Готовимся к нашествию "криптолокеров"

Готовимся к нашествию "криптолокеров"
Вирусы-шифровальщики обещают стать главной проблемой года. Об этом предупреждают и в открытого бета-тестированияи может удалить не только на программу-вымогатели (заявлена поддержка CryptoLocker, CryptoWall , CTBLocker), но, и например, Skype. Решение этой проблемы предложил пользователь ViP с ресурса Bitdefender Anti-Ransomware.


Обновляйте ПО

«Криптолокеры» приходят не только в письмах, но и посредством эксплойт-китов «drive by download», например, загружая вредоносный код через рекламные баннеры на Flash. Эта тенденция очень быстро набирает обороты, а значит надо устранять уязвимости с помощью обновлений.

Посмотрим на статистику Microsoft.



Почти половина шифровальщиков относятся к семейству Crowti, так в Microsoftназывают Cryptowall. Это наиболее рентабельный локер: согласно отчету отраслевого союза Cyber Threat Alliance (CTA), одна только версия Cryptowall 3.0 уже обошлось жертвам заражения в 325 млн. долл.

Шифровальщик Cryptowall (aka Crowti) для своей загрузки арендует эксплойт-киты Angler, Neutrino и Nuclear. Наборы эксплойтов нацелены на уязвимости в браузерах, Java, PDF, но самые распространённые уязвимости, применяемые в «китах», находятся во Flash.

Две единственные не-Flash уязвимости, которые используются в наборе Angler, это «дырки» в Microsoft Silverlight flaw (CVE-2015-1671) и в Microsoft Internet Explorer (CVE-2015-2419).


Уязвимости Angler:

CVE-2015-0310 (уязвимость Flash)
CVE-2015-0311 (уязвимость Flash)
CVE-2015-0313 (уязвимость Flash)
CVE-2015-0336 (уязвимость Flash)
CVE-2015-0359 (уязвимостьFlash)
CVE-2015-1671 (уязвимостьв Microsoft Silverlight flaw)
CVE-2015-2419 (уязвимостьвMicrosoft Internet Explorer)
CVE-2015-3090 (уязвимость Flash)
CVE-2015-3104 (уязвимость Flash)
CVE-2015-3105 (уязвимость Flash)
CVE-2015-3113 (уязвимость Flash)
CVE-2015-5119 (уязвимость Flash)
CVE-2015-5122 (уязвимость Flash)
CVE-2015-5560 (уязвимость Flash)
CVE-2015-7645 (уязвимость Flash)
CVE-2015-8651 (уязвимость Flash)

Некоторыепопулярныенаборыэксплойтов, такиекак Nuclear, Teslacrypt и Sweet Orange, содержат достаточнодревниеуязвимостиJava, Silverlight, Windows иAdobe PDF, поэтомупроверятьактуальностьверсийследуетнетольковслучаесFlash.

Как определить, что пора обновляться? Для контроля браузерных и системных обновлений хорошо подходят сканеры Qualys BrowserCheck (в виде плагина) и Flexera Software Personal Software (экс Secunia).



Можно ли расшифровать

При отсутствии каких-либо резервных (или теневых) копий, вероятность восстановить файлы, зашифрованные современной программой-вымогателем, стремится к нулю. Тем не менее, специалисты крупных антивирусных компаний по мере возможности помогают в расшифровке файлов. В частности, осенью 2015 года «Лаборатория Касперского» и голландской полиции удалось извлечь все ключи дешифровки для файлов, пораженных вымогателем CoinVault, а полиция арестовала подозреваемых. На странице www.noransom.kaspersky.com выложены 14 031 ключ для программ CoinVault и Bitcryptor.

Полезные ссылки:
http://forum.drweb.com/index.php?showtopic=320701
http://forum.esetnod32.ru/forum35/topic11845/?PAGEN_1=10
http://www.trendmicro.com/vinfo/us/security/definition/Ransomware
https://www.microsoft.com/security/portal/mmpc/shared/Ransomware.aspx
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.
article-title

Headlight Security

Блог компании HeadLight Security.