Программа-вымогатель входит в топ-5 угроз и представляет значительную опасность в сфере кибербезопасности. За этой многослойной кибер-атакой стоит целый процесс. Это своего рода вредоносное ПО, которое шифрует файлы и делает их недоступными, пока пользователи не заплатят выкуп.
Вирус был создан с целью получения дохода от частных лиц и компаний, которые хотят вернуть свои данные. К сожалению большинство антивирусов не защищают от программ-вымогателей.
Так как 100% работающего метода защиты не существует, сочетание разных вариантов защиты и регулярное резервное копирование просто необходимы.
Вредоносное ПО в первую очередь предназначено для вымогательства денег, однако злоумышленники нередко используют ее для политических атак. Пример — кибератака NotPetya против Украины в 2017 году. Самый предпочтительный способ выплаты выкупа — криптовалюта, так как ее сложно отследить.
Как распространяется?
Больше всего страдают страны, лидирующие по чисто экономическим показателям где, помимо технологических достижений, можно отметить более сознательное отношение потребителей (т.е. целенаправленное применение различных методов защиты).
Программы-вымогатели в настоящее время способны преодолевать многие ограничения и развиваться словно нейронная сеть. Как и большинство вредоносных программ, они основаны на гибкости и не слишком респектабельных методах социальной инженерии.
Есть много способов заразиться этим ПО. Наиболее популярным является фишинг. Людей обманом заставляют открывать вредоносные электронные сообщения и переходить по поддельным ссылкам из смс или электронной почты, загружать вложения, которые заражают компьютер вирусом.
Обычно сообщение выглядит убедительно, что побуждает пользователя предпринять необходимые действия. Например, электронное письмо, выдаваемое за сообщение от компании по доставке посылок, отправляет вложение о пропущенной доставке. Часто используемые вложения имеют расширения: .doc, .docx, .docm, .xls, .xlsx, .xlsm, .ppt, .pptx, .pptm, .pdf, .js и .lnk. Эти файлы находятся в архивном файле, таком как .zip, .rar или .7z.
Некоторые изощренные типы этого ПО заражают систему «изнутри». Типичным примером является WannaCry, использующая в качестве носителя операционную систему Microsoft Windows. В результате атака затронула 200 000 компьютеров по всему миру и нанесла ущерб на сотни миллионов долларов.
Еще один способ «поймать» программу-вымогатель — добавить или загрузить поддельное приложение, например, из Play Store. Работает через разрешения — сама загрузка не заразит ни устройство, ни облако. Если вы предоставите разрешения, которые запрашивает приложение, оно заразит файлы. Например, вредоносное приложение для редактирования фотографий запрашивает доступ к фотогалерее, а затем ее шифрует.
В прошлом самым популярным способом заражения устройств был физический носитель, например USB. Оказавшись внутри устройства, вредоносная программа получает сведения об операционной системе, IP-адреса, географическое положение и права доступа к учетной записи.
Часто на устройство пользователя загружается дополнительное вредоносное ПО для сбора личной информации, интеллектуальной собственности, учетных данных и последующей продажи с целью получения дополнительного дохода. Преступники также могут использовать эту информацию для запуска дополнительных атак, если, например, программа имеет права администратора домена.
Когда вирус получает ключи шифрования, он начинает шифровать файлы. Эти файлы не являются вредоносными и обычно не обнаруживаются и не удаляются антивирусными программами.
Как только информация зашифрована, вредоносное ПО отправляет сообщение с требованием выкупа. Чтобы оказать давление на решение, вирус часто включают часы обратного отсчета с крайним сроком выплаты выкупа, иначе ключ дешифрования будет уничтожен, что сведет на нет любую возможность восстановления.
Также программа-вымогатель умеет себя удалять. Это позволяет снизить вероятность того, что компании, занимающиеся безопасностью, получат вредоносное ПО и проанализируют его.
В большинстве случаев этот тип вируса не наносит вреда зараженному устройству. Если операционная система и пострадает, то это скорее побочный эффект.
Какие бывают программы-вымогатели?
Программы-вымогатели, часто называемые CryptoLocker, CryptoDefense или CryptoWall, имеют свои уникальные функции и специальный ключ дешифрования.
Вот примеры:
Блокировщик экрана: обычно пользователь пытается включить свой компьютер, но сталкивается с блокировкой интерфейса. Клавиатура, мышь и экран заблокированы. Единственное, с чем они могут взаимодействовать, — это программа-вымогатель. Например, вирус позволяет пользователю вводить числа в поле для своих банковских реквизитов.
Как удалить вирус могут знать только технически подкованные пользователи. Хакеры часто используют приемы социальной инженерии, чтобы заставить жертв заплатить выкуп.
Шифрование программ-вымогателей: блокирует доступ к пользовательским данным, полностью их шифруя. Вирус использует как симметричные, так и асимметричные методы шифрования.
Вирус, использующий симметричное шифрование, обычно генерирует ключ на зараженном компьютере и отправляет его злоумышленнику или запрашивает ключ у злоумышленника перед шифрованием файлов пользователя. Когда пользователь пытается открыть зараженный файл, он видит всплывающее окно о том, что данные зашифрованы и для доступа к ним необходимо приобрести ключ. Данные показывают, чтобы вернуть свою информацию, выкуп платят почти 40% жертв.
Кто является потенциальными целями?
Буквально любой человек или организация, работающие с данными:
обычные пользователи с низким уровнем ИТ-грамотности, в основном домашние пользователи, которые, ко всему прочему, не имеют привычки делать резервные копии информации со своего компьютера.
Предприятия, где незаконное присвоение информации о клиентах, ценных электронных письмах, документов и презентаций наносит серьезный ущерб бизнесу в целом. Именно это делает их привлекательной мишенью — они готовы платить больше.
Общественные организации — данные в таких секторах, как образование, правительство, здравоохранение, финансы, правоохранительные органы, чувствительны ко времени и имеют решающее значение. Степень срочности также увеличивает размер запрашиваемого выкупа.
На протяжении десятилетий хакеры действовали по принципу «чем шире воздействие, тем больше шансов на выкуп». Даже если 300 из 10 000 пользователей заплатят, игра того стоит. Атаки программ-вымогателей теперь становятся все более персонализированными и нацелены непосредственно на конкретные организации. Их сложнее преодолеть и с ними значителен размер требуемого выкупа.
Знаменитости среди вымогателей
Sodinokibi появился в 2019 году и с тех пор является четвертым по распространенности вымогателем в мире. Высокий уровень гибкости и постоянные инновации делают вирус крайне опасным для организаций. Любопытным фактом является то, что группа, стоящая за Sodinokibi, избегает заражения систем из стран, входивших в состав бывшего СССР.
WannaCry появился в 2017 году и оставил глубокий след в истории кибератак. Он привел к сбою более 200 000 систем в 150 странах, что привело к финансовым потерям на сумму более 4 миллиардов долларов. Некоторые страны, такие как США, Великобритания и Австралия, настаивали на том, что за атакой стоит Северная Корея.
Ryuk был запущен в 2018 году и с тех пор заработал около 3,7 миллиона долларов всего за 52 выплаты. Он нацелен на крупные организации, использующие алгоритмы шифрования военного уровня, которые чрезвычайно сложно расшифровать. Когда вирус проникает в систему, он конвертирует файлы с расширением .ryk и сбрасывает уведомление с требованием выкупа.
Petya и NotPetya могут уничтожить всю операционную систему Microsoft. Вирус появился в 2017 году и в основном направлен против Украины. И если вредоносная программа Petya была сформирована только для получения выкупа в несколько биткоинов, то NotPetya развивалась как масштабная политическая кибератака.
Что делать если вы уже заражены
Совет вроде «просто не плати» может быть и хорош, но не универсален. Каждый случай необходимо рассматривать индивидуально.
Даже если вы заплатите, вы можете не получить ключ, вам могут прислать неполный ключ, а затем попросить больше денег, или ключ может вообще не подойти, так как для этого вымогателя просто не создан ключ. Кроме того, если вы заплатите один раз, вы попадете в список, и злоумышленники могут вскоре посетить вас снова.
Далее перечислено несколько полезных способов избежать этой атаки. Они не являются панацеей, но могут избавить от головной боли:
Держите все свои системы в актуальном состоянии, регулярно устанавливайте обновления.
Не спешите нажимать на то, что выглядит так заманчиво.
Не сообщайте свои пароли ненадежным сайтам.
Чтобы повысить свои шансы на защиту используйте антивирусную программу.
Можно с уверенностью сказать, что кибератаки при помощи этого софта — это крупный и прибыльный бизнес — настолько крупный, что исследования предсказывают атаки каждые 11 секунд с ущербом примерно в 20 миллиардов долларов.
Спасибо что дочитали до конца! Не забывайте подписываться на канал, чтобы не пропускать самое интересное из мира гаджетов и технологий. Ставьте лайки и пишите комментарии, мне важно ваше мнение!👇
