Русская Википедия:Программа-вымогатель

Программа-вымогатель^[1]^[2], программа-шантажист^[3] (Шаблон:Lang-en — контаминация слов Шаблон:Lang-en2 — выкуп и Шаблон:Lang-en2 — программное обеспечение) — тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нём данных (часто с помощью методов шифрования), а затем требует от жертвы выкуп для восстановления исходного состояния.

Типы программ-вымогателей

В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:

шифрование файлов в системе
блокировка или помеха работе в системе
блокировка или помеха работе в браузерах

Блокировка или помеха работе в системе

После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью системных функций и прописывается в автозагрузке (в соответствующих ветках системного реестра). При этом на экране пользователь видит какое-либо выдуманное сообщение, к примеру о якобы незаконных действиях, только что совершенных пользователем (даже со ссылками на статьи законов), и требование выкупа, нацеленное на испуг неопытного пользователя — отправить платное СМС, пополнить чей-либо счёт^[4], в том числе анонимным способом вроде BitCoin. Причём трояны этого типа часто не проверяют пароль. При этом компьютер остаётся в рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя^[5]. Иногда в вирус все же включают инструменты уничтожения данных, таких как шифрование по асимметричному ключу, но они либо не срабатывают должным образом, либо имеет место низкоквалифицированная реализация. Известны случаи наличия ключа расшифровки файлов в самом коде трояна, а также технической невозможности расшифровки данных самим взломщиком (несмотря на оплаченный выкуп) по причине отсутствия или утери этого ключа даже у него.

Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами, созданными антивирусными компаниями для разных географических регионов действия троянов и, как правило, доступными свободно. Кроме того, в некоторых случаях, в безопасном режиме возможно в диспетчере задач отыскать процесс трояна, найти его файл и удалить. Также, стоит учесть, что троян способен, в некоторых случаях, сохранять работоспособность и в безопасном режиме. В таких случаях, необходимо войти в безопасный режим с командной строкой и запустить процесс explorer в консоли и удалить троян, либо воспользоваться сервисами антивирусных программ.

Шифрование файлов в системе

После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.

Вирусы-шифровальщики появились хронологически после винлокеров. Их распространение связано с UAC и оперативными исправлениями Microsoft: прописаться в системе без ведома пользователей становится сложнее, но компьютер-то предназначен, чтобы работать с пользовательскими файлами. Их можно испортить даже без административных привилегий.

К таким программам-мошенникам относятся

Trojan-Ransom.Win32.Cryzip / Gpcode / Rector / Xorist; WannaCry 2.0; Petya; Bad Rabbit

Способы распространения

Файл:Ransomware-pic.jpg

Программы, относящиеся к ransomware, технически представляют собой обычный компьютерный вирус или сетевой червь, и заражение происходит точно так же — из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.

Основные пути распространения ransomware:^[6]

уязвимости веб-браузеров (эксплойты [[Фрейм (HTML)|Шаблон:Nobrc]], XSS и прочие);
уязвимости клиентов электронной почты;
уязвимости операционной системы;
скачивание вредоносного контента с заражённых веб-сайтов;
через ботнет;
через игровые серверы (Trojan-Ransom.Win32.CiDox)^[7];
с помощью фишинга и вишинга^[8]Шаблон:Sfn

Способы борьбы

Шаблон:Нет ссылок в разделе Общие правила личной информационной дисциплины:

регулярное резервное копирование важных файлов;
наличие на компьютере антивируса уровня Internet Security со свежими базами;
проверка антивирусом всех новых программ перед их первым запуском;
запуск подозрительных программ в виртуальной среде («безопасная среда», «песочница»), если антивирус предоставляет такую возможность;
регулярное обновление компонентов операционной системы (Windows Update);
презумпция виновности и предвзятости ко всем получаемым бинарным файлам любым способом.

В случае когда заражение уже произошло, стоит воспользоваться утилитами и сервисами, которые предоставляют антивирусные компании. Однако устранить заражение без выплаты выкупа удается далеко не всегда^[9].

История

Вирусы-вымогатели начали заражать пользователей персональных компьютеров с мая 2005 года. Известны следующие экземпляры: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Наиболее известен вирус Gpcode (Шаблон:Iw) и его варианты — Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak (последний примечателен тем, что использует для шифрования файлов алгоритм RSA с 1024-битным ключом).

В марте 2013 года специалистами компании Dr. Web обнаружен шифровальщик ArchiveLock, атаковавший пользователей Испании и Франции, который для выполнения вредоносных действий по шифрованию файлов использует легальный архиватор WinRAR^[10], а затем после шифрования безвозвратно удаляет оригинальные файлы утилитой Sysinternals SDelete^[11].

О масштабах возникшего криминального бизнеса говорит следующий факт. В конце 2013 года шифровальщик CryptoLocker использовал платёжную систему Bitcoin для получения выкупа. В декабре 2013 года журнал ZDNet провёл, основываясь на доступности информации о транзакциях Bitcoin, оценку переводов средств от заражённых пользователей за период с 15 октября по 18 декабря и только к окончанию этого периода операторам CryptoLocker удалось собрать около 27 миллионов долларов, по актуальной в то время цене биткойнов.^[12]

Известные атаки

2017: WannaCry (май)^[13]; Petya (июнь)^[14]^[15]; Bad Rabbit (октябрь)^[16]

2022: осенью появилось более 50 фишинговых сайтов, распространяющих программу для разгона видеокарт MSI Afterburner, зараженную вирусом RedLine^[17].

География

Пользуясь интернетом злоумышленники могут действовать во всем мире: только в Австралии, по официальным данным, с августа по декабрь 2014 года произошло около 16 тыс. эпизодов онлайн-вымогательства, при этом общая сумма выкупа составила около 7 млн долларов^[9].

"Русский" след

По мнению специалистов, косвенные признаки указывают на связь разработчиков программ-вымогателей c бывшими республиками СССР и Россией. В пользу этой версии говорят следующие факты^[18]:

Большинство объявлений с предложением вымогательского ПО размещается на русскоязычных форумах в даркнете.
Активность хакерских групп в интернете приходится в основном на рабочие часы по московскому времени и отсутствует во время выходных и праздников по российскому календарю.
Зачастую вредоносные программы содержат код, препятствующий заражению систем с русской раскладкой клавиатуры.
Количество жертв вымогательства в России пренебрежимо мало, по сравнению с западными странами.

См. также

Вредоносные программы

Примечания

Шаблон:Примечания

Литература

Шаблон:Публикация

Ссылки

Шифровальщики-вымогатели (Crypto-Ransomware) в блоге «Amigo-A» (более 1900 штук со множеством вариантов и обновлений)
Мультиязычный сервис по определению 1095 шифровальщиков Шаблон:Ref-en по записке о выкупе, расширению, адресу, контакту, маркерам и пр. элементам вымогательства (инструкция по использованию на русском )
«Шантажист» — Криптоанализ Gpcode в Лаборатории Касперского, 16 июн 2006
Winlock. Примеры и методы борьбы. // JustPC, 2012 /вебархив/

Публикации компаний:

Special Report: Ransomware and Businesses 2016 (Symantec)Шаблон:Ref-en
Understanding Ransomware and Strategies to Defeat it (McAfee Labs of Intel Security, 2016)Шаблон:Ref-en
The Current State of Ransomware (Sophos, дек 2015)Шаблон:Ref-en

Статьи:

CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data / 2016 IEEE 36th International Conference on Distributed Computing SystemsШаблон:Ref-en
Ransomware Whitepaper / CERT.be - Internet Crime Complaint CenterШаблон:Ref-en

Шаблон:Вредоносное программное обеспечение

↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Публикация
↑ ^9,0 ^9,1 «Ransomware:Your money or your data» // The Economist, Jan 17th 2015 / Шаблон:Wayback
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Хакерская атака мирового масштаба. Вирус-вымогатель атаковал компьютеры по всему миру Шаблон:Wayback // Газета.ру, 12.05.2017
↑ Вирус-вымогатель атаковал российские компании Шаблон:Wayback // РГ, 27.06.2017
↑ Вирус Petya атаковал Чернобыльскую АЭС // РГ, 27.06.2017 / Шаблон:Wayback
↑ Шаблон:Cite news
↑ Программу для разгона видеокарт MSI Afterburner использовали для рассылки опасного вируса // Газета.ru, 25 ноября 2022
↑ Why cyber gangs won't worry about US-Russia talks // BBC, 20.06.2021 / Шаблон:Wayback

[1] Шаблон:Cite web

[2] Шаблон:Cite web

[3] Шаблон:Cite web

[4] Шаблон:Cite web

[5] Шаблон:Cite web

[6] Шаблон:Cite web

[7] Шаблон:Cite web

[Скулкин-гл.2-8] Шаблон:Публикация

[The_econ_17_Jan_2015-9] 9,0 ^9,1 «Ransomware:Your money or your data» // The Economist, Jan 17th 2015 / Шаблон:Wayback

[10] Шаблон:Cite web

[11] Шаблон:Cite web

[12] Шаблон:Cite web

[13] Хакерская атака мирового масштаба. Вирус-вымогатель атаковал компьютеры по всему миру Шаблон:Wayback // Газета.ру, 12.05.2017

[14] Вирус-вымогатель атаковал российские компании Шаблон:Wayback // РГ, 27.06.2017

[15] Вирус Petya атаковал Чернобыльскую АЭС // РГ, 27.06.2017 / Шаблон:Wayback

[16] Шаблон:Cite news

[17] Программу для разгона видеокарт MSI Afterburner использовали для рассылки опасного вируса // Газета.ru, 25 ноября 2022

[bbc_ransomware-18] Why cyber gangs won't worry about US-Russia talks // BBC, 20.06.2021 / Шаблон:Wayback

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.