Кто может создать вирус вымогатель

Обновлено: 18.04.2024

2. Что такое вымогатели (ransomware)?

Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа.

Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.

Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.

3. Сколько денег требуют в качестве выкупа?

4. Зашифрованные файлы можно восстановить без выкупа?

Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.

Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.

5. Как платят выкуп?

Обычно с помощью криптовалюты — биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно. Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.

Некоторые вымогатели используют анонимные интернет-кошельки или даже вовсе платежи на номер мобильного телефона. Самый экстравагантный способ на нашей памяти — когда злоумышленники принимали выкуп исключительно карточками iTunes номиналом $50.

6. Как на мой компьютер могут попасть вымогатели?

Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.

Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security — последние версии умеют это делать автоматически).

Некоторые вымогатели умеют распространяться с помощью локальной сети. Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.

Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.

7. Каких файлов стоит опасаться?

Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).

Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.

8. Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?

9. У меня Mac. Для них же нет вымогателей?

Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.

Наши эксперты считают, что со временем вымогателей для устройств Apple будет все больше и больше. Более того, поскольку сами устройства дорогие, то злоумышленники не постесняются требовать с их владельцев более солидные суммы выкупа.

Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена.

10. А я с телефона. Мне не страшно?

Еще как страшно. Для аппаратов на Android есть как шифровальщики, так и блокировщики. Последние на смартфонах даже более распространены. На компьютере от них можно избавиться, просто переставив жесткий диск в другой системный блок и удалив зловреда, а вот из смартфона память так просто не достанешь. Так что антивирус на смартфоне — это совсем не блажь.

Все о троянах-вымогателях в вопросах и ответах

11. Что, даже для iPhone есть вымогатели?

12. Как можно понять, что подцепил вымогателя?

Шифровальщик непременно расскажет вам об этом сам. Вот так:

Как не попасть на деньги или трояны-вымогатели в вопросах и ответах

Все о троянах-вымогателях в вопросах и ответах

Все о троянах-вымогателях в вопросах и ответах

А блокировщики делают это как-нибудь так:

Все о троянах-вымогателях в вопросах и ответах

13. Какие бывают наиболее примечательные вымогатели?

14. Что делать, если я подцепил вымогателя?

От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.

С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.

Следующий этап — восстановление зашифрованных файлов.

Если есть резервная копия, то проще всего восстановить файлы из нее.

Все о троянах-вымогателях в вопросах и ответах

Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.

15. Почему не стоит платить выкуп?

Во-первых, нет никаких гарантий, что файлы к вам вернутся, — верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы — он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.

Во-вторых, не стоит поддерживать преступный бизнес.

16. Я нашел нужный декриптор, но он не помогает

Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий.

17. Если вовремя заметил угрозу, можно что-то сделать?

В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно — они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.

18. А если я делаю бэкапы, я в безопасности?

Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.

19. Антивируса достаточно, чтобы не заразиться?

Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить — значит, сразу блокируем.

Все о троянах-вымогателях в вопросах и ответах

В дополнение к этому Kaspersky Total Security позволяет автоматизировать резервное копирование файлов. Даже если что-то вдруг пойдет совсем не так, вы сможете восстановить важные данные из бэкапов.

20. Можно что-то настроить на компьютере, чтобы защититься надежнее?

а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.

б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.

content/ru-ru/images/repository/isc/2021/ransomware-attacks-and-types.jpg

Выявление программ-вымогателей – основные различия

Наиболее популярны два типа программ-вымогателей:

Locky, Petya и прочие

Теперь вы знаете, что такое программы-вымогатели, и каких основных двух типов они бывают. Далее приведены несколько примеров известных программ-вымогателей, показывающих, чем они опасны.

Locky

WannaCry

WannaCry – это атака программы-вымогателя, в 2017 году имевшая место в более чем 150 странах. Она была разработана для использования уязвимости в системе безопасности Windows, созданной АНБ и ставшей известной в результате действий группы хакеров Shadow Brokers. Атаке WannaCry подверглись 230 000 компьютеров по всему миру, в том числе треть больниц Национальной службы здравоохранения Великобритании, что повлекло ущерб в 92 миллиона фунтов стерлингов. Пользователи были заблокированы, и у них требовали выкуп в биткойнах. Это атака вскрыла проблему устаревших систем: хакеры использовал уязвимость операционной системы, для которой на момент атаки уже в течение продолжительного времени существовал патч. Мировой финансовый ущерб, нанесенный WannaCry, составил около 4 миллиардов долларов США.

Bad Rabbit

Bad Rabbit – это атака с использованием программ-вымогателей, которая распространялась с 2017 года посредством так называемой скрытой загрузки. Для выполнения таких атак используются незащищенные веб-сайты. При атаке с использованием скрытой загрузки пользователь посещает настоящий веб-сайт, не подозревая, что он был взломан. Для большинства атак с использованием скрытой загрузки от пользователя требуется только открыть взломанную страницу. В этом случае запуск установщика, содержащего скрытую вредоносную программу, ведет к заражению. Это называется распространением вредоносных программ. Bad Rabbit просит пользователей запустить поддельную установку Adobe Flash, тем самым заражая компьютер вредоносной программой.

Ryuk – это троян-шифровальщик, распространившийся в августе 2018 года. Он отключаетфункцию восстановления операционных систем Windows, что делает невозможным восстановление зашифрованных данных без внешней резервной копии. Вирус Ryuk также шифрует сетевые жесткие диски. Атака имела масштабные последствия; многие американские компании, подвергшиеся нападению, выплатили требуемые суммы выкупа. Общий ущерб оценивается более чем в 640 000 долларов.

Shade/Troldesh

Jigsaw

CryptoLocker

CryptoLocker – это программа-вымогатель, впервые обнаруженная в 2007 году, распространяемая через зараженные вложения электронной почты. Она выполняла поиск важных данных на зараженных компьютерах и зашифровывала их. Пострадало около 500 000 компьютеров. Правоохранительным органам и компаниям по обеспечению безопасности в конечном итоге удалось получить контроль над сетью взломанных домашних компьютеров, используемых для распространения CryptoLocker по всему миру. Это позволило агентствам и компаниям перехватывать данные, передаваемые по сети, незаметно для злоумышленников. В конечном итоге это привело к созданию онлайн-портала, на котором жертвы могли получить ключ для разблокировки своих данных. Это позволило им получить свои данные без необходимости платить преступникам выкуп.

Petya

Petya (не путать с ExPetr) – это атака программы-вымогателя, впервые произошедшая в 2016 году, а затем повторившаяся как GoldenEye в 2017 году. Вместо шифрования отдельных файлов эта вредоносная программа-вымогатель шифровала целиком жесткие диски жертв. Это достигалось путем шифрования основной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске. Программа-вымогатель Petya распространялась по корпоративным отделам кадров с посредством поддельного приложения, содержащего зараженную ссылку Dropbox.

Существует другой вариант вируса Petya – Petya 2.0, отличающийся некоторыми ключевыми особенностями. Однако с точки зрения осуществления атаки, оба вируса одинаково опасны для устройства.

GoldenEye

Повторное появление вируса Petya под именем GoldenEye привело к мировому заражению программами-вымогателями в 2017 году. Вирус GoldenEye, также известный как "смертоносный брат" WannaCry, поразил более 2000 целей, в том числе несколько известных российских нефтяных компаний и банков. В результате атаки вируса GoldenEye на Чернобыльскую АЭС, сотрудники были вынуждены вручную проверять уровень радиации, поскольку их компьютеры с Windows были отключены от сети.

GandCrab

B0r0nt0k

B0r0nt0k – это использующая шифрование программа-вымогатель, предназначенная для серверов на базе Windows и Linux. Эта программа-вымогатель шифруетфайлы на серверах Linux и добавляет к ним расширение .rontok. Она представляет опасность не только для файлов, но также меняет параметры запуска программ, отключает функции и приложения и добавляет записи реестра, файлы и программы.

Программа-вымогатель Dharma Brrr

Brrr – новая программа-вымогатель от Dharma, устанавливается вручную хакерами, взломавшими подключенные к Интернету службы рабочего стола. Как только хакер активирует программу-вымогатель, начинается шифрование обнаруженных файлов. Зашифрованным файлам присваивается расширение .id-[id].[email].brrr.

Программа-вымогатель FAIR RANSOMWARE

FAIR RANSOMWARE – это программа-вымогатель, выполняющая шифрование данных. С помощью мощного алгоритма шифруются все личные документы и файлы жертвы. Файлы, зашифрованные с помощью этой вредоносной программы, имеют расширение .FAIR RANSOMWARE.

Программа-вымогатель MADO

Программа-вымогатель MADO – это еще один вид программы-шифровальщика. Данные, зашифрованные этой программой, имеют расширение .mado и больше не открываются.

Атаки с использованием программ-вымогателей

Как описано выше, программы-вымогатели используются в абсолютно разных сферах. Обычно требуемый размер выкупа составляет от 100 до 200 долларов. Однако в некоторых случаях злоумышленники требуют гораздо больший выкуп, особенно если понимают, что блокировка данных может повлечь значительные финансовые потери для атакуемой компании. Таким образом, это позволяет киберпреступникам зарабатывать существенные суммы денег. В двух приведенных ниже примерах обратите внимание на жертв кибератаки, а не на тип используемых программ-вымогателей.

Программа-вымогатель WordPress

Программа-вымогатель WordPress, как следует из названия, нацелена на файлы веб-сайтов WordPress. У жертв вымогают выкуп, что типично для программ-вымогателей. Чем более востребован сайт на платформе WordPress, тем выше вероятность его атаки с применением программ-вымогателей.

Дело компании Wolverine

Компания Wolverine Solutions Group (предоставляющая медицинские услуги) стала жертвой атаки программ-вымогателей в сентябре 2018 года. Большое количество файлов компании было зашифровано вредоносной программой, в результате чего сотрудники не смогли их открыть. К счастью, эксперты-криминалисты смогли расшифровать и восстановить данные 3 октября. Однако в результате атаки были скомпрометированы данные многих пациентов. Имена, адреса, медицинские данные и другая личная информация могла попасть в руки киберпреступников.

Услуги по предоставлению программ-вымогателей

Услуги по предоставлению программ-вымогателей позволяют киберпреступникам с низкими техническими возможностями осуществлять атаки с использованием этих программ. Вредоносные программы предоставляется покупателям, что снижает риск и повышает выгоду для разработчиков.

Выводы

Атаки программ-вымогателей имеют различные проявления и масштабы. Вектор атаки – это важный фактор, зависящий от типа используемой программы-вымогателя. Чтобы оценить серьезность и масштабы атаки, необходимо учитывать потенциальный ущерб, то есть какие данные могут быть удалены или опубликованы. Независимо от типа программы-вымогателя, предварительное резервное копирование данных и использование программ безопасности может значительно снизить последствия атаки.

Другие статьи по теме

What Что такое программы-вымогатели

How to remove ransomware Как удалить программы-вымогатели

How to prevent Ransomware Как защитить себя от программ-вымогателей

Другие статьи по теме:

Распознавание программ-вымогателей (ransomware): чем отличаются трояны-шифровальщики

Избранные статьи

content/ru-ru/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

content/ru-ru/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

TrickBot – многоцелевой ботнет

content/ru-ru/images/repository/isc/2021/top_ransomware_attacks_1.jpg

Основные атаки программ-вымогателей

content/ru-ru/images/repository/isc/2020/deep-web-cover.jpg

Что такое глубокий и теневой интернет?

content/ru-ru/images/repository/isc/2020/keepkidssafecovid1.jpg

Как защитить детей в интернете во время коронавируса

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop

content/ru-ru/images/repository/isc/2021/ransomware.jpg

Программы-вымогатели: часть семейства вредоносных программ

Термин вредоносные программы охватывает все программы, которые могут быть опасны для вашего компьютера, включая вирусы и троянские программы.

Как обнаружить программы-вымогатели и защититься от них

Борьба с троянами-шифровальщиками

Наиболее распространенные пути заражения программами-вымогателями – это посещение вредоносных веб-сайтов, загрузка вредоносных вложений и небезопасные надстройки, загружаемые вместе с программами. Достаточно одного неосторожного действия, чтобы стать жертвой программы-вымогателя. Поскольку основное свойство вредоносных программ – оставаться незамеченными как можно дольше, обнаружить заражение довольно сложно. Атака программ-вымогателей, скорее всего, будет обнаружена программами для обеспечения безопасности.

Очевидно, что изменение расширений файлов, повышенная активность процессора и другая сомнительная активность на компьютере могут свидетельствовать о заражении. При удалении программы-вымогателя доступны три основных варианта. Первый – заплатить выкуп, что категорически не рекомендуется. Поэтому лучше попытаться удалить программу-вымогатель с компьютера. Если это не удалось, остается только последнее возможное действие: восстановить настройки компьютера до заводских.

Какие существуют виды программ-вымогателей и что это значит?

Как упоминалось ранее, угроза, исходящая от программ-вымогателей, зависит от типа вируса. В первую очередь следует учитывать, что существует две основные категории программ-вымогателей: программы-блокировщики с требованием выкупа и шифровальщики. Их можно определить следующим образом:

  • Программы-блокировщики с требованием выкупа затрагивают основные функции компьютера.
  • Программы шифровальщики – шифруют отдельные файлы.

Тип вредоносной программы также имеет большое значение, когда дело доходит до выявления и удаления программ-вымогателей. В рамках этих двух основных категорий проводится различие между многочисленными дополнительными типами программ-вымогателей. К ним относятся, например, Locky, WannaCry и Bad Rabbit.

История программ-вымогателей

В атаках программ-вымогателей все больше наблюдаются региональные различия. Например:

В некоторых странах троянские программы уведомляют жертв о том, что на их компьютерах установлено нелицензионное программное обеспечение. Затем пользователю предлагается произвести платеж.

Самая крупная атака программ-вымогателей

Весной 2017 года произошла одна из самых крупных и серьезных атак с использованием программ-вымогателей, которая получила название WannaCry. В ходе атаки у приблизительно 200,000 пользователей из 150 стран был затребован выкуп в биткойнах.

Выводы

Программы-вымогатели: определение, защита и удаление

Что такое программа-вымогатель, что она делает с компьютером и как от нее защититься? Это важно знать о троянах-шифровальщиках.


Что представляют собой программы-вымогатели?

Программа-вымогатель — это вредоносная программа, которая шифрует данные жертвы. После чего злоумышленник просит жертву заплатить выкуп за ключ для расшифровки ее файлов.
Первая такая программа появилась в 1989 году, распространялась на дискетах и требовала оплату в размере 189 долларов.
В 2019 году от атаки вируса-вымогателя пострадал город Балтимор. Ликвидация ущерба обошлась примерно в 18 млн долларов.
Но как именно работает это вредоносное ПО?

Как работает программа-вымогатель?


Программа-вымогатель — это многоэтапная атака, которую злоумышленники осуществляют разными способами. Но ключевые этапы одинаковые — проникнуть в сеть жертвы, зашифровать как можно больше данных и вымогать плату за расшифровку.

1. Инфицирование

Во-первых, злоумышленникам необходимо внедрить вредоносное ПО в выбранную сеть. Чаще всего это простая фишинговая атака с использованием вредоносных программ во вложенных файлах. После этого программа-вымогатель либо работает локально, либо пытается реплицироваться на другие компьютеры в сети.

2. Получение ключей безопасности

Затем вредоносная программа сообщает злоумышленникам о заражении жертвы и получает криптографические ключи, необходимые для шифрования данных.

3. Шифрование

На этом этапе программа-вымогатель выполняет шифрование файлов жертвы. Он начинает с локального диска, а затем пытается проверить сеть на наличие подключенных дисков или открытых дисков для атаки. Например, CryptoWall удалил файлы теневой копии (Volume Shadow Copy), чтобы затруднить восстановление из резервной копии, а также искал возможность похитить кошельки BitCoin. WannaCry использовал уязвимость EternalBlue для распространения на другие компьютеры и последующего шифрования.

4. Вымогательство

5. Разблокировка и восстановление

Теперь важно, платит ли жертва выкуп и надеется ли, что преступник честно пришлет ключи дешифрования. Или она удаляет вредоносное ПО и пытается восстановить зашифрованные данные вручную.
Злоумышленники обычно не предоставляют ключи даже после получения денег. Да, хоть это может и шокировать. Вот почему инцидент с вымогательством в городе Балтимор стоил так дорого, а восстановление заняло так много времени. В Балтиморе злоумышленникам не платили, поэтому ИТ-персоналу приходилось восстанавливать данные, когда это было под силу, и заново настраивать устройства, на которых они этого сделать не могли.
План восстановления также должен учитывать угрозу разглашения данных. Но как помешать злоумышленнику раскрыть украденные данные? Никак. В связи с этим защита систем и предотвращение проникновения вымогателей гораздо важнее, чем создание резервных копий данных.
Подробнее о принципе действия программ-вымогателей вы можете узнать из видео ниже — оно входит в наш бесплатный вводный курс Троя Ханта по вирусам-вымогателям:

Как защититься от программ-вымогателей: основные советы


Выстраивание защиты от атак программ-вымогателей включает действия как отдельных лиц, так и всего предприятия для предотвращения заражения.

Не нажимайте на ссылки!

Обеспечьте защиту электронной почты и конечных точек

Храните резервные копии

Храните актуальные резервные копии для защиты важных данных — как корпоративных, так и личных. Лучший и самый быстрый способ борьбы с вымогателями — сразу же повторно создать образ диска, а затем восстановить данные из последней надежной резервной копии. Конечно, если в результате атаки данные не были удалены — это уже другая проблема.

Защищайте конфиденциальную информацию

Люди генетически предрасположены к доверию. Это одна из эволюционных причин огромного распространения нашего вида. Присущее нам доверие помогает экстрасенсам убедить нас, что мы сами сделали определенный выбор, а злоумышленникам — заставить сообщать им свои пароли или девичьи фамилии матери.
Когда кто-либо просит у вас конфиденциальную информацию, будьте скептичны и выполняйте установленные правила. Здесь та же проблема, что и со ссылками, но это может быть и реальное личное общение.

Кто находится в группе риска?

Теоретически от программ-вымогателей может пострадать каждый. Из экономических соображений самые изощренные атаки обычно нацелены на крупные платежеспособные организации. Но не всегда атаки программ-вымогателей имеют какую-то конкретную цель. Некоторые злоумышленники используют методы ковровой бомбардировки и пытаются заразить как можно больше пользователей одновременно.

7 типов программ-вымогателей, которые необходимо знать каждому

Злоумышленники постоянно разрабатывают новые виды программ-вымогателей, которые используют различные векторы атаки, такие как вредоносная реклама, черви-вымогатели и программы одноранговой передачи файлов.

Атаки программ-вымогателей не обязательно должны быть хитроумными, чтобы приносить результат. Для распространения WannaCry и NotPetya использовалась широко известная уязвимость, и они оказались сверхэффективными.

Шифровальщики

Первая и наиболее распространенная категория этих программ — это вымогатели-шифровальщики. CryptoLocker и CryptoWall получили репутацию надежных вирусов-вымогателей для шифрования. Шифрование — это процесс кодирования данных, поэтому их невозможно прочитать без соответствующего ключа.

Взлом шифровальщиков

Как открытые, так и симметричные ключи теоретически могут быть взломаны методом подбора. Но рассчитывать на это не стоит. Современное шифрование — слишком сложный процесс даже для самых быстродействующих компьютеров.
Если конкретней, шансы расшифровать файлы, пораженные шифровальщиком, используя брутфорс, находятся где-то между мизерными и нулевыми (причем значительно ближе к нулю).

Программы-вымогатели, удаляющие данные

Блокировщики

Программы-вымогатели для мобильных устройств

Правила реагирования на атаку программы-вымогателя


1. Изоляция

Первым шагом в борьбе c программой-вымогателем является изоляция зараженных систем от остальной сети. Остановите работу этих систем и отсоедините сетевой кабель. Выключите WI-FI. Зараженные системы необходимо полностью изолировать от других компьютеров и запоминающих устройств этой сети.

2. Идентификация

Затем выясните, какое именно вредоносное ПО привело к заражению компьютеров. Специалисты отдела реагирования на инциденты, ИТ-персонал или сторонние консультанты должны определить тип программы-вымогателя и составить план наиболее эффективной борьбы с заражением.

3. Оповещение регулирующих органов об угрозе

В зависимости от наступивших последствий инцидента и применимых положений законодательства, об инциденте следует сообщить регуляторам.

4. Удаление вредоносного ПО

Удалите вредоносное ПО из зараженных систем, чтобы предотвратить дальнейшее их повреждение и распространение вируса.

5. Восстановление данных

После подавления атаки переходите к процессу восстановления. Оплата выкупа — один из вариантов. Возможно, злоумышленники — благородные воры и отдадут вам ключи, необходимые для дешифрования данных. Оптимальный вариант — восстановление из самой последней доступной резервной копии. При ее наличии.

Стоит ли платить выкуп?

Нет. В большинстве случаев этого не стоит делать. В приоритете должна быть защита от программ-вымогателей, а также доступные варианты резервного копирования. Регулярно создавайте резервные копии, чтобы предотвратить подобные атаки и защитить данные, и тогда в оплате выкупа никогда не возникнет необходимости. Тем не менее, на практике всё может быть гораздо сложнее.
Предоставляется ли киберстрахование для защиты от атак вирусов-вымогателей? Можно ли купить биткойны, чтобы вовремя заплатить выкуп? Имеются ли резервные копии для зараженных систем? Имеют ли данные критическую важность? При принятии решения о внесении выкупа вам, скорее всего, нужно будет ответить на эти вопросы.

Перед рассмотрением вопроса о переводе средств

Поиск инструмента для дешифрования

В каких случаях стоит задуматься о переводе средств

Отказ от оплаты: в каких случаях не стоит идти на поводу


Большинство людей слышали о вирусах-вымогателях (если вы не знаете, что это такое, посмотрите здесь). Но как именно они работают? Почему приносят такой вред? И как организации могут защититься от них? Правительство США недавно заявило о том, что направит больше усилий на противодействие вирусам-вымогателям и другим кибератакам, но также подчеркнуло значимость содействия со стороны частного сектора. В то же время частный сектор требует от правительства более решительных мер по борьбе с этой угрозой, приобретающей все большие масштабы.

Почему вирусы-вымогатели так опасны, особенно сейчас?

А разве нельзя просто заплатить вымогателям?

Хотя суммы, запрашиваемые вымогателями, могут достигать миллионов долларов, такая цена за восстановление данных может оказаться меньше, чем убытки, связанные с замедлением или нарушением (особенно когда речь идет о важнейшей инфраструктуре) работы всего предприятия. Так почему же просто не заплатить выкуп?

Специалисты по безопасности и правительственные эксперты рекомендуют компаниям не поддаваться на шантаж, так как это ведет за собой продолжение цикла атак. Если злоумышленнику удается получить выкуп от жертвы, это побуждает его снова атаковать те организации, которые готовы платить. К тому же, даже если организация решит заплатить выкуп, совсем не факт, что данные будут восстановлены, а конфиденциальная информация не уйдет на сторону.

Как именно злоумышленники получают доступ?

Хакеры могут проникать в сеть разными способами. Очень часто для хищения учетных данных и/или побуждения сотрудников перейти по вредоносной ссылке или открыть вложение используется фишинг и психологические атаки. Кроме того, вирусы могут содержаться на зараженных веб-сайтах или просто использовать известные уязвимости ПО на сетевом периметре организации. В некоторых случаях злоумышленники могут сначала взломать систему бизнес-партнера, поставщика услуг организации или сторонних лиц, чтобы в конечном итоге поразить намеченную цель.

Чтобы сделать атаку максимально прибыльной, операторы вирусов-вымогателей, как правило, дожидаются того момента, когда получат доступ к большому сегменту сети, прежде чем приступать к развертыванию вируса. Основной целью систем защиты является предотвращение доступа хакеров к сети, но не менее важно внедрять правильные политики, ограничивающие разрешенные пользователям действия, на случай получения контроля над сетью или учетной записью.

Что можно сделать, чтобы защититься от вирусов-вымогателей?

Вирусные атаки очень многогранны, а значит такой же должна быть и система защиты. Отдельной технологии или методике это не под силу. Защиту от вирусов-вымогателей нужно воспринимать как непрерывный, многоуровневый процесс. Необходимо внедрять лучшие технологии, поддерживать их актуальность (для противодействия новым угрозам) и обеспечить интеграцию (чтобы все решения работали слаженно и дублировали друг друга).

В борьбе с вирусами-вымогателями важную роль играет информированность конечных пользователей: они должны знать, каковы последствия бездумного просмотра сайтов и перехода по ссылкам. Однако, по мнению старшего консультанта руководителей отделов информационной безопасности Cisco, Венди Нейзер (Wendy Nather), все это можно делать правильно или неправильно.

Рекомендации по защите от вирусов-вымогателей

Если вы не знаете, с чего начать защиту от вирусов-вымогателей, начните с базовой культуры кибербезопасности. Некоторые из ее элементов могут показаться банальными, но их часто упускают из вида из-за недостатка ресурсов, более приоритетных проектов и задач и т. д. Злоумышленники знают об этом и часто используют подобные уязвимости и слабости.

Регулярно обновляйте системы и применяйте исправления. Автоматическая (по возможности) установка исправлений поможет предотвратить взломы и утечку данных, а также снизит нагрузку на специалистов по ИТ и безопасности. Мы проанализировали 25 рекомендаций в исследовании, посвященном эффективности программ по безопасности за 2021 г., и выяснили, что упреждающее обновление технологий оказывает максимальное влияние на повышение общей эффективности защиты.

Обязательно выполняйте резервное копирование данных на случай нештатных ситуаций. Храните резервные копии на автономных носителях, чтобы хакеры не могли получить к ним доступ. Разработайте план восстановления, который позволит проводить масштабное восстановление данных, не затрагивая бизнес-процессы.

Ведите точные и актуальные записи инвентаризации активов. Старые, забытые компьютеры часто становятся отправной точкой для злоумышленников.

Регулярно проводите оценку рисков, чтобы своевременно выявлять уязвимости в инфраструктуре.

Реализуйте шифрование конфиденциальных данных и сегментацию сети: это затруднит доступ злоумышленников к критически важным системам.

Будьте в курсе новых угроз и тактик защиты и внедрите надежный план реагирования на инциденты, который помог бы противостоять непредвиденным угрозам. Такие организации, как Cisco Talos, предлагают услуги реагирования на инциденты, которые помогут вам подготовиться к взломам и принять адекватные меры по реагированию и восстановлению.

Полезные технологии

И, конечно же, обязательно внедрите комплекс решений безопасности, чтобы охватить широкий вектор атак, используемых злоумышленниками. Мы рекомендуем в том числе следующие решения:

Межсетевой экран нового поколения и IPS-система ― защитите сеть от атак, реализуя современные технологии межсетевых экранов и предотвращения вторжений (IPS).

Обеспечение безопасности эл. почты ― блокируйте вирусы-вымогатели, поступающие через спам и фишинг, и автоматически выявляйте вредоносные вложения и URL-адреса.

Обеспечение безопасности Интернета и облака ― защитите пользователей от вирусов-вымогателей и другого вредоносного ПО во время работы в Интернете или использования облачных приложений.

Защита оконечных устройств ― выявляйте и устраняйте угрозы, которые могут заражать различные оконечные устройства в сети.

Защищенный доступ ― обеспечьте доступ к ресурсам только для авторизованных пользователей и устройств, внедрив многофакторную проверку подлинности (MFA) и другие защитные меры.

Контроль и аналитика сетевых ресурсов ― отслеживание всего происходящего в сети позволит быстро выявить аномальное поведение. Используйте решение, которое может анализировать как зашифрованный, так и незашифрованный трафик.

Используя эти и другие технологии, организации должны реализовывать в сфере безопасности принцип нулевого доверия: никакие пользователи, устройства и приложения не должны считаться по умолчанию надежными. Система безопасности, основанная на принципе нулевого доверия, затрудняет доступ злоумышленников и успешный запуск вирусов-вымогателей в вашей сети.

Продукты для защиты от вирусов-вымогателей Cisco Ransomware Defense

Если вам нужна помощь в реализации стратегии защиты от вирусов-вымогателей, в портфеле Cisco Secure вы найдете все вышеперечисленные технологии и много других решений. Дополнительная эффективность достигается за счет интеграции в рамках платформы Cisco SecureX и поддержки со стороны ведущих специалистов по аналитике угроз из группы Cisco Talos.

Если вас заинтересовала эта тема, рекомендуем ознакомиться с эксклюзивным интервью Cisco Talos с оператором вирусов-вымогателей, чтобы получить представление о человеческом факторе угроз. Если вас интересует технический анализ всех новых атак, подпишитесь на блог Cisco Talos.

Читайте также: