Возвращение Locky и Mamba: пользователей атакуют новые версии вирусов-шифровальщиков



    В последние несколько месяцев мир столкнулся с целой эпидемией атак вирусов-вымогателей: частных пользователей, компании и организации в разных странах атаковали зловреды WannaCry, Petya и LeakerLocker. Их предшественниками еще в прошлом году стали вирус-шифровальщик Mamba и вымогатель Locky — и теперь, как сообщает The Hacker News, их разработчики выпустили новые, «улучшенные» версии своего софта.

    Diablo6: новая версия вируса Locky


    Вирус Locky в 2016 году атаковал тысячи пользователей, которым рассылали фишинговые письма — по клику на вложение активировался вирус, который шифровал файлы на компьютере и выводил требование об уплате выкупа в биткоинах. Вирус затем несколько раз возвращался — его новые версии распространялись c помощью ботнетов Necurs и Dridex.

    На этот раз исследователи обнаружили массовую рассылку спам-писем, нацеленную на распространение новой версии Locky под названием Diablo6. Письма рассылаются пользователям в разных странах, но больше всего от атаки пострадали США, на втором месте по количеству атакованных машин находится Австрия.

    Впервые новую волну атаки вируса заметил независимый исследователь безопасности под ником Racco42 — он рассказал о том, что зловред шифрует все файлы на жестком диске, добавляя к ним расширение .diablo6. Вирус доставляется на компьютер жертвы под видом документа Word, прикрепленного к фишинговому письму — после клика на вложение активируется скрипт VBS Downloader, загружающий код вируса с удаленного файл-сервера. Вирус шифрует файлы с помощью ключа RSA-2048, затем выводится сообщение для пользователя — в нем объясняется, как скачать браузер Tor, чтобы зайти с его помощью на сайт разработчиков вируса для получения инструкций по оплаты выкупа в размере 0,49 биткоинов (более $2100) для разблокировки.

    К настоящему моменту инструмент для разблокировки файлов на атакованных Diablo6 компьютеров отсутствует, поэтому пользователям необходимо соблюдать осторожность при открытии email-вложений.

    Возвращение шифровальщика Mamba


    Вернулся и еще один известный вирус-вымогатель, от которого пострадали не только простые пользователи, но и многие организации. В прошлом году вирус Mamba, который шифрует не только отдельные файлы, а весь диск целиком, заразил компьютеры муниципальной железной дороги Сан-Франциско (MUNI) — это привело к масштабным сбоям в движении транспорта, на некоторых станциях не работали автоматы по покупке билетов.



    Исследователи из «Лаборатории Касперского» обнаружили новую кампанию по распространению вируса Mamba — на этот раз под удар попали корпоративные сети компаний в разных странах. Наибольшее число заражений зафиксировано в Бразилии и Саудовской Аравии. Mamba использует легитимный открытый софт для шифрования дисков Windows-компьютеров под названием DiskCryptor. Этот инструмент использует сильные алгоритмы шифрования, поэтому способа расшифровать диски атакованных Mamba компьютеров не существует.

    Исследователи предполагают, что внедрение вируса в корпоративные сети происходит с помощью рассылки фишинговых писем, включающих зловредные вложения, или с помощью скомпрометированных и поддельных сайтов, на которых размещаются эксплоиты. После того, как вирус шифрует диск, выводится сообщение, содержащие email-адрес, на который нужно написать для получения инструкций по разблокировки.

    Как защититься от вирусов-шифровальщиков


    Поскольку часто, как в описанных выше случаях, не существует способа расшифровать зашифрованные вирусом данные, пользователям необходимо стараться предотвратить атаку, следуя простым принципам безопасности.

    • Не нужно кликать на вложения в подозрительных письмах от неизвестных отправителей, также не нужно переходить по ссылкам в таких сообщениях.
    • Необходимо проводить регулярное резервное копирование: если вирус атаковал компьютер, то проще всего может быть восстановить файлы из бэкапа на внешнем диске. Диск с резервной копией не должен быть все время подключен к компьютеру.
    • Нужно регулярно обновлять антивирусный софт и использовать дополнительные методы защиты — например, корпоративные сети можно защитить с помощью специализированных средств вроде сканеров защищенности. Например, продукт MaxPatrol может выявлять уязвимости, приводящие к атаке вируса Petya, а соответствующие корреляции присутствуют в MaxPatrol SIEM.

    Эксперты Positive Technologies публиковали рекомендации по защите от атак вируса WannaCry, рассказывали как защититься о том, как защититься от #NotPetya, а также представили метод восстановления данных с зашифрованного им диска (дать гиперссылку).
    Positive Technologies 235,03
    Компания
    Поделиться публикацией

    Вакансии компании Positive Technologies

    Комментарии 19
    • +2
      Нужно регулярно обновлять антивирусный софт

      Я вот считаю, что антивирусный софт бесполезен, не пользуюсь антивирусами. Последний раз, я пользовался антивирусами в школьные годы и они ниразу не спасли мой компьютер от топовых вирусов. Безусловно, мое мнение, не базируется на опыте школьных лет, просто защита должна быть другого рода, а антивирус способе защитить, разве что «маму», котора открыла не тот файл в Одноклассниках от школохакера.

