Вредоносная активность в Казнете!!! Рекомендации для пользователей.

Служба реагирования на компьютерные инциденты KZ-CERT предупреждает о ВСПЛЕСКЕ АКТИВНОСТИ в казахстанском сегменте Интернет вредоносного программного обеспечения.

Службой KZ-CERT только в I квартале 2019 года выявлено порядка 200 интернет-ресурсов, содержащих вредоносное программное обеспечение.

Анализ полученных материалов показал, что наиболее распространенными являются следующие вредоносные ПО.

Угроза Win32/TrojanDownloader способна загружать другое вредоносное программное обеспечение из Интернета, запускать исполняемые файлы и осуществлять другие команды злоумышленников. Помимо указанного, данная троянская программа получает возможность осуществляет сбор информации о данных пользователя и его системном блоке, о перечне запущенных процессов, об установленном антивирусном обеспечении на персональном компьютере жертвы, а также передавать данные на удаленную машину. После исполнения всех мошеннических действий угроза самостоятельно удаляется с зараженного компьютера.

Угроза Win32/Filecoder.WannaCryptor – это троян-шифратор, которыйшифрует ценные файлы, базы данных, почту жертвы и после чего выводит на экран требование выкупа за восстановление доступа. Масштаб эпидемии обусловлен его связкой с эксплойтом EternalBlue для сетевой уязвимости Microsoft Windows.

Microsoft выпустила обновление безопасности MS17-010, закрывающее данную уязвимость, еще 14 марта 2017 года. Однако, предложенный патч до настоящего времени установлен далеко не на всех рабочих станциях, что обусловило массовый характер атаки.

В отличие от множества шифраторов, распространяющихся в спам-рассылках, WannaCryptor имеет возможность «заразить» рабочие станции без непосредственного участия пользователя. Вредоносная программа сканирует сеть на предмет незащищенных узлов, затем следует установка шифратора, который, в свою очередь, блокирует доступ к файлам.

Угроза SMB/Exploit.DoublePulsar — это бэкдор, разработанный группировкой Equation Group и опубликованный хакерской группой The Shadow Brokers в начале 2017 года. Компания Microsoft исправила недостатки в мартовском обновлении, но последние отчёты свидетельствуют о том, что многие владельцы персональных компьютеров не использовали исправления Microsoft, а до сих пор применяют неподдерживаемую версию Windows.

Данный инструмент, в итоге, всего за несколько недель успешно атаковал более 500 000 персональных компьютеров под управлением ОС семейства Microsoft Windows. Вредоносная программа доставляется через TCP-порт 445 с помощью эксплойта EternalBlue, использующего уязвимость в реализации протокола SMB (Server Message Block). После публикации сведений об уязвимости, группа хакеров 12 мая 2017 г. выпустила в сеть вирусную программу WannaCry, представляющую собой сетевого червя-вымогателя.

Следующей в списке распространенных вредоносных ПО является угроза JS/CoinMiner, которая используется для скрытой добычи криптовалюты. Вредоносный скрипт злоумышленники размещали как на фальшивых ресурсах, так и на зараженных легитимных сайтах.

С подобным функционалом также распространенными являются такие вредоносные программы, как Win32/CoinMiner и Win64/CoinMiner.

Угроза Win32/MediaGet - вредоносная программа, которая после попадания на компьютер жертвы устанавливала расширение браузера, добавляла файлы для запуска во время загрузки системы и проникала в другие процессы устройства. Киберпреступники часто использовали эту угрозу для загрузки вредоносных приложений, например, рекламного программного обеспечения.

Кроме этого, активным оставалось и программное обеспечение, предназначенное для показа рекламных сообщений. В частности, такие рекламные вредоносные программы, как Win32/Adware.PBot и Win32/Adware.FotopApps.

В связи с повышенной активностью вредоносных программ Служба KZ-CERT рекомендуют пользователям быть предельно осторожными при работе в сети Интернет, а также использовать комплексные антивирусные решения для эффективной защиты личных данных и конфиденциальной информации.

Рекомендации KZ-CERT

Как защитить компьютер от вредоносных программ?

Вредоносные программы зачастую распространяются в приложении с другими файлами, поэтому не открывайте вложения электронной почты, отправленные с неизвестных Вам ресурсов. Никогда не принимайте файлы от незнакомых Вам пользователей, а также проявляйте осторожность, когда открываете файлы с расширением: AVI, EXE, JPG и т. д.

Если Вы подозреваете, что Ваш компьютер заражен вредоносной программой:

- Приостановите любую деятельность, которая связана с использованием логинов, паролей и другой конфиденциальной информации.

-Используйте антивирусное ПО для защиты Вашей системы от возможных онлайн-угроз. Установите антивирусные и антишпионские программы из надежных источников.

- Убедитесь, что Ваша антивирусная программа обновлена, сканирует компьютер и удаляет все программы, которые определяются как вредоносные. Зачастую, в спешке есть вероятность невнимательно прочитать всплывающее сообщение, которое содержит неверную информацию об окончании проверки компьютера и обнаружении вредоносных программ. В подобном сообщении обычно предлагают загрузить фальшивое программное обеспечение, которое широко используется для распространения вредоносных программ.

- Никогда ничего не загружайте в ответ на предупреждение программы, предлагающей защитить ваш компьютер или удалить вирусы, которую вы не устанавливали или которая вам не известна. Велика вероятность заражения вирусами.

Регулярно обновляйте программное обеспечение

Киберпреступники крайне изобретательны в своих попытках использовать уязвимости в программном обеспечении. Поэтому необходимо:

Регулярно устанавливать обновления для всего вашего программного обеспечения – антивирусные и антишпионские программы, операционные системы, программы обработки текстов и прочие программы.

Включать функции автоматического обновления программного обеспечения, когда таковое доступно.

Удалить программное обеспечение, которое вы не используете. Используйте надежные пароли и храните их в секрете

Надежные пароли должны состоять минимум из 10-14 символов и содержать сочетание букв, цифр и символов.

Никому не раскрывайте свои пароли.

Не используйте одинаковый пароль на своих персональных компьютерах и интернет-ресурсах, иначе вся информация подвергнется риску.

Создавайте разные надежные пароли для маршрутизатора и беспроводного соединения дома. О том, как это сделать, узнайте в компании, предоставляющей маршрутизатор.

Никогда не отключайте брандмауэр!

Брандмауэр создает защитный заслон между вашим компьютером и Интернетом. Выключение брандмауэра даже на минуту увеличивает риск заражения ПК вредоносной программой.

Осторожно используйте флеш-накопители.

Минимизируйте возможность заражения компьютера вредоносным ПО:

Не вставляйте неизвестные флеш-накопители (или USB-накопители) в свой компьютер.

Не открывайте неизвестные файлы на накопителе. Не соглашайтесь на загрузку, предлагаемую вредоносным ПО.

Будьте очень внимательны, открывая вложенные файлы или активизируя ссылки в электронной почте, мгновенных сообщениях или в публикациях в социальных сетях – даже если вам знаком отправитель.

Не нажимайте кнопки «Согласен», «ОК», и «Я принимаю» в баннерной рекламе, в неожиданных всплывающих окнах или предупреждениях, на интернет-ресурсах, которые выглядят противоправными, или в обращениях с предложением удалить шпионское ПО или вирусы.

При необходимости, закройте все вкладки и не сохраняйте их для следующего запуска браузера. Загружайте программное обеспечение только на интернет-ресурсах, которым вы доверяете.

Не переходите по ссылкам, где предлагается бесплатное программное обеспечение – особенно бесплатное антивирусное ПО. Остерегайтесь бесплатных загрузок музыки, игр, видео, поскольку они могут содержать вредоносное ПО.

ЕСЛИ ВЫ СТАЛИ ЖЕРТВОЙ ИНЦИДЕНТА, ОБРАТИТЕСЬ В КАЗАХСТАНСКУЮ СЛУЖБУ РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ ИНЦИДЕНТЫ И ПОЛУЧИТЕ КОНСУЛЬТАЦИЮ, ПОЗВОНИВ НА БЕСПЛАТНЫЙ ЕДИНЫЙ КОРОТКИЙ НОМЕР 1400.

ЭЛЕКТРОННЫЕ АДРЕСА: INFO@KZ-CERT.KZ/INCIDENT@KZ-CERT.KZ