Ransomware
Ransomware (от английского ransom — выкуп и software — программное обеспечение) — это вредоносное программное обеспечение, которое работает как вымогатель.
Содержание |
Типы программ-вымогателей [править]
В настоящий момент существует несколько кардинально отличающихся подхода в работе программ-вымогателей:
- шифрование файлов в системе
- блокировка или помеха работы в системе
- блокировка или помеха работы в браузерах
Шифрование файлов в системе [править]
После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.
К таким программам-мошенникам относятся
- Trojan-Ransom.Win32.Cryzip
- Trojan-Ransom.Win32.Gpcode
- Trojan-Ransom.Win32.Rector
- Trojan-Ransom.Win32.Xorist
- и т. д.
Блокировка или помеха работы в системе [править]
После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью специальных функций и записывается в автозагрузку. При этом на экране пользователь видит требование отправить платное СМС или пополнить чей-либо счёт[1]. Причём трояны этого типа часто даже не проверяют поле ввода пароля. При этом компьютер остаётся в полностью рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя[2]. Иногда в вирус все же включают инструменты уничтожения данных, но они обычно не срабатывают должным образом.
Избавиться от этого ПО можно воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами.
Блокировка или помеха работы в браузерах [править]
Способы распространения [править]
Программы, относящиеся к ransomware, технически представляют собой обычный компьютерный вирус или сетевой червь, и заражение происходит точно так же — из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.
Основные пути распространения ransomware / winlock:[3]
- уязвимости операционной системы
- скачивание вредоносного контента с заражённых веб-сайтов
- эксплойты iframe
- через ботнет
- через игровые серверы (Trojan-Ransom.Win32.CiDox)[4]
Способы борьбы [править]
В первую очередь стоит сказать об общих правилах "личной информационной гигиены":
- наличие на компьютере антивируса уровня Internet Security со свежими базами
- проверка антивирусом всех новых программ перед первым запуском
- запуск подозрительных программ в виртуальной среде ("безопасная среда", "песочница"), если антивирус предоставляет такую возможность
- резервное копирование важных файлов
В случае когда заражение уже произошло, стоит воспользоваться бесплатными утилитами и сервисами, которые предоставляют антивирусные компании:
- для вредоносных программ, шифрующих файлы;
- для вредоносных программ, блокирующих работу: Лаборатория Касперского[5], Dr. Web[6], Eset[7], AntiSMS[8]
История [править]
Вирусы-вымогатели начали заражать пользователей персональных компьюеров с мая 2005 года. Известны следующие экземпляры: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Наиболее известен вирус Gpcode и его варианты Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Последний примечателен тем, что использует для шифрования файлов алгоритм RSA с 1024-битным ключом.
В марте 2013 года специалистами компании Dr. Web обнаружен шифровальщик ArchiveLock, атаковавший пользователей Испании и Франции, который для выполнения вредоносных действий по шифрованию файлов использует легальный архиватор WinRAR[9], а затем после шифрования безвозвратно удаляет оригинальные файлы утилитой Sysinternals SDelete[10].
См. также [править]
Примечания [править]
- ↑ Григорий Собченко Мошенников поймали за SMS (рус.). Коммерсантъ. kommersant.ru (27 августа 2010). Архивировано из первоисточника 20 апреля 2013. Проверено 11 апреля 2013.
- ↑ Алексей Дмитриев Новые программы-вымогатели грабят нас через популярные браузеры (рус.). Московский комсомолец. mk.ru (2 апреля 2013). Архивировано из первоисточника 20 апреля 2013. Проверено 9 апреля 2013.
- ↑ Названы главные угрозы в Сети: китайские хакеры и трояны-вымогатели (рус.). Новые известия. newizv.ru (26 января 2010). Архивировано из первоисточника 20 апреля 2013. Проверено 11 апреля 2013.
- ↑ Вячеслав Копейцев, Иван Татаринов Троянцы-вымогатели (рус.). SecureList. securelist.com (12 декабря 2011). Архивировано из первоисточника 20 апреля 2013. Проверено 11 апреля 2013.
- ↑ Сервис разблокировки «Лаборатории Касперского»
- ↑ Сервис разблокировки Dr. Web
- ↑ Сервис разблокировки Eset
- ↑ Cервис AntiSMS
- ↑ Вредонос шифрует файлы на компьютерах жертв при помощи WinRAR (рус.). Anti-Malware.ru. anti-malware.ru (15 марта 2013). Архивировано из первоисточника 17 апреля 2013. Проверено 9 апреля 2013.
- ↑ Андрей Васильков Табун иноходцев: десять самых оригинальных и популярных троянов современности (рус.). Компьютерра. computerra.ru (21 марта 2013). Проверено 17 апреля 2013.
Ссылки [править]
| Вредоносное программное обеспечение | |
|---|---|
| Инфекционное вредоносное ПО | Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Хронология |
| Методы сокрытия | Бэкдор · Компьютер-зомби · Руткит |
| Вредоносные программы для прибыли |
Adware · Privacy-invasive software · Ransomware (Trojan.Winlock) · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Формграббер · Scareware (Лжеантивирус) · Порнодиалер |
| По операционным системам | Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус |
| Защита | Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек информации · Хронология антивирусов |
| Контрмеры | Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast |
