Открыть сервис

Программа-вымогатель

Программа-вымогатель (также известная как ransomware, криптовымогатель, троян-шифровальщик) — это тип вредоносного программного обеспечения (malware), которое блокирует доступ к данным или компьютерной системе пользователя, требуя выкуп (ransom) за восстановление доступа. В зависимости от реализации, программа-вымогатель либо шифрует файлы на устройстве, делая их недоступными без уникального ключа дешифрования, либо полностью блокирует работу операционной системы. Оплата выкупа обычно требуется в криптовалюте (например, Bitcoin, Monero) для обеспечения анонимности злоумышленников.

История

Первые известные случаи программ-вымогателей относятся к концу 1980-х годов. В 1989 году биолог Джозеф Попп распространил троян AIDS (PC Cyborg), который после 90 загрузок системы скрывал файлы на диске и требовал отправить чек на сумму 189 долларов на почтовый ящик в Панаме. Однако из-за примитивных методов шифрования (симметричный алгоритм) и отсутствия глобальной сети распространение было ограниченным.

Современная эра программ-вымогателей началась в 2010-х годах с появлением криптовалют, которые позволили злоумышленникам получать выкуп анонимно. В 2013 году появился CryptoLocker, который использовал асимметричное шифрование (RSA-2048) и распространялся через фишинговые письма с вложениями. Он заразил более 250 000 систем и собрал около 27 миллионов долларов выкупа до того, как его инфраструктура была закрыта в рамках операции «Tovar» (ФБР, 2014).

В 2017 году мир столкнулся с двумя крупными эпидемиями: WannaCry (май 2017) и NotPetya (июнь 2017). WannaCry использовал уязвимость EternalBlue в протоколе SMB Windows, разработанную Агентством национальной безопасности США (АНБ) и позже опубликованную хакерской группой Shadow Brokers. Он поразил более 300 000 компьютеров в 150 странах, включая системы Национальной службы здравоохранения Великобритании (NHS), что привело к отмене операций и сбоям в работе больниц. NotPetya, несмотря на маскировку под вымогателя, был классифицирован как wiper (программа для уничтожения данных) и нанес ущерб компаниям, таким как Maersk, Merck и FedEx, на сумму более 10 миллиардов долларов.

В 2020-х годах программы-вымогатели эволюционировали в модель «двойного вымогательства» (double extortion): злоумышленники не только шифруют данные, но и угрожают их публикацией в даркнете, если жертва отказывается платить. Примерами таких группировок являются REvil (Sodinokibi), DarkSide (ответственна за атаку на Colonial Pipeline в 2021 году, вызвавшую дефицит топлива на востоке США) и Conti. По данным аналитической компании Chainalysis, в 2021 году жертвы выплатили вымогателям не менее 602 миллионов долларов в криптовалюте.

Классификация

Программы-вымогатели классифицируются по способу воздействия на систему и методу распространения.

По способу воздействия

  1. Шифровальщики (crypto-ransomware) — наиболее распространённый тип. Они шифруют файлы пользователя (документы, изображения, базы данных) с помощью стойких алгоритмов (AES, RSA). После шифрования файлы получают новое расширение (например, .encrypted, .lock, .crypt), а на рабочем столе появляется записка с требованием выкупа. Примеры: CryptoLocker, Locky, Ryuk.
  1. Блокировщики (locker ransomware) — не шифруют файлы, а блокируют доступ к операционной системе или графическому интерфейсу. Пользователь видит на весь экран сообщение от имени правоохранительных органов (например, «Ваш компьютер заблокирован за просмотр детской порнографии») с требованием оплатить «штраф». Такие программы были особенно популярны в 2010-х годах в России и странах СНГ. Пример: Trojan.Winlock.
  1. Гибридные варианты — сочетают шифрование и блокировку, либо используют «двойное вымогательство» (шифрование + угроза утечки данных).

По методу распространения

Устройство и принцип работы

Типичная программа-вымогатель состоит из нескольких этапов:

  1. Заражение — вредоносная программа попадает на устройство через один из векторов атаки.
  2. Связь с командным сервером (C2) — программа устанавливает соединение с сервером управления злоумышленников для получения ключа шифрования или инструкций. В современных вариантах ключ может генерироваться локально и затем отправляться на сервер.
  3. Шифрование — программа сканирует диски на наличие целевых типов файлов (документы, изображения, базы данных, архивы) и шифрует их. Чтобы не нарушить работу системы, она обычно не трогает системные файлы Windows. Для ускорения процесса используется асимметричное шифрование: файлы шифруются быстрым симметричным ключом (AES-256), который затем шифруется открытым ключом RSA злоумышленника.
  4. Удаление теневых копий — программа выполняет команду vssadmin delete shadows /all /quiet, чтобы лишить пользователя возможности восстановить файлы из теневых копий томов.
  5. Демонстрация требования — на экране появляется записка (обычно в виде текстового файла README.txt или HTML-страницы) с инструкцией по оплате выкупа. В ней указывается сумма (часто в биткоинах), адрес кошелька и срок оплаты, по истечении которого сумма может увеличиться или ключ будет уничтожен.

Применение и цели

Основная цель программ-вымогателей — получение финансовой выгоды. Злоумышленники нацеливаются на:

Критика и этические аспекты

Программы-вымогатели вызывают критику по нескольким причинам:

Правоохранительные органы, включая ФБР и МВД России, настоятельно рекомендуют не платить выкуп, так как это не гарантирует возврат данных и поощряет преступников. Вместо этого рекомендуется восстанавливать данные из резервных копий и обращаться в правоохранительные органы.

Защита и противодействие

Основные меры защиты от программ-вымогателей включают:

В случае заражения рекомендуется немедленно отключить устройство от сети, не платить выкуп, обратиться к специалистам по кибербезопасности и в правоохранительные органы. Существуют бесплатные инструменты для дешифрования некоторых старых версий программ-вымогателей, предоставляемые компаниями (например, Avast, Kaspersky, Emsisoft) и правоохранительными органами (проект «No More Ransom»).

Интересные факты

Источники

  1. Уголовный кодекс Российской Федерации, статья 273 «Создание, использование и распространение вредоносных компьютерных программ».
  2. Отчёт Chainalysis «2022 Crypto Crime Report» (данные о выплатах выкупов в криптовалюте).
  3. Аналитический отчёт компании Coveware «Ransomware Marketplace Report Q4 2023».
  4. Публикация Лаборатории Касперского «Эволюция программ-вымогателей: от AIDS до WannaCry» (2022).
  5. Материалы ФБР «Ransomware: What It Is and What to Do About It» (2021).
  6. Статья в журнале «Computerworld» «The History of Ransomware: From AIDS to Colonial Pipeline» (2022).
  7. Данные проекта «No More Ransom» (совместная инициатива Europol, Лаборатории Касперского и других компаний).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →