Программы-вымогатели - это особый тип компьютерного вредоносного ПО, которое шифрует файлы или системы жертвы, чтобы предотвратить доступ к этим файлам. Следовательно, злоумышленник требует от жертвы некоторого платежа - выкупа - за повторный доступ к файлам или системе. Это вредоносное ПО ограничивает доступ пользователей к своим данным, полностью блокируя экран компьютера или ограничивая доступ к определенным целевым файлам на своих компьютерах.
Жертвам атаки программ-вымогателей предоставляется пошаговое руководство по получению ключа дешифрования. В последние годы злоумышленники перешли на платежи, совершаемые с помощью криптовалют, чтобы исключить возможность отслеживания. Выплаты выкупа варьируются от нескольких сотен долларов до миллионов долларов. В 2017 году наибольший спрос на программы-вымогатели был предъявлен корейской веб-хостинговой компанией (Internet Nayana). В итоге компания рассталась с выплатой выкупа в размере 1,14 миллиона долларов.
1. Что такое программа-вымогатель?
Программе-вымогателям уже давно уделяется серьезное внимание. Вы, вероятно, встречали всплывающее окно антивируса, которое предупреждает вас о заражении программой-вымогателем, или слышали об этом в офисе. Внимание, уделяемое программам-вымогателям, небезосновательно, поскольку они представляют собой законную угрозу нормальным процессам работы компаний. Цель этой статьи - предоставить вам подробную информацию обо всех программах-вымогателях.
Эта статья состоит из частей; не стесняйтесь переходить к тем разделам, которые отвечают на ваш вопрос.
2.Как работает программа-вымогатель
Существует несколько типов программ-вымогателей. У большинства из них одна и та же цель; то есть взять под административный контроль системы и файлы и потребовать выкуп. Однако есть существенная разница в том, как проводятся эти атаки с использованием программ-вымогателей. Инженерная тактика для каждой атаки часто уникальна, и это предназначено для того, чтобы жертвы и другие разработчики безопасности постоянно гадали.
Давайте обсудим некоторые из используемых методов, чтобы лучше понять, как работают программы-вымогатели. Этот раздел подходит как для технических, так и для нетехнических читателей. Мы обсудим, как работают некоторые из наиболее распространенных программ-вымогателей, такие как Apocalypse, Jigsaw, CTB_Locker, Cerber, Unlock92, CyptoWall, Locky, Petya, TeslaCrypt и TorrentLocker.
1. Apocalypse
Апокалипсис был обнаружен еще в 2016 году, и эксперты по безопасности быстро отреагировали на него, прежде чем он получил широкое распространение. Apocalypse уникален тем, что он использовал полностью настраиваемый шаблон или алгоритм шифрования вместо использования стандартных алгоритмов шифрования.
Процесс шифрования апокалипсиса разработан специально, а ключ шифрования сохраняется в регистре. После успешного шифрования к имени файла добавляется "расширение точки". Точно так же процедура дешифрования файлов основана на алгоритме из класса алгоритмов с симметричным ключом, что позволяет относительно легко расшифровать зараженные файлы.
2. Jigsaw
Jjigsaw был выпущен в 2016 году. Эта программа-вымогатель работает в .NET Framework. ".fun" добавляется к файлам, зашифрованным с помощью Jigsaw. Однако эксперты по безопасности быстро сломали его. Возможно, программа-вымогатель имеет самый простой подход из всех в этом списке. Он в первую очередь использует алгоритм AES в процедуре шифрования.
Процесс дешифрования также очевиден. Все, что вам нужно сделать, это выполнить дешифрование зашифрованных файлов с помощью алгоритма AES с использованием точного ключа и iv.
3. CTB Locker
Это относительно старый, но в 2014 году он получил значительное распространение. Он использует более совершенный алгоритм шифрования, чем RSA, а зашифрованные имена файлов имеют расширение из 7 символов, которое генерируется случайным образом. Подход CTB Locker к шифрованию использует алгоритмы ECDH и AES. Алгоритм ECDH использует протокол анонимного согласования ключей, и его не следует принимать за алгоритм шифрования. Процедура шифрования CTB_Locker также использует три уровня кодирования с использованием ключей ECDH, которые генерируются случайным образом. Он использует ключ для кодирования случайно сгенерированного ключа AES и, наконец, шифрует целевые файлы с помощью алгоритма шифрования AES.
Процедура дешифрования файлов, зашифрованных этим вымогателем, проста и понятна. Поскольку невозможно получить закрытый ключ ECDH, соответствующий доступному общедоступному ключу ECDH, мы оставили только два процедурных шага. Вы получаете частный и случайно сгенерированный ключ ECDH от C&C сервера и используете его для декодирования ключа AES, а затем используете ключ AES для расшифровки зашифрованных файлов жертвы.
4. Cerber
Cerber также был выпущен в 2016 году, а вторая его версия была обнаружена в 2019 году. Первоначальный Cerber шифрует файлы жертвы и добавляет к именам файлов расширение ".Cerber". Он использует алгоритмы шифрования RSA и RC4. Cerber работает довольно изощренно; он использует три разных уровня шифрования, жонглирование алгоритмами шифрования RC4 и RSA вместе со случайно сгенерированными ключами.
Однако примечательной особенностью работы Cerber является то, что он влияет только на части файла, а не на весь файл. Расшифровать файлы, зараженные Cerber, легко, если у вас есть доступ к ключам RSA, которые были сгенерированы случайным образом. Их можно получить с C&C сервера. Когда у вас есть ключ, дешифрование выполняется путем простого обращения процесса шифрования. Это делается путем дешифрования случайно сгенерированного ключа RSA, а затем дешифрования случайно сгенерированного ключа RC4. В конце концов, используйте RC4 для расшифровки файла.
5. Unlock92
Первоначально эта программа-вымогатель была выпущена в июне 2016 года, а последующие версии были выпущены до настоящего времени. Он работает в среде .net и оставляет для имени файла расширение ".CRRRT или .CCCRRRPPP" в зависимости от используемой версии Unlock92.
В процессе шифрования он дважды использует алгоритм шифрования RSA. Каждый из его образцов имеет предварительно созданный ключ RSA, который обычно кодируется base64. Base64 используется для шифрования ключей RSA, которые генерируются случайным образом, которые затем используются для шифрования целевых файлов.
Unlock92 не шифрует файлы целиком; вместо этого он шифрует только начальные 0x300 байтов файла.
Расшифровка файлов включает восстановление закрытого ключа RSA с C&C сервера и использование алгоритма RSA для дешифрования зашифрованных файлов.
6. CryptoWall
CryptoWall был впервые обнаружен в 2014 году, и на сегодняшний день он выпустил четыре разные версии. CryptoWall использует как алгоритм шифрования AES, так и алгоритм шифрования RSA. Этот тип программ-вымогателей в первую очередь нацелен на операционные системы на базе Windows. Это связано с тем, что реализация задействованных алгоритмов шифрования напрямую зависит от API, называемого CryptoAPI, который обычно является частью операционных систем на базе Windows.
При расшифровке CryptoWall вам необходимо перейти на C&C сервер, чтобы получить закрытый ключ RSA, а затем расшифровать ключ AES, который был сгенерирован случайным образом. Используя этот ключ AES, вы расшифровываете личные файлы.
7. Locky
Locky использует в процессе шифрования алгоритмы AES и RSA, хотя разные версии предлагают совершенно разные процедуры реализации алгоритмов. В одной из версий программы-вымогателя сгенерированный ключ AES изначально зашифрован алгоритмом RSA, а используемый открытый ключ RSA получается с C&C сервера. Сгенерированный ключ AES затем используется для шифрования файлов.
Расшифровка файлов, зашифрованных с помощью Locky, напоминает расшифровку файлов, зашифрованных CryptoWall. Используя закрытый ключ RSA для дешифрования ключа AES и, наконец, дешифрутся зашифрованные данные с помощью того же ключа AES.
8. Petya
Petya обнаружили в марте 2016 года. Он попадает в этот список как ещё один уникальный вымогатель. Он работает совсем не так, как другие программы-вымогатели из этого списка. Petya стремится зашифровать таблицу основных файлов NTFS, а не личные файлы, как можно было бы ожидать. Обычно это мешает традиционной инициализации ОС Windows, переопределив код начальной загрузки в главной загрузочной записи.
В своей процедуре шифрования он использует как алгоритм ECDH, так и алгоритм SALSA20. Petya использует алгоритм ECDH для кодирования случайно сгенерированного ключа SALSA20. Важно отметить, что SALSA20 работает в 16-битной среде и запускается после того, как алгоритм ECDH кодирует случайно сгенерированный ключ SALSA.
В Petya процесс расшифровки также прост. Получив только ключ для C&C-сервера, вы восстанавливаете MBR и MTF соответственно, расшифровывая их с помощью SALSA20.
9. TeslaCrypt
TeslaCrypt появился еще в 2015 году и продолжает выпускать больше версий. В каждом выпуске он также использует широкий спектр алгоритмов. В своей четвертой версии вымогатель использовал алгоритмы ECDH и AES в процессе шифрования. Он очень похож на CTB_Locker, о котором говорилось ранее.
Процедура расшифровки TeslaCrypt также соответствует CTB_Locker. Вы получаете частный и случайно сгенерированный ключ ECDH от C&C сервера и используете его для декодирования ключа AES, а затем используете ключ AES для расшифровки зашифрованных файлов жертвы.
10. TorrentLocker
TorrentLocker был выпущен в 2014 году и продолжает терроризировать рынок выпусками новых версий. Как правило, эта программа-вымогатель добавляет к имени зашифрованного файла расширение ".encrypted". TorrentLocker использует комбинацию алгоритмов шифрования RSA и AES в своей процедуре шифрования. Большинство программ-вымогателей используют шаблон RSA-AES.
Существенная разница с TorrentLocker заключается в том, что здесь ключ AES генерируется алгоритмом Yarrow. Сид алгоритма Yarrow дает возвращаемое значение разнообразной функции и, следовательно, шифрует целевые файлы размером 16 на 16 байтов с использованием сгенерированного алгоритма AES.
При расшифровке вы должны получить закрытый ключ RSA для сервера и использовать AES для расшифровки зашифрованных файлов.
3. Заражение и поведение программ-вымогателей
Заражение программ-вымогателей происходит несколькими способами. При стандартной атаке программ-вымогателей заражение обычно является первым шагом. Полный цикл атаки программ-вымогателей включает заражение, безопасный обмен ключами, шифрование, вымогательство и, наконец, расшифровку. Этот хронологический порядок описывает все поведение программы-вымогателя.
Стадия заражения влечет за собой множество других переменных.Например, как файлы вымогателей попадают в вашу систему. Существует четыре распространенных способа распространения программ-вымогателей среди разных пользователей. Хорошее понимание этих методов часто помогает интернет-пользователям избегать ловушек вымогателей и оставаться в безопасности.
Вот некоторые из популярных путей заражения.
1. Фишинговые письма
Электронная почта стала наиболее распространенным методом распространения программ-вымогателей. Фишинговые сообщения электронной почты предназначены для того, чтобы побудить целевых пользователей перейти по ссылке или щелкнуть вложение, содержащее вредоносный файл. Эти вложения могут представлять собой ZIP-файл, документ Word, файл PDF или даже файл JavaScript. Атаки программ-вымогателей предназначены для того, чтобы обманом заставить жертв "включить макросы", которые затем позволяют им загружать вредоносные файлы ".exe", выполняя сценарии в фоновом режиме.
Исполняемые файлы содержат методы и функции, которые шифруют определенные данные или части системы. Программы-вымогатели стали чрезвычайно продвинутыми и могут распространяться на другие системы через сеть. Это делает невероятно важным, чтобы организации были начеку, поскольку одно заражение может вывести из строя компьютерную сеть всей организации. Такие программы-вымогатели, как Locky и Cerber, широко известны тем, что используют фишинг электронной почты как способ эксплуатации целевых жертв.
2. Автозагрузка
Это вредоносные загрузки, которые происходят за кулисами - без ведома жертвы при посещении взломанного веб-сайта. Этот путь атаки опасен, поскольку он не требует от пользователей особых действий, что чрезвычайно затрудняет защиту от этого вида заражения. Затем злоумышленники-вымогатели используют уязвимости веб-сайтов, встраивая вредоносное ПО на целевые веб-сайты. Иногда они предоставляют ссылки с автоматическим перенаправлением на уязвимый сайт, где затем могут использовать эксплойт-киты, чтобы предоставить им доступ к жертвам.
Атаки на загрузку Drive-By происходят не только на небольших малоизвестных веб-сайтах; они также встