Bash 2.0 вирус-вымогатель

Программы-вымогатели остаются одной из самых разрушительных угроз для частных лиц и организаций. Одно успешное проникновение может зашифровать ваши файлы, остановить работу компании и отдать конфиденциальные данные в руки вымогателей. Проактивная защита, многоуровневые средства безопасности, бдительность пользователей и надежное резервное копирование всегда обойдутся дешевле, чем платить злоумышленникам (и все равно не получить свои данные обратно). Программа-вымогатель Bash 2.0, также известная как Bash Red, служит своевременным напоминанием о том, что новые семейства продолжают совершенствовать проверенный код атак, совершенствуя при этом тактику давления на жертв.

ВСТРЕЧАЙТЕ BASH 2.0 (BASH RED)

Исследователи обнаружили Bash 2.0, исследуя активность новых вредоносных программ. Угроза основана на кодовой базе вируса-вымогателя Chaos, фреймворке, который неоднократно использовался в нескольких ответвлениях. Использование Chaos даёт злоумышленникам преимущество: базовые функции шифрования, обработки файлов и процедур отправки записок о выкупе уже реализованы и могут быть настроены для новых кампаний. Bash 2.0 использует эти унаследованные возможности для блокировки данных и вымогательства платежей.

ЧТО ПРОИСХОДИТ С ВАШИМИ ФАЙЛАМИ

После запуска Bash 2.0 в системе он пытается зашифровать доступные данные. Каждый зараженный файл получает дополнительное расширение, состоящее из четырёх случайных символов, превращая, например, «1.png» в «1.png.2rf9» (случайный суффикс меняется в зависимости от заражения). Такое переименование помогает злоумышленникам (и автоматизированным инструментам) отслеживать заблокированные данные, мгновенно сообщая жертвам, что их данные больше не подлежат использованию. Программа-вымогатель также изменяет обои рабочего стола, чтобы визуально усилить сообщение о вымогательстве.

ПОСЛАНИЕ С ТРЕБОВАНИЕМ ВЫКУПА: BASHRED-README.TXT

После завершения шифрования Bash 2.0 выводит текстовую записку с именем «bashred-reAdmE.txt». В сообщении жертве сообщается, что файлы зашифрованы, и утверждается, что единственный способ восстановить данные — получить уникальный ключ дешифрования и программное обеспечение от злоумышленников. Жертвам предлагается связаться с ними и заплатить; в записке предупреждается, что переименование, изменение или попытка самостоятельного расшифровывания заблокированных данных может привести к их необратимому повреждению. Смена обоев обычно повторяет те же темы, что усиливает ощущение срочности.

НАСКОЛЬКО РЕАЛЬНО ВОССТАНОВЛЕНИЕ ДАННЫХ?

В большинстве случаев, связанных с программами-вымогателями, расшифровка без участия злоумышленников технически невозможна, поскольку шифрование разработано с учётом криптографической стойкости. Лишь в редких случаях, обычно при серьёзных ошибках в реализации, создатели вредоносных программ допускают серьёзные ошибки. Даже оплата не гарантирует: жертвы регулярно сообщают, что не получают рабочие инструменты, получают частичные дешифраторы или сталкиваются с поддельными ключами. Оплата также финансирует дальнейшие преступные действия, что потенциально делает вас повторной целью. По этим причинам специалисты по безопасности настоятельно не рекомендуют соглашаться на требования выкупа.

ОСТАНОВКА КРОВОТЕЧЕНИЯ: УДАЛЕНИЕ И ЛОКАЛИЗАЦИЯ

Устранение Bash 2.0 из зараженной среды крайне важно для предотвращения дальнейшего шифрования файлов и распространения угрозы на подключенные системы. Однако очистка от вредоносного ПО не расшифровывает уже заблокированные данные. Полное восстановление данных возможно только при наличии безопасных, автономных и нескомпрометированных резервных копий. Перед восстановлением изолируйте пораженные машины от сети, выполните полное сканирование на наличие вредоносных программ с помощью обновленных инструментов и восстановите систему или создайте новый образ, если нет уверенности в надежности. Подключайте восстановленные системы только после того, как убедитесь, что они чистые.

КАК BASH 2.0 РАСПРОСТРАНЯЕТСЯ В ДИКОЙ СРЕДЕ

Злоумышленники используют широкую сеть. Распространенные векторы распространения, связанные с кампаниями по вымогательству и имеющие отношение к Bash 2.0, включают:

• Вредоносные вложения или ссылки, распространяемые через спам, фишинг или платформы социальных сетей.
• Встроенные или троянизированные установщики, выдающие себя за легальное программное обеспечение, игры, медиакодеки или инструменты повышения производительности.
• Попутные загрузки, инициированные через взломанные или вредоносные сайты, часто с помощью вредоносной рекламы.
• Каналы загрузки сторонних программ, бесплатного ПО и одноранговых сетей со слабым контролем целостности.
• Нелегальные «кряки» программного обеспечения, генераторы ключей и поддельные утилиты активации, которые незаметно доставляют полезные данные.
• Поддельные запросы на обновление (браузера, плагина, ОС или приложения), которые устанавливают вредоносное ПО вместо исправлений.

Некоторые сборки угроз способны к горизонтальному перемещению или самораспространению, пытаясь проникнуть через локальные сети или скопировать себя на съемные носители, такие как USB-накопители и внешние диски.

ЛУЧШИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ДЛЯ УКРЕПЛЕНИЯ ВАШЕЙ ЗАЩИТЫ

• Поддерживайте версии резервных копий, храните их в автономном режиме и регулярно проверяйте. Храните как минимум один набор резервных копий вне сети (предпочтительно использовать неизменяемое хранилище или носитель с однократной записью).
• Поддерживайте операционные системы, приложения, пакеты безопасности и прошивки в актуальном состоянии. Включайте автоматическое обновление, где это возможно.
• Развертывайте надежные решения по борьбе с вредоносными программами/EDR с функциями поведенческого обнаружения программ-вымогателей и отката.
• Используйте фильтрацию электронной почты, изоляцию вложений и шлюзы сканирования ссылок, чтобы снизить риск фишинга; научите пользователей выявлять поддельных отправителей и неожиданные вложения.

• Отключите или ограничьте макросы и активное содержимое в форматах документов; открывайте нежелательные документы в защищенном режиме.

• Работайте с учетными записями пользователей с минимальными привилегиями; резервируйте административные учетные данные для специальных защищенных сеансов.

• Сегментируйте сети и применяйте контроль доступа так, чтобы одна скомпрометированная конечная точка не могла получить доступ ко всем критически важным общим ресурсам.

• Требуйте многофакторную аутентификацию для удаленного доступа, привилегированных действий и резервных консолей администрирования.

• Отключите автозапуск/автовоспроизведение на съемных носителях; сканируйте внешние диски перед монтированием в производственные системы.

ЗАКЛЮЧИТЕЛЬНЫЕ МЫСЛИ

Программа-вымогатель Bash 2.0 наглядно демонстрирует, как быстро злоумышленники могут перепрофилировать существующие кодовые базы для создания новых инструментов вымогательства. Защитники, полагающиеся исключительно на сигнатурное обнаружение или реакцию в последнюю минуту, окажутся в невыгодном положении. Сочетание дисциплинированных стратегий резервного копирования, строгой гигиены исправлений, многоуровневой защиты конечных точек и электронной почты, минимизации привилегий и отработанных стратегий реагирования значительно снижает как вероятность, так и последствия атак программ-вымогателей.