trend micro. Карен Карагедян. "ransomware: платить нельзя...
TRANSCRIPT
Ransomware:платитьнельзязащититьсяМарт2017
Copyright2016TrendMicroInc.2
Эволюцияпрограмм-вымогателей
Copyright2016TrendMicroInc.
Шифровальщики20%
Блокировщики80%
Q4’2014отношениепрограмм-вымогателей кпрограммам-шифровальщикам
Copyright2016TrendMicroInc.
Q4’2015:отношениепрограмм-вымогателей к
программам-шифровальщикам
Блокировщики 17%
Шифровальщики83%
Copyright2016TrendMicroInc.
Q4’2014отношениепрограмм-вымогателейкпрограммам-
шифровальщикам
Шифровальщики20%
Блокировщики 80%
Copyright2016TrendMicroInc.6
Январь2016— программы-вымогатели
ФОРМАОПЛАТЫ
СПАМ
2BTC
КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНОИУДАЛЯЮТСЯ
ПУБЛИЧНЫЙКЛЮЧБЕРЁТСЯСC&C
КЛЮЧШИФРОВАНИЯНАСЕРВЕРЕ
ФАЙЛЫБД
Нужносвязатьсясавторомдляполученияинструкцийпооплате
СПАМ СПАМ СПАМ СПАМ СПАМ
13BTC 0.5BTC 1BTC 0.1BTC
НЕТСООБЩЕНИЯОВЫКУПЕ
ЧИСЛОДЕТЕКТОВ ВSPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ ДАННЫЕ
ФАЙЛЫБД
ЛИЧНЫЕФАЙЛЫ ЛИЧНЫЕФАЙЛЫ
ТОЛЬКОЛИЧНЫЕФАЙЛЫ
КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО
КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО
ПРИВАТНЫВЙ КЛЮЧНАСЕРВЕРЕ
КРИПТОГРАФИЯ
САМОУНИЧТОЖЕНИЕ
ФАЙЛЫБД ФАЙЛЫБДВЕБ-СТРАНИЦЫФАЙЛЫБД
+
КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО
CRYPNISCA CRYPRITUCRYPRADAM CRYPJOKERLECTOOL EMPER MEMEKAP
НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ
LECTOOL EMPER CRYPRADAMMEMEKAP
CRYPNISCA CRYPJOKER CRYPRITU
Маскируется подприкрепленный PDF-
файл
Copyright2016TrendMicroInc.7
Февраль 2016— программы-вымогатели
САМОУНИЧТОЖЕНИЕ
ЛИЧНЫЕФАЙЛЫ ЛИЧНЫЕФАЙЛЫ
LOCKYCRYPHYDRA
ИНСТРУМЕНТАРИЙДЛЯУДАЛЁННОГО ВЗЛОМА
SYNCMANGERLOGGER
СПАМВВИДЕ СЧЕТАНАОПЛАТУ
Маскируется подприкрепленный PDF-файл
СПАМ СПАМ
1BTC 0.5- 1BTC2BTC536GBP
1.505BTC0.8BTC$350
400долларовзаплатитьавторупоинструкции
ФАЙЛЫБД
ТОЛЬКОЛИЧНЫЕФАЙЛЫ
ВЕБ-СТРАНИЦЫ
+ ТОЛЬКОЛИЧНЫЕФАЙЛЫ
КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО
КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО
КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО КЛЮЧШИФРРОВАНИЯ
БЕРЕТСЯСC&CПУБЛИЧНЫЙКЛЮЧ
БЕРЁТСЯСC&CПУБЛИЧНЫЙКЛЮЧ
БЕРЁТСЯСC&C
ФАЙЛЫБДКОД
КОШЕЛЕК
MADLOCKERCRYPDAP CRYPZUQUITCRYPGPCODE
МАКРОСИЛИПРИКРЕПЛЕННЫЙJS
НЕТНЕТНЕТНЕТНЕТ
CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT MADLOCKER LOCKY
ФОРМАОПЛАТЫ
ЧИСЛОДЕТЕКТОВ ВSPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ ДАННЫЕ
КРИПТОГРАФИЯ
Copyright2016TrendMicroInc.8
ФОРМАОПЛАТЫ
ЧИСЛОДЕТЕКТОВ ВSPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ ДАННЫЕ
КРИПТОГРАФИЯ
Март 2016— программы-вымогатели
САМОУНИЧТОЖЕНИЕ
ЛИЧНЫЕФАЙЛЫ ЛИЧНЫЕФАЙЛЫ
KeRanger
ФАЙЛЫСМАКРОСАМИ
ИГРЫ
CRIPTOSO
1.18– 2.37BTC$500— $1000
TEAMVIEWER
ПЕРЕЗАПИСЫВАЕТMBR
0.99– 1.98BTC$431— $862
1BTCиувеличивается на1BTCежедневно
ФАЙЛЫВОЗВРАТА
НАЛОГОВ США
COVERTON
1 BTC
ИНСТРУМЕНТАРИЙДЛЯУДАЛЁННОГО ВЗЛОМА
СПАМСПАМВВИДЕ УСЛОВИЙ
ПРЕДОСТАВЛЕНИЯ УСЛУГИПРИКРЕПЛЕННЫЙМАКРОС,
ЗАГРУЖАЮЩИЙКОДПОИСКРАБОТЫ СО
ССЫЛКОЙНАDROPBOXМАКРОСИЛИ
ПРИКРЕПЛЕННЫЙJSИНСТРУМЕНТАРИЙДЛЯУДАЛЁННОГОВЗЛОМА
+
1.24-2.48BTC 1BTC 1.3BTC
ФАЙЛЫБД ФАЙЛЫБД
1.4– 3.9BTC$588— $1638
0.5— 25BTC
ФАЙЛЫБДRJL
ИГРЫ КОШЕЛЕКФИНАНСОВЫЕ
ФАЙЛЫ
ПУБЛИЧНЫЙКЛЮЧБЕРЕТСЯСC&C
КЛЮЧAESГЕНЕРИРУЕТСЯЛОКАЛЬНОПУБЛИЧНЫЙКЛЮЧ
БЕРЕТСЯСC&C
ПЯТЬПАРКЛЮЧЕЙГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО.ОДИНКЛЮЧТРЕБУЕТ КЛЮЧRSA
ПРИВАТНЫЙКЛЮЧВЫДАЕТСЯПОСЛЕОПЛАТЫ ПРИВАТНЫЙКЛЮЧ
ВЫДАЕТСЯПОСЛЕОПЛАТЫ
ПРИВАТНЫЙКЛЮЧВЫДАЕТСЯПОСЛЕОПЛАТЫ
ПРИВАТНЫЙКЛЮЧВЫДАЕТСЯПОСЛЕОПЛАТЫ
ПРИВАТНЫЙКЛЮЧВЫДАЕТСЯПОСЛЕ
ОПЛАТЫ
Онразговаривает!
Уникально
Уникально
СценарийнаPowershell
TESLA4.0CERBER CRYPAURA PETYAMAKTUB SURPRISEPowerware
НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ
CERBER CRYPAURA KERANGERTESLA
MAKTUB SURPRISE PETYA POWERWARE CRYPTOSO COVERTON
APPSTORE
http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-crypto-ransomware-speaks-sold-russian-underground/
Copyright2016TrendMicroInc.9
Программы-вымогателивцифрах
–Форбс,февраль 2016
Числосистем,заражаемыхLocky вдень
90,000
$200-10kХарактерныйразмервыкупа
– ФБР,апрель2016
69,000++Числообразцов,обнаруженных в2015 г.
– TrendLabs,2016
Copyright2016TrendMicroInc.10
Какэтоработает
Всевозможныеканалыпроникновения
Данныешифруются
Требование выкупа ПлатизаРасшифровку
данных
Восстанавливайизрезервнойкопии
ИЛИ
Copyright2016TrendMicroInc.11Подробнее: http://blog.trendmicro.com/trendlabs-security-intelligence/youtube-ads-lead-to-exploit-kits-hit-us-victims/
Более100тысячжертвза30дней
Распространениечерезрекламныесети
Примерысообщений,содержащихCryptoWall
12
BETTERCALLSAUL
Copyright2016TrendMicroInc.14
Защитаотпрограмм-вымогателей
ОбучениепользователейОсведомленность, лучшиепрактики,проверка
УлучшениеуровнязащитыПоследниеверсии,веб-репутация, поведенческийанализ,дополнительныетехнологии
ОтказотвыплатывыкупаВыплатамотивируетзлоумышленниковнадальнейшиеатаки
СвоевременнаяустановказаплатМинимизациявероятностивзломачерезуязвимости
КонтрольдоступаОграничениедоступаназапись кважнымдлябизнесаданнымдлябольшинствасотрудников
Резервноекопирование(3-2-1)Автоматизированное:три копии,дваформата,однакопияхранитсябезподключения ксети
Copyright2016TrendMicroInc.15
ЗащитаTrendMicroотпрограмм-вымогателей
СЕТЕВАЯЗАЩИТА
ГИБРИДНАЯОБЛАЧНАЯБЕЗОПАСНОСТЬ
ЗАЩИТАПОЛЬЗОВАТЕЛЯ
ВИЗУАЛИЗАЦИЯИУПРАВЛЕНИЕ
Copyright2016TrendMicroInc.16
Целипрограмм-вымогателей
Серверы
Атакнасервераотносительномало,ноуронможетбытьоченьбольшим
Большаячастьпрограмм-вымогателейиспользуетизвестныеуязвимости
VulnerabilityShieldingagainstunknownthreats
Blockslateralmovement
Copyright2016TrendMicroInc.17
Сеть
Серверы
Целипрограмм-вымогателей
Вероятнаяточкавхода
Распространениекдругимпользователяминасерверы
Пользователи
Сети
Целипрограмм-вымогателей
Серверы
Конечныеточки—самаявероятнаяцель
Вебицелевойфишинг — наиболеетипичныеметодыатаки
Copyright2016TrendMicroInc.19
«Песочница» Экранированиеуязвимостей
Контрольприложений
Веб-шлюз
Шлюзэлектронной
почты
Контрольповеденияпрограмм-
вымогателей
Выявлениеособыхугроз
Защитаотцелевогофишинга
РепутациясайтовиIP-адресов
«Песочница»Экранированиеуязвимостей
КонечныйузелСетьСервер
Copyright2016TrendMicroInc.20
Объединенная защитаотугроз:Лучшаяиболеебыстраязащита
Централизованнаясквознаявизуализация,
анализиоценкавлиянияугроз
Оперативнаяреакция,благодаря
своевременнойинформацииоб
угрозахиобновленийвреальномвремени
Детектированиеособыхтиповвредоносногокодаистранногоповедениясети,незаметныхдлястандартныхсредствбезопасности
Выявлениепотенциальныхуязвимостейипревентивнаязащитаконечныхточек,серверовиприложений
ЗАЩИТА
ОБНАРУЖЕНИЕ
РЕАКЦИЯ
ВИЗУАЛИЗАЦИЯИУПРАВЛЕНИЕ
Защитаотпрограмм-вымогателейнаконечныхточках
1. Традиционныйподход– Зависитотсигнатур
программ-вымогателей– Предоставляет
специальныеинструментыдлясдерживанияраспространения
3. Передовыетехнологии– Контрольприложенийсцелью
выявленияпроцессов,шифрующихфайлы
– Исключениеизанализалегитимныхпроцессов
– Блокировкаиперемещениевкарантин
Конкурирующиерешениявосновномиспользуютпервыйивторойподходы,втовремя,когдапродуктыTrendMicroиспользуютвсетри,атакжеподходнаосновебелыхсписков
2. Поведенческий анализ– Выявляетповедение,
характерноедляпрограмм-вымогателей
Copyright2016TrendMicroInc.22
• Несложнореализовать,благодаряавтоматическомупостроениюбелогоспискасиспользованиемдинамическихправил:
+ Репутационный рейтинг выше«★★★☆☆»
+ Использованиевмиревышесреднего
+ Обнаруженоболее7днейназад
+ Категорияне «BrowserandBrowserTools»
Контрольприложений
Copyright2016TrendMicroInc.23
Вопросы
Copyright2016TrendMicroInc.24
Спасибо!HTTP://WWW.TRENDMICRO.COM.RU/VINFO/RU/SECURITY/DEFINITION/RANSOMWARE