      • 0
        То есть то, что приезжает с рекламными баннерами или вообще тихо входит к Вам по SMB — на лету вручную распознаете по миганию индикатора харда и сурово уничтожаете? Уважаю.
        • +2
          Например, можно блокировать рекламу (всю) и отключить SMB и прочие сомнительные сетевые службы. И под админом не сидеть. А ещё лучше просто использовать более надёжную операционную систему.
          • 0
            Например, чтобы заблокировать рекламу (всю) — придется браузер не открывать. А без «сомнительных сетевых служб» Вам не удастся достучаться до своего NAS или принтера :D
            Про «надежную операционную систему» — фантастика в другом разделе, и участвовать во флейме Win vs. Lin я не намерен. Просто имейте в виду, что некоторым надо не только «мир пересобирать», но еще и работать.
            • +1
              (у меня у самого вообще OS X, если что, и работается на ней офигенно)
              • 0
                Во что работаете? (с)
                И да, Вы читайте статьи на сайте, где пишете — под Маки и вирусов, и троянов, и бэкдоров есть. Нет, не надо требовать с меня примеров — здесь же они находятся влет.
          • +3
            как видно из событий последних месяцев, то, что тихо входит к вам по smb, антивирус не заметит
            я тоже не пользуюсь антивирусами, дефендер, конечно, работает, но единственное, что он ловит — кряки и кейгены
            если мозгов нет — никакой антивирус не поможет
            работа под юзерской учёткой, своевременные бэкапы, внимательность при сёрфинге и чтении почты — вот простой набор, делающий антивирус ненужным
            в случае необходимости подозрительный файл, который надо запустить, можно отправить на virustotal, запустить в песочнице или виртуалке
            • –1
              >дефендер, конечно, работает
              Гм. Даже AVAST в роли антивируса лучше.
              >если мозгов нет — никакой антивирус не поможет
              Это да. Проблема в том, что вот остальное:
              >работа под юзерской учёткой, своевременные бэкапы, внимательность при сёрфинге и чтении почты — вот простой набор, делающий антивирус ненужным
              ерунда полная.
              Еще раз. Если Ваша юзерская учетка имеет право писать в каталог с нужными документами, если Вы используете не Lynx вместо браузера и почту читаете не из командной строки а каким-то клиентом — всё, привет, Ваш вирус Вас ожидает. И то, что его у Вас еще нет — это не Ваша заслуга, а, скорее, удача, причем это временно.
              • +1
                если Вы используете не Lynx вместо браузера

                У меня, например, отключен JavaScript по-умолчанию, кроме списка белых сайтов. В случае, если надо скачать тот же mp3 с левого сайта, я открываю его в инкогнито, включаю JavaScript и делаю все операции. Подобный подход не защищает на 100%, однако серьезно снижает вероятность заражения.
                Аналогично про соц. сети — только из инкогнито. Как результат — вероятность потери учетки крайне мал.


                почту читаете не из командной строки а каким-то клиентом

                Gmail можно читать из браузера. Т.е. все антивирусы работают на серверах гугла.


                скорее, удача

                Нет, каждый пункт выше — это снижение вероятности заразиться. Причем бесплатный, в отличии от антивирусов.


                ерунда полная.

                Ты неправ. Проблема вируса — это потеря или публикация приватных данных, порча машины. До нуля вероятность снизить нельзя, так как всегда можно сделать это без вируса, то есть чисто физически получить доступ к машине и всё проделать руками. Однако, пользуясь советами выше, ты сможешь снизить вероятность до приемлемого уровня.

                • –1
                  >У меня, например, отключен JavaScript по-умолчанию
                  И прочее.
                  Ну вот, можно естествоваться с настройками всего и вся — а можно (ну, для тех, у кого на всё вот это вот нет времени, например) просто поставить хотя бы бесплатный антивирус — и 90% подобной дряни будет тупо отбито.
                  >Нет, каждый пункт выше — это снижение вероятности заразиться.
                  Это самоуспокоение — Вы не сможете защищаться от угроз, о которых ничего не знаете. А чтобы знать — нужно быть постоянно в курсе всех новостей и 0-day уязвимостей, т.е. быть специалистом именно по этому вопросу.
                  А остальным как жить в это время?
                  >Проблема вируса — это потеря или публикация приватных данных
                  Не совсем верно.
                  Это потеря ВРЕМЕНИ в первую очередь, которое может быть потрачено на что-нибудь гораздо более полезное.
                  >Однако, пользуясь советами выше, ты сможешь снизить вероятность до приемлемого уровня.
                  И это ерунда. Защититься подобным образом от вирусных и пр. подобных угроз может специалист ровно одного типа — который по безопасности, причем это должен быть не начитавшийся «Хакиров», а именно что специалист, причем ежедневно мониторящий новости отрасли, понимающий, что происходит и вот таким вот образом, вручную затыкающий дыры на своем ПК, своем хранилище данных, своих прочих ИТ-сервисах… Еще раз напоминаю — это всего лишь одна профессия. Из очень многих. Которым надо просто работать — по своей части, а не этим вот всем заниматься.
                • +2
                  Если Ваша юзерская учетка имеет право писать в каталог с нужными документами
                  — то этот каталог нужно бэкапить, например, в owncloud или что-то подобное, умеющее в версии
                  также будет полезным откидывать образ системы на внешний хард раз в неделю/месяц/год, в зависимости от важности данных и уровня паранойи

                  мы же всё ещё об опытных пользователях говорим, не?
                  • –1
                    Мне вот этот момент непонятен.
                    Почему все оппоненты считают, что каждый должен быть экспертом по безопасности, постоянно мониторящим новости своей отрасли и непрерывно затыкающим дыры, причем вручную?
                    • +2
                      я такого не говорил
                      мой пойнт в том, что если мозг есть, то угрозы, от которых защищает антивирус, ты и сам обойдёшь, а если нет — то он не поможет
                      и экспертом в безопасности тут не надо быть, обычная гигиена
                      тем более, что антивирус никаких дыр не затыкает, в худшем случае это сигнатурный поиск, который всегда в отставании, в лучшем — эвристика, на низком уровне не ловящая, на высоком — мешающая и тормозящая

                      я не призываю всех подряд отказываться от антивирусов, считаете полезным — пожалуйста, i don't care
                      • –1
                        Файрволл с открытыми только теми портами, которые нужно
                        Безопасный DNS-сервис
                        Постоянные проверки установленных сертификатов на предмет отозванных
                        Все обновления на всё установленное ПО
                        Отключенное активное содержимое во всех установленных браузерах
                        Удаление исполняемых файлов из почтовых приложений, в т.ч. из архивов
                        И прочая, и прочая, и прочая.
                        «Обычная гигиена», ага
                        Мало того — всё перечисленное до некоторой степени поможет только от известных вирусов и уязвимостей. Известных — вот этому самому якобы «опытному пользователю».
                        >в худшем случае это сигнатурный поиск, который всегда в отставании
                        Ну то есть Вы даже о том, как работают современные антивирусы — не в курсе. Сигнатурный поиск без всего остального (экранов поведения, почты, песочниц и т.п.) — это было во времена MS-DOS и Windows 3.1, если что.
                        >я не призываю всех подряд отказываться от антивирусов
                        Тогда не стоит делать утверждения об их бесполезности, как мне кажется?
                        Но ОК, сойдемся на этом.
                        • +2
                          FW — у вас комп голой жопой торчит в инет или всё-таки роутер имеется?
                          DNS — опять же, к роутеру, зухеля, например, из коробки яндексДНС умеют
                          обновления всего установленного ПО — это вообще не к винде, если только вы не пользуетесь только офисом и эджем
                          активное содержимое — noscript, не?
                          вот не надо мне ничего из почты удалять, ок? я как-нибудь сам разберусь
                          и всё это не имеет никакого отношения к антивирусам
                          о работе которых я имею некоторое представление, и сигнатуры там занимают не последнее место

                          я утверждаю, что для нормального человека антивирусы бесполезны, но не призываю всех подряд от них отказываться
                          не вижу здесь противоречия
                          да и не я один так считаю
                          geektimes.ru/post/285284
                          • –1
                            >FW — у вас комп голой жопой торчит в инет или всё-таки роутер имеется?
                            Комп голым афедроном торчит в домашнюю сеть, если что. Вы один дома живете? Все также должны жить? Или у Вас семья экспертов по ИТ-безопасности?
                            >обновления всего установленного ПО — это вообще не к винде
                            Ну то есть я, похоже, спорю с человеком, который вообще не в курсе о способах заражения у современных вирусов (того же Пети). Окай.
                            На сем спор завершаю.
            • 0
              Антивирус нужен для того чтоб проверить флешку (не свою конечно, свои то все чистые) на вирусы, показать хозяину флешки какой он болван, скопировать что он там просил, и отдать флешку вместе с вирусами обратно.
            • 0
              К настоящему моменту инструмент для разблокировки файлов на атакованных Diablo6 компьютеров отсутствует, поэтому пользователям необходимо соблюдать осторожность при открытии email-вложений.

              То есть, если бы инструмент такой присутствовал, то можно было бы не соблюдать осторожность при открытии вложений, да?
              image
              • 0

                Не хватает конкретики. Написано мол вирус лезет на сайт за загрузкой, а куда именно не сказано и т.д. Хотя біло бы удобно имя такие данные блочить данные направления превентивно. Общие советы смотреть что открывается мало помогают.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое