Программы-вымогатели

Вымогатель — это разновидность вредоносного ПО, которое блокирует пользователя от его файлов или устройства, требуя оплату для восстановления доступа. Вымогатели атакуют как бизнесы и организации, так и отдельных пользователей.

Free Антивирус

Все о атаках вымогателей

Вымогатели оказались в центре внимания в 2021 году и продолжают попадать в новости в 2022. Вы могли слышать о нападениях на крупные компании, организации или правительственные учреждения, или, возможно, вы лично столкнулись с атакой вымогателей на ваше устройство.

Это серьезная проблема и жуткая перспектива, когда все ваши файлы и данные удерживаются в заложниках, пока вы не заплатите. Если хотите узнать больше об этой угрозе, читайте дальше, чтобы узнать о различных формах вымогателей, способах заражения, откуда они берутся, на кого они нацелены и, в конечном итоге, что можно сделать, чтобы защититься.

Что такое вымогатель?

Определение: Вымогательское ПО

Ransomware — это тип вредоносного ПО, который блокирует доступ к системе или личным файлам пользователя и требует выкуп для восстановления доступа. Хотя некоторые могут подумать "вирус заблокировал мой компьютер", вымогательское ПО отличается от вируса.

Ранние версии вымогательского ПО появились в конце 1980-х годов, тогда оплата осуществлялась через почтовую отправку. Сегодня авторы вымогательского ПО требуют перевод средств через криптовалюту или банковскую карту, а жертвами становятся как частные лица, так и организации. Некоторые авторы даже продают услугу другим киберпреступникам, что называется Ransomware-as-a-Service или RaaS.

Атаки вымогателей

Как именно злоумышленник осуществляет атаку с использованием вымогательского ПО? Сначала он должен получить доступ к устройству или сети. Этот доступ дает возможность использовать вредоносное ПО для шифрования данных. Существует несколько способов заражения компьютера вымогательским ПО.

Как заразиться вымогательским ПО?

  • Malspam: Чтобы получить доступ, некоторые злоумышленники используют спам, рассылая электронные письма с вредоносными вложениями как можно большему количеству людей, надеясь, что кто-то откроет вложение и
  • Malvertising: Еще один популярный метод заражения — malvertising. Malvertising или вредоносная реклама использует онлайн-рекламу для распространения вредоносного ПО с минимальной или без участия пользователя. Во время просмотра интернета, даже на легальных сайтах, пользователей могут перенаправлять на серверы злоумышленников без нажатия на рекламу.
  • Spear phishing: Более целенаправленный способ атаки — spear phishing. Пример spear phishing — это отправка электронных писем сотрудникам компании с просьбой от имени директора заполнить важный опрос или ознакомиться с новой политикой от HR.
  • Социальная инженерия: Malspam, malvertising и spear phishing часто содержат элементы социальной инженерии. Злоумышленники используют приемы социальной инженерии, чтобы заставить людей открыть вложения или перейти по ссылкам, показывая, что это — что-то доверенное. 
Инфографика о зловредной рекламе и вымогателях.

Шифрование файлов и требование выкупа

Независимо от того, какой метод злоумышленник использует, как только они получают доступ и активируется программа-вымогатель, ваши файлы зашифровываются и отображается сообщение с требованием выкупа для их восстановления. Обычно оплата требуется в криптовалюте.

Типы вымогателей

Три основных типа вымогательского ПО включают scareware, экранные блокировщики и шифровальное вымогательское ПО.

  • Scareware: Scareware — не так уж и страшно. Оно включает мошенническое ПО безопасности и аферы с техподдержкой. Обычно вы получаете всплывающее сообщение о нахождении вредоносного ПО и, якобы, единственный способ его удалить — это оплатить. Но ваши файлы на самом деле остаются в безопасности. Законное ПО не станет предлагать свои услуги таким образом.
  • Экранные блокировщики: Продвинутый уровень угрозы для этих штук. Если программное обеспечение блокировки экрана проникает на ваш компьютер, это значит, что полностью неприступен. После включения компьютера появляется окно с официальным на вид логотипом ФБР или Министерства юстиции, утверждая, что на вашем компьютере зафиксирована незаконная активность, и вы должны заплатить штраф.
  • Шифровальное вымогательское ПО: Вот это действительно опасно. Они крадут ваши файлы, шифруют их и требуют оплату для дешифровки и восстановления. Причина, по которой этот тип так опасен, в том, что после захвата ваших файлов, ни одно ПО или восстановление системы не сможет вернуть их вам. Только заплатив выкуп можно надеяться на их возвращение.

Вымогатели для Mac

Узнайте о KeRanger, первом настоящем вымогателе для Mac.

Не отставая в игре с вымогательским ПО, в 2016 году авторы вредоносного ПО для Mac выпустили первое вымогательское ПО для OS X. Названное KeRanger, оно заражало приложение Transmission, которое при открытии копировало вредоносные файлы, остававшиеся в фоне три дня до активации и шифрования. 

После KeRanger были обнаружены Findzip и MacRansom в 2017 году. В 2020 появился новый вид, на первый взгляд выглядящий как вымогательское ПО, но на деле он был 'вайпером', не предоставляя пользователям возможности расшифровки. 

Мобильное вымогательство

Лишь к пику известного CryptoLocker и других подобных семей в 2014-м вымогательское ПО добралось до мобильных устройств. Мобильное вымогательское ПО обычно показывает сообщение, что устройство заблокировано из-за незаконной активности.

На кого направлены вымогатели?

Когда вымогательское ПО только появилось, его жертвами становились частные лица. Однако, киберпреступники осознали его потенциал, нацелившись на бизнесы. Оно оказалось настолько успешным, что теперь большинство атак направлено на организации.

К концу 2016 года 12,3% мировых корпоративных угроз было связано с вымогательским ПО, в то время как у потребителей эта цифра составила 1,8%. К 2017 году 35% малых и средних предприятий подверглись атакам. 

Отчет о вымогателях для малого и среднего бизнеса.


Отчет о вымогателях для малого и среднего бизнеса.

Географически, атаки вымогательского ПО сосредоточены на западных рынках, таких как Великобритания, США и Канада. Однако с растущим экономическим развитием в Азии и Южной Америке, можно ожидать увеличения атак и там.

Как удалить вымогатель?

Говорят, лучшее лечение — это профилактика. Это действительно справедливо, если речь идет о вымогательском ПО. Если ваш компьютер зашифрован, то нет гарантии, что заплатив, вы получите доступ обратно.

Поэтому очень важно подготовиться к потенциальной атаке. Два ключевых шага, которые нужно сделать:

  • Установите антивирусное ПО, пока вымогательское ПО не ударило.
  • Резервное копирование важных данных.

Если ваша система все же инфицирована, главное правило — не платите выкуп. (Эту рекомендацию теперь поддерживает ФБР.) Оплата только дает стимул для киберпреступников. 

Один из потенциальных способов борьбы с вымогательским ПО заключается в использовании бесплатных дешифраторов для восстановления некоторых файлов. Однако, не все семейства имеют дешифраторы, так как многие используют сложные алгоритмы шифрования.

И даже если дешифратор есть, неизвестно, подходит ли он для вашей версии вредоносного ПО. Из-за риска повторного шифрования, лучше всего проконсультироваться с IT-специалистом перед использованием.

Другие способы борьбы с вымогательским ПО включают скачивание антивирусного ПО, известного своими способностями к восстановлению, и запуск сканирования.

Чтобы попытаться предотвратить заражение, нужно быть особенно осторожным. Если вдруг система начинает тормозить без видимой причины, выключите её и отключите от интернета.

Однако эти варианты удаления программ-вымогателей не сработают во всех случаях. Как отмечалось выше, для пользователей важно быть проактивными в защите от программ-вымогателей, установив программное обеспечение безопасности, такое как Malwarebytes Premium, и создавая резервные копии всех важных данных. Для бизнеса узнайте больше о бизнес-решениях Malwarebytes, которые включают обнаружение, предотвращение и восстановление после атак программ-вымогателей

Как защитить себя от вымогателей?

Эксперты по безопасности согласны, что лучший способ защититься от программ-вымогателей — не допустить их возникновения.


Узнайте о лучших способах предотвращения заражения вымогателями.

Узнайте о лучших способах предотвращения заражения вымогателями.

Хотя существуют способы устранения вымогательского ПО, они далеко не идеальны и требуют технических знаний.

Первым шагом в предотвращении атак программ-вымогателей является инвестиция в отличные средства кибербезопасности — программы, обеспечивающие защиту в реальном времени и разработанные для предотвращения сложных атак вредоносных программ, таких как программы-вымогатели. Вам также следует обратить внимание на функции, которые будут защищать уязвимые программы от угроз (технология анти-эксплойт), а также блокировать программы-вымогатели от захвата файлов в заложники (компонент анти-вымогателя). Например, пользователи, использовавшие премиум-версию Malwarebytes для Windows, были защищены от всех крупных атак программ-вымогателей 2017 года.

Затем, насколько это может быть больно, необходимо регулярно создавать надежные резервные копии данных. Мы рекомендуем использовать облачные хранилища с высоким уровнем шифрования и многофакторной аутентификацией.

Убедитесь, что ваши системы и ПО обновлены. Вспышка вымогательского ПО WannaCry использовала уязвимость в Microsoft, заделать которую компания выпустила патч в марте 2017 года, но пользователи не обновились.

Наконец, оставайтесь в курсе последних событий. Одна из самых распространенных причин заражения — социальная инженерия. Научите себя и своих сотрудников выявлять malspam, подозрительные сайты и другие угрозы.

Как вымогатели влияют на мой бизнес?

GandCrab, SamSam, WannaCry, NotPetya — все это различные типы вымогательского ПО, которые серьезно бьют по бизнесу. Атаки на бизнесы выросли на 88%.

Большинство недавних случаев связано с GandCrab. Впервые обнаруженный в январе 2018 года, он уже прошел через несколько версий, делая защиту всё более сложной.

В марте 2018 года SamSam серьезно повредил инфраструктуру Атланты, отключив многие городские службы.

С учетом растущих атак и их стоимости, сейчас самое время постараться защитить ваш бизнес.

  • Создайте резервные копии данных. Если ваши системы заражены, восстановление будет столь же простым, как удаление и переустановка систем.
  • Установите обновления и заплатки для ПО. Вымогательское ПО часто использует эксплоиты для незаконного доступа в систему. До тех пор, пока ваше ПО актуально, эксплотируемые атаки вас не коснутся.
  • Обучите пользователей выявлению malspam и созданию сильных паролей. Хитрые киберпреступники теперь используют Emotet в качестве доставочного носителя, что делает его угрозой.
  • Инвестируйте в хорошую технологию кибербезопасности. Malwarebytes Endpoint Detection and Response, например, обеспечивает возможности обнаружения, реагирования и восстановления через одного удобного агента по всей вашей сети. Вы также можете запросить бесплатную пробную версию технологии Malwarebytes anti-ransomware, чтобы узнать больше о нашей технологии защиты от программ-вымогателей. 

Что делать, если вы уже жертва вымогательского ПО? Никто не хочет столкнуться с ним постфактум.

  • Проверьте, нет ли дешифратора. В редких случаях вы сможете расшифровать данные бесплатно, но не стоит возлагать большие надежды.
  • Не платите выкуп. Ранее мы уже советовали не платить выкуп, и ФБР с нами согласны.

История атак вымогателей

Первое вымогательское ПО, известное как PC Cyborg или AIDS, было создано в конце 1980-х годов. Оно шифровало файлы на диске C: после 90 перезагрузок.

С небольшим количеством появившихся в следующие 10 лет вариантов, серьезная угроза вымогательского ПО не появилась до 2004 года, когда GpCode использовал слабое шифрование RSA для удержания персональных файлов.

В 2007 году WinLock ознаменовал появление нового типа — блокировщиков рабочих столов, использующих сексуальные изображения для вымогательства оплаты.

С появлением семьи Reveton в 2012 году возник новый вид: правоохранительное вымогательство. Оно блокировало пользователей и показывало страничку с псевдоправоохранительными.

Обычные пользователи не понимали, как реагировать, и верили, что они на самом деле под следствием. Эта тактика социальной инженерии, называемая предполагаемой виной, заставляет сомневаться в своей невиновности.

В 2013 году CryptoLocker снова ввел мир в шифровальное вымогательство — на этот раз гораздо более опасное, с военным уровнем шифрования.

Этот тип шифрующего программного обеспечения-вымогателя используется и сегодня, так как он доказал свою невероятную эффективность как инструмент для киберпреступников, стремящихся заработать деньги. Крупные вспышки программ-вымогателей, такие как WannaCry в мае 2017 года и Petya в июне 2017 года, использовали шифрующее ПО для зацепки пользователей и компаний по всему миру.

В конце 2018 года Ryuk появился на рынке программ-вымогателей с серией атак на американские новостные издания, а также на водопроводную и канализационную службу округа Onslow в Северной Каролине. В интересном повороте событий, целевые системы сначала инфицировались Emotet или TrickBot, двумя троянами для кражи информации, которые теперь используются для доставки других форм вредоносного ПО, таких как Ryuk, например. Директор Malwarebytes Labs Адам Куджава предположил, что Emotet и TrickBot используются для нахождения ценных целей. Когда система заражена и отмечена как подходящая цель для программы-вымогателя, Emotet/TrickBot вновь заражают систему Ryukом.

В 2019 году преступники, стоящие за программным обеспечением-вымогателем Sodinokibi (предполагаемый ответвление от GandCrab), начали использовать поставщиков управляемых услуг (MSP) для распространения инфекций. В августе 2019 года сотни стоматологических кабинетов по всей стране обнаружили, что больше не могут получить доступ к данным своих пациентов. Злоумышленники использовали компрометированный MSP, в данном случае компанию по разработке программного обеспечения для медицинских записей, чтобы напрямую заразить порядка 400 стоматологических кабинетов с использованием программного обеспечения для ведения учета. 

Также в 2019 году Malwarebytes обнаружила семейство программ-вымогателей Maze. Согласно отчету 2021 года 'Состояние вредоносных программ' от Malwarebytes, 'Maze пошли дальше простого удержания данных в заложниках — они добавили дополнительную угрозу публичного раскрытия украденных данных, если выкуп не будет выплачен.' Другое семейство программ-вымогателей, впервые появившееся в том же году, — это REvil, также известное как 'Sodin' или 'Sodinokibi'. Это продвинутая группа программ-вымогателей, использующая модель «Программа-вымогатель как Услуга» для продажи другим, кто хочет использовать их программное обеспечение для кибератак. 

В 2020 году появилась новая семья вымогателей под названием Egregor. Считается, что это некий преемник семейства Maze, так как многие киберпреступники, работавшие с Maze, перешли на Egregor. По аналогии с Maze, Egregor использует атаку 'двойного вымогательства', при которой они одновременно шифруют файлы и крадут данные у жертвы, угрожая опубликовать их в Интернете, если выкуп не будет выплачен. 

Хотя атаки программ-вымогателей на частных лиц являются проблемой уже несколько лет, атаки на бизнесы, больницы и системы здравоохранения, школы и школьные округа, местные правительства и другие организации в 2021 году делают заголовки новостей. От Colonial Pipeline до крупного мясопереработчика JBS и Steamship Authority, крупнейшей паромной компании в Массачусетсе, атаки вымогателей показали, что они способны и готовы нарушать работу крупных компаний, предоставляющих такие повседневные товары, как бензин, продукты питания и транспорт. 

В течение 2021 года мы наблюдаем за рядом крупных атак вымогателей на основные компании и организации (см. раздел новостей выше, чтобы узнать о многих из них). В середине года правительство США заявило, что программы-вымогатели будут расцениваться как терроризм, и создало сайт StopRansomware.gov для объединения информации о том, как остановить и выжить после атак программ-вымогателей.

Что принесут оставшиеся месяцы 2021 и 2022 года в плане угроз программ-вымогателей? Хотя мы не знаем, мы будем здесь, чтобы держать вас в курсе. Возвращайтесь на эту страницу для будущих обновлений и следите за блогом Malwarebytes Labs для последних новостей в области кибербезопасности.