WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

Программа-вымогатель^[1]^[2], программа-шантажист^[3] (англ. ransomware — контаминация слов ransom — выкуп и software — программное обеспечение) — тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нём данных (часто с помощью методов шифрования), а затем требует от жертвы выкуп для восстановления исходного состояния.

Типы программ-вымогателей

В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:

шифрование файлов в системе
блокировка или помеха работе в системе
блокировка или помеха работе в браузерах

Блокировка или помеха работе в системе

После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью системных функций и прописывается в автозагрузке (в соответствующих ветках системного реестра). При этом на экране пользователь видит какое-либо выдуманное сообщение, к примеру о якобы незаконных действиях, только что совершенных пользователем (даже со ссылками на статьи законов), и требование выкупа, нацеленное на испуг неопытного пользователя — отправить платное СМС, пополнить чей-либо счёт^[4], в том числе анонимным способом вроде BitCoin. Причём трояны этого типа часто не проверяют пароль. При этом компьютер остаётся в рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя^[5]. Иногда в вирус все же включают инструменты уничтожения данных, таких как шифрование по асимметричному ключу, но они либо не срабатывают должным образом, либо имеет место низкоквалифицированная реализация. Известны случаи наличия ключа расшифровки файлов в самом коде трояна, а также технической невозможности расшифровки данных самим взломщиком (несмотря на оплаченный выкуп) по причине отсутствия или утери этого ключа даже у него.

Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами, созданными антивирусными компаниями для разных географических регионов действия троянов и, как правило, доступными свободно.

Шифрование файлов в системе

После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.

Вирусы-шифровальщики появились хронологически после винлокеров. Их распространение связано с UAC и оперативными исправлениями Microsoft: прописаться в системе без ведома пользователей становится сложнее, но компьютер-то предназначен, чтобы работать с пользовательскими файлами! Их можно испортить даже без административных привилегий.

К таким программам-мошенникам относятся

Trojan-Ransom.Win32.Cryzip / Gpcode / Rector / Xorist; WannaCry 2.0; Petya; Bad Rabbit

Способы распространения

Программы, относящиеся к ransomware, технически представляют собой обычный компьютерный вирус или сетевой червь, и заражение происходит точно так же — из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.

Основные пути распространения ransomware:^[6]

уязвимости веб-браузеров (эксплойты <iframe>, XSS и пр.)
уязвимости клиентов электронной почты
уязвимости операционной системы
скачивание вредоносного контента с заражённых веб-сайтов
через ботнет
через игровые серверы (Trojan-Ransom.Win32.CiDox)^[7]

Способы борьбы

Общие правила личной информационной дисциплины:

регулярное резервное копирование важных файлов;
наличие на компьютере антивируса уровня Internet Security со свежими базами;
проверка антивирусом всех новых программ перед их первым запуском;
запуск подозрительных программ в виртуальной среде («безопасная среда», «песочница»), если антивирус предоставляет такую возможность;
регулярное обновление компонентов операционной системы (Windows Update);
презумпция виновности и предвзятости ко всем получаемым бинарным файлам любым способом.

В случае когда заражение уже произошло, стоит воспользоваться утилитами и сервисами, которые предоставляют антивирусные компании. Однако устранить заражение без выплаты выкупа удается далеко не всегда^[8].

История

Вирусы-вымогатели начали заражать пользователей персональных компьютеров с мая 2005 года. Известны следующие экземпляры: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Наиболее известен вирус Gpcode и его варианты Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Последний примечателен тем, что использует для шифрования файлов алгоритм RSA с 1024-битным ключом.

В марте 2013 года специалистами компании Dr. Web обнаружен шифровальщик ArchiveLock, атаковавший пользователей Испании и Франции, который для выполнения вредоносных действий по шифрованию файлов использует легальный архиватор WinRAR^[9], а затем после шифрования безвозвратно удаляет оригинальные файлы утилитой Sysinternals SDelete^[10].

О масштабах возникшего криминального бизнеса говорит следующий факт. В конце 2013 года шифровальщик CryptoLocker использовал платёжную систему Bitcoin для получения выкупа. В декабре 2013 года ZDNet провёл, основываясь на доступности информации о транзакциях Bitcoin, оценку переводов средств от заражённых пользователей за период с 15 октября по 18 декабря. Только к окончанию этого периода операторам CryptoLocker удалось собрать около 27 миллионов долларов США по актуальной в то время цене биткойнов.^[11]

Известные атаки

2017: WannaCry (май)^[12]; Petya (июнь)^[13]^[14]; Bad Rabbit (октябрь)^[15]

География

Пользуясь интернетом злоумышленники могут действовать во всем мире: только в Австралии, по официальным данным, с августа по декабрь 2014 года произошло около 16 тыс. эпизодов онлайн-вымогательства, при этом общая сумма выкупа составила около 7 млн долларов^[8].

См. также

Примечания

↑ Термины ИТ: о профессиональном жаргоне с юмором (рус.). Проверено 28 февраля 2018.
↑ Программы-вымогатели – Ransomware - Защита от вредоносного ПО - Cis (рус.). Проверено 28 февраля 2018.
↑ Terminology Search - Microsoft Language Portal (рус.). Проверено 16 сентября 2017.
↑ Григорий Собченко. Мошенников поймали за SMS (рус.). Коммерсантъ. kommersant.ru (27 августа 2010). Проверено 11 апреля 2013. Архивировано 19 апреля 2013 года.
↑ Алексей Дмитриев. Новые программы-вымогатели грабят нас через популярные браузеры (рус.). Московский комсомолец. mk.ru (2 апреля 2013). Проверено 9 апреля 2013. Архивировано 19 апреля 2013 года.
↑ Названы главные угрозы в Сети: китайские хакеры и трояны-вымогатели (рус.). Новые известия. newizv.ru (26 января 2010). Проверено 11 апреля 2013. Архивировано 19 апреля 2013 года.
↑ Вячеслав Копейцев, Иван Татаринов. Троянцы-вымогатели (рус.). SecureList. securelist.com (12 декабря 2011). Проверено 11 апреля 2013. Архивировано 19 апреля 2013 года.
1 2 «Ransomware:Your money or your data», The Economist, Jan 17th 2015
↑ Вредонос шифрует файлы на компьютерах жертв при помощи WinRAR (рус.). Anti-Malware.ru. anti-malware.ru (15 марта 2013). Проверено 9 апреля 2013. Архивировано 17 апреля 2013 года.
↑ Андрей Васильков. Табун иноходцев: десять самых оригинальных и популярных троянов современности (рус.). Компьютерра. computerra.ru (21 марта 2013). Проверено 17 апреля 2013.
↑ Violet Blue. CryptoLocker's crimewave: A trail of millions in laundered Bitcoin (англ.). ZDNet (22 December 2013). Проверено 4 июля 2015.
↑ Хакерская атака мирового масштаба. Вирус-вымогатель атаковал компьютеры по всему миру // Газета.ру, 12.05.2017
↑ Вирус-вымогатель атаковал российские компании // РГ, 27.06.2017
↑ Вирус Petya атаковал Чернобыльскую АЭС // РГ, 27.06.2017
↑ Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ (рус.), ТАСС. Проверено 26 октября 2017.

Ссылки

Шифровальщики-вымогатели (Crypto-Ransomware) в блоге «Amigo A»
Сервис по определению 270 шифровальщиков (англ.) по выводимому сообщению (инструкция по использованию на русском от Helpsetup.ru)
«Шантажист» — Криптоанализ Gpcode в Лаборатории Касперского, 16 июн 2006
Winlock. Примеры и методы борьбы. // JustPC, 2012

Публикации компаний:

Special Report: Ransomware and Businesses 2016 (Symantec) (англ.)
Understanding Ransomware and Strategies to Defeat it (McAfee Labs of Intel Security, 2016) (англ.)
The Current State of Ransomware (Sophos, дек 2015) (англ.)

Статьи:

CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data / 2016 IEEE 36th International Conference on Distributed Computing Systems (англ.)
Ransomware Whitepaper / CERT.be (англ.) Internet Crime Complaint Center

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[1] Термины ИТ: о профессиональном жаргоне с юмором (рус.). Проверено 28 февраля 2018.

[2] Программы-вымогатели – Ransomware - Защита от вредоносного ПО - Cis (рус.). Проверено 28 февраля 2018.

[3] Terminology Search - Microsoft Language Portal (рус.). Проверено 16 сентября 2017.

[4] Григорий Собченко. Мошенников поймали за SMS (рус.). Коммерсантъ. kommersant.ru (27 августа 2010). Проверено 11 апреля 2013. Архивировано 19 апреля 2013 года.

[5] Алексей Дмитриев. Новые программы-вымогатели грабят нас через популярные браузеры (рус.). Московский комсомолец. mk.ru (2 апреля 2013). Проверено 9 апреля 2013. Архивировано 19 апреля 2013 года.

[6] Названы главные угрозы в Сети: китайские хакеры и трояны-вымогатели (рус.). Новые известия. newizv.ru (26 января 2010). Проверено 11 апреля 2013. Архивировано 19 апреля 2013 года.

[7] Вячеслав Копейцев, Иван Татаринов. Троянцы-вымогатели (рус.). SecureList. securelist.com (12 декабря 2011). Проверено 11 апреля 2013. Архивировано 19 апреля 2013 года.

[The_econ_17_Jan_2015-8] 1 2 «Ransomware:Your money or your data», The Economist, Jan 17th 2015

[9] Вредонос шифрует файлы на компьютерах жертв при помощи WinRAR (рус.). Anti-Malware.ru. anti-malware.ru (15 марта 2013). Проверено 9 апреля 2013. Архивировано 17 апреля 2013 года.

[10] Андрей Васильков. Табун иноходцев: десять самых оригинальных и популярных троянов современности (рус.). Компьютерра. computerra.ru (21 марта 2013). Проверено 17 апреля 2013.

[11] Violet Blue. CryptoLocker's crimewave: A trail of millions in laundered Bitcoin (англ.). ZDNet (22 December 2013). Проверено 4 июля 2015.

[12] Хакерская атака мирового масштаба. Вирус-вымогатель атаковал компьютеры по всему миру // Газета.ру, 12.05.2017

[13] Вирус-вымогатель атаковал российские компании // РГ, 27.06.2017

[14] Вирус Petya атаковал Чернобыльскую АЭС // РГ, 27.06.2017

[15] Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ (рус.), ТАСС. Проверено 26 октября 2017.

Вредоносное программное обеспечение
Инфекционное вредоносное ПО	Компьютерный вирус Сетевой червь Троянская программа Загрузочный вирус Пакетный вирус Хронология
Методы сокрытия	Бэкдор Дроппер Закладка Криптор Компьютер-зомби Полиморфизм Руткит
Вредоносные программы для прибыли	Adware Privacy-invasive software Ransomware (Trojan.Winlock) Spyware Бот Ботнет Веб-угрозы Кейлогер Формграббер Scareware (Лжеантивирус) Порнодиалер
По операционным системам	Вредоносное ПО для Linux Вирусы для Palm OS Макровирус Мобильный вирус
Защита	Defensive computing Антивирусная программа Межсетевой экран Система обнаружения вторжений Предотвращение утечек информации Хронология антивирусов
Контрмеры	Anti-Spyware Coalition Computer surveillance Honeypot Operation: Bot Roast