Открыть сервис

Шифровальщик

Шифровальщик (также известный как программа-вымогатель, ransomware, криптовирус) — это тип вредоносного программного обеспечения, которое блокирует доступ к данным пользователя или шифрует их, после чего требует выкуп (обычно в криптовалюте) за восстановление доступа. Шифровальщики относятся к категории троянских программ и являются одной из наиболее опасных угроз для информационной безопасности как частных лиц, так и организаций.

История

Первые упоминания о программах-вымогателях относятся к концу 1980-х годов. В 1989 году биолог Джозеф Попп создал троян AIDS, который после запуска шифровал имена файлов на диске и требовал отправить выкуп в размере 189 долларов на почтовый ящик в Панаме. Этот вирус распространялся на дискетах. Из-за отсутствия массового интернета и криптовалют его влияние было ограниченным.

Современный этап развития шифровальщиков начался в середине 2010-х годов с появлением анонимных платёжных систем, таких как Bitcoin. В 2013 году появился шифровальщик CryptoLocker, который использовал сильное шифрование (RSA-2048) и требовал выкуп в биткоинах. Он заразил сотни тысяч компьютеров по всему миру. После его нейтрализации правоохранительными органами в 2014 году появились многочисленные клоны и варианты (CryptoWall, TorrentLocker, Locky).

В 2017 году произошла одна из крупнейших атак с использованием шифровальщика WannaCry, которая затронула более 200 000 компьютеров в 150 странах. Атака парализовала работу больниц, транспортных систем и государственных учреждений. В том же году был зафиксирован вирус NotPetya, который маскировался под программу-вымогатель, но на деле был нацелен на уничтожение данных.

В 2020-х годах шифровальщики эволюционировали в модели «вымогательство как услуга» (Ransomware-as-a-Service, RaaS), когда разработчики продают или сдают в аренду вредоносное ПО другим киберпреступникам. Также появилась тактика двойного вымогательства: злоумышленники не только шифруют данные, но и похищают их, угрожая публикацией в открытом доступе.

Классификация

Шифровальщики классифицируются по нескольким признакам.

По способу воздействия

  • Шифрующие вымогатели — наиболее распространённый тип. Файлы пользователя (документы, фотографии, базы данных) шифруются с помощью криптографических алгоритмов (AES, RSA). Расшифровка без ключа практически невозможна.
  • Блокирующие вымогатели — не шифруют файлы, а блокируют доступ к системе или отдельным приложениям, выводя на экран сообщение с требованием выкупа. Часто встречались в 2010-х годах (например, блокировщики Windows).
  • Гибридные вымогатели — комбинируют шифрование и блокировку, а также могут похищать данные.

По модели распространения

  • Фишинг — массовая рассылка электронных писем с вредоносными вложениями (документы Office, PDF) или ссылками.
  • Эксплойты — использование уязвимостей в программном обеспечении (например, в браузерах, операционных системах, протоколах удалённого доступа).
  • Дропперы — загрузка вредоносного ПО через другие вирусы или легитимные программы, скомпрометированные злоумышленниками.
  • Вредоносная реклама — заражение через рекламные баннеры на сайтах.

По целевому объекту

  • Массовые — нацелены на обычных пользователей и малый бизнес (например, Locky, Cerber).
  • Целевые — атакуют крупные организации, государственные учреждения, больницы, промышленные предприятия (например, Ryuk, Maze, Conti). В таких атаках злоумышленники предварительно изучают инфраструктуру жертвы.

Устройство и принцип работы

Типичный шифровальщик состоит из нескольких модулей:

  1. Модуль доставки — проникает в систему через фишинговое письмо, уязвимость или компрометацию учётной записи.
  2. Модуль связи — устанавливает соединение с командным сервером (C&C) для получения ключа шифрования и инструкций.
  3. Модуль шифрования — сканирует диски, находит целевые файлы по расширениям (.doc, .xls, .jpg, .pdf, .sql, .dbf и др.) и шифрует их. Для скорости часто используется комбинация симметричного (AES) и асимметричного (RSA) шифрования.
  4. Модуль вымогательства — удаляет оригинальные файлы, заменяет их зашифрованными копиями, выводит на экран записку с инструкцией по оплате выкупа и угрозами.
  5. Модуль самоуничтожения — удаляет свои следы, чтобы затруднить анализ.

Для обеспечения анонимности злоумышленники используют сеть Tor, криптовалюты (Bitcoin, Monero) и одноразовые кошельки.

Распространённые семейства

  • WannaCry (2017) — использовал уязвимость EternalBlue в протоколе SMB. Заблокировал работу Национальной службы здравоохранения Великобритании.
  • NotPetya (2017) — маскировался под вымогателя, но был нацелен на уничтожение данных. Наибольший урон понёс украинский бизнес.
  • Ryuk (2018–2020) — целевой шифровальщик, атаковавший больницы, муниципалитеты и крупные корпорации. Выкуп требовался в размере от десятков тысяч до нескольких миллионов долларов.
  • Maze (2019–2020) — один из первых, кто внедрил тактику двойного вымогательства (шифрование + публикация украденных данных).
  • Conti (2020–2022) — действовал по модели RaaS, атаковал критическую инфраструктуру. В 2022 году после начала войны в Украине группировка раскололась.
  • LockBit (активен с 2019 года) — один из самых распространённых современных шифровальщиков. Использует модель RaaS, атакует предприятия по всему миру.

Методы защиты

Профилактика

  • Регулярное создание резервных копий данных (правило 3-2-1: три копии на двух разных носителях, одна из которых офлайн).
  • Своевременное обновление операционных систем и приложений (установка патчей безопасности).
  • Использование антивирусного ПО с модулями поведенческого анализа и защиты от программ-вымогателей.
  • Ограничение прав пользователей (принцип минимальных привилегий).
  • Отключение ненужных протоколов удалённого доступа (RDP) и использование VPN.
  • Обучение сотрудников правилам кибергигиены (не открывать подозрительные вложения, не переходить по ссылкам из неизвестных писем).

Реагирование на атаку

  • Немедленное отключение заражённого устройства от сети (Wi-Fi, Ethernet) для предотвращения распространения.
  • Сохранение зашифрованных файлов и записки вымогателя для анализа.
  • Обращение к специалистам по кибербезопасности и в правоохранительные органы.
  • Восстановление данных из резервных копий.
  • Не рекомендуется платить выкуп: это не гарантирует возврат данных, стимулирует дальнейшую преступную деятельность, а также может быть незаконным в некоторых юрисдикциях.

Критика и правовые аспекты

Деятельность шифровальщиков является уголовно наказуемой в большинстве стран мира. В России ответственность за создание, использование и распространение вредоносных программ предусмотрена статьёй 273 Уголовного кодекса РФ («Создание, использование и распространение вредоносных компьютерных программ»). Максимальное наказание — до 7 лет лишения свободы, а при отягчающих обстоятельствах (группа лиц, причинение крупного ущерба) — до 10 лет.

Выплата выкупа злоумышленникам критикуется экспертами по безопасности, так как это финансирует преступные группировки и не гарантирует восстановления данных. По данным исследований, около 20–30% жертв, заплативших выкуп, не получают ключ для расшифровки.

Интересные факты

  • В 2021 году атака шифровальщика Colonial Pipeline привела к остановке крупнейшего трубопровода для топлива на восточном побережье США. Компания заплатила выкуп в размере 4,4 миллиона долларов, после чего часть средств была возвращена ФБР.
  • Некоторые шифровальщики, такие как GoodWill, требуют не денег, а совершения добрых дел (например, помощь бездомным) в обмен на ключ дешифровки.
  • В 2023 году средний размер выкупа, требуемого при атаках на предприятия, превысил 500 000 долларов.

Источники

  • Уголовный кодекс Российской Федерации, статья 273.
  • Отчёты компании Group-IB о киберугрозах (2017–2023).
  • Исследование «Ransomware: Past, Present, and Future» (IEEE Access, 2020).
  • Материалы Лаборатории Касперского по программам-вымогателям.
  • Данные ФБР и Европола по киберпреступности.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →