Важно Способы защиты от криптовымогателей на примере SysWatch

Тема в разделе "SafenSoft", создана пользователем SNS-amigo, 10 авг 2015.

Статус темы:
Закрыта.
  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Ссылка на источник информации >>>

    Криптовымогатель
    (вирус-шифровальщик, шифровальщик-вымогатель, англ. Crypto-Ransomware) является одним из видов вредоносного программного обеспечения, которое, захватив управление компьютером и зашифровав файлы пользователя, вымогает деньги у пострадавшего. Требование выкупа отображается, как правило, через обычный текстовый файл или html-файл (веб-страницу), открываемый в браузере. Этот тип вредоносных программ использует удивление, смущение или страх своих жертв, чтобы заставить их выплатить требуемый выкуп.

    История вымогательского ПО насчитывает, по крайней мере, десять лет, но за последние полгода оно кардинально эволюционировало и понеслось по нарастающей. См. ниже историческую схему, отражающую частоту появления вымогательского ПО за последние года.

    Основные способы распространения криптовымогателей:
    - загрузки файлов с помощью одноранговой P2P-сети;
    - вредоносные вложения в спам-фишинг-сообщения email;
    - троянские загрузчики и установщики (Trojan-Downloader, Backdoor, Trojan-Dropper);
    - взломанные с целью заражения и размещения эксплойтов сайты;
    - наборы эксплойтов, например, Angler, Blackhole, Nuclear, Magnitude, Flash 0-day и пр.;
    - загрузки файлов через инструменты удалённого управления;
    - поддельные дистрибутивы и обновления программного обеспечения.

    Принципиальные отличия от традиционных вредоносных программ:
    - использование сложных алгоритмов для шифрования (AES, RSA и др.);
    - проверка наличия в системе антивирусов и утилит выявления вредоносов;
    - добавление файлам специальных расширений или удаление имеющихся;
    - удаление всех теневых копий файлов и точек восстановления системы;
    - скрытие командного сервера в доменной зоне .onion (анонимная сеть Tor);
    - вымогание выкупа в биткоинах, инструкция их добывания и оплаты выкупа;
    - предложение расшифровки одного или нескольких зашифрованных файлов;
    - запуск функционала самозачистки после завершения шифрования файлов.

    После произошедшего шифрования файлов нет необходимости оставлять Crypto-Ransomware в системе и, если он сам себя не зачистил, то необходимо проверить систему антивирусным средством и удалить все найденные вирусы, чтобы шифрование не повторилось с новыми файлами.
     

    Вложения:

    lilia-5-0, Theriollaria и Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Как защититься от шифровальщиков на примере Troldesh

    Вредонос Troldesh, детектируемый Microsoft как Win32/Troldesh, известен с начала 2015 года, но пик распространения пришелся на июнь этого года. Причина всплеска популярности Troldesh среди хакеров может быть связана с ростом использования наборов эксплойтов Axpergle и Neclu, также известного как Nuclear.

    Описание вредоноса и его "деятельности" см. в теме в специальном разделе. А здесь мы остановимся на одном из эффективных методов защиты.

    [​IMG] Safe'n'Sec SysWatch — это проактивное средство защиты, относящееся к классу систем предотвращения вторжений - Host Intrusion Prevention System (HIPS).
    Поведенческий анализатор Safe'n'Sec контролирует поведение приложений в реальном времени и блокирует любые подозрительные действия, которые могут привести к неработоспособности системы или порче/потере конфиденциальной информации пользователя, обеспечивает защиту от различных видов вредоносного ПО, уязвимостей "нулевого дня" и других действий злоумышленников.
    Подробнее >>>

    Если пользователю нужен экстремальный серфинг, то я рекомендую использовать Особый или Усиленный режим защиты.
    [​IMG]

    Его опции можно использовать также частично.
    Например, для защиты от вредоносной активности при посещении скомпрометированных (инфицированных) страниц, достаточно будет запретить выполнение скриптов и модификацию исполняемых файлов PE.
    Если нужно защитить ПК от скачиваемых файлов браузерами и программами, так или иначе имитирующих работу браузеров, то достаточно будет нижней опции - "Запретить всем кроме инсталляторов модификацию исполняемых файлов PE", т.к. она не позволит скачаться никаким файлам.
     

    Вложения:

    • trol_001.png
      trol_001.png
      Размер файла:
      18,9 КБ
      Просмотров:
      9
    • trol_002.png
      trol_002.png
      Размер файла:
      15,3 КБ
      Просмотров:
      71
    lilia-5-0 и Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Как защититься от JavaScript-вымогателей на примере Ransom32

    Emsisoft зафиксировали появление нового семейства программ-вымогателей, получивших название Ransom32. Они шифруют файлы, воспользовавшись легитимными возможностями технологий JavaScript, WinRAR SFX и Bitcoin.

    Ключевой особенностью Ransom32 является модель распространения SaaS (Software as a service), а для получения доступа к админ-панели управления вредоносом и его генерации нужно всего лишь указать адрес своего кошелька Bitcoin.

    Метод распространения: классический способ — через вредоносные вложения в email-спам.
    Вредоносный файл размещается внутри письма, замаскированного под неоплаченный счёт, уведомление о доставке, и т.п. Когда жертва скачает и запустит такой файл, то он связывается с сервером управления и получает команду на загрузку вредоноса Ransom32. Загруженный файл представляет собой самораспаковывающийся SFX-архив, при автоматической распаковке извлекающий набор инструментов для шифрования.

    Вредонос использует скриптовый язык WinRAR для автоматической распаковки содержимого архива во временную директорию, затем запускает на исполнение файл chrome.exe.

