Ransomware

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Ransomware (от англ. ransom — выкуп и software — программное обеспечение) — вредоносное программное обеспечение, предназначенное для вымогательства.

Типы программ-вымогателей[править | править вики-текст]

В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:

  • шифрование файлов в системе
  • блокировка или помеха работе в системе
  • блокировка или помеха работе в браузерах

Шифрование файлов в системе[править | править вики-текст]

После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.

К таким программам-мошенникам относятся

  • Trojan-Ransom.Win32.Cryzip
  • Trojan-Ransom.Win32.Gpcode
  • Trojan-Ransom.Win32.Rector
  • Trojan-Ransom.Win32.Xorist
  • и т. д.

Блокировка или помеха работе в системе[править | править вики-текст]

После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью системных функций и прописывается в автозагрузке (в соответствующих ветках системного реестра). При этом на экране пользователь видит какое-либо выдуманное сообщение, к примеру о якобы незаконных действиях, только что совершенных пользователем (даже со ссылками на статьи законов), и требование выкупа, нацеленное на испуг неопытного пользователя — отправить платное СМС, пополнить чей-либо счёт[1], в том числе анонимным спобосом вроде BitCoin. Причём трояны этого типа часто не проверяют пароль. При этом компьютер остаётся в рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя[2]. Иногда в вирус все же включают инструменты уничтожения данных, таких как шифрование по ассиметричному ключу, но они либо не срабатывают должным образом, либо имеет место низкоквалифицированная реализация. Известны случаи наличия ключа расшифровки файлов в самом коде трояна, а также технической невозможности расшифровки данных самим взломщиком (несмотря на оплаченный выкуп) по причине отсутствия или утери этого ключа даже у него.

Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами, созданными антивирусными компаниями для разных географических регионов действия троянов и, как правило, доступными свободно.

Способы распространения[править | править вики-текст]

Программы, относящиеся к ransomware, технически представляют собой обычный компьютерный вирус или сетевой червь, и заражение происходит точно так же — из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.

Основные пути распространения ransomware:[3]

Способы борьбы[править | править вики-текст]

В первую очередь стоит сказать об общих правилах личной информационной дисциплины:

  • наличие на компьютере антивируса уровня Internet Security со свежими базами
  • проверка антивирусом всех новых программ перед первым запуском
  • запуск подозрительных программ в виртуальной среде ("безопасная среда", "песочница"), если антивирус предоставляет такую возможность
  • резервное копирование важных файлов
  • регулярное обновление компонентов операционной системы (Windows Update)
  • презумпция виновности и предвзятости ко всем получаемым бинарным файлам любым способом и даже от знакомых людей

В силу ряда причин, таких как производительность и энергопотребление, допускается не пользоваться антивирусами. В таком случае важно принципиально не запускать бинарные файлы, полученные из сомнительных или полусомнительных источников, и, при острой необходимости, сперва выполнять их на резервной виртуальной машине ("песочнице"), которую не жалко потерять, и убедиться в последствиях.

В случае когда заражение уже произошло, стоит воспользоваться утилитами и сервисами, которые предоставляют антивирусные компании. Однако устранить заражение без выплаты выкупа удается далеко не всегда[5]. Но, как было отмечено выше, даже выкуп не всегда помогает. Поэтому лучшая профилактика — собственная дисциплина.

История[править | править вики-текст]

Вирусы-вымогатели начали заражать пользователей персональных компьютеров с мая 2005 года. Известны следующие экземпляры: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Наиболее известен вирус Gpcode и его варианты Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Последний примечателен тем, что использует для шифрования файлов алгоритм RSA с 1024-битным ключом.

В марте 2013 года специалистами компании Dr. Web обнаружен шифровальщик ArchiveLock, атаковавший пользователей Испании и Франции, который для выполнения вредоносных действий по шифрованию файлов использует легальный архиватор WinRAR[6], а затем после шифрования безвозвратно удаляет оригинальные файлы утилитой Sysinternals SDelete[7].

О масштабах возникшего криминального бизнеса говорит следующий факт. В конце 2013 года шифровальщик CryptoLocker использовал платёжную систему Bitcoin для получения выкупа. В декабре 2013 года ZDNet провёл, основываясь на доступности информации о транзакциях Bitcoin, оценку переводов средств от заражённых пользователей за период с 15 октября по 18 декабря. Только к окончанию этого периода операторам CryptoLocker удалось собрать около 27 миллионов долларов США по действующему в то время курсу Bitcoin.[8]

География[править | править вики-текст]

Существует мнение, что многие вымогатели находятся в России, поскольку российские власти не проявляют интереса к борьбе с этим видом преступности[5]. Пользуясь интернетом злоумышленники могут действовать во всем мире: только в Австралии, по официальным данным, с августа по декабрь 2014 года произошло около 16 тыс. эпизодов онлайн-вымогательства, при этом общая сумма выкупа составила около $7 млн[5].

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. Григорий Собченко. Мошенников поймали за SMS (рус.). Коммерсантъ. kommersant.ru (27 августа 2010). Проверено 11 апреля 2013. Архивировано из первоисточника 20 апреля 2013.
  2. Алексей Дмитриев. Новые программы-вымогатели грабят нас через популярные браузеры (рус.). Московский комсомолец. mk.ru (2 апреля 2013). Проверено 9 апреля 2013. Архивировано из первоисточника 20 апреля 2013.
  3. Названы главные угрозы в Сети: китайские хакеры и трояны-вымогатели (рус.). Новые известия. newizv.ru (26 января 2010). Проверено 11 апреля 2013. Архивировано из первоисточника 20 апреля 2013.
  4. Вячеслав Копейцев, Иван Татаринов. Троянцы-вымогатели (рус.). SecureList. securelist.com (12 декабря 2011). Проверено 11 апреля 2013. Архивировано из первоисточника 20 апреля 2013.
  5. 1 2 3 «Ransomware:Your money or your data», The Economist, Jan 17th 2015
  6. Вредонос шифрует файлы на компьютерах жертв при помощи WinRAR (рус.). Anti-Malware.ru. anti-malware.ru (15 марта 2013). Проверено 9 апреля 2013. Архивировано из первоисточника 17 апреля 2013.
  7. Андрей Васильков. Табун иноходцев: десять самых оригинальных и популярных троянов современности (рус.). Компьютерра. computerra.ru (21 марта 2013). Проверено 17 апреля 2013.
  8. Violet Blue. CryptoLocker's crimewave: A trail of millions in laundered Bitcoin (англ.). ZDNet (22 December 2013). Проверено 4 июля 2015.

Ссылки[править | править вики-текст]