Программа-шифровальщик
Программа-шифровальщик (также известная как ransomware, криптовирус, вымогатель) — это тип вредоносного программного обеспечения (malware), которое при проникновении в компьютерную систему шифрует файлы пользователя или блокирует доступ к устройству, после чего требует от жертвы выкуп (ransom) за восстановление данных. В отличие от других видов вредоносных программ, основной целью шифровальщика является не кража информации или уничтожение данных, а получение финансовой выгоды путём вымогательства.
История
Первые упоминания о программах-вымогателях относятся к концу 1980-х годов. В 1989 году биолог Джозеф Попп создал троян AIDS (также известный как PC Cyborg), который распространялся на дискетах. После запуска программа скрывала файлы на жёстком диске и требовала отправить чек на 189 долларов на адрес в Панаме. Из-за примитивных методов шифрования (симметричное шифрование с известным ключом) и отсутствия массового распространения интернета этот инцидент остался единичным.
Массовое распространение программ-шифровальщиков началось в 2000-х годах с развитием криптовалют, в первую очередь биткойна, которые обеспечили анонимность платежей. Первой значительной эпидемией стал троян GPCode (2004 год), который шифровал файлы, используя слабый алгоритм. В 2005—2006 годах появились более совершенные образцы, такие как Archievus и Cryzip.
Настоящий бум ransomware произошёл в 2013 году с появлением CryptoLocker. Эта программа использовала сильное асимметричное шифрование (RSA-2048) и распространялась через фишинговые письма с вложениями. За несколько месяцев CryptoLocker заразил сотни тысяч компьютеров по всему миру, принеся создателям, по разным оценкам, от 3 до 30 миллионов долларов выкупа. После этого количество атак ransomware начало расти экспоненциально.
В 2017 году мир потрясли две крупные эпидемии: WannaCry и NotPetya. WannaCry заразил более 200 000 компьютеров в 150 странах, используя уязвимость EternalBlue в протоколе SMB, разработанную АНБ США. NotPetya, хотя и маскировался под шифровальщик, на самом деле был вайпером (программой, необратимо уничтожающей данные) и нанёс ущерб в миллиарды долларов, особенно компании Maersk. В 2020-х годах шифровальщики стали целенаправленно атаковать крупные корпорации, государственные учреждения и больницы, используя тактику «двойного вымогательства» (шифрование + угроза утечки данных).
Классификация
Программы-шифровальщики классифицируются по нескольким признакам.
По способу воздействия
- Шифровальщики файлов (File Encryptors): Самый распространённый тип. Программа шифрует отдельные файлы (документы, изображения, базы данных), оставляя операционную систему работоспособной. После шифрования файлы получают новое расширение (например, .encrypted, .crypt, .locky). Жертве показывается сообщение с требованием выкупа и инструкциями.
- Блокировщики экрана (Screen Lockers): Блокируют доступ к операционной системе, отображая на весь экран сообщение от имени правоохранительных органов (например, «Ваш компьютер заблокирован за просмотр детской порнографии») с требованием оплатить «штраф». Файлы при этом могут оставаться нетронутыми. В современных атаках встречаются реже.
- Вайперы (Wipers): Не шифруют, а необратимо уничтожают данные. Часто маскируются под шифровальщиков, чтобы скрыть истинную цель — саботаж или уничтожение инфраструктуры. Примеры: NotPetya, Shamoon.
По модели распространения
- Массовые (Spray-and-Pray): Распространяются случайным образом через фишинговые письма, вредоносные вложения, эксплойт-киты на взломанных сайтах. Цель — максимальное количество жертв с низким порогом выкупа (обычно 100—500 долларов).
- Целевые (Targeted / Human-operated): Атаки на конкретные организации. Злоумышленники сначала проникают в сеть (через фишинг, уязвимости RDP, VPN), изучают инфраструктуру, повышают привилегии, крадут учётные данные и только потом запускают шифровальщик на всех серверах и рабочих станциях одновременно. Размер выкупа может достигать миллионов долларов. Примеры: Ryuk, Conti, REvil (Sodinokibi).
По модели вымогательства
- Классическое вымогательство: Требование выкупа только за расшифровку данных.
- Двойное вымогательство (Double Extortion): Перед шифрованием злоумышленники крадут конфиденциальные данные. Если жертва отказывается платить, угрожают опубликовать данные на специальных сайтах утечек (leak sites). Эта модель стала стандартом с 2020 года.
- Тройное вымогательство (Triple Extortion): К угрозе публикации данных добавляется DDoS-атака на инфраструктуру жертвы или информирование клиентов/партнёров об утечке.
Устройство и принцип работы
Типичная атака программы-шифровальщика состоит из нескольких этапов.
- Проникновение: Вредоносная программа попадает в систему. Основные векторы: фишинговые письма (с макросами в Office, ссылками на загрузку), эксплуатация уязвимостей в ПО (браузеры, Java, Adobe Reader), атаки на протокол удалённого рабочего стола (RDP) с подбором паролей, использование легитимных инструментов администрирования (PsExec, PowerShell) после первичного взлома.
- Запуск и установка: После запуска шифровальщик часто копирует себя в системные директории, создаёт записи в автозагрузке и пытается отключить средства защиты (антивирусы, теневые копии томов (VSS), службу восстановления системы). Для этого используются команды
vssadmin delete shadows /allиbcdedit /set {default} recoveryenabled No. - Связь с командным сервером (C2): Программа устанавливает соединение с сервером управления злоумышленников. Через него может быть получен уникальный публичный ключ шифрования или инструкции. В некоторых вариантах (например, ранние версии Locky) ключ генерируется на стороне жертвы и затем шифруется публичным ключом злоумышленника.
- Шифрование данных: Программа обходит файловую систему, отбирая файлы по расширениям (.doc, .xls, .pdf, .jpg, .1c, .sql и т.д.). Обычно избегаются системные файлы и исполняемые модули, чтобы не нарушить работу ОС. Для шифрования используется гибридная схема: файлы шифруются быстрым симметричным алгоритмом (AES, Salsa20), а ключ шифрования — асимметричным алгоритмом (RSA, ECC) с использованием публичного ключа злоумышленника. Это делает расшифровку без приватного ключа практически невозможной.
- Демонстрация требования: После завершения шифрования программа удаляет свои следы, меняет обои рабочего стола и создаёт текстовые файлы (README.txt, HOW_TO_DECRYPT.html) с инструкцией по оплате выкупа в криптовалюте (обычно биткойн или Monero). В требовании указывается сумма, адрес кошелька и срок оплаты, после которого сумма может увеличиться или данные будут опубликованы.
Применение и значение
Программы-шифровальщики являются одной из самых серьёзных киберугроз для бизнеса и государства. Их значение заключается в следующем:
- Экономический ущерб: По оценкам Cybersecurity Ventures, глобальный ущерб от атак ransomware в 2021 году превысил 20 миллиардов долларов, а к 2031 году может достичь 265 миллиардов. В эту сумму входят не только выплаты выкупа, но и простой бизнеса, затраты на восстановление, репутационные потери и юридические издержки.
- Критическая инфраструктура: Атаки на больницы, энергосети, транспортные системы и водоснабжение могут представлять прямую угрозу жизни и здоровью людей. Например, атака на колониальный трубопровод Colonial Pipeline в США в 2021 году привела к дефициту топлива на восточном побережье.
- Развитие киберстрахования: Рост числа атак привёл к появлению рынка киберстрахования, но одновременно и к резкому росту страховых премий и ужесточению требований к безопасности клиентов.
- Криминальный бизнес: Ransomware превратился в высокодоходную индустрию с моделью «Ransomware-as-a-Service» (RaaS), где разработчики продают или сдают в аренду свои программы партнёрам-операторам, получая процент от выкупа. Это снизило порог входа для киберпреступников.
Защита и противодействие
Полная защита от программ-шифровальщиков невозможна, но существуют методы, значительно снижающие риск и последствия атаки.
- Резервное копирование (Backup): Самый эффективный метод. Необходимо регулярно создавать резервные копии критически важных данных, хранить их в автономном режиме (offline) или в облачном хранилище с версионированием. Правило «3-2-1»: три копии данных на двух разных носителях, одна из которых находится вне офиса.
- Обновление ПО (Patch Management): Своевременная установка обновлений безопасности для операционной системы, браузеров, офисных пакетов и другого ПО закрывает известные уязвимости, используемые для проникновения.
- Многофакторная аутентификация (MFA): Обязательное включение MFA для всех удалённых доступов (RDP, VPN, почтовые сервисы) и административных учётных записей.
- Обучение персонала: Регулярные тренинги по кибербезопасности, направленные на распознавание фишинговых писем и безопасное поведение в сети.
- Сегментация сети: Разделение сети на изолированные сегменты ограничивает распространение шифровальщика в случае заражения одного из участков.
- Принцип минимальных привилегий: Пользователи и сервисы должны иметь только те права, которые необходимы для выполнения их задач.
- Использование EDR-решений: Современные системы обнаружения и реагирования на конечных точках (Endpoint Detection and Response) способны выявлять аномальное поведение (массовое шифрование, удаление теневых копий) и блокировать атаку на ранних стадиях.
Критика и этические аспекты
Деятельность создателей и операторов программ-шифровальщиков является уголовно наказуемой в большинстве стран мира. Критике подвергается также практика выплаты выкупа. С одной стороны, выплата может быть единственным способом быстро восстановить данные и избежать их утечки. С другой стороны, выплата выкупа финансирует преступную деятельность, стимулирует новые атаки и не гарантирует возврат данных (по статистике, до 20% жертв, заплативших выкуп, не получают работающего дешифратора). Правоохранительные органы, в том числе ФБР и МВД России, настоятельно рекомендуют не платить выкуп.
Источники
- Cybersecurity Ventures. «2022 Official Cybercrime Report».
- Kaspersky Lab. «Ransomware in 2023: Statistics and Trends».
- Group-IB. «Hi-Tech Crime Trends 2023/2024».
- Sophos. «The State of Ransomware 2023».
- ENISA (European Union Agency for Cybersecurity). «Ransomware Threat Landscape Report».
- National Institute of Standards and Technology (NIST). «Guide to Ransomware».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →