉する役割を担うリモート端末ユニット (RTU) をリモートで制御できます。 このようなツールを使用したハッカーは、それを恐るべきサイバー兵器に変えて、光と水のない都市全体から脱出できるようにすることができます。

問題はウクライナだけで起きる可能性はない。7月には英国とアイルランドでもエネルギーシステムに対する新たな攻撃が記録された。 送電網に混乱はなかったが、専門家らはハッカーがセキュリティシステムのパスワードを盗んだ可能性があるとみている。 米国では従業員に配布後 エネルギー会社� 悪意のある電子メール FBI はサイバー攻撃の可能性について企業に警告しました。

ICOに対する攻撃

長い間、銀行とその顧客はサイバー犯罪の主な標的となってきました。 しかし今では、ICO やブロックチェーン新興企業という強力な競争相手が存在しており、暗号通貨に関連するものはすべてハッカーの注目を集めています。

ICO (Initial Coin Offering - トークンの初期配置手順) はハッカーの夢です。 暗号通貨サービスやブロックチェーンの新興企業に対する超高速で、多くの場合非常に単純な攻撃は、犯罪者のリスクを最小限に抑えながら数百万ドルの利益をもたらします。 Chainalies によると、ハッカーは 2017 年にイーサリアム上の ICO プロジェクトに投資された全資金の 10% を盗むことに成功しました。 損失総額は約２億２５００万ドルに達し、３万人の投資家が平均７５００ドルを失った。

私たちはブロックチェーン プロジェクト (取引所、交換業者、ウォレット、ファンド) に対する約 100 件の攻撃を分析し、問題の大部分はブロックチェーン テクノロジーを使用する暗号化サービス自体の脆弱性にあるという結論に達しました。 イーサリアムの場合、問題はプラットフォーム自体ではなく暗号化サービスで観察されました。独自のスマート コントラクトの脆弱性、改ざん、管理者アカウント (Slack、Telegram) の侵害、Web サイトのコンテンツをコピーするフィッシング サイトに遭遇しました。 ICOに参加する企業の数。

いくつかの脆弱性があります。

• フィッシング サイト - 公式リソースのクローン
• サイト/Webアプリケーションの脆弱性
• 社員を通じた攻撃
• ITインフラへの攻撃

何に注意すべきか、最初に何を確認すればよいか、とよく聞かれます。 注意すべき 3 つの大きなブロックがあります。それは、人々の保護、プロセスの保護、インフラストラクチャの保護です。

Android トロイの木馬を使用してお金を盗む

バンキング Android トロイの木馬の市場は、最もダイナミックで急速に成長していることが判明しました。 ロシアにおける Android 向けバンキング型トロイの木馬による被害は 136% 増加し、総額 1,370 万ドルに達しました。 パーソナルコンピュータ 30％増加します。

私たちは昨年、マルウェア感染が検出されにくくなり、自動入力方法を使用して盗難が自動化されるため、この増加が予測されました。 私たちの推定によると、過去 1 年間にロシアで発生したこの種の攻撃による被害は 1,370 万ドルに達しました。

犯罪グループ「クロン」メンバーの拘束

ランサムウェア攻撃の新たな波が世界中に広がり、ロシアのメディアやウクライナ企業も被害者となっている。 ロシアでは、インターファクス社がウイルスの被害を受けたが、同社のITサービスが重要インフラの一部を停止させることに成功したため、攻撃の影響を受けたのは政府機関の一部のみだったとロシア企業グループIBは声明で述べた。 彼らはこのウイルスをBadRabbitと名付けました。

同庁のユーリ・ポゴレリ次長は自身のフェイスブックページで、インタファクスに対する前例のないウイルス攻撃について報告した。 Interfax の従業員 2 名が、コンピューターの電源がオフになっていることを Vedomosti に確認しました。 そのうちの 1 人によると、視覚的にロックされた画面はアクションの結果のように見えます 既知のウイルスペチャ。 Interfax を攻撃したウイルスは、自分でファイルを復号化しようとしないように警告し、0.05 ビットコイン (昨日のレートで 285 ドル) の身代金の支払いを要求し、その代金として、次の特別な Web サイトに誘導します。 Tor ネットワーク。 このウイルスは、暗号化されたコンピュータに個人識別コードを割り当てました。

インターファックスに加えて、さらにロシアのメディア2社が暗号化ウイルスの被害を受けており、そのうちの1社がサンクトペテルブルクの出版物フォンタンカであるとGroup-IBは把握している。

フォンタンカの編集長アレクサンダー・ゴルシコフ氏は、フォンタンカのサーバーが未知の攻撃者に攻撃されたとベドモスチに語った。 しかしゴルシコフ氏は、フォンタンカが暗号化ウイルスによる攻撃を受けたことに疑いの余地はないと断言する。編集スタッフのコンピュータは機能しており、サイトの運営を担当するサーバーはハッキングされた。

ポゴレリ氏はベドモスチに対し、英国、アゼルバイジャン、ベラルーシ、ウクライナのインターファックス部門とインターファックスの宗教ウェブサイトは引き続き運営していると語った。 なぜ被害が他の部門に影響しなかったのかは不明だが、おそらくこれはサーバーが地理的に配置されているInterfaxネットワークのトポロジと、そこにインストールされているオペレーティングシステムによるものだと彼は言う。

ウクライナのインタファクス通信が火曜午後に報じた。 ハッカー攻撃オデッサ国際空港へ。 空港はウェブサイトで「サービス時間を強制的に延長したこと」について乗客に謝罪したが、オンラインスコアボードから判断すると、火曜日も飛行機の発着を続けていた。

キエフ地下鉄もFacebookアカウントへのサイバー攻撃について報告 - 運賃の支払いに問題があった 銀行カード。 フロントニュースは、地下鉄が暗号化ウイルスに攻撃されたと報じた。

Group-IB は新たな流行について結論を下します。 ここ数カ月で、ランサムウェア攻撃の 2 つの波がすでに世界中に広がりました。5 月 12 日、 WannaCry ウイルス、そして 6 月 27 日 – Petya ウイルス (別名 NotPetya および ExPetr)。 アップデートがインストールされていない Windows オペレーティング システムを搭載したコンピュータに侵入し、コンテンツを暗号化しました。 ハードドライブそして復号化に300ドルを要求した。 後で判明したことですが、Petya は被害者のコンピュータを復号化することさえ考えていませんでした。 最初の攻撃では 150 か国以上の数十万台のコンピュータが影響を受け、2 番目の攻撃では 65 か国の 12,500 台のコンピュータが影響を受けました。 ロシア人も攻撃の犠牲者となった。 メガホン », エヴラス , « ガスプロム" そして " ロスネフチ」 インビトロ医療センターも数日間患者からの検査を受け入れなかったため、ウイルスの被害を受けた。

Petya はほぼ 1 か月半でわずか 18,000 ドルしか集められませんでしたが、被害は比較にならないほど大きかったです。 被害者の 1 つであるデンマークの物流大手モラー・マースクは、サイバー攻撃による損失収益を 2 億～3 億ドルと見積もっています。

モラー・マースクの各部門のうち、主な打撃を受けたのはコンテナの海上輸送を手掛けるマースク・ラインだった（2016年、マースク・ラインは総額207億ドルの利益を上げ、同部門の従業員数は3万1900人）。

企業は攻撃からすぐに回復しましたが、企業と規制当局は引き続き警戒していました。 そこで、8月に連邦政府は、 ネットワーク会社 UES（全ロシアの電力網を管理）、そして数日後、ロシアの銀行はFinCERT（サイバーセキュリティを扱う中央銀行機構）から同様の警告を受け取った。

この新たな暗号化ウイルス攻撃はカスペルスキーも注目しており、それによると、攻撃の被害者のほとんどはロシアにいるが、ウクライナ、トルコ、ドイツでも感染者がいるという。 すべての兆候は、これが標的型攻撃であることを示しています。 企業ネットワーク, Kaspersky Lab のウイルス対策研究部門責任者、Vyacheslav Zakorzhevsky 氏は確信しています。ExPetr ツールと同様の手法が使用されていますが、このウイルスとの関連性は追跡できません。

そして、ウイルス対策会社 Eset によると、この暗号化ツールは依然として Petya の親戚であるとのことです。 攻撃に使用される マルウェア Diskcoder.D は、エンコーダの新しい修正版です。

ポゴレリ氏は、シマンテック社のウイルス対策ソフトがインターファックスのコンピュータにインストールされていたと述べた。 シマンテックの代表者は昨日、Vedomosti氏の要請に応じなかった。

PC 感染を防ぐための簡単な推奨事項に従えば、WannaCry、Petya、Mischa などのランサムウェア ウイルスの脅威を受けることはありません。

先週、新たな暗号化ウイルスに関するニュースでインターネット全体が震撼しました。 このウイルスは、今年 5 月に大流行した悪名高い WannaCry よりもはるかに大規模な感染症を世界中の多くの国で引き起こしました。 この新しいウイルスには、Petya.A、ExPetr、NotPetya、GoldenEye、Trojan.Ransom.Petya、PetrWrap、DiskCoder.C などの多くの名前がありますが、ほとんどの場合、単に Petya として表示されます。

今週も攻撃は続く。 私たちのオフィスにも、神話的なソフトウェアのアップデートを巧妙に装った手紙が届きました。 幸いなことに、私抜きで送信されたアーカイブを開こうと思う人は誰もいませんでした :) したがって、今日の記事は、ランサムウェア ウイルスからコンピュータを保護し、Petya やその他の暗号化プログラムの被害者にならないようにする方法の問題に当てたいと思います。

ランサムウェア ウイルスは何をするのですか?

最初のランサムウェア ウイルスは 2000 年代初頭頃に出現しました。 長年にわたってインターネットを使用している人の多くは、おそらく Trojan.WinLock を覚えているでしょう。 コンピューターの起動がブロックされ、ロック解除コードを受け取るためには、WebMoney ウォレットまたは携帯電話アカウントに一定の金額を送金する必要がありました。

最初の Windows ブロッカーはまったく無害でした。 最初に資金を送金する必要があるというテキストが表示されるウィンドウは、タスク マネージャーを通じて簡単に「釘付け」できます。 その後、より複雑なバージョンのトロイの木馬が登場し、レジストリ レベル、さらには MBR まで変更を加えました。 しかし、これも対処法を知っていれば「治す」ことができます。

最新のランサムウェア ウイルスは非常に危険なものになっています。 システムをブロックするだけでなく、コンテンツも暗号化します ハードドライブ(マスターブートレコードMBRを含む)。 システムのロックを解除してファイルを復号化するために、攻撃者は現在、200 ドルから 1,000 ドルに相当するビットコインで手数料を請求しています。さらに、たとえ合意された資金を指定されたウォレットに送金したとしても、これはハッカーがあなたに送金するという保証はありません。ロック解除キー。

重要な点は、現在、ウイルスを駆除してファイルを取り戻す有効な方法が事実上存在しないということです。 したがって、私の意見では、最初からあらゆる種類のトリックに騙されず、潜在的な攻撃からコンピューターを多かれ少なかれ確実に保護する方が良いと考えています。

ウイルスの被害者にならないようにするには

ランサムウェア ウイルスは通常 2 つの方法で拡散します。 最初のエクスプロイトはさまざまです Windows の技術的な脆弱性。たとえば、WannaCry は EternalBlue エクスプロイトを使用し、SMB プロトコル経由でコンピュータへのアクセスを許可しました。 そして新しいのは Petya ランサムウェア開いている TCP ポート 1024 ～ 1035、135、および 445 を介してシステムに侵入する可能性があります。より一般的な感染方法は次のとおりです。 フィッシング。 簡単に言うと、メールで送られてきた悪意のあるファイルをユーザー自身が開くことで PC に感染してしまうのです。

ランサムウェアウイルスに対する技術的保護

ウイルスによる直接感染はそれほど頻繁ではありませんが、発生することがあります。 したがって、すでに知られている潜在的なセキュリティ ホールに積極的に対処することをお勧めします。 まず、ウイルス対策ソフトウェアを更新するか、インストールする必要があります (たとえば、無料の 360 Total Security はランサムウェア ウイルスを適切に認識します)。 次に、インストールする必要があります 最新のアップデートウィンドウズ。

そこで、SMB プロトコルの潜在的に危険なバグを排除するために、Microsoft は Windows XP から始まるすべてのシステムに対して特別なアップデートをリリースしました。 OS のバージョンに応じてダウンロードできます。

Petya から保護するには、コンピュータ上の多くのポートを閉じることをお勧めします。 これを行う最も簡単な方法は、標準を使用することです。 ファイアウォール。 コントロール パネルで開き、サイドバーのセクションを選択します "追加オプション" 。 フィルタリングルール管理ウィンドウが開きます。 選択 「受信接続のルール」そして右側で をクリックします 「ルールの作成」。 ルールを作成する必要がある特別なウィザードが開きます。 「港に向けて」、オプションを選択します 「特定のローカルポート」そして次のように書きます。 1024-1035, 135, 445 :

ポートリストを追加したら、次の画面でオプションを設定します 「接続をブロックする」すべてのプロファイルに対して、新しいルールの名前 (オプションの説明) を指定します。 インターネット上の推奨事項を信じれば、たとえウイルスがコンピュータに侵入したとしても、必要なファイルをダウンロードするのを防ぐことができます。

さらに、ウクライナ出身で Me.Doc 会計ソフトウェアを使用している場合は、バックドアを含む更新プログラムをインストールする可能性があります。 これらのバックドアは、コンピュータを Petya.A ウイルスに大規模に感染させるために使用されました。 本日分析されたアップデートのうち、セキュリティの脆弱性を伴うアップデートが少なくとも 3 つ確認されています。

• 4月14日から10.01.175～10.01.176。
• 5月15日から10.01.180～10.01.181。
• 6 月 22 日から 10.01.188 ～ 10.01.189。

これらのアップデートをインストールしている場合は、危険にさらされています。

フィッシング対策

すでに述べたように、ほとんどの感染症は依然として人的要因が原因です。 ハッカーやスパマーは世界中で大規模なフィッシングキャンペーンを開始しました。 その枠組みの中で、彼らは、 電子メール請求書、ソフトウェア更新プログラム、またはその他の「重要な」データとして提示されたさまざまな添付ファイルが公的機関から送られてきたとされています。 ユーザーは偽装された悪意のあるファイルを開くだけで十分で、すべてのデータを暗号化するウイルスをコンピューターにインストールしてしまいました。

フィッシングメールと本物のメールを見分ける方法。 常識と次の推奨事項に従えば、これは非常に簡単に実行できます。

1. 誰からの手紙ですか？まず第一に、送信者に注目します。 ハッカーはあなたの祖母の名前でも手紙に署名することができます。 ただし、 重要な点。 「祖母」の電子メールを知っておく必要があり、フィッシング電子メールの送信者のアドレスは、原則として未定義の文字セットになります。 次のようなもの: [メールで保護されています]「。そして、もう 1 つのニュアンスがあります。これが公式の手紙である場合、送信者の名前とアドレスは通常、相互に相関しています。たとえば、特定の会社「Pupkin and Co」からの電子メールは次のようになります。 [メールで保護されています]「しかし、」のようには見えそうにありません [メールで保護されています]" :)
2. その手紙は何についてのものですか？通常、フィッシングメールには、件名に何らかの行動喚起や行動のヒントが含まれています。 同時に、手紙の本文には通常、何も書かれていないか、添付ファイルを開くための追加の動機が与えられています。 不明な差出人からの手紙に含まれる「緊急!」、「サービスの請求書」、または「重要なアップデート」という言葉は、彼らがあなたをハッキングしようとしている明らかな例である可能性があります。 論理的に考えてください！ 請求書、更新情報、その他の書類をこの会社またはあの会社から要求していない場合、これは 99% の確率でフィッシングです。
3. 手紙には何が書いてあるの？フィッシングメールの主な要素は添付ファイルです。 最もわかりやすいタイプの添付ファイルは、偽の「アップデート」または「プログラム」を含む EXE ファイルです。 このような投資はかなり粗雑な偽造ですが、実際に行われています。

   ユーザーを欺くさらに「エレガントな」方法には、ウイルスをダウンロードするスクリプトを Excel または Word ドキュメントとして偽装することが含まれます。 マスキングには 2 つのタイプがあります。 最初のオプションでは、スクリプト自体がオフィス文書として表示され、「請求書」などの「二重」の名前拡張子によって認識できます。 .xls.js"または"再開 .doc.vbs 2 番目のケースでは、添付ファイルは 2 つのファイルで構成されます。実際の文書と、オフィスからマクロとして呼び出されるスクリプトを含むファイルです。 Word文書またはエクセル。

   いずれにせよ、たとえ「送信者」が強く要求したとしても、そのような文書を開かないでください。 たとえあなたの顧客の中に、理論的には同様の内容の手紙を送ってきそうな人が突然いたとしても、わざわざその人に直接連絡を取り、あなたに何か文書を送ったかどうかを確認したほうがよいでしょう。 過剰な体の動きは、 この場合不必要な手間を省くことができます！

コンピュータの技術的なギャップをすべて埋め、スパマーの挑発に屈しなければ、ウイルスを恐れることはないと思います。

感染後にファイルを回復する方法

それにもかかわらず、コンピュータを暗号化ウイルスに感染させてしまったのです...暗号化メッセージが表示された後は、絶対に PC の電源を切らないでください。

実際には、ウイルス自体のコードに多くのエラーがあるため、コンピュータを再起動する前に、ファイルの復号化に必要なキーがメモリから削除される可能性があります。 たとえば、WannaCry 復号化キーを取得するには、wannakiwi ユーティリティが適しています。 ああ、Petya 攻撃後にファイルを回復するには 同様の決定いいえ、ただし、ミニチュア プログラム ShadowExplorer を使用して、データのシャドウ コピーからそれらを抽出することはできます (ハードディスク パーティションに作成するオプションを有効にしている場合)。

すでにコンピュータを再起動している場合、または上記のヒントが役に立たなかった場合は、データ回復プログラムを使用してのみファイルを回復できます。 一般に、暗号化ウイルスは次のスキームに従って機能します。ファイルの暗号化されたコピーを作成し、元のファイルを上書きせずに削除します。 つまり、実際に削除されるのはファイルラベルのみであり、データ自体は保存されており、復元することができる。 当社の Web サイトには 2 つのプログラムがあります。1 つはメディア ファイルや写真の蘇生に適しており、R.Saver はドキュメントやアーカイブに適しています。

当然のことながら、ウイルス自体をシステムから削除する必要があります。 Windows が起動する場合、Malwarebytes Anti-Malware がこれに適したツールです。 ウイルスによってダウンロードがブロックされた場合に役立ちます ブートディスク Dr.Web LiveCD には、さまざまなマルウェアと戦う実証済みのユーティリティが搭載されています。Dr.Web CureIt が搭載されています。 後者の場合は、MBR の復元も開始する必要があります。 Dr.Web の LiveCD は Linux に基づいているため、このトピックに関する Habr の説明が役に立つと思います。

結論

Windows 上のウイルスの問題は、長年にわたって関係しています。 そして、ウイルス作成者がユーザーのコンピュータに損害を与えるためのより洗練された形式を発明していることを毎年目にしています。 暗号化ウイルスの最近の流行は、攻撃者が徐々に積極的な恐喝に向かっていることを示しています。

残念ながらお金を払っても返事が来ない可能性が高いです。 ほとんどの場合、自分でデータを復元する必要があります。 したがって、感染の影響を排除するために長い時間を費やすよりも、時間内に注意を払って感染を防ぐ方が良いのです。

追伸 ソースへのオープンアクティブリンクが示され、Ruslan Tertyshny の著者が保持されることを条件として、この記事を自由にコピーおよび引用する許可が与えられます。

• すでに 200,000 台以上のコンピュータが感染しています。

攻撃の主な標的は企業部門で、次にスペイン、ポルトガル、中国、英国の通信会社が続いた。

• 最大の打撃を受けたのは、 ロシアのユーザーそして企業。 メガフォン、ロシア鉄道、そして未確認情報によると、調査委員会と内務省が含まれる。 ズベルバンクと保健省もシステムへの攻撃を報告した。

データの復号化のために、攻撃者はビットコインで 300 ～ 600 ドル (約 17,000 ～ 34,000 ルーブル) の身代金を要求します。

公式のインストール方法 Windows ISO イメージ 10 なし メディアの使用作成ツール

インタラクティブな感染マップ (マップをクリック)
身代金ウィンドウ
次の拡張子のファイルを暗号化します

企業部門をターゲットにしたウイルスにもかかわらず、 一般ユーザーまた、WannaCry の侵入や、ファイルへのアクセスが失われる可能性も免れません。

• コンピュータとその上のデータを感染から保護するための手順:

1. Kaspersky System Watcher アプリケーションをインストールします。このアプリケーションには、セキュリティ対策を回避した暗号化プログラムの動作によって生じた変更をロールバックする機能が組み込まれています。

2. Kaspersky Lab のウイルス対策ソフトウェアを使用している場合は、「システム モニター」機能が有効になっていることを確認することをお勧めします。

3. Windows 10 用 ESET NOD32 のウイルス対策プログラムのユーザーは、利用可能な新しい OS アップデートを確認するために導入されました。 事前に注意して有効にしておけば、必要な新しい Windows 更新プログラムがすべてインストールされ、システムはこの WannaCryptor ウイルスやその他の同様の攻撃から完全に保護されます。

4. また、ESET NOD32製品のユーザーは、プログラム内にまだ未知の脅威を検出する機能があります。 この方法行動的ヒューリスティック技術の使用に基づいています。

ウイルスがウイルスのように動作する場合、それはウイルスである可能性が高くなります。

5 月 12 日以来、ESET LiveGrid クラウド システムのテクノロジーはこのウイルスのすべての攻撃をうまく撃退しており、これらすべては署名データベースが更新される前から起こっていました。

5. ESET テクノロジーは、従来の Windows XP、Windows 8、および Windows 8 を実行しているデバイスにもセキュリティを提供します。 Windowsサーバー 2003 (これらの古いシステムの使用をやめることをお勧めします）。 まさにそのせいで、 ハイレベルこれらの OS に対する脅威があるため、Microsoft はアップデートをリリースすることを決定しました。 ダウンロードしてください。

6. PC への危害の脅威を最小限に抑えるには、PC を緊急にアップデートする必要があります。 Windowsのバージョン 10: スタート - 設定 - 更新とセキュリティ - 更新プログラムの確認 (その他の場合: スタート - すべてのプログラム - Windows Update - 更新プログラムの検索 - ダウンロードとインストール)。

7. Microsoft の公式パッチ (MS17-010) をインストールします。これにより、ウイルスが侵入する可能性がある SMB サーバー エラーが修正されます。 このサーバーこの攻撃に関与している。

8. 使用可能なセキュリティ ツールがすべてコンピュータ上で実行され、正常に動作していることを確認します。

9. システム全体のウイルスをスキャンします。 と呼ばれる悪意のある攻撃が暴露された場合、 MEM:Trojan.Win64.EquationDrug.gen、システムを再起動します。

もう一度、MS17-010 パッチがインストールされていることを確認することをお勧めします。

現在、Kaspersky Lab、ESET NOD32、およびその他のウイルス対策製品の専門家が、感染した PC のユーザーがファイルへのアクセスを復元できるようにするファイル復号化プログラムの作成に積極的に取り組んでいます。

フェイスブック

ツイッター

VK

オドノクラスニキ

電報

自然科学

WannaCry ランサムウェア ウイルス: どうすればよいですか?

新しいランサムウェア ウイルス WannaCry (別名 Wana Decrypt0r、 ワナデクリプタ、WanaCrypt0r）は、コンピューター上の文書を暗号化し、復号化のために 300 ～ 600 米ドルを強要します。 コンピュータが感染しているかどうかはどうすればわかりますか? 被害者にならないためにはどうすればいいでしょうか？ そして回復するにはどうすればいいでしょうか？

あなたのコンピュータは Wana Decryptor ランサムウェア ウイルスに感染していますか?

Avast の Jacob Krustek () 氏によると、すでに 10 万台以上のコンピュータが感染しています。 そのうちの 57% はロシアにあります (これは奇妙な選択ではありませんか?)。 4万5千人を超える感染者が登録されていると報告している。 サーバーだけでなく、サーバーがインストールされている一般人のコンピューターも感染します。 オペレーティングシステム Windows XP、Windows Vista、Windows 7、Windows 8、および Windows 10。すべての暗号化されたドキュメントの名前にはプレフィックス WNCRY が含まれます。

このウイルスに対する保護機能は、Microsoft が「パッチ」を公開した 3 月に発見されましたが、流行の発生から判断すると、次のような多くのユーザーが システム管理者、コンピューターのセキュリティ更新プログラムを無視しました。 そして何が起こったのか - Megafon、ロシア鉄道、内務省、その他の組織が感染したコンピューターの治療に取り組んでいます。

感染症の世界的規模を考慮して、Microsoft は 5 月 12 日、長らくサポートされていなかった製品 (Windows XP および Windows Vista) に対する保護アップデートを公開しました。

コンピュータが感染しているかどうかを確認するには、次のコマンドを使用します。 ウイルス対策ユーティリティ、たとえば、Kaspersky または (Kaspersky サポート フォーラムでも推奨されています)。

Wana Decryptor ランサムウェア ウイルスの被害者にならないようにするにはどうすればよいですか?

まず最初にしなければならないことは、穴を閉じることです。 これを行うには、ダウンロードしてください