Шифровальщик
Шифровальщик (также известный как программа-вымогатель, ransomware, криптовирус) — это тип вредоносного программного обеспечения, которое блокирует доступ к данным пользователя или шифрует их, после чего требует выкуп (обычно в криптовалюте) за восстановление доступа. Шифровальщики относятся к категории троянских программ и являются одной из наиболее опасных угроз для информационной безопасности как частных лиц, так и организаций.
История
Первые упоминания о программах-вымогателях относятся к концу 1980-х годов. В 1989 году биолог Джозеф Попп создал троян AIDS, который после запуска шифровал имена файлов на диске и требовал отправить выкуп в размере 189 долларов на почтовый ящик в Панаме. Этот вирус распространялся на дискетах. Из-за отсутствия массового интернета и криптовалют его влияние было ограниченным.
Современный этап развития шифровальщиков начался в середине 2010-х годов с появлением анонимных платёжных систем, таких как Bitcoin. В 2013 году появился шифровальщик CryptoLocker, который использовал сильное шифрование (RSA-2048) и требовал выкуп в биткоинах. Он заразил сотни тысяч компьютеров по всему миру. После его нейтрализации правоохранительными органами в 2014 году появились многочисленные клоны и варианты (CryptoWall, TorrentLocker, Locky).
В 2017 году произошла одна из крупнейших атак с использованием шифровальщика WannaCry, которая затронула более 200 000 компьютеров в 150 странах. Атака парализовала работу больниц, транспортных систем и государственных учреждений. В том же году был зафиксирован вирус NotPetya, который маскировался под программу-вымогатель, но на деле был нацелен на уничтожение данных.
В 2020-х годах шифровальщики эволюционировали в модели «вымогательство как услуга» (Ransomware-as-a-Service, RaaS), когда разработчики продают или сдают в аренду вредоносное ПО другим киберпреступникам. Также появилась тактика двойного вымогательства: злоумышленники не только шифруют данные, но и похищают их, угрожая публикацией в открытом доступе.
Классификация
Шифровальщики классифицируются по нескольким признакам.
По способу воздействия
- Шифрующие вымогатели — наиболее распространённый тип. Файлы пользователя (документы, фотографии, базы данных) шифруются с помощью криптографических алгоритмов (AES, RSA). Расшифровка без ключа практически невозможна.
- Блокирующие вымогатели — не шифруют файлы, а блокируют доступ к системе или отдельным приложениям, выводя на экран сообщение с требованием выкупа. Часто встречались в 2010-х годах (например, блокировщики Windows).
- Гибридные вымогатели — комбинируют шифрование и блокировку, а также могут похищать данные.
По модели распространения
- Фишинг — массовая рассылка электронных писем с вредоносными вложениями (документы Office, PDF) или ссылками.
- Эксплойты — использование уязвимостей в программном обеспечении (например, в браузерах, операционных системах, протоколах удалённого доступа).
- Дропперы — загрузка вредоносного ПО через другие вирусы или легитимные программы, скомпрометированные злоумышленниками.
- Вредоносная реклама — заражение через рекламные баннеры на сайтах.
По целевому объекту
- Массовые — нацелены на обычных пользователей и малый бизнес (например, Locky, Cerber).
- Целевые — атакуют крупные организации, государственные учреждения, больницы, промышленные предприятия (например, Ryuk, Maze, Conti). В таких атаках злоумышленники предварительно изучают инфраструктуру жертвы.
Устройство и принцип работы
Типичный шифровальщик состоит из нескольких модулей:
- Модуль доставки — проникает в систему через фишинговое письмо, уязвимость или компрометацию учётной записи.
- Модуль связи — устанавливает соединение с командным сервером (C&C) для получения ключа шифрования и инструкций.
- Модуль шифрования — сканирует диски, находит целевые файлы по расширениям (.doc, .xls, .jpg, .pdf, .sql, .dbf и др.) и шифрует их. Для скорости часто используется комбинация симметричного (AES) и асимметричного (RSA) шифрования.
- Модуль вымогательства — удаляет оригинальные файлы, заменяет их зашифрованными копиями, выводит на экран записку с инструкцией по оплате выкупа и угрозами.
- Модуль самоуничтожения — удаляет свои следы, чтобы затруднить анализ.
Для обеспечения анонимности злоумышленники используют сеть Tor, криптовалюты (Bitcoin, Monero) и одноразовые кошельки.
Распространённые семейства
- WannaCry (2017) — использовал уязвимость EternalBlue в протоколе SMB. Заблокировал работу Национальной службы здравоохранения Великобритании.
- NotPetya (2017) — маскировался под вымогателя, но был нацелен на уничтожение данных. Наибольший урон понёс украинский бизнес.
- Ryuk (2018–2020) — целевой шифровальщик, атаковавший больницы, муниципалитеты и крупные корпорации. Выкуп требовался в размере от десятков тысяч до нескольких миллионов долларов.
- Maze (2019–2020) — один из первых, кто внедрил тактику двойного вымогательства (шифрование + публикация украденных данных).
- Conti (2020–2022) — действовал по модели RaaS, атаковал критическую инфраструктуру. В 2022 году после начала войны в Украине группировка раскололась.
- LockBit (активен с 2019 года) — один из самых распространённых современных шифровальщиков. Использует модель RaaS, атакует предприятия по всему миру.
Методы защиты
Профилактика
- Регулярное создание резервных копий данных (правило 3-2-1: три копии на двух разных носителях, одна из которых офлайн).
- Своевременное обновление операционных систем и приложений (установка патчей безопасности).
- Использование антивирусного ПО с модулями поведенческого анализа и защиты от программ-вымогателей.
- Ограничение прав пользователей (принцип минимальных привилегий).
- Отключение ненужных протоколов удалённого доступа (RDP) и использование VPN.
- Обучение сотрудников правилам кибергигиены (не открывать подозрительные вложения, не переходить по ссылкам из неизвестных писем).
Реагирование на атаку
- Немедленное отключение заражённого устройства от сети (Wi-Fi, Ethernet) для предотвращения распространения.
- Сохранение зашифрованных файлов и записки вымогателя для анализа.
- Обращение к специалистам по кибербезопасности и в правоохранительные органы.
- Восстановление данных из резервных копий.
- Не рекомендуется платить выкуп: это не гарантирует возврат данных, стимулирует дальнейшую преступную деятельность, а также может быть незаконным в некоторых юрисдикциях.
Критика и правовые аспекты
Деятельность шифровальщиков является уголовно наказуемой в большинстве стран мира. В России ответственность за создание, использование и распространение вредоносных программ предусмотрена статьёй 273 Уголовного кодекса РФ («Создание, использование и распространение вредоносных компьютерных программ»). Максимальное наказание — до 7 лет лишения свободы, а при отягчающих обстоятельствах (группа лиц, причинение крупного ущерба) — до 10 лет.
Выплата выкупа злоумышленникам критикуется экспертами по безопасности, так как это финансирует преступные группировки и не гарантирует восстановления данных. По данным исследований, около 20–30% жертв, заплативших выкуп, не получают ключ для расшифровки.
Интересные факты
- В 2021 году атака шифровальщика Colonial Pipeline привела к остановке крупнейшего трубопровода для топлива на восточном побережье США. Компания заплатила выкуп в размере 4,4 миллиона долларов, после чего часть средств была возвращена ФБР.
- Некоторые шифровальщики, такие как GoodWill, требуют не денег, а совершения добрых дел (например, помощь бездомным) в обмен на ключ дешифровки.
- В 2023 году средний размер выкупа, требуемого при атаках на предприятия, превысил 500 000 долларов.
Источники
- Уголовный кодекс Российской Федерации, статья 273.
- Отчёты компании Group-IB о киберугрозах (2017–2023).
- Исследование «Ransomware: Past, Present, and Future» (IEEE Access, 2020).
- Материалы Лаборатории Касперского по программам-вымогателям.
- Данные ФБР и Европола по киберпреступности.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →