Программы вымогатели что это

Что такое программа-вымогатель?

Программа-вымогатель (Ransomware) — это форма вредоносной полезной нагрузки, которая лучше всего описывает преступные намерения злоумышленников, стремящихся вынудить жертву заплатить за то, что они успешно взяли под контроль данные или системы жертвы. Оплатить выкуп обычно требуют в криптовалюте.

Злоумышленник может использовать несколько векторов атаки, и неуплата может иметь определенные последствия, включая следующие угрозы:

• Извлечение и публикация данных жертвы
• Раскрытие уязвимостей жертвы и методов работы, которые привели к компрометации
• Шифрование данных жертвы и безвозвратная блокировка доступа к ним
• Получение административного или root-контроля и окончательное отключение взломанных систем

Как правило, злоумышленники стремятся получить выкуп, поскольку их действия могут скомпрометировать ИТ-системы и негативно повлиять на нормальную работу их жертв. Хотя вредоносное ПО является одним из основных методов атаки, некоторые инциденты с вымогательством происходили без использования вредоносного ПО, например инциденты с вымогательством путем угрозы атаки типа «отказ в обслуживании» (DoS) или порчи веб-сайта. Также появились модели «программа-вымогатель как услуга (RWaaS)», когда злоумышленники создают бизнес-модель для проведения целенаправленной атаки на физическое лицо или компанию в качестве услуги за определенную плату.

Как работает программа-вымогатель

Программы-вымогатели обычно распространяются через фишинговые электронные письма или путем скрытой загрузки. Фишинговые электронные письма кажутся легитимными и заслуживающими доверия и убеждают жертву нажать на вредоносную ссылку или открыть вложение. Скрытая загрузка — это программа, которая автоматически загружается из Интернета без согласия пользователя и без его ведома. Вредоносный код затем может выполняться после загрузки без всякого участия со стороны пользователя. После выполнения вредоносного кода компьютер пользователя заражается программой-вымогателем.

Затем программа-вымогатель находит диски в зараженной системе и начинает шифровать файлы на каждом из них. Зашифрованные файлы обычно имеют уникальное расширение, например: .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault или .petya. После завершения шифрования программа-вымогатель создает и показывает файл или набор файлов, содержащих информацию и инструкции с условиями атаки программы-вымогателя. Например, после того как жертва выполнит условия программы-вымогателя, злоумышленник может предоставить жертве криптографический ключ для разблокировки зашифрованных файлов.

Как организациям лучше противостоять атакам программ-вымогателей

Базовая гигиена безопасности и здравые подходы к работе могут помочь организациям предотвратить инциденты с программами-вымогателями и сократить финансовые потери, простои и сбои в работе.

Среди собственных пользователей организации существует несколько точек уязвимости. Организациям будет полезно обучить отдельных пользователей безопасной работе с электронной почтой и Интернетом. Обучение безопасному пользованию платформами социальных сетей также важно, чтобы пользователи знали, что злоумышленник может использовать общедоступную информацию о них для атаки на них или других сотрудников их организации.

Для усиления практик обеспечения безопасности организации могут внедрить технические средства контроля для различных систем, которые злоумышленники используют для распространения вредоносного ПО. Примеры технических средств контроля:

• Внедрение инструментов и методов фильтрации электронной почты и коммуникационных платформ для предотвращения доставки вредоносных программ их пользователям
• Внедрение сканирования для обнаружения вредоносного ПО, служб проверки ссылок и методов песочницы для почтовых серверов и интернет-шлюзов
• Определение и обеспечение соблюдения политик в отношении загрузки и использования внешнего и недоверенного кода в своей среде, чтобы предотвратить компрометацию систем путем установки вредоносного программного обеспечения или выполнения вредоносных скриптов

В дополнение к использованию обновленных продуктов для защиты конечных точек организации должны иметь системы управления учетными записями и доступом (IAM) с обеспечением безопасности по методу нулевого доверия. Благодаря строгой аутентификации и соблюдению принципов наименьших привилегий организации могут обеспечить строгий контроль над важнейшими системами и хранилищами конфиденциальных данных.

Наряду со строгим контролем доступа организациям следует ввести ограничения для инструментов совместной работы, файлообменных ресурсов и других, часто используемых систем. Организации могут устанавливать дополнительные требования к аутентификации там и тогда, когда это необходимо. Предотвращение анонимного входа, использования общих учетных записей и ненадежных учетных данных, а также строгий контроль над привилегированными учетными записями, такими как учетные записи административные и root операционной системы или учетные записи DBA — все это важные факторы для обеспечения надежной защиты.

Организации должны определять и поддерживать известные базовые параметры конфигурации безопасности и развертывать системы в соответствии с рекомендациями по конфигурации безопасности. Поскольку вредоносная полезная нагрузка часто направлена на известные уязвимости программного обеспечения, важно своевременно применять исправления безопасности.

Наконец, еще одна практическая рекомендация, которая поможет организации восстановиться от последствий атак программ-вымогателей, — хранение резервных копий отдельно и на другой ОС, чтобы к ним нельзя было получить доступ из сети.

Что делать, если Ваша организация стала целью атаки программы-вымогателя

Как только организации обнаруживают программу-вымогателя, они должны попытаться ограничить распространение вредоносной полезной нагрузки:

• изоляция зараженной системы (систем), удаление и отключение их от всех сетей;
• своевременное устранение всех уязвимостей файлообменников и перевод всех неподдерживаемых операционных систем в автономный режим;
• анализ цепочки доверия между ИТ-системами для предотвращения каскадного эффекта эпидемии вредоносных программ;
• разделение сети и баз данных для изоляции эпидемии вредоносных программ и ограничения операционных последствий компрометации.

Чтобы ограничить последствия атаки программ-вымогателей, планы организации по устранению последствий должны включать обеспечение частого и безопасного резервного копирования с эффективными и проверенными процедурами восстановления. Перед восстановлением систем организации должны с достаточной степенью уверенности определить, когда и как произошла первоначальная компрометация. Без комплексной экспертизы пострадавшие организации могут при выполнении первоначального восстановления непреднамеренно возобновить компрометацию и вновь запустить заражение. Учитывая это, прежде чем сделать выбор восстановить более старое, но заведомо безопасное состояние или восстановить более новое, но, возможно, зараженное состояние, чтобы минимизировать перебои в работе бизнеса, может возникнуть необходимость провести анализ экономического эффекта. Поскольку известно, что целью некоторых вредоносных программ являются резервные файлы и ресурсы, организациям необходимо обеспечить эффективный контроль и над ними.

Программы-вымогатели

Программы-вымогатели – это относительно новая форма вредоносного ПО, которое шифрует файлы на устройстве пользователя, а затем требует совершить анонимный онлайн-платеж для восстановления доступа.

Все о программах-вымогателях

Вы когда-нибудь задумывались, почему программы-вымогатели поднимают столько шума? Вы наверняка слышали о них в офисе или читали в газетах. Возможно, прямо сейчас на экране Вашего компьютера появилось всплывающее окно с предупреждением об атаке программы-вымогателя. Если Вы хотите узнать все о программах-вымогателях, Вы обратились по адресу. Мы расскажем Вам о различных формах программ-вымогателей, а также о том, как они проникают в систему, откуда берутся, против кого нацелены и что нужно делать для защиты от них.

Что такое программа-вымогатель?

Программа-вымогатель – это вредоносное ПО, которое блокирует компьютеры или личные файлы пользователей, требуя выкуп за восстановление доступа. Самые ранние варианты программ-вымогателей были разработаны еще в конце 1980-х годов – тогда выкуп предлагалось отправить по обычной почте. Сегодня авторы программ-вымогателей требуют заплатить выкуп в криптовалюте или перевести определенную сумму на кредитную карту.

Заражение программой-вымогателем

Есть несколько путей, которыми программа-вымогатель может воспользоваться, чтобы проникнуть на Ваш компьютер. Одним из самых известных способов является вредоносный спам, который представляет собой нежелательные сообщения электронной почты, используемые для распространения вредоносного ПО. Такие сообщения нередко включают вредоносные вложения, замаскированные под файлы PDF или документы Word. Кроме того, текст этих сообщений может содержать ссылки на мошеннические веб-сайты. Вредоносный спам использует технологии социальной инженерии, чтобы заставить пользователя поверить, что сообщение пришло от его друга или известной ему организации, а затем открыть кажущиеся безобидными вложения или ссылки. Киберпреступники также прибегают к методам социальной инженерии, планируя и другие типы атак программ-вымогателей. Так, они могут обращаться к пользователям якобы от лица ФБР, чтобы запугать их и заставить выплатить определенную сумму для разблокировки файлов. Еще одним распространенным методом заражения компьютеров является вредоносная реклама – пик ее активности пришелся на 2016 год. Вредоносная реклама – это реклама в сети Интернет, направленная на распространение вредоносного ПО при минимальном взаимодействии с пользователем или вообще без каких-либо действий с его стороны. Во время просмотра веб-сайтов, в том числе и вполне надежных ресурсов, пользователь может перенаправляться на серверы злоумышленников, даже не нажимая на рекламный баннер. Эти серверы накапливают сведения о компьютерах жертв и их местоположении, а затем выбирают вредоносное ПО, которое будет проще всего доставить на эти компьютеры. И нередко таким вредоносным ПО является программа-вымогатель.
Инфографика «Вредоносная реклама и программы-вымогатели». Для реализации поставленной задачи вредоносная реклама часто использует зараженный встроенный фрейм или невидимый элемент веб-страницы. Встроенный фрейм перенаправляет пользователя на мошенническую целевую страницу, после чего вредоносный код начинает атаковать систему, применяя специальный набор эксплойтов. Все эти действия выполняются без ведома пользователя, поэтому их часто обозначают как атаки, осуществляемые посредством теневой загрузки.

Типы программ-вымогателей

Существует три основных типа программ-вымогателей, которые различаются по степени вредоносности: одни просто затрудняют работу пользователя, другие же представляют серьезную опасность. Кратко о каждом из этих типов:

Псевдоантивирусы

Обычно псевдоантивирусы являются не столько источником опасности, сколько причиной неудобства. Они представляют собой мошеннические программы, замаскированные под защитные приложения и позволяющие злоумышленникам выдавать себя за представителей технической поддержки. На экране Вашего компьютера может появиться всплывающее окно с предупреждением о том, что в системе обнаружено вредоносное ПО и единственный способ удалить его – это заплатить определенную сумму. Если не предпринимать никаких действий, скорее всего, назойливые всплывающие окна будут продолжать появляться, однако Вашим файлам в целом ничто не будет угрожать. Настоящая антивирусная программа не станет досаждать пользователям таким образом. Если Вы не пользуетесь антивирусом, упомянутым во всплывающем окне, он не может сообщать Вам о программах-вымогателях, поскольку не установлен в Вашей системе. Если же Вы пользуетесь именно этой защитной программой, Вам не нужно платить за удаление вируса, поскольку Вы уже оплатили лицензию.

Вирусы, блокирующие экран

Этим вирусам соответствует оранжевый уровень опасности. Если в систему проникла программа, блокирующая экран, то Вы не сможете продолжать работу с компьютером. После запуска компьютера на мониторе появляется закрывающее весь экран окно, обычно снабженное официальной эмблемой ФБР или Министерства юстиции. В окне содержится предупреждение, что на Вашем компьютере якобы обнаружена противозаконная активность и что Вам необходимо заплатить штраф. Важно понимать, что ФБР не станет блокировать Ваш компьютер или требовать выплаты штрафа за «противозаконную активность». Если Вас заподозрят в пиратстве, распространении детской порнографии или совершении других компьютерных преступлений, правоохранительные органы будут действовать согласно другой процедуре, установленной законом.

Программы-вымогатели, шифрующие файлы

Эти вирусы представляют настоящую угрозу. Их авторы стремятся украсть или зашифровать Ваши файлы, чтобы затем потребовать выкуп за их расшифровку или возвращение. Особая опасность этого типа программ-вымогателей заключается в том, что в случае захвата Ваших файлов киберпреступниками ни антивирус, ни функция восстановления системы не смогут вернуть Вам эти файлы. И если не платить злоумышленникам, то в большинстве случаев данные пропадают навсегда. Вместе с тем, нет никакой гарантии, что киберпреступники выполнят свое обещание и вернут Ваши файлы, после того как Вы заплатите выкуп.

Недавние атаки программ-вымогателей

• Европол: программы-вымогатели остаются в числе главных опасностей согласно докладу «Об оценке угроз организованной преступности в сети Интернет» (IOCTA)
• Программы-вымогатели продолжают атаковать предприятия и города
• Троянские программы и программы-вымогатели доминируют среди киберугроз для учебных заведений в 2018–2019 гг.

История программ-вымогателей

Первая программа-вымогатель, известная как PC Cyborg или AIDS, появилась в конце 1980-х годов. Вирус PC Cyborg шифровал все файлы на диске C: через 90 перезагрузок после своего проникновения в систему, после чего требовал от пользователя продлить «лицензию». Для этого необходимо было отправить по почте 189 $ для компании PC Cyborg Corp. Используемый метод шифрования был достаточно простым, поэтому доступ к файлам удавалось легко восстановить, а атака вируса не осложняла жизнь тем пользователям, кто хоть немного разбирался в компьютерах.

На протяжении последующих 10 лет о новых вариантах программ-вымогателей было мало что известно. Однако в 2004 году источником серьезных проблем стал вирус GpCode, использующий слабый криптографический алгоритм RSA для шифрования личных файлов с целью получения выкупа.

В 2007 году вирус WinLock ознаменовал появление нового типа программ-вымогателей, которые не шифровали файлы, а блокировали доступ пользователя к компьютеру. WinLock закрывал весь экран изображениями порнографического характера. Затем он требовал отправить платное SMS-сообщение для разблокировки компьютера.

Вирус Reveton стал в 2012 году одним из первых представителей нового семейства программ-вымогателей, использующих символику правоохранительных органов. Вирус блокировал компьютер жертвы и отображал закрывающее весь экран окно с официальной эмблемой правоохранительной организации, например ФБР или Интерпола. В этом окне также отображалось сообщение, что пользователь совершил преступление – осуществлял хакерскую деятельность, загружал незаконный контент или даже занимался распространением детской порнографии. Большинство программ-вымогателей, использующих символику правоохранительных органов, требовало перечислить выкуп в размере от 100 $ до 3 000 $ с помощью карты предоплаты, например UKash или PaySafeCard.

Рядовой пользователь не знал, что делать с этой напастью, небезосновательно полагая, что против него открыто уголовное дело. Данная тактика социальной инженерии, обозначаемая как «подразумеваемая вина», заставляет пользователя усомниться в собственной невиновности и заплатить выкуп, чтобы не быть уличенным в постыдной деятельности.

В 2013 году появилась программа-вымогатель CryptoLocker, также шифрующая данные, однако на этот раз проблема приобрела намного более серьезный характер. Вирус CryptoLocker использовал алгоритмы шифрования, применяющиеся в оборонной промышленности, а ключ, необходимый для разблокировки файлов, хранил на удаленном сервере. Следовательно, было практически невозможно вернуть доступ к данным, не заплатив злоумышленникам. Этот тип программ-вымогателей используется по сей день и является чрезвычайно эффективным оружием в руках киберпреступников, стремящихся разбогатеть незаконным путем. Недавние крупные атаки вирусов, в числе которых атака WannaCry в мае 2017 года и Petya в июне 2017 года, проходили с применением именно таких программ-вымогателей, шифрующих данные с целью поймать в ловушку пользователей и целые компании в различных регионах мира.

В конце 2018 года на авансцену вышла программа-вымогатель Ryuk. Она атаковала американские новостные издания, а также нанесла ущерб водопроводной компании Onslow Water and Sewer Authority, обслуживающей ряд районов Северной Каролины. При этом особого внимания заслуживает одна особенность: системы, на которые была нацелена атака, сначала подвергались заражению троянскими программами Emotet или TrickBot. Когда-то они использовались для похищения информации, однако теперь их функциональность расширилась и они применяются для доставки других форм вредоносного ПО, в том числе и Ryuk. Адам Куява, директор Malwarebytes Labs, отметил, что с помощью троянских программ Emotet и TrickBot злоумышленники выискивают жертв, которые могут представлять для них наибольшую ценность. Когда система заражена и отмечена как перспективная цель, Emotet или TrickBot повторно заражают ее программой-вымогателем Ryuk.

Программы-вымогатели для Mac

Похоже, никому не удастся остаться в стороне от войны с программами-вымогателями: в 2016 году была создана первая программа-вымогатель для Mac OS. Этот вирус получил название KeRanger и был выявлен, когда он заразил приложение Transmission: при запуске оно копировало в систему вредоносные файлы, которые работали в фоновом режиме на протяжении трех дней, не проявляя себя, а затем внезапно атаковали систему и шифровали файлы. К счастью, вскоре после обнаружения этого вируса компания Apple выпустила обновление для защитного приложения XProtect, встроенного в операционную систему, что позволило остановить дальнейшее распространение вируса. Тем не менее, данный случай показал, что существование программ-вымогателей для Mac является свершившимся фактом.

Программы-вымогатели для мобильных устройств

Считалось, что программы-вымогатели не представляют серьезной угрозы для мобильных устройств. Так было до 2014 года, когда множество мобильных устройств пали жертвами печально известного CryptoLocker и других аналогичных вирусов. На экране мобильного устройства программа-вымогатель обычно отображает сообщение, что оно заблокировано из-за противозаконных действий пользователя. Сообщение также указывает, что устройство будет разблокировано, когда пользователь выплатит определенную сумму в качестве штрафа. Программы-вымогатели часто попадают на мобильные устройства вместе с вредоносными приложениями. Чтобы нейтрализовать их и вернуть доступ к устройству, пользователю нужно перезагрузить его в безопасном режиме и удалить зараженное приложение.

Кого атакуют программы-вымогатели?

При первом появлении программ-вымогателей (и в последующих случаях) их основными жертвами становились обычные пользователи. Однако постепенно киберпреступники стали осознавать весь потенциал своего оружия и разрабатывать программы-вымогатели, направленные против бизнеса. Со временем вирусы для предприятий показали невиданную эффективность: они вызывали перебои в производстве, приводили к потере данных и неполучению прибыли. Поэтому авторы вредоносного кода сосредоточили свои основные усилия в этой области. К концу 2016 года среди всех вредоносных объектов, обнаруженных на компьютерах предприятий во всем мире, 12,3 % составляли именно программы-вымогатели, в то время как для компьютеров частных пользователей в общемировом масштабе этот показатель достиг лишь 1,8 %. А к концу 2017 года 35 % предприятий малого и среднего бизнеса сталкивались с атаками программ-вымогателей.

География атак программ-вымогателей такова, что их большая часть все еще приходится на страны Запада, причем первые три места в рейтинге стран, наиболее подверженных атакам, занимают Великобритания, США и Канада соответственно. Как и другие злоумышленники, авторы программ-вымогателей преследуют главную цель – получить деньги. Поэтому они ищут относительно богатые предприятия, где обширно применяются компьютеры. Страны Азии и Южной Америки, экономика которых демонстрирует активный рост, также в скором времени могут столкнуться с проблемой программ-вымогателей (и других форм вредоносного ПО).

Что делать, если Ваш компьютер заражен

Если в систему Вашего компьютера проник вирус, следует помнить о первом и самом главном правиле – никогда не платить выкуп (авторитетно заявляем: именно так советует поступать ФБР). Ведь выплачивая выкуп киберпреступникам, Вы только лишь убеждаете их в том, что следующая атака против Вас или другого пользователя также будет успешной. Вы можете попытаться восстановить доступ к некоторым зашифрованным файлам с помощью бесплатных дешифраторов.

Однако здесь следует заметить: не для всех семейств программ-вымогателей написаны дешифраторы, поскольку во многих случаях программы-вымогатели используют сложные алгоритмы шифрования. Кроме того, даже если дешифратор и существует, не всегда можно достоверно определить, подходит ли он к той или иной версии вредоносного ПО. Вы ведь не хотите усугубить ситуацию и еще раз зашифровать свои файлы, воспользовавшись неверным скриптом дешифровки. Поэтому, прежде чем предпринимать какие-либо действия, Вам нужно тщательно изучить само сообщение, отображаемое программой-вымогателем, либо обратиться за помощью к специалисту по информационным технологиям или кибербезопасности.

Вы также можете противостоять вирусу, загрузив специальную программу для его нейтрализации, а затем запустив проверку на зараженном компьютере. Возможно, Вам не удастся вернуть доступ к файлам, однако так Вы сможете очистить компьютер от вируса. Для устранения программы-вымогателя, заблокировавшей экран, обычно достаточно выполнить полное восстановление системы. Если этот способ не сработает, Вы можете запустить проверку с загрузочного диска или USB-накопителя.

Если Вы хотите помешать работе программы-вымогателя, которая уже проникла на компьютер и может зашифровать Ваши файлы, Вам нужно действовать очень осторожно. Если Вы заметили, что система начала работать медленно без видимых причин, выключите компьютер и отсоедините его от сети Интернет. Если после повторного запуска системы вредоносное ПО все еще активно, оно не сможет отправить данные или получить инструкции с командного сервера. Это означает, что без ключа или заданного способа извлечения информации о платеже вредоносное ПО может все еще оставаться в режиме ожидания. Выиграв таким образом время, загрузите и установите на зараженный компьютер антивирусную программу, после чего запустите полную проверку системы.

Как защититься от программ-вымогателей

Эксперты в области компьютерной безопасности едины во мнении, что наилучший способ защиты от программ-вымогателей – предотвратить их проникновение на компьютер.

Существует множество способов противостоять программам-вымогателям, однако все они не лишены недостатков и часто требуют намного больше специальных навыков, чем имеет обычный пользователь. Поэтому мы подготовили для Вас несколько рекомендаций, которые помогут предотвратить нежелательные последствия атак программ-вымогателей.

Первое, что нужно сделать для профилактики атак программ-вымогателей, – это приобрести надежную антивирусную программу, обеспечивающую киберзащиту в реальном времени и способную противостоять самому совершенному вредоносному ПО, в том числе и программам-вымогателям. При выборе антивируса следует обратить особое внимание на наличие у него функций, которые смогут защитить уязвимые программы от угроз (например, технология противодействия эксплойтам), а также блокировать попытки программ-вымогателей зашифровать файлы (например, технология нейтрализации программ-вымогателей). Так, пользователи premium-версии программы Malwarebytes for Windows были надежно защищены от всех крупных атак программ-вымогателей, случившихся в 2017 году.

Второй шаг может доставить Вам ряд неудобств, однако он не менее важен: Вам нужно регулярно создавать резервные копии своих данных. Мы рекомендуем использовать для этого облачное хранилище с высоким уровнем шифрования и множественной проверкой подлинности. Альтернативный вариант – приобрести объемный USB-накопитель или внешний жесткий диск, где Вы сможете хранить новые или обновленные файлы. Разумеется, нужно физически отсоединять устройства от компьютера после записи резервной копии, иначе они могут быть также заражены программами-вымогателями.

Третий шаг: своевременно устанавливайте обновления системы и используемых программ. Вспышка заражения вирусом WannaCry, например, произошла в том числе из-за наличия уязвимости в программах Microsoft. В марте 2017 года компания выпустила пакет исправлений, чтобы закрыть брешь в программном коде, однако многие пользователи так и не установили его, оставшись беззащитными перед лицом новых атак. Мы понимаем, что день ото дня список обновлений становится все длиннее, а поддерживать все ежедневно используемые приложения в актуальном состоянии может быть сложной задачей. Поэтому мы рекомендуем изменить настройки приложений и включить функцию автоматического обновления.

Наконец, нужно быть в курсе событий. Один из самых распространенных способов заражения компьютеров программами-вымогателями является социальная инженерия. Учитесь определять вредоносный спам, замечать подозрительные веб-сайты и другие мошеннические схемы (а также обучайте этому своих сотрудников, если Вы являетесь владельцем бизнеса). И самое главное: будьте рассудительны и благоразумны. Если что-то вызывает подозрение, это наверняка не принесет Вам пользу.

Читайте актуальные новости о программах-вымогателях на ресурсе Malwarebytes Labs.

Программы-вымогатели

Программа-вымогатель – это вредоносное программное обеспечение, которое блокирует устройство или зашифровывает его содержимое и вымогает деньги у пользователя. В обмен операторы вредоносного кода обещают – разумеется, без каких-либо гарантий – восстановить доступ к зараженному устройству или данным.

4 минуты на чтение

4 минуты на чтение

Что такое программа-вымогатель?

Этот тип вредоносного программного обеспечения используется киберпреступниками для вымогательства средств у жертв. После успешной атаки устройства вредоносная программа блокирует экран или шифрует данные на диске, при этом на экране отображается требование выкупа с реквизитами платежа.

Как распознать программу-вымогателя?

Если вы подверглись атаке, в большинстве случаев программа-вымогатель отображает на экране сообщение с требованием выкупа или добавляет текстовый файл (сообщение) в зараженные папки. Многие семейства программ-вымогателей также меняют расширение зашифрованных файлов.

Как работает программа-вымогатель?

Операторы программ-вымогателей используют множество различных техник:

• Шифрование диска – программа-вымогатель шифрует весь диск и блокирует доступ пользователя к операционной системе.
• Блокировка экрана – блокируется доступ к экрану устройства.
• Вымогатель-шифровальщик шифрует данные, хранящиеся на диске жертвы.;
• Блокировщик PIN-кодов атакует устройства на базе Android и блокирует доступ к ним путем изменения кода доступа.

Подробнее

Все вышеперечисленные типы программ-вымогателей требуют выкуп, чаще всего в биткойнах или другой трудно отслеживаемой криптовалюте. Взамен операторы программы-вымогателя обещают расшифровать данные или восстановить доступ к зараженному устройству.

Стоит отметить, что злоумышленники не дают никакой гарантии того, что выполняют свое обещание (иногда и не могут сделать умышленно или из-за неграмотного кодирования). Поэтому ESET рекомендует не торопиться с оплатой требуемой суммы и сначала обратиться в службу технической поддержки ESET, чтобы узнать, как можно расшифровать данные.

Как защититься?

Основные правила, которые необходимо соблюдать для защиты данных:

• Регулярно создавайте резервные копии данных и локально храните хотя бы одну полную резервную копию.
• Своевременно выполняйте патчинг и обновление всего программного обеспечения, включая операционные системы.

Надежное многоуровневое решение безопасности – самый эффективный способ, позволяющий пользователям/организациям распознать, предотвратить и удалить программу-вымогателя.

Дополнительные правила, преимущественно для защиты корпоративных пользователей:

• Для снижения риска заражения отключите или деинсталлируйте ненужные сервисы и ПО.
• Выполните сканирование сетей на наличие плохо защищенных учетных записей из-за слабых паролей.
• Ограничьте или запретите использование протокола удаленного рабочего стола (RDP) за пределами сети или включите аутентификацию на уровне сети.
• Используйте виртуальную частную сеть (VPN).
• Проверьте настройки брандмауэра.
• Проверьте политики обмена данными между внутренней и внешней сетями (Интернет).
• Задайте пароль в настройках решения(ий) безопасности для предотвращения его/их отключения злоумышленниками.
• Обеспечьте защиту резервных копий с помощью двух- или многофакторной аутентификации.
• Регулярно проводите обучение персонала для распознавания и борьбы с фишинг-атаками.

Краткая история

Первый задокументированный случай атаки программы-вымогателя был зарегистрирован в 1989 году. Вредоносная программа, получившая название AIDS Trojan, распространялась по почте через тысячи дискет, которые якобы содержали интерактивную базу данных о СПИДе и факторы риска, связанные с заболеванием. После запуска вредоносная программа фактически блокировала доступ пользователя к большей части содержимого на диске.

Вирус AIDS Trojan требовал выкуп (или, как указывалось в требовании выкупа, «лицензионный платеж») в размере 189 долларов США, которые нужно было отправить на почтовый ящик в Панаме, чтобы пользователь мог запустить программу 365 раз. Автором угрозы был доктор Джозеф Попп, который, однако, был признан неподсудным.

Недавние примеры

В мае 2017 года быстро распространилась программа-вымогатель WannaCryptor (или WannaCry), которая использовала эксплойт EternalBlue, похищенный у Агентства национальной безопасности (NSA). Последний использовал уязвимость в самых популярных версиях операционных систем Windows. Несмотря на то, что Microsoft выпустила патчи для многих уязвимых операционных систем более чем за два месяца до атаки, файлы и системы тысяч организаций по всему миру пострадали от этой вредоносной программы. Сумма ущерба, нанесенного вредоносным ПО, оценивалась в миллиарды долларов.

В июне 2017 года вредоносное программное обеспечение Diskcoder.C (или Petya) начало распространяться в Украине, а вскоре вышло за пределы страны. Как оказалось позже, это была хорошо организованная атака на цепочку поставок, в ходе которой злоумышленники использовали популярное бухгалтерское программное обеспечение против украинских организаций.

Однако вредоносная программа вышла из-под контроля и заразила сети многих мировых компаний, среди которых Maersk, Merck, «Роснефть» и FedEx, котоырм был нанесен ущерб, оцениваемый в сотни миллионов долларов.

Что такое программы-вымогатели? Защита в 2023 году

Существуют десятки различных видов вредоносных программ и вирусов, каждый из которых по-своему опасен.

Некоторые из них внедряют подозрительную рекламу в ваш веб-браузер, другие крадут вашу личную информацию, а третьи скрыто работают в фоновом режиме, о чем вы даже можете не подозревать.

В последние годы наблюдается рост одной из самых вредоносных и опасных вредоносных форм – программ-вымогателей.

Программа-вымогатель – это особый тип вредоносного ПО, который требует у жертв финансовый выкуп, угрожая опубликовать, удалить или заблокировать доступ к важным личным данным.

Последствия атаки программ-вымогателей могут быть катастрофическими и с ними трудно справиться после заражения вашего компьютера. Предотвращение атаки – более эффективная стратегия.

Вот наше руководство по программам-вымогателям, как это предотвратить и что делать, если ваш компьютер и данные были скомпрометированы.

Какие виды программ-вымогателей существуют?

Программы-вымогатели это общий термин, охватывающий множество различных видов вредоносных программ.

Однако все они имеют одну общую черту: угрожать вам или вашим данным с помощью вымогательства.

Вот различные виды программ-вымогателей, о которых нужно знать

Крипто программы-вымогатели (шифрователи)

Этот специальный вид программ-вымогателей сканирует ваш компьютер или сеть в поисках данных, которые он считает важными.

Программа собирает документы, такие как тексты, электронные таблицы, изображения, PDF-файлы и многое другое для шифрования.

Как правило, остальные ваши данные не будут затронуты, и вы все равно сможете использовать свой компьютер. Однако зашифрованные данные будут недоступны и вредоносная программа попытается заставить вас заплатить выкуп, чтобы разблокировать их.

Большинство вирусов-вымогателей требуют от 200 до 900 долларов. Если выкуп не выплачивается в течение 48-72 часов, данные обычно удаляются навсегда.

Блокирующие программы-вымогатели

Блокирующие программы-вымогатели не различают что блокировать. Попав однажды на ваш компьютер данная программа блокирует на нем все!

Если вы даже не можете войти на свой компьютер или не можете использовать базовые функции, не увидев угрожающего выкупа, возможно, вы заражены блокирующей программой-вымогателем.

Scareware (программа-запугиватель)

Как и блокирующая программа-вымогатель, scareware часто ограничивает весь доступ к вашему компьютеру и данным. Разница в том, что scareware использует другую тактику, чтобы заставить вас заплатить выкуп.

Может появиться всплывающее окно, якобы “сканирующее” компьютер на наличие проблем. Конечно, она найдет некоторые проблемы и предложит “исправить” их, но за внушительную цену.

Вы не сможете избавиться от этого сообщения и продолжать пользоваться компьютером, пока не заплатите выкуп.

Doxware

Особая неприятная форма программ-вымогателей, doxware – это не просто контент для удаления или ограничения доступа к вашим данным.

Она угрожает опубликовать в интернете конфиденциальную информацию, такую как компрометирующие фотографии или видео, личную информацию или финансовые данные, если выкуп не будет выплачен.

Doxware может быть абсолютно разрушительным как для бизнеса, так и для частных лиц.

Как программы-вымогатели попадают на ваш компьютер?

Обычно хакеры нацеливаются на жертв, которые, по их мнению, будут стремиться заплатить выкуп и как можно быстрее вернуть свои данные.

В последние годы огромные корпорации, включая даже Sony Pictures, становились жертвами.

Но почти каждый может оказаться жертвой атаки вымогателей, а это обычно происходит одним из двух способов:

Во-первых, вы можете загрузить программу-вымогателя, которая была замаскирована под вложения электронной почты.

Вы когда-нибудь получали электронное письмо от кого-то, кого вы не знали, вместе с загадочным вложением с названием что-то вроде “платежное поручение”?

Во многих случаях эти странные сообщения являются вымогателями или атаками скрытых вредоносных программ (известных как трояны).

Письмо может быть даже от кого-то, кого вы знаете, но это, казалось бы, безвредное вложение может быть вирусом, которое стремиться заразить ваш компьютер сразу после загрузки.

Во-вторых, хакеры могут использовать уязвимость в защите вашего компьютера.

Эксплойты используют уязвимости или ошибки в коде компьютерной программы или операционной системы.

Хакеры могут обнаружить, например, уязвимость в последней сборке Windows, которая позволяет им проникнуть на ваш ПК и установить на него вредоносное ПО.

Известные эксплойты – это проблемы в программном обеспечении, которые были обнаружены и, как правило, исправлены с помощью обновления безопасности. Неизвестные эксплойты еще не были обнародованы и приводят к “атакам нулевого дня” – первым атакам вредоносного ПО в своем роде.

4 простых способа предотвращения атак программ-вымогателей в 2023 году

Атаки программ-вымогателей могут быть очень серьезными и опасными. Но предотвратить их достаточно просто, если вы подготовитесь заранее.

Вот наши главные советы по защите от вымогателей:

Установите лучший антивирус с защитой от программ-вымогателей

Выполнение периодического сканирования на вирусы – это хорошая идея, но иметь надежную первую линию защиты на вашем компьютере еще лучше.

Лучшие антивирусные программы сейчас предусматривают определенную защиту от программ-вымогателей, в том числе проактивную защиту от атак нулевого дня, и иногда, специально зашифрованную папку, в которой вы сможете защитить самые важные данные от хакеров.

Постоянно обновляйте антивирус и все остальное критическое программное обеспечение и систему

Некоторые антивирусные программы имеют автоматические обновления, а другие нет.

Несмотря на это, вам необходимо быть внимательными, и убедиться, что вы установили последние версии антивирусных баз и патчи, которые предоставляет ваш провайдер, чтобы быть подготовленными.

Вам также следует регулярно обновлять операционную систему и другие ключевые компоненты программного обеспечения. Обычно новые версии или исправления содержат важные обновления безопасности, которые не следует игнорировать.

Создавайте резервные копии наиболее важных данных в отдельной сети или на другом устройстве (“холодное” резервное копирование)

На случай если программа-вымогатель все-таки проникнет сквозь вашу защиту и заразит ваш компьютер, вы можете серьезно уменьшить ее влияние, заранее создав резервную копию данных отдельно.

Резервное копирование в облаке – это замечательно и может быть удобно, но в идеале вы должны создавать “холодные” резервные копии наиболее важных файлов.

Это означает, что вы должны хранить их на USB-накопителе или жестком диске, которые вы держите отдельно от компьютера и сети.

Таким образом, если вы потеряете эти файлы в результате атаки программ-вымогателей, вы можете легко восстановить их.

Будьте разумными в сети и предотвращайте возможное заражение программами-вымогателями

Программы-вымогатели попадающие на ваш ПК через “черный ход” это одно. Открытие входной двери и запуск ее внутрь это другое!

Всегда придерживайтесь безопасного поведения в интернете, чтобы избежать вирусов и других вредоносных программ. Это означает:

• Избегайте подозрительных и ненадежных сайтов
• Загружайте программное обеспечение, приложения и мультимедиа только с официальных маркетплейсов
• Загружайте вложения электронной почты, только если вы знаете что это и от кого

Что делать, если ваш компьютер заражен программами-вымогателями?

В отличие от своих вредоносных собратьев, рекламного ПО и компьютерных червей, с вымогателями общеизвестно сложно бороться после того, как они завладели вашими файлами.

Если вы инфицированы, существует более чем небольшая вероятность, что вы не вернете свои данные, не заплатив выкуп.

Однако большинство экспертов советуют не платить выкуп. Вот почему:

• Во-первых, выплата выкупа побуждает преступников продолжать мошеннические действия
• Во-вторых, нет никакой гарантии, что выплата выкупа вернет вам ваши файлы

Однако, если ваши данные чрезвычайно важны или существенны, то вам решать. Есть много документально подтвержденных случаев, когда жертвы платили выкуп и получали свои данные в целости и сохранности.

Тем не менее, есть несколько других методов, которые вы можете попробовать, прежде чем уступить злоумышленникам или отказаться от своих данных.

Отключитесь от сети для защиты других компьютеров

Последнее, что вам теперь нужно, это распространение вымогателей на другие компьютеры в вашей сети и заражение файлов, сохраненных на прочих устройствах.

Тут же отключитесь от сети как только вы увидите уведомление с вымогательством.

Удалить программу-вымогателя

Очистка вашего компьютера и шифрование файлов занимает много времени, поэтому вам необходимо удалить программы-вымогатели как можно скорее, чтобы минимизировать ущерб.

Если у вас есть мощный антивирус на вашем компьютере, это должно быть легко. Если нет, вы всегда можете попробовать один из лучших бесплатных способов для быстрого решения проблемы.

Однако удаление вредоносного ПО не приведет к разблокировке ваших файлов.

Поищите ключ расшифровки онлайн

К счастью, существует огромное сообщество “белых” хакеров и экспертов по кибербезопасности, которые усердно работают, чтобы взломать последние штаммы вирусов-вымогателей.

Используйте инструмент Crypto Sheriff, чтобы определить, какой штамм заразил ваш компьютер, и найдите No More Ransom, чтобы узнать, был ли уже создан ключ дешифрования.

Если вас атаковал распространенный тип программ-вымогателей, то вполне вероятно, что кто-то уже взломал его и вы сможете восстановить ваши файлы.

Позвоните профессионалу (и, возможно, правоохранительным органам)

Если вы по-прежнему не можете восстановить свои файлы или доступ к системе, и отчаянно нуждаетесь в них, вы можете обратиться к специалисту.

Обратитесь в свои местные мастерские по ремонту компьютеров или, например, к Geek Squad – часто они предоставляют услуги по борьбе с вирусами и программами-вымогателями, и они, возможно, смогут помочь.

Вам также следует сообщить об атаке с использованием программ-вымогателей в местную полицию или в соответствующие органы безопасности, которые расследуют кибератаки и преступления в интернете.

Создайте мощную защиту

Две лучшие вещи, которые вы можете сделать, чтобы защитить себя от атаки вымогателей:

• Практикуйте безопасную работу с электронной почтой, загружаемыми файлами и работой в интернете
• Установите высококачественный антивирус

Атаки программ-вымогателей могут быть разрушительными и, к сожалению, может быть чрезвычайно трудно вернуть ваши файлы или доступ к компьютеру, как только вредоносная программа завладеет ими.

Вот почему заблаговременная подготовка – лучшее решение.