Программа-вымогатель
Программа-вымогатель (также известная как ransomware, криптовымогатель, троян-шифровальщик) — это тип вредоносного программного обеспечения (malware), которое блокирует доступ к данным или компьютерной системе пользователя, требуя выкуп (ransom) за восстановление доступа. В зависимости от реализации, программа-вымогатель либо шифрует файлы на устройстве, делая их недоступными без уникального ключа дешифрования, либо полностью блокирует работу операционной системы. Оплата выкупа обычно требуется в криптовалюте (например, Bitcoin, Monero) для обеспечения анонимности злоумышленников.
История
Первые известные случаи программ-вымогателей относятся к концу 1980-х годов. В 1989 году биолог Джозеф Попп распространил троян AIDS (PC Cyborg), который после 90 загрузок системы скрывал файлы на диске и требовал отправить чек на сумму 189 долларов на почтовый ящик в Панаме. Однако из-за примитивных методов шифрования (симметричный алгоритм) и отсутствия глобальной сети распространение было ограниченным.
Современная эра программ-вымогателей началась в 2010-х годах с появлением криптовалют, которые позволили злоумышленникам получать выкуп анонимно. В 2013 году появился CryptoLocker, который использовал асимметричное шифрование (RSA-2048) и распространялся через фишинговые письма с вложениями. Он заразил более 250 000 систем и собрал около 27 миллионов долларов выкупа до того, как его инфраструктура была закрыта в рамках операции «Tovar» (ФБР, 2014).
В 2017 году мир столкнулся с двумя крупными эпидемиями: WannaCry (май 2017) и NotPetya (июнь 2017). WannaCry использовал уязвимость EternalBlue в протоколе SMB Windows, разработанную Агентством национальной безопасности США (АНБ) и позже опубликованную хакерской группой Shadow Brokers. Он поразил более 300 000 компьютеров в 150 странах, включая системы Национальной службы здравоохранения Великобритании (NHS), что привело к отмене операций и сбоям в работе больниц. NotPetya, несмотря на маскировку под вымогателя, был классифицирован как wiper (программа для уничтожения данных) и нанес ущерб компаниям, таким как Maersk, Merck и FedEx, на сумму более 10 миллиардов долларов.
В 2020-х годах программы-вымогатели эволюционировали в модель «двойного вымогательства» (double extortion): злоумышленники не только шифруют данные, но и угрожают их публикацией в даркнете, если жертва отказывается платить. Примерами таких группировок являются REvil (Sodinokibi), DarkSide (ответственна за атаку на Colonial Pipeline в 2021 году, вызвавшую дефицит топлива на востоке США) и Conti. По данным аналитической компании Chainalysis, в 2021 году жертвы выплатили вымогателям не менее 602 миллионов долларов в криптовалюте.
Классификация
Программы-вымогатели классифицируются по способу воздействия на систему и методу распространения.
По способу воздействия
- Шифровальщики (crypto-ransomware) — наиболее распространённый тип. Они шифруют файлы пользователя (документы, изображения, базы данных) с помощью стойких алгоритмов (AES, RSA). После шифрования файлы получают новое расширение (например,
.encrypted,.lock,.crypt), а на рабочем столе появляется записка с требованием выкупа. Примеры: CryptoLocker, Locky, Ryuk.
- Блокировщики (locker ransomware) — не шифруют файлы, а блокируют доступ к операционной системе или графическому интерфейсу. Пользователь видит на весь экран сообщение от имени правоохранительных органов (например, «Ваш компьютер заблокирован за просмотр детской порнографии») с требованием оплатить «штраф». Такие программы были особенно популярны в 2010-х годах в России и странах СНГ. Пример: Trojan.Winlock.
- Гибридные варианты — сочетают шифрование и блокировку, либо используют «двойное вымогательство» (шифрование + угроза утечки данных).
По методу распространения
- Фишинг — электронные письма с вредоносными вложениями (документы Word с макросами, PDF, архивы) или ссылками на заражённые сайты.
- Эксплойты уязвимостей — использование «дыр» в программном обеспечении (например, EternalBlue для Windows, Log4j для Java-приложений).
- Вредоносная реклама (malvertising) — заражение через рекламные баннеры на легитимных сайтах.
- Протокол удалённого рабочего стола (RDP) — подбор паролей к незащищённым RDP-серверам.
- Трояны-загрузчики — программы, которые после заражения скачивают и запускают вымогатель (например, Emotet, TrickBot).
Устройство и принцип работы
Типичная программа-вымогатель состоит из нескольких этапов:
- Заражение — вредоносная программа попадает на устройство через один из векторов атаки.
- Связь с командным сервером (C2) — программа устанавливает соединение с сервером управления злоумышленников для получения ключа шифрования или инструкций. В современных вариантах ключ может генерироваться локально и затем отправляться на сервер.
- Шифрование — программа сканирует диски на наличие целевых типов файлов (документы, изображения, базы данных, архивы) и шифрует их. Чтобы не нарушить работу системы, она обычно не трогает системные файлы Windows. Для ускорения процесса используется асимметричное шифрование: файлы шифруются быстрым симметричным ключом (AES-256), который затем шифруется открытым ключом RSA злоумышленника.
- Удаление теневых копий — программа выполняет команду
vssadmin delete shadows /all /quiet, чтобы лишить пользователя возможности восстановить файлы из теневых копий томов. - Демонстрация требования — на экране появляется записка (обычно в виде текстового файла
README.txtили HTML-страницы) с инструкцией по оплате выкупа. В ней указывается сумма (часто в биткоинах), адрес кошелька и срок оплаты, по истечении которого сумма может увеличиться или ключ будет уничтожен.
Применение и цели
Основная цель программ-вымогателей — получение финансовой выгоды. Злоумышленники нацеливаются на:
- Частных лиц — требуют небольшие суммы (от 100 до 1000 долларов), так как массовость компенсирует низкую стоимость выкупа.
- Малый и средний бизнес — более высокие суммы (от 10 000 до 100 000 долларов), так как потеря данных может парализовать работу компании.
- Крупные корпорации и государственные учреждения — выкупы могут достигать миллионов долларов. В 2023 году, по данным компании Coveware, средний размер выкупа составил около 500 000 долларов.
- Медицинские учреждения — особенно уязвимы, так как блокировка доступа к электронным медицинским картам может угрожать жизни пациентов. В 2020 году во время пандемии COVID-19 атаки на больницы участились.
- Образовательные учреждения — школы и университеты часто имеют слабую защиту и большие объёмы данных.
Критика и этические аспекты
Программы-вымогатели вызывают критику по нескольким причинам:
- Криминальный характер — их создание и распространение является уголовным преступлением во всех юрисдикциях. В России ответственность за создание, использование и распространение вредоносных программ предусмотрена статьёй 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»), которая предусматривает наказание вплоть до лишения свободы на срок до 7 лет.
- Отсутствие гарантий — даже после оплаты выкупа злоумышленники не всегда предоставляют ключ дешифрования. По данным исследований, около 20-30% жертв не получают свои данные обратно.
- Финансирование преступности — выплаты выкупа стимулируют дальнейшую разработку и распространение программ-вымогателей, создавая «преступный бизнес» с оборотом в миллиарды долларов.
- Атаки на критическую инфраструктуру — случаи атак на больницы, энергосети и транспортные системы (например, Colonial Pipeline) ставят под угрозу жизнь и здоровье людей.
Правоохранительные органы, включая ФБР и МВД России, настоятельно рекомендуют не платить выкуп, так как это не гарантирует возврат данных и поощряет преступников. Вместо этого рекомендуется восстанавливать данные из резервных копий и обращаться в правоохранительные органы.
Защита и противодействие
Основные меры защиты от программ-вымогателей включают:
- Регулярное резервное копирование — создание копий данных на внешних носителях или в облачных сервисах, которые не подключены постоянно к системе (правило «3-2-1»: три копии, два разных носителя, одна вне офиса).
- Обновление программного обеспечения — своевременная установка патчей безопасности для операционной системы и приложений.
- Антивирусные решения — использование современных антивирусов и систем обнаружения вторжений (IDS/IPS), которые могут распознавать поведение программ-вымогателей (массовое шифрование файлов).
- Ограничение прав пользователей — работа с учётной записью без прав администратора снижает риск заражения.
- Обучение персонала — тренинги по распознаванию фишинговых писем и подозрительных вложений.
- Сегментация сети — разделение сети на сегменты, чтобы заражение одного устройства не распространялось на всю инфраструктуру.
В случае заражения рекомендуется немедленно отключить устройство от сети, не платить выкуп, обратиться к специалистам по кибербезопасности и в правоохранительные органы. Существуют бесплатные инструменты для дешифрования некоторых старых версий программ-вымогателей, предоставляемые компаниями (например, Avast, Kaspersky, Emsisoft) и правоохранительными органами (проект «No More Ransom»).
Интересные факты
- Самая высокая известная выплата выкупа составила 40 миллионов долларов — её выплатила страховая компания CNA Financial в 2021 году группировке Phoenix Locker.
- В 2021 году Министерство юстиции США вернуло 2,3 миллиона долларов из 4,4 миллиона, выплаченных Colonial Pipeline группировке DarkSide, конфисковав криптовалютный кошелёк.
- В 2022 году в России была зафиксирована атака на серверы Министерства транспорта Московской области с использованием программы-вымогателя, которая потребовала выкуп в биткоинах.
- Некоторые программы-вымогатели, такие как GoodWill, требуют не денег, а социальных действий: например, раздачи еды бездомным или оплаты медицинских счетов незнакомцам.
Источники
- Уголовный кодекс Российской Федерации, статья 273 «Создание, использование и распространение вредоносных компьютерных программ».
- Отчёт Chainalysis «2022 Crypto Crime Report» (данные о выплатах выкупов в криптовалюте).
- Аналитический отчёт компании Coveware «Ransomware Marketplace Report Q4 2023».
- Публикация Лаборатории Касперского «Эволюция программ-вымогателей: от AIDS до WannaCry» (2022).
- Материалы ФБР «Ransomware: What It Is and What to Do About It» (2021).
- Статья в журнале «Computerworld» «The History of Ransomware: From AIDS to Colonial Pipeline» (2022).
- Данные проекта «No More Ransom» (совместная инициатива Europol, Лаборатории Касперского и других компаний).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →