Победа над кибер вымогательством!

1©2017 Check Point Software Technologies Ltd.©2017 Check Point Software Technologies Ltd.
Чернышенко Иван| Консультант по безопасности
Победа над Кибер-вымогательством!
CHECK POINT
ANTI-RANSOMWARE

2©2017 Check Point Software Technologies Ltd.
Последние события…
рекламу

Атака через рекламу в Skype:
• Фальшивая реклама обновления
плагина Flash
• Реклама активирует скачивание HTML-
приложения
• Скачивается (JavaScript Encoded Script
(JSE)) уже закрытого домена
• Блокирует компьютеры и
зашифровывает файлы
• Приложение после запуска удаляется и
активирует PowerShell
• Приложение скачивает вредоносный
код

Spora ransomware:
Вирус
шифровальщик
Сайта для
взаимодействия
с инструментами
расшифровки
Модуля приема
оплаты в
биткоинах
Чата для
техподдержки
пострадавшим

Spora ransomware:
• Отвлекает внимание при активации
• Шифрует файлы, не изменяя название
файлов и их расширение
• При шифровании использует связку
ключей шифрования AES и RSA
• Для начала шифрования не требуется
связь с СС
• Шифрует файлы на сетевых дисках
• Шифрует только определенные типы
файлов
• Сообщает злоумышленникам через KEY объем
зашифрованных данных и тип жертвы
• Жертва сама передает ключ

Spora ransomware:

Spora ransomware:
• Расшифровка всех файлов (79$)
• Купить иммунитет против будущих инфекций Spora ($50);
• Удалить все связанные со Spora файлы после оплаты выкупа ($20);
• Восстановить файл ($30);
• Восстановить два файла бесплатно.
Перечень услуг:

40%
предприятий были
инфицированы
$1
Миллиард
выплат в
2016
4000
Ransomware
атак в день
за 2016
Кибер-вымогательство в 2016
* http://www.pcmag.com/news/346708/ransomware-hit-40-percent-of-businesses-in-the-last-year
* https://www.checkpoint.com/press/2017/ransomware-doubled-second-half-2016-says-check-point/

Монетизация преступлений в реальном мире
Воришка
Незаметно подкрадывается
Крадет ценности
Подчищает следы
Сбывает ценные вещи
…
Вымогатель
Незаметно подкрадывается
Похищает заложников / ценности
Общается с жертвой
Требует выкуп
Получает выкуп от жертвы
…

Реальный мир
Анонимность платежей
Кибер мир

Монетизация преступлений в кибер мире
Кража данных Шифровальщики
Как монетизировать данные? Продавай данные их владельцам
Кому данные продать?
Сложно
Высокий риск…
Легкие деньги
Низкий риск
Получай Биткойн…

Кто может платить вымогателям за свои данные?
БизнесФизические лица
Зашифровать разделяемые файлы |Удаление Backup |Максимальное распространение
20%
заплатили
больше
$40,000
• Высокая зависимость от данных
• Высокая платёжеспособность
• Может работать с Bitcoin
• Может выжить без данных
• Низкая платёжеспособность
• Борьба с Bitcoin
* 56% out of the 70% that paid to get the data back (IBM X-Force Research, Dec 2016)
56%
заплатили
больше
$10,000

Как шифровальщики скачиваются ?
Скачивание инфицированных документов
Зараженные веб-сайты
Инфицированные
вложения
Вредоносные
ссылки
Вредоносный
файлы с USB
Использование уязвимости сервера
Скачивание
инфицированных
документов
Зараженные
веб-сайты
Инфицированные
вложения
Вредоносные
ссылки
Вредоносный
файлы с USB
Использование
уязвимости
сервера

Организационные меры борьбы с кибер-вымогательством
Стандартный подход
Каждый пункт важен, однако их недостаточно!
Хорошее начало
Обучение
Обучите пользователей,
как избежать
вымогательства
Длительный процесс восстановления
Может быть сбой при восстановлении
Может также быть зашифрован
Backup
Непрерывное резервное
копирование всех данных
Зависит от обновлений
Anti-Virus
Традиционная защита
конечных точек

CHECK POINT ANTI RANSOMWARE

ЗАЩИТА ДАННЫХ ОТ ПРОГРАММ-ВЫМОГАТЕЛЕЙ
СПЕЦ
СРЕДСТВО
Защита рабочих
станций от атак
программ-
вымогателей
НАДЕЖНОЕ
РЕШЕНИЕ
Защита в том
числе от
неизвестных
угроз
ЗАЩИТА
ДАННЫХ
Быстрое и
надежное
восстановление
зашифрованных
файлов
ANTI-RANSOMWARE
[Protected] Distribution or modification is subject to approval
Входит в состав SandBlast Agent

Как это работает

Как это работает
321
Обнаружение Карантин Восстановление

ANTI-RANSOMWARE: Обнаружение и карантин
Обнаружение
Ransomware
Ransomware карантин
Все элементы вредоносного ПО анализируются и
идентифицируются модулем расследования
инцидентов и помещаются в карантин
Поведенческий анализ
Обнаружение шифрования
Постоянный мониторинг и обнаружение
вредоносной активности:
• Удаление backup
• Удаление теневых копий
• Создание страниц с требованием выкупа
• …
Мониторинг всех файлов
Обнаружение бесконтрольного шифрования
пользовательских данных

ANTI-RANSOMWARE: DATA RESTORATION
РЕЗЕРВНОЕ
КОПИРОВАНИЕ ДАННЫХ
Just-in-time: Создаются до изменения файлов
Краткосрочно: Сохраняются до тех пор, пока
активность модификации файлов не будет проверена
Безопасность: Защищены от несанкционированного
доступа
ВОССТАНОВЛЕНИЕ
ДАННЫХ
Автоматически: Зашифрованные файлы
автоматически восстанавливаются из резервных
копий
| Незначительное влияние на производительность|
| Архивируются только файлы, измененные ненадежными приложениями|
| Рекомендуемый размер на жёстком диске: 1GB |
Обнаружение
Ransomware

SANDBLAST ANTI-RANSOMWARE ЖИЗНЕНЫЙ ЦИКЛ
Вредоносное ПО
заражает PC
шифрует файлы
Постоянное
создание
резервных
копий файлов
Восстановление
оригинального
файла
Идентифицирует и
блокирует
вредоносное ПО
Блокирует
вредоносное ПО до
того как оно начинает
действовать
доставлено жертве
with Anti-Ransomware

Образцы новых ransomware собирались ежедневно.
Используется только технология Anti-Ransomware
Без использования AV, без Анти-бота, без песочницы
99.3% CATCH RATE| ~200 образцов в день|6 месяцев теста|
Методология
тестирования
ЭФФЕКТИВНОСТЬ

©2016 Check Point Software Technologies Ltd. 24
Продвинутое решение по
предотвращению угроз

Идентифицировать и
блокировать
неизвестные угрозы
и угрозы нулевого дня
Доставить
очищенные
документы за
считанные секунды
Защита
персональных
данных
Ускорение
расследования
инцидентов
безопасности
Защита конечных
точек от кибер-
вымогательства
ПЕРЕДОВЫЕ ТЕХНОЛОГИИ ПРЕДОТВРАЩЕНИЯ УГРОЗА
THREAT
EMULATION
THREAT
EXTRACTION
ZERO
PHISHING
FORENSICS
ANTI
RANSOMWAREБАЗОВЫЕ ТЕХНОЛОГИИ ПРЕДОТВРАЩЕНИЯ УГРОЗ
IPS ANTI VIRUS ANTI BOT
[Internal Use] for Check Point employees

КАК БЛОКИРУЮТСЯ КИБЕР-ВЫМОГАТЕЛИ
Anti-
Ransomware
Anti-Bot
Threat
Emulation
Threat
Extraction
Anti-Virus
IPS
МНОГОУРОВНЕВАЯ
ЗАЩИТА ОТ КИБЕР-ВЫМОГАТЕЛЕЙ

Сравнительный тест

Моделирование
неизвестных
ransomware
• Строгий сценарий
тестирования:
Endpoint – отключён от
центра управления
• Нет сигнатур
Нет обновлений
• 150 образцов
ransomware
РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО ТЕСТА
99,3%
87,4%
37,1%
92,1%
33,1%
27,2%
96,7%
Check Point
Anti Ransomware
Vendor A Vendor B Vendor C Vendor D Vendor E Vendor F

©2016 Check Point Software Technologies Ltd.
Features
Endpoint Complete
Protection Suite
SandBlast Agent
SandBlast
Anti-Ransomware
Deployment Endpoint Agent Endpoint Agent Endpoint Agent
Management SmartCenter SmartCenter SmartCenter
Anti-Ransomware   
Automated forensics & quarantine   
Browser extension  
Emulation & Extraction  
Zero Phishing  
Anti-Bot  
Anti Virus 
Full Disk Encryption & Media Encryption 
Firewall & VPN 
ANTI-RANSOMWARE PACKAGING

Кибер-вымогательство
Побеждено!
• www.checkpoint.com/anti-ransomware

СПАСИБО

Победа над WanaCryptor
P.S.

Атака WanaCryptor:
Network Protections (Sandblast)
a. Threat Extraction and Threat Emulation
b. Anti-Bot/Anti Virus
Endpoint Protections (Sandblast Agent)
a. Threat Extraction and Threat Emulation
b. Anti-Bot/Anti Virus
c. Anti-Ransomware
IPS Protections (will not work on a flat network)
a. Microsoft Windows EternalBlue SMB Remote Code Execution
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332.html
b. Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
c. Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144)
d. Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145)
e. Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146)
f. Microsoft Windows SMB Information Disclosure (MS17-010: CVE-2017-0147)

Отчеты:

СПАСИБО

Победа над кибер вымогательством!

More Related Content

What's hot

Similar to Победа над кибер вымогательством!

More from Альбина Минуллина

Победа над кибер вымогательством!