Перейти к содержимому






Фотография

Вирусы-шифровальщики. Как защитить станцию продуктами Лаборатории Касперского

Написано DWState , в Борьба с вирусами 05 Сентябрь 2013 · 57 516 Просмотров

Шифровальщик вирус зашифровал файлы KES KIS WKS
Вирусы-шифровщики впервые появились в 2004 году, они использовали достаточно простые методы шифрования, а порой шифрование попросту не было и злоумышленники, лишь только запугивали своих жертв, заставляя последних выплачивать им деньги.

Основное распространение получили так называемые вирусы вымогатели-шифровальщики под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”). На сегодняшний день большинство вирусов-шифровальщиков имеют алгоритм шифрования RSA1024 + AES256 и расшифровать их без закрытой части ключа, известной только злоумышленнику, невозможно.
Многие популярные антивирусные программы, к сожалению, пропускают данный вирус. Об этом свидетельствуют посетители форумов антивирусных компаний.
Проблема заключается в том, что когда компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусным компаниям необходимо время, чтобы начать распознавать новый тип вируса и, как правило, при условии, что тело вируса попало в антивирусную лабораторию для анализа и включения в базу.

Методы проникновения.

По наблюдениям, основным методом проникновения вируса-шифровщика на компьютер пользователя является электронная почта. Чаще всего это письма от Сбербанка, в котором банк сообщает либо о задолженности, либо о срочной проверке регистрационных данных после сбоя систем банка. В последние несколько недель основная масса писем содержит текст от арбитражного суда, судебных приставов, в котором сообщается о задолженности. Вне зависимости от содержаний писем они все имеют вложения вида: «акт.doc.....................exe», «Благодарственное письмо.hta», Документы.cab. Запуск программ во вложении запускает процесс шифрования.Реже случаются случаи проникновения шифровщика через файлы взломанных программ или самораспаковывающиеся архивы, скачанные из сети интернет.

После упаковки файлов вирус, как правило, выдает сообщение о шифровке файлов и рекомендациям по их дешифровки (имеется ввиду методы оплаты злоумышленнику). Так же может быть создан файл в корне диска С: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt или на рабочем столе может возникнуть картинка (пиратов, террористов) с сообщением о шифровке файлов.

Как уже указывалось выше, изначально появляется сам вирус, а лишь после он заносится в базу Антивируса Касперского и, естественно, за это время вирус успеет зашифровать файлы. Большинство вирусов-шифровщиков живут не более 5 дней, а в среднем 3 дня, где один-два дня дается ему на поиск жертв и один-два на внесение его в антивирусную базу, после чего злоумышленник меняет код вируса и запускает его новую модификацию.

Таким образом, мной была поставлена задача, а точнее главный вопрос – возможно ли предотвратить заражение (шифрование)? Сегодня все продукты ЛК для защиты станций оснащены механизмами эвристического и поведенческого анализа, а также используют облачные технологии, но заражения продолжаются, количество недовольных растет, а раздел «Борьба с вирусами» форума ЛК постепенно превращается в Борьбу с шифровщиками, но и борьбой это назвать нельзя, ведь пострадавший уже пострадал.


Система (стенд) тестирования

Виртуальная машина: VirtualBox
ОС: Windows XP SP3 \ Windows 7 prof SP 1 64-bit

Антивирусные продукты:
  • Kaspersky EndPoint Security (KES) 8.1.0.1042 \ 8.1.0.831 с функциями контроля + KSN
  • Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611
  • Kaspersky Internet Security (KIS) 2014 \ 2013 + KSN
Базы сигнатур во всех антивирусных продуктах были устаревшими (от месяца и более)

Вирусы:
  • Письмо с шифровщиком AUSI.COM_XQ103, AUSI.COM_XQ108
  • Файлы в чистом виде шифровщиков группы NONPARTISAN
  • Файл в чистом виде шифровщика KRAKEN
  • Файлы неизвестного происхождения, переданные для анализа на форум ЛК
Приманка: Несколько стандартных картинок и документов на рабочем столе для шифровальщика.

После каждого теста виртуальная машина сбрасывается в заранее подготовленное базовое состояние



Сразу оговорюсь перед началом о том, что никакой разницы в битности и версии windows не наблюдалось. Шифровщики прекрасно чувствовали себя и шифровали файлы как в WIN XP так и WIN764-bit. В связи с этим я не буду отвлекаться на уточнение версии системы.



Kaspersky Endpoint Security (KES) 8.1.0.1042

Антивирусные базы: май 2013 г.


Установка по умолчанию, без предварительных настроек, KSN включен.


