Ransomware

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Програма-вимагач, програма-здирник, програма-шантажист (англ. ransomware, ransom — викуп і software — програмне забезпечення) — це тип шкідливої програми, який злочинці встановлюють на комп'ютерах користувачів. Програми, які вимагають викуп, надають злочинцям можливість віддалено заблокувати комп'ютер. Після цього програма відображає спливаюче вікно з повідомленням, що комп'ютер заблокований і що до нього немає доступу, доки не заплатите кошти.

Типи програм-шантажистів

[ред. | ред. код]

На даний момент існує кілька кардинально різних підходів у роботі програм-шантажистів:

  1. Шифрування файлів у системі;
  2. Блокування або перешкода роботи в системі;
  3. Блокування або перешкода роботи в браузері.

Спосіб зараження програмами-шантажистами

[ред. | ред. код]

Загроза захована усередині іншого файлу або програми, яка виглядає настільки безвинно, що користувач спокійно їх відкриває: вкладення в електронні листи, відео зі сторінок сумнівного походження або навіть системні оновлення від особи надійних програм, таких як Windows або Adobe Flash. Після завантаження на комп'ютер шкідлива програма активується і блокує всю операційну систему, після чого запустить попередження із загрозою і з зазначенням суми викупу, яку треба заплатити за «порятунок» всієї інформації. Ці повідомлення розрізняються залежно від типу шкідливої програми з якою Ви зіткнулися: піратський контент, порнографія, помилковий вірус. Щоб додатково налякати жертву, іноді додається IP-адрес, назви Вашого провайдера або навіть фотографія, перехоплена з Вашої вебкамери. При цьому комп'ютер залишається працездатним, але всі файли користувача виявляються недоступними. Інструкцію та пароль для розшифрування файлів зловмисник обіцяє надіслати за гроші. До таких програм-зловмисників належать:

  • Trojan-Ransom.Win32.Cryzip
  • Trojan-Ransom.Win32.Gpcode
  • Trojan-Ransom.Win32.Rector
  • Trojan-Ransom.Win32.Xorist і т. д.

Засоби уникнення

[ред. | ред. код]

Є декілька способів, які допоможуть захистити комп'ютер від здирників та інших шкідливих програм:

  • Регулярне оновлення компонентів операційної системи.
  • Тримати програмне забезпечення на комп'ютері в актуальному стані, оновлюючи його.
  • Тримати увімкненим мережевий екран.
  • Не відкривати спам-повідомлення електронної пошти та не відвідувати підозрілі вебсайти.
  • Використовувати відомі антивіруси для захисту від шкідливих програм та оновлювати антивірусні бази.
  • Перед першим запуском нових програм перевіряти їх антивірусом.
  • Періодично виконувати резервне копіювання важливих даних.

Засоби боротьби

[ред. | ред. код]

Для виявлення і видалення Ransomware треба запустити повне сканування системи з відповідним, до сучасних, рішенням безпеки. Такі продукти Microsoft можуть виявити і видалити цю загрозу:

  • Microsoft Security Essentials
  • Microsoft Safety Scanner[en]
  • Windows Defender (деякі Ransomware не дозволять Вам використовувати продукти, зазначені вище, так що Вам можливо доведеться запустити комп'ютер з Windows Defender Offline диску.) Для шкідливих програм, які блокують роботу, використовують також: Лабораторію Касперського[1], Dr.Web[2], Eset[3].

Історія

[ред. | ред. код]

Віруси-шантажисти почали заражати користувачів персональних комп'ютерів з травня 2005 року. Відомі такі екземпляри: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Найбільш відомий вірус Gpcode[en] і його варіанти Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Останній примітний тим, що використовує для шифрування файлів алгоритм RSA з 1024-бітовим ключем. У березні 2013 фахівцями компанії Доктор-Веб виявлений шифрувальний ArchiveLock, що атакував користувачів Іспанії та Франції, який для виконання шкідливих дій щодо шифрування файлів використовує легальний архіватор WinRAR[4], а потім після шифрування безповоротно видаляє оригінальні файли та утиліти Sysinternals SDelete[5].

Раптова активізація застосування Ransomware сталася на початку 2016 року: згідно з повідомленнями ФБР жертви атак у США в першому кварталі виплатили нападникам 209 млн доларів порівняно з 25 млн за весь 2015 рік [6].

В липні 2023 року, дослідники комп'ютерної безпеки з FortiGuard Labs опублікували свої висновки щодо трояна-здирника, який заражає пристрої, маскуючи себе під критичні оновлення операційної системи Microsoft Windows. Зловред Big Head виводить фальшивий екран Windows Update (Центр оновлень Windows) і шифрує файли у фоновому режимі. У цей час користувач чекає, поки комп'ютер завершить передбачуване оновлення Windows. Процес займає близько 30 секунд. Існує також інший варіант, варіант B, який використовує файл PowerShell з ім'ям cry.ps1 для шифрування файлів. Цей же шкідник досліджували у Trend Micro. Фірма виявила, що здирник також перевіряє віртуальні середовища, такі як Virtual Box або VMware, і навіть видаляє резервні копії, що робить його досить серйозним[7].

1 травня 2024 року, згідно повідомлення на сайті Міністерства юстиції США, українського хакера Ярослава Васінського було засуджено в США до 13 років та 7 місяців тюремного ув'язнення за кіберзлочини та вимагання на суму 700 млн доларів шляхом проведення понад 2,5 тисячі атак програмою-вимагачем Sodinokibi/REvil. Йому також було призначено штраф у розмірі 16 млн доларів США[8][9].

Див. також

[ред. | ред. код]

Примітки

[ред. | ред. код]
  1. http://sms.kaspersky.ru/ [Архівовано 1 червня 2014 у Wayback Machine.] Сервіс розблокування «Лабораторії Касперського»
  2. https://www.drweb.com/xperf/unlocker/ [Архівовано 27 травня 2014 у Wayback Machine.] Сервіс розблокування Dr.Web
  3. http://www.esetnod32.ru/support/winlock/ [Архівовано 17 травня 2014 у Wayback Machine.] Сервіс розблокування Eset
  4. http://www.anti-malware.ru/news/2013-03-15/11370 [Архівовано 2013-06-27 у Wayback Machine.] Шкідливість полягає у шифруванні файлів на комп'ютерах жертв за допомогою WinRAR
  5. Андрій Васильков. Табун інохідців: десять самих оригінальних і популярних троянів сучасності(рус.).http://www.computerra.ru/60550/top-10-trojan-horses/ Комп'ютера. computerra.ru (21 березня 2013). Перевірено 17 травня 2014
  6. Hennigan, W.J.; Bennett, Brian (8 квітня 2016). Criminal hackers now target hospitals, police stations and schools. Los Angeles Times. Архів оригіналу за 8 липня 2016. Процитовано 30 червня 2016.
  7. Програма-вимагач Big Head, схожа на оновлення Windows, може видаляти резервні копії. 10.07.2023
  8. Sodinokibi/REvil Affiliate Sentenced for Role in $700M Ransomware Scheme. Wednesday, May 1, 2024
  9. У США українського хакера засудили до майже 14 років ув'язнення. // Автор: Дар'я Головко. 02.05.2024, 16:00