Что такое вирус-вымогатель

За последние два года Ransomware попал в новостные ленты такое количество раз, какое не было с момента появления вируса «I LOVE YOU» в начале тысячелетия.

Популярность вирусов-вымогателей очень высока, только DDoS-атаки могут соперничать по эффективности использования. Одна из самых высокопрофессиональных атак произошла в 2017 году, когда вирус WansCry попал на сервера Национальной службы здравоохранения Великобритании и оставил многие системы бездействующими в течение нескольких дней. То же вредоносное ПО также отключило несколько других крупных организаций в мире.

Вариативность Ransomware-вирусов растет не только на уровне атак, но и в их разнообразии. Средняя потребность в выкупе также увеличивается. Опасность состоит и в том, что существует тенденция к разработке вирусного ПО, предназначенного и заточенного под конкретные предприятия.

Вирусы разрабатываются под конкретные цели

Поэтому, что очень важно, каждый пользователь ПК должен не только знать, что такое вирус-вымогатель, но и как лучше всего от него защититься. Понимать, что должен сделать в случае если станет жертвой.

Вирусы Ransomware

Как следует из названия («Ransom» в переводе с англ. – выкуп), цель вредоносного ПО заключается в получении «откупных» у жертвы в обмен на возврат контроля над файлами или системой. Оплата обычно осуществляется в виде криптовалюты, например, Биткойна или Ethereum.

Подобно другим типам вредоносных программ, ransomware начинает атаку, пытаясь оставаться незамеченным. Медленно шифруя файлы один за другим, чтобы избежать подозрений. Только после того, как все целевые файлы или система будут зашифрованы, вы узнаете, что «вымогатель» обосновался в системе. Как правило, это будет выглядеть как заставка, которую нельзя убрать с экрана.

Именно из этой заставки пользователи сначала узнают, что их файлы заблокированы, а затем, что для получения доступа к данным, необходимо заплатить некоторую сумму. Точная формулировка требований отличается между «штаммами» вируса, но большинство требует оплаты в течение определенного периода времени.

Часто сообщения носят агрессивный характер, в надежде на то, что пользователь быстро произведет перечисления. Некоторые вирусы даже пытаются выдать себя за правоохранительные организации, такие как ФБР, ФСБ и т.д.

Вирус требует выкуп у пользователя

Роль Ransomware растет наряду с ростом популярности крипто-валютных курсов, которые предлагают средства для передачи денег через Интернет анонимно. Большинство злоумышленников предпочитают Биткойн или Моннеро, что может вызвать проблемы у некоторых жертв, не знакомых с крипто-торговлей.

Первым экземпляром, так сказать – прародителем, был относительно неудачный «троян», который появился в 1989 году. Он шифровал имя файлов, а не содержимое файлов, в то время как ключ для дешифровки был скрыт в коде вредоносного ПО. Несмотря на эти ошибки при развертывании, атака была первым случаем, когда хакер потребовал деньги в обмен на безопасный возврат украденных данных. Атакующие по-прежнему действуют по тем же основным принципам, но, как правило, намного эффективнее.

Вирусы-вымогатели заняли нишу одних из самых распространенных форм вредоносного ПО во многом потому, что они требуют сравнительно небольших усилий со стороны кибер-преступника, при этом принося невероятно высокие награды.

Инструментарий вируса может быть предварительно приобретен частями на черном рынке вредоносного программного обеспечения. А затем скомпилирован в конечный продукт, что позволяет легко и дешево запускать атаку, не требуя очень уж глубоких знаний в области программирования. Для распространения вредоносной программы могут применятся фишинговые кампании (с помощью массовых рассылок электронных писем) – услуги которых также дешевы. Это означает, что злоумышленник просто может сидеть сложа руки и ждать, пока деньги с выкупа будут ему поступать.

Сумма может различаться, но, согласно отчету компании Symantec, средняя сумма составляет 600-700$, и растет из года в год.

Надо ли платить злоумышленнику

Если кратко – нет. Эксперты настоятельно советуют не поддаваться требованиям, даже когда на карту поставлены конфиденциальные данные или финансовые потери от простоя.

Не надо поддаваться на шантаж и платить вымогателям

Одной из причин такого резкого скачка как в частоте нападений с вымогательством, так и в том, что они требуют, является высокая прибыльность такой атаки. Выплаты будут только провоцировать больше количество атак.

Во-вторых, на самом деле нет никакой гарантии, что зашифрованные файлы или жесткий диск будут действительно разблокированы после того, как «счет» будет оплачен. Высока вероятность того, что хакеры просто деньги и исчезнут.

Существуют более эффективные методы решения проблемы – обеспечение актуальности и работоспособности антивирусного программного обеспечения и установки последних патчей для вашего программного обеспечения.

Реализация стратегии резервного копирования также может оказаться необходимой для восстановления информации после такой атаки.

Самая крупная атака вируса-вымогателя

11 мая 2017 года в филиалах Национальной службы здравоохранения в Англии и Шотландии, а также в других крупных мировых организациях, произошла крупнейшая атака вируса-вымогателя. Кроме компьютеров NHS, атаки подверглись такие крупные корпорации как: Telefonica (Испании), Deutsche Bahn (Германия), Renault, FedEx, МВД России, РЖД и т.д. Всего пострадали десятки, если не сотни тысяч компьютеров в 99 странах мира.

«Пандемия» распространялась в несколько этапов:

  1. Первоначально программное обеспечение (известное как WannaCry или WannaCrypt) было направлено в организации через фишинговое электронное письмо, которое содержало ссылки для загрузки трояна.
  2. Затем вирус быстро распространился по локальной сети при помощи двух инструментов, которые, как предполагалось, были разработаны NSA. Это эксплойт EternalBlue и бэкдором DoublePulsar, которые были выпущены в сеть группой хакеров ShadowBrokers.

Таким образом, все зараженные компьютеры в локальной сети компаний имели файлы, зашифрованные сообщением о выкупе, отображаемым на экране. Требуя около 300 долларов (в биткойне), с периодом оплаты в течение трех дней или 600 долларов США в течение семи дней. Неизвестно сколько организаций заплатили, но к уже к 15 мая (через 4 дня с момента начала атаки) киберпреступники получили более 40 000 долларов США. Но учитывая, что на тот момент в мире было инфицировано около 200 тысяч ПК – финансового успеха организаторы атаки не добилась.

Карта распространения вируса WannaCry в 2017 году

При это стоит акцентировать внимание, что Microsoft еще в марте выпустила исправление для этой уязвимости, которое затронуло операционные системы Windows 7 и 8.1. Однако обновление не было применено ко всем элементам сети пострадавших организаций. Существует несколько причин, по которым это могло произойти, включая необходимость проведения поэтапного развертывания и возможных конфликтов с другими системами и программным обеспечением.

Другая причина заключается в том, что многие организации по-прежнему ПК работают под управлением Windows XP, как правило, из-за проблем с совместимостью. Поскольку XP не поддерживается разработчиком в актуальном состоянии (с 2014г), ни один патч для него не был выпущен, оставив все системы уязвимыми для этой атаки. Однако, учитывая масштабы атаки, Microsoft создала и выпустила исправление для XP, сообщив, что организации и частные лица должны как можно скорее установить последние обновления программного обеспечения для защиты от подобных угроз.

 

Это все, что мы хотели рассказать вам о вирусах-вымогателях. Предупрежден, значит вооружен – не забывайте поддерживать в актуальном состоянии как установленное антивирусное ПО, так и операционную систему. Не забывайте о резервном копировании. И тогда последствия вирусной активности вы сможете свести к минимуму.

 

Материал подготовил: вITязь

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.