Запуск фалов группы Nonpartisan и Kraken моментально приводил в действие сервис KSN:
Прикрепленное изображение
Рисунок 1"Блокировка запуска вируса средствами KSN"

Запуск файлов группы AUSI.COM_XQ (103,108)
Спасибо! Пользователю Nadin15682 за присланное письмо злоумышленников.

Предварительно загружен файл Документы.cab из письма злоумышленника и распакован в отдельную папку.
Прикрепленное изображение
Рисунок 2"Письмо злоумышленников"

Запускаем файл Документы.exe - тишина несколько секунд и все картинки и документы на рабочем столе зашифрованы, а обои рабочего стола сменились на изображение «нигерийца с автоматом» и веселой просьбой денег.
Очень и очень плачевно, дальнейшие манипуляции с настройками не приводили к желаемому результату.

Таким образом, оставался единственный вариант – это манипуляции с «Контролем запуска программ». В отличие от предыдущей версий защиты корпоративного сегмента Kaspersky Endpoint Security позволяет тонко регулировать запуск программ в ручном режиме, но мы не знаем каким файлом окажется очередной вирус. Значит, в целях безопасности необходимо пойти на более жесткие меры, когда из двух зол выбирают наименьшее, то есть лучше заблокировать случайно чистый файл пользователя, нежели пропустить очередной шифратор. Рассмотрим простой вариант как это реализовать в рамках KES 8.



«Замкнутая программная среда»

Термин это достаточно не новый и в рамках нашего эксперимента наша замкнутая программная среда будет достаточно поверхностной и простой, поверьте бывают и более жесткие.
Если вы загляните в настройки «Контроля запуска программ», то вы обнаружите там одно правило «Разрешить все». Да, по умолчанию, настройки KES реализованы по принципу «не навреди пользователю». Жмем кнопку добавить и видим окно, создания правила контроля запуска программ. Разберем его.
Название правила: любо понятное вам, можете назвать «замкнутая среда»
Описание: если желаете, то можете дать описание вашему правилу
Поле включающие условия: это суть нашего правила. Здесь нажимаем кнопку добавить и выбираем «Условие(я) «KL-категория». Без подробного разбора всех категорий скажу только, что вам необходимо поставить все галочки КРОМЕ последних двух – это «другие программы» и «Некатегоризированные программы».
Далее «Пользователи и / или, группы получающие разрешение» указать ВСЕ
Жмем «ОК»


Прикрепленное изображение
Рисунок 3"Правило замкнутой среды"
Далее, после создания правила необходимо сделать самое главное - Выключить правило «Разрешать все», а наше новое правило должно быть включено.
Прикрепленное изображение
Рисунок 4"Создание среды"

Таким образом, данным правилом мы сначала запрещаем ВСЕ, а после разрешаем только то, что считается известным и доверенным по «KL-категории».
Попробуем запустить вирус из письма повторно.


Прикрепленное изображение
Рисунок 5"Реакция нового правила на запуск шифратора"

Как говорится, комментарии излишни, результат достигнут.
Далее если будут возникать конфликты с данным правилом по отношению ко вполне легальным программам, то вы всегда сможете создать дополнительное правило с разрешениями или задать исключения.
PS: во время экспериментов с KES 8 были случаи, когда при базовых настройках он все-таки блокировал запуск шифратора, но скрещивать пальцы и надеется на авось это не наш метод. Лучше настраивать все так, чтобы быть уверенным.
PSS: Приведенные тесты и настройки, относящиеся к KES 8 , целиком и полностью соответствуют и KES 10 так же.





Kaspersky Antivirus for Workstation (WKS) 6.0.4.1611
антивирусные базы: март 2012 г.

Да, да, всеми известный старичок, всеми признанный и надежный, прошедший все возможные испытания в корпоративном сегменте WKS 6.0.4 он же R2. Его поддержка вот-вот закончится, но тысячи компьютеров по все стране сегодня защищены именно им и я не мог обойти его стороной.

Установка по умолчанию, без предварительных настроек + проактивная защита
Учитывая всю старость данной версии, необходимо отметить, что единственный компонент, который может хоть как то бороться с новыми угрозами – Проактивная защита – полностью ОТКЛЮЧЕН в настройках по умолчанию. Да, да, это камень в огород тех, кто производит установку АВ продуктов без последующей настройки. Понимая, что шансов у данного продукта без проактивной защиты нет, мы сразу включаем оба его компонента - анализ активности и мониторинг реестра, но не настраиваем их.

Запуск шифровщика

Результат на лицо, а точнее на экран! Как видите ниже сообщение на экране от злоумышленников, файлы-картинки на рабочем столе зашифрованы.


Прикрепленное изображение
Рисунок 6 "WKS 6.0.4 в базовых настройках пропустил шифровщик"

Настраиваем Проактивную защиту. Часть первая

Заходим в настройки проактивной защиты, включаем все компоненты и в каждом компоненте выставляем параметр действие – «Запросить действие». То есть если хоть один из компонентов сработает, то пользователю будет выдан запрос на действие, которое необходимо произвести с подозрительным файлом. Так же нам это поможет определить, который из компонентов «Анализа активности» сработает.
Прикрепленное изображение
Рисунок 7 "Настройка проактивной защиты - анализ активности, часть 1"

Запуск шифровщика
Результат двойственный. Сразу после запуска вируса, проактивная защита выдала нам сообщение о подозрительном файле и запросе действия над ним. Пока я думал как ответить на запрос произошло шифрование.


Прикрепленное изображение
Рисунок 8 "Антивирус среагировал, но процесс шифрования продолжился"

Итак, антивирус реагирует и, значит, у нас есть все шансы на победу. Я решил повторить предыдущий тест и, не дожидаясь процесса шифрования, постараться быстро ответить на запрос проактивной защиты – «Завершить». Результат был получен, все файлы живы, процесс полностью остановлен.

Настраиваем Проактивную защиту. Часть Вторая.
Итак, следующим этапом мы выстраиваем «Проактивную защиту – анализ активности» как и в первой части, но на этот раз действием при обнаружении мы выставляем - «Завершить процесс».
Результат был мгновенным.


Прикрепленное изображение
Рисунок 9 "Процесс шифровальщика заблокирован Проактивной защитой - анализ активности"

Такой же отличный результат мы получаем, если в разделе действие «Анализа активности» выставить значение «Поместить на карантин» для тех компонентов, для которых это возможно. Файл-вирус отправляется на карантин.

Нам лишь остается выяснить более детально, который из компонентов «Проактивной защиты – анализ активности» срабатывает на шифровальщик. Это позволит нам не быть параноиками и отключить те компоненты, которые не участвуют в ловле данного вируса.
После ряда экспериментов выяснилось, что основными компонентами для защиты от вируса шифровальщика в «Анализе активности» являются три компонента:

  • Активность, характерная для Троянских программ
  • Скрытая установка драйвера
  • Скрытый процесс

Прикрепленное изображение
Рисунок 10 "Настройки блокировки вируса-шифровальщика"

Конечно, для всех компонентов лучше всего выставить действие – завершить процесс, либо поместить в карантин.
PS: В данном тесте нам удалось выстроить защиту шифровальщика, но необходимо помнить что в тесте участвовали лишь некоторые экземпляры шифровальщиков из множества, поэтому может быть стоит выстраивать Проактивную защиту более строго.


Kaspersky Internet Security 2013 и 2014
Дата выпуска баз: 15.10.2012 и 11.08.2013 соответственно





Ради спортивного интереса, а также из тех соображений, что ряд малых организаций использую в своей защите именно домашние продукты, я решил не обходить стороной KISы 13 и 14 версии.

С этими двумя товарищами история получилась совсем простая и результат просто отличный и это с настройками по умолчанию сразу после установки. В обеих версия вирус был обработан компонентом «Мониторинг активности». Далее история в картинках.
  • KIS сразу сообщает о том, что найден PDM:Trojan.Win32.Generic
  • После выдает запрос на лечение с перезагрузкой или без (без перезагрузки справился прекрасно и удалил вирус)
  • Выполнил автоматически откат вредоносных действий

Прикрепленное изображение
Рисунок 11 "KIS2013 в действии"
Прикрепленное изображение
Рисунок 12 "KIS2014 в действии"

Так можно ли сегодня защититься от шифровальщиков? Наверно все-таки можно. И надеюсь мои старания не пройдут даром и, возможно, кому-то спасут информацию и сохранят денег или даже рабочее место. Спасибо за внимание друзья, будьте осторожны на просторах интернета и помните, что главный вирус это неграмотный пользователь – начните работу с них.



Наумов Кирилл,
форум ЛК: DWState,
anti-ransom@yandex.ru




____________ДОБАВЛЕНО____________


В связи с систематическим просмотром данной статьи считаю необходимым добавить вариант защиты от шифровальщиков средствами Kaspersky Endpoint Security 10, предложенный специалистами Лаборатории Касперского 06.062014 г.:

Защита от программ-шифровальщиков в Kaspersky Endpoint Security 10 для Windows Workstations



PSSSSS: и в дополнение

Основные направления по предотвращению заражений шифровальщиков:


1. Провести по работу по информированию пользователей организации(й).
Разъяснение и обучение пользователей по вопросам безопасности при работе в сети интернет и интернет-почте. Здесь основные направления должны быть по следующим вопросам:

  • Не оставлять своих персональных данных на открытых ресурсах:
  • Не загружать ничего со случайных сайтов:
  • Не проходить по ссылкам в спамовых письмах:
  • Не открывать приложения в письмах, если есть хоть какие-то сомнения в надежности адресанта

2. Создавать резервные копии наиболее важных данных.
Использование внешних накопителей и облачных хранилищ, создание резервных файловых серверов, отключенных от локальных сетей.

3. Есть предположение, что некоторые из модификаций данного вируса используют встроенную в систему Windows службу Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в ОС Windows, начиная с Windows 2000. Имеет смысл попробовать отключить данную службу, может это остановит хотя бы некоторые из модификаций данного вируса.

4. Использовать Linux\Unix системы для хранения данных или как вторичные(резервные) файловые сервера. Вирусов-Шифровщиков для данных систем пока замечено не было.

5. Пользоваться Антивирусными программами и своевременно и регулярно производить обновление программного обеспечения. Использовать тонкие настройки антивирусных продуктов.

  • Спасибо x 3
  • Показать


  • 1



Февраль 2018

П В С Ч П С В
   1234
567891011
12131415161718
1920212223 24 25
262728    

Последние посетители

  • Фотография
    dunaj78@yandex.ru
    09 нояб. 2017 - 15:37
  • Фотография
    kosmos011
    05 окт. 2017 - 12:26
  • Фотография
    alexacom
    22 июля 2017 - 04:57
  • Фотография
    andrew75
    31 мая 2017 - 19:26
  • Фотография
    alexism99
    19 апр. 2017 - 17:04
  • Фотография
    Serafima
    23 марта 2017 - 09:54
  • Фотография
    NickM
    05 марта 2017 - 10:02
  • Фотография
    Nsol
    27 февр. 2017 - 10:24
  • Фотография
    nickpanoff
    24 февр. 2017 - 16:24
  • Фотография
    varvar_im
    13 февр. 2017 - 17:04
  • Фотография
    Pletz
    13 февр. 2017 - 11:26
  • Фотография
    netkrol
    29 янв. 2017 - 16:25
  • Фотография
    GregoryFox
    13 дек. 2016 - 16:11
  • Фотография
    Gluer
    12 дек. 2016 - 15:36
  • Фотография
    VasNas
    12 дек. 2016 - 05:28
  • Фотография
    Alexey Chudenkov
    11 дек. 2016 - 17:57
  • Фотография
    lev4ik
    05 дек. 2016 - 07:53
  • Фотография
    Slider82
    07 нояб. 2016 - 23:37
  • Фотография
    www2.1
    06 нояб. 2016 - 22:12
  • Фотография
    Алексей8309
    25 окт. 2016 - 09:54
  • Фотография
    maybach777
    13 окт. 2016 - 12:25
  • Фотография
    CNTUS
    04 окт. 2016 - 14:42
  • Фотография
    Elochii
    28 сент. 2016 - 12:28
  • Фотография
    gamernet
    26 сент. 2016 - 14:06
  • Фотография
    taurus-xx
    24 сент. 2016 - 09:44
  • Фотография
    Gudvin13
    08 сент. 2016 - 04:45
  • Фотография
    Zer9
    05 сент. 2016 - 14:20
  • Фотография
    Александр Любимов
    27 авг. 2016 - 16:20
  • Фотография
    Torch Light
    25 авг. 2016 - 11:09
  • Фотография
    debrikad
    03 авг. 2016 - 09:51
  • Фотография
    Борис Мячиков
    18 июля 2016 - 12:30
  • Фотография
    Sevet
    28 июня 2016 - 06:09
  • Фотография
    Konstatntin
    22 июня 2016 - 11:04
  • Фотография
    Ганс
    17 июня 2016 - 19:13
  • Фотография
    Архара
    16 июня 2016 - 10:31
  • Фотография
    RikkaRain
    15 июня 2016 - 12:21
  • Фотография
    Flassher
    04 июня 2016 - 21:34
  • Фотография
    MrYustas
    23 мая 2016 - 15:33
  • Фотография
    M1rr
    11 мая 2016 - 10:41
  • Фотография
    87mig
    24 апр. 2016 - 21:38
  • Фотография
    Михаил Я
    22 апр. 2016 - 18:53
  • Фотография
    *Egor*
    20 апр. 2016 - 12:26
  • Фотография
    alexzwer
    15 апр. 2016 - 22:06
  • Фотография
    Nikola-krug
    21 марта 2016 - 16:32
  • Фотография
    Kirik_
    26 февр. 2016 - 01:38
  • Фотография
    Дима Прыступа
    26 янв. 2016 - 12:53
  • Фотография
    b7music
    22 янв. 2016 - 08:43
  • Фотография
    PAvelK
    15 дек. 2015 - 10:59
  • Фотография
    pavel_1984
    09 дек. 2015 - 20:44
  • Фотография
    bmg2408
    07 дек. 2015 - 22:49