Ransomware

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Ransomware (англ. ransom — викуп і software — програмне забезпечення) — це клас шкідливого програмного забезпечення, який злочинці встановлюють на Ваших комп'ютерах. Програми, які вимагають викуп, надають злочинцям можливість віддалено заблокувати Ваш комп'ютер. Після цього програма відображає спливаюче вікно з повідомленням, що Ваш комп'ютер заблокований і що Ви не зможете отримати до нього доступ, якщо не заплатите.

Типи програм-Ransomware[ред.ред. код]

На даний момент існує кілька кардинально різних підходів у роботі програм—Ransomware:

  1. Шифрування файлів в системі;
  2. Блокування або перешкода роботи в системі;
  3. Блокування або перешкода роботи в Браузері.

Ransom-ліцензія[ред.ред. код]

Реалізація Ransomware працює таким чином. Спочатку створюється продукт. Потім цей продукт пропонується для викупу по ліцензії, при цьому обов'язковою умовою ліцензії є термін дії ліцензії. Автор може продавати або по-іншому поширювати свій продукт, якщо того дозволяє ліцензія або, шукаючи способи, досягти суми зазначеної для викупу. Всі, хто хоче викупити продукт, можуть це зробити вносячи зручні для них суми. Немає різниці, чи буде це n-людей, що зробили внесок в $2 або одна людина, яка заплатила всю суму, але автор у праві обмежувати разові внески мінімальними і максимальними сумами. Поки що, Ransom-ліцензія знаходиться на етапі розробки пропорції. Вже зараз Ransomware більше, ніж просто модель — недавні спроби деяких розробників плагінів для Textpattern[en] і шаблонів підтвердили, що це серйозно, реально і вигідно як користувачам, так і розробникам. На жаль, але гарна ідея багато в чому недоступна вітчизняним розробникам і дизайнерам — на пострадянському просторі не існує чогось подібного системам PayPal і Dropcash[en] ідеально відповідних для таких цілей.

Загроза Ransomware[ред.ред. код]

Загроза захована усередині іншого файлу або програми, яка виглядає настільки безвинно, що користувач спокійно їх відкриває: вкладення в електронні листи, відео зі сторінок сумнівного походження або навіть системні оновлення від особи надійних програм, таких як Windows або Adobe Flash. Після того як Ви завантажуєте її на Ваш комп'ютер, шкідлива програма активується і блокує всю операційну систему, після чого запустить попередження із загрозою і з зазначенням суми викупу, яку треба заплатити за «порятунок» всієї інформації. Ці повідомлення розрізняються залежно від типу шкідливої програми з якою Ви зіткнулися: піратський контент, порнографія, помилковий вірус. Щоб додатково налякати жертву, іноді додається IP-адрес, назви Вашого Інтернет-провайдера або навіть фотографія, перехоплена з Вашої веб-камери. При цьому комп'ютер залишається працездатним, але всі файли користувача виявляються недоступними. Інструкцію та пароль для розшифрування файлів зловмисник обіцяє прислати за гроші. До таких програм-зловмисників належать:

  • Trojan-Ransom.Win32.Cryzip
  • Trojan-Ransom.Win32.Gpcode
  • Trojan-Ransom.Win32.Rector
  • Trojan-Ransom.Win32.Xorist і т. д.

Засоби уникнення Ransomware на Вашому комп'ютері[ред.ред. код]

Є декілька безкоштовних способів, які допоможуть захистити Ваш комп'ютер від здирників і інших шкідливих програм:

  • Тримайте все програмне забезпечення на Вашому комп'ютері в актуальному стані. Переконайтесь в тому, що автоматичне оновлення включене, щоб отримати всі останні оновлення безпеки Microsoft.
  • Тримайте включений брандмауер.
  • Не відкривайте спам-повідомлення електронної пошти та не відвідуйте підозрілі веб-сайти.
  • Завантажте Microsoft Security Essentials, який містить Trojan.Winlock безкоштовно, або використовуйте інші відомі антивіруси для захисту від шкідливих програм. Якщо Ви запустите Windows 8 або Windows RT, Вам не потрібен антивірус Microsoft Security Essentials.

Засоби боротьби з Ransomware на Вашому комп'ютері[ред.ред. код]

Для виявлення і видалення Ransomware треба запустити повне сканування системи з відповідним, до сучасних, рішенням безпеки. Такі продукти Microsoft можуть виявити і видалити цю загрозу:

  • Windows Defender (вбудований в Windows 8)
  • Microsoft Security Essentials
  • Microsoft Safety Scanner[en]
  • Windows Defender (деякі Ransomware не дозволять Вам використовувати продукти, зазначені вище, так що Вам можливо доведеться запустити комп'ютер з Windows Defender Offline диску.) Для шкідливих програм, які блокують роботу, використовують також: Лабораторію Касперського[1], Dr.Web[2], Eset[3].

Історія[ред.ред. код]

Віруси-Ransomware почали заражати користувачів персональних комп'ютерів з травня 2005 року. Відомі такі екземпляри: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Найбільш відомий вірус Gpcode[en] і його варіанти Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Останній примітний тим, що використовує для шифрування файлів алгоритм RSA з 1024-бітовим ключем. У березні 2013 фахівцями компанії Доктор-Веб виявлений шифрувальний ArchiveLock, що атакував користувачів Іспанії та Франції, який для виконання шкідливих дій щодо шифрування файлів використовує легальний архіватор WinRAR[4], а потім після шифрування безповоротно видаляє оригінальні файли та утиліти Sysinternals SDelete[5].

Див. також[ред.ред. код]

Примітки[ред.ред. код]

  1. http://sms.kaspersky.ru/ Сервіс розблокування «Лабораторії Касперського»
  2. https://www.drweb.com/xperf/unlocker/ Сервіс розблокування Dr.Web
  3. http://www.esetnod32.ru/support/winlock/ Сервіс розблокування Eset
  4. http://www.anti-malware.ru/news/2013-03-15/11370 Шкідливість полягає у шифруванні файлів на комп'ютерах жертв за допомогою WinRAR
  5. Андрій Васильков. Табун інохідців: десять самих оригінальних і популярних троянів сучасності(рус.).http://www.computerra.ru/60550/top-10-trojan-horses/ Комп'ютера. computerra.ru (21 березня 2013). Перевірено 17 травня 2014