Ransomware

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Ransomware (от англ. ransom — выкуп и software — программное обеспечение) — вредоносное программное обеспечение, предназначенное для вымогательства.

Типы программ-вымогателей[править | править вики-текст]

В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:

  • шифрование файлов в системе
  • блокировка или помеха работе в системе
  • блокировка или помеха работе в браузерах

Шифрование файлов в системе[править | править вики-текст]

После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.

К таким программам-мошенникам относятся

  • Trojan-Ransom.Win32.Cryzip
  • Trojan-Ransom.Win32.Gpcode
  • Trojan-Ransom.Win32.Rector
  • Trojan-Ransom.Win32.Xorist
  • и т. д.

Блокировка или помеха работе в системе[править | править вики-текст]

После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью специальных функций и записывается в автозагрузку. При этом на экране пользователь видит требование отправить платное СМС или пополнить чей-либо счёт[1]. Причём трояны этого типа часто даже не проверяют поле ввода пароля. При этом компьютер остаётся в полностью рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя[2]. Иногда в вирус все же включают инструменты уничтожения данных, но они обычно не срабатывают должным образом.

Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами.

Способы распространения[править | править вики-текст]

Программы, относящиеся к ransomware, технически представляют собой обычный компьютерный вирус или сетевой червь, и заражение происходит точно так же — из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.

Основные пути распространения ransomware:[3]

Способы борьбы[править | править вики-текст]

В первую очередь стоит сказать об общих правилах "личной информационной гигиены":

  • наличие на компьютере антивируса уровня Internet Security со свежими базами
  • проверка антивирусом всех новых программ перед первым запуском
  • запуск подозрительных программ в виртуальной среде ("безопасная среда", "песочница"), если антивирус предоставляет такую возможность
  • резервное копирование важных файлов
  • отказ от использования уязвимых ОС, таких как Windows.

В случае когда заражение уже произошло, стоит воспользоваться утилитами и сервисами, которые предоставляют антивирусные компании. Однако устранить заражение без выплаты выкупа удается далеко не всегда[5].

История[править | править вики-текст]

Вирусы-вымогатели начали заражать пользователей персональных компьютеров с мая 2005 года. Известны следующие экземпляры: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Наиболее известен вирус Gpcode и его варианты Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Последний примечателен тем, что использует для шифрования файлов алгоритм RSA с 1024-битным ключом.

В марте 2013 года специалистами компании Dr. Web обнаружен шифровальщик ArchiveLock, атаковавший пользователей Испании и Франции, который для выполнения вредоносных действий по шифрованию файлов использует легальный архиватор WinRAR[6], а затем после шифрования безвозвратно удаляет оригинальные файлы утилитой Sysinternals SDelete[7].

О масштабах возникшего криминального бизнеса говорит следующий факт. В конце 2013 года шифровальщик CryptoLocker использовал платёжную систему Bitcoin для получения выкупа. В декабре 2013 года ZDNet провёл, основываясь на доступности информации о транзакциях Bitcoin, оценку переводов средств от заражённых пользователей за период с 15 октября по 18 декабря. Только к окончанию этого периода операторам CryptoLocker удалось собрать около 27 миллионов долларов США по действующему в то время курсу Bitcoin.[8]

География[править | править вики-текст]

Существует мнение, что многие вымогатели находятся в России, поскольку российские власти не проявляют интереса к борьбе с этим видом преступности[5]. Пользуясь интернетом злоумышленники могут действовать во всем мире: только в Австралии, по официальным данным, с августа по декабрь 2014 года произошло около 16 тыс. эпизодов онлайн-вымогательства, при этом общая сумма выкупа составила около $7 млн[5].

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. Григорий Собченко. Мошенников поймали за SMS (рус.). Коммерсантъ. kommersant.ru (27 августа 2010). Проверено 11 апреля 2013. Архивировано из первоисточника 20 апреля 2013.
  2. Алексей Дмитриев. Новые программы-вымогатели грабят нас через популярные браузеры (рус.). Московский комсомолец. mk.ru (2 апреля 2013). Проверено 9 апреля 2013. Архивировано из первоисточника 20 апреля 2013.
  3. Названы главные угрозы в Сети: китайские хакеры и трояны-вымогатели (рус.). Новые известия. newizv.ru (26 января 2010). Проверено 11 апреля 2013. Архивировано из первоисточника 20 апреля 2013.
  4. Вячеслав Копейцев, Иван Татаринов. Троянцы-вымогатели (рус.). SecureList. securelist.com (12 декабря 2011). Проверено 11 апреля 2013. Архивировано из первоисточника 20 апреля 2013.
  5. 1 2 3 «Ransomware:Your money or your data», The Economist, Jan 17th 2015
  6. Вредонос шифрует файлы на компьютерах жертв при помощи WinRAR (рус.). Anti-Malware.ru. anti-malware.ru (15 марта 2013). Проверено 9 апреля 2013. Архивировано из первоисточника 17 апреля 2013.
  7. Андрей Васильков. Табун иноходцев: десять самых оригинальных и популярных троянов современности (рус.). Компьютерра. computerra.ru (21 марта 2013). Проверено 17 апреля 2013.
  8. Violet Blue. CryptoLocker's crimewave: A trail of millions in laundered Bitcoin (англ.). ZDNet (22 December 2013). Проверено 4 июля 2015.

Ссылки[править | править вики-текст]