С начала этого года новый вирус, функционирующий оригинальным способом, был идентифицирован Check Point,одним из мировых лидеров по кибербезопасности. Имя ему «Цербер». Это ransomware, то есть программа, которая исполняется без вашего ведома и требует с вас денежный выкуп (ransom) .Но в отличие от других подобных вирусов «Цербер» является ransomware-as-a-service (RaaS), то есть настоящей франшизой, которая набирает волонтеров для его распространения. Им платится комиссия, в зависимости от успеха кампании по заражению, которая составляет примерно 60 % от выкупа. Остальное идет в карман разработчику.
«Цербер» , замеченный впервые в феврале 2016 года,только за первый триместр уже заработал 209 миллионов долларов, в частности благодаря основным exploits kits (программы используюшие дыры в безопасности). Иинтенсивность «Цербера» увеличивается с каждым днем. Уже сейчас проблема коснулась около 80 000 пользователей в 176 странах
Откуда же пришёл этот вирус? Ну конечно же из России считает Check Point. Странным образом этот вирус не заражает пользователей , находящихся в России, Армении, Белоруссии, Грузии, Киргизии, Казахстане, Молдавии, Туркмении, Узбекистане и Украине. «Это типичный признак русских вирусов. Такой подход позволяет его разработчикам не попасть под статьи закона этих стран», считают авторы исследования вируса.
Страны , которые столкнулись с вирусом в настоящее время это - Южная Корея, США, Тайвань, Китай, Англия, Германия и Франция. Несмотря на то, что больше всего атак направлено на азиатские страны, выкуп чаще всего платят западные пользователи. Поражает уровень профессионального перевода интерфейса контроля на 12 языков, в том числе на английский, французский, китайский, турецкий, португальский и арабский., что позволяет легко вводить жертв в заблуждение. Во Франции пик заражений пришелся на вторую половину июля.
Как работает вирус? Обычно распространители рассылают письма с заражёнными линками, через некоторые сайты web или окна диалога с bots. Ловушка чаще всего очень продумана. Например недавно рассылались ложные предложения о работе. Иногла это были официальные письма от правительственных и налоговых организаций. Каждый раз целью становятся десятки тысяч пользователей. Прии том , что большинство людей не загружают вирус, тем не меене между апрелем и маем было произведено 13 941 загрузок и собрано 34 800 долларов.
Что делает вирус в вашем компьюторе? «Цербер» использует алгоритм криптования с целью кодирования файлов жертвы. Файлы становятся нечитаемыми. Как только пользователь нажал на линк, содержащий вирус, файл исполняется автоматически. По завершении процесса криптования вирус отправляет месседж с требованием выкупа. После нескольких этапов он направляет вас на анонимный сайт web, где необходимо заплатить 1 bitcoin , примерно 515 евро. Оплата позволяет перейти к линку , который теоретически подскажет вам, как сделать расшифровку. Если вы не заплатите в течении 5 дней, то выкуп будет удвоен.
Как защититься от вируса ? В первую очередь не открывать подозрительную почту и поставить фильтр анти- спам. Хранить файлы на внешнем твердом диске. В случве заражения возможно удалить вирус, но не саму кодировку. Поэтому затем нужно использовать программы декодировки Photorec или Kaspersky Decryptor . В любом случае не нужно платить выкуп, для того чтобы не поддерживать распространителей вируса. К тому же нет гарантии что вы получите ключ дешифровки.
Перевод с французского Parhonf
Комментарии
Так понимаю все кто с СНГ автоматом записаны в русские?
А может этот вирус не появляется там, где мошенникам НЕ ПЛАТЯТ деньги, а напротив, сталкиваясь с подобными действиями западных хакеров стараются ставить надёжный антивирус и очень осторожно относятся к разного рода спаму приходящему на почтовые ящики?
Антивирус (точнее, все 50+ антивирусов с VirusTotal.com) начинают детектировать такого типа заразу обычно через несколько часов после её первого поступления. Примерно через 12 часов количество антивирусов, обнаруживающих скриптовые вымогатели, достигает 30. Нет возможности угадать, какой из антивирусов будет в первых рядах, какой - в последних. На момент поступления число срабатывающих антивирусов - менее 10, популярные у нас Kaspersky/Symantec/DrWeb/ENOD32 иногда бывают в этом списке, но зачастую - нет.
Подитоживая, антивирусы в данной ситуации не тянут и не являются защитой от слова никак.
Причём речь не идёт о супер-пупер уязвимостях. Обычно это просто скрипт (PS/JS/WS/VBA) который стягивает с поражённого сайта файлик шифровальщика и запускает его в системе, часто процесс идёт даже без изысков (например, файлик программы может быть слегка закамуфлирован - изменено расширение типа файла, или незначительно зашифрован, обычно XOR, и то - не весь, только первый кусок)
Скрипты активно модифицируются, сигнатуры не работают, и активно обфусцируются.
А где с этим списком можно ознакомиться? И какие антивирусы в этот список попадают зачастую? А то уж больно голословно Ваше утверждение выглядит.
ЗЫ После приставки, заканчивающейся на твердую согласную бывает, что буква "и" пишется, на зачастую - нет.
пример.
VirusTotal: хэш: d394ba8ce2b4bca4ab2c527142c3238f5af4afbbcb87f2014272dbe9f12fbe02 известен антивирусам:
Avira: v8.3.3.4, upd:20160822 как HEUR/Macro.Downloader
AhnLab-V3: v3.7.5.15326, upd:20160822 как W97M/Downloader
Ikarus: vT3.2.1.6.0, upd:20160822 как Trojan-Downloader.VBA.Agent
Qihoo-360: v1.0.0.1120, upd:20160822 как virus.office.obfuscated.1
----
всего о нём известно 4 антивирусам
22.08.2016 15:40:01
VirusTotal: хэш: 3b84b587a284c0ffcc4e4f47f2f2e0293dde7c611f1e55e79949c120a333f519 известен антивирусам:
Tencent: v1.0.0.1, upd:20160822 как Macro.Trojan.Dropperd.Auto
Avira: v8.3.3.4, upd:20160822 как HEUR/Macro.Downloader
AhnLab-V3: v3.7.5.15326, upd:20160822 как W97M/Downloader
Ikarus: vT3.2.1.6.0, upd:20160822 как Trojan-Downloader.VBA.Agent
Qihoo-360: v1.0.0.1120, upd:20160822 как virus.office.obfuscated.1
----
всего о нём известно 5 антивирусам
22.08.2016 15:40:27
------
обычно динамика выявления (по времени) выглядит так (в данном случае - касперский угадал сразу, но это вовсе не обязательно).
данные по хэшу f892e35941d03a3927dfd575e7f2de8a:
24.08.2016 14:59:26 F-Prot20160824 JS/Nemucod.CA1
24.08.2016 14:59:26 Kaspersky20160824 HEUR:Trojan-Downloader.Script.Generic
24.08.2016 14:59:26 NANO-Antivirus20160824 Trojan.Script.Heuristic-js.iacgm
24.08.2016 14:59:26 Cyren20160824 JS/Nemucod.CA1
24.08.2016 14:59:26 Fortinet20160824 JS/Nemucod.94D4!tr
24.08.2016 17:12:31 AegisLab20160824 Troj.Downloader.Script!c
24.08.2016 17:12:31 ESET-NOD3220160824 JS/TrojanDownloader.Nemucod.ASL
24.08.2016 17:40:50 BitDefender20160824 Trojan.JS.Downloader.FHN
24.08.2016 18:05:53 Emsisoft20160824 Trojan.JS.Downloader.FHN (B)
24.08.2016 18:05:53 DrWeb20160824 JS.DownLoader.2031
25.08.2016 0:50:28 MicroWorld-eScan20160825 Trojan.Agent.BXTU
25.08.2016 0:50:28 Ad-Aware20160824 Trojan.Agent.BXTU
25.08.2016 0:50:28 F-Secure20160825 Trojan.Agent.BXTU
25.08.2016 0:50:28 Sophos20160825 Troj/JSDldr-SA
25.08.2016 0:50:28 Avira20160825 JS/Dldr.Locky.82416
25.08.2016 0:50:28 Microsoft20160825 TrojanDownloader:JS/Nemucod.EK
25.08.2016 0:50:28 Arcabit20160825 Trojan.Agent.BXTU
25.08.2016 0:50:28 GData20160825 Trojan.Agent.BXTU
25.08.2016 0:50:28 AVG20160824 Downloader.Generic_c.AMNK
25.08.2016 12:52:55 Avast20160825 Other:Malware-gen [Trj]
25.08.2016 12:52:55 Antiy-AVL20160825 Trojan/Generic.ASMalwRG.69
25.08.2016 12:52:55 McAfee20160825 JS/Nemucod.mt
25.08.2016 12:52:55 Ikarus20160825 Trojan-Downloader.JS.Nemucod
26.08.2016 20:42:06 CAT-QuickHeal20160826 JS.Locky.DH
26.08.2016 20:42:06 ALYac20160826 Trojan.Agent.BXTU
26.08.2016 20:42:06 Baidu20160826 JS.Trojan-Downloader.Nemucod.hm
26.08.2016 20:42:06 Tencent20160826 Js.Trojan-downloader.Agent.Eeqs
26.08.2016 20:42:06 VIPRE20160826 Trojan-Downloader.JS.Nemucod.aqt (v)
26.08.2016 20:42:06 TrendMicro20160826 JS_NEMU.5591DAC7
26.08.2016 20:42:06 McAfee-GW-Edition20160826 JS/Nemucod.mt
26.08.2016 20:42:06 AhnLab-V320160826 JS/Downloader
26.08.2016 20:42:06 AVware20160826 Trojan-Downloader.JS.Nemucod.aqt (v)
== Всего: 32, данные от: 26.08.2016 20:21:54
Тут ещё не надо забывать про региональную популярность антивирусной программы. Условно - на появление в штатах нового экземпляра сначала с реагируют тренд и симантек например. Остальные потянутся попозже. Плюс у кого как расставлены ловушки в сегментах сети. Ну и не забываем что у компаний существует каналы обмена этими зверушки и обычно часов через 12 экземпляры есть у всех.
Вопрос не в этом.
Имею твёрдую уверенность, что от нынешних шифровальщиков антивирусы защитой практически не являются. На момент прихода скрипта вероятность готовности антивируса к его обнаружению невелика.
Конечно, способ, которым я это проверяю, имеет изъяны - я не запускаю файл на проверку, я смотрю хэши. Возможно, эвристики бы и отработали. Но сигнатурный подход полностью скис.
Вывод номер два - покупать антивирус ныне смысла - ноль. Штатный виндовый антивирус ничем не хуже по темпу делегирования. И не лучше.
Сигнатурный скин лет 8-10 назад. От эпидемий он не спасёт точно. Поведенческий анализатор в песочнице (эвристика) и в режиме реального времени - это все что сейчас есть для защиты. Побеждает тот антивирус, у кого самые оптимальный баланс настройки параноидальности эвристики и назойливость для пользователя стоят по дефолту. Ну и на вирустотал по сути есть только эвристики и сигнатурный анализ. Поведенческий контроль возможен только на компах конечного пользователя.
ЗЫ хотя я бы ставил всем просто какой нить антивирусник типа kis и настройками "запрещено все что не разрешено". И никаких вирусов)
Суть в том, что скрипт - стартёр не может быть отловлен антивирусов вообще никак - он а)всегда иной, б)не имеет прямой вредоносной активности.
Тоже самое с payload. Шифровальщик может не иметь вообще признаков вируса - он просто запускается, некоторое время работает и завершается. Он не пытается закрепиться в системе, он не содержит и не эксплуатирует уязвимости, не стремится изменить настройки - это просто обычная программа, работающая с файлами, каких миллионы. Поэтому её детектирование - сложная задача, особенно, когда это происходит не в песочнице с набором honeypad файлов, а на обычном рядовом компе.
Поэтому, мой подход прост. Нет хэша у антивируса - имеем лотерею. Есть хэш - детектирование будет.
Каспер не входит в первую 10? Ну в НОД я ещё поверю, но чтоб симантек с каспером не реагировали в первые часы быть такого не может. Учитывая что именно каспер удерживает пальму первенства уже много лет во всех возможных степенях защиты. Учитывая то что каспер частенько уделывает таких типа монстров как McAfee и BitDefender, пургу вы какую то гоните.
https://www.av-test.org/en/antivirus/home-windows/windows-7/
Тут с вам категорически не согласны.
Макафя монстр разве что в плане стоимости. Корпорации любят макафю либо из-за коррумпированности либо из-за малого кол-ва ложных детектов. На практике - даже отсылка инфицированного файла с вирусом неизвестным макафе в службу её поддержки не даёт положительного результата в течении МЕСЯЦЕВ. Поддержка просто как от назойливых мух от добровольных помощников отказывается. Уроды короче. И сама макафя, и руководители фирм её покупающих. Лет десять назад точно такая же история с трендмикро была, сейчас не знаю. Я к тому, что "избранность" стран подверженных атакам вируса определена скорее всего использованием таких недоантивирусников типа макафи в корпорациях.
Макафи давно уже прикуплен себе Интелем :) Одна шайка..
Дык я же написал Типа Монстров, сарказм однако )))
Много лет заминался ремонтом всякой разной компьютерной лабуды. Начиная простыми десктопами и заканчивая фаблетами. На антивирусах собаку в своё время съел. Так что с уверенностью могу сказать только одно. На сегодняшний день Касперский один из лучших. Хоть ты тресни а ничего с этим фактом сделать нельзя.
На практике, даже посылка *древнего* (!) вируса в службу поддержки касперского не гарантирует *надёжного* (в *долгосрочной перспективе) определения объекта.
На практике несколько раз посылал им подозрительные объекты и получал обнову с заплаткой в течении 6 часов. А про древние вирусы та ещё байка. Можете рассказать кому нибудь другому, может поверят.
Слышу привычную песню про «не верь глазам своим».
Можете не верить, разрешаю. И искренне желаю встретиться с описанным эпизодом. В полноценном ответственном режиме.
ЗЫ: Исправление в течение ≤ 6 часов не гарантирует работоспособности вне основной линии на интервале уже в месяцы.
Наблюдалось неоднократно, на примерах посерьёзнее антивируса касперского.
Каспер может входить куда угодно. Однако факт, который имею я, заключается в том, что сигнатуры вредоносных скриптов у Каспера появляются примерно в том же темпе, как и у штатного антивируса винды и в этом ощутимой разницы нет. Да, я проверяю только хэш и не знаю, определит ли каспер вирус эвристиками. Тем не менее, практика показывает, что на момент прихода заразы комп практически голый и беззащитен, какой бы антивирус у вас не стоял. Через час - да, уже хорошо. Но поздно.
Про симантек: еще как может.
Лично устранял последствия вирусной атаки в корпоративной сети, "защищенной" симантеком с актуальными антивирусными базами. При этом вылечил файлы бесплатной утилитой Cure-It от DrWeb.
Ситуация была анекдотичная (только анекдот был злой): когда симантеку выслали зараженный файл (один из штаммов Win32.Sality) и получили от разработчика обновления антивирусных баз, антивирус просто удалил зараженные файлы. У всех пользователей, у которых лечение было произведено симантеком, пришлось переустанавливать систему.
Справедливости ради: этот инцидент случился давно (лет 7 назад).
у нас волна криптеров давно выпрямила руки админам и Заставила думать Пользователей
> файлик программы может быть слегка закамуфлирован - изменено расширение типа файла
Что такое "расширение типа файла"?
да, разумеется - расширение имени файла.
это точно я например не знаю где этот биткойн брать) а 500 ойро платить это ваще из области фантастики снос оси на нойте делов то) ноут под инет, комп для работы и личных файлов.
Клоуны, спасибо пусть не России говорят, а тем кто разрешил использование финансовой инфраструктуры, обеспечивающей анонимность платежа.
Странно, что еще нет эпидемии угроз взорвать бомбу, если не будет сделан биткоин платеж такой-то суммы.
Всё ещё впереди.
Так было же вроде? В штатах, школу шантажировали, ЕМНИП. Директор плюнул и оплатил биткойнами.
Больницу, но не суть.
Я не об отсутствии прецедентов, а об отсутствии массовости. Видать, в среду негров и школоты эта идея обогащения еще не попала.
Раньше до биткойна собирали чеки манипак, до них переводы вестерн юнион на цыган из Румынии.
Есть биткойн или нет - для этой индустрии не так важно.
Твердый диск? :)
Да. Мягкий вирусы прогрызают.
По моему в США переиграли в MassEffect 2
«Цербер» (англ. Cerberus) — про-человеческая организация, появившаяся сразу после войны первого контакта. Во главу угла ставит возвышение и процветание людей. Официально «Цербер» считается незаконной экстремистской организацией, но неофициально Альянс Систем периодически сотрудничает с ним. Для достижения своих целей «Цербер» не гнушается негуманных и противозаконных методов.
Фигня- вирус этот активно и в рф распростаняется. Меня нескольк месяцев назад заваливали подозрительными письмами с требованием срочно оплатить задолженность, налоги или просто забрать некий товар по счету. Яндекс эти письма сначала пропускал, затем их стал блокировать фильтр.
Знакомый у меня так попал- но все обошлось очень легко, все важные файлы хранились и в облаке- поэтому оказалось достаточно просто откатить версию файла.
Бэкапы спасают. Контора как то схватила ваулт,. Востановили. Чаше бэкаптесь.
Это просто mass effect какой то)
С той же вероятностью это может быть целенаправленной подствой ЦРУ для создания образа врага из России, и одновременно кампанией по сбору средств для нужд ЦРУ же.
Винда маст дай. (должна умереть, англ.).
Мастдай - это Виндоус (жаргон айтишников)
Ну и как смерть "мастдая" спасет от шифрующих троянов? Я просто не совсем понимаю...
Троян только под винду, самозапуск софта возможен только там. В Linux на каждое действие нужно подтверждение, а часто и рутовый пароль который нужно вводить вручную.
расскажите это владельцам ведроидфонов. А то они не в курсе, что их линух так защищен, что не нужно было прошлым летом массово искать разблокировщики от тех самых ransomware.
А что рассказывать, если ниша та же (впарить компьютер тем, кому он не нужен, и кто не собирается обременять себя практикой адекватного использования устройства)?
Так что Вы не стесняйтесь и покажите такого «вируса» для фрюникса.
А то по моим наблюдениям, даже к типо кросс-платформенных приложениях (FF) на подобные проблемы (подмена домашней страницы) жалуются почему-то сплошняком пользователи самой распространённой ОС.
сами же себе и ответили. Когда (если) любой из фрюнихов займет долю хотя бы с ведроид - все будет. Народ так же не станет морочиться настройками безопасности, как не морочится сейчас под масдаем, поставит условную галочку "само вводи рутовый пароль" когда сотый раз при обновлении пакетов его попросят набрать абракадабру из 11 символов. Если такой галочки не найдет - полезет в интернет за пакетом, который ему эту галочку установит :)
вирусов под линуха нет не потому, что он такой уматный, надо будет - дыры найдутся, а потому, что их писать никому не уперлось. Трудозатраты, грубо говоря, те же, а выхлопа в сотни раз меньше. может и в тысячи, ибо средний хозяин пингвина, пока что, параноик в кубе в сравнении с виндоводом. Чистая экономика.
Как говорится, Маша это конечно Маша, но три раза есть три раза.
Чтобы при обновлении пакетов мог установиться троян или вирус, необходимо этот софт поместить в репозиторий и подписать. Попробуйте, если у Вас получится, расскажите как это удалось провернуть.
Кстати, некоторое время была замечательная история.
Причём не с какими-то «линупсами», а с Open (!!!) BSD.
Способ обнаружения — прекрасен (исполнителя загрызка ловесть).
Но тут начинать надо с предоставления *обеспеченных* гарантий принципиальной невозможности такого в проприетарщине. Думаю, стоит принести на АШ прекрасные откровения службы «поддержки», иллюстрирующие не только качество поддержки фрюниксов (вкупе с источником уязвимостей ведроида), но и потенциальный источник проблем пользователей самой распространённой ОС.
дурачка не включайте. Речь не о вирусах в репозитарии (win store, app store и т.д.), а о настройках безопасности. Типовая тетяКлава на домашнем компе сама все отключит. Или зятя заставит отключить, если не справится. Ну не хочет она предохраняться. Хочет ездить без ремня безопасности. Выйдите на улицу и посмотрите - сколько народу в машинах пристёгивается? С компами то же самое.
Стесняюсь спросить: «а зачем»?
зачем отключит?
любая система безопасности по своей сути это ограничение свободы. Прям щас не приведу пример. Но зачем-то ведь на андроидах рут разблокирует народ?
или про ремни был вопрос?
Достаточно, чтобы rpm или deb по почте пришёл. Или ссылка на них. При двойном щелчке предлагается установка.
Ещё лет десять назад такая фигня прилетала в спаме: Вам надо срочно установить обновления безопасности http://fedoraupdate.com
Кто-то возможно и установил.
1. У меня не предлагается. ЧЯДНТ?
2. Уже лотерея.
3. Ну и такие настройки — явная ересь! В направлении андроида с некоторым отставанием и теми же перспективами.
Банальная попытка эксплуатации вендовых стереотипов, пока Время совсем не ушло.
Хуже только результат отражения тенденции на квалификации разработчиков.
1. Может у тебя не Ubuntu и не Fedora
2. Разумеется. Распространение вируса всегда лотерея.
3. А без таких настроек как ты поставишь TeamViewer, Oracle, Skype, Wine@Etersoft, ... ? И тысячу других программ. которые майнтейнеры твоего дистрибутива не удосужились положить.
TeamViewer быдлокод в стиле самой распространённой ОС. Ненужно.
Клиент Оракла ставится штатным образом.
Сервер Оракла — привет инерции технологической традиции. Задача практически *не* решена.
Скайп ненужен, но возможность штатной установки есть.
Wine@Etersoft асилили *правильное* решение задачи интеграции условно-работоспособного ПО? Не верю.
Пока не поздно — избавляйтесь от стереотипов потреблядства.
> Клиент Оракла ставится штатным образом.
Неужто из репозитария дистрибутива? Я в интернете вижу только rpm и zip с бинариком. Кто из них "штатный"?
Skype для Debian предлагается в виде deb-пакета. И этот пакет нормально открывается (устанавливается).
Кстати, если в системе есть Wine, то половина виндовых вирусов и троянов замечательно работают. (а .exe замесательно открывается двойным щелчком что в GNOME, что в KDE).
Страницы