ФБР США и спецслужба Великобритании вступили в бой с глобальным ботнетом

Британское управление по борьбе с преступностью опубликовало официальное сообщение, в котором предупредило, что у пользователей ПК под Windows Embedded и другими версиями Windows есть две недели для того, чтобы проверить свои машины на наличие указанных вирусов и принять меры.

Вирусы GOZeuS и CryptoLocker поражают компьютеры на базе Windows Embedded, любых версий десктопной Windows, Windows Server, а также виртуальные машины под управлением Windows, запущенные поверх Mac OS X.

Заражение, как правило, происходит через клик по ссылке или при загрузке вложения из электронного письма. Письма рассылаются от имени пользователей в контакт-листе, чьи компьютеры уже заражены. По статистике Управления по борьбе с преступностью, только в Британии уже заражены более 15,5 тыс. компьютеров.

Вирус GOZeuS (также известный как P2PZeuS или Gameover ZeuS), проникая на компьютер, ищет аутентификационные данные счетов пользователя в платежных онлайн-системах, а затем незаметно выводит деньги. По словам экспертов Управления по борьбе с преступностью, объемы мошеннических переводов уже превысили миллионы долларов по всему миру.

Если вирусу нечем «поживиться» на компьютере, GOZeuS автоматически запускает другой вирус — CryptoLocker, который шифрует все файлы на ПК и выводит всплывающее окно с требованием заплатить за их расшифровку. Мошенники требуют за разблокирование доступа $300 или 1 биткоин.

В последние недели Управление по борьбе с преступностью Великобритании и ряд аналогичных агентств в других странах провели «одну из крупнейших совместных операций органов внутренних дел и ИТ-индустрии», атаковав и частично разрушив связи внутри ботнета GOZeuS и CryptoLocker. Операцию возглавило ФБР США.

По расчетам борцов с преступностью, сейчас ботнет находится в ослабленном состоянии, в связи с чем у пользователей Windows есть возможность найти и уничтожить GOZeuS на своих компьютерах. Чтобы восстановиться, сети вредоносного ПО потребуется около двух недель.

Спецслужбы рекомендуют провести стандартное сканирование антивирусным ПО, а также обновить систему и все установленное на ней программное обеспечение. Кроме того, необходимо проверить ПК с помощью специализированных инструментов безопасности, которые можно загрузить с сайта Get Safe Online.

Для очистки компьютера от вируса можно выбрать один из бесплатных сканеров от Symantec, F-Secure, Sophos, Heimdal Security, Microsoft, McAfee, Trend Micro или «Лаборатории Касперского».

Вредоносное ПО, способное осуществлять мошеннические электронные переводы денег, представляет опасность для встраиваемых систем, использующихся в банкоматах и платежных терминалах. Многие из них работают под управлением Windows Embedded, подверженной риску заражения.

Как пояснил Валерий Милых, технический директор департамента Windows Embedded компании «Кварта Технологии», угроза заражения устройств самообслуживания исходит не только от уязвимостей операционной системы, но и от персонала, который с ней работает. Сотрудники сервисных компаний зачастую используют зараженные носители, а администраторы игнорируют встроенные в Microsoft Windows Embedded средства защиты от воздействия вредоносного кода.

Далеко не всегда соблюдаются даже простейшие правила защиты: регулярная смена паролей, организация учета допущенных к работам на оборудовании, работа только с оригинальными сервисными ключами, выполнение обновлений ОС и прикладного ПО по требованию вендоров. Так, например, банкоматы с операционной системой OS/2 работали без обновлений гораздо дольше, чем можно было бы предположить.

Таким образом, для эффективной защиты оборудования от вирусов необходима «эшелонированная система обороны» — как от вредоносного кода, так и от злонамеренных действий персонала. Эксперт «Кварта Технологии» предложил несколько методов организации такой защиты. Защита системы должна начинаться на уровне BIOS, где должно быть установлено ограничение на загрузку иной операционной системы с внешних носителей. Сам BIOS необходимо защитить паролем для исключения правок.

На уровне ОС Windows Embedded, кроме традиционных систем защиты (к примеру, брандмауэра Windows), рекомендуется использовать фильтры защиты от записи. Эти инструменты успешно борются, как минимум, с последствиями работы вредоносного ПО, просто уничтожая их при очередной перезагрузке.

На уровне прикладного программного обеспечения первым, о чем стоит подумать, являются различные антивирусные решения. Следующий элемент защиты – программные системы, контролирующие списки «разрешенных» приложений и блокируют иные активности.

На уровне сети довольно эффективным средством могут стать программные реализации VPN-соединения для подключения оборудования ко внешним HOST-системам. Не меньшее внимание должно быть уделено сетевым настройкам и блокированию «ненужных» портов.

Отдельного внимания заслуживают системы мониторинга и удаленного управления сетями устройств самообслуживания. Такие решения могут существенно снизить потребность в использовании персонала для сбора информации, загрузки нового программного обеспечения, проведения тестирования и выявления неисправностей в системном блоке и, как следствие, снизить вероятность несанкционированных действий, пояснил эксперт.