Распознавание программ-вымогателей (ransomware): чем отличаются трояны-шифровальщики

Что такое программы-вымогатели?

Программы-вымогатели – это разновидность вредоносных программ, используемых киберпреступниками. Если компьютер или сеть заражены программой-вымогателем, происходит блокировкадоступа к системе или шифрованиеданных. Киберпреступники требуют от своих жертв выкуп в обмен на предоставление доступа к данным. Чтобы защититься от заражения программами-вымогателями, рекомендуется сохранять бдительность и использовать программы безопасности. У жертв программ-вымогателей есть три варианта действий после заражения: можно заплатить выкуп, попытаться удалить вредоносную программу или перезагрузить устройство. Векторы атак, используемые троянами-вымогателями, включают, в основном, протокол удаленного рабочего стола, фишинговые сообщения электронной почты и уязвимости программного обеспечения. Таким образом, атака программ-вымогателей может быть нацелена как на частных лиц, так и на компании.

Выявление программ-вымогателей – основные различия

Наиболее популярны два типа программ-вымогателей:

Программы-блокировщики с требованием выкупа. Этот тип вредоносных программ блокирует основные функции компьютера. Например, может быть ограничен доступ к рабочему столу, а мышь и клавиатура могут быть частично отключены, что позволяет взаимодействовать с окном, содержащим требование выкупа, и произвести платеж. Кроме того, может быть выведен из строя компьютер. Но есть и хорошие новости: вредоносные программы-блокировщики обычно не нацелены на важные файлы; их цель – просто заблокировать ваше устройство. Поэтому полное уничтожение ваших данных маловероятно.
Вредоносные программы-шифровальщики. Цель таких программ-вымогателей – зашифроватьважные данные, такие как документы, изображения и видео, но не вмешиваться в основную работу компьютера. Это часто вызывает панику, поскольку пользователи видят файлы, но не могут получить к ним доступ. Разработчики таких программ часто добавляют к требованию выкупа обратный отсчет: «Если вы не заплатите выкуп до установленного срока, все ваши файлы будут удалены». Учитывая количество пользователей, не знающих о необходимости создания резервных копий данных в облачных хранилищах или на внешних физических устройствах, атаки программ-шифровальщиков могут иметь крайне негативные последствия. Поэтому многие жертвы платят выкуп просто для того, чтобы вернуть свои файлы.

Locky, Petya и прочие

Теперь вы знаете, что такое программы-вымогатели, и каких основных двух типов они бывают. Далее приведены несколько примеров известных программ-вымогателей, показывающих, чем они опасны.

Locky

Locky – это программа-вымогатель, атака с применением которой была впервые совершена группой организованных хакеров в 2016 году. С использованием Locky было зашифровано более 160 типов файлов. Программа распространялась с помощью писем, содержащих зараженные вложения. Пользователи попались на уловку с сообщениями электронной почты и установили программу-вымогатель на свои компьютеры. Этот метод распространения называется фишингом и представляет собой один из методов социальной инженерии. Программа-вымогатель Locky нацелена на типы файлов, часто используемые дизайнерами, разработчиками, инженерами и тестировщиками.

WannaCry

WannaCry – это атака программы-вымогателя, в 2017 году имевшая место в более чем 150 странах. Она была разработана для использования уязвимости в системе безопасности Windows, созданной АНБ и ставшей известной в результате действий группы хакеров Shadow Brokers. Атаке WannaCry подверглись 230 000 компьютеров по всему миру, в том числе треть больниц Национальной службы здравоохранения Великобритании, что повлекло ущерб в 92 миллиона фунтов стерлингов. Пользователи были заблокированы, и у них требовали выкуп в биткойнах. Это атака вскрыла проблему устаревших систем: хакеры использовал уязвимость операционной системы, для которой на момент атаки уже в течение продолжительного времени существовал патч. Мировой финансовый ущерб, нанесенный WannaCry, составил около 4 миллиардов долларов США.

Bad Rabbit

Bad Rabbit – это атака с использованием программ-вымогателей, которая распространялась с 2017 года посредством так называемой скрытой загрузки. Для выполнения таких атак используются незащищенные веб-сайты. При атаке с использованием скрытой загрузки пользователь посещает настоящий веб-сайт, не подозревая, что он был взломан. Для большинства атак с использованием скрытой загрузки от пользователя требуется только открыть взломанную страницу. В этом случае запуск установщика, содержащего скрытую вредоносную программу, ведет к заражению. Это называется распространением вредоносных программ. Bad Rabbit просит пользователей запустить поддельную установку Adobe Flash, тем самым заражая компьютер вредоносной программой.

Ryuk

Ryuk – это троян-шифровальщик, распространившийся в августе 2018 года. Он отключаетфункцию восстановления операционных систем Windows, что делает невозможным восстановление зашифрованных данных без внешней резервной копии. Вирус Ryuk также шифрует сетевые жесткие диски. Атака имела масштабные последствия; многие американские компании, подвергшиеся нападению, выплатили требуемые суммы выкупа. Общий ущерб оценивается более чем в 640 000 долларов.

Shade/Troldesh

Атака программы-вымогателя Shade (также известной как Troldesh) произошла в 2015 году. Она распространялась через спам-сообщения, содержащие зараженные ссылки или вложенные файлы. Интересно, что исполнители атаки Troldesh общались непосредственно со своими жертвами по электронной почте. Жертвы, с которыми у них сложились «хорошие отношения», получали скидки. Однако такое поведение – скорее исключение, чем правило.

Jigsaw

Атака программы-вымогателя Jigsaw началась в 2016 году. Она получила свое название из-за изображения известной куклы из франшизы фильма «Пила». С каждым часом, пока выкуп оставался невыплаченным, программа-вымогатель Jigsaw удаляла все больше файлов. Дополнительный стресс у пользователей вызвало использование изображения из фильма ужасов.

CryptoLocker

CryptoLocker – это программа-вымогатель, впервые обнаруженная в 2007 году, распространяемая через зараженные вложения электронной почты. Она выполняла поиск важных данных на зараженных компьютерах и зашифровывала их. Пострадало около 500 000 компьютеров. Правоохранительным органам и компаниям по обеспечению безопасности в конечном итоге удалось получить контроль над сетью взломанных домашних компьютеров, используемых для распространения CryptoLocker по всему миру. Это позволило агентствам и компаниям перехватывать данные, передаваемые по сети, незаметно для злоумышленников. В конечном итоге это привело к созданию онлайн-портала, на котором жертвы могли получить ключ для разблокировки своих данных. Это позволило им получить свои данные без необходимости платить преступникам выкуп.

Petya

Petya (не путать с ExPetr) – это атака программы-вымогателя, впервые произошедшая в 2016 году, а затем повторившаяся как GoldenEye в 2017 году. Вместо шифрования отдельных файлов эта вредоносная программа-вымогатель шифровала целиком жесткие диски жертв. Это достигалось путем шифрования основной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске. Программа-вымогатель Petya распространялась по корпоративным отделам кадров с посредством поддельного приложения, содержащего зараженную ссылку Dropbox.

Существует другой вариант вируса Petya – Petya 2.0, отличающийся некоторыми ключевыми особенностями. Однако с точки зрения осуществления атаки, оба вируса одинаково опасны для устройства.

GoldenEye

Повторное появление вируса Petya под именем GoldenEye привело к мировому заражению программами-вымогателями в 2017 году. Вирус GoldenEye, также известный как "смертоносный брат" WannaCry, поразил более 2000 целей, в том числе несколько известных российских нефтяных компаний и банков. В результате атаки вируса GoldenEye на Чернобыльскую АЭС, сотрудники были вынуждены вручную проверять уровень радиации, поскольку их компьютеры с Windows были отключены от сети.

GandCrab

GandCrab – это скандальная программа-вымогатель, угрожающаяраскрыть увлечения своих жертв порнографией. Злоумышленники утверждали, что взломали веб-камеру жертвы и требовали выкуп. В случае неуплаты выкупа они грозились опубликовать материалы, компрометирующие жертву. После первого упоминания в 2018 году, появлялись различные версии программы-вымогателя GandCrab. В рамках проекта «No More Ransom» производители систем безопасности и органы полиции разработали инструмент для расшифровки данных, зашифрованных программами-вымогателями, чтобы помочь жертвам восстановить конфиденциальные данные из GandCrab.

B0r0nt0k

B0r0nt0k – это использующая шифрование программа-вымогатель, предназначенная для серверов на базе Windows и Linux. Эта программа-вымогатель шифруетфайлы на серверах Linux и добавляет к ним расширение .rontok. Она представляет опасность не только для файлов, но также меняет параметры запуска программ, отключает функции и приложения и добавляет записи реестра, файлы и программы.

Программа-вымогатель Dharma Brrr

Brrr – новая программа-вымогатель от Dharma, устанавливается вручную хакерами, взломавшими подключенные к Интернету службы рабочего стола. Как только хакер активирует программу-вымогатель, начинается шифрование обнаруженных файлов. Зашифрованным файлам присваивается расширение .id-[id].[email].brrr.

Программа-вымогатель FAIR RANSOMWARE

FAIR RANSOMWARE – это программа-вымогатель, выполняющая шифрование данных. С помощью мощного алгоритма шифруются все личные документы и файлы жертвы. Файлы, зашифрованные с помощью этой вредоносной программы, имеют расширение .FAIR RANSOMWARE.

Программа-вымогатель MADO

Программа-вымогатель MADO – это еще один вид программы-шифровальщика. Данные, зашифрованные этой программой, имеют расширение .mado и больше не открываются.

Атаки с использованием программ-вымогателей

Как описано выше, программы-вымогатели используются в абсолютно разных сферах. Обычно требуемый размер выкупа составляет от 100 до 200 долларов. Однако в некоторых случаях злоумышленники требуют гораздо больший выкуп, особенно если понимают, что блокировка данных может повлечь значительные финансовые потери для атакуемой компании. Таким образом, это позволяет киберпреступникам зарабатывать существенные суммы денег. В двух приведенных ниже примерах обратите внимание на жертв кибератаки, а не на тип используемых программ-вымогателей.

Программа-вымогатель WordPress

Программа-вымогатель WordPress, как следует из названия, нацелена на файлы веб-сайтов WordPress. У жертв вымогают выкуп, что типично для программ-вымогателей. Чем более востребован сайт на платформе WordPress, тем выше вероятность его атаки с применением программ-вымогателей.

Дело компании Wolverine

Компания Wolverine Solutions Group (предоставляющая медицинские услуги) стала жертвой атаки программ-вымогателей в сентябре 2018 года. Большое количество файлов компании было зашифровано вредоносной программой, в результате чего сотрудники не смогли их открыть. К счастью, эксперты-криминалисты смогли расшифровать и восстановить данные 3 октября. Однако в результате атаки были скомпрометированы данные многих пациентов. Имена, адреса, медицинские данные и другая личная информация могла попасть в руки киберпреступников.

Услуги по предоставлению программ-вымогателей

Услуги по предоставлению программ-вымогателей позволяют киберпреступникам с низкими техническими возможностями осуществлять атаки с использованием этих программ. Вредоносные программы предоставляется покупателям, что снижает риск и повышает выгоду для разработчиков.

Выводы

Атаки программ-вымогателей имеют различные проявления и масштабы. Вектор атаки – это важный фактор, зависящий от типа используемой программы-вымогателя. Чтобы оценить серьезность и масштабы атаки, необходимо учитывать потенциальный ущерб, то есть какие данные могут быть удалены или опубликованы. Независимо от типа программы-вымогателя, предварительное резервное копирование данных и использование программ безопасности может значительно снизить последствия атаки.

Другие статьи по теме

What Что такое программы-вымогатели

How to remove ransomware Как удалить программы-вымогатели

How to prevent Ransomware Как защитить себя от программ-вымогателей

Другие статьи по теме: