Программы-вымогатели: неожиданные чемпионы

Бизнес

5:50 вечера, пятница, поздняя весна. Как водится, атмосфера в офисе расслабленная: скоро все разойдутся по домам — или каким-то более увлекательным местам, — и никто не ждёт неприятностей. Но беда приходит без приглашения: кто-то из бухгалтерии вызывает администратора и говорит, что открыть документы не получается, да и названия файлов выглядят странно. И, кстати, а что это за предупреждение такое всплывает? С требованием выкупа?..

В такой момент вам не захочется оказаться на месте админа, бухгалтера или владельца компании, особенно если это небольшой или средний бизнес. Кое-кто допустил ошибку и и впустил кое-что в корпоративную сеть…

Тварь ползучая

Кажется, мы каждый месяц вынуждены говорить о новых и старых программах-вымогателях. Едва ли это удивительно, если учитывать, что новые штаммы появляются то и дело и в немалых количествах. Под прицелом оказываются предприятия всех видов. Особую угрозу, впрочем, вымогатели представляют для малых и средних компаний: они уже обладают привлекательным для преступников финансовым потенциалом, но по-прежнему склонны экономить на безопасности и ИТ-персонале.

main

Некогда устрашающие Cryptolocker и Teslacrypt, возможно, уже больше не попадают в заголовки СМИ, но они по-прежнему никуда не делись и менее опасными не стали. Зато добавились такие зловреды как Locky и Petya, чей успех, на первый взгляд, кажется сущей аномалией.

Тот ещё шутник

Locky (Trojan-Ransom.Win32.Locky) — это мерзкая программа-вымогатель, которая наносит большой урон предприятиям по всему миру. Она не слишком отличается от представителей других семейств вымогателей в том, что касается внутреннего устройства или принципов действия, но использует сильные алгоритмы шифрования, очень активна и широко распространена. Продукты «Лаборатории Касперского» блокировали её атаки в более чем 100 странах мира. Ни один другой троян-вымогатель не атаковал так много стран сразу — причём успешно.

Его успех на самом деле довольно странен. Векторы атаки новыми никак не назовёшь, реальные заражения в большинстве случаев оказываются следствием ошибок жертв и нарушения ими азов кибербезопасности.

О том, чего быть не должно

Locky распространяется через спам. Может быть, в том и кроется истинная причина его успеха — его неистово рассылают. Атака у него двухступенчатая: вредоносное письмо с загрузчиком, а потом уже сам троян.

На ранних стадиях (т.е. примерно в феврале этого года) загрузчик доставлялся файлом .doc и с помощью макроса скачивал троян. И вот с этого момента начинается уже нечто смехотворное: Microsoft давно отключила автоматическое выполнение макросов в Microsoft Office по соображениям безопасности. Но пользователи часто включают макросы вручную, в том числе для файлов из неизвестных источников…

…Ну, а теперь злоумышленники сменили тактику: вместо массовой рассылки файлов .doc они засылают архивы .zip со скриптами .js.

На самом деле ничего смешного

Для опытных пользователей файл .doc из неизвестного источника, «требующий» включения макросов, — это сразу тревожный сигнал. Файл javascript с ярлыком «run me» — тоже сигнал тревоги. Но, опять же, работник должен знать, какие файлы имеют расширение .js, и почему макросы могут быть опасны.

И вот представьте себе небольшую компанию, в которой, по крайней мере, некоторые сотрудники (бухгалтеры, например) практически равнодушны ко всем этим компьютерным премудростям и никакого интереса к кибербезопасности не проявляют в принципе. Они, возможно, слышали что-то о том, что макросы нельзя включать. Или не слышали. Во всяком случае, расширение .js знакомо только продвинутым пользователям ПК. А остальным хватит и ловко составленного письма, чтобы угодить в ловушку преступника

Скорее всего, в этом и заключалась главная идея автора Locky: технически продвинутые пользователи ПК будут удалять подозрительные письма сразу, с любым расширением вложений — .doc, .zip или .js. Но если ориентироваться на пользователей со скудными знаниями о типах файлов и недостаточной осведомленностью о кибербезопасности, то способ доставки вредоносного груза уже мало что меняет.

Несвятой Petya

Ещё одно устрашающее отродье из сонма программ-вымогателей натворило бед в Германии в начале этого года. Троян под кодовым названием Petya (да, «Петя»)  зашифровывает не отдельные файлы, а саму главную таблицу файлов на скомпрометированных машинах, после чего требует уплаты $400 в биткойнах.

Petya тоже рассылали вместе со спамом, в основном, по кадровым агентствам Германии. Письма содержали ссылку на файл в Dropbox, который при запуске загружал дроппер, устанавливавший Petya. В Dropbox уже давно убрали эту ссылку и вычистили несколько других, связанных с той же вредоносной программой.

В каком-то смысле Petya технически более совершенен и замысловат, нежели Locky.

Но, опять-таки, он способен нанести ущерб только при содействии жертвы. Но зато уж если уж доходит до реального ущерба, то всё оказывается очень серьёзно.

Вы когда-нибудь слышали о резюме соискателя вакансии в виде исполняемого файла, который для запуска требует прав администратора? Согласились бы на запуск этого «резюме»? Дроппер Petya срабатывает только в том случае, если пользователь нажимает кнопку «Да» на всплывающем окне контроля учётной записи (UAC).

И это на самом деле возможно, если пользователь не достаточно опытен… или слишком устал, чтобы обращать внимание на раздражающие предупреждения. В случае с кадровиками, которые вынуждены просеивать буквально сотни скучных резюме за день, это весьма реалистичный сценарий — особенно в пятницу в 5:50 вечера…

Тем не менее, Petya не так страшен, как его малюют: его алгоритмы шифрования оказались уязвимыми для взлома (в отличие от Locky). Мы недавно писали об этом.

Не в силах одолеть — предотвращай

Как и в случае множества других угроз профилактика заражения программами-вымогателями — это верный путь для предприятий всех видов. Ущерб от вымогателей чрезвычайно сложно возместить, если вы не готовы держать бюджет на «чёрный день» и спускать его на единственный оставшийся вариант возврата своих файлов посредством уплаты выкупа.

Есть целый ряд превентивных мер безопасности, которые можно принять против программ-вымогателей.

В первую очередь и прежде всего, обучайте сотрудников тонкостям социальной инженерии, просветите их о видах угроз, опасностях зараженных веб-сайтов, типах файлов и т.п. Они должны знать, что файлы .exe и .js ни в коем случае не могут быть документами, и что даже файлы .doc из неопределенных источников нельзя запускать без тщательной проверки.

Во-вторых, полезно ограничить возможность запуска чего-либо на конечных точках. Если только конкретный сотрудник не знает точно, что он или она делает, административные привилегии ему/ей должны быть недоступны.

И, конечно, должно присутствовать полнофункциональное решение безопасности, которое способно отразить атаки вымогателя, прежде чем случится шифрование; решение должно включать анти-спамерские и современные средства безопасности как для рабочих станций, так и для файловых серверов, и обеспечивать проактивную защиту от известных и неизвестных угроз. Оцените предложения «Лаборатории Касперского» для малых и средних предприятий, а также для более крупных организаций. Стоит также добавить, что в решении Kaspersky Endpoint Security для бизнеса Стандартный встроена защита от шифровальщиков-вымогателей. Под защитой оказываются как рабочие станции, так и файловые серверы.

Подробнее о Locky читайте здесь.

Детальный анализ Petya доступен по этой ссылке.