шкідливе програмне забезпечення- найменування для всіх програмних продуктів, Метою яких свідомо є нанесення шкоди кінцевому користувачеві.
Зловмисники вигадують все нові хитрі способи поширення шкідливих програм, більшість з яких розроблені під операційну систему Android. При цьому вірус можна «підчепити» не тільки на якомусь сумнівному сайті, але і отримавши повідомлення з посиланням від відомого вам людини (друга, родича, колеги).
Одна з модифікацій шкідливого ПО для смартфонів і планшетів на базі операційної системі Android, Потрапивши в ваш мобільний пристрій, насамперед розішле посилання з доброзичливим сполученням «Зацени посилання!» або «Моє фото для тебе» по всьому списку контактів. Кожен, хто перейде за посиланням, отримає вірус вже на свій смартфон.
Але найчастіше злочинці видають троянів за корисні додатки.
Чим загрожує вірус?
Отримана троянська програма може не тільки розсилати SMS вашим друзям, але і спустошити ваш рахунок. Банківські трояни - одні з найнебезпечніших. Постраждати можуть всі власники гаджетів, які використовують банківські програми. Найбільше ризикують користувачі Android-смартфонів - 98% мобільних банківських троянів створені для цієї операційної системи.
При запуску банківського додатка троян виводить власний інтерфейс поверх інтерфейсу справжнього мобільного банку. І таким чином краде всі дані, які вводить користувач. Найбільш просунуті зловредів вміють підробляти інтерфейси десятків різних мобільних банків, платіжних системі навіть систем обміну повідомленнями.
Інший важливий етап при крадіжці грошей - це перехоплення SMS з одноразовими паролями для здійснення платежів і переказів. Тому троянам зазвичай потрібні права доступу до SMS, і саме тому варто бути особливо обережними з додатками, які такі права запитують.
Ознаки того, що ваш телефон заражений
Є кілька ознак того, що ваш телефон заражений шкідливим програмним забезпеченням:
- Прихована відправка SMS за списком контактів - до вас починають звертатися друзі, знайомі і колеги, які отримали сумнівні повідомлення;
- Швидке витрачання грошових коштів - кошти з Особового рахунку списуються швидше, ніж зазвичай;
- Несанкціоновані списання з банківської карти;
- Відсутність SMS з банку - при підключеній послузі «SMS-інформування» ви перестали отримувати SMS-повідомлення про списання коштів з рахунку;
- Швидше розряджається акумулятор.
Як захистити себе?
- Регулярно стежте за випуском оновлень безпеки операційної системи вашого мобільного пристроюі своєчасно їх встановлюйте;
- Встановіть антивірусне ПЗ на свій смартфон, планшет, після установки поновіть його і перевірте мобільний пристрій;
- Використовуйте антивірусне ПЗ, яке здійснює захист в режимі on-line, і регулярно оновлюйте його;
- Завантажуйте і запускайте програми лише з офіційних магазинів - Play Store, App Store, Google Playі так далі;
- Будьте уважні при видачі прав додатків - особливо підозрілого ставлення заслуговують програми, які просять права доступу на обробку SMS-повідомлень;
- Думайте перед тим, як переходити за посиланням. Не втрачайте пильність, не відчиняйте посилання з листів або SMS, або повідомлень в соціальних мережах, Якщо не впевнені в тому, що послання прийшло від відомого вам адресата і безпечно;
- Якщо вам прийшло підозріле SMS з посиланням від вашого друга, зателефонуйте йому, щоб уточнити, відправляв він повідомлення. Якщо немає, попередьте, що його смартфон або планшет заражений вірусом;
- Будьте обережні в загальнодоступних мережах Wi-Fi, І при з'єднанні з мережею упевніться, що вона легітимна;
- Використовуйте складні паролі;
- У меню «Налаштування» натисніть «Data Usage» (Використанням даних), в розділі «Wireless & Networks» ( Безпровідний зв'язок) Можна побачити, як багато даних кожен додаток використовує, і встановити ліміт на роботу з даними;
- Підключіть «SMS-інформування» про списання коштів з рахунку - не всі трояни перехоплюють SMS.
Що робити, якщо вкрали гроші?
Перше, що потрібно зробити - якомога швидше звернутися в банк.
Директор зі зв'язків з громадськістю «Мегафона» Петро Лидов повідомив «Комерсант», що столичний офіс компанії піддався хакерській атаці. «Комп'ютери вийшли з ладу - на них з'явився екран блокування, де просили $ 300 за розблокування», - розповів він. Потім прийшла інформація, що те ж саме відбулося у абонентів операторів Telefonica і Vodafone в Іспанії.
За словами Петра Лидова, фахівцям довелося відключити мережі на якомусь етапі, щоб вірус не поширювався далі. «Ряд регіонів зачепило, інші превентивно відбулося тимчасове відключення. Це торкнулося рітейлу і служби підтримки абонентів, тому що оператори, природно, користуються ПК для доступу до баз. Колл-центри полагодили. На зв'язок і особисті кабінетице не вплинуло », - повідомив пан Лидов.
Як розповів «Комерсант» дослідник з Digital Security Борис Рютин, експерти MalwareHunterTeam і інші незалежні дослідники сходяться на думці, що це шкідлива програма типу ransomware, тобто вірус-вимагач. «Небезпека зараження в тому, що в залежності від реалізації, файли користувача можуть бути безповоротно втрачені», - уточнив він.
«Ми бачимо атаку, і вірус дуже складний, - повідомили« Комерсант »в компанії Solar Security.- В даний момент ми розробляємо рекомендації щодо заходів протидії». «Вірус дуже складний, і поки не можна виключати, що він являє собою щось більш небезпечне, ніж простий шифрувальник. Вже очевидно, що швидкість його поширення безпрецедентно висока », - додали в компанії.
Представник Microsoft Христина Давидова розповіла "Комерсант", що фахівці додали виявлення і захист від нової шкідливої програми, Відомої як Ransom: Win32.WannaCrypt. «У березні ми також представили додатковий захист від шкідливого ПО подібного характеру разом з оновленням безпеки, яке запобігає розповсюдженню шкідливого ПО по мережі», - повідомила вона.
Раптово на екрані комп'ютера, що працює під Windows, з'являється вікно з інформацією про те, що призначені для користувача файли зашифровані, і розшифрувати їх вдасться, тільки заплативши хакерам викуп в розмірі 300 дол. Зробити це потрібно протягом трьох днів, інакше ціна зросте вдвічі, а через тиждень дані будуть видалені безповоротно. Вірніше, фізично-то вони залишаться на диску, але розшифрувати їх буде неможливо. Для демонстрації того, що дані дійсно можна розшифрувати, пропонується скористатися «безкоштовної демо-версією».
Приклад повідомлення про злом комп'ютера
Що таке шифрування
Зашифрувати можна будь-які дані на комп'ютері. Оскільки всі вони є файлами, тобто послідовностями нулів і одиниць, то можна записати ці ж нулі і одиниці в іншій послідовності. Скажімо, якщо домовитися, що замість кожної послідовності «11001100» ми будемо писати «00001111», то потім, побачивши в зашифрованому файлі «00001111», ми будемо знати, що насправді це - «11001100», і зможемо легко розшифрувати дані. Інформація про те, що на що змінюється, називається ключем шифру, і, на жаль, ключ в даному випадку є тільки у хакерів. Він індивідуальний для кожної жертви і висилається тільки після оплати «послуг».
Чи можна зловити хакерів
В даному випадку викуп потрібно оплатити за допомогою біткоіни - електронної криптовалюта. Суть використання біткоіни, якщо коротко, полягає в тому, що дані про платежі передаються по ланцюжку серверів таким чином, що кожен проміжний сервер не знає, хто є початковим відправником і отримувачем платежу. Тому, по-перше, кінцевий «беніфіціари» завжди повністю анонімний, а по-друге, передачу грошей не можна оскаржити або скасувати, тобто хакер, отримуючи викуп, не ризикує нічим. Можливість швидко і безкарно отримувати великі суми грошей добре мотивує хакерів на пошук нових способів злому.
Як захиститися від злому
Взагалі програми-вимагачі існують вже років десять - як правило, колись це були «троянські коні». Тобто програму-шифрувальник встановлював через власну дурість сам користувач, наприклад під виглядом «кряка» для злому дорогого офісного пакетуабо набору нових рівнів для популярної гри, викачаних незрозуміло звідки. Від таких троянів захищає елементарна комп'ютерна гігієна.
Однак зараз мова йде про вірусній атаці (вірус Wanna Decrypt0r 2.0), що використовує уразливість операційних систем Windowsі протоколів передачі файлів по мережі (SMB), через що зараженими виявляються всі комп'ютери в рамках локальної мережі. Антивіруси мовчать, їх розробники поки не знають, що робити, і лише вивчають ситуацію. Так що єдиний спосіб захисту - це регулярне створення резервних копій важливих файлів і зберігання їх на зовнішніх жорстких дисках, Відключених від Мережі. А ще можна користуватися менш уразливими операційними системами - Linux або Mac OS.
«Сьогодні наші фахівці додали оновлення - виявлення і захист від нової шкідливої програми, відомої як Ransom: Win32.WannaCrypt. У березні ми також додали оновлення безпеки, яке забезпечує додатковий захист від потенційної атаки. користувачі нашого безкоштовного антивірусаі оновленої версії Windowsзахищені. Ми працюємо з користувачами, щоб надати додаткову допомогу».
Христина Давидова
прес-секретар Microsoft Russia
Як врятувати файли
Якщо файли вже зашифровані, а резервної копіїнемає, то, на жаль, доведеться платити. При цьому немає гарантії, що хакери не зашифрують їх знову.
До якихось глобальних катаклізмів зломи не приведуть: без локальних бухгалтерських актів або звітів, звичайно, важко, але електрички їздять, і мережа «Мегафона» працює без збоїв - критично важливі дані ніхто не довіряє звичайним офісним ПК на базі Windows, А сервери або мають багатоступеневий захист від злому (аж до апаратної на рівні маршрутизаторів), або взагалі повністю ізольовані від Інтернету і локальних мереж, До яких підключені комп'ютери співробітників. До речі, саме на випадок кібератак важливі дані держструктур зберігаються на серверах, що працюють на спеціальних криптографічних стійких збірках Linux, що мають відповідну сертифікацію, а у МВС ці сервери працюють ще й на російських процесорах «Ельбрус», під архітектуру яких у зловмисників точно немає скомпільованої коду вірусу .
Що буде далі
Чим більше людей постраждають від вірусу, тим, як ні парадоксально, буде краще: це стане хорошим уроком кібербезпеки і нагадуємо про необхідність постійного резервного копіюванняданих. Адже вони можуть бути не тільки знищені хакерами (ще 1000 і 1 спосіб), а й втрачені при фізичної втрати носія, на якому вони зберігалися, і тоді звинувачувати залишиться тільки себе. Ви і раді будете заплатити і 300, і 600 дол. За праці всього свого життя, нехай буде нікому!
Крім телекомунікаційних компаній, жертвами атак хакерів, за словами джерел РБК, а також «Газети.Ru» і «Медіазони», стали силові відомства Росії - МВС і Слідчий комітет.
Співрозмовник РБК в МВС розповів про атаку на внутрішні мережі відомства. За його словами, атаки зазнали в основному регіональні управлінняміністерства. Він уточнив, що вірус вразив комп'ютери як мінімум в трьох областях європейської частини Росії. Джерело додало, що на роботі МВС ця атака не повинна відбитися. Інший співрозмовник РБК в міністерстві розповіло, що хакери могли отримати доступ до баз МВС, але невідомо, чи встигли вони скачати звідти інформацію. Атака на МВС торкнулася тільки ті комп'ютери, на яких давно не оновлювалася операційна система, Розповів співрозмовник у відомстві. Робота міністерства не паралізована хакерами, але сильно утруднена.
В Німеччиніхакери сервіси компанії Deutsche Bahn, яка є основним залізничним оператором країни. Про це повідомив телеканал ZDF з посиланням на МВС країни.
Міністерство національної безпеки США партнерам технічну підтримкуі допомогу в боротьбі з «програмою-здирником» WannaCry.
Що за вірус?
згідно з повідомленням «Лабораторії Касперського» , Вірус, про який йде мова, - програма-шифрувальник WannaCry. «Як показав аналіз, атака відбувалася через відому мережеву вразливість Microsoft Security Bulletin MS17-010. Потім на заражену систему встановлювався руткит, використовуючи який, зловмисники запускали програму-шифрувальник », - розповіли в компанії.
«Всі рішення« Лабораторії Касперського »детектируют даний руткит як MEM: Trojan.Win64.EquationDrug.gen. Також наші рішення детектируют програми-шифрувальники, які використовувалися в цій атаці, наступними вердиктами: Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM: Trojan.Win32.Generic (для детектування даного зловреда компонент System Watcher потрібно включити) », - відзначили в компанії.
Для зниження ризиків зараження фахівці «Лабораторії Касперського» радять користувачам встановити офіційний патч від Microsoft, який закриває використовувану в атаці вразливість, а для попередження подібних інцидентів використовувати сервіси інформування про загрози, щоб своєчасно отримувати дані про найбільш небезпечних атаках і можливих заражених.
Хакерську атаку прокоментували і в Microsoft . «Сьогодні наші фахівці додали виявлення і захист від нової шкідливої програми, відомої як Ransom: Win32.WannaCrypt. У березні ми також представили додатковий захист від шкідливого ПО подібного характеру разом з оновленням безпеки, яке запобігає розповсюдженню шкідливого ПО по мережі. Користувачі нашого безкоштовного антивіруса і оновленої версії Windows захищені. Ми працюємо з користувачами, щоб надати додаткову допомогу », - йдеться в заяві представника Microsoft в Росії, що надійшов в РБК.
представник Solar Security заявив РБК, що компанія бачить атаку і в теперішній моментдосліджує зразок вірусу. «Зараз ми не готові ділитися деталями, але зловредів явно написаний професіоналами. Поки не можна виключати, що він являє собою щось більш небезпечне, ніж шифрувальник. Вже очевидно, що швидкість його поширення безпрецедентно висока », - сказав співрозмовник. За його словами, збитки від вірусу «величезний», він зачепив великі організації в 40 країнах світу, але точну оцінку поки дати неможливо, оскільки можливості зловреда ще не до кінця вивчені і атака зараз знаходиться в розвитку.
Генеральний директор Group-IB Ілля Сачков розповів РБК, що програми-шифрувальники, аналогічні тій, що використовувалася при нинішній атаці, - це наростаючий тренд. У 2016 році кількість таких атак збільшилася більш ніж в сто разів у порівнянні з попереднім роком, уточнив він.
Сачков відзначив, що, як правило, зараження пристрою в такому випадку відбувається через електронну пошту. Говорячи про WannaCry, експерт зазначив, що у цієї програми-шифрувальника є дві особливості. «По-перше, вона використовує експлоїт ETERNALBLUE, який був викладений у відкритий доступ хакерами Shadow Brokers. Патч, що закриває цю уразливість, для ОС Windows Vista і старше, став доступний 9 березня в складі бюлетеня MS17-010. При цьому патча для старих ОС на кшталт Windows XP і Windows server 2003 не буде, так як вони виведені з-під підтримки », - розповів він.
«По-друге, крім шифрування файлів вона здійснює сканування інтернету на предмет вразливих хостів. Тобто, якщо заражений комп'ютер потрапив в якусь іншу мережу, шкідливе ПЗ пошириться і в ній теж, - звідси і лавиноподібний характер заражень », - додав Сачков.
Захист від подібних атак, за словами Сачкова, можна забезпечити, використовуючи рішення класу «пісочниця», які встановлюються в мережу організації і перевіряють всі файли, що приходять на пошту співробітникам або завантажувані ними з інтернету. Крім того, нагадав експерт, важливо проводити з співробітниками роз'яснювальні бесіди про основи «цифровий гігієни» - не встановлювати програми з неперевірених джерел, не вставляти в комп'ютер невідомі флешки і не переходити за сумнівними посиланнями, а також вчасно оновлювати ПО і не використовувати ОС, які не підтримуються виробником.
Хто винен
Хто стоїть за масштабною кібератакою, поки не ясно. Екс-співробітник АНБ Едвард Сноуден, що при глобальній хакерській атаці, що сталася 12 травня, міг бути використаний вірус, розроблений АНБ. Про таку можливість раніше заявив WikiLeaks.
У свою чергу влада Румунії, що за спробою атаки може стояти організація, «пов'язана з угрупованням кіберзлочинності APT28 / Fancy Bear», яку традиційно зараховують до «російським хакерам».
The Telegraph припускає, що за атакою може стояти угрупування Shadow Brokers, пов'язана з Росією. Вони пов'язують це з заявами хакерів, які прозвучали в квітні, що вони нібито вкрали «кібер зброю» розвідувального співтовариства США, що дає їм доступ до всіх комп'ютерів з ОС Windows.
Користувачі з Москви, Нижнього Новгорода, Пензи, Саратова, Самари, Рязані, Уфи і інших російських міст заявили про неможливість здійснити дзвінок - мережа виявилася недоступна.
Спочатку в офіційному твіттері компанії з'явився рада встановити тип мережі «тільки 3G» і перезавантажити телефон, а тепер всім постраждалим клієнтам відправляється стандартну відповідь: «На поточний момент спостерігаються масові проблеми зі зв'язком. Уже виправляємо. Приносимо вибачення за доставлені незручності ». Компанія додала, що не має даних про конкретні терміни виправлення проблеми.
неуспішна дозвон
«Мегафон» заявив, що успішність дозвону в Москві і кількох інших містах знизилася на 30%, відзначивши, що дзвінки як і раніше можливі за допомогою месенджерів. На жаль, це не задовольнило багатьох клієнтів компанії, які не можуть скористатися мессенджерами без доступу до Wi-Fi.
Як повідомляє прес-служба «Мегафона» в своєму Telegram-каналі, причиною збою стала аварія на одному з елементів мережевого обладнання.
Крім того, в одному з офісів компанії також розповіли, що у них сталася аварія, але терміни усунення наслідків поки невідомі. Бажаючим отримати компенсацію співробітники пропонують писати заяву в офісі компанії. На питання про причини збою повідомляється, що не виключена хакерська атака.
Через деякий час після повідомлень про збої «Мегафона» в ЗМІ з'явилася інформація про те, що з проблемами зі зв'язком зіткнулися і інші мобільні оператори, наприклад «Білайн». У розмові з «Газетой.Ru» прес-секретар компанії заявила, що мережа працює в штатному режимі без масових збоїв, а поширення неправдивого повідомлення про проблеми з мережею оператора пов'язано з відповіддю співробітника техпідтримки про роботу однієї базової станції компанії.
Про стабільну роботу «Газету.Ru» поінформував і прес-секретар: «Мережа МТС працює в штатному режимі».
В телефонній розмовіз кореспондентом Лидов повідомив, що в день атаки багато офісні комп'ютери«Мегафона» почали перезавантажуватися і видавати повідомлення про вимогу викупу за розшифровку даних, причому постраждала не тільки Москва, але і інші міста Росії.
На щастя, поширення атаки вдалося уповільнити, і буквально через пару годин була відновлена робота всього колл-центру «Мегафона», щоб абоненти могли спілкуватися зі службою підтримки. Представник компанії наголосив, що вірус WannaCryніяк не позначилася на послуги зв'язку, а особисті дані клієнтів оператора залишилися в безпеці.
У січні 2017 року користувачі «Мегафона» також скаржилися на відсутність деяких сервісів - «МультіФон», «МегафонТВ», а також неполадки в роботі сайту. У компанії збій пояснили аварією в центрі обробки даних (ЦОД), викликаної аномальними морозами в регіоні.
Через деякий час сервіси заробили в нормальному режимі. тоді представник мобільного операторарозповіла «Газеті.Ru», що порядок в системі вимірюється не наявністю збоїв, а вмінням їх оперативно усувати. «Це і було зроблено фахівцями компанії в найкоротші терміни. Причому в нічний час в святковий день », - додала Дорохіна.