Вирус шифрующий файлы методы борьбы




Group: Members
Posts: 3207
Joined: 27.01.

Приветствую#33;
К нам обратились безопасники вот с таким письмом:

В настоящее время в России участились случаи заражения компьютеров вирусом-шифровальщиком. По имеющейся у нас информации уже пострадали несколько банков и крупных организаций.

Вирус распространяется через электронную почту с доверенных адресов. С помощью методов социального инжиниринга распространители вынуждают пользователя запустить вложение. После заражения все ценные для пользователя файлы шифруются ассиметричным алгоритмом с ключом 1024 бит и предлагается их расшифровка за определенную плату. В настоящее время отсутствуют альтернативные способы расшифровки, кроме как обращение к владельцу вируса.

Перечисленные ниже меры позволяют несколько снизить возможность заражения и причинения существенного ущерба.
Для уменьшения вероятности заражения пользовательских ПК вирусом, производящим шифрование файлов стойким алгоритмом шифрования необходимо следующие:

1. Запретить доступ на следующие сайты: *.tw1.ru, copy.com, earthlingsfilm.com/*, lima.rivalserver.com, collapseit.com.

2. На ПК пользователей добавить файлы произвольного содержания в директорию %temp% (профайл пользователя) с именами: crypta.bin, crypti.bin, paycrpt.bin. - механизм работы вируса не запускается, если уже имеются данные файлы.

3. Рассмотреть возможность запрета запуска на ПК пользователей *.js файлов непосредственно Microsoft Windows Based Script Host (wscript.exe) или заменить ассоциацию файлов .js на notepad.exe - скрипт производит загрузку вредоносного ПО из Интернет. Данные изменения не повлияют на работу IE, но необходимо дополнительное тестирование корректности работы банковских приложений.

Для предотвращения шифрования файлов на файловых серверах с зараженного ПК пользователя необходимо:

На сервере через настройки File Server Resource Manager (FSRM) запретить запись файлов с расширениями. gpg. pzdc. keybtc@gmail_com. paycrypt@gmail_com. unstyx@gmail_com. uncrpt@gmail_com. unblck@gmail_com. paystyx@gmail_com - вирус не сможет записать шифрованную копию файла и переименовать оригинал.

Вопросы к ЛК: в курсе ли вирусологи из ЛК о подобных вирусах, защищает ли от них KES10 MR1, какие настройки антивируса требуется произвести чтобы уменьшить вероятность заражения АРМ (не серверов)?

Управляющий KSC: 10.3.407(a)
Сетевые агенты: 10.3.407(a)
Антивирус: 10.2.1.23 (а) / KES 10.2.4.674

Тестовый стенд: KSC 10.3.407(a)

Group: Gold beta testers
Posts: 2090
Joined: 25.03.

http://support.kaspersky.ru/10905
Моя тема
Ответ по кейсу, здесь нет никакой секретной информации, как мне кажется.
По поводу внедрения функционала, блокирующего любой вид шифровальщиков

К сожалению, сроками и информацией о внедрении такого функционала мы не располагаем.
С каждым днем разновидностей данных вирусов #40;шифровальщиков#41; становится все больше и наши специалисты делают все возможное для пресечения их действий.

Как уже сообщалось ранее - на данный момент компонент Мониторинг системы в KES 10.2.1.23 отлавливает большинство таких вирусов.

Дополнительно мы хотим отметить, что вредоносные программы-шифровщики срабатывают уже после установки в атакованную систему и наши продукты пресекают подавляющее большинство таких заражений.
Заражение может произойти в случае, если#58;
• Используется устаревшая версия продукта #40; ниже Kaspersky Endpoint Security 8#41;
• Антивирусные базы защитного решения, установленного на атакованном компьютере, устарели;
• Установка вредоносного ПО была произведена вопреки предупреждениям защитного решения о возможной злонамеренности того или иного ПО.
• Установка вредоносного ПО была произведена в связи с тем, что пользователь сознательно выставил настройки эвристического анализа файлов на минимум.

Чтобы избежать потери данных в результате подобных атак, мы рекомендуем регулярно создавать резервные копии важных данных, следить за актуальностью антивирусных баз, соблюдать элементарные правила сетевой безопасности, которые в том числе включают в себя необходимость с повышенной внимательностью относиться к файлам, полученным от неизвестных отправителей, загруженным с подозрительных сайтов в интернете, а кроме того – установку и использование только знакомых приложений из доверенных источников, таких, как, например, сайт разработчика ПО. Особенно, если речь идет о программах, способных зашифровывать данные пользователя. Кроме того, мы не рекомендуем отключать антивирус, а также изменять без необходимости настройки его отдельных компонентов, направленных на детектирование вредоносных программ.

QUOTE(Zandatsu #064; 5.09. 13#58;00)

На сервере через настройки File Server Resource Manager (FSRM) запретить запись файлов с расширениями. gpg. pzdc. keybtc@gmail_com. paycrypt@gmail_com. unstyx@gmail_com. uncrpt@gmail_com. unblck@gmail_com. paystyx@gmail_com - вирус не сможет записать шифрованную копию файла и переименовать оригинал.[/font][/size]


про фильтр блокировщиков файлов я как то не подумал на файловых серверах.
только наверно стоит протестировать фильтры направленные на защиту данных.
т.е. например для защиты *.docx файлов настроить фильтр блокировки *.docx* и т.д. /// задумался. буду пробовать.
хотя тут вопрос к тем кто встречался и знает механизмы действия - при такой блокировке не получится что файлы будут потеряны вообще? т.е. из-за фильтра не смогут записаться уже зашифрованные файлы, т.е. будет утерян оригинал и зашифрованный тоже не сможет записаться.

вообще в борьбе с этой заразой путь как мне кажется один - к дополнению стандартных ограничений на фильтр почтовых вложений и фильтров на proxy, ограничений прав и т.п. глобальный - внедрение (у кого не внедрен) белого списка исполняемых файлов и скриптов и пересмотр резервного копирования (резервные внешние ЦОДЫ или облачные хранилища. но это все требует вложений и не малых)

This post has been edited by mvs. 5.09. 13:24

Способы борьбы с вирусом paycrypt

Где можно подхватить paycrypt и проблемы, которые от этого возникнут.

Схема, как правило проверенная. Вам на электронную почту приходит письмо, которое, как правило, не вызывает никакого подозрения. Некоторые пользователи обратили внимание на то, что вирус появляется на почте, после просмотра каких-то сайтов. Т.е. вы заглянули, например, на любимый сайт с фильмами, а потом вам на почту приходит письмо, связанное с этим сайтом. Естественно, побывав на нем десятки раз, у вас не сразу появятся сомнения, что в письме содержится пакостная угроза, которая либо испоганит все важные файлы на компьютере, либо вытянет не малую сумму с вашего кошелька.

От сюда возникает вывод, что хакеры платят вашему любимому сайту за то, чтобы получить информацию о пользователях. Но это лишь подозрения, чтобы дать лишний повод задуматься. Давайте говорить о фактах.

Как только вы открываете подобное письмо, то видите архив. Открыв его, ваш компьютер начнет лагать и виснуть. Это не из-за того, что вирус просто грузит процессор, все намного хуже. В это время, paycryptgmailcom наносит вам непоправимый ущерб – шифрует ваши файлы, документацию и прочую информацию. Как правило, вирус попадает в десятку – шифрует именно то, что невероятно важно для вас. Как только процесс завершен, вы найдете на компьютере сотни или тысячи файлов, с красивым напоминанием о вирусе, в виде расширения *.paycrypt@gmail.com. Это адрес, куда нужно перевести деньги, дабы восстановить поврежденные данные.

Сейчас кто-то хихикает, рассчитывая на то, что у него стоит лицензионный антивирус, который якобы, обнаружит подобную угрозу и убережет компьютер от paycrypt. Могу вас заверить, ваш антивирус вам не поможет. Открытый вирусный файл не воспринимается ни одним антивирусом, как вредоносное ПО.

Что делать, когда paycryptgmailcom зашифровал ваши файлы.

Вариантов у вас не много, всего три.

Первый, простой вариант: прощаемся со своими зараженными файлами, удаляя их.

Второй вариант: заходим, например, в лабораторию доктор веб. Эти, добрые разработчики , готовы вам помочь. Дело не в том, чтобы даром расшифровать ваши файлы, нет. Смотрите глубже. Им выгодно, определить работу этого вируса и создать новую базу данных, которая смогла бы найти и обезвредить paycrypt на стадии заражения компьютера. Высылайте им несколько своих горе-файлов, и (обязательно! ) ключ для дешифровки, который 100% есть на вашем компьютере, в виде KEY.PRIVATE.

Третий, самый дорогой вариант: отослать деньги хакерам, дабы дешифровать зараженные файлы. Стоимость бывает разной, и колеблется от 200 до 500 долларов.

На самом деле, третий вариант не выход из ситуации. Разумеется, если у Вас крупная компания, где каждый день идет огромный поток информации, такой вирус может нанести колоссальный вред. Но, кто осведомлен, тот вооружен. Делайте резервные копии на съемные носители, и будьте просто бдительны при проверке почты.

Надеемся, на светлые умы айтишников, которые рано или поздно смогут вычислить хакеров, ибо найти способ дешифровки вряд ли кому-то удастся.

Статьи по теме:

Лечение вирусов-шифровальщиков

Последнее время много проблем создают вирусы-шифровальщики, лечение которых традиционными средствами часто не помогает. Шифровальщики, которым удалось проникнуть в систему, шифруют файлы определенных расширений. Обычно, вирусы такого типа шифруют файлы с расширениями .xls .doc и другие подобные. В таких файлах обычно записана самая необходимая жертве информация.

Расшифровка файлов не под силу обычному антивирусу. В зависимости от типа вируса могут использоваться различные методы шифрования. Удаление самого вируса не гарантирует освобождение файлов из-под шифра. Для лечения зашифрованных файлов используются специальные инструменты. Методы лечения вирусов-шифровальщиков предлагают крупные антивирусные лаборатории. Некоторые методы для лечения мы рассмотрим ниже.

Лечение от Касперского предлагается в виде двух утилит: XoristDecryptor и RectorDecryptor их достаточно запустить и они могут помочь справиться с заражением. Если зашифрованные файлы вылечить не удалось, то программы предложат отправить для изучения неизвестный файл, а со следующими базами утилит выйдет подходящий дешифратор, который сможет решить проблему.

Если вы счастливый обладатель лицензии на антивирусные продукты от dr.web, то сможете передать на анализ зашифрованные файлы через эту форму. Если вам попался вирус-шифровальщик из семейства Encoder, то здесь вы сможете прочитать информацию о том, что еще нужно сделать после отправки запроса. Dr.web, кроме того, настоятельно советует отправить заявление в полицию.

Самый лучший способ защититься от вируса - это предупредить его заражение. Основных правил несколько: не пренебрегать антивирусом и использовать все основные меры защиты. Об основных мерах защиты мы подробно писали в этой статье - очень рекомендуем к изучению. Так же, необходимо позаботиться о резервных копиях важных данных. Такие копии лучше всего сохранять на внешний жесткий диск, который не будет постоянно подключен к компьютеру.

Необходимо признать, что файлы, зашифрованные некоторыми вирусами-шифровальщиками, невозможно вылечить. И это не наше мнение, а мнение специалистов антивирусных компаний. Например, файлы вирусов семейства GpCode без закрытого ключа расшифровать невозможно, тут остается только оплатить злоумышленнику его требование и надеется получить дешифратор. Либо ждать, пока кто-нибудь из антивирусных аналитиков не сумеет создать дешифратор.

Источники: http://forum.kaspersky.com/index.php?showtopic=304721, http://mainspy.ru/blog/bezopasnost/sposoby-borby-s-virusom-paycrypt, http://remont-admin.ru/kak-lechit-virus-shifrovalshchik




Комментариев пока нет!

Поделитесь своим мнением