Программы-вымогатели – это разновидность вредоносных программ, используемых киберпреступниками. Если компьютер или сеть заражены программой-вымогателем, происходит блокировкадоступа к системе или шифрованиеданных. Киберпреступники требуют от своих жертв выкуп в обмен на предоставление доступа к данным. Чтобы защититься от заражения программами-вымогателями, рекомендуется сохранять бдительность и использовать программы безопасности. У жертв программ-вымогателей есть три варианта действий после заражения: можно заплатить выкуп, попытаться удалить вредоносную программу или перезагрузить устройство. Векторы атак, используемые троянами-вымогателями, включают, в основном, протокол удаленного рабочего стола, фишинговые сообщения электронной почты и уязвимости программного обеспечения. Таким образом, атака программ-вымогателей может быть нацелена как на частных лиц, так и на компании.
Наиболее популярны два типа программ-вымогателей:
Программы-блокировщики с требованием выкупа. Этот тип вредоносных программ блокирует основные функции компьютера. Например, может быть ограничен доступ к рабочему столу, а мышь и клавиатура могут быть частично отключены, что позволяет взаимодействовать с окном, содержащим требование выкупа, и произвести платеж. Кроме того, может быть выведен из строя компьютер. Но есть и хорошие новости: вредоносные программы-блокировщики обычно не нацелены на важные файлы; их цель – просто заблокировать ваше устройство. Поэтому полное уничтожение ваших данных маловероятно.
Вредоносные программы-шифровальщики. Цель таких программ-вымогателей – зашифроватьважные данные, такие как документы, изображения и видео, но не вмешиваться в основную работу компьютера. Это часто вызывает панику, поскольку пользователи видят файлы, но не могут получить к ним доступ. Разработчики таких программ часто добавляют к требованию выкупа обратный отсчет: «Если вы не заплатите выкуп до установленного срока, все ваши файлы будут удалены». Учитывая количество пользователей, не знающих о необходимости создания резервных копий данных в облачных хранилищах или на внешних физических устройствах, атаки программ-шифровальщиков могут иметь крайне негативные последствия. Поэтому многие жертвы платят выкуп просто для того, чтобы вернуть свои файлы.
И снова о письмах, но на этот раз несколько об иных. Выглядят они как типичный обман, ставящий читающего в эмоциональные условия, которые заставят его совершить необдуманное действие. Предоставить взломщику доступ личными данным или заплатить внушительную сумму. Письмо может выглядеть как послание от некоего нигерийского баристера, обнаружевшего в Уругвае человека с вашей фамилией, а у того на счету миллионы долларов, которые надо передать родственникам. Родственника нет, поэтому он хочет все перевести вам. Только надо сначала выйти на связь и сделать дополнительную оплату. Еще бывают варианты, когда от злоумышленника приходит письмо, в котором он заявляет, что подключился к веб-камере жертвы и записал видео, как та развлекается, посещая сайты для взрослых. Вместе с тем требует в среднем около 500 долларов в биткоинах. И таких писем может быть много. Кто-то предлагает деньги. Кто-то лотереи. Вместо писем иногда попадается баннеры, в которых пишется примерно то же самое. Схемы идентичные. Во всех случаях преступник пытается надавить на самое больное. Либо опозорить, либо озолотить. Трудно отказаться, да? Метод обмана стары, как сам интернет, но даже в 2020 году такие письма приходят с завидной регулярностью большому количеству людей, независимо от посещаемых страниц и ресурсов, на которых эти люди регистрируются.
Теперь вы знаете, что такое программы-вымогатели, и каких основных двух типов они бывают. Далее приведены несколько примеров известных программ-вымогателей, показывающих, чем они опасны.
Locky – это программа-вымогатель, атака с применением которой была впервые совершена группой организованных хакеров в 2016 году. С использованием Locky было зашифровано более 160 типов файлов. Программа распространялась с помощью писем, содержащих зараженные вложения. Пользователи попались на уловку с сообщениями электронной почты и установили программу-вымогатель на свои компьютеры. Этот метод распространения называется фишингом и представляет собой один из методов социальной инженерии. Программа-вымогатель Locky нацелена на типы файлов, часто используемые дизайнерами, разработчиками, инженерами и тестировщиками.
WannaCry – это атака программы-вымогателя, в 2017 году имевшая место в более чем 150 странах. Она была разработана для использования уязвимости в системе безопасности Windows, созданной АНБ и ставшей известной в результате действий группы хакеров Shadow Brokers. Атаке WannaCry подверглись 230 000 компьютеров по всему миру, в том числе треть больниц Национальной службы здравоохранения Великобритании, что повлекло ущерб в 92 миллиона фунтов стерлингов. Пользователи были заблокированы, и у них требовали выкуп в биткойнах. Это атака вскрыла проблему устаревших систем: хакеры использовал уязвимость операционной системы, для которой на момент атаки уже в течение продолжительного времени существовал патч. Мировой финансовый ущерб, нанесенный WannaCry, составил около 4 миллиардов долларов США.
Bad Rabbit – это атака с использованием программ-вымогателей, которая распространялась с 2017 года посредством так называемой скрытой загрузки. Для выполнения таких атак используются незащищенные веб-сайты. При атаке с использованием скрытой загрузки пользователь посещает настоящий веб-сайт, не подозревая, что он был взломан. Для большинства атак с использованием скрытой загрузки от пользователя требуется только открыть взломанную страницу. В этом случае запуск установщика, содержащего скрытую вредоносную программу, ведет к заражению. Это называется распространением вредоносных программ. Bad Rabbit просит пользователей запустить поддельную установку Adobe Flash, тем самым заражая компьютер вредоносной программой.
Ryuk – это троян-шифровальщик, распространившийся в августе 2018 года. Он отключаетфункцию восстановления операционных систем Windows, что делает невозможным восстановление зашифрованных данных без внешней резервной копии. Вирус Ryuk также шифрует сетевые жесткие диски. Атака имела масштабные последствия; многие американские компании, подвергшиеся нападению, выплатили требуемые суммы выкупа. Общий ущерб оценивается более чем в 640 000 долларов.
Атака программы-вымогателя Shade (также известной как Troldesh) произошла в 2015 году. Она распространялась через спам-сообщения, содержащие зараженные ссылки или вложенные файлы. Интересно, что исполнители атаки Troldesh общались непосредственно со своими жертвами по электронной почте. Жертвы, с которыми у них сложились «хорошие отношения», получали скидки. Однако такое поведение – скорее исключение, чем правило.
Атака программы-вымогателя Jigsaw началась в 2016 году. Она получила свое название из-за изображения известной куклы из франшизы фильма «Пила». С каждым часом, пока выкуп оставался невыплаченным, программа-вымогатель Jigsaw удаляла все больше файлов. Дополнительный стресс у пользователей вызвало использование изображения из фильма ужасов.
CryptoLocker – это программа-вымогатель, впервые обнаруженная в 2007 году, распространяемая через зараженные вложения электронной почты. Она выполняла поиск важных данных на зараженных компьютерах и зашифровывала их. Пострадало около 500 000 компьютеров. Правоохранительным органам и компаниям по обеспечению безопасности в конечном итоге удалось получить контроль над сетью взломанных домашних компьютеров, используемых для распространения CryptoLocker по всему миру. Это позволило агентствам и компаниям перехватывать данные, передаваемые по сети, незаметно для злоумышленников. В конечном итоге это привело к созданию онлайн-портала, на котором жертвы могли получить ключ для разблокировки своих данных. Это позволило им получить свои данные без необходимости платить преступникам выкуп.
Petya (не путать с ExPetr) – это атака программы-вымогателя, впервые произошедшая в 2016 году, а затем повторившаяся как GoldenEye в 2017 году. Вместо шифрования отдельных файлов эта вредоносная программа-вымогатель шифровала целиком жесткие диски жертв. Это достигалось путем шифрования основной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске. Программа-вымогатель Petya распространялась по корпоративным отделам кадров с посредством поддельного приложения, содержащего зараженную ссылку Dropbox. Существует другой вариант вируса Petya – Petya 2.0, отличающийся некоторыми ключевыми особенностями. Однако с точки зрения осуществления атаки, оба вируса одинаково опасны для устройства.
Повторное появление вируса Petya под именем GoldenEye привело к мировому заражению программами-вымогателями в 2017 году. Вирус GoldenEye, также известный как "смертоносный брат" WannaCry, поразил более 2000 целей, в том числе несколько известных российских нефтяных компаний и банков. В результате атаки вируса GoldenEye на Чернобыльскую АЭС, сотрудники были вынуждены вручную проверять уровень радиации, поскольку их компьютеры с Windows были отключены от сети.
GandCrab – это скандальная программа-вымогатель, угрожающаяраскрыть увлечения своих жертв порнографией. Злоумышленники утверждали, что взломали веб-камеру жертвы и требовали выкуп. В случае неуплаты выкупа они грозились опубликовать материалы, компрометирующие жертву. После первого упоминания в 2018 году, появлялись различные версии программы-вымогателя GandCrab. В рамках проекта «No More Ransom» производители систем безопасности и органы полиции разработали инструмент для расшифровки данных, зашифрованных программами-вымогателями, чтобы помочь жертвам восстановить конфиденциальные данные из GandCrab.
B0r0nt0k – это использующая шифрование программа-вымогатель, предназначенная для серверов на базе Windows и Linux. Эта программа-вымогатель шифруетфайлы на серверах Linux и добавляет к ним расширение .rontok. Она представляет опасность не только для файлов, но также меняет параметры запуска программ, отключает функции и приложения и добавляет записи реестра, файлы и программы.
Brrr – новая программа-вымогатель от Dharma, устанавливается вручную хакерами, взломавшими подключенные к Интернету службы рабочего стола. Как только хакер активирует программу-вымогатель, начинается шифрование обнаруженных файлов. Зашифрованным файлам присваивается расширение .id-[id].[email].brrr.
FAIR RANSOMWARE – это программа-вымогатель, выполняющая шифрование данных. С помощью мощного алгоритма шифруются все личные документы и файлы жертвы. Файлы, зашифрованные с помощью этой вредоносной программы, имеют расширение .FAIR RANSOMWARE.
Программа-вымогатель MADO – это еще один вид программы-шифровальщика. Данные, зашифрованные этой программой, имеют расширение .mado и больше не открываются.
Как описано выше, программы-вымогатели используются в абсолютно разных сферах. Обычно требуемый размер выкупа составляет от 100 до 200 долларов. Однако в некоторых случаях злоумышленники требуют гораздо больший выкуп, особенно если понимают, что блокировка данных может повлечь значительные финансовые потери для атакуемой компании. Таким образом, это позволяет киберпреступникам зарабатывать существенные суммы денег. В двух приведенных ниже примерах обратите внимание на жертв кибератаки, а не на тип используемых программ-вымогателей.
Программа-вымогатель WordPress, как следует из названия, нацелена на файлы веб-сайтов WordPress. У жертв вымогают выкуп, что типично для программ-вымогателей. Чем более востребован сайт на платформе WordPress, тем выше вероятность его атаки с применением программ-вымогателей.
Компания Wolverine Solutions Group (предоставляющая медицинские услуги) стала жертвой атаки программ-вымогателей в сентябре 2018 года. Большое количество файлов компании было зашифровано вредоносной программой, в результате чего сотрудники не смогли их открыть. К счастью, эксперты-криминалисты смогли расшифровать и восстановить данные 3 октября. Однако в результате атаки были скомпрометированы данные многих пациентов. Имена, адреса, медицинские данные и другая личная информация могла попасть в руки киберпреступников.