trend micro. Карен Карагедян. "ransomware: платить нельзя...

Ransomware:платитьнельзязащититьсяМарт2017

Copyright2016TrendMicroInc.2

Эволюцияпрограмм-вымогателей

Copyright2016TrendMicroInc.

Шифровальщики20%

Блокировщики80%

Q4’2014отношениепрограмм-вымогателей кпрограммам-шифровальщикам

Copyright2016TrendMicroInc.

Q4’2015:отношениепрограмм-вымогателей к

программам-шифровальщикам

Блокировщики 17%

Шифровальщики83%

Copyright2016TrendMicroInc.

Q4’2014отношениепрограмм-вымогателейкпрограммам-

шифровальщикам

Шифровальщики20%

Блокировщики 80%

Copyright2016TrendMicroInc.6

Январь2016— программы-вымогатели

ФОРМАОПЛАТЫ

СПАМ

2BTC

КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНОИУДАЛЯЮТСЯ

ПУБЛИЧНЫЙКЛЮЧБЕРЁТСЯСC&C

КЛЮЧШИФРОВАНИЯНАСЕРВЕРЕ

ФАЙЛЫБД

Нужносвязатьсясавторомдляполученияинструкцийпооплате

СПАМ СПАМ СПАМ СПАМ СПАМ

13BTC 0.5BTC 1BTC 0.1BTC

НЕТСООБЩЕНИЯОВЫКУПЕ

ЧИСЛОДЕТЕКТОВ ВSPN

РАСПРОСТРАНЕНИЕ

ШИФРУЕМЫЕ ДАННЫЕ

ФАЙЛЫБД

ЛИЧНЫЕФАЙЛЫ ЛИЧНЫЕФАЙЛЫ

ТОЛЬКОЛИЧНЫЕФАЙЛЫ

КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО

КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО

ПРИВАТНЫВЙ КЛЮЧНАСЕРВЕРЕ

КРИПТОГРАФИЯ

САМОУНИЧТОЖЕНИЕ

ФАЙЛЫБД ФАЙЛЫБДВЕБ-СТРАНИЦЫФАЙЛЫБД

+

КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО

CRYPNISCA CRYPRITUCRYPRADAM CRYPJOKERLECTOOL EMPER MEMEKAP

НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ

LECTOOL EMPER CRYPRADAMMEMEKAP

CRYPNISCA CRYPJOKER CRYPRITU

Маскируется подприкрепленный PDF-

файл

Copyright2016TrendMicroInc.7

Февраль 2016— программы-вымогатели

САМОУНИЧТОЖЕНИЕ

ЛИЧНЫЕФАЙЛЫ ЛИЧНЫЕФАЙЛЫ

LOCKYCRYPHYDRA

ИНСТРУМЕНТАРИЙДЛЯУДАЛЁННОГО ВЗЛОМА

SYNCMANGERLOGGER

СПАМВВИДЕ СЧЕТАНАОПЛАТУ

Маскируется подприкрепленный PDF-файл

СПАМ СПАМ

1BTC 0.5- 1BTC2BTC536GBP

1.505BTC0.8BTC$350

400долларовзаплатитьавторупоинструкции

ФАЙЛЫБД

ТОЛЬКОЛИЧНЫЕФАЙЛЫ

ВЕБ-СТРАНИЦЫ

+ ТОЛЬКОЛИЧНЫЕФАЙЛЫ

КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО

КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО

КЛЮЧИГЕНЕРИРУЮТСЯЛОКАЛЬНО КЛЮЧШИФРРОВАНИЯ

БЕРЕТСЯСC&CПУБЛИЧНЫЙКЛЮЧ

БЕРЁТСЯСC&CПУБЛИЧНЫЙКЛЮЧ

БЕРЁТСЯСC&C

ФАЙЛЫБДКОД

КОШЕЛЕК

MADLOCKERCRYPDAP CRYPZUQUITCRYPGPCODE

МАКРОСИЛИПРИКРЕПЛЕННЫЙJS

НЕТНЕТНЕТНЕТНЕТ

CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT MADLOCKER LOCKY

ФОРМАОПЛАТЫ

ЧИСЛОДЕТЕКТОВ ВSPN

РАСПРОСТРАНЕНИЕ

ШИФРУЕМЫЕ ДАННЫЕ

КРИПТОГРАФИЯ

Copyright2016TrendMicroInc.8

ФОРМАОПЛАТЫ

ЧИСЛОДЕТЕКТОВ ВSPN

РАСПРОСТРАНЕНИЕ

ШИФРУЕМЫЕ ДАННЫЕ

КРИПТОГРАФИЯ

Март 2016— программы-вымогатели

САМОУНИЧТОЖЕНИЕ

ЛИЧНЫЕФАЙЛЫ ЛИЧНЫЕФАЙЛЫ

KeRanger

ФАЙЛЫСМАКРОСАМИ

ИГРЫ

CRIPTOSO

1.18– 2.37BTC$500— $1000

TEAMVIEWER

ПЕРЕЗАПИСЫВАЕТMBR

0.99– 1.98BTC$431— $862

1BTCиувеличивается на1BTCежедневно

ФАЙЛЫВОЗВРАТА

НАЛОГОВ США

COVERTON

1 BTC

ИНСТРУМЕНТАРИЙДЛЯУДАЛЁННОГО ВЗЛОМА

СПАМСПАМВВИДЕ УСЛОВИЙ

ПРЕДОСТАВЛЕНИЯ УСЛУГИПРИКРЕПЛЕННЫЙМАКРОС,

ЗАГРУЖАЮЩИЙКОДПОИСКРАБОТЫ СО

ССЫЛКОЙНАDROPBOXМАКРОСИЛИ

ПРИКРЕПЛЕННЫЙJSИНСТРУМЕНТАРИЙДЛЯУДАЛЁННОГОВЗЛОМА

+

1.24-2.48BTC 1BTC 1.3BTC

ФАЙЛЫБД ФАЙЛЫБД

1.4– 3.9BTC$588— $1638

0.5— 25BTC

ФАЙЛЫБДRJL

ИГРЫ КОШЕЛЕКФИНАНСОВЫЕ

ФАЙЛЫ

ПУБЛИЧНЫЙКЛЮЧБЕРЕТСЯСC&C

КЛЮЧAESГЕНЕРИРУЕТСЯЛОКАЛЬНОПУБЛИЧНЫЙКЛЮЧ

БЕРЕТСЯСC&C

ПЯТЬПАРКЛЮЧЕЙГЕНЕРИРУЮТСЯ

ЛОКАЛЬНО.ОДИНКЛЮЧТРЕБУЕТ КЛЮЧRSA

ПРИВАТНЫЙКЛЮЧВЫДАЕТСЯПОСЛЕОПЛАТЫ ПРИВАТНЫЙКЛЮЧ

ВЫДАЕТСЯПОСЛЕОПЛАТЫ

ПРИВАТНЫЙКЛЮЧВЫДАЕТСЯПОСЛЕОПЛАТЫ

ПРИВАТНЫЙКЛЮЧВЫДАЕТСЯПОСЛЕОПЛАТЫ

ПРИВАТНЫЙКЛЮЧВЫДАЕТСЯПОСЛЕ

ОПЛАТЫ

Онразговаривает!

Уникально

Уникально

СценарийнаPowershell

TESLA4.0CERBER CRYPAURA PETYAMAKTUB SURPRISEPowerware

НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ

CERBER CRYPAURA KERANGERTESLA

MAKTUB SURPRISE PETYA POWERWARE CRYPTOSO COVERTON

APPSTORE

http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-crypto-ransomware-speaks-sold-russian-underground/

Copyright2016TrendMicroInc.9

Программы-вымогателивцифрах

–Форбс,февраль 2016

Числосистем,заражаемыхLocky вдень

90,000

$200-10kХарактерныйразмервыкупа

– ФБР,апрель2016

69,000++Числообразцов,обнаруженных в2015 г.

– TrendLabs,2016

Copyright2016TrendMicroInc.10

Какэтоработает

Всевозможныеканалыпроникновения

Данныешифруются

Требование выкупа ПлатизаРасшифровку

данных

Восстанавливайизрезервнойкопии

ИЛИ

Copyright2016TrendMicroInc.11Подробнее: http://blog.trendmicro.com/trendlabs-security-intelligence/youtube-ads-lead-to-exploit-kits-hit-us-victims/

Более100тысячжертвза30дней

Распространениечерезрекламныесети

Примерысообщений,содержащихCryptoWall

12

BETTERCALLSAUL

Copyright2016TrendMicroInc.14

Защитаотпрограмм-вымогателей

ОбучениепользователейОсведомленность, лучшиепрактики,проверка

УлучшениеуровнязащитыПоследниеверсии,веб-репутация, поведенческийанализ,дополнительныетехнологии

ОтказотвыплатывыкупаВыплатамотивируетзлоумышленниковнадальнейшиеатаки

СвоевременнаяустановказаплатМинимизациявероятностивзломачерезуязвимости

КонтрольдоступаОграничениедоступаназапись кважнымдлябизнесаданнымдлябольшинствасотрудников

Резервноекопирование(3-2-1)Автоматизированное:три копии,дваформата,однакопияхранитсябезподключения ксети

Copyright2016TrendMicroInc.15

ЗащитаTrendMicroотпрограмм-вымогателей

СЕТЕВАЯЗАЩИТА

ГИБРИДНАЯОБЛАЧНАЯБЕЗОПАСНОСТЬ

ЗАЩИТАПОЛЬЗОВАТЕЛЯ

ВИЗУАЛИЗАЦИЯИУПРАВЛЕНИЕ

Copyright2016TrendMicroInc.16

Целипрограмм-вымогателей

Серверы

Атакнасервераотносительномало,ноуронможетбытьоченьбольшим

Большаячастьпрограмм-вымогателейиспользуетизвестныеуязвимости

VulnerabilityShieldingagainstunknownthreats

Blockslateralmovement

Copyright2016TrendMicroInc.17

Сеть

Серверы

Целипрограмм-вымогателей

Вероятнаяточкавхода

Распространениекдругимпользователяминасерверы

Пользователи

Сети

Целипрограмм-вымогателей

Серверы

Конечныеточки—самаявероятнаяцель

Вебицелевойфишинг — наиболеетипичныеметодыатаки

Copyright2016TrendMicroInc.19

«Песочница» Экранированиеуязвимостей

Контрольприложений

Веб-шлюз

Шлюзэлектронной

почты

Контрольповеденияпрограмм-

вымогателей

Выявлениеособыхугроз

Защитаотцелевогофишинга

РепутациясайтовиIP-адресов

«Песочница»Экранированиеуязвимостей

КонечныйузелСетьСервер

Copyright2016TrendMicroInc.20

Объединенная защитаотугроз:Лучшаяиболеебыстраязащита

Централизованнаясквознаявизуализация,

анализиоценкавлиянияугроз

Оперативнаяреакция,благодаря

своевременнойинформацииоб

угрозахиобновленийвреальномвремени

Детектированиеособыхтиповвредоносногокодаистранногоповедениясети,незаметныхдлястандартныхсредствбезопасности

Выявлениепотенциальныхуязвимостейипревентивнаязащитаконечныхточек,серверовиприложений

ЗАЩИТА

ОБНАРУЖЕНИЕ

РЕАКЦИЯ

ВИЗУАЛИЗАЦИЯИУПРАВЛЕНИЕ

Защитаотпрограмм-вымогателейнаконечныхточках

1. Традиционныйподход– Зависитотсигнатур

программ-вымогателей– Предоставляет

специальныеинструментыдлясдерживанияраспространения

3. Передовыетехнологии– Контрольприложенийсцелью

выявленияпроцессов,шифрующихфайлы

– Исключениеизанализалегитимныхпроцессов

– Блокировкаиперемещениевкарантин

Конкурирующиерешениявосновномиспользуютпервыйивторойподходы,втовремя,когдапродуктыTrendMicroиспользуютвсетри,атакжеподходнаосновебелыхсписков

2. Поведенческий анализ– Выявляетповедение,

характерноедляпрограмм-вымогателей

Copyright2016TrendMicroInc.22

• Несложнореализовать,благодаряавтоматическомупостроениюбелогоспискасиспользованиемдинамическихправил:

+ Репутационный рейтинг выше«★★★☆☆»

+ Использованиевмиревышесреднего

+ Обнаруженоболее7днейназад

+ Категорияне «BrowserandBrowserTools»

Контрольприложений

Copyright2016TrendMicroInc.23

Вопросы

Copyright2016TrendMicroInc.24

Спасибо!HTTP://WWW.TRENDMICRO.COM.RU/VINFO/RU/SECURITY/DEFINITION/RANSOMWARE