Що таке програми-вимагачі (Ransomware)?

Що таке Ransomware?

Програми-вимагачі – це тип шкідливого програмного забезпечення (зловмисного програмного забезпечення), яке може представляти себе кількома різними способами, впливаючи як на окремі системи, так і на мережі підприємств, лікарень, аеропортів та державних установ.

Вимагаюче програмне забезпечення постійно вдосконалюється і стає все більш досконалим з моменту першого зареєстрованого в 1989 році. Хоча прості формати, як правило, нешифрувальні вимагальні програми, сучасні використовують методи криптографії для шифрування файлів, роблячи їх недоступними. Шифрувальні програми-вимагачі також можуть використовуватися на жорстких дисках як спосіб повністю заблокувати операційну систему комп’ютера, не даючи жертві отримати до неї доступ. Кінцева мета – переконати жертв заплатити за викуп за розшифрування – який зазвичай просять у цифрових валютах, які важко простежити (наприклад, біткойн чи інші криптовалюти). Однак немає гарантії, що зловмисники дотримаються обіцянки після оплати. Популярність програм-вимагачів значно зросла за останнє десятиліття (особливо в 2017 році), і як фінансово вмотивована кібератака вона в даний час є найвизначнішою загрозою зловмисного програмного забезпечення у світі – як повідомляє Європол (IOCTA 2018).

Як попадаються жертви?

• Фішинг: періодична форма соціальної інженерії. У контексті програм-вимагачів фішинг-листи є однією з найпоширеніших форм розповсюдження шкідливих програм. Зазвичай жертви заражаються через компрометовані вкладення електронної пошти або посилання, які маскуються як законні. У мережі комп’ютерів однієї жертви може бути достатньо для компрометації цілої організації.
• Exploit Kits: пакет, виготовлений з різних шкідливих інструментів та попередньо написаного коду експлуатації. Ці набори призначені для використання проблем та уразливостей програмних додатків та операційних систем як способу розповсюдження шкідливого програмного забезпечення (найпоширенішими цілями є небезпечні системи, що працюють із застарілим програмним забезпеченням).
• Зловживання рекламою: зловмисники використовують рекламні мережі для розповсюдження програм-вимагачів.

Як захиститися від атак-вимагачів?

• Регулярно використовуйте зовнішні джерела для резервного копіювання своїх файлів, щоб ви могли їх відновити після видалення потенційної інфекції;
• Будьте обережні з вкладеннями електронної пошти та посиланнями. Уникайте натискання на рекламу та веб-сайти невідомого джерела;
• Встановіть надійний антивірус та постійно оновлюйте програмне забезпечення та операційну систему;
• Увімкніть параметр «Показати розширення файлів» у налаштуваннях Windows, щоб ви могли легко перевірити розширення ваших файлів. Уникайте розширень файлів, таких як .exe .vbs та .scr;
• Уникайте відвідування веб-сайтів, які не захищені протоколом HTTPS (тобто URL-адреси, що починаються на “https: //”). Однак майте на увазі, що багато шкідливих веб-сайтів впроваджують протокол HTTPS, щоб заплутати жертв, і сам по собі протокол не гарантує законності чи безпеки веб-сайту.
• Відвідайте NoMoreRansom.org, веб-сайт, створений правоохоронними та ІТ-компаніями, які працюють над зломом програм-вимагачів. Веб-сайт пропонує безкоштовні набори інструментів для розшифровки заражених користувачів, а також поради щодо запобігання.

Приклади програм-вимагачів

GrandCrab (2018)

Вперше запущена у січні 2018 року, ця програма вимагач зробила понад 50 000 жертв менш ніж за місяць, перш ніж була порушена роботою румунських влад разом із Bitdefender та Європолом (доступний безкоштовний комплект для відновлення даних) GrandCrab поширювався за допомогою електронної пошти, пов’язаної з зловживаннями рекламою та фішингом, і була першим відомим вимагачем, який вимагав викуп у криптовалюті DASH. Початковий викуп коливався від 300 до 1500 доларів США.

WannaCry (2017)

Всесвітня кібератака, яка за 4 дні заразила понад 300 000 комп’ютерів. WannaCry розповсюджувався через експлойт, відомий як EternalBlue, і націлена на операційні системи Microsoft Windows (більшість комп’ютерів, які постраждали, працювали під управлінням Windows 7). Атаку було зупинено через екстрені патчі, випущені корпорацією Майкрософт. Американські експерти з питань безпеки заявляли, що відповідальність за напад несе Північна Корея, хоча жодних доказів не надано.

Bad Rabbit (2017)

Вимагальник, який поширювався як фальшиве оновлення Adobe Flash, завантажене з компрометованих веб-сайтів. Більшість заражених комп’ютерів знаходилися в Росії, і зараження залежало від ручної інсталяції файлу .exe. Ціна розшифровки на той час становила приблизно 280 доларів США (0,05 BTC).

Locky (2016)

Зазвичай розповсюджується електронною поштою як рахунок-фактура, що вимагає оплати, що містить заражені вкладення. У 2016 році Голлівудський медичний центр був заражений Локі і заплатив викуп у 40 BTC (тоді 17 000 доларів США), щоб відновити доступ до комп’ютерних систем лікарні.