Програми-вимагачі можуть шифрувати хмарні дані

Програми-вимагачі маленькі як піщинка, вони всюди. І вони можуть зашифрувати більше, ніж ви думаєте. Знищення ваших особистих файлів є великою втратою, але коли програми-вимагачі атакують ваші копії, цей біль посилюється ще більше.

Існує кілька варіантів програм-вимагачів, які атакують не лише жорсткі диски, але й інші системні диски, і хмарні диски також не виходять з поля зору. Отже, настав час переглянути, що таке резервні копії файлів, а також де зберігаються копії.

Атаки програм-вимагачів повсюди

Ми знаємо, що атака програм-вимагачів може бути руйнівною. Програмне забезпечення-вимагач є особливою перешкодою, оскільки цільовими файлами є зображення, музика, фільми та документи всіх видів. На вашому жорсткому диску зберігаються особисті, робочі та бізнес-файли, які є основними цілями для шифрування. Після шифрування ви побачите повідомлення про викуп із вимогою оплати (зазвичай у біткойнах, які важко відстежити) за безпечне оприлюднення ваших файлів.

І навіть тоді немає жодної гарантії, що ви отримаєте пароль для шифрування чи інструмент для дешифрування.

CryptoLocker

CryptoLocker — це варіант програмного забезпечення-вимагача, який може шифрувати кілька ваших жорстких дисків. Вперше він з’явився в 2013 році, поширюючись через заражені вкладення електронної пошти. Коли CryptoLocker інстальовано на комп’ютер, він може сканувати жорсткий диск на наявність певного списку розширень файлів. Крім того, він сканує всі диски, підключені до машини, будь то USB або мережа.

Мережевий диск із доступом для читання/запису буде зашифровано так само, як жорсткий диск. Це складно для підприємств, де співробітники мають доступ до спільних мережевих папок.

На щастя, дослідники безпеки випустили копію бази даних жертв CryptoLocker і зіставили кожне шифрування. Вони створили портал Decrypt CryptoLocker, щоб допомогти жертвам розшифрувати свої файли.

Еволюція: CryptoFortress

З'явився CryptoLocker і заявив про 500 000 жертв. За словами Кіта Джарвіса з Dell SecureWorks, CryptoLocker міг отримати 30 мільйонів доларів за перші 100 днів від операції здирництва (вона збільшиться до 150 мільйонів доларів, якщо кожна жертва заплатить 300 доларів викупу). Однак видалення CryptoLocker не є початком запобігання програмам-вимагачам зіставлення драйверів мережі.

CryptoFortress був відкритий у 2015 році дослідником безпеки Kafein. Він має вигляд і підхід до TorrentLocker, але є одним із ключових досягнень; він може шифрувати невідповідні мережеві драйвери.

Зазвичай програмне забезпечення-вимагач отримує список зіставлених мережевих дисків, наприклад C:, D:, E: тощо. Потім воно сканує диски, порівнює розширення файлів і шифрує їх. Зашифруйте відповідні файли. Крім того, CryptoFortress перераховує всі відкриті спільні мережеві серверні блоки повідомлень (SMB) і шифрує всі знайдені.

Локі

Locky — ще один варіант програм-вимагачів, який відомий тим, що змінює окремі файли на .locky, а також wallet.dat — гаманець Bitcoin. Locky також націлює файли на комп’ютерах або файли на невідповідних спільних мережевих ресурсах, змінюючи файли в процесі. Цей хаос ускладнює процес відновлення.

Крім того, Locky не має декодера.

Програми-вимагачі в хмарі

Програмне забезпечення-вимагач обходить фізичну пам’ять мережі та комп’ютера, а також виходить за межі хмарних даних. Це важливе питання. Хмарне сховище часто рекламують як один із найбезпечніших варіантів резервного копіювання, оскільки резервне копіювання даних зберігається подалі від спільних ресурсів внутрішньої мережі, створюючи ізоляцію від навколишніх небезпек. Але, на жаль, варіанти програм-вимагачів обійшли цей захист.

Відповідно до звіту RightScale State of the Cloud, 82% компаній використовують багатохмарну стратегію. А подальше дослідження (електронна книга Slideshare), проведене Intuit, показує, що до 2020 року 78% малих підприємств використовуватимуть хмарні функції. Ця радикальна зміна великих і малих компаній робить хмарні сервіси головною мішенню для постачальників програм-вимагачів.

Ransom_Cerber.cad

Розробники шкідливих програм знайдуть спосіб обійти цю проблему. Соціальна інженерія та фішинг електронної пошти є ключовими інструментами, і їх можна використовувати для обходу надійних засобів контролю безпеки. Дослідники безпеки Trend Micro виявили спеціальний варіант програми-вимагача під назвою RANSOM_CERBER.CAD. Він призначений для домашніх і бізнес-користувачів Microsoft 365, хмарних обчислень і продуктивних платформ.

Варіант Cerber може шифрувати 442 типи файлів за допомогою комбінації AES-265 і RSA, змінювати параметри зони Internet Explorer на комп’ютері, видаляти тіньові копії, вимикати відновлення запуску Windows і завершувати роботу програм Outlook, The bat!, Thunderbird і Microsoft Word.

Крім того, а це поведінка інших варіантів програм-вимагачів, Cerber запитує географічне розташування ураженої системи. Якщо хост-система є членом Співдружності Незалежних Держав (країни колишнього Радянського Союзу, такі як Росія, Молдова та Білорусь), програма-вимагач припинить роботу автоматично.

Хмара як інструмент зараження

Програмне забезпечення-вимагач Petya вперше з’явилося в 2016 році. Кілька примітних речей про цей варіант: по-перше, Petya може зашифрувати весь головний завантажувальний запис (MBR) персонального комп’ютера, спричиняючи збій системи. Це робить всю систему непридатною для використання. Потім, після перезавантаження, замість нього відобразилася записка про викуп Petya із зображенням черепа та проханням оплатити біткойнами.

По-друге, Petya поширився на кілька систем через заражений файл, що зберігається в Dropbox, під виглядом резюме. Посилання замасковане під деталі програми, хоча воно насправді посилається на виконуваний файл, що саморозпаковується, для встановлення програми-вимагача.

На щастя, анонімний програміст знайшов спосіб зламати шифрування Петі. Цей метод здатний виявити ключ шифрування, необхідний для розблокування MBR і випуску захоплених файлів.

Використання хмарних служб для поширення програм-вимагачів зрозуміло. Користувачів заохочують використовувати хмарні рішення для зберігання даних для резервного копіювання даних, оскільки це забезпечує додатковий рівень безпеки. Безпека є ключем до успіху хмарних сервісів. Проте довіра користувачів до хмарної безпеки може бути використана для поганих цілей.

Коротко

Хмарне сховище, зіставлені або не зіставлені мережеві драйвери та системні файли залишаються вразливими для програм-вимагачів. Це вже не нова річ. Однак розповсюджувачі шкідливих програм активно націлюються на файли резервних копій, що викликає занепокоєння користувачів. Навпаки, необхідно вжити додаткових заходів обережності .

Домашні та бізнес-користувачі повинні створювати резервні копії важливих файлів на знімних жорстких дисках. Вжити заходів зараз — це дії, які допоможуть вам відновити систему після небажаного зараження програмою-вимагачем із ненадійного джерела.