Программы-вымогатели: распространённые способы заражения

Программы-вымогатели: распространённые способы заражения

Программы-вымогатели остаются растущей угрозой для Интернет-пользователей: каждую неделю появляются всё новые модификации шифровальщиков. Именно поэтому мы решили создать серию статей, посвящённых этапу атаки, чтобы Вы смогли защитить себя на всех возможных уровнях. В первой статье из этой серии мы рассмотрим варианты заражения, то есть варианты первого контакта Вашей системы перед возможным шифрованием.

Для распространения вредоносных программ их авторы и хакеры используют множество изощрённых методов. В этой статье мы рассмотрим три часто используемых метода: вредоносные вложения и ссылки в электронных письмах, скрытые скачивания, а также RDP-атаки. Мы искренне надеемся, что прочитав статью, Вы не просто получите новую для себя информацию, но и незамедлительно примените эти знания на практике, защитив наиболее уязвимые области и сократив риск заражения.

Вот самые распространённые способы заражения Вашего компьютера:

Вредоносное письмо: старо как мир, но по-прежнему эффективно

Можно выделить два варианта этого заражения:

  • Скачивание вредоносных вложений и
  • Переход по вредоносным ссылкам, содержащимся в письмах.

Оба варианта требуют действия с стороны пользователя, а потому их легче всего предотвратить.

Используя вредоносные вложения к электронным письмам хакеры рассылают поддельные сообщения от имени настоящих компаний. Отправителями часто выбираются известные международные службы экспресс-доставок, например, FedEx или DPD. Вредоносный файл прикрепляется к письму в сжатом PE-формате (переносимом исполняемом), а также в форматах . doc (MS Word) или .wsf (Windows script file). Здесь требуется действие со стороны пользователя. Получатель открывает вложение, думая, что письмо было отправлено из надёжного источника. Как только файл будет открыт (или в случае с документом MS Word, как только макрос будет включён), то автоматически скачается шифровальщик, и начнётся процесс заражения системы.

Вредоносные ссылки в письмах по своей сути аналогичны вредоносным вложениям, за исключением того, что ссылки, разумеется, находятся в теле письма, а не во вложении. Аналогичным образом письма с вредоносными ссылками отправляются от лица человека или организации, которым Вы доверяете и которых, как минимум, считаете неподдельными. Однако перейдя по такой ссылке Вы лишь скачаете вредоносную программу.

Зачастую макеты подобных писем выглядят весьма небрежно и могут даже содержать ошибки. Однако некоторые киберпреступники всё же стараются придать больше правдоподобности своему отправлению. Например, в некоторых поддельных письмах, отправленных якобы платёжной системой PayPal, содержатся даже “меры предосторожности”. Но всё же присмотритесь повнимательнее к тексту сообщения, и Вы заметите ошибки, опечатки или пропуски букв (“Y ou just need to…”).

 

В поддельных сообщениях от международных почтовых служб (например, от USPS) может утверждаться, что им не удалось доставить Вам посылку, поэтому Вам необходимо перейти по ссылке, распечатать новую наклейку на посылку и прийти с ней в ближайшее отделение службы.

Поддельная почтовая наклейка по ссылке будет выглядеть как настоящая, однако вместо гарантированного безопасного получения посылки Вы, к сожалению, получите вредоносную загрузку с вирусом-шифровальщиком.

Профессиональное оформление некоторых писем усложняет возможность мгновенно отличить поддельные сообщения от настоящих. И именно по этой причине такой способ заражения уже долгое время остаётся очень результативным для киберпреступников.

Скрытые скачивания: инфицирование Вашей системы без Вашего ведома

Наборы эксплойтов представляют собой сложный код, который использует уязвимости в системе. Чаще всего они выполняются, когда жертва намеренно или случайно посещает скомпрометированный веб-сайт или перенаправляется со взломанного настоящего веб-сайта на скомпрометированный. Вредоносный код спрятан в коде страницы, чаще всего в рекламе, а именно во вредоносной рекламе, которая незаметно перенаправляет Вас на целевую страницу с набором эксплойтов. Известен случай, когда сайты New York Times и BBC были взломаны, и в результате тысячи читателей были перенаправлены на вредоносный сайт.

Если в Вашей системе есть уязвимости, то будет выполнено скрытое скачивание вредоносного “дополнения” и вскоре с Вас потребуют выкуп за восстановление данных.

Возможно, самым досадным фактом об атаках с помощью наборов эксплойтов является та лёгкость, с которой киберпреступники получают доступ к системе без особых действий со стороны пользователя. Поскольку преступники пользуются неустранёнными уязвимостями в самых популярных программах, то этот тип заражения может оставаться незамеченным до тех пор, пока Вы не столкнётесь с требованием выкупа.

Кибератаки против RDP-серверов мгновенно инфицируют сети

RDP-атаки, использующие протокол удалённого рабочего стола (аббревиатуру RDP ещё расшифровывают как атаки с ‘really dumb password’=очень тупым паролем), случаются, когда компании оставляют порт RDP-клиента открытым для Интернета. Зная это хакеры сканируют блоки IP-адресов на предмет наличия открытого RDP-порта. Как только он будет найден, хакеры быстро перепробуют все возможные варианты, чтобы вычислить логин и пароль к удалённому рабочему столу. Это будет сделать легко, если администратор сервера использует такие учётные данные как имя пользователя: admin, пароль: admin. Не сомневайтесь, самый просто способ предоставить доступ хакерам – это придумать слабый пароль. Это касается всех пользователей, а не только администраторов серверов.

После получения доступа к системе хакеры могут запустить файл, который зашифрует все данные, обнаружив всю сеть и все локальные диски. Как только хакер получит доступ к Вашей сети, он может делать практически всё что угодно. Недавно базы данных трёх организаций здравоохранения были скомпрометированы именно таким образом. Используя уязвимость в протоколе удаленного рабочего стола организаций, злоумышленники похитили все данные пациентов. Через некоторое время почти 655 тысяч медицинских записей были выставлены на продажу в Даркнете.

В результате атаки на MongoDB число скомпрометированных систем составило 10500, а по некоторым источникам, превысило 27000. То, что начиналось с нескольких отдельных инцидентов к концу недели превратилось в крупномасштабное происшествие с участием тысяч серверов MongoDB. Как хакеры смогли получить доступ сразу к такому большому количеству серверов? Вы уже можете догадаться. Атаки были направлены только на уязвимые базы данных, к которым был оставлен доступ через Интернет или отсутствовал пароль к аккаунту администратора.

Доступ к сети из 100 компьютеров – это настоящая золотая жила для хакеров. И дело не только в файлах, к которым киберпреступники получают доступ, но и в открывающимся перед ними вычислительным мощностям. Ботнет может быть использован для выполнения задач, которые требуют сети компьютеров. Типичный ботнет может состоять их десятков тысяч компьютеров, которые управляются одной командой и управляющим терминалом. Хакеры любят использовать их, потому что это позволяет сочетать вычислительные мощности и сетевые ресурсы компьютеров в ботнете для атаки на одну цель или для одновременного отправления 100 тысяч писем, максимально быстро распространяющих вредоносные программы. Они также контролируют сообщения по сети с целью захвата ещё большего количества логинов и паролей для дальнейшего использования. Как только хакер получает доступ через RDP, он может делать в системе практически всё что угодно.

Для предотвращения шифрования системы вымогателями требуется создание многоуровневой защиты

Лёгкость, с которой шифровальщики попадают в Вашу систему, должна стать весомым объяснением, почему Ваша лучшая защита – это чёткий план по предупреждению заражения. Качественная комплексная антивирусная защита действует как прочная сеть безопасности, однако когда к ней будут добавлены правильные меры предосторожности, то руткиты никогда проникнут.

Вот несколько практичных шагов, как можно устранить уязвимости в Вашей системе:

Здравый смысл как способ уберечься от атак через электронные письма и скрытые скачивания

Задумайтесь на несколько секунд, прежде чем переходить по какой-либо ссылке в письме. Будет ли компания FedEx отправлять Вам письма с вложениями или ссылками на сторонние страницы с запросом информации? Маловероятно. И уж точно это будут не файлы в форматах PE, .doc и .wsf. Если Вам всё-таки кажется, что сообщение может быть адресовано Вам, то вместо того, чтобы открывать письмо и его вложение, просто откройте напрямую сайт компании, которая отправляла Вам сообщение, и проверьте Вашу учётную запись там, если таковая вообще есть.

Предотвращайте RDP-атаки, создавая сложные пароли

Всегда используйте сложные пароли, особенно для доступа администратора. Также можно обдумать вариант с отключением учётной записи администратора и использовании для этого доступа другой учётной записи с менее очевидным именем пользователя. Настройте систему таким образом, чтобы после определённого количества неудачных попыток доступа пользователь был на некоторое время заблокирован. Кроме того, убедитесь, что в Вашей системе правильно настроен механизм проверки подлинности на уровне сети, особенно для доступа администратора. В свойства системы >> Удаленный рабочий стол выберите параметр “Разрешить подключаться только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (более безопасно)”.

Всегда используйте эффективные и мощные антивирусные решения для бизнеса, например, Emsisoft Anti-Malware for Business, Emsisoft Anti-Malware for Server, управляя всеми клиентскими станциями централизованно с помощью Emsisoft Enterprise Console.

Предотвращайте появление вредоносных программ во всех их формах, регулярно проверяя и очищая Вашу систему

Делайте резервное копирование важных файлов и регулярно обновляйте эти резервные копии.

Регулярно проводите генеральную уборку с помощью 5 шагов, которые помогут Вам избежать заражения шифровальщиками.

Используйте эффективные антивирусные программы и постоянно обновляйте их. Оставайтесь защищёнными с помощью Emsisoft Anti-Malware или сделайте выбор в пользу дополнительного уровня защиты с помощью Emsisoft Internet Security: вся эффективность нашего базового антивируса плюс файрвол.

Как видите, существует множество способов заражения системы, связанных с программами-вымогателями. Какое-то заражение можно предотвратить с помощью действий с Вашей стороны, для предотвращение других заражений требуется дополнительная защита в виде эффективного антивируса. Сейчас, когда Вы знаете об опасности, мы надеемся, что Вы будете внимательнее относиться к подозрительным письмам и странным переадресациям в Интернете. Предупреждение – лучшее средство от шифровальщиков. Поэтому начните подготовку прямо сейчас.

Это наша первая статья из серии “В центре внимания: программы-вымогатели”. А мы уже готовим вторую статью. Оставайтесь с нами!