На цей раз ми перевірили, як справляються з троянами-шифрувальниками комплексні кошти антивірусного захисту. Для цього було зроблено добірку ransomware і навіть написано окрема програма, що імітує дії невідомого трояна-шифрувальника Її сигнатури точно немає у базах жодного учасника сьогоднішнього тестування. Подивимося, на що вони здатні!

WARNING

Стаття написана у дослідницьких цілях. Вся інформація в ній має ознайомлювальний характер. Усі зразки отримані з відкритих джерел та надіслані вірусним аналітикам.

Старі засоби від нових загроз

Класичні антивіруси мало допомагають у захисті від троянських програм, що шифрують файли та вимагають викуп за їх розшифрування. Технічно такі шифрувальники повністю або майже повністю складаються з легітимних компонентів, кожен з яких не виконує жодних шкідливих дій сам собою. Малвар просто об'єднує їх у ланцюжок, що призводить до жалюгідного результату - користувач позбавляється можливості працювати зі своїми файлами, поки не розшифрує їх.

У Останнім часомз'явилося багато спеціалізованих утиліт для захисту від троянів-шифрувальників. Вони або намагаються виконувати несигнатурний аналіз (тобто визначати нові версії ransomware за їхньою поведінкою, репутацією файлу та іншими непрямими ознаками), або просто забороняють будь-яким програмам вносити зміни, необхідні для дій шифрувальників.

Ми переконалися, що такі утиліти практично марні. Навіть задані в них максимально жорсткі обмеження (при яких вже не можна нормально працювати) не забезпечують надійного бар'єру від троянів-вимагачів. Частину заражень ці програми запобігають, але лише створюють у користувача помилкове почуття захищеності. Він стає більш безпечним і виявляється жертвою ransomware ще швидше.

Основна проблема при боротьбі з класичними троянами-шифрувальниками полягає в тому, що всі їхні дії виконуються тільки з файлами користувача і не торкаються системні компоненти. Користувачеві ж не можна заборонити змінювати та видаляти свої файли. Явних відмінних рис у поведінці у якісних представників ransomware дуже мало, або вони відсутні зовсім. Мережеве підключеннязараз виконує більшість програм (хоча для перевірки оновлень), а функції шифрування вбудовані навіть у текстові редактори.

Виходить, що для засобів превентивного захисту не залишається якихось явних ознак, які допомагають відрізнити чергового трояна-шифрувальника від легітимної програми. Якщо сигнатури трояна немає в базах, шанс, що його антивірус виявить, дуже малий. Евристичний модуль реагує лише на грубі модифікації відомих шифрувальників, А поведінковий аналізатор зазвичай визначає якоїсь підозрілої активності зовсім.

Бекапи бекапам різниця!

Сьогодні тисячі комп'ютерів заражаються ransomware щодня і, як правило, руками самих користувачів. Антивірусні компанії приймають заявки на розшифровку файлів (у своїх клієнтів – безкоштовно), проте та їх аналітики не всесильні. Часом даних для успішного дешифрування вдається зібрати дуже мало або сам алгоритм трояна містить помилки, що призводять до неможливості відновити файли у вихідному вигляді. Зараз заявки на розшифровку обробляються від двох діб до півроку, і за цей час багато хто з них просто втрачає актуальність. Залишається шукати додаткові коштизахисту, не сподіваючись на антивірусний сканер.

Довгий час універсальним захистомвід будь-яких вірусних атакбули резервні копії. У разі зараження новою малварью можна було просто відновити все з бекапу, перезаписавши зашифровані файли їх оригінальними версіями та скасувавши будь-які небажані зміни. Однак сучасні трояни-шифрувальники навчилися визначати та псувати резервні копії теж. Якщо налаштовано їх автоматичне створення, то сховище бекапів підключено та доступно на запис. Просунутий троян сканує всі локальні, зовнішні та мережеві диски, визначає каталог із резервними копіями та шифрує їх або видаляє із затиранням вільного місця.

Робити ж бекапи вручну надто втомливо та ненадійно. Щодня таку операцію виконувати складно, а за триваліший термін накопичиться багато актуальних даних, відновити які буде звідки. Як же бути?

Сьогодні більшість розробників пропонує, окрім класичних антивірусів, комплексні рішення для забезпечення безпеки. Тепер, крім файрволу, IDS та інших добре знайомих компонентів, вони містять новий – захищене сховище резервних копій. На відміну від звичайного каталогу з бекапами доступ до нього є тільки у антивірусу і контролюється його драйвером. Зовнішнє управліннякаталогом повністю відключено - навіть адміністратор не може відкрити чи видалити його через файловий менеджер. Подивимося, наскільки добрий такий підхід.

Методика тестування

Для наших експериментів ми зробили клони віртуальної машиниз чистою Windows 10 та останніми наборамивиправлень. У кожній з них було встановлено свій антивірус. Відразу після оновлення баз ми перевіряли реакцію антивіруса на тестову добірку та нашу програму-імітатор. До тестової добірки увійшли 15 зразків. З них 14 були різними модифікаціями відомих троянів-шифрувальників, а п'ятнадцятий був трояном-даунлоадером, який завантажував чергового шифрувальника з віддаленого сайту.

Усі зразки мали розширення.tst незалежно від реального формату файлу. Спеціально написана для цих тестів програма з нехитрою назвою EncryptFiles імітувала типову поведінку трояна-шифрувальника. При запуску з дефолтними параметрами вона відразу шифрувала вміст файлів з каталогу "Мої документи" без будь-яких питань. Для наочності ми зберегли у програмі echo-повідомлення та помістили в каталог з документами поточного користувача пару текстових файліву кодуванні OEM-866, щоб відразу відображати їх вміст прямо в консолі. В одному файлі були цитати із творів Стругацьких (простий неформатований текст), а в іншому – параметри об'єктивів у вигляді таблиці (форматований текст).

Після встановлення та оновлення кожного антивірусу зразки ransomware копіювалися в каталог «Завантаження» з папки мережі, підключеної в режимі «Тільки читання». Потім скопійовані файли додатково перевірялися антивірусом (примусова перевірка на запит) у налаштуваннях за замовчуванням. Зразкам, що залишилися після перевірки, присвоювалося їх реальне розширення, після чого вони запускалися. Якщо зараження системи не відбувалося, далі була перевірка реакції антивірусу на програму-імітатор. У разі успішного шифрування файлів, ми намагалися відновити їх вихідні версії засобами антивірусу і протоколювали результат.

Kaspersky Total Security

В одну із тестових віртуалок ми встановили Kaspersky Total Security, в якому було обіцяно «захист від програм-шифрувальників, що запобігає псуванню файлів шкідливими програмами». KTS розпізнав майже всі загрози вже при спробі скопіювати зразки ransomware з папки мережі.

У каталог «Завантаження» потрапив лише один файл із п'ятнадцяти – nd75150946.tst – це саме Trojan.Downloader, причому давно відомий. За його додаткової перевіркина запит KTS знову вважав файл безпечним. Сорок п'ять антивірусних сканерівна VirusTotal з ним не погодилися.

Ми відкрили цей зразок Hex-редактором, щоб визначити його справжнє розширення. Знайомий заголовок 504B0304 і ім'я іншого файлу всередині - очевидно, перед нами ZIP-архів. Усередині архіву знаходився підозрілий файл: його іконка відповідала документу PDF, а розширення при цьому було. scr - екранна заставка, тобто це код, що виконується.

При спробі запустити файл з розширенням.scr з архіву KTSзаблокував його автоматично розпаковану копію у тимчасовому каталозі користувача. За результатами хмарного аналізучерез мережу KSN він визначив цей файл як невідомий шкідливий об'єкт і запропонував видалити його із перезавантаженням. В даному випадку це була надмірна обережність, тому що троян не отримав управління і міг бути видалений будь-яким способом, як звичайний файл.

Цікаво, що Kaspersky Total Security не вчиться на своїх помилках. При повторній перевірці архіву той знову був визнаний чистим, хоча розпакований з нього файл щойно спричинив спрацювання за результатами аналізу в KSN.

На початку наступного етапу тестування ми перевірили вихідний станкаталогу "Мої документи" і вивели вміст пари текстових файлів з нього в консоль.

Після чого ми відкрили модуль «Резервне копіювання та відновлення» та забекапіли ці документи до папки Backup прямо на системному розділі. У реальній ситуації варто вибирати інше розташування (наприклад, зовнішній диск), але для нашого тесту воно не відіграє ролі. Доступ до цієї папки в будь-якому випадку контролюється засобами KTS і через стандартний драйвер файлової системитрояни що неспроможні з нею взаємодіяти.

Штатними засобаминавіть адміністратор може лише переглянути властивості цієї папки. При спробі увійти до неї автоматично запускається менеджер бекапів KTS та просить ввести пароль, якщо він був заданий раніше.

Сам менеджер резервних копій зроблений у Касперського дуже наочним. Можна вибрати стандартні каталоги, вказати свої або виключити окремі файли. Кількість файлів кожного типу відразу відображається у вікні зліва, а їх розмір – у властивостях праворуч.

Крім запису бекапів на локальні та знімні диски, KTS підтримує їх відправлення до Dropbox. Використання хмарного сховища особливо зручне в тому випадку, якщо малеча перешкоджає запуску комп'ютера та підключенню зовнішніх носіїв.

Нашу програму-імітатор KTS проігнорував. Вона спокійно зашифрувала файли, перетворивши їх вміст на абракадабру. Відмова у доступі до підкаталогів «Мої відеозаписи», «Мої малюнки» та «Моя музика» - недоробка в самій програмі, що ніяк не впливає на її здатність шифрувати файли в %USERPROFILE%Documents .

Якщо в нашій програмі функція дешифрування виконується просто при запуску з ключем /decrypt, то у троянів вона не завжди запускається навіть після виконання вимог про викуп. Єдиним достатньо швидким варіантомвідновлення зашифрованих файлів у такому разі залишається їх перезапис із раніше створеної резервної копії. Буквально в кілька кліків ми вибірково відновили один із зашифрованих файлів у його вихідному розташуванні. Так само можна відновити один або кілька каталогів цілком.

Dr.Web Security Space

Як і KTS, Dr.Web SS визначив 14 із 15 зразків вже при спробі скопіювати їх у каталог «Завантаження».

Однак на відміну від KTS він все ж таки виявив Trojan.Downloader в зразку, що залишився, після зміни його розширення на ZIP і запуску примусової перевірки.

Більшість параметрів Dr.Web SS за замовчуванням заблоковано. Щоб його активувати, треба спочатку натиснути на піктограму замка та ввести пароль, якщо він був заданий.

Резервні копії створюються в Dr.Web SS за допомогою інструмента "Захист від втрати даних". Налаштування доступні мінімальні. Можна вибрати для бекапу стандартні користувацькі каталоги або вказати свої, задати одне з вибраних обмежень на обсяг копій, вказати розташування резервних копій і налаштувати розклад бекапу. Завантаження в хмарні сховища Dr.Web SS не підтримується, тому доводиться обмежуватися локальними дисками.

Захист каталогу з бекапами у Dr.Web SS агресивніший, ніж у KTS. Адміністратор навіть не може переглянути його властивості через провідник.

Ми зробили резервні копії документів і розпочали другу частину тесту.

Програму-імітатор Dr.Web SS не розпізнав і не перешкодив її роботі. Через секунду всі файли були зашифровані.

Запустивши знову "захист від втрати даних", ми відновили вихідні файли. Однак вони збереглися зовсім не там, де чекали.

При вказівці цільової папки «Мої документи» в ній автоматично створюється підкаталог з поточною датоюі часом як ім'я. Вже розпаковуються з бекапу збережені файли, причому з відновленням всіх відносних шляхів. Виходить вкрай незручний довгий шлях, який може перевищити поширене обмеження в 255 символів.

Norton Security Premium

Пам'ятаючи про Norton Ghost, що став стандартом бекапу ще в 90-х, просто було спрогнозувати появу такої функціональності в антивірусі від Symantec. Дивно, що минуло два десятки років, перш ніж це очевидне рішеннястало затребуваним. Не було б щастя та нещастя допомогло.

При спробі скопіювати каталог із зразками ransomware NSP визначив і помістив у карантин 12 з 15 загроз.

Всі три файли розпізнаються як шкідливі при аналізі на VirusTotal, у тому числі два з них - антивірусом від Symantec. Просто налаштування за замовчуванням зроблено так, що NSP не перевіряє деякі файли при копіюванні. Виконуємо примусове сканування і NSP виявляє ще два трояни в тому ж каталозі.

Як і попередні антивіруси, NSP залишає троян-даунлоадер у перейменованому архіві ZIP. При спробі запустити файл.scr із архіву NSP блокує запуск розпакованої копії трояна з тимчасового каталогу поточного користувача. При цьому сам архів не обробляється.

Архів вважається чистим навіть при його повторному скануванні відразу після того, як було виявлено троян, що розпакований з нього. Особливо смішно виглядає напис: «Якщо, на вашу думку, ще залишилися погрози, натисніть тут». При натисканні по ній відбувається оновлення баз (або не відбувається, якщо вони і так свіжі).

Дивно, що деякі зі старих зразків ransomware досі детектуються NSP лише евристичним аналізатором та засобами хмарної перевірки. Схоже, вірусологам Symantec ліньки підтримувати бази в актуальному стані. Їхній антивірус просто блокує все підозріле і чекає на реакцію користувача.

Другий етап тестування відбувався традиційно. Ми створили резервні копії файлів з каталогу "Мої документи", а потім спробували їх зашифрувати.

Менеджер резервних копій у NSP спочатку порадував своєю логічністю. Він використовує класичний принцип «Що? Де? Коли?», знайомий ще з досівських часів. Однак у сучасній версії його затьмарює зайва абстрактність. Замість прямого перерахування об'єктів з повними шляхами та файлів по розширенням використовується їх віртуальне розташування та умовне угруповання за типами. Залишається здогадуватися, які файли NSP визнає такими, що належать до фінансової інформації, а які просто помістить у розділ «Інші».

Додаткові налаштуванняможливі (наприклад, за посиланням «Додати або виключити файли та папки»), проте зробити їх дуже непросто. Заради пари файлів (кожен менше кілобайта) все одно доводиться бекапит полдерева каталогів і всяке сміття на зразок desktop.ini, а майстер резервного копіювання пропонує увічнити це на CD-R. Схоже, XXI століття настало не для всіх.

З іншого боку, користувачам NSP надається під бекапи 25 Гбайт у хмарі. Щоб завантажити резервні копії туди, достатньо вибрати цільове розташування «Безпечне мережеве сховище».

Створивши локальний бекап, ми запустили програму, що імітує дії трояна-шифрувальника. NSP не перешкодив їй і дозволив зашифрувати файли.

Їх відновлення з резервної копії пройшло швидше та зручніше, ніж у Dr.Web SS. Достатньо було підтвердити перезапис, і файли у вихідному вигляді відразу опинилися на колишніх місцях.

K7 Ultimate Security

Раніше цей продукт від індійської компанії K7 Computing мав назву Antivirus Plus. З назвами цього розробника і зараз є невелика плутанина. Наприклад, дистрибутив K7 Total Security немає коштів резервного копіювання. Саме тому ми тестували версію Ultimate – єдину здатну робити бекап.

На відміну від відомих у Росії антивірусів, ця розробка була в наших тестах темною конячкою. Фраза «індійський код» вважається лайкою у програмістів, і багато чого ми від нього не чекали. Як показали тести – дарма.

K7 Ultimate Security - перший антивірус, який одразу виявив усі 15 загроз з нашої добірки. Він навіть не дозволив завершити копіювання семплів у каталог «Завантаження» і видаляв би їх прямо в мережевій папці, якщо вона не була підключена в режимі «Тільки читання».

Оформлення у програми камуфляжно-сталеве. Мабуть, розробники захоплюються грою в танки або просто намагаються таким чином викликати асоціацію з чимось надійним. Параметри резервного копіювання K7 задаються приблизно так само, як і в NSP. Однак загалом інтерфейс K7 менш перевантажений, і в ньому простіше дістатися тонких налаштувань.

На запуск програми-імітатора та шифрування файлів K7 ніяк не відреагував. Як завжди, довелося відновлювати оригінали з бекапу.

Зручно, що при відновленні можна вибрати окремі файли та записати їх на колишнє місце. Ствердно відповівши на запит про перезапис існуючого файлу, ми відновили lenses.txt на пару кліків на колишньому місці.

В рамках цього тесту про роботу K7 більше додати нічого. Success він і є success.

Висновки

Незважаючи на гарні результатитестування, загальні висновки вийшли невтішними. Навіть повні версії популярних платних антивірусів пропускають деякі варіанти ransomware у налаштуваннях за замовчуванням. Вибіркове сканування на запит також не дає гарантії безпеки перевірених файлів. За допомогою примітивних трюків (на зразок зміни розширення) виявлення уникають і давно відомі модифікації троянів. Нова ж малеча майже завжди перевіряється на відсутність детекту перед випуском у дике середовище.

Не варто сподіватися на поведінковий аналізатор, перевірку хмар, репутаційні характеристики файлів та інші засоби несигнатурного аналізу. Якийсь толк від цих методів є, але дуже невеликий. Навіть нашу примітивну програму-імітатор із нульовою репутацією і без цифровий підписне заблокував жодного антивірусу. Як і багато троян-шифрувальників, вона містить масу недоробок, проте це не заважає їй безперешкодно шифрувати файли відразу при запуску.

Автоматичне резервне копіювання користувацьких файлів- не наслідок прогресу, а вимушений захід. Вона може бути досить ефективною тільки з постійним захистомсховища бекапів засобами антивірусу. Втім, дієвою вона буде рівно доти, доки антивірус не вивантажать з пам'яті або не деінсталюють зовсім. Тому завжди варто робити додаткові копіїна якийсь рідко підключається носій або завантажувати їх у хмару. Звісно, ​​якщо ти достатньо довіряєш хмарному провайдеру.

Шифруючі віруси-здирники останнім часом стали однією з головних загроз і ми щодня дізнаємося про нові атаки, нові віруси-вимагачі або їх версії і, на жаль, про жертви, з яких кіберзлочинці вимагають викуп за повернення доступу до зашифованих даних. Тому Kaspersky Lab у компоненті System Watcher (Моніторинг активності) нових товаріввключила особливу підсистему боротьби з шкідливими програмами, що шифрують, Kaspersky Cryptomalware Countermeasures Subsystem. Завдяки набору унікальних технологій, у Латвії та у світі серед користувачів найновіших продуктів Kaspersky, які коректно використовували надані продуктами можливості, практично немає постраждалих від атак вірусів-вимагачів, що шифрують!І це не магія і не змова, як іноді говорять навіть фахівці, бачачи, як на відміну від користувачів інших антивірусів шанувальники продуктів Kaspersky залишаються неушкодженими в атаках вірусів-вимагачів, що шифрують. Це просто винайдені та реалізовані розробниками Kaspersky Lab технології!

Які продукти включають System Watcher і Kaspersky Cryptomalware Countermeasures Subsystem?

Особливі технології для боротьби з вірусами-вимагателями, що шифрують, включені в поточні версіїнижченаведених продуктів для операційної системи Windows або їх компонет для Windows.

Продукти для малого бізнесу:
Продукти корпоративного захисту:

* Всім продуктам доступне 30-денне безкоштовне повнофукціональне випробуванняз місцевою технічною підтримкою. Для випробування і встановлення, а .

Як працює System Watcher і Kaspersky Cryptomalware Countermeasures Subsystem?

Kaspersky Lab щодня в середньому обробляє 315 тисяч нових зразків шкідливого ПЗ. За такого великого напливу нових шкідливих програмАнтивірусним компаніям дуже часто доводиться захищати користувачів від атак шкідливих програм, які їм ще невідомі. За аналогією з реальним світом це було б також, як ідентифікувати злочинця до того, як отримано його відбитки пальців, фотографію та інші дані. Як це зробити? Спостерігаючи та аналізуючи поведінку. Саме цим і займається вбудована в нові продукти Kaspersky Lab, що безперервно спостерігає за комп'ютерною системою компонента під назвою System Watcher (Моніторинг активності).

System Watcher спостерігає процеси, що відбуваються в системі, і детектує шкідливі дії, використовуючи сигнатури послідовностей поведінки Behaviour Stream Signatures (BSS) і дозволяючи таким чином визначити та зупинити роботу зовсім нових та невідомих шкідливих програм з їхньої поведінки. Але це не все. Поки стає зрозумілим, що якась програма є шкідливою, вона може встигнути щось зробити. Тому ще однією особливістю System Watcher є здатність відкочувати зміни в системі зроблені шкідливою програмою.

Для того, щоб відкочувати назад зміни зроблені новою шкідливою програмою, що шифрує, фахівці Kaspersky Lab додали до компоненти System Watcher підсистему боротьби з шифруючими. вірусами Kaspersky Cryptomalware Countermeasures Subsystem, яка створює резервні копії файлів, якщо їх відкриває підозріла програма, і згодом за необхідності відновлює їх із збережених копій. Таким чином, навіть якщо шифруючий вірус є новим, тобто антивірус не має його "відбитків пальців", і він не ідентифікується іншими механізмами, System Watcher детектує його за поведінкою і, використовуючи вже згадану підсистему, повертає комп'ютерну систему зі стан, який був до атаки шкідливої ​​програми.

Розпізнавання невідомої шкідливої ​​програми, що шифрує, з поведінки, зупинку її роботи і відкат змін вироблених нею (заміну зашифрованих файлів нешифрованими копіями) можна побачити в демонастраційному відео нижче.

Тут слід пояснити, що кожному конкретному користувачевіситуації, коли необхідне задіяння Kaspersky Cryptomalware Countermeasures Subsystem, можуть статися вкрай рідко, оскільки інформація про кожен інцидент з невідомою шкідливою програмою за лічені частки секунди потрапляє у хмару Kaspersky Security Network та інші користувачі рішень Kaspersky з цього моменту вже захищені проти нової загрозисистемою раннього детектування. Це означає, що будь-яку подальшу спробу інфікування комп'ютерів користувачів Kaspersky буде блоковано вже ранньою сигнатурою. Саме дією таких унікальних механізмів пояснюється факт, що в Латвії практично не було постраждалих серед користувачів найновіших продуктів Kaspersky, оскільки це працює як глобальна імунна система для всіх 400 мільйонів користувачів Kaspersky у всьому світі!

Додаткову інформацію про System Watcher та Kaspersky Cryptomalware Countermeasures Subsystem англійською мовою можна знайти у документах у форматі PDF:

Що ще потрібно знати про System Watcher і Kaspersky Cryptomalware Countermeasures Subsystem?

System Watcher і разом з ним автоматично Kaspersky Cryptomalware Countermeasures Subsystem відповідно до початкових установок виробника включені за замовчуванням. Користувачеві після інсталяції продуктів немає необхідності робити будь-які додаткові дії для використання вищеописаних технологій.

Особливо слід зазначити, що System Watcher не входить до складу продукту Kaspersky Anti-Virus for Windows Workstation 6.0 (випущений у 2007 році), який ще іноді використовується. Користувачі цього продукту закликаються до використання безкоштовного переходу на більше новий Kaspersky Endpoint Security для Windows. Легальні користувачі можуть завантажувати та встановлювати нові версії продуктів безкоштовно, наприклад, з розділу цього сайту.