    Описание содержимого архива
    Файлы из архива имеют следующее предназначение:
    - файл "chrome" содержит копию лицензионного соглашения GPL;
    - файл "chrome.exe" это приложение NW.js и код вредоноса, а также среда framework для его успешной работы;
    - файлы "ffmpegsumo.dll", "nw.pak", "icudtl.dat" и "locales" содержат данные, нужные NW.js для работы;
    - файл "rundll32.exe" это переименованная копия файла клиента Tor;
    - файл "s.exe" это переименованная копия файла набора Optimum X Shortcut, для создания и управления ярлыками на Рабочем столе и в меню Пуск;
    - файл "g" это конфигурационный файл управления вредоносом;
    - файл "msgbox.vbs" это небольшой скрипт для настройки popup-окна.
    - файл "u.vbs" это небольшой скрипт для зачистки всех файлов в рабочей директории вредоноса.

    Необходимо заметить, что NW.js (Node-WebKit) — это легитимный кроссплатформенный фреймворк, позволяющий создавать приложения с использованием популярных веб-технологий, как HTML, CSS и JavaScript. Платформа основана на Chromium и Node.js и работает в обход обычной песочницы JavaScript.

    Полное описание см. в теме Ransom32: Описание и вариации

    В продуктах SNS запуск и установка самовольно загруженных приложений невозможны. Любое новое приложение само не сможет запуститься. В случаях, когда есть подозрение на работу JavaScript-вредоносов рекомендуется использовать расширенные опции Особого или Усиленного режима. См., например, пост #17 данной темы и там опцию "Запретить выполнение скриптов", которую можно в любое время как включить, так и выключить.
    [​IMG]
    Опции Усиленного (Особого) режима включены и выделены мною зелёной рамкой.
    Опция запрета выполнения скриптов не помешает вам пользоваться форумом, где используются скрипты для различных задач.
    Рекомендую также изучить Алгоритм обработки неизвестного приложения.
     

    Вложения:

    • ransom32-1.png
      ransom32-1.png
      Размер файла:
      29,4 КБ
      Просмотров:
      12
    • ransom32-2.png
      ransom32-2.png
      Размер файла:
      119,3 КБ
      Просмотров:
      12
    • ransom32_3.png
      ransom32_3.png
      Размер файла:
      139,7 КБ
      Просмотров:
      12
    • ransom32_4.png
      ransom32_4.png
      Размер файла:
      193,4 КБ
      Просмотров:
      12
    lilia-5-0, -SEM-, Охотник и ещё 1-му нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Regsvr32.exe устанавливает криптовымогателей через JScript

    Как оказывается, команда для Windows Regsvr32.exe может использоваться для обхода ограничений AppLocker. Имеются ввиду XML-файлы, содержащие встроенные Jscript или VBScript сценарии, которые будут выполняться, когда Regsvr32 запускает скрипт. Это открывает кучу возможностей, которые злоумышленники могут использовать, пока имеют доступ к удаленному компьютеру. К сожалению, есть много способов для злоумышленников, чтобы получить доступ к компьютеру, например, через набор эксплойтов или уязвимость.

    Для справки 1
    Функция AppLocker была введена в Windows 7 и Windows Server 2008 R2 для того, чтобы дать администраторам возможность устанавливать правила, разрешать или запрещать запуск и работу приложений. Эти правила могут быть заданы для конкретных пользователей или групп пользователей и могут применяться для исполняемых файлов (.exe и .com), скриптов (.js, .ps1, .vbs, CMD и .bat), файлов установщика Windows (.msi и .msp) и DLL-файлов (.dll и .ocx).


    Для справки 2
    Regsvr32 — это служебная программа командной строки для регистрации и отмены регистрации элементов управления OLE, например ActiveX и библиотеки DLL в реестре Windows. Средство Regsvr32.exe устанавливается в папке %systemroot%\System32 в ОС Windows XP и более поздних версиях Windows.
    В 64-разрядных версиях Windows имеются две версии файла Regsv32.exe:
    64-разрядная версия — %systemroot%\System32\regsvr32.exe;
    32-разрядная версия — %systemroot%\SysWoW64\regsvr32.exe.


    Как известно из предыдущих публикаций, криптовымогатель Nemucod в значительной мере опирается на JavaScript, чтобы установить себя, потому Лоуренс решил проверить работу Regsvr32.exe по доставке вредоносных скриптов в систему, с целью беспрепятственного запуска вредоносных программ.

    Используя инструкции из статьи Смита, исследователь Лоуренс Адамс сделал специальный XML-файл, содержащий Javascript из инсталлятора Nemucod. Чтобы заставить его правильно работать с Regsvr32.exe, пришлось его немного изменить. Лоуренс пошел дальше и добавил еще небольшой скрипт, создающий пакетный файл в папке %Temp%, который выполняется с помощью сценария перед установкой криптовымогателя. Этот пакетный файл должен был завершить работу известных антивредоносных и антивирусных программ, чтобы они не смогли блокировать установку вымогателя.

    К сожалению, тест работал отлично. Regsvr32.exe был в состоянии выполнить свой скрипт, используя URL-адрес с тестового сервера Лоуренса. Этот сценарий завершил работу его антивирусного программного обеспечения и установил в систему криптовымогателя. Для того чтобы продемонстрировать этот тест, Лоуренс сделал видео, демонстрирующее, как использовался Regsvr32.exe для установки вымогателя Nemucod.




    Аналогично, как в посте выше, использовать опцию "Запретить выполнение скриптов", которую можно в любое время как включить, так и выключить.
     
    lilia-5-0, Охотник и orderman нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей