Škodlivý software je název pro všechny softwarové produkty, o nichž je známo, že poškozují koncového uživatele.
Kyberzločinci stále přicházejí s novými a chytrými způsoby distribuce malwaru, z nichž většina je určena pro operační systém Android. V tomto případě může být virus „vyzvednut“ nejen na nějaké pochybné stránce, ale také obdržením zprávy s odkazem od osoby, kterou znáte (přítel, příbuzný, kolega).
Jedna z úprav škodlivého softwaru pro smartphony a tablety založená na operačním systému Android, jakmile narazí na vaše mobilní zařízení, nejprve odešle odkaz s přátelskou zprávou „Podívejte se na odkaz!“ nebo „Moje fotografie pro vás“ pro celý seznam kontaktů. Každý, kdo následuje odkaz, obdrží virus na svůj smartphone.
Ale častěji než zločinci vydávají trojské koně za užitečné aplikace.
Jaká je hrozba viru?
Výsledný trojský kůň může nejen posílat SMS vašim přátelům, ale také vyprázdnit váš účet. Bankovní trojské koně patří mezi nejnebezpečnější. Trpět tím mohou všichni majitelé gadgetů, kteří používají bankovní aplikace. Uživatelé Android smartphonů jsou nejvíce ohroženi - 98% trojských koní mobilního bankovnictví je navrženo pro tento operační systém.
Při spuštění bankovní aplikace zobrazuje trojský kůň své vlastní rozhraní přes rozhraní skutečné mobilní banky. A tak krade všechna data, která uživatel zadá. Nejpokročilejší malware může pokazit rozhraní desítek různých mobilních bank, platebních systémů a dokonce i systémů pro zasílání zpráv.
Dalším důležitým krokem při krádeži peněz je odposlech SMS jednorázovými hesly pro provádění plateb a převodů. Trojské koně proto obvykle potřebují přístupová práva k SMS, a proto byste měli být obzvláště opatrní při aplikacích, které tato práva vyžadují.
Znamená, že je váš telefon infikován
Existuje několik příznaků, že je váš telefon napaden malwarem:
- Skryté odesílání SMS do seznamu kontaktů - začnou vás kontaktovat přátelé, známí a kolegové, kteří obdrželi pochybné zprávy;
- Rychlé utrácení finančních prostředků - prostředky z osobního účtu jsou odečteny rychleji než obvykle;
- Neoprávněné debety z bankovní karty;
- Absence SMS od banky - když je připojena služba „SMS-informování“, již nebudete dostávat SMS upozornění o výběru prostředků z účtu;
- Baterie se vybíjí rychleji.
Jak se chráníš?
- Pravidelně sledujte vydání aktualizací zabezpečení pro operační systém vašeho mobilního zařízení a nainstalujte je včas;
- Nainstalujte antivirový software na svůj smartphone, tablet, po instalaci jej aktualizujte a zkontrolujte své mobilní zařízení;
- Používejte online antivirový software a pravidelně jej aktualizujte;
- Stahujte a spouštějte aplikace pouze z oficiálních obchodů - Play Store, App Store, Google Play atd.;
- Při udělování práv k aplikacím buďte opatrní - programy, které žádají o přístupová práva ke zpracování SMS zpráv, si zaslouží obzvláště podezřelý přístup;
- Přemýšlejte, než kliknete na odkaz. Neztrácejte ostražitost, neotevírejte odkazy z dopisů nebo SMS, ani zprávy na sociálních sítích, pokud si nejste jisti, že zpráva přišla od známého adresáta a je bezpečná;
- Pokud jste obdrželi podezřelou SMS s odkazem od svého přítele, zavolejte mu a zjistěte, zda zprávu poslal. Pokud ne, varujte, že jeho smartphone nebo tablet je napaden virem;
- Buďte opatrní ve veřejných sítích Wi-Fi a při připojování k síti se ujistěte, že je to legitimní;
- Používejte složitá hesla;
- V nabídce „Nastavení“ klikněte na „Využití dat“, v části „Bezdrátová připojení a sítě“ můžete vidět, kolik dat jednotlivé aplikace používají, a nastavit limit pro práci s daty;
- Aktivujte „informování prostřednictvím SMS“ o odepsání prostředků z účtu - ne všichni trojští koně zachytí SMS.
Co dělat v případě krádeže peněz?
První věcí je co nejdříve kontaktovat banku.
Ředitel public relations společnosti MegaFon, Petr Lidov, řekl společnosti Kommersant, že hlavní kancelář společnosti byla napadena hackery. "Počítače selhaly - objevila se na nich zamykací obrazovka, kde žádali o odemčení 300 $," řekl. Pak přišla informace, že totéž se stalo s předplatiteli Telefonica a Vodafone ve Španělsku.
Podle Petra Lidova museli specialisté v určité fázi sítě vypnout, aby se virus dále nešířil. "Bylo zasaženo několik regionů, zbytek musel být dočasně preventivně vypnut." To ovlivnilo podporu maloobchodu a zákazníků, protože operátoři přirozeně používají k přístupu do svých databází počítač. Call centra byla opravena. To neovlivnilo komunikaci a osobní účty, “uvedl pan Lidov.
Jak řekl výzkumníkovi společnosti Digital Security Boris Ryutin společnosti Kommersant, odborníci MalwareHunterTeam a další nezávislí vědci se shodují, že se jedná o malware typu ransomware, tj. Virus ransomware. „Nebezpečí infekce spočívá v tom, že v závislosti na implementaci mohou být soubory uživatele nenávratně ztraceny,“ uvedl.
„Vidíme útok a virus je velmi složitý," sdělil Solar Security společnosti Kommersant. „V současné době vyvíjíme doporučení týkající se protiopatření." "Virus je velmi složitý a zatím nelze vyloučit, že jde o něco nebezpečnějšího než jednoduchý ransomware." Již nyní je zřejmé, že rychlost jeho distribuce je bezprecedentně vysoká, “dodala společnost.
Mluvčí Microsoftu Kristina Davydova řekla Kommersantu, že specialisté přidali detekci a ochranu před novým škodlivým programem známým jako Ransom: Win32.WannaCrypt. „V březnu jsme také představili další ochranu proti tomuto druhu malwaru spolu s aktualizací zabezpečení, která brání šíření malwaru po síti,“ uvedla.
Najednou se na obrazovce počítače se systémem Windows objeví okno s informacemi, že uživatelské soubory jsou šifrovány a lze je dešifrovat pouze zaplacením výkupného ve výši 300 $ hackerům. To musí být provedeno do tří dnů, jinak se cena zdvojnásobí a poté týden budou data trvale smazána. Fyzicky spíše zůstanou na disku, ale dešifrovat je nemožné. K prokázání, že data lze skutečně dešifrovat, se doporučuje použít „bezplatnou demo verzi“.
Příklad zprávy o napadeném počítači
Co je šifrování
Ve svém počítači můžete zašifrovat libovolná data. Jelikož se jedná o všechny soubory, tedy sekvence nul a jedniček, můžete psát stejné nuly a jedničky v jiné posloupnosti. Například pokud souhlasíme s tím, že namísto každé sekvence „11001100“ napíšeme „00001111“, poté, co v šifrovaném souboru uvidíme „00001111“, budeme vědět, že ve skutečnosti je to „11001100“, a budeme moci data snadno dešifrovat. Informace o tom, co se mění, se nazývá šifrovací klíč a v tomto případě, bohužel, mají klíč pouze hackeři. U každé oběti je to individuální a odesílá se až po zaplacení „služeb“.
Mohou být hackeři chyceni
V tomto případě musí být výkupné zaplaceno pomocí bitcoinů - elektronické kryptoměny. Podstata používání bitcoinů ve zkratce spočívá v tom, že údaje o platbách jsou přenášeny prostřednictvím řetězce serverů takovým způsobem, že každý zprostředkující server neví, kdo je původním odesílatelem a příjemcem platby. Konečně je tedy konečný „příjemce“ vždy zcela anonymní a zadruhé, převod peněz nelze napadnout ani zrušit, to znamená, že hacker, který obdrží výkupné, nic neriskuje. Schopnost rychle a beztrestně přijímat velké částky peněz motivuje hackery hledat nové způsoby hackování.
Jak se chránit před hackerstvím
Obecně platí, že ransomware existuje už deset let - zpravidla to byli trojští koně. To znamená, že program ransomware byl nainstalován z vlastní hlouposti samotným uživatelem, například pod rouškou „prasknutí“ hacknutí drahé kancelářské sady nebo sady nových úrovní pro populární hru staženou odnikud. Základní počítačová hygiena chrání před takovými trojskými koňmi.
Nyní však hovoříme o virovém útoku (virus Wanna Decrypt0r 2.0), který využívá chyby zabezpečení v operačních systémech Windows a protokolech pro přenos souborů (SMB), díky nimž jsou infikovány všechny počítače v místní síti. Antiviry mlčí, jejich vývojáři zatím nevědí, co mají dělat, a pouze studují situaci. Jediným způsobem, jak se chránit, je pravidelné zálohování důležitých souborů a jejich ukládání na externí pevné disky odpojené od sítě. Můžete také použít méně zranitelné operační systémy - Linux nebo Mac OS.
"Dnes naši specialisté přidali aktualizaci - detekci a ochranu před novým malwarem známým jako Ransom: Win32.WannaCrypt." V březnu jsme také přidali aktualizaci zabezpečení, která poskytuje další ochranu před potenciálním útokem. Uživatelé našeho bezplatného antiviru a aktualizovaného systému Windows jsou chráněni. Spolupracujeme s uživateli na poskytnutí další pomoci. “
Christina Davydova
tiskový tajemník pro Microsoft Rusko
Jak ukládat soubory
Pokud jsou soubory již zašifrovány a neexistuje žádná záloha, pak bohužel budete muset zaplatit. Neexistuje však žádná záruka, že je hackeři znovu nezašifrují.
Hacky nepovedou k žádným globálním kataklyzmům: bez místních účetních aktů nebo zpráv je to samozřejmě těžké, ale vlaky jezdí a síť MegaFon funguje bez poruch - nikdo nedůvěřuje důležitým datům na běžných kancelářských počítačích se systémem Windows a ani na serverech mít vícestupňovou ochranu proti hackerům (až po hardware na úrovni routeru) nebo zcela izolován od internetu a místních sítí, ke kterým jsou připojeny počítače zaměstnanců. Mimochodem, jen v případě kybernetických útoků jsou důležitá data vládních agentur uložena na serverech běžících na speciálních kryptograficky odolných sestavách Linuxu, které mají příslušnou certifikaci, a ministerstvo vnitra tyto servery provozuje také na ruských procesorech Elbrus, pro jejichž architekturu kyberzločinci rozhodně nemají kompilovaný virový kód ...
Co se stane příště
Čím více lidí virus zasáhne, tím paradoxně to bude lepší: bude to dobrá lekce v oblasti kybernetické bezpečnosti a připomene vám nutnost neustálého zálohování dat. Koneckonců, mohou být nejen zničeni hackery (dalších 1000 a 1 způsob), ale také ztraceni s fyzickou ztrátou nosiče, na kterém byli uloženi, a pak bude na vině sám. Budete rádi, že za práci celého svého života zaplatíte 300 i 600 dolarů, ať už nikdo nebude!
Kromě telekomunikačních společností se oběťmi hackerských útoků podle zdrojů z RBC i Gazeta.Ru a Mediazona staly ruské mocenské útvary - ministerstvo vnitra a vyšetřovací výbor.
Účastník rozhovoru RBC ministerstvo vnitra hovořil o útoku na vnitřní sítě oddělení. Podle něj byly napadeny hlavně regionální útvary ministerstva. Upřesnil, že viry infikovaly počítače v nejméně třech regionech evropské části Ruska. Zdroj dodal, že tento útok by se neměl promítnout do práce ministerstva vnitra. Další partner RBC na ministerstvu uvedl, že hackeři mohou získat přístup k základnám ministerstva vnitra, ale není známo, zda se jim odtud podařilo stáhnout informace. Útok na ministerstvo vnitra zasáhl pouze ty počítače, na kterých nebyl operační systém dlouho aktualizován, uvedl zdroj. Hackeři paralyzují práci ministerstva, ale je to velmi obtížné.
V Německohackeři poskytují služby společnosti Deutsche Bahn, která je hlavním železničním operátorem v zemi. Oznámil to televizní kanál ZDF s odkazem na ministerstvo vnitra země.
Americké ministerstvo pro vnitřní bezpečnost spolupracuje s technickou podporou a pomocí v boji proti ransomwaru WannaCry.
Jaký druh viru?
Podle příspěvku Kaspersky Lab Dotyčný virus je šifrovací program WannaCry. „Jak analýza ukázala, k útoku došlo prostřednictvím známé chyby zabezpečení sítě Microsoft Security Bulletin MS17-010. Poté byl na infikovaný systém nainstalován rootkit, pomocí kterého počítačoví zločinci spustili šifrovací program, “uvedla společnost.
"Všechna řešení společnosti Kaspersky Lab detekují tento rootkit jako MEM: Trojan.Win64.EquationDrug.gen." Naše řešení také detekují ransomwarové programy, které byly použity při tomto útoku, s následujícími verdikty: Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM: Trojan.Win32.Generic (pro detekci tohoto malwaru komponenta System Watcher musí být povolen), “uvedla společnost.
Aby se snížilo riziko infekce, odborníci společnosti Kaspersky Lab doporučují uživatelům instalovat oficiální opravu Microsoftu, která uzavírá zranitelnost použitou při útoku, a aby těmto incidentům předcházely, využívají služby upozornění na hrozby k včasnému přijímání dat o nejnebezpečnějších útocích a možných infekcích.
Hackerský útok byl okomentován v Microsoft ... "Naši odborníci dnes přidali detekci a ochranu proti novému malwaru známému jako Ransom: Win32.WannaCrypt." V březnu jsme také představili další ochranu před tímto typem malwaru spolu s aktualizací zabezpečení, která zabraňuje šíření malwaru po síti. Uživatelé našeho bezplatného antiviru a aktualizovaného systému Windows jsou chráněni. Spolupracujeme s uživateli na poskytování další pomoci, “uvádí prohlášení zástupce společnosti Microsoft v Rusku pro RBC.
Zástupce Solární zabezpečení řekl RBC, že společnost vidí útok a v současné době vyšetřuje vzorek viru. "Nyní nejsme připraveni sdílet podrobnosti, ale malware je jasně napsán profesionály." Zatím nelze vyloučit, že je něco nebezpečnějšího než ransomware. Je již zřejmé, že rychlost jeho šíření je bezprecedentně vysoká, “uvedl zdroj. Podle něj je poškození způsobené virem „obrovské“, zasáhlo velké organizace ve 40 zemích světa, přesto je nemožné poskytnout přesný odhad, protože možnosti malwaru ještě nebyly plně studovány a útok je nyní ve vývoji.
výkonný ředitel Skupina IB Ilya Sachkov řekl RBC, že ransomwarové programy podobné těm, které byly použity při současném útoku, jsou rostoucím trendem. V roce 2016 se počet takových útoků zvýšil více než stokrát ve srovnání s předchozím rokem, uvedl.
Sachkov poznamenal, že k infekci zařízení zpravidla dochází prostřednictvím e-mailu. Když už mluvíme o WannaCry, expert poznamenal, že tento šifrovací program má dvě funkce. "Nejprve využívá explozi ETERNALBLUE, kterou veřejně zpřístupnili Shadow Brokers." Oprava této chyby zabezpečení pro Windows Vista a novější byla zpřístupněna 9. března jako součást aktualizace MS17-010. Současně nebude existovat žádná oprava pro staré operační systémy, jako jsou Windows XP a Windows server 2003, protože jsou odstraněny z podpory, “uvedl.
"Zadruhé, kromě šifrování souborů prohledává na internetu zranitelné hostitele." To znamená, že pokud se infikovaný počítač dostane do jiné sítě, šíří se v něm také malware, a proto je lavinová povaha infekcí, “dodal Sachkov.
Ochranu proti takovým útokům lze podle Sachkova zajistit pomocí sandboxových řešení, která jsou nainstalována v síti organizace a kontrolují všechny soubory zaslané zaměstnancům poštou nebo stažené z Internetu. Kromě toho odborník připomněl, že je důležité vést vysvětlující rozhovory se zaměstnanci o základech „digitální hygieny“ - neinstalujte programy z neověřených zdrojů, nevkládejte do počítače neznámé flash disky a nerespektujte pochybné odkazy, aktualizujte software včas a nepoužívejte OS, který není výrobcem podporováno.
Kdo je vinen
Kdo stojí za velkým kybernetickým útokem, zatím není jasné. Bývalý zaměstnanec NSA Edward Snowden uvedl, že virus vyvinutý NSA mohl být použit při globálním hackerském útoku 12. května. Tuto možnost dříve ohlásila WikiLeaks.
Rumunské úřady zase tvrdí, že za pokusem o útok může být organizace „spojená se skupinou kybernetické kriminality APT28 / Fancy Bear“, která se tradičně považuje za „ruské hackery“.
Telegraph naznačuje, že za útokem může být skupina Shadow Brokers propojená s Ruskem. Přisuzují to výrokům hackerů z dubna, že údajně ukradli „kybernetickou zbraň“ americké zpravodajské komunity, která jim umožňuje přístup ke všem počítačům se systémem Windows.
Uživatelé z Moskvy, Nižního Novgorodu, Penzy, Saratova, Samary, Rjazaně, Ufy a dalších ruských měst oznámili, že je nemožné uskutečnit hovor - síť byla nedostupná.
Nejprve se oficiální Twitter společnosti objevil jako doporučení nastavit typ sítě „pouze 3G“ a restartovat telefon, a nyní jsou všem dotčeným zákazníkům zasílána standardní odpověď: „V tuto chvíli existují obrovské potíže s komunikací. Už to opravujeme. Omlouváme se za způsobené nepříjemnosti. “ Společnost dodala, že nemá údaje o konkrétním časovém rámci pro vyřešení problému.
Neúspěšné vytáčení
Megafon uvedl, že úspěšnost vytáčení v Moskvě a několika dalších městech poklesla o 30%, přičemž poznamenal, že volání je stále možné pomocí instant messengerů. To bohužel neuspokojilo mnoho zákazníků společnosti, kteří nemohou používat instant messenger bez přístupu k Wi-Fi.
Podle tiskové služby společnosti Megafon na jejím telegramovém kanálu byla příčinou poruchy nehoda na jednom z prvků síťového vybavení.
Kromě toho v jedné z kanceláří společnosti také uvedli, že došlo k nehodě, ale načasování eliminace následků stále není známo. Zaměstnanci, kteří si přejí získat odměnu, mají možnost napsat žádost v kanceláři společnosti. Když jsme dotázáni na důvody selhání, uvádí se, že je možný hackerský útok.
O nějaký čas později, po zprávách o selhání Megafonu, se v médiích objevily informace, že s problémy s komunikací se setkali také další mobilní operátoři, například Beeline. V rozhovoru s Gazeta.Ru mluvčí společnosti uvedla, že síť funguje normálně bez rozsáhlých poruch a šíření falešných zpráv o problémech se sítí operátora je způsobeno reakcí pracovníka technické podpory na provoz jedné základnové stanice společnosti.
Tiskový mluvčí také informoval Gazeta.Ru o stabilní práci: „Síť MTS funguje normálně.“
V telefonickém rozhovoru s korespondentem Lidov uvedl, že v den útoku se mnoho kancelářských počítačů Megafon začalo restartovat a vydávat výkupné za dešifrování dat, a tím utrpěla nejen Moskva, ale i další ruská města.
Naštěstí se šíření útoku zpomalilo a doslova o pár hodin později byla obnovena práce celého call centra Megafon, aby předplatitelé mohli komunikovat s podpůrnou službou. Zástupce společnosti zdůraznil, že virus WannaCry nijak neovlivnil komunikační služby a osobní údaje zákazníků operátora zůstaly v bezpečí.
V lednu 2017 si uživatelé Megafonu stěžovali také na nedostupnost některých služeb - „Multifon“, „Megafon TV“ a na problémy s webem. Společnost vysvětlila poruchu jako nehodu v centru zpracování dat (DPC) způsobenou neobvyklými mrazy v regionu.
Po chvíli začaly služby fungovat normálně. Poté zástupce mobilního operátora řekl společnosti Gazeta.Ru, že pořadí v systému se neměřuje podle přítomnosti poruch, ale podle schopnosti je rychle odstranit. "To provedli specialisté společnosti v co nejkratším čase." A v noci na dovolené, “dodala Dorokhina.