Программа-вымогатель это вредоносное ПО (вирус), направленное на вымогательство денег. Изначально злоумышленники использовали программы-вымогатели для получения денежных средств от граждан за восстановление персональных данных. В настоящее время хакеры вымогают деньги у предприятий за восстановление конфиденциальной информации. От вымогательства не застрахован никто. Преступники вымогали деньги за восстановление медицинских или персональных данных у работников здравоохранения и запирали постояльцев отеля в гостиничных номерах. Вымогательству могут подвергаться даже промышленные системы.
В прошлом вредоносные программы, так называемые вирусы-блокировщики, не позволяли жертве получить доступ к рабочему столу или браузеру. Вредоносное ПО быстро эволюционировало, появились криптовымогатели, шифрующие информацию на компьютерах и мобильных устройствах. И те и другие отправляют пользователю уведомление следующего характера: «Приобретите программное обеспечение или ключ для расшифровки, иначе ваши данные будут уничтожены».
Структура вымогательской атаки
Обычно программа-вымогатель распространяется с письмами электронной почты, в виде вложений. Используя методы психологической атаки, пользователя убеждают скачать и открыть вложение. Во вложении чаще всего прикреплена автоматически устанавливающаяся вредоносная программа, так называемый Троян или дроппер. После установки дроппер заходит в хакерскую сеть зараженных машин (бот-сеть), связываясь с ее системой команд и управления (C2). Во время соединения C2 создает и отправляет криптографический материал для дроппера программы-вымогателя (и, возможно, дополнительный вредоносный код). Дроппер вымогателя использует криптографический материал для шифровки персональных данных на зараженном устройстве. Затем жертве отправляется сообщение с требованием заплатить выкуп за ключ, который расшифрует заблокированные данные.
Многие хакеры-вымогатели угрожают пользователям уничтожением всех файлов, хранящих личную информацию, если выкуп не будет выплачен в течение 24 часов. Чтобы сбить жертву с толку, некоторые уведомления оформлены как сообщения от правоохранительных или правительственных органов с требованием выплатить штраф.
Программа-вымогатель использует систему доменных имен общего пользования
Для соединения с C2 дропперы программ-вымогателей иногда используют IP адреса с жесткой кодировкой. Если дроппер использует статический IP-адрес, сотрудники правоохранительных органов могут быстро вычислить и отключить C2 хакерской бот-сети. Чтобы уклониться от такого перехвата, более совершенное вымогательское ПО идентифицирует C2 с помощью алгоритмически генерируемых доменных имен. Современные дропперы программ-вымогателей используют DNS для получения доменных имен, которые хакеры постоянно меняют, скрываясь от правоохранительных органов.
Не платите выкуп!
Органы правопорядка и эксперты в области безопасности сходятся в одном: выкуп платить нельзя! Нет оснований полагать, что хакер предоставит вам средства для расшифровки персональных данных, если вы заплатите. Злоумышленник может исчезнуть, продолжить вымогательство или отправить нерабочий ключ для расшифровки.
Позаботьтесь о защите от программ-вымогателей заранее
Выполните резервное копирование данных для защиты от вымогательства. Регулярно сохраняя персональную или конфиденциальную информацию на внешние накопительные устройства или в облачное хранилище, вы делаете угрозы хакеров бессмысленными. Уделяйте особое внимание резервному копированию файлов во время путешествий.
Кроме того, пользуясь Интернетом, не забывайте о безопасности. Чтобы свести к минимуму вероятность заражения вымогательским ПО, постарайтесь принять следующие меры:
- Своевременно обновляйте программное обеспечение на ноутбуке.
- Закройте общий доступ к папкам.
- Обновляйте антивирус.
- Используйте надежный DNS-преобразователь.
- Отключите выполнение макроса.
- Установите инструменты защиты от программ-вымогателей.
Выполнив эти мероприятия, убедитесь, что у вас есть средства, позволяющие быстро восстановить операционную систему, приложения и архивы на вашем устройстве в случае его заражения программогй-вымогателем. Как предприятиям, так и частным лицам следует ознакомиться с так называемыми службами восстановления изображений.
Защитить себя можно и другими способами; см. 22 совета по предотвращению заражения вымогательским ПО.
Если у вас требуют выкуп…
Помните: платить нельзя! Обратитесь к знакомым, разбирающимся в компьютерах, в службу ремонта компьютерной техники или в ИТ-отдел вашей организации за помощью в выявлении программы-вымогателя. Специалисты помогут найти хранилища для аварийного восстановления удаленных файлов или загрузочное ПО, средства удаления программ-вымогателей или дешифраторы и онлайн-хранилища ключей восстановления. Несмотря на свой необычный вид, следующий ресурс может оказаться полезным для защиты от программ-вымогателей: https://www.nomoreransom.org/.
Не станьте жертвой
Поскольку хакеры используют все более сложные средства вымогательства, пользователи должны принимать профилактические меры защиты и делать все возможное для предотвращения атак злоумышленников. Проинформирован — значит защищен. Будьте бдительны.