УДК 004.491.22

Методы распознавания и обезвреживания вируса-вымогателя

Колосов Лев Сергеевич – бакалавр кафедры Защищенных систем связи Санкт-Петербургский государственный университет им. проф. М. А. Бонч-Бруевича

Аннотация: В данной статье исследуется класс вредоносного ПО и предложены способы защиты персонального компьютера от данного класса вирусов, их ограничения и альтернативные подходы к предотвращению атак ransomware.

Ключевые слова: информационная безопасность, методы защиты, вирус-вымогатель, способы распознания вирусов, киберпреступность.

Введение

Шифровальщик относится к классу вирусов-ransomware семейства Trojan.Encoder. Данный вид компьютерных вирусов создает новые копии папок, документов, фотографий и т.д. зашифровывая в них все данные, оригиналы при этом удаляются, без дальнейшей возможности их восстановления [1]. После на экране пользователя появляется предупреждение о данном инциденте и предложение о выкупе программы ключа, непосредственно для расшифровки всех утерянных данных. Также важно отметить, что все зашифрованные данные, передаются злоумышленнику, что влечет за собой утечку данных, необходимо учитывать этот факт при разборе инцидента.

Вредоносное ПО действует незаметно для обычного пользователя, “шифровальщик” остается незаметным даже для антивирусов, так как большинство антивирусов работают сигнатурно, новый вид вируса с легкостью может заполучить конфиденциальную информацию. Причиной этому служит принцип работы малвари. Скрипт, прописанный в вирусе не подходит под поведенческий анализ вредоносного ПО, именно из-за этого антивирус воспринимает его за действия пользователя.

Шифровальщик использует криптографию для захвата личных файлов и документов, удержания их для требования выкупа. Многие пользователи, будь то частные лица или организации, активно практикуют процедуры безопасности, такие как регулярное резервное копирование. Но необходимо учитывать тот факт, что при отсутствии сегментации сети, ransomware способен зашифровать и резервные копии, поэтому данный способ не эффективен в борьбе с данным классом вирусов [2].

Распространение вируса

Заражение программами-вымогателями осуществляется несколькими способами, некоторые из которых описаны ниже:

  • Путем перенаправления пользователя на сервер злоумышленника или путем заманивания конечного пользователя вредоносной рекламой, предлагающей бесплатные обновления или загружаемые игры. Эти сайты на самом деле содержат вредоносные программы и эксплойты в приложениях, которые загружаются в фоновом режиме, установка осуществляется в систему пользователя и использует уязвимости в антивирусах.
  • Через вложение в электронном письме - это еще один метод, используемый для того, чтобы заставить пользователей открывать вложения электронной почты или переходить по ссылкам на веб-порталы с вредоносными программами. Электронные письма с определенным содержанием, начиная от счетов за электроэнергию, страховки, налогов, юридических уведомления о вакансиях.

Инциденты

Датская компания ISS A/S, которая занимается содержанием и сдачей зданий, была атакована шифровальщиком. База данных компании была зашифрована вирусом-шифровальщиком, это привело к отключению от сервисов более тысяч сотрудников. На восстановление работоспособности и проведение исследования инцидента потребовался месяц, а потери составили около 75–114 млн.$.

Популярный поставщик IT-услуг Cognizant пострадал от шифровальщика 18 апреля от вируса Maze. ПО и сервисы, предоставляемые данной компанией для обеспечения удаленный работы, были недоступны продолжительное время. Нужно отметить, что Cognizant повели себя очень правильно в ситуации опустившей их репутацию. Компания официально признала атаку шифровальщика и предупредила о компрометации конфиденциальных данных своих клиентов. Ущерб компании составил 50–70 млн.$, а на восстановление работоспособности составило 3 недели.

Приведённые статистические примеры показывают необходимость подробного анализа инцидентов вирусных атак злоумышленников на сервисы компаний. Необходима разработка мер предотвращения возможных заражений пользователей, обучение персонала компании базовым правилам работы в Интернете, исключающих потенциально возможные финансовые и репутационные риски [3].

Распознавание на этапе проникновения

При скачивании файлов из интернета, наибольшее опасение должны вызывать скрипты JavaScript и Visual Basic, с расширением JS и VBS, а также исполняемые файлы, которые имеют расширение -EXE и SCR. Перед скачиванием файла формата docx и xlsx, необходимо убедиться, что в файлах нет макросов, OC Windows запросит разрешение выполнения макрокоманд, при открытии файлов данного формата.

Стоит отметить, что ransomware часто пытаются замаскировать с помощью ярлыков, знакомых программ, Windows демонстрирует файлы с любыми иконками, хотя разрешение у файла может быть другим. Необходимо помнить, при работе с OC Windows, известные типы файлов скрываются, поэтому формат txt может быть только в имени файла, а расширение у файла будет другое [4].

Данные методы, могут легко запутать невнимательного пользователя, как известно, шифровальщики чаще всего содержатся в zip файлах. Хоть расширение файла легко можно скрыть в OC Windows, но на данный момент, существует множество способов, выяснить до запуска софта [5]. Разберем данное утверждение на примере вируса-шифровальщика Trojan.Downloader. Вирус находится в файле nd75150946.pdf. Файл попадает в каталог «Загрузки», но до запуска и установки, вирус не активируется (рисунок 1. Вредоносное ПО под видом PDF-файла).

image001

Рисунок 1. Вредоносное ПО под видом PDF-файла.

Данный файл, необходимо открыть в HEX-редакторе (приложение для редактирования и просмотра файлов, содержащей двоичные данные), для опровержения, либо удостоверения в его расширении (рисунок 2). Действительный формат файла). Буквально в самом начале, наблюдается комбинаций из этих цифр и букв: 50 4B 03 04, что соответствует заголовкам zip-архивов, а также, можно наблюдать истинное расширение файла. (scr).

 image002

Рисунок 2. Действительный формат файла.

Методы обнаружения

Некоторые из [6] существующих вариантов обнаружения и блокировки вредоносных программ, предлагаемые антивирусными компаниями и компаниями, занимающимися облачной безопасностью (Таблица 1).

  • Динамический анализ – автоматический анализ подозрительных файлов, которые сканируются и анализируются на наличие уникальных отпечатков и подписей или воздействия с помощью инструменты. Отчеты создаются в конце анализа с такой информацией, как ключи реестра, используемые вредоносными программами, выполненные изменения конфигурации, тенденция устройства, файла или сетевой активности. Однако автоматическое сканирование не обязательно дает подробные сведения. это сканирование на основе сигнатур, сравнивающее и сопоставляющее базу данных известных вредоносных программ,
  • Статический анализ – ручной анализ с глубоким анализом активности вредоносного файла с учетом заголовков файлов, встроенных ресурсов, полезной нагрузки, хэшей, сигнатур, метаданных и множества других анализируемых свойств. Здесь выполняются эвристические сканирования, не требующие сигнатурного анализа. Алгоритмы правил, команды или указывающие на его вредоносные свойства оцениваются для обнаружения вредоносного ПО.
  • Облачные службы – использование IaaS для создания виртуализированной среды, записи и анализа поведения вредоносных файлов и прогнозирования следующего действия или события. Это защита в режиме реального времени, и система обновляется несколько раз в день, чтобы смягчить вектор атаки нулевого дня. Система интегрируется с антивирусными ядрами с помощью легковесного агента, работающего на пользовательских устройствах (ноутбуках, настольных компьютерах, мобильных устройствах) для отслеживания любых отклонений или новых файлов на пользовательских устройствах [7].

Таблица 1. Сравнительный анализ методов обнаружения.

 

Преимущества

Недостатки

Статический анализ

Преимуществами статического анализа являются достаточно

быстрое получение желаемого

результата, безопасность системы, принимая во внимание минимальные меры

предосторожности, нет нужны в подготовки специальной среды.

Усложнение проведения метода

статического анализа достигается путём применения к исходному коду вредоносного ПО методов обфускации, самомодификации, упаковки и шифрования.

Динамический анализ

Основными преимуществами данного подхода являются

быстрое изучение функциональности вредоносного

Сложность проведения метода динамического анализа заключается в невозможности

применения метода в

 

 

ПО и предоставление возможности интегрирования

низкоуровневых механизмов анализа.

изолированной среде, т.е. до прямого воздействия на систему

вредоносное ПО будет выдавать себя за безопасное.

Облачные службы

Основными преимуществами подхода является существенное снижение нагрузки на

вычислительную мощность АРМ, автоматическое обнаружение и классификация новых видов

вредоносного ПО

Главным недостатком метода использования облачных служб является зависимость от

пропускной способности сетевого соединения и низкая скорость

реакции при передачи объёмных объектов по сети.

Методика безопасности

Своевременная подготовка к атакам шифровальщика является наилучшей стратегией при проведении мер защиты для предприятия, а также для конкретного пользователя. Как выяснилось, наиболее популярное проникновение, среди программ-вымогателей, на компьютер является почта. Из этого вытекает необходимость приобретения спам-фильтров, которые блокировали бы все исполняемые вложения, а также отображали расширение файлов, что снизит вероятность случайного открытия файлов  [8].

Т.к. в данном вопросе, большую роль играет человеческий фактор, поэтому стоит учитывать проникновение шифровальщика заранее. Чтобы минимизировать время простоя и ущерб компании,

необходимо задуматься о регулярном обновлении резервных копий, в защищенном облаке всей важной информации для работоспособности. Необходимо помнить, что на данный момент не существует

надежного комплексного решения для защиты от шифровальщиков, поэтому при работе в интернете, необходимо следовать неким правилам безопасности, а именно:

  • Нельзя посещать «сомнительные сайты».
  • Игнорирование писем сомнительного содержания.
  • Регулярное обновление ОС.
  • Использование
  • Ограничение прав доступа к важным папкам.
  • Установка паролей на важные документы.

Ransomware-as-a-Service

Популярность электронных валют, таких как биткоин, значительно выросла, и существование этих анонимных платежных механизмов играет на руку киберпреступникам и обеспечивает более прямой метод монетизации их деятельности.

Программы-вымогатели широко распространили использование биткоина для выплат выкупа. Поскольку преступники стремились обеспечить свою анонимность, они использовали услуги по отмыванию денег, которые появились как часть криминальной системы. Эти услуги по отмыванию денег также известны как «смешанные услуги», где платеж за выкуп передается через несколько биткоин- кошельков, чтобы еще больше скрыть следы преступников.

Из-за скрытого характера программ-вымогателей прибыльность преступных действий неясна, но что несомненно, так это то, что вымогатели процветают. В сочетании с шокирующей правдой о том, что большинство интернет-пользователей не знают, что такие угрозы, как программы-вымогатели, даже существуют, и поэтому они мало что делают, для своей защиты.

Первоначально киберпреступники получали прибыль, воруя данные и продавая их на подпольных рынках, но цена на украденные данные значительно упала. Преступники искали новые источники дохода и в последствии они расширили этот источник дохода, разработав RaaS, который снизил уровень входа технологий в преступный мир вымогателей. RaaS позволил преступникам с небольшими навыками программирования участвовать и зарабатывать деньги на программах-вымогателях [9].

RaaS (Ransomware-as-a-Service) – является схемой создателей программ-шифровальщиков, которые сдают свои вирусы в аренду тем, кто желает заняться её распространением за определенный процент с дохода вируса. Данный  тип услуги чем-то напоминает “SaaS”(Программное обеспечение

сдающееся в аренду), главное отличие в законности услуг. Все это способствует активному распространению вирусов-вымогателей.

Заключение

В статье был рассмотрен тип компьютерного вируса ransomware, его особенности нанесения ущерба, а также пути проникновения в компьютер пользователя. Шифровальщик представляет собой значительную угрозу, как для обычных пользователей, так и для крупный компаний. Входе статьи было выяснено, что профилактика в борьбе с данным вирусом работает эффективнее, нежели дальнейшее лечение АРМ. Поэтому нами были рассмотрены методы обнаружения без специальных программ, для эффективной защиты данных и виды анализов пользовательских устройств. Представлены популярные примеры нанесения вреда работоспособности сервисов и репутации компаний. Описана методика подготовки, как персонала, так и обычных пользователей к потенциальным атакам.

Список литературы

  1. Исследование кибератак ransomware / В. В. Косенков, А. В. Богданов, А. В. Елфимов, И. А. Ушаков // Прорывные научные исследования: актуальные вопросы теории и практики: сборник статей Международной научно-практической конференции, Пенза, 30 декабря 2021 года. – Пенза: Наука и Просвещение (ИП Гуляев Г.Ю.), 2021. – С. 55-61. – EDN KCVHWO.
  2. Макандар А., Патрот А. Распознавание классов вредоносных программ с использованием методов обработки изображений, 2017 Международная конференция по управлению данными, аналитике и инновациям (ICDMAI), 2017, с. 76-80, doi: 10.1109/ICDMAI.2017.8073489.
  3. Штеренберг С. И., Красов А. В., Цветков А. Ю. Компьютерные вирусы. Ч. 1. СПб.: СПбГУТ, 2015. 62 с.
  4. Буйневич М. В., Израилов К. Е., Матвеев В. В., Покусов В. В. Способ вариативной классификации уязвимостей в программном коде. Часть 1. Стратификация и категориальное деление // Автоматизация в промышленности. 2021. № 11. С. 42-49. DOI: 10.25728/avtprom.2021.11.09.
  5. Chen Q. and Bridges R. A. Automated Behavioral Analysis of Malware: A Case Study of WannaCry Ransomware," 2017 16th IEEE International Conference on Machine Learning and Applications (ICMLA), 2017, p. 454-460, doi: 10.1109/ICMLA.2017.0-119.
  6. Gazet A. Comparative analysis of various ransomware virii. J Comput Virol 6, 77-90 (2010). https://doi.org/10.1007/s11416-008-0092-2.
  7. Souri A., Hosseini R. A state-of-the-art survey of malware detection approaches using data mining techniques. Hum. Cent. Comput. Inf. Sci. 8, 3 (2018). https://doi.org/10.1186/s13673-018-0125-x.
  8. Tailor J. P., Patel A. D.: A comprehensive survey: ransomware attacks prevention, monitoring and damage control. Int. J. Res. Sci. Innov. 4, 2321-2705 (2017).
  9. You W. et al. ProFuzzer: On-the-fly Input Type Probing for Better Zero-Day Vulnerability Discovery, 2019 IEEE Symposium on Security and Privacy (SP), 2019, p. 769-786, doi: 10.1109/SP.2019.00057.

Интересная статья? Поделись ей с другими: