Открыть сервис

Программы-вымогатели

Программа-вымогатель (также ransomware, криптовымогатель, шифровальщик) — это тип вредоносного программного обеспечения, которое блокирует доступ к данным или компьютерной системе жертвы, как правило, путём шифрования файлов, и требует выкуп (ransom) за восстановление доступа. Программы-вымогатели относятся к категории троянских программ (троянов) и являются одной из наиболее финансово опасных киберугроз как для частных лиц, так и для организаций, включая государственные учреждения, больницы и промышленные предприятия.

История

Первые известные программы-вымогатели появились в конце 1980-х годов. В 1989 году биолог Джозеф Попп распространил на конференции Всемирной организации здравоохранения около 20 000 дискет с трояном AIDS (также известным как PC Cyborg). После загрузки программа скрывала файлы на жёстком диске и требовала отправить выкуп в размере 189 долларов на почтовый ящик в Панаме. Попп был арестован, но признан невменяемым. Этот случай считается первым задокументированным нападением с использованием вымогательства.

В 2000-х годах, с развитием интернета и криптовалют, программы-вымогатели стали более сложными. В 2005—2006 годах появились первые шифровальщики, использующие симметричное шифрование (например, GPCode). Настоящий всплеск активности произошёл в 2013—2014 годах с появлением CryptoLocker, который использовал сильное асимметричное шифрование (RSA) и требовал оплату в биткоинах. CryptoLocker заразил сотни тысяч компьютеров по всему миру, и, по оценкам, его создатели получили выкуп на сумму более 3 миллионов долларов до того, как сеть была ликвидирована в ходе международной операции в 2014 году.

В 2016—2017 годах эпидемия программ-вымогателей достигла пика. В мае 2017 года атака WannaCry затронула более 200 000 компьютеров в 150 странах, парализовав работу Национальной службы здравоохранения Великобритании, испанской телекоммуникационной компании Telefónica и российского «Сбербанка». WannaCry использовала уязвимость EternalBlue, разработанную Агентством национальной безопасности США и утёкшую в сеть. В июне 2017 года последовала атака NotPetya, которая, хотя и маскировалась под вымогателя, по мнению многих экспертов, была нацелена на уничтожение данных, а не на получение выкупа. NotPetya нанёс ущерб на миллиарды долларов, особенно сильно затронув украинские компании.

Классификация

Программы-вымогатели делятся на два основных типа по способу блокировки доступа:

Шифровальщики (Crypto-ransomware)

Наиболее распространённый и опасный тип. Программа шифрует файлы пользователя (документы, фотографии, базы данных) с использованием криптостойких алгоритмов (AES, RSA). После шифрования файлы становятся недоступными для чтения, а на экране появляется сообщение с требованием выкупа за ключ дешифрования. Без ключа восстановление данных практически невозможно. Примеры: CryptoLocker, Locky, Ryuk, Maze, REvil (Sodinokibi).

Блокировщики (Locker-ransomware)

Этот тип не шифрует файлы, а блокирует доступ к операционной системе или устройству в целом. На экране отображается поддельное сообщение от правоохранительных органов (например, о блокировке за просмотр нелегального контента) или требование оплаты за разблокировку. Такие программы менее опасны, так как данные остаются нетронутыми, и блокировку часто можно снять с помощью специализированных утилит или загрузки с внешнего носителя. Примеры: WinLock, Urausy.

Дополнительные виды

  • Doxware (или Leakware): угрожает опубликовать конфиденциальные данные жертвы (например, личные фотографии или коммерческие секреты) в случае неуплаты выкупа.
  • Ransomware-as-a-Service (RaaS): модель, при которой разработчики создают вредоносное ПО и сдают его в аренду другим киберпреступникам (партнёрам). Партнёры распространяют программу и делят выкуп с разработчиками. Это значительно снизило порог входа для киберпреступников и привело к росту числа атак. Примеры: GandCrab, REvil, DarkSide.

Механизм работы

Типичная атака программы-вымогателя состоит из нескольких этапов:

  1. Проникновение. Вредоносное ПО попадает на устройство через:
  • Фишинговые письма с вредоносными вложениями (PDF, Word, Excel с макросами) или ссылками.
  • Эксплойты (использование уязвимостей в программном обеспечении, например, в браузерах, плагинах или операционной системе).
  • Протоколы удалённого рабочего стола (RDP) с подбором паролей.
  • Загрузка с заражённых сайтов (drive-by download).
  • Вредоносная реклама (malvertising).
  1. Связь с командным сервером (C&C). После запуска программа связывается с сервером управления, чтобы получить уникальный публичный ключ шифрования.
  2. Шифрование. Программа сканирует диски на предмет файлов определённых расширений (например, .doc, .xls, .jpg, .pdf, .dbf, .sql) и шифрует их. Для ускорения процесса часто шифруется только часть файла. После шифрования оригинальные файлы удаляются, а их имена могут быть изменены.
  3. Вывод требования. На экране отображается сообщение с инструкцией по оплате выкупа, обычно в криптовалюте (биткоин, Monero). Сумма выкупа варьируется от нескольких сотен долларов для частных лиц до миллионов долларов для крупных корпораций.
  4. Оплата и (возможно) дешифровка. Если жертва платит, злоумышленники могут предоставить приватный ключ и программу-дешифратор. Однако нет никакой гарантии, что данные будут восстановлены. По данным различных исследований, до 20-30% жертв, заплативших выкуп, не получают ключ или получают неработающий ключ.

Значение и последствия

Программы-вымогатели наносят значительный экономический ущерб. По оценкам Cybersecurity Ventures, глобальный ущерб от атак программ-вымогателей в 2021 году превысил 20 миллиардов долларов, а к 2031 году может достичь 265 миллиардов долларов. Ущерб включает не только сумму выкупа, но и:

  • Простои в работе организаций.
  • Затраты на восстановление данных и систем.
  • Репутационные потери.
  • Юридические издержки и штрафы за утечку данных.

Особенно опасны атаки на критическую инфраструктуру. В 2021 году атака на Colonial Pipeline с помощью программы DarkSide привела к временной остановке крупнейшего трубопровода для нефтепродуктов на восточном побережье США, вызвав дефицит топлива и панику. Компания заплатила выкуп в размере 4,4 миллиона долларов, хотя часть средств позже была возвращена Министерством юстиции США.

Критика и этические аспекты

Деятельность программ-вымогателей является уголовно наказуемой во всех странах мира. В России ответственность за создание, использование и распространение вредоносных программ, включая программы-вымогатели, предусмотрена статьёй 273 Уголовного кодекса РФ («Создание, использование и распространение вредоносных компьютерных программ»). Максимальное наказание — до 7 лет лишения свободы.

Основной этической проблемой является вопрос выплаты выкупа. Правоохранительные органы, включая ФБР и МВД России, настоятельно не рекомендуют платить выкуп, так как это стимулирует дальнейшую преступную деятельность и не гарантирует возврат данных. Однако для многих организаций, особенно в сфере здравоохранения, где на кону стоят жизни пациентов, выплата может быть единственным быстрым решением. В ряде стран обсуждается законодательное введение обязательного запрета на выплату выкупа.

Защита и профилактика

Эффективная защита от программ-вымогателей требует комплексного подхода:

  • Регулярное резервное копирование. Создание резервных копий данных на внешних носителях или в облачных сервисах, которые не подключены постоянно к сети (правило 3-2-1: три копии на двух разных носителях, одна из которых вне офиса).
  • Обновление программного обеспечения. Своевременная установка обновлений безопасности для операционной системы, браузеров, антивирусов и другого ПО.
  • Обучение сотрудников. Повышение осведомлённости о фишинговых атаках и методах социальной инженерии.
  • Использование антивирусов и межсетевых экранов. Современные антивирусные решения (например, Kaspersky, Dr.Web, ESET) имеют модули для обнаружения и блокировки программ-вымогателей на ранних стадиях.
  • Ограничение прав доступа. Использование учётных записей с минимальными привилегиями, необходимыми для работы. Запрет на запуск макросов в документах из непроверенных источников.
  • Сегментация сети. Разделение сети на сегменты, чтобы в случае заражения одного сегмента вредоносная программа не могла распространиться на весь офис.

Интересные факты

  • В 2017 году атака WannaCry была остановлена британским исследователем безопасности Маркусом Хатчинсом, который случайно обнаружил «аварийный выключатель» (kill switch) в коде вредоносной программы — домен, регистрация которого заблокировала распространение.
  • Некоторые группы вымогателей (например, Maze) начали практиковать «двойное вымогательство»: сначала они крадут данные, а затем шифруют их. Если жертва не платит, они угрожают опубликовать украденные данные в открытом доступе.
  • Программа-вымогатель Bad Rabbit, атаковавшая российские компании в 2017 году, маскировалась под обновление Adobe Flash Player.

Источники

  • Уголовный кодекс Российской Федерации, Статья 273.
  • Cybersecurity Ventures, «Ransomware Damage Report 2021».
  • Отчёты «Лаборатории Касперского» и «Group-IB» по киберугрозам.
  • Материалы расследования атаки на Colonial Pipeline (Министерство юстиции США, 2021).
  • Технические анализы вредоносных программ WannaCry, NotPetya, CryptoLocker.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →