Возвращение Locky и Mamba: пользователей атакуют новые версии вирусов-шифровальщиков



    В последние несколько месяцев мир столкнулся с целой эпидемией атак вирусов-вымогателей: частных пользователей, компании и организации в разных странах атаковали зловреды WannaCry, Petya и LeakerLocker. Их предшественниками еще в прошлом году стали вирус-шифровальщик Mamba и вымогатель Locky — и теперь, как сообщает The Hacker News, их разработчики выпустили новые, «улучшенные» версии своего софта.

    Diablo6: новая версия вируса Locky


    Вирус Locky в 2016 году атаковал тысячи пользователей, которым рассылали фишинговые письма — по клику на вложение активировался вирус, который шифровал файлы на компьютере и выводил требование об уплате выкупа в биткоинах. Вирус затем несколько раз возвращался — его новые версии распространялись c помощью ботнетов Necurs и Dridex.

    На этот раз исследователи обнаружили массовую рассылку спам-писем, нацеленную на распространение новой версии Locky под названием Diablo6. Письма рассылаются пользователям в разных странах, но больше всего от атаки пострадали США, на втором месте по количеству атакованных машин находится Австрия.

    Впервые новую волну атаки вируса заметил независимый исследователь безопасности под ником Racco42 — он рассказал о том, что зловред шифрует все файлы на жестком диске, добавляя к ним расширение .diablo6. Вирус доставляется на компьютер жертвы под видом документа Word, прикрепленного к фишинговому письму — после клика на вложение активируется скрипт VBS Downloader, загружающий код вируса с удаленного файл-сервера. Вирус шифрует файлы с помощью ключа RSA-2048, затем выводится сообщение для пользователя — в нем объясняется, как скачать браузер Tor, чтобы зайти с его помощью на сайт разработчиков вируса для получения инструкций по оплаты выкупа в размере 0,49 биткоинов (более $2100) для разблокировки.

    К настоящему моменту инструмент для разблокировки файлов на атакованных Diablo6 компьютеров отсутствует, поэтому пользователям необходимо соблюдать осторожность при открытии email-вложений.

    Возвращение шифровальщика Mamba


    Вернулся и еще один известный вирус-вымогатель, от которого пострадали не только простые пользователи, но и многие организации. В прошлом году вирус Mamba, который шифрует не только отдельные файлы, а весь диск целиком, заразил компьютеры муниципальной железной дороги Сан-Франциско (MUNI) — это привело к масштабным сбоям в движении транспорта, на некоторых станциях не работали автоматы по покупке билетов.



    Исследователи из «Лаборатории Касперского» обнаружили новую кампанию по распространению вируса Mamba — на этот раз под удар попали корпоративные сети компаний в разных странах. Наибольшее число заражений зафиксировано в Бразилии и Саудовской Аравии. Mamba использует легитимный открытый софт для шифрования дисков Windows-компьютеров под названием DiskCryptor. Этот инструмент использует сильные алгоритмы шифрования, поэтому способа расшифровать диски атакованных Mamba компьютеров не существует.

    Исследователи предполагают, что внедрение вируса в корпоративные сети происходит с помощью рассылки фишинговых писем, включающих зловредные вложения, или с помощью скомпрометированных и поддельных сайтов, на которых размещаются эксплоиты. После того, как вирус шифрует диск, выводится сообщение, содержащие email-адрес, на который нужно написать для получения инструкций по разблокировки.

    Как защититься от вирусов-шифровальщиков


    Поскольку часто, как в описанных выше случаях, не существует способа расшифровать зашифрованные вирусом данные, пользователям необходимо стараться предотвратить атаку, следуя простым принципам безопасности.

    • Не нужно кликать на вложения в подозрительных письмах от неизвестных отправителей, также не нужно переходить по ссылкам в таких сообщениях.
    • Необходимо проводить регулярное резервное копирование: если вирус атаковал компьютер, то проще всего может быть восстановить файлы из бэкапа на внешнем диске. Диск с резервной копией не должен быть все время подключен к компьютеру.
    • Нужно регулярно обновлять антивирусный софт и использовать дополнительные методы защиты — например, корпоративные сети можно защитить с помощью специализированных средств вроде сканеров защищенности. Например, продукт MaxPatrol может выявлять уязвимости, приводящие к атаке вируса Petya, а соответствующие корреляции присутствуют в MaxPatrol SIEM.

    Эксперты Positive Technologies публиковали рекомендации по защите от атак вируса WannaCry, рассказывали как защититься о том, как защититься от #NotPetya, а также представили метод восстановления данных с зашифрованного им диска (дать гиперссылку).
    Positive Technologies
    190.25
    Company
    Share post

    Comments 19

      +2
      Нужно регулярно обновлять антивирусный софт

      Я вот считаю, что антивирусный софт бесполезен, не пользуюсь антивирусами. Последний раз, я пользовался антивирусами в школьные годы и они ниразу не спасли мой компьютер от топовых вирусов. Безусловно, мое мнение, не базируется на опыте школьных лет, просто защита должна быть другого рода, а антивирус способе защитить, разве что «маму», котора открыла не тот файл в Одноклассниках от школохакера.

        0
        То есть то, что приезжает с рекламными баннерами или вообще тихо входит к Вам по SMB — на лету вручную распознаете по миганию индикатора харда и сурово уничтожаете? Уважаю.
          +2
          Например, можно блокировать рекламу (всю) и отключить SMB и прочие сомнительные сетевые службы. И под админом не сидеть. А ещё лучше просто использовать более надёжную операционную систему.
            0
            Например, чтобы заблокировать рекламу (всю) — придется браузер не открывать. А без «сомнительных сетевых служб» Вам не удастся достучаться до своего NAS или принтера :D
            Про «надежную операционную систему» — фантастика в другом разделе, и участвовать во флейме Win vs. Lin я не намерен. Просто имейте в виду, что некоторым надо не только «мир пересобирать», но еще и работать.
              +1
              (у меня у самого вообще OS X, если что, и работается на ней офигенно)
                0
                Во что работаете? (с)
                И да, Вы читайте статьи на сайте, где пишете — под Маки и вирусов, и троянов, и бэкдоров есть. Нет, не надо требовать с меня примеров — здесь же они находятся влет.
            +3
            как видно из событий последних месяцев, то, что тихо входит к вам по smb, антивирус не заметит
            я тоже не пользуюсь антивирусами, дефендер, конечно, работает, но единственное, что он ловит — кряки и кейгены
            если мозгов нет — никакой антивирус не поможет
            работа под юзерской учёткой, своевременные бэкапы, внимательность при сёрфинге и чтении почты — вот простой набор, делающий антивирус ненужным
            в случае необходимости подозрительный файл, который надо запустить, можно отправить на virustotal, запустить в песочнице или виртуалке
              –1
              >дефендер, конечно, работает
              Гм. Даже AVAST в роли антивируса лучше.
              >если мозгов нет — никакой антивирус не поможет
              Это да. Проблема в том, что вот остальное:
              >работа под юзерской учёткой, своевременные бэкапы, внимательность при сёрфинге и чтении почты — вот простой набор, делающий антивирус ненужным
              ерунда полная.
              Еще раз. Если Ваша юзерская учетка имеет право писать в каталог с нужными документами, если Вы используете не Lynx вместо браузера и почту читаете не из командной строки а каким-то клиентом — всё, привет, Ваш вирус Вас ожидает. И то, что его у Вас еще нет — это не Ваша заслуга, а, скорее, удача, причем это временно.
                +1
                если Вы используете не Lynx вместо браузера

                У меня, например, отключен JavaScript по-умолчанию, кроме списка белых сайтов. В случае, если надо скачать тот же mp3 с левого сайта, я открываю его в инкогнито, включаю JavaScript и делаю все операции. Подобный подход не защищает на 100%, однако серьезно снижает вероятность заражения.
                Аналогично про соц. сети — только из инкогнито. Как результат — вероятность потери учетки крайне мал.


                почту читаете не из командной строки а каким-то клиентом

                Gmail можно читать из браузера. Т.е. все антивирусы работают на серверах гугла.


                скорее, удача

                Нет, каждый пункт выше — это снижение вероятности заразиться. Причем бесплатный, в отличии от антивирусов.


                ерунда полная.

                Ты неправ. Проблема вируса — это потеря или публикация приватных данных, порча машины. До нуля вероятность снизить нельзя, так как всегда можно сделать это без вируса, то есть чисто физически получить доступ к машине и всё проделать руками. Однако, пользуясь советами выше, ты сможешь снизить вероятность до приемлемого уровня.

                  –1
                  >У меня, например, отключен JavaScript по-умолчанию
                  И прочее.
                  Ну вот, можно естествоваться с настройками всего и вся — а можно (ну, для тех, у кого на всё вот это вот нет времени, например) просто поставить хотя бы бесплатный антивирус — и 90% подобной дряни будет тупо отбито.
                  >Нет, каждый пункт выше — это снижение вероятности заразиться.
                  Это самоуспокоение — Вы не сможете защищаться от угроз, о которых ничего не знаете. А чтобы знать — нужно быть постоянно в курсе всех новостей и 0-day уязвимостей, т.е. быть специалистом именно по этому вопросу.
                  А остальным как жить в это время?
                  >Проблема вируса — это потеря или публикация приватных данных
                  Не совсем верно.
                  Это потеря ВРЕМЕНИ в первую очередь, которое может быть потрачено на что-нибудь гораздо более полезное.
                  >Однако, пользуясь советами выше, ты сможешь снизить вероятность до приемлемого уровня.
                  И это ерунда. Защититься подобным образом от вирусных и пр. подобных угроз может специалист ровно одного типа — который по безопасности, причем это должен быть не начитавшийся «Хакиров», а именно что специалист, причем ежедневно мониторящий новости отрасли, понимающий, что происходит и вот таким вот образом, вручную затыкающий дыры на своем ПК, своем хранилище данных, своих прочих ИТ-сервисах… Еще раз напоминаю — это всего лишь одна профессия. Из очень многих. Которым надо просто работать — по своей части, а не этим вот всем заниматься.
                  +2
                  Если Ваша юзерская учетка имеет право писать в каталог с нужными документами
                  — то этот каталог нужно бэкапить, например, в owncloud или что-то подобное, умеющее в версии
                  также будет полезным откидывать образ системы на внешний хард раз в неделю/месяц/год, в зависимости от важности данных и уровня паранойи

                  мы же всё ещё об опытных пользователях говорим, не?
                    –1
                    Мне вот этот момент непонятен.
                    Почему все оппоненты считают, что каждый должен быть экспертом по безопасности, постоянно мониторящим новости своей отрасли и непрерывно затыкающим дыры, причем вручную?
                      +2
                      я такого не говорил
                      мой пойнт в том, что если мозг есть, то угрозы, от которых защищает антивирус, ты и сам обойдёшь, а если нет — то он не поможет
                      и экспертом в безопасности тут не надо быть, обычная гигиена
                      тем более, что антивирус никаких дыр не затыкает, в худшем случае это сигнатурный поиск, который всегда в отставании, в лучшем — эвристика, на низком уровне не ловящая, на высоком — мешающая и тормозящая

                      я не призываю всех подряд отказываться от антивирусов, считаете полезным — пожалуйста, i don't care
                        –1
                        Файрволл с открытыми только теми портами, которые нужно
                        Безопасный DNS-сервис
                        Постоянные проверки установленных сертификатов на предмет отозванных
                        Все обновления на всё установленное ПО
                        Отключенное активное содержимое во всех установленных браузерах
                        Удаление исполняемых файлов из почтовых приложений, в т.ч. из архивов
                        И прочая, и прочая, и прочая.
                        «Обычная гигиена», ага
                        Мало того — всё перечисленное до некоторой степени поможет только от известных вирусов и уязвимостей. Известных — вот этому самому якобы «опытному пользователю».
                        >в худшем случае это сигнатурный поиск, который всегда в отставании
                        Ну то есть Вы даже о том, как работают современные антивирусы — не в курсе. Сигнатурный поиск без всего остального (экранов поведения, почты, песочниц и т.п.) — это было во времена MS-DOS и Windows 3.1, если что.
                        >я не призываю всех подряд отказываться от антивирусов
                        Тогда не стоит делать утверждения об их бесполезности, как мне кажется?
                        Но ОК, сойдемся на этом.
                          +2
                          FW — у вас комп голой жопой торчит в инет или всё-таки роутер имеется?
                          DNS — опять же, к роутеру, зухеля, например, из коробки яндексДНС умеют
                          обновления всего установленного ПО — это вообще не к винде, если только вы не пользуетесь только офисом и эджем
                          активное содержимое — noscript, не?
                          вот не надо мне ничего из почты удалять, ок? я как-нибудь сам разберусь
                          и всё это не имеет никакого отношения к антивирусам
                          о работе которых я имею некоторое представление, и сигнатуры там занимают не последнее место

                          я утверждаю, что для нормального человека антивирусы бесполезны, но не призываю всех подряд от них отказываться
                          не вижу здесь противоречия
                          да и не я один так считаю
                          geektimes.ru/post/285284
                            –1
                            >FW — у вас комп голой жопой торчит в инет или всё-таки роутер имеется?
                            Комп голым афедроном торчит в домашнюю сеть, если что. Вы один дома живете? Все также должны жить? Или у Вас семья экспертов по ИТ-безопасности?
                            >обновления всего установленного ПО — это вообще не к винде
                            Ну то есть я, похоже, спорю с человеком, который вообще не в курсе о способах заражения у современных вирусов (того же Пети). Окай.
                            На сем спор завершаю.
              0
              Антивирус нужен для того чтоб проверить флешку (не свою конечно, свои то все чистые) на вирусы, показать хозяину флешки какой он болван, скопировать что он там просил, и отдать флешку вместе с вирусами обратно.
              0
              К настоящему моменту инструмент для разблокировки файлов на атакованных Diablo6 компьютеров отсутствует, поэтому пользователям необходимо соблюдать осторожность при открытии email-вложений.

              То есть, если бы инструмент такой присутствовал, то можно было бы не соблюдать осторожность при открытии вложений, да?
              image
                0

                Не хватает конкретики. Написано мол вирус лезет на сайт за загрузкой, а куда именно не сказано и т.д. Хотя біло бы удобно имя такие данные блочить данные направления превентивно. Общие советы смотреть что открывается мало помогают.

                Only users with full accounts can post comments. Log in, please.