Kaspersky Anti-Ransomware Tool for Business- Інструмент, розроблений «Лабораторією Касперського», для захисту комп'ютерів Windowsвід дій програм-вимагачів.

Троянські програми, призначені для вимагання грошей у жертви, називаються програми-вимагачі (ransomware). До них також належать поширені останнім часом шифрувальники.

Шкідливість даних загроз спрямована на блокування роботи комп'ютера або шифрування даних на диску з блокуванням доступу до важливих файлів. В результаті зловмисники вимагають плату за відміну змін, які були зроблені троянською програмою в комп'ютері жертви. Це призводить до значних збитків, особливо у корпоративному середовищі.

Безкоштовний інструмент Kaspersky Anti-Ransomware Tool for Business сумісний із сторонніми антивірусними програмамиі може бути додатковим захистом від троянів-вимагачів та шифрувальників з використанням передових технологій.

Основні можливості Kaspersky Anti-Ransomware Tool for Business

• Безкоштовне та легке рішення
• Виявлення програм-вимагачів на рівні преміум бізнес-рішень (KES for Windows)
• Технології захисту: хмарна мережа Kaspersky Security Network + «Моніторинг активності»
• Сумісний із сторонніми антивірусними рішеннями
• Підтримка популярних систем: від Windows 7 до 10, включаючи серверні ОС Windows Server
• Звіти про виявлення електронною поштою для адміністратора

Технології захисту

Kaspersky Anti-Ransomware Tool для захисту комп'ютерів базі Windowsвикористовує різні методивиявлення погроз. Інструмент ідентифікує шкідливі програми на основі інформації, що міститься в антивірусних базах. Для виявлення характерної поведінки програм-вимагачів інструмент використовує дві революційні технології: Kaspersky Security Network та «Моніторинг активності».

Хмарна мережа Kaspersky Security Network забезпечує швидше реагування на невідомі загрози. А унікальні можливості«Моніторинг активності» включає здатність блокувати і робити відкат небезпечних змін у системі.

Завдяки користувачам, які беруть участь у Kaspersky Security Network, «Лабораторія Касперського» здатна оперативно збирати інформацію про нові типи та джерела загроз, а також розробляти рішення для їхньої нейтралізації. Участь у Kaspersky Security Network передбачає відправку статистики, що збирається Kaspersky Anti-Ransomware Tool for Business на вашому комп'ютері.

Як працює Kaspersky Anti-Ransomware Tool for Business

При виявленні загрози Kaspersky Anti-Ransomware Tool автоматично блокує її та додає до списку заблокованих програм (Blocked Applications). Перед тим як виконати блокування, програма-вимагач може встигнути виконати небажані дії операційній системі(наприклад, створити або змінити файли, або зробити зміни у реєстрі). Щоб виконати відкат шкідливих дій програми Kaspersky Anti-Ransomware Tool зберігає історію активності програм.

Kaspersky Anti-Ransomware Tool поміщає файли, створені шкідливою програмою, у спеціальне сховище. Файли, розміщені у сховищі, можуть бути відновлені фахівцями «Лабораторії Касперського». Якщо виникне потреба відновити файли зі сховища, рекомендується звернутися за консультацією на форумі розробника.

Перед зверненням до служби технічної підтримки необхідно ознайомитися з

Трояни-шифрувальники - особливий тип малварі, створюваної для здирництва (ransomware). Їхній масовий забіг вперше був зареєстрований наприкінці 2006 року. За останні десять років ситуація майже не змінилася. Сьогодні так само нові зразки троянів продовжують шифрувати файли під носом у антивірусів і вимагати плату за розшифровку. Хто в цьому винен і, головне, що робити?

Якщо троян зашифрував файли, одразу вимкни комп'ютер! Потім і постарайся зібрати максимум даних. В ідеалі потрібно зробити посекторний образ диска і після цього спокійно аналізувати ситуацію.

Що таке трояни шифрувальники?

Сьогодні у більшості користувачів стоїть якийсь популярний антивірус або хоча б MSRT – вбудований у Windows засіб для видалення шкідливих програм. Однак ransomware спокійно запускаються, шифрують файли та залишають повідомлення з вимогою викупу. Зазвичай ключ для розшифровки обіцяють надіслати після оплати у якийсь напіванонімний спосіб. Наприклад, зайти через Tor на сторінку з подальшими інструкціями та перерахувати викуп на одноразовий номергаманця.

Антивіруси реагують на це так рідко, що їх розробників навіть почали звинувачувати у змові. Це не перший випадок, коли вірусологів підозрюють у злочинних цілях, але технічно тут усе простіше пояснюється. Справа в тому, що троян-шифрувальник не виконує жодних дій, які однозначно свідчать про його шкідливу активність. Сам – це найпростіша програма із набором бібліотек загального призначення. Іноді це просто скрипт або батник, який запускає інші портейбл-утиліти. Давай розберемо загальний алгоритм дій шифрувальників докладніше.

Зазвичай користувач сам завантажує і запускає ransomware. Трояна підсовують жертві під виглядом оновлення, потрібної утиліти, документа з фішинговим посиланням та іншими давно відомими методамисоціальної інженерії Проти людської наївності антивіруси безсилі.

Потрапив у систему троян-шифрувальник може бути впізнаний по сигнатурі тільки в тому випадку, якщо він вже є в базах. Нові зразки в них наперед відсутні, а модифікації старих троянів додатково перевіряють на детекти перед поширенням.

Після запуску трояна поведінковий аналізатор антивірусу мовчить, оскільки, на його думку, не виконується жодних потенційно небезпечних дій. Яка програма шукає файли по масці? Так будь ласка! Створює копію файлів? Без проблем! Чи шифрує копії? Теж не привід для паніки. Функції шифрування підтримуються більшістю сучасних програм, а троян використовує самі стандартні криптографічні бібліотеки. Він видаляє файли користувача? Це теж не заборонено - адже вони не системні. Затирає вільне місце? Безпечне видалення також потрібна і легальна функція. Він додається до автозапуску? І це теж дозволена поведінка.

На відміну від класичних вірусів, троян-шифрувальник не намагається модифікувати файли, не впроваджується в активні процеси і взагалі поводиться нудно. Він просто створює копії документів та баз даних, шифрує їх, а потім видаляє без можливості відновлення оригінальні файли користувача та ключ шифрування, залишаючи текст із вимогою викупу. У всякому разі, авторам троянів хотілося б бачити саме таку ідеальну поведінку. Насправді ж цей ланцюжок процесів може дати збій на будь-якому етапі, завдяки чому стають можливими альтернативні методирозшифрування.

Звичайні антивіруси не в змозі боротися з новими шифрувальниками, сигнатури яких поки що відсутні в їхніх базах. Вони можуть лише розпізнавати найбільш грубі модифікації на рівні евристики. Комплексні рішення(начебто Dr.Web Security Spaceі Kaspersky Internet Security / Total Security) вже вміють усувати їх деструктивні наслідки. Вони заздалегідь створюють копії файлів користувача, приховують їх і блокують доступ до них сторонніх програм. Якщо троян дістанеться до фоток і документів зі стандартних каталогів, завжди можна буде відновити їх з копій, а зашифровані файли просто видалити.

Оскільки антивірусний комплекс завантажує свій драйвер і модуль резидентного захисту ще до входу користувача, це досить надійний метод зберігання резервних копій. Однак їх можна робити і сторонніми утилітами. Головне, щоб вони розміщувалися на зовнішньому носії, що вимикається відразу після створення бекапу. Інакше троян виявить резервні копії на постійно підключеному вінчестері і зашифрує їх або зашкодить.

З універсальних програм для бекапу функцією додаткового захистувід дій шкідливих програм володіє безкоштовна утиліта Veeam Endpoint Backup Free. Вона вміє автоматично відключати USB-диски відразу після завершення створення резервних копій та зберігати кілька версій файлів.

До додаткових особливостей програми належать уміння бекапити системні розділибез їх відключення (тіньова копія), практично миттєве відновлення окремих файлівта каталогів (їх можна відкривати прямо з образу за посиланнями) та інші цікаві опції. Також вона вміє створювати завантажувальний дискзі своїм середовищем відновлення на той випадок, якщо троян заблокував нормальну роботу ОС.

Окрім універсальних утиліт для резервного копіювання з додатковими функціями захисту від шифрувальників, є ціла низка спеціалізованих програм превентивного захисту. Одні з них доступні лише на стадії бета-тестування, а потім стають новим модулем платного антивірусу(наприклад, так було з Malwarebytes Anti-Ransomware). Інші поки що існують саме як окремі безкоштовні рішення.

GridinSoft Anti-Ransomware

Ця українська утиліта для запобігання зараженню програмами-вимагачами якраз перебуває на стадії бета-тестування. Розробники описують її як універсальний засіб, що запобігає будь-яким спробам виконати несанкціоноване шифрування файлів. Вони обіцяють ефективно блокувати атаки ransomware і запобігати втраті даних, що викликаються ними. На практиці утиліта виявилася марною. Перший же троян-шифрувальник зі старої добірки спокійнісінько запустився, зробив свою брудну справу і повісив на робочий стіл вимоги про викуп.

CryptoPrevent Malware Prevention

Ця утиліта залишила неоднозначне враження. CPMP діє проактивно на основі великого набору групових політик та безлічі поведінкових фільтрів, контролюючи дії програм та стан користувацьких каталогів. У ній доступні кілька режимів захисту, включаючи рівень «Максимальний», який працює за принципом «ввімкнув та забув».

Інтерфейс програми забезпечує швидкий доступ до десятків налаштувань, але після зміни більшості їх потрібно перезавантаження. Сама програма CPMP не повинна працювати весь час. Його потрібно запускати лише для моніторингу та обслуговування. Наприклад, для перевірки стану, читання логів, оновлення або зміни параметрів.

При цьому графічна надбудова дуже довго запускається і в ній немає сповіщень у реальному часі. Також немає і звичного карантину. У режимі «Максимальний захист» усі файли, впізнані як небезпечні, просто видаляються без запитувань.

Для перевірки ми спробували поставити в CPMP максимальний рівень захисту та послідовно випустити на волю сім різних троянів-вимагачів. Три з них були видалені CPMP відразу при спробі запуску. Жодних повідомлень при цьому не відображалося. Чотири інших благополучно стартували, проте до фінішу не дісталися. CPMP не давав їм створити нові файли та зашифрувати користувацькі, але й не видаляв. Завантаження процесора весь час було 100%, диск стрекотав, і робити що-небудь у тестовій системі було неможливо.

Насилу нам вдалося дістатися до клавіші Kill Apps Now у вікні CPMP. Через секунду всі програми, запущені від імені користувача (включаючи Process Explorer), були примусово вивантажені. У оперативної пам'ятізалишилися лише системні процеси.

За час бою деякі зловреди влаштувалися на робочому столі, а троян Satan.f додав в автозапуск висновок текстової вимоги про викуп. Шифрування файлів при цьому не відбулося, але й повного видаленнямалварі теж.

Вийшла патова ситуація: навіть максимально жорсткі обмеження не забезпечили надійного захистувід троянів-вимагачів. У деяких випадках активна протидія їм призводила до того, що всі системні ресурси були повністю зайняті. Повідомлення при цьому не виводиться жодних. Зрозуміти, що відбувається у системі, можна лише з аналізу логів, але до них ще треба дістатися.

Cybereason RansomFree

Це поведінковий аналізатор для Windows 7–10, призначений запобігати зараженню відомими та новими троянами-здирниками, включаючи шифрувальники та вінлокери. За заявою розробників, програма написана колишніми військовими експертами в галузі інформаційної безпеки, які отримали 90 мільйонів доларів інвестицій від Lockheed Martin та Softbank.

Перший троян-шифрувальник запустився, але тут же вилетів з помилкою. Другий став активним процесом у пам'яті. Cybereason відразу визначив його і запропонував не просто вивантажити, а заодно і видалити створений трояном файл.

Другий детект

Третій троян також успішно заблоковано. Cybereason не дав йому зашифрувати файли. Процес 58CD2A07 був вивантажений, а одиничний детект на VirusTotal у Wininit.exe - хибнопозитивне спрацювання.

Двох наступних троянів Cybereason проморгав. Вони були активні лише кілька секунд, але цього вистачило для подолання проактивного захисту.

Старий знайомий Petya примусово перезавантажив комп'ютер, заблокував запуск Windowsта зашифрував файли. Навіть шкода, що Cybereason так швидко здався. У нас ще стільки коней було з-поміж ветеранів кавалерії!

Kaspersky Anti-Ransomware Tool for Business

Ця безкоштовна програма покликана захищати від усіх видів ransomware, включаючи нові шифрувальники та вінлокери. Працює в сучасних версіях Windows (7-10) будь-якої розрядності. Вона визначає нові версії ransomware за репутаційною характеристикою файлів у хмарній мережі Kaspersky Security Network та поведінковим аналізом, який виконує компонент моніторинг активності. KART for Business може використовуватись з будь-яким стороннім антивірусомАле ця програма несумісна з власними рішеннями «Лабораторії Касперського», оскільки в них вже включено аналогічну функціональність.

Працює KART у фоні і не від'їдає системні ресурси якось помітно. Налаштування програми мінімальні і не стосуються власне перевірки. Вона завжди виконується через хмарну мережу KSN, а користувача лише повідомляють про знайдені погрози.

Якщо спрацювання на якийсь додаток ти вважаєш хибним, то можна додати його до списку винятків, натиснувши Manage Applications… але краще двічі подумай.

Будь-який детект вимагає часу, тому KART зберігає історію активності додатків на той випадок, якщо троян встигне виконати якісь зміни в системі до того, як його заблокують.

При запуску на вже зараженому комп'ютері Kaspersky Anti-Ransomware Tool for Business автоматично виявляє зашифровані трояном файли і поміщає їх в окреме сховище для передачі спеціалістам на розшифровку.

Bitdefender Anti-Ransomware Tool

Ще одна програма з назвою від румунської компанії Bitdefender. BART може використовуватися паралельно з будь-якими антивірусами, крім створених у Bitdefender – у них вже є відповідні модулі. Зовні BART працює аналогічно KART. У них загальні заявлені принципи детекту відомих та нових троянів через фірмову мережухмарної перевірки та поведінковий аналізатор. Розробник зазначає, що основою BART лягли методи протидії чотирьом основним сімействам троянів-шифрувальників: CTB-Locker, Locky, Petya і TeslaCrypt.

Можливо, саме від них утиліта і захищає, проте навіть коротке знайомство з BART залишило неприємне враження. Він не зміг запобігти запуску першого ж трояна, причому його сигнатура давно є в базах Bitdefender. Троян без проблем прописався в автозапуск і почав господарювати в системі, тоді як BART показував зелене світло.

Оглядаємо дарованого коня

Якщо троян-шифрувальник все ж таки запустився в системі і встиг наробити справ, то не панікуй і не намагайся видалити його з працюючої операційки. Тепер твій комп'ютер – місце злочину, на якому треба зберегти всі сліди.

Всупереч прислів'ю, у разі шифрувальників у дарованого коня треба дивитися все - дизассемблером і hex-редактором. Краще доручити це аналітикам антивірусних лабораторійоскільки вони в будь-якому випадку вивчатимуть новий зразок малварі. Часто в коді вдається знайти зачіпки, які допомагають розробити спосіб розшифровування файлів. Тому в жодному разі не прибивай коня до повного розшифрування. Просто стриножь його, вилучивши з автозапуску і помістивши в архів з паролем.

Саме помилки в коді трояна допомагають знайти ключ швидше, ніж за 100,5 тисяч років, як це було б у разі коректної реалізації його авторами AES-256. Цей стандарт шифрування часто згадують творці троянів у загрозах. Вважається, що це вселяє жертвам думка про неможливість розшифрування файлів без ключа, але реально багато троян засновані на більш простих алгоритмах.

У тих же шкідників, в яких дійсно намагалися використовувати AES, через грубі недоліки безліч можливих ключів звужується до такого обсягу, який вже можна перебрати на звичайній персоналці за кілька днів або навіть годин. Зустрічаються серед ransomware і такі варіанти, які взагалі вимагають особливої ​​кваліфікації для розшифровки. У них або ключ зберігається локально, або все "шифрування" побудовано на операції не складніше за XOR.

Експерт компанії Emsisoft Фабіан Восар (Fabian Wosar) часто жартує у своєму блозі, що розтин алгоритму шифрування чергового недотроянця зайняв у нього менше часу, ніж написання вимог про викуп у його авторів. Він безкоштовно викладає утиліти для дешифрування файлів на сайті компанії.

Універсальної програми розшифровки немає, тому доводиться підбирати відповідну кожному конкретному випадку. Власні каталоги безкоштовних утиліт для дешифрування мають і інші розробники антивірусного софту. Наприклад, у «Лабораторії Касперського» це всі програми, що містять у назві Decryptor. Також утиліти розшифровки можна знайти на сайті спільного проекту No More Ransom. Він запущений з ініціативи Національного підрозділу з кіберзлочинів поліції Нідерландів, Європейського центру боротьби з кіберзлочинністю Європолу та двох антивірусних компаній - «Лабораторії Касперського» та Intel Security.

Починати варто саме з пошуку безкоштовних утиліт на цих сайтах, але що робити, якщо потрібна серед них так і не знайшлася? На жаль, це теж цілком можливо. Нові версії троянів-шифрувальників з'являються постійно, та й не всі з них ламаються на раз-два. З окремими зразками аналітики можуть провозитись більше місяця. Зрідка буває і так, що метод розшифровки не вдається виявити взагалі. Це або результат особливо якісного шифрування (велика рідкість), або навпаки - максимально кривого коду троянця, алгоритм якого псує файли і в принципі не передбачає коректного розшифрування.

Якщо відомі безкоштовні утиліти не допомогли, то можна надіслати листа Фабіану, створити запит на сервісі Crypto Sheriff, а заразом написати в технічну підтримку Emsisoft та інших антивірусних компаній.

У будь-якому разі новий мальвар варто надіслати вірусним аналітикам. Причому надіслати їм краще не лише файл самого троянця, але також усі створені ним тимчасові файлиі три-п'ять зразків зашифрованих файлів. Якщо у тебе в бекапах десь залишилися оригінальні (незашифровані) версії цих файлів, то прикріпи їх до запиту. Зіставлення пар « відкритий текст/Шифртекст» - один з основних методів криптоаналізу. Чим більше таких пар ти зможеш знайти, тим швидше знайде метод розшифровки.

Додатково аналітики виконують ту ж атаку за відомим текстом, використовуючи стандартні заголовки файлів. Наприклад, у файлів.doc це D0 CF 11 E0 A1 B1 1A E1 , а у картинок.png - 89 50 4E 47 0D 0A 1A 0A . Докладніше див. таблицю файлових сигнатур. У текстових файлів (TXT) вміст є повністю довільним, тому їх розшифровку виконати найскладніше.

На мій досвід, найкраще розшифровувати файли виходить у Dr.Web і «Лабораторії Касперського». Якщо у тебе є ліцензія на будь-який їх комерційний продукт, то аналітики безкоштовно розшифрують файли. Якщо ти не їхній користувач - то за гроші. Як правило, послуга розшифровки коштує в рази дорожче за річну ліцензію на антивірус, але таку політику можна зрозуміти. Криптоаналіз, особливо у випадку AES та RSA, забирає багато часу, який фахівцям доцільніше витрачати на підтримку своїх постійних клієнтів.

У жовтні один з наших читачів упіймав нову модифікацію трояна-шифрувальника і одночасно звернувся в техпідтримку різних компаній.

Вже за три дні йому відповіли з Dr.Web: «Рішення знайдено. Розшифровка можлива. Для не користувачів Dr.Web послуга платна. Шлях до отримання розшифровки на комерційній основі: придбання Dr.Web Rescue Pack вартістю 5299 рублів без ПДВ До складу пакету Dr.Web Rescue Pack входить послуга з розшифровки та ліцензія на Dr.Web Security Space на два роки для захисту одного ПК».

Читача не влаштувала ціна, тому він став чекати на відповідь від інших компаній. Приблизно через місяць на сайті "Лабораторії Касперського" з'явилася Нова версіябезкоштовної утиліти RannohDecryptor, якою він і розшифрував свої файли.

Розшифровка виконувалася локально і, судячи з тривалого стовідсоткового завантаження процесора, шляхом перебору. Повне розшифрування 565 файлів зайняло дев'ять з половиною годин на десктопному Core i5. Нерозшифрованим залишився лише один файл, який виявився копією іншого.

Висновки

Трояни-шифрувальники створюють масу проблем, змушуючи витрачати багато часу та/або грошей на розшифрування своїх файлів. Простого антивірусудля боротьби із нею недостатньо. Рано чи пізно він пропустить нову малечу, сигнатури якої ще немає в базах. Тому варто прямо зараз потурбуватися про додаткові заходи захисту. Серед них є безліч безкоштовних варіантів, але їх ефективність поки що бажає кращого. Як мінімум є сенс регулярно робити бекапи та обмежувати доступ до них, а також заздалегідь зробити добірку утиліт для дешифрування.

Last updated by at Лютий 15, 2017 .

Чи знаєте ви, що таке вірус-шифрувальник? І як він може зашкодити вашому бізнесу?

Шифрувальники – це троянські програми, які потрапляють на комп'ютер, блокують і шифрують ваші файли, а потім вимагають плати за їх розшифрування.

Віруси-шифрувальники стали справжніми королями світу кіберприступності. Троянські програми завдають удару у невідповідний момент, коли інформація потрібна так терміново, що здається простіше заплатити. Користувачі та компанії виплачують великі суми грошей за повернення своїх особистих даних.

Суми викупу для звичайних користувачівможуть досягати десятків тисяч рублів, а великих компаній близько кількох мільйонів рублів. Але в 9 випадках із 10 оплата не вирішить проблему, і така ж проблема може виникнути знову. А якщо вірусом уражена ціла корпоративна мережа, то ваш бізнес може надовго вийти з ладу, і лише один день простою може коштувати компанії дуже дорого.

Щоб запобігти катастрофі використайте – рішення для комплексного захистукорпоративної мережі із вбудованим захистом від шифрувальників.

Давайте розглянемо, як це працює, коли на всіх комп'ютерах вашої корпоративної мережі встановлено Kaspersky Endpoint Security для Windows, з керуванням через Kaspersky Security Center.

Відкрийте сервер адміністрування Kaspersky Security Center. Перейдіть до Керованих комп'ютерів.

Потім перейдіть до властивостей активної політики для Kaspersky Endpoint Security

У цих властивостях увімкніть моніторинг системи, активуйте використання BSS та шаблонів небезпечної поведінки на всіх комп'ютерах вашої мережі.

От і все! Ваші комп'ютери надійно захищені від шифрувальників, тільки не забудьте налаштувати автоматичне оновленняантивірусних основ.

Подбайте про безпеку корпоративної мережі з .
У нашому інтернет-магазині Ви можете придбати все необхідне, щоб убезпечити себе та свій бізнес від вірусів-шифрувальників, наприклад .