Вирус вымогатель только номер

Обновлено: 19.04.2024

С кем боремся?

Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться. Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года.

Trojan.Winlock (Винлокер) — представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.

Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей. Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.

В качестве вариантов оплаты пользователю предлагается СМС – платеж на короткий номер или же электронный кошелек в системах WebMoney, Яндекс Деньги. Фактором, “стимулирующим” неискушенного пользователя совершить платеж становится вероятный просмотр порносайтов, использование нелицензионного ПО… А для повышения эффективности текст-обращение вымогателя содержит угрозы уничтожить данные на компьютере пользователя при попытке обмануть систему.

Пути распространения Trojan.Winlock

В большинстве случаев заражение происходит в связи с уязвимостью браузера. Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр. Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже — анимация и др.

Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:

  1. Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.
  2. Баннеры, остающиеся на рабочем столе после закрытия браузера.
  3. Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.

Вредные привычки Trojan.Winlock

Для обеспечения распространения и автозапуска вирусы семейства Trojan.Winlock модифицируют ключи реестра:

-[. \Software\Microsoft\Windows\CurrentVersion\Run] 'svhost' = '%APPDATA%\svhost\svhost.exe'
-[. \Software\Microsoft\Windows\CurrentVersion\Run] 'winlogon.exe' = '\winlogon.exe'

С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:

Создает следующие файлы:

  • %APPDATA%\svhost\svhost.exe
  • %TEMP%\uAJZN.bat
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'Indicator' WindowName: ''

Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона

Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.

сервис разблокировки DRWeb

Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr.Web

На другой странице сайта авторы представили еще один вариант выбора — готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям.

Аналогичный сервис поиска кодов представлен антивирусной студией ESET, где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту — Kaspersky WindowsUnlocker.

Способ 3. Утилиты – разблокировщики

Сплошь и рядом встречаются ситуации, когда из-за активности вируса или сбоя системы Безопасный режим с поддержкой командной строки, позволяющий провести необходимые оперативные манипуляции оказывается недоступным, а откат системы по каким-то причинам также оказывается невозможным. В таких случаях Устранение неполадок компьютера и Диск восстановления Windows оказываются бесполезны, и приходится задействовать возможности восстановления с Live CD.

Для разрешения ситуации рекомендуется использовать специализированную лечащую утилиту, образ которой потребуется загрузить с компакт диска или USB-накопителя. Для этого соответствующая возможность загрузки должна быть предусмотрена в BIOS. После того, как загрузочному диску с образом в настройках БИОС будет задан высший приоритет, первыми смогут загрузиться CD-диск или флэшка с образом лечащей утилиты.

В общем случае зайти в БИОС на ноутбуке чаще всего удается при помощи клавиши F2, на ПК – DEL/DELETE, но клавиши и их сочетания для входа могут отличаться (F1, F8, реже F10, F12…, сочетания клавиш Ctrl+Esc, Ctrl+Ins, Ctrl+Alt, Ctrl+Alt+Esc и др.). Узнать сочетание клавиш для входа можно, отслеживая текстовую информацию в нижней левой области экрана в первые секунды входа. Подробнее о настройках и возможностях BIOS различных версий можно узнать здесь.

Поскольку работу мышки поддерживают только поздние версии BIOS, перемещаться вверх и вниз по меню вероятнее всего придется при помощи стрелок “вверх” – “вниз”, кнопок “+” “–“, ”F5” и ”F6”.

AntiWinLockerLiveCD

Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.

логотип программы


Основные функции программы:

  • Фиксирование изменений важнейших параметров Операционной системы;
  • Фиксирование присутствия в области автозагрузки не подписанных файлов;
  • Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
  • Защита от отключения вирусами Диспетчера задач и редактора реестра;
  • Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
  • Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.
  • Восстанавливает корректные значения во всех критических областях оболочки;
  • Отключает не подписанные файлы из автозагрузки;
  • Устраняет блокировку Диспетчера задач и редактора реестра;
  • Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
  • Устранение всех системных отладчиков (HiJack);
  • Восстановление файлов HOSTS к первоначальному состоянию;
  • Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
  • Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
  • Удаление всех найденных файлов Autorun.inf на всех дисках;
  • Восстановление загрузочного сектора (в среде WinPE).

Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме.

Последовательность действий предельно проста:

Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.

сайт разработчика

  • Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
  • Ожидаем загрузки образа LiveCD в оперативную память.
  • После запуска окна программы выбираем заблокированную учетную запись;
  • Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
  • После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.

Нажимаем ”Старт”/”Начать лечение”.

Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом.

вирусы найдены

Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно.

удаление баннера-вымогателя


В числе дополнительных полезных инструментов программы:

  • Редактор реестра;
  • Командная строка;
  • Диспетчер задач;
  • Дисковая утилита TestDisk;
  • AntiSMS.

автозагрузки

Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве.

Профилактика

Чисто не там, где часто убирают, а там, где не сорят! — Верно сказано, а в случае с веселым троянцем, как никогда! Для того, чтобы свести к минимуму вероятность заразы стоит придерживаться нескольких простых и вполне выполнимых правил.

Пароль для учетной записи Админа придумайте посложней, что не позволит прямолинейному зловреду подобрать его методом простейшего перебора.

В настройках браузера отметьте опцию очищения кэша после сеанса, запрет на исполнение файлов из временных папок браузера и пр.

Всегда имейте под рукой лечайщий диск/флэшку LiveCD (LiveUSB), записанную с доверенного ресурса (торрента).

Не реже чем раз в две недели создавайте контрольную точку восстановления.

Любой сомнительный софт — кряки, кайгены и пр. запускайте под виртуальным ПК (VirtualBox и пр.). Это обеспечит возможность легко восстановить поврежденные сегменты средствами оболочки виртуального ПК.

Регулярно выполняйте резервное копирование на внешний носитель. Запретите запись в файлы сомнительным программам.
Удачи вам в начинаниях и только приятных, а главное — безопасных встреч!

Послесловие от команды iCover


Что представляют собой программы-вымогатели?

Программа-вымогатель — это вредоносная программа, которая шифрует данные жертвы. После чего злоумышленник просит жертву заплатить выкуп за ключ для расшифровки ее файлов.
Первая такая программа появилась в 1989 году, распространялась на дискетах и требовала оплату в размере 189 долларов.
В 2019 году от атаки вируса-вымогателя пострадал город Балтимор. Ликвидация ущерба обошлась примерно в 18 млн долларов.
Но как именно работает это вредоносное ПО?

Как работает программа-вымогатель?


Программа-вымогатель — это многоэтапная атака, которую злоумышленники осуществляют разными способами. Но ключевые этапы одинаковые — проникнуть в сеть жертвы, зашифровать как можно больше данных и вымогать плату за расшифровку.

1. Инфицирование

Во-первых, злоумышленникам необходимо внедрить вредоносное ПО в выбранную сеть. Чаще всего это простая фишинговая атака с использованием вредоносных программ во вложенных файлах. После этого программа-вымогатель либо работает локально, либо пытается реплицироваться на другие компьютеры в сети.

2. Получение ключей безопасности

Затем вредоносная программа сообщает злоумышленникам о заражении жертвы и получает криптографические ключи, необходимые для шифрования данных.

3. Шифрование

На этом этапе программа-вымогатель выполняет шифрование файлов жертвы. Он начинает с локального диска, а затем пытается проверить сеть на наличие подключенных дисков или открытых дисков для атаки. Например, CryptoWall удалил файлы теневой копии (Volume Shadow Copy), чтобы затруднить восстановление из резервной копии, а также искал возможность похитить кошельки BitCoin. WannaCry использовал уязвимость EternalBlue для распространения на другие компьютеры и последующего шифрования.

4. Вымогательство

5. Разблокировка и восстановление

Теперь важно, платит ли жертва выкуп и надеется ли, что преступник честно пришлет ключи дешифрования. Или она удаляет вредоносное ПО и пытается восстановить зашифрованные данные вручную.
Злоумышленники обычно не предоставляют ключи даже после получения денег. Да, хоть это может и шокировать. Вот почему инцидент с вымогательством в городе Балтимор стоил так дорого, а восстановление заняло так много времени. В Балтиморе злоумышленникам не платили, поэтому ИТ-персоналу приходилось восстанавливать данные, когда это было под силу, и заново настраивать устройства, на которых они этого сделать не могли.
План восстановления также должен учитывать угрозу разглашения данных. Но как помешать злоумышленнику раскрыть украденные данные? Никак. В связи с этим защита систем и предотвращение проникновения вымогателей гораздо важнее, чем создание резервных копий данных.
Подробнее о принципе действия программ-вымогателей вы можете узнать из видео ниже — оно входит в наш бесплатный вводный курс Троя Ханта по вирусам-вымогателям:

Как защититься от программ-вымогателей: основные советы


Выстраивание защиты от атак программ-вымогателей включает действия как отдельных лиц, так и всего предприятия для предотвращения заражения.

Не нажимайте на ссылки!

Обеспечьте защиту электронной почты и конечных точек

Храните резервные копии

Храните актуальные резервные копии для защиты важных данных — как корпоративных, так и личных. Лучший и самый быстрый способ борьбы с вымогателями — сразу же повторно создать образ диска, а затем восстановить данные из последней надежной резервной копии. Конечно, если в результате атаки данные не были удалены — это уже другая проблема.

Защищайте конфиденциальную информацию

Люди генетически предрасположены к доверию. Это одна из эволюционных причин огромного распространения нашего вида. Присущее нам доверие помогает экстрасенсам убедить нас, что мы сами сделали определенный выбор, а злоумышленникам — заставить сообщать им свои пароли или девичьи фамилии матери.
Когда кто-либо просит у вас конфиденциальную информацию, будьте скептичны и выполняйте установленные правила. Здесь та же проблема, что и со ссылками, но это может быть и реальное личное общение.

Кто находится в группе риска?

Теоретически от программ-вымогателей может пострадать каждый. Из экономических соображений самые изощренные атаки обычно нацелены на крупные платежеспособные организации. Но не всегда атаки программ-вымогателей имеют какую-то конкретную цель. Некоторые злоумышленники используют методы ковровой бомбардировки и пытаются заразить как можно больше пользователей одновременно.

7 типов программ-вымогателей, которые необходимо знать каждому

Злоумышленники постоянно разрабатывают новые виды программ-вымогателей, которые используют различные векторы атаки, такие как вредоносная реклама, черви-вымогатели и программы одноранговой передачи файлов.

Атаки программ-вымогателей не обязательно должны быть хитроумными, чтобы приносить результат. Для распространения WannaCry и NotPetya использовалась широко известная уязвимость, и они оказались сверхэффективными.

Шифровальщики

Первая и наиболее распространенная категория этих программ — это вымогатели-шифровальщики. CryptoLocker и CryptoWall получили репутацию надежных вирусов-вымогателей для шифрования. Шифрование — это процесс кодирования данных, поэтому их невозможно прочитать без соответствующего ключа.

Взлом шифровальщиков

Как открытые, так и симметричные ключи теоретически могут быть взломаны методом подбора. Но рассчитывать на это не стоит. Современное шифрование — слишком сложный процесс даже для самых быстродействующих компьютеров.
Если конкретней, шансы расшифровать файлы, пораженные шифровальщиком, используя брутфорс, находятся где-то между мизерными и нулевыми (причем значительно ближе к нулю).

Программы-вымогатели, удаляющие данные

Блокировщики

Программы-вымогатели для мобильных устройств

Правила реагирования на атаку программы-вымогателя


1. Изоляция

Первым шагом в борьбе c программой-вымогателем является изоляция зараженных систем от остальной сети. Остановите работу этих систем и отсоедините сетевой кабель. Выключите WI-FI. Зараженные системы необходимо полностью изолировать от других компьютеров и запоминающих устройств этой сети.

2. Идентификация

Затем выясните, какое именно вредоносное ПО привело к заражению компьютеров. Специалисты отдела реагирования на инциденты, ИТ-персонал или сторонние консультанты должны определить тип программы-вымогателя и составить план наиболее эффективной борьбы с заражением.

3. Оповещение регулирующих органов об угрозе

В зависимости от наступивших последствий инцидента и применимых положений законодательства, об инциденте следует сообщить регуляторам.

4. Удаление вредоносного ПО

Удалите вредоносное ПО из зараженных систем, чтобы предотвратить дальнейшее их повреждение и распространение вируса.

5. Восстановление данных

После подавления атаки переходите к процессу восстановления. Оплата выкупа — один из вариантов. Возможно, злоумышленники — благородные воры и отдадут вам ключи, необходимые для дешифрования данных. Оптимальный вариант — восстановление из самой последней доступной резервной копии. При ее наличии.

Стоит ли платить выкуп?

Нет. В большинстве случаев этого не стоит делать. В приоритете должна быть защита от программ-вымогателей, а также доступные варианты резервного копирования. Регулярно создавайте резервные копии, чтобы предотвратить подобные атаки и защитить данные, и тогда в оплате выкупа никогда не возникнет необходимости. Тем не менее, на практике всё может быть гораздо сложнее.
Предоставляется ли киберстрахование для защиты от атак вирусов-вымогателей? Можно ли купить биткойны, чтобы вовремя заплатить выкуп? Имеются ли резервные копии для зараженных систем? Имеют ли данные критическую важность? При принятии решения о внесении выкупа вам, скорее всего, нужно будет ответить на эти вопросы.

Перед рассмотрением вопроса о переводе средств

Поиск инструмента для дешифрования

В каких случаях стоит задуматься о переводе средств

Отказ от оплаты: в каких случаях не стоит идти на поводу

Как разблокировать вирус вымогатель буквально за 5 минут

Добрый день. В необъятном просторе интернета, пользователи находят много ценной информации для себя. Но вместе с ценной информацией, там нас поджидают и неприятные вещи, такие, как компьютерные вирусы, черви, СМС баннеры, трояны.

В данной статье я продолжаю эту тему. Теперь мы рассмотрим вопрос: — Как разблокировать вирус вымогатель? Это очень актуальная тема, особенно на протяжении последних 10 лет.

Я довольно часто встречал людей, которые сталкивались с данной проблемой, да и сам сталкивался с так называемым вирусом МВД. Суть проблемы проста. Пользователь гуляет по сети, заходит на один из ресурсов, и у него на рабочем столе появляется баннер, который блокирует компьютер и сообщает, что человек нарушил такой-то закон и должен понести ответственность в виде штрафа (также баннер может содержать изображение эротического характера).

Или же просто блокируется компьютер, открывается угрожающая страница сайта с символикой власти (герб, флаг, надпись МВД) и также сообщается об нарушении закона и наказании в виде штрафа. При этом, штраф нужно заплатить, отправив СМС по определенному номеру, тогда блокировка будет снята.

Надпись может и отличаться, но суть от этого не меняется. Вы избавитесь от блокировки, если перечислите деньги на номер телефона.

В подобных ситуациях, ни какие деньги ни куда перечислять не следует. Сохраняйте хладнокровие и рассудительность. В данной ситуации, я дам три совета, Как разблокировать вирус вымогатель. Два системных, с применением командной строки, и один с использованием стороннего софта.

Как разблокировать вирус вымогатель команда rstrui

Это один из самых простых методов. Особые знания при этом не нужны.

а) выключаем компьютер.

б) сразу после включения нажимаем клавишу F8 для входа в безопасный режим с поддержанием командной строки.

безопасный режим с командной строкой

г) в данную строку вводим надпись: rstrui

У нас появится файл rstrui.exe

rstrui

Откроем его и войдем в функцию восстановления системы.

восстановление системы

восстановление системы 1

подтверждение восстановления готово

У нас еще раз спросят, действительно ли мы решили восстановить систему, мы соглашаемся.

восстановление невозможно прервать

Процесс запущен, вам остается подождать, когда система полностью восстановится. При этом, не мешайте компьютеру восстанавливать систему. После восстановления, вирус вымогатель должен исчезнуть. В большинстве случаев данный метод помогает!

Ваш сайт по определенным причинам попал под фильтр АГС Яндекса? Это неприятная ситуация. Но на самом деле не всё так страшно. Из-под фильтра Яндекса можно выйти! Как это сделать, подробно рассказал Олег Лютый!

Как разблокировать вирус вымогатель команда Cleanmgr /verylowdisk

Если по каким-то определенный причинам метод, описанный выше не помог, применим очистку системы от временных файлов, куда может попасть вирус вымогатель.

Как разблокировать вирус вымогатель с помощью AntiSMS

Данная программа помогает лечить не только программы вымогатели, но и блокировщики и трояны, занимающиеся блокированием операционной системы и требующие от человека SMS для разблокирования ОС.

Как уверяют разработчики, даже неопытный человек буквально за пять минут сможет разблокировать систему. Также, AntiSMS помогает удалять навязчивую рекламу, руткиты и прочее.

На мой взгляд, данным метод самый действующий, т.к. подобные программы вредители модернизируются, а данная утилита тоже подстраивается под новые СМС вымогатели.

Суть данного метода проста. Вы скачиваете программу на флешку, выключаете компьютер. Потом вновь включаете с вставленной в разъём USB флешь картой. Компьютер загружается, и утилита из флешки начинает лечить компьютер.

Если же ваш ПК уже заблокирован, установите программу на флешь карту из другого компьютера, например, с компьютера друга. Но, начнем по порядочку.

Заходим на сайт производителя AntiSMS . Внимательно читаем все инструкции на сайте.

В диске же находится сама программа для удаления вымогателя на основе Windows XP (небольшая самостоятельная ОС), которая будет загружаться самостоятельно, вне зависимости от вашей операционной системы (при желании, можно выбрать загрузку из правой колонки с образом Win 8, но тогда действия наши действия будут немного отличаться, почитайте инструкцию на сайте утилиты).

теперь все готово для смс

Из надписи нам ясно, что процедура прошла успешно и флешь карта готова для лечения компьютера от вируса СМС. Выключаем компьютер, у нас начинается процесс загрузки.

теперь все хорошо компьютер вылечен

В принципе, лечение закончено. После лечения необходимо просканировать ПК антивирусом.

обычный запуск

Если после действий вредоносной программы у вас не запускается интернет, необходимо запустить AntiSMS и сбросить настройки.

выполнить полное восстановление

Наша система вылечена. Как разблокировать вирус вымогатель МВД и прочие вы теперь знаете. Если вам известны прочие способы лечения компьютера от вирусов вымогателей, жду ваших рассказов в комментариях. Пока!

content/ru-ru/images/repository/isc/2021/ransomware-attacks-and-types.jpg

Выявление программ-вымогателей – основные различия

Наиболее популярны два типа программ-вымогателей:

Locky, Petya и прочие

Теперь вы знаете, что такое программы-вымогатели, и каких основных двух типов они бывают. Далее приведены несколько примеров известных программ-вымогателей, показывающих, чем они опасны.

Locky

WannaCry

WannaCry – это атака программы-вымогателя, в 2017 году имевшая место в более чем 150 странах. Она была разработана для использования уязвимости в системе безопасности Windows, созданной АНБ и ставшей известной в результате действий группы хакеров Shadow Brokers. Атаке WannaCry подверглись 230 000 компьютеров по всему миру, в том числе треть больниц Национальной службы здравоохранения Великобритании, что повлекло ущерб в 92 миллиона фунтов стерлингов. Пользователи были заблокированы, и у них требовали выкуп в биткойнах. Это атака вскрыла проблему устаревших систем: хакеры использовал уязвимость операционной системы, для которой на момент атаки уже в течение продолжительного времени существовал патч. Мировой финансовый ущерб, нанесенный WannaCry, составил около 4 миллиардов долларов США.

Bad Rabbit

Bad Rabbit – это атака с использованием программ-вымогателей, которая распространялась с 2017 года посредством так называемой скрытой загрузки. Для выполнения таких атак используются незащищенные веб-сайты. При атаке с использованием скрытой загрузки пользователь посещает настоящий веб-сайт, не подозревая, что он был взломан. Для большинства атак с использованием скрытой загрузки от пользователя требуется только открыть взломанную страницу. В этом случае запуск установщика, содержащего скрытую вредоносную программу, ведет к заражению. Это называется распространением вредоносных программ. Bad Rabbit просит пользователей запустить поддельную установку Adobe Flash, тем самым заражая компьютер вредоносной программой.

Ryuk – это троян-шифровальщик, распространившийся в августе 2018 года. Он отключаетфункцию восстановления операционных систем Windows, что делает невозможным восстановление зашифрованных данных без внешней резервной копии. Вирус Ryuk также шифрует сетевые жесткие диски. Атака имела масштабные последствия; многие американские компании, подвергшиеся нападению, выплатили требуемые суммы выкупа. Общий ущерб оценивается более чем в 640 000 долларов.

Shade/Troldesh

Jigsaw

CryptoLocker

CryptoLocker – это программа-вымогатель, впервые обнаруженная в 2007 году, распространяемая через зараженные вложения электронной почты. Она выполняла поиск важных данных на зараженных компьютерах и зашифровывала их. Пострадало около 500 000 компьютеров. Правоохранительным органам и компаниям по обеспечению безопасности в конечном итоге удалось получить контроль над сетью взломанных домашних компьютеров, используемых для распространения CryptoLocker по всему миру. Это позволило агентствам и компаниям перехватывать данные, передаваемые по сети, незаметно для злоумышленников. В конечном итоге это привело к созданию онлайн-портала, на котором жертвы могли получить ключ для разблокировки своих данных. Это позволило им получить свои данные без необходимости платить преступникам выкуп.

Petya

Petya (не путать с ExPetr) – это атака программы-вымогателя, впервые произошедшая в 2016 году, а затем повторившаяся как GoldenEye в 2017 году. Вместо шифрования отдельных файлов эта вредоносная программа-вымогатель шифровала целиком жесткие диски жертв. Это достигалось путем шифрования основной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске. Программа-вымогатель Petya распространялась по корпоративным отделам кадров с посредством поддельного приложения, содержащего зараженную ссылку Dropbox.

Существует другой вариант вируса Petya – Petya 2.0, отличающийся некоторыми ключевыми особенностями. Однако с точки зрения осуществления атаки, оба вируса одинаково опасны для устройства.

GoldenEye

Повторное появление вируса Petya под именем GoldenEye привело к мировому заражению программами-вымогателями в 2017 году. Вирус GoldenEye, также известный как "смертоносный брат" WannaCry, поразил более 2000 целей, в том числе несколько известных российских нефтяных компаний и банков. В результате атаки вируса GoldenEye на Чернобыльскую АЭС, сотрудники были вынуждены вручную проверять уровень радиации, поскольку их компьютеры с Windows были отключены от сети.

GandCrab

B0r0nt0k

B0r0nt0k – это использующая шифрование программа-вымогатель, предназначенная для серверов на базе Windows и Linux. Эта программа-вымогатель шифруетфайлы на серверах Linux и добавляет к ним расширение .rontok. Она представляет опасность не только для файлов, но также меняет параметры запуска программ, отключает функции и приложения и добавляет записи реестра, файлы и программы.

Программа-вымогатель Dharma Brrr

Brrr – новая программа-вымогатель от Dharma, устанавливается вручную хакерами, взломавшими подключенные к Интернету службы рабочего стола. Как только хакер активирует программу-вымогатель, начинается шифрование обнаруженных файлов. Зашифрованным файлам присваивается расширение .id-[id].[email].brrr.

Программа-вымогатель FAIR RANSOMWARE

FAIR RANSOMWARE – это программа-вымогатель, выполняющая шифрование данных. С помощью мощного алгоритма шифруются все личные документы и файлы жертвы. Файлы, зашифрованные с помощью этой вредоносной программы, имеют расширение .FAIR RANSOMWARE.

Программа-вымогатель MADO

Программа-вымогатель MADO – это еще один вид программы-шифровальщика. Данные, зашифрованные этой программой, имеют расширение .mado и больше не открываются.

Атаки с использованием программ-вымогателей

Как описано выше, программы-вымогатели используются в абсолютно разных сферах. Обычно требуемый размер выкупа составляет от 100 до 200 долларов. Однако в некоторых случаях злоумышленники требуют гораздо больший выкуп, особенно если понимают, что блокировка данных может повлечь значительные финансовые потери для атакуемой компании. Таким образом, это позволяет киберпреступникам зарабатывать существенные суммы денег. В двух приведенных ниже примерах обратите внимание на жертв кибератаки, а не на тип используемых программ-вымогателей.

Программа-вымогатель WordPress

Программа-вымогатель WordPress, как следует из названия, нацелена на файлы веб-сайтов WordPress. У жертв вымогают выкуп, что типично для программ-вымогателей. Чем более востребован сайт на платформе WordPress, тем выше вероятность его атаки с применением программ-вымогателей.

Дело компании Wolverine

Компания Wolverine Solutions Group (предоставляющая медицинские услуги) стала жертвой атаки программ-вымогателей в сентябре 2018 года. Большое количество файлов компании было зашифровано вредоносной программой, в результате чего сотрудники не смогли их открыть. К счастью, эксперты-криминалисты смогли расшифровать и восстановить данные 3 октября. Однако в результате атаки были скомпрометированы данные многих пациентов. Имена, адреса, медицинские данные и другая личная информация могла попасть в руки киберпреступников.

Услуги по предоставлению программ-вымогателей

Услуги по предоставлению программ-вымогателей позволяют киберпреступникам с низкими техническими возможностями осуществлять атаки с использованием этих программ. Вредоносные программы предоставляется покупателям, что снижает риск и повышает выгоду для разработчиков.

Выводы

Атаки программ-вымогателей имеют различные проявления и масштабы. Вектор атаки – это важный фактор, зависящий от типа используемой программы-вымогателя. Чтобы оценить серьезность и масштабы атаки, необходимо учитывать потенциальный ущерб, то есть какие данные могут быть удалены или опубликованы. Независимо от типа программы-вымогателя, предварительное резервное копирование данных и использование программ безопасности может значительно снизить последствия атаки.

Другие статьи по теме

What Что такое программы-вымогатели

How to remove ransomware Как удалить программы-вымогатели

How to prevent Ransomware Как защитить себя от программ-вымогателей

Другие статьи по теме:

Распознавание программ-вымогателей (ransomware): чем отличаются трояны-шифровальщики

Избранные статьи

content/ru-ru/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

content/ru-ru/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

TrickBot – многоцелевой ботнет

content/ru-ru/images/repository/isc/2021/top_ransomware_attacks_1.jpg

Основные атаки программ-вымогателей

content/ru-ru/images/repository/isc/2020/deep-web-cover.jpg

Что такое глубокий и теневой интернет?

content/ru-ru/images/repository/isc/2020/keepkidssafecovid1.jpg

Как защитить детей в интернете во время коронавируса

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop

Читайте также: