ru

Что такое программа-вымогатель?

13 марта 2017

Dave Piscitello

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

null

Программа-вымогатель это вредоносное ПО (вирус), направленное на вымогательство денег. Изначально злоумышленники использовали программы-вымогатели для получения денежных средств от граждан за восстановление персональных данных. В настоящее время хакеры вымогают деньги у предприятий за восстановление конфиденциальной информации. От вымогательства не застрахован никто. Преступники вымогали деньги за восстановление медицинских или персональных данных у работников здравоохранения и запирали постояльцев отеля в гостиничных номерах. Вымогательству могут подвергаться даже промышленные системы.

В прошлом вредоносные программы, так называемые вирусы-блокировщики, не позволяли жертве получить доступ к рабочему столу или браузеру. Вредоносное ПО быстро эволюционировало, появились криптовымогатели, шифрующие информацию на компьютерах и мобильных устройствах. И те и другие отправляют пользователю уведомление следующего характера: «Приобретите программное обеспечение или ключ для расшифровки, иначе ваши данные будут уничтожены».

Структура вымогательской атаки

Обычно программа-вымогатель распространяется с письмами электронной почты, в виде вложений. Используя методы психологической атаки, пользователя убеждают скачать и открыть вложение. Во вложении чаще всего прикреплена автоматически устанавливающаяся вредоносная программа, так называемый Троян или дроппер. После установки дроппер заходит в хакерскую сеть зараженных машин (бот-сеть), связываясь с ее системой команд и управления (C2). Во время соединения C2 создает и отправляет криптографический материал для дроппера программы-вымогателя (и, возможно, дополнительный вредоносный код). Дроппер вымогателя использует криптографический материал для шифровки персональных данных на зараженном устройстве. Затем жертве отправляется сообщение с требованием заплатить выкуп за ключ, который расшифрует заблокированные данные.

Многие хакеры-вымогатели угрожают пользователям уничтожением всех файлов, хранящих личную информацию, если выкуп не будет выплачен в течение 24 часов. Чтобы сбить жертву с толку, некоторые уведомления оформлены как сообщения от правоохранительных или правительственных органов с требованием выплатить штраф.

Программа-вымогатель использует систему доменных имен общего пользования

Для соединения с C2 дропперы программ-вымогателей иногда используют IP адреса с жесткой кодировкой. Если дроппер использует статический IP-адрес, сотрудники правоохранительных органов могут быстро вычислить и отключить C2 хакерской бот-сети. Чтобы уклониться от такого перехвата, более совершенное вымогательское ПО идентифицирует C2 с помощью алгоритмически генерируемых доменных имен. Современные дропперы программ-вымогателей используют DNS для получения доменных имен, которые хакеры постоянно меняют, скрываясь от правоохранительных органов.

Не платите выкуп!

Органы правопорядка и эксперты в области безопасности сходятся в одном: выкуп платить нельзя! Нет оснований полагать, что хакер предоставит вам средства для расшифровки персональных данных, если вы заплатите. Злоумышленник может исчезнуть, продолжить вымогательство или отправить нерабочий ключ для расшифровки.

Позаботьтесь о защите от программ-вымогателей заранее

Выполните резервное копирование данных для защиты от вымогательства. Регулярно сохраняя персональную или конфиденциальную информацию на внешние накопительные устройства или в облачное хранилище, вы делаете угрозы хакеров бессмысленными. Уделяйте особое внимание резервному копированию файлов во время путешествий.

Кроме того, пользуясь Интернетом, не забывайте о безопасности. Чтобы свести к минимуму вероятность заражения вымогательским ПО, постарайтесь принять следующие меры:

  • Своевременно обновляйте программное обеспечение на ноутбуке.
  • Закройте общий доступ к папкам.
  • Обновляйте антивирус.
  • Используйте надежный DNS-преобразователь.
  • Отключите выполнение макроса.
  • Установите инструменты защиты от программ-вымогателей.

Выполнив эти мероприятия, убедитесь, что у вас есть средства, позволяющие быстро восстановить операционную систему, приложения и архивы на вашем устройстве в случае его заражения программогй-вымогателем. Как предприятиям, так и частным лицам следует ознакомиться с так называемыми службами восстановления изображений.

Защитить себя можно и другими способами; см. 22 совета по предотвращению заражения вымогательским ПО.

Если у вас требуют выкуп…

Помните: платить нельзя! Обратитесь к знакомым, разбирающимся в компьютерах, в службу ремонта компьютерной техники или в ИТ-отдел вашей организации за помощью в выявлении программы-вымогателя. Специалисты помогут найти хранилища для аварийного восстановления удаленных файлов или загрузочное ПО, средства удаления программ-вымогателей или дешифраторы и онлайн-хранилища ключей восстановления. Несмотря на свой необычный вид, следующий ресурс может оказаться полезным для защиты от программ-вымогателей: https://www.nomoreransom.org/.

Не станьте жертвой

Поскольку хакеры используют все более сложные средства вымогательства, пользователи должны принимать профилактические меры защиты и делать все возможное для предотвращения атак злоумышленников. Проинформирован — значит защищен. Будьте бдительны.

Dave Piscitello