暗号化ウイルスによる攻撃、アメリカ諜報機関からのハッキングツールの漏洩、エネルギー施設の強度テスト、ICOへの攻撃、そしてSWIFTシステムを使ったロシアの銀行からの資金窃盗の初成功など、2017年は不快な驚きに満ちた年だった。 誰もがそれらに対する準備ができていたわけではありません。 まったく逆です。 サイバー犯罪は急速かつ大規模化しています。 親政府ハッカーはもはや単なるスパイではなく、金銭を盗み、サイバー破壊活動を行っています。
サイバー脅威に対するあらゆる対抗策は、常に装甲と発射体の競争になります。 そして今年の出来事は、多くの企業、さらには国家がサイバー犯罪に屈していることを示しています。 なぜなら、敵が誰なのか、彼がどのように行動するのか、次の攻撃をどこで待つべきなのかが分からないからです。 ほとんどの攻撃は、脅威インテリジェンスの早期警告テクノロジーを使用して準備の段階で防ぐ必要があります。 サイバー犯罪者の数歩先を行くことは、お金、情報、評判を節約することを意味します。
ランサムウェアウイルス
2017 年に配布と被害の両面で最も蔓延したのは、ランサムウェア ウイルスを使用したサイバー攻撃でした。 彼らの背後には親政府ハッカーがいる。 名前で覚えてみましょう。
WonnaCry 攻撃の結果: ウクライナ、ハリコフのスーパーマーケット Rost。
ラザルス(ダーク・ソウル・ギャングとも呼ばれる)は、朝鮮人民軍総参謀本部情報総局の一部門であり、サイバー作戦の実施を担当する局121の背後にいると考えられている北朝鮮のハッカー集団の名前である。 。 長年にわたり、北朝鮮のグループ「ラザラス」のハッカーは、政権のイデオロギー上の敵である米国の政府機関や民間企業をスパイしてきた。 韓国。 現在、Lazarus は世界中の銀行や金融機関を攻撃しています。彼らは、2016 年 2 月にバングラデシュ中央銀行からほぼ 10 億ドルを盗もうとした試み、ポーランドの銀行、およびロシア中央銀行の従業員に対する攻撃に関与しています。連盟、ベネズエラ中央銀行、ブラジル中央銀行、チリ中央銀行と協力し、極東国際銀行から6,000万ドルを引き出しようとした(「銀行に対する標的型攻撃」の項を参照)。 2017年末、北朝鮮のハッカーによる仮想通貨サービスへの攻撃やモバイルトロイの木馬を使った攻撃が注目された。
今年のトレンド
10月24日、ウクライナとロシアでランサムウェアウイルス「BadRabbit」を使った大規模なサイバー攻撃が発生した。 このウイルスは、キエフ地下鉄、インフラ省、オデッサ国際空港のコンピューターとサーバーを攻撃しました。 数人の犠牲者もロシアにたどり着いた。攻撃の結果、連邦メディアの編集局が被害を受け、銀行インフラに感染しようとした試みも記録された。 Group-IB が確立したように、Black Energy グループが攻撃の背後にいます。
銀行に対する標的型攻撃
2017年の春と夏にロシアの銀行を襲撃した犯罪グループは、米国、欧州、ラテンアメリカ、アジア、中東といった他の国や地域に関心を移した。 年末に彼らは再びロシアで活動を始めた。
2017 年、親政府ハッカーは目標を変更し、金融セクターに対してサイバー破壊活動を開始しました。 ハッカーはスパイしたりお金を盗んだりするために、カード処理である SWIFT へのアクセスを試みます。 この春、BlackEnergy グループはウクライナのインテグレーターをハッキングし、ウクライナの銀行のネットワークにアクセスしました。 数か月後、WannyCry と NotPetya の流行が始まり、その背後に Lazarus と BlackEnergy グループが立っていました。
しかし、グループ IB チームが年次報告書を提出した 10 月初旬までに、私たちは慎重ながらも楽観的な見方をしていました。ロシアの銀行に対する標的型攻撃は 33% 減少しました。 ロシアの銀行を攻撃したすべての犯罪グループは、徐々に他の国や地域、つまり米国、ヨーロッパ、ラテンアメリカ、アジア、中東に関心を移しました。 年末により統計は台無しになりました。私たちは銀行に対する多数のサイバー攻撃を記録しました。12 月には、銀行に対する最初の攻撃が成功しました。 ロシアの銀行グループCobaltによるSWIFT演奏。
SWIFTに対する攻撃
10月には台湾の極東国際銀行が強盗に遭った。 ハッカーらは銀行と接続されていた国際銀行間送金(SWIFT)システムに到達し、スリランカ、カンボジア、米国の口座に約6000万ドルを引き出すことができた。 ラザログループが攻撃の背後にあると考えられている。 11月、ネパール最大の非国営銀行であるNIC Asia Bankがサイバー犯罪者の標的となり、SWIFTシステムにアクセスし、米国、英国、日本、シンガポールの口座に440万ドルを引き出した。
12 月中旬、SWIFT を使用したロシアの銀行への攻撃が成功したことが知られるようになりました ( 国際システム財務情報の送信)。 以前ロシアで、カード処理システム、ATM、KBR(自動化された)の自動化された作業場を使用して標的型攻撃が行われたことを思い出してください。 職場ロシア銀行の顧客)。
Cobalt グループが攻撃に関与している可能性があります。 銀行への侵入は、数週間前にこのグループによって銀行に配布されたマルウェアを通じて行われました。このタイプの攻撃は Cobalt にとって典型的なものです。 メディアは、犯人らが約100万ドルを盗もうとしたが、約10%を引き出すことに成功したと報じた。 中央銀行の情報セキュリティ部門である FinCERT は、報告書の中で、信用機関に対する主な脅威として Cobalt グループを挙げています。
Group-IBによると、このグループはロシア、イギリス、オランダ、スペイン、ルーマニア、ベラルーシ、ポーランド、エストニア、ブルガリア、ジョージア、モルドバ、キルギスタン、アルメニアなど、世界中の銀行に対して少なくとも50回の攻撃を成功させたという。 、台湾、マレーシア。 夏から秋にかけて、彼らは世界中の銀行を攻撃し、新しいツールやスキームをテストし、年末になってもその勢いは衰えませんでした。私たちはほぼ毎週、悪意のあるプログラムが含まれた彼らのメールを記録しています。
非実体性と悪意のあるスクリプトは、新しい (そして今では基本的な) 攻撃の原則です。 ハッカーは検出されないようにするため、RAM 内でのみ動作し、再起動後に破壊される「実体のない」プログラムを使用します。 さらに、PowerShell、VBS、PHP のスクリプトは、システム内での永続性 (アンカー) を確保し、攻撃の一部の段階を自動化するのに役立ちます。 また、ハッカーは銀行を正面から攻撃するのではなく、信頼できるパートナー、つまりインテグレーターや請負業者を通じて攻撃することにも注目しています。 彼らは在宅時に従業員を攻撃し、個人の電子メールやソーシャルネットワークをチェックします
今年のトレンド
今年の発見: MoneyTaker
10 興味深い事実マネーテイカーについて
インテリジェンスハッキングツールの流出
NSA と CIA の漏洩によるエクスプロイトは、標的型攻撃を実行するために積極的に使用され始めています。 これらは、金銭目的のハッカーや一部の政府支持ハッカーに対する侵入テストを実施するための主要ツールにすでに組み込まれています。
ウィキリークスとVault7
ウィキリークスは 1 年を通じて、Vault 7 プロジェクトの一環として諜報機関のハッキング ツールに関する情報を公開し、CIA の秘密を系統的に明らかにしました。 その 1 つ - CherryBlossom (「Cherry Blossom」) を使用すると、接続しているユーザーの位置とインターネット アクティビティを追跡できます。 無線ルーター Wi-Fi。 このようなデバイスは、家庭、オフィス、レストラン、バー、ホテル、空港、政府機関で広く使用されています。 ウィキリークスは、FBI、DHS、NSAの同僚をスパイするためのCIAのテクノロジーさえ暴露した。 CIA の技術サービス局 (OTS) は、CIA が米国情報コミュニティの対応者に配布している生体認証情報システムから秘密裏にデータを抽出する ExpressLane スパイウェアを開発しました。 少し前に、ウィキリークスは、コンピューターをハッキングするように設計されたパンデミック マルウェアに関する情報を公開しました。 共有フォルダ、Wi-Fi 対応デバイスの地理位置情報も追跡し、ユーザーの習慣を追跡できる ELSA プログラムについても説明します。 ウィキリークスは 2017 年 2 月に Vault-7 シリーズの出版を開始しました。 リークには、次の脆弱性を説明する情報が含まれていました。 ソフトウェア、マルウェアのサンプルとテクニック コンピュータ攻撃.
同様に人気のあるもう 1 つの情報源、つまり Shadow Brokers グループによって公開された NSA リークからのハッキング ツールは、需要が高かっただけでなく、改良され洗練されていました。 今年4月にShadow Brokersグループが公開したアメリカ諜報機関のユーティリティをベースにした、SMBプロトコルの脆弱性を持つマシンの検索を自動化するスクリプトが地下フォーラムに登場した。 漏洩の結果、fuzzbunch ユーティリティと ETERNALBLUE エクスプロイトは最終的に オープンアクセス, しかし、修正後は完全に完成した製品となり、攻撃者が攻撃しやすくなります。
WannaCry ランサムウェアが 150 か国の数十万台のコンピュータに感染するために使用したのは SMB プロトコルであったことを思い出してください。 1 か月前、Shodan 検索エンジンの作成者である John Matherly 氏は、 ポートを開く SMB プロトコル経由のアクセス用。 そのうちの 42% (約 97 万) はゲスト アクセスを提供します。つまり、SMB プロトコルを使用する人は誰でも承認なしでデータにアクセスできます。
夏には、Shadow Brokers グループは、ルータ、ブラウザ、モバイル デバイス、銀行ネットワークや SWIFT からの侵害されたデータ、核およびミサイル計画に関する情報など、加入者向けの新しいエクスプロイトを毎月公開すると約束しました。 注目に触発されて、Shadow Brokers は当初のサブスクリプション価格を 100 Zcash コイン (約 30,000 ドル) から 200 Zcash コイン (約 60,000 ドル) に引き上げました。 VIP サブスクライバー ステータスには 400 Zcash コインがかかり、カスタム エクスプロイトを受け取ることができます。
重要インフラへの攻撃
エネルギー部門は、新たなサイバー兵器の研究の実験場となっている。 犯罪グループ BlackEnergy は金融会社やエネルギー会社を攻撃し続けています。 自由に使えるツールを使用すると、送電網を物理的に開閉する役割を担うリモート端末ユニット (RTU) を遠隔制御できます。
実際に機器を無効にする可能性のある最初のウイルスは、Equation Group (Five Eyes/Tilded Team) が使用した Stuxnet でした。 2010年、ウイルスはネイサンにあるイランのウラン濃縮プラントのシステムに侵入し、ウランを含む遠心分離機を毎秒1000回転の頻度で回転させるSIMATIC S7シーメンスのコントローラーに感染した。 Stuxnet は遠心分離機のローターを 1400 rpm まで加速しましたが、あまりにも速すぎるとローターが振動して崩壊し始めました。 ホールに設置された5,000台の遠心分離機のうち、約1,000台が故障した。 イラン人 核開発計画数年前に戻りました。
この攻撃の後、数年間は平穏な状態が続きました。 ハッカーたちはずっと、ICS に影響を与え、必要に応じて無効にする機会を探していたことが判明しました。 この方向にさらに進んでいるグループは、サンドワームとしても知られる Black Energy です。
昨年末のウクライナの変電所に対するテスト攻撃では、Industroyer または CRASHOVERRIDE と呼ばれる新しいツール セットが何ができるかを示しました。 Black Hat カンファレンスでは、Industroyer ソフトウェアは「Stuxnet 以来、産業用制御システムに対する最大の脅威」と呼ばれていました。 たとえば、BlackEnergy ツールを使用すると、電力網を物理的に開閉する役割を担うリモート端末ユニット (RTU) をリモートで制御できます。 このようなツールを使用したハッカーは、それを恐るべきサイバー兵器に変えて、光と水のない都市全体から脱出できるようにすることができます。
問題はウクライナだけで起きる可能性はない。7月には英国とアイルランドでもエネルギーシステムに対する新たな攻撃が記録された。 送電網に混乱はなかったが、専門家らはハッカーがセキュリティシステムのパスワードを盗んだ可能性があるとみている。 米国では従業員に配布後 エネルギー会社� 悪意のある電子メール FBI はサイバー攻撃の可能性について企業に警告しました。
ICOに対する攻撃
長い間、銀行とその顧客はサイバー犯罪の主な標的となってきました。 しかし今では、ICO やブロックチェーン新興企業という強力な競争相手が存在しており、暗号通貨に関連するものはすべてハッカーの注目を集めています。
ICO (Initial Coin Offering - トークンの初期配置手順) はハッカーの夢です。 暗号通貨サービスやブロックチェーンの新興企業に対する超高速で、多くの場合非常に単純な攻撃は、犯罪者のリスクを最小限に抑えながら数百万ドルの利益をもたらします。 Chainalies によると、ハッカーは 2017 年にイーサリアム上の ICO プロジェクトに投資された全資金の 10% を盗むことに成功しました。 損失総額は約2億2500万ドルに達し、3万人の投資家が平均7500ドルを失った。
私たちはブロックチェーン プロジェクト (取引所、交換業者、ウォレット、ファンド) に対する約 100 件の攻撃を分析し、問題の大部分はブロックチェーン テクノロジーを使用する暗号化サービス自体の脆弱性にあるという結論に達しました。 イーサリアムの場合、問題はプラットフォーム自体ではなく暗号化サービスで観察されました。独自のスマート コントラクトの脆弱性、改ざん、管理者アカウント (Slack、Telegram) の侵害、Web サイトのコンテンツをコピーするフィッシング サイトに遭遇しました。 ICOに参加する企業の数。
いくつかの脆弱性があります。
Android トロイの木馬を使用してお金を盗む
バンキング Android トロイの木馬の市場は、最もダイナミックで急速に成長していることが判明しました。 ロシアにおける Android 向けバンキング型トロイの木馬による被害は 136% 増加し、総額 1,370 万ドルに達しました。 パーソナルコンピュータ 30%増加します。
私たちは昨年、マルウェア感染が検出されにくくなり、自動入力方法を使用して盗難が自動化されるため、この増加が予測されました。 私たちの推定によると、過去 1 年間にロシアで発生したこの種の攻撃による被害は 1,370 万ドルに達しました。
犯罪グループ「クロン」メンバーの拘束
ランサムウェア攻撃の新たな波が世界中に広がり、ロシアのメディアやウクライナ企業も被害者となっている。 ロシアでは、インターファクス社がウイルスの被害を受けたが、同社のITサービスが重要インフラの一部を停止させることに成功したため、攻撃の影響を受けたのは政府機関の一部のみだったとロシア企業グループIBは声明で述べた。 彼らはこのウイルスをBadRabbitと名付けました。
同庁のユーリ・ポゴレリ次長は自身のフェイスブックページで、インタファクスに対する前例のないウイルス攻撃について報告した。 Interfax の従業員 2 名が、コンピューターの電源がオフになっていることを Vedomosti に確認しました。 そのうちの 1 人によると、視覚的にロックされた画面はアクションの結果のように見えます 既知のウイルスペチャ。 Interfax を攻撃したウイルスは、自分でファイルを復号化しようとしないように警告し、0.05 ビットコイン (昨日のレートで 285 ドル) の身代金の支払いを要求し、その代金として、次の特別な Web サイトに誘導します。 Tor ネットワーク。 このウイルスは、暗号化されたコンピュータに個人識別コードを割り当てました。
インターファックスに加えて、さらにロシアのメディア2社が暗号化ウイルスの被害を受けており、そのうちの1社がサンクトペテルブルクの出版物フォンタンカであるとGroup-IBは把握している。
フォンタンカの編集長アレクサンダー・ゴルシコフ氏は、フォンタンカのサーバーが未知の攻撃者に攻撃されたとベドモスチに語った。 しかしゴルシコフ氏は、フォンタンカが暗号化ウイルスによる攻撃を受けたことに疑いの余地はないと断言する。編集スタッフのコンピュータは機能しており、サイトの運営を担当するサーバーはハッキングされた。
ポゴレリ氏はベドモスチに対し、英国、アゼルバイジャン、ベラルーシ、ウクライナのインターファックス部門とインターファックスの宗教ウェブサイトは引き続き運営していると語った。 なぜ被害が他の部門に影響しなかったのかは不明だが、おそらくこれはサーバーが地理的に配置されているInterfaxネットワークのトポロジと、そこにインストールされているオペレーティングシステムによるものだと彼は言う。
ウクライナのインタファクス通信が火曜午後に報じた。 ハッカー攻撃オデッサ国際空港へ。 空港はウェブサイトで「サービス時間を強制的に延長したこと」について乗客に謝罪したが、オンラインスコアボードから判断すると、火曜日も飛行機の発着を続けていた。
キエフ地下鉄もFacebookアカウントへのサイバー攻撃について報告 - 運賃の支払いに問題があった 銀行カード。 フロントニュースは、地下鉄が暗号化ウイルスに攻撃されたと報じた。
Group-IB は新たな流行について結論を下します。 ここ数カ月で、ランサムウェア攻撃の 2 つの波がすでに世界中に広がりました。5 月 12 日、 WannaCry ウイルス、そして 6 月 27 日 – Petya ウイルス (別名 NotPetya および ExPetr)。 アップデートがインストールされていない Windows オペレーティング システムを搭載したコンピュータに侵入し、コンテンツを暗号化しました。 ハードドライブそして復号化に300ドルを要求した。 後で判明したことですが、Petya は被害者のコンピュータを復号化することさえ考えていませんでした。 最初の攻撃では 150 か国以上の数十万台のコンピュータが影響を受け、2 番目の攻撃では 65 か国の 12,500 台のコンピュータが影響を受けました。 ロシア人も攻撃の犠牲者となった。 メガホン », エヴラス , « ガスプロム" そして " ロスネフチ」 インビトロ医療センターも数日間患者からの検査を受け入れなかったため、ウイルスの被害を受けた。
Petya はほぼ 1 か月半でわずか 18,000 ドルしか集められませんでしたが、被害は比較にならないほど大きかったです。 被害者の 1 つであるデンマークの物流大手モラー・マースクは、サイバー攻撃による損失収益を 2 億~3 億ドルと見積もっています。
モラー・マースクの各部門のうち、主な打撃を受けたのはコンテナの海上輸送を手掛けるマースク・ラインだった(2016年、マースク・ラインは総額207億ドルの利益を上げ、同部門の従業員数は3万1900人)。
企業は攻撃からすぐに回復しましたが、企業と規制当局は引き続き警戒していました。 そこで、8月に連邦政府は、 ネットワーク会社 UES(全ロシアの電力網を管理)、そして数日後、ロシアの銀行はFinCERT(サイバーセキュリティを扱う中央銀行機構)から同様の警告を受け取った。
この新たな暗号化ウイルス攻撃はカスペルスキーも注目しており、それによると、攻撃の被害者のほとんどはロシアにいるが、ウクライナ、トルコ、ドイツでも感染者がいるという。 すべての兆候は、これが標的型攻撃であることを示しています。 企業ネットワーク, Kaspersky Lab のウイルス対策研究部門責任者、Vyacheslav Zakorzhevsky 氏は確信しています。ExPetr ツールと同様の手法が使用されていますが、このウイルスとの関連性は追跡できません。
そして、ウイルス対策会社 Eset によると、この暗号化ツールは依然として Petya の親戚であるとのことです。 攻撃に使用される マルウェア Diskcoder.D は、エンコーダの新しい修正版です。
ポゴレリ氏は、シマンテック社のウイルス対策ソフトがインターファックスのコンピュータにインストールされていたと述べた。 シマンテックの代表者は昨日、Vedomosti氏の要請に応じなかった。
PC 感染を防ぐための簡単な推奨事項に従えば、WannaCry、Petya、Mischa などのランサムウェア ウイルスの脅威を受けることはありません。
先週、新たな暗号化ウイルスに関するニュースでインターネット全体が震撼しました。 このウイルスは、今年 5 月に大流行した悪名高い WannaCry よりもはるかに大規模な感染症を世界中の多くの国で引き起こしました。 この新しいウイルスには、Petya.A、ExPetr、NotPetya、GoldenEye、Trojan.Ransom.Petya、PetrWrap、DiskCoder.C などの多くの名前がありますが、ほとんどの場合、単に Petya として表示されます。
今週も攻撃は続く。 私たちのオフィスにも、神話的なソフトウェアのアップデートを巧妙に装った手紙が届きました。 幸いなことに、私抜きで送信されたアーカイブを開こうと思う人は誰もいませんでした :) したがって、今日の記事は、ランサムウェア ウイルスからコンピュータを保護し、Petya やその他の暗号化プログラムの被害者にならないようにする方法の問題に当てたいと思います。
最初のランサムウェア ウイルスは 2000 年代初頭頃に出現しました。 長年にわたってインターネットを使用している人の多くは、おそらく Trojan.WinLock を覚えているでしょう。 コンピューターの起動がブロックされ、ロック解除コードを受け取るためには、WebMoney ウォレットまたは携帯電話アカウントに一定の金額を送金する必要がありました。
最初の Windows ブロッカーはまったく無害でした。 最初に資金を送金する必要があるというテキストが表示されるウィンドウは、タスク マネージャーを通じて簡単に「釘付け」できます。 その後、より複雑なバージョンのトロイの木馬が登場し、レジストリ レベル、さらには MBR まで変更を加えました。 しかし、これも対処法を知っていれば「治す」ことができます。
最新のランサムウェア ウイルスは非常に危険なものになっています。 システムをブロックするだけでなく、コンテンツも暗号化します ハードドライブ(マスターブートレコードMBRを含む)。 システムのロックを解除してファイルを復号化するために、攻撃者は現在、200 ドルから 1,000 ドルに相当するビットコインで手数料を請求しています。さらに、たとえ合意された資金を指定されたウォレットに送金したとしても、これはハッカーがあなたに送金するという保証はありません。ロック解除キー。
重要な点は、現在、ウイルスを駆除してファイルを取り戻す有効な方法が事実上存在しないということです。 したがって、私の意見では、最初からあらゆる種類のトリックに騙されず、潜在的な攻撃からコンピューターを多かれ少なかれ確実に保護する方が良いと考えています。
ランサムウェア ウイルスは通常 2 つの方法で拡散します。 最初のエクスプロイトはさまざまです Windows の技術的な脆弱性。たとえば、WannaCry は EternalBlue エクスプロイトを使用し、SMB プロトコル経由でコンピュータへのアクセスを許可しました。 そして新しいのは Petya ランサムウェア開いている TCP ポート 1024 ~ 1035、135、および 445 を介してシステムに侵入する可能性があります。より一般的な感染方法は次のとおりです。 フィッシング。 簡単に言うと、メールで送られてきた悪意のあるファイルをユーザー自身が開くことで PC に感染してしまうのです。
ウイルスによる直接感染はそれほど頻繁ではありませんが、発生することがあります。 したがって、すでに知られている潜在的なセキュリティ ホールに積極的に対処することをお勧めします。 まず、ウイルス対策ソフトウェアを更新するか、インストールする必要があります (たとえば、無料の 360 Total Security はランサムウェア ウイルスを適切に認識します)。 次に、インストールする必要があります 最新のアップデートウィンドウズ。
そこで、SMB プロトコルの潜在的に危険なバグを排除するために、Microsoft は Windows XP から始まるすべてのシステムに対して特別なアップデートをリリースしました。 OS のバージョンに応じてダウンロードできます。
Petya から保護するには、コンピュータ上の多くのポートを閉じることをお勧めします。 これを行う最も簡単な方法は、標準を使用することです。 ファイアウォール。 コントロール パネルで開き、サイドバーのセクションを選択します "追加オプション" 。 フィルタリングルール管理ウィンドウが開きます。 選択 「受信接続のルール」そして右側で をクリックします 「ルールの作成」。 ルールを作成する必要がある特別なウィザードが開きます。 「港に向けて」、オプションを選択します 「特定のローカルポート」そして次のように書きます。 1024-1035, 135, 445 :
ポートリストを追加したら、次の画面でオプションを設定します 「接続をブロックする」すべてのプロファイルに対して、新しいルールの名前 (オプションの説明) を指定します。 インターネット上の推奨事項を信じれば、たとえウイルスがコンピュータに侵入したとしても、必要なファイルをダウンロードするのを防ぐことができます。
さらに、ウクライナ出身で Me.Doc 会計ソフトウェアを使用している場合は、バックドアを含む更新プログラムをインストールする可能性があります。 これらのバックドアは、コンピュータを Petya.A ウイルスに大規模に感染させるために使用されました。 本日分析されたアップデートのうち、セキュリティの脆弱性を伴うアップデートが少なくとも 3 つ確認されています。
これらのアップデートをインストールしている場合は、危険にさらされています。
すでに述べたように、ほとんどの感染症は依然として人的要因が原因です。 ハッカーやスパマーは世界中で大規模なフィッシングキャンペーンを開始しました。 その枠組みの中で、彼らは、 電子メール請求書、ソフトウェア更新プログラム、またはその他の「重要な」データとして提示されたさまざまな添付ファイルが公的機関から送られてきたとされています。 ユーザーは偽装された悪意のあるファイルを開くだけで十分で、すべてのデータを暗号化するウイルスをコンピューターにインストールしてしまいました。
フィッシングメールと本物のメールを見分ける方法。 常識と次の推奨事項に従えば、これは非常に簡単に実行できます。
ユーザーを欺くさらに「エレガントな」方法には、ウイルスをダウンロードするスクリプトを Excel または Word ドキュメントとして偽装することが含まれます。 マスキングには 2 つのタイプがあります。 最初のオプションでは、スクリプト自体がオフィス文書として表示され、「請求書」などの「二重」の名前拡張子によって認識できます。 .xls.js"または"再開 .doc.vbs 2 番目のケースでは、添付ファイルは 2 つのファイルで構成されます。実際の文書と、オフィスからマクロとして呼び出されるスクリプトを含むファイルです。 Word文書またはエクセル。
いずれにせよ、たとえ「送信者」が強く要求したとしても、そのような文書を開かないでください。 たとえあなたの顧客の中に、理論的には同様の内容の手紙を送ってきそうな人が突然いたとしても、わざわざその人に直接連絡を取り、あなたに何か文書を送ったかどうかを確認したほうがよいでしょう。 過剰な体の動きは、 この場合不必要な手間を省くことができます!
コンピュータの技術的なギャップをすべて埋め、スパマーの挑発に屈しなければ、ウイルスを恐れることはないと思います。
それにもかかわらず、コンピュータを暗号化ウイルスに感染させてしまったのです...暗号化メッセージが表示された後は、絶対に PC の電源を切らないでください。
実際には、ウイルス自体のコードに多くのエラーがあるため、コンピュータを再起動する前に、ファイルの復号化に必要なキーがメモリから削除される可能性があります。 たとえば、WannaCry 復号化キーを取得するには、wannakiwi ユーティリティが適しています。 ああ、Petya 攻撃後にファイルを回復するには 同様の決定いいえ、ただし、ミニチュア プログラム ShadowExplorer を使用して、データのシャドウ コピーからそれらを抽出することはできます (ハードディスク パーティションに作成するオプションを有効にしている場合)。
すでにコンピュータを再起動している場合、または上記のヒントが役に立たなかった場合は、データ回復プログラムを使用してのみファイルを回復できます。 一般に、暗号化ウイルスは次のスキームに従って機能します。ファイルの暗号化されたコピーを作成し、元のファイルを上書きせずに削除します。 つまり、実際に削除されるのはファイルラベルのみであり、データ自体は保存されており、復元することができる。 当社の Web サイトには 2 つのプログラムがあります。1 つはメディア ファイルや写真の蘇生に適しており、R.Saver はドキュメントやアーカイブに適しています。
当然のことながら、ウイルス自体をシステムから削除する必要があります。 Windows が起動する場合、Malwarebytes Anti-Malware がこれに適したツールです。 ウイルスによってダウンロードがブロックされた場合に役立ちます ブートディスク Dr.Web LiveCD には、さまざまなマルウェアと戦う実証済みのユーティリティが搭載されています。Dr.Web CureIt が搭載されています。 後者の場合は、MBR の復元も開始する必要があります。 Dr.Web の LiveCD は Linux に基づいているため、このトピックに関する Habr の説明が役に立つと思います。
Windows 上のウイルスの問題は、長年にわたって関係しています。 そして、ウイルス作成者がユーザーのコンピュータに損害を与えるためのより洗練された形式を発明していることを毎年目にしています。 暗号化ウイルスの最近の流行は、攻撃者が徐々に積極的な恐喝に向かっていることを示しています。
残念ながらお金を払っても返事が来ない可能性が高いです。 ほとんどの場合、自分でデータを復元する必要があります。 したがって、感染の影響を排除するために長い時間を費やすよりも、時間内に注意を払って感染を防ぐ方が良いのです。
追伸 ソースへのオープンアクティブリンクが示され、Ruslan Tertyshny の著者が保持されることを条件として、この記事を自由にコピーおよび引用する許可が与えられます。
公式のインストール方法 Windows ISO イメージ 10 なし メディアの使用作成ツール
インタラクティブな感染マップ (マップをクリック)
身代金ウィンドウ
次の拡張子のファイルを暗号化します
ウイルスがウイルスのように動作する場合、それはウイルスである可能性が高くなります。
現在、Kaspersky Lab、ESET NOD32、およびその他のウイルス対策製品の専門家が、感染した PC のユーザーがファイルへのアクセスを復元できるようにするファイル復号化プログラムの作成に積極的に取り組んでいます。
フェイスブック
ツイッター
VK
オドノクラスニキ
電報
自然科学
新しいランサムウェア ウイルス WannaCry (別名 Wana Decrypt0r、 ワナデクリプタ、WanaCrypt0r)は、コンピューター上の文書を暗号化し、復号化のために 300 ~ 600 米ドルを強要します。 コンピュータが感染しているかどうかはどうすればわかりますか? 被害者にならないためにはどうすればいいでしょうか? そして回復するにはどうすればいいでしょうか?
あなたのコンピュータは Wana Decryptor ランサムウェア ウイルスに感染していますか?
Avast の Jacob Krustek () 氏によると、すでに 10 万台以上のコンピュータが感染しています。 そのうちの 57% はロシアにあります (これは奇妙な選択ではありませんか?)。 4万5千人を超える感染者が登録されていると報告している。 サーバーだけでなく、サーバーがインストールされている一般人のコンピューターも感染します。 オペレーティングシステム Windows XP、Windows Vista、Windows 7、Windows 8、および Windows 10。すべての暗号化されたドキュメントの名前にはプレフィックス WNCRY が含まれます。
このウイルスに対する保護機能は、Microsoft が「パッチ」を公開した 3 月に発見されましたが、流行の発生から判断すると、次のような多くのユーザーが システム管理者、コンピューターのセキュリティ更新プログラムを無視しました。 そして何が起こったのか - Megafon、ロシア鉄道、内務省、その他の組織が感染したコンピューターの治療に取り組んでいます。
感染症の世界的規模を考慮して、Microsoft は 5 月 12 日、長らくサポートされていなかった製品 (Windows XP および Windows Vista) に対する保護アップデートを公開しました。
コンピュータが感染しているかどうかを確認するには、次のコマンドを使用します。 ウイルス対策ユーティリティ、たとえば、Kaspersky または (Kaspersky サポート フォーラムでも推奨されています)。
Wana Decryptor ランサムウェア ウイルスの被害者にならないようにするにはどうすればよいですか?
まず最初にしなければならないことは、穴を閉じることです。 これを行うには、ダウンロードしてください