Вирусы-шифровщики впервые появились в 2004 году, они использовали достаточно простые методы шифрования, а порой шифрование попросту не было и злоумышленники, лишь только запугивали своих жертв, заставляя последних выплачивать им деньги.

 

Основное распространение получили так называемые вирусы вымогатели-шифровальщики под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”). На сегодняшний день большинство вирусов-шифровальщиков имеют алгоритм шифрования RSA1024 + AES256 и расшифровать их без закрытой части ключа, известной только злоумышленнику, невозможно.

Многие популярные антивирусные программы, к сожалению, пропускают данный вирус. Об этом свидетельствуют посетители форумов антивирусных компаний.

Проблема заключается в том, что когда компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусным компаниям необходимо время, чтобы начать распознавать новый тип вируса и, как правило, при условии, что тело вируса попало в антивирусную лабораторию для анализа и включения в базу.

 

Методы проникновения.

 

По наблюдениям, основным методом проникновения вируса-шифровщика на компьютер пользователя является электронная почта. Чаще всего это письма от Сбербанка, в котором банк сообщает либо о задолженности, либо о срочной проверке регистрационных данных после сбоя систем банка. В последние несколько недель основная масса писем содержит текст от арбитражного суда, судебных приставов, в котором сообщается о задолженности. Вне зависимости от содержаний писем они все имеют вложения вида: «акт.doc.....................exe», «Благодарственное письмо.hta», Документы.cab. Запуск программ во вложении запускает процесс шифрования.Реже случаются случаи проникновения шифровщика через файлы взломанных программ или самораспаковывающиеся архивы, скачанные из сети интернет.

 

После упаковки файлов вирус, как правило, выдает сообщение о шифровке файлов и рекомендациям по их дешифровки (имеется ввиду методы оплаты злоумышленнику). Так же может быть создан файл в корне диска С: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt или на рабочем столе может возникнуть картинка (пиратов, террористов) с сообщением о шифровке файлов.

 

Как уже указывалось выше, изначально появляется сам вирус, а лишь после он заносится в базу Антивируса Касперского и, естественно, за это время вирус успеет зашифровать файлы. Большинство вирусов-шифровщиков живут не более 5 дней, а в среднем 3 дня, где один-два дня дается ему на поиск жертв и один-два на внесение его в антивирусную базу, после чего злоумышленник меняет код вируса и запускает его новую модификацию.

 

Таким образом, мной была поставлена задача, а точнее главный вопрос – возможно ли предотвратить заражение (шифрование)? Сегодня все продукты ЛК для защиты станций оснащены механизмами эвристического и поведенческого анализа, а также используют облачные технологии, но заражения продолжаются, количество недовольных растет, а раздел «Борьба с вирусами» форума ЛК постепенно превращается в Борьбу с шифровщиками, но и борьбой это назвать нельзя, ведь пострадавший уже пострадал.

 

Система (стенд) тестирования

 

Виртуальная машина: VirtualBox

ОС: Windows XP SP3 \ Windows 7 prof SP 1 64-bit

 

Антивирусные продукты:

• Kaspersky EndPoint Security (KES) 8.1.0.1042 \ 8.1.0.831 с функциями контроля + KSN
  
• Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611
  
• Kaspersky Internet Security (KIS) 2014 \ 2013 + KSN
  

Базы сигнатур во всех антивирусных продуктах были устаревшими (от месяца и более)

 

Вирусы:

• Письмо с шифровщиком AUSI.COM_XQ103, AUSI.COM_XQ108
  
• Файлы в чистом виде шифровщиков группы NONPARTISAN
  
• Файл в чистом виде шифровщика KRAKEN
  
• Файлы неизвестного происхождения, переданные для анализа на форум ЛК
  

Приманка: Несколько стандартных картинок и документов на рабочем столе для шифровальщика.

 

После каждого теста виртуальная машина сбрасывается в заранее подготовленное базовое состояние

 

 

 

 

 

 

 

Запуск фалов группы Nonpartisan и Kraken моментально приводил в действие сервис KSN:

Рисунок 1"Блокировка запуска вируса средствами KSN"

 

Запуск файлов группы AUSI.COM_XQ (103,108)

Спасибо! Пользователю Nadin15682 за присланное письмо злоумышленников.

 

Предварительно загружен файл Документы.cab из письма злоумышленника и распакован в отдельную папку.

Рисунок 2"Письмо злоумышленников"

 

Запускаем файл Документы.exe - тишина несколько секунд и все картинки и документы на рабочем столе зашифрованы, а обои рабочего стола сменились на изображение «нигерийца с автоматом» и веселой просьбой денег.

Очень и очень плачевно, дальнейшие манипуляции с настройками не приводили к желаемому результату.

 

Таким образом, оставался единственный вариант – это манипуляции с «Контролем запуска программ». В отличие от предыдущей версий защиты корпоративного сегмента Kaspersky Endpoint Security позволяет тонко регулировать запуск программ в ручном режиме, но мы не знаем каким файлом окажется очередной вирус. Значит, в целях безопасности необходимо пойти на более жесткие меры, когда из двух зол выбирают наименьшее, то есть лучше заблокировать случайно чистый файл пользователя, нежели пропустить очередной шифратор. Рассмотрим простой вариант как это реализовать в рамках KES 8.

 

 

«Замкнутая программная среда»

 

Термин это достаточно не новый и в рамках нашего эксперимента наша замкнутая программная среда будет достаточно поверхностной и простой, поверьте бывают и более жесткие.

Если вы загляните в настройки «Контроля запуска программ», то вы обнаружите там одно правило «Разрешить все». Да, по умолчанию, настройки KES реализованы по принципу «не навреди пользователю». Жмем кнопку добавить и видим окно, создания правила контроля запуска программ. Разберем его.

Название правила: любо понятное вам, можете назвать «замкнутая среда»

Описание: если желаете, то можете дать описание вашему правилу

Поле включающие условия: это суть нашего правила. Здесь нажимаем кнопку добавить и выбираем «Условие(я) «KL-категория». Без подробного разбора всех категорий скажу только, что вам необходимо поставить все галочки КРОМЕ последних двух – это «другие программы» и «Некатегоризированные программы».

Далее «Пользователи и / или, группы получающие разрешение» указать ВСЕ

Жмем «ОК»

 

Рисунок 3"Правило замкнутой среды"

Далее, после создания правила необходимо сделать самое главное - Выключить правило «Разрешать все», а наше новое правило должно быть включено.

Рисунок 4"Создание среды"

 

Таким образом, данным правилом мы сначала запрещаем ВСЕ, а после разрешаем только то, что считается известным и доверенным по «KL-категории».

Попробуем запустить вирус из письма повторно.

 

Рисунок 5"Реакция нового правила на запуск шифратора"

 

Как говорится, комментарии излишни, результат достигнут.

Далее если будут возникать конфликты с данным правилом по отношению ко вполне легальным программам, то вы всегда сможете создать дополнительное правило с разрешениями или задать исключения.

PS: во время экспериментов с KES 8 были случаи, когда при базовых настройках он все-таки блокировал запуск шифратора, но скрещивать пальцы и надеется на авось это не наш метод. Лучше настраивать все так, чтобы быть уверенным.

PSS: Приведенные тесты и настройки, относящиеся к KES 8 , целиком и полностью соответствуют и KES 10 так же.

 

 

 

 

Да, да, всеми известный старичок, всеми признанный и надежный, прошедший все возможные испытания в корпоративном сегменте WKS 6.0.4 он же R2. Его поддержка вот-вот закончится, но тысячи компьютеров по все стране сегодня защищены именно им и я не мог обойти его стороной.

 

Установка по умолчанию, без предварительных настроек + проактивная защита

Учитывая всю старость данной версии, необходимо отметить, что единственный компонент, который может хоть как то бороться с новыми угрозами – Проактивная защита – полностью ОТКЛЮЧЕН в настройках по умолчанию. Да, да, это камень в огород тех, кто производит установку АВ продуктов без последующей настройки. Понимая, что шансов у данного продукта без проактивной защиты нет, мы сразу включаем оба его компонента - анализ активности и мониторинг реестра, но не настраиваем их.

 

Запуск шифровщика

 

Результат на лицо, а точнее на экран! Как видите ниже сообщение на экране от злоумышленников, файлы-картинки на рабочем столе зашифрованы.

 

Рисунок 6 "WKS 6.0.4 в базовых настройках пропустил шифровщик"

 

Настраиваем Проактивную защиту. Часть первая

 

Заходим в настройки проактивной защиты, включаем все компоненты и в каждом компоненте выставляем параметр действие – «Запросить действие». То есть если хоть один из компонентов сработает, то пользователю будет выдан запрос на действие, которое необходимо произвести с подозрительным файлом. Так же нам это поможет определить, который из компонентов «Анализа активности» сработает.

Рисунок 7 "Настройка проактивной защиты - анализ активности, часть 1"

 

Запуск шифровщика

Результат двойственный. Сразу после запуска вируса, проактивная защита выдала нам сообщение о подозрительном файле и запросе действия над ним. Пока я думал как ответить на запрос произошло шифрование.

 

Рисунок 8 "Антивирус среагировал, но процесс шифрования продолжился"

 

Итак, антивирус реагирует и, значит, у нас есть все шансы на победу. Я решил повторить предыдущий тест и, не дожидаясь процесса шифрования, постараться быстро ответить на запрос проактивной защиты – «Завершить». Результат был получен, все файлы живы, процесс полностью остановлен.

 

Настраиваем Проактивную защиту. Часть Вторая.

Итак, следующим этапом мы выстраиваем «Проактивную защиту – анализ активности» как и в первой части, но на этот раз действием при обнаружении мы выставляем - «Завершить процесс».

Результат был мгновенным.

 

Рисунок 9 "Процесс шифровальщика заблокирован Проактивной защитой - анализ активности"

 

Такой же отличный результат мы получаем, если в разделе действие «Анализа активности» выставить значение «Поместить на карантин» для тех компонентов, для которых это возможно. Файл-вирус отправляется на карантин.

 

Нам лишь остается выяснить более детально, который из компонентов «Проактивной защиты – анализ активности» срабатывает на шифровальщик. Это позволит нам не быть параноиками и отключить те компоненты, которые не участвуют в ловле данного вируса.

После ряда экспериментов выяснилось, что основными компонентами для защиты от вируса шифровальщика в «Анализе активности» являются три компонента:

• Активность, характерная для Троянских программ
  
• Скрытая установка драйвера
  
• Скрытый процесс
  

 

Рисунок 10 "Настройки блокировки вируса-шифровальщика"

 

Конечно, для всех компонентов лучше всего выставить действие – завершить процесс, либо поместить в карантин.

PS: В данном тесте нам удалось выстроить защиту шифровальщика, но необходимо помнить что в тесте участвовали лишь некоторые экземпляры шифровальщиков из множества, поэтому может быть стоит выстраивать Проактивную защиту более строго.

 

 

 

 

 

Ради спортивного интереса, а также из тех соображений, что ряд малых организаций использую в своей защите именно домашние продукты, я решил не обходить стороной KISы 13 и 14 версии.

 

С этими двумя товарищами история получилась совсем простая и результат просто отличный и это с настройками по умолчанию сразу после установки. В обеих версия вирус был обработан компонентом «Мониторинг активности». Далее история в картинках.

• KIS сразу сообщает о том, что найден PDM:Trojan.Win32.Generic
  
• После выдает запрос на лечение с перезагрузкой или без (без перезагрузки справился прекрасно и удалил вирус)
  
• Выполнил автоматически откат вредоносных действий
  

 

Рисунок 11 "KIS2013 в действии"

Рисунок 12 "KIS2014 в действии"

 

Так можно ли сегодня защититься от шифровальщиков? Наверно все-таки можно. И надеюсь мои старания не пройдут даром и, возможно, кому-то спасут информацию и сохранят денег или даже рабочее место. Спасибо за внимание друзья, будьте осторожны на просторах интернета и помните, что главный вирус это неграмотный пользователь – начните работу с них.

 

 

 

Наумов Кирилл,

форум ЛК: DWState,

anti-ransom@yandex.ru

 

 

 

 

В связи с систематическим просмотром данной статьи считаю необходимым добавить вариант защиты от шифровальщиков средствами Kaspersky Endpoint Security 10, предложенный специалистами Лаборатории Касперского 06.062014 г.:

 

 

 

PSSSSS: и в дополнение

 

Основные направления по предотвращению заражений шифровальщиков:

 

• Не оставлять своих персональных данных на открытых ресурсах:
  
• Не загружать ничего со случайных сайтов:
  
• Не проходить по ссылкам в спамовых письмах:
  
• Не открывать приложения в письмах, если есть хоть какие-то сомнения в надежности адресанта