Шифровальщик

Этот пост НЕ является продолжением предыдущего. Всем, кто этого продолжения ждет, я настоятельно рекомендую запастись терпением: до окончания работ на объекте никакой иной информации дано не будет.

Disclaimer:

Я не буду делить вредоносов на троянов, червей, фишеров, кейлоггеров и прочую шелупонь. Не силен я в их классификации. Так что любую вредоносную программу я буду называть просто вирус.

Первым для меня был Sasser.

Если кто не помнит – этот паразит атаковал процесс lsass.exe в Windows XP SP1. По факту, все было очень просто: если на компьютере не стояло файерволла – при подключении сети через небольшой промежуток времени появлялось окно, уведомлявшее о том, что процесс local security asses system service (lsass.exe) инициировал завершение работы методом перезагрузки, которое произойдет через 00:00:59. И таймер тикал вниз.

По принципу своего воздействия, Sasser был похож на MSBlast, он же Lovesan. А из-за схожести названия Lovesan с именем процесса (напомню: lsass), половина моих знакомых путала этих пугал между собой. А вторая половина, видимо, увидев в названии слово Love, путала этот вирус с другим пугалом: ILOVEYOU.

Вторым был Автораннер.

Тот самый, который в 2007-2008 году заразил 95% компьютеров моих друзей. Меня оно обошло стороной, потому что по старой привычке у меня был запрещен автозапуск отовсюду, а все накопители я просматривал с помощью Total Commander. Я, впрочем, до сих пор не знаю, что делал этот вирус. Знаю только, что он копировал самого себя во все папки, которые были открыты через проводник. А еще, что он скрывал на флешках папки, плодил ярлыки с названиями этих папок на самого себя, ну и так далее. Если кто знает, зачем это все происходило – жду ваших комментариев. Мне правда интересно.

Третьим стал Винлокер.

В самом начале 2010 года случилась просто эпидемия заражений этой пакостью. И сперва, даже, казалось, что решения нет, что пользователи будут продолжать заражаться этой пакостью, а инженеры техподдержки продолжат бегать по квартирам. К слову, на Вики написано, что обычно заражение происходило через порносайты. На самом деле это не так. Ни один уважающий себя порносайт не потерпит у себя такой пакости. Но я гарантирую, что назову минимум четверых человек, которые локера поймали в электронной библиотеке :/

В сентябре 2011, работая инженером техподдержки в Оранжевом провайдере, был направлен в город-сателлит в «усиление наряда» – местные ребята уже не справлялись. Ну так вот, в течение месяца, 14 из 16 заявок в день приходились на чистку «порнобаннеров», «мбр-локеров», «винолокеров». В тот момент я даже шутил, что чувствую себя венерологом: столько сисек и писек я в своей жизни больше не видел.

Четвертой группой вирусов оказались фишинговые сайты. Скорее всего, это связано с массовым распространением дешевых планшетов. С октября 2011 мы лечили зараженные файлы HOSTS, измененные ярлыки на Google Chrome, прописывание стартовой страницы vlkontakte.ru и иже с ними. Больше всего мне понравился троянчик, прописывающий левые днс-серверы в ручные параметры подключения. Он пускал только на измененные версии vk и ok. В свою очередь, собирал логины и пароли, которые потом использовались для спам-рассылок по списку контактов. Этого зверя я встретил в 2014. В тот момент я грешным делом даже подумал, что вирусописатели окончательно слились и ничего серьезного уже не произойдет.

А потом появились они. Первый раз про шифровальщика я услышал в 2015 году. И, уж простите мне мою твердолобость, я не могу вспомнить ни одного более страшного вируса «корпоративного сегмента». В данный момент, антивирусные лаборатории (которые всегда отставали от «писателей» на один шаг) отстают уже на 3, а то и 4 шага. Вот только остается вопрос: а все почему?

Лирическое отступление:
Видел по новостям (с полгода-год назад), что одного школьника судят за «взлом площадки dnevnik.ru». Судят по уголовной статье за то, что он исправлял оценки себе и одноклассникам в электронном журнале.
Наша компания работает с двумя гимназиями. Ну так вот: у половины учителей пароль от dnevnik.ru сохранен в браузере. У половины из них нет пароля на учетную запись, либо отсутствует блокировка учетной записи после выхода компьютера из режима ожидания. Им так удобнее, знаете ли. Нет, ну а сколько раз они должны пароль вводить?! Им же детей учить нужно. Типичный человеческий фактор. Нет, я не защищаю пацана в плане исправления оценок. Но это не «взлом системы». Это просто халатное отношение преподавателей к защите своих прав доступа. И халатное отношение администрации ресурса dnevnik.ru к защите своей системы. Ничто ведь не мешает сделать двухуровневую аутентификацию с подтверждением по смс!

Или.
Или та история, когда я впервые столкнулся с шифровальщиком. Дом Культуры. Бухгалтерия. Письмо от, якобы, Ростелекома. В нем вложение «Новые тарифы для бюджетных организаций.scr». Антивирус Кашперовского не позволял открыть вложение. Но главбуху же виднее. Не долго думая, антивирус был отключен.

Хм.

Так и почему же антивирусные лаборатории отстают? Да потому что никто и никогда не защитит тебя от того, что ты сам запустишь. Отказавшись от антивируса в 2010 году, я не испытываю никаких затруднений. Наверное, потому, что я стараюсь знать, что именно ожидаю получить, введя очередной запрос в яндексе, но всем своим клиентам советую ставить хотя бы базовую защиту. Благо, сейчас хватает бесплатных сервисов. И я не рассчитываю на то, что все вдруг станут похожи на меня. Я скажу даже больше: я этого боюсь, потому что при таком раскладе я останусь без работы.

Но люди! Человеки, в конце концов!

Впрочем.

В случае с иностранными пользователями злоумышленник требует выкуп в размере $2,5 тыс. в криптовалюте.

Разработчик вредоносного ПО Sigrun бесплатно предоставил пользователям, у которых русский язык указан в качестве основного, дешифровщик файлов. Об этом сообщил специалист по кибербезопасности Алекс Свирид (Alex Svirid) в соцсети Twitter.

Как следует из предоставленных одним из пользователей Twitter скриншотов, если в случае с американским пользователем злоумышленник потребовал выкуп в размере $2,5 тыс. в криптовалюте, то жертве из России хакер согласился помочь бесплатно.

Вам не придется платить. Я просто помогу тебе

Как полагают специалисты, автор вредоносного ПО сам проживает на территории РФ и подобная тактика является попыткой избежать излишнего внимания со стороны правоохранительных органов.

Вредонос Sigrun представляет собой вымогательское ПО, которое после инфицирования компьютера требует у пользователей выкуп в криптовалюте за дешифровку данных.

https://www.securitylab.ru/news/493721.php

Информационное агентство «Интерфакс» подверглось атаке со стороны хакеров, работа его сайта оказалась нарушена, рассказали РБК в пресс-службе компании. За разблокировку компьютеров агентства хакеры требуют выкуп в биткоинах, сообщили источники.

«Мы подверглись хакерской атаке. Специалисты работают над устранением проблемы. Деталей мы не знаем», — сообщили РБК в пресс-службе «Интерфакса». Отвечая на вопрос, требовали ли хакеры биткоины, в пресс-службе заявили, что ничего не знают об этом.

Источник РБК в «Интерфаксе» сообщил, что работа сайта была нарушена примерно в 14:20.

В социальной сети «ВКонтакте» агентство сообщило, что технические службы работают над восстановлением системы. «В связи с вирусной атакой возникли сбои в работе серверов «Интерфакса». В настоящее время технические службы предпринимают все меры для восстановления работы систем. Приносим извинения читателям и подписчикам!» — говорится в сообщении.

На момент публикации материала сайт агентства был недоступен.

В социальных сетях сотрудники агентства опубликовали фотографии экранов своих рабочих компьютеров. На них виден текст, согласно которому хакеры требуют выкуп в биткоинах. При этом указано название вируса, заблокировавшего компьютеры, — Bad Rabbit. Сумма выкупа за каждый компьютер составляет 0,05 биткоина (более 16 тыс. руб. по курсу 24 октября). После получения суммы выкупа злоумышленники обещают передать пароль для доступа к информации.

«Суть в том, что вирус запустили на сервер. А все компы, соответственно, к нему подключены. Поэтому заразиться мог любой», — пояснил источник РБК. В настоящее время инженеры отключили основной сервер и пытаются подключиться к резервному.

«Сейчас обесточили все компьютеры, АССОИ (система передачи внутренней информации от компьютера к компьютеру, в том числе от регионов) не пострадала», — рассказал еще один источник.

Об атаке хакеров сообщило и петербургское издание «Фонтанка». Согласно сообщению пресс-службы, опубликованному во «ВКонтакте», сайт может быть недоступен в течение нескольких часов.

Главный редактор «Фонтанки» Александр Горшков подтвердил РБК информацию о хакерской атаке на сайт издания. «Примерно в 15:20 в результате преступных действий злоумышленников был осуществлен взлом серверов «Фонтанки». Мы абсолютно не сомневаемся, что это часть действий злоумышленников, которые действуют в отношении нас на протяжении последних недель, размещая клеветнические заказные материалы на десятках ресурсов в сети интернет, а также донося до контролирующих органов ложную информацию — эти действия сродни деятельности террористов. Но у них ничего не получится», — рассказал Горшков. Он добавил, что проблема будет решена «в обозримое время». Горшков отказался конкретизировать предполагаемых хакеров, добавив, что «Фонтанке» известны их «личности, которые со временем будут названы».

Основатель компании в сфере информационной безопасности Group-IB Илья Сачков в своем Facebook сообщил, что происходящее можно считать новой волной хакерских атак. «Сейчас началось то, о чем мы предупреждали, — новая волна шифровальщика, атакующего российские СМИ. Group-IB достоверно известно о трех успешных атаках сегодня. Судя по экранам компьютеров, не похоже на Petya или WannaCry. Но это лишь картинка. Часть компьютеров уже у нас на экспертизе», — рассказал он.

Параллельно с атакой хакеров на российские СМИ стало известно, что нападению подверглись и учреждения на Украине. Так, информация о нарушении работы информационных систем появилась в Facebook аэропорта Одессы. «Сообщаем, что информационная система Международного аэропорта «Одесса» подверглась хакерской атаке. Все службы аэропорта работают в усиленном режиме. Приносим свои извинения пассажирам за вынужденное увеличение времени обслуживания», — говорится в сообщении. Дежурный оператор в аэропорту сообщил РБК, что в международном аэропорту в Одессе «по техническим причинам» не работает интернет, «Самолеты взлетают, регистрация идет, просто у нас не работает интернет», — сказал собеседник РБК.

О хакерской атаке сообщила и пресс-служба Киевского метрополитена. Хакерам удалось нарушить возможность оплаты проезда с помощью бесконтактных банковских карточек. «Внимание! Кибератака! Метро работает в обычном режиме, кроме банковских сервисов (оплата бесконтактными банковскими карточками на желтом турникете или MasterPass)», — сообщается в официальном аккаунте киевского метро в Facebook.

Еще одной жертвой хакеров, как передает телеканал «112 Украина», стал сайт Министерства инфраструктуры Украины. Портал ведомства оказался недоступен, при запросе выдается сообщение об ошибке. В пресс-службе министерства РБК заявили, что атаки на сайт не было. «Но были сигналы на атаки других организаций. Есть письмо СБУ, которое рекомендует в случае появления информации о возможных атаках, отключать сервера и так далее, чтобы обезопасить системы от атак. Поэтому в плановом режиме отключили», — пояснили в пресс-службе.

В мае масштабная хакерская атака стала причиной нарушений работы государственных и финансовых учреждений по всему миру. Программа-шифровальщик под названием WannaCry использовала уязвимость в системе Windows. В России кибератакам подверглись телекоммуникационные компании «МегаФон» и «ВымпелКом», МВД и РЖД. Также хакеры пытались взломать серверы Минздрава, однако ведомству удалось предотвратить атаку. Атаки на электронную инфраструктуру зафиксировал и Сбербанк. Компания «Роснефть» из-за действий хакеров была вынуждена перейти на резервную систему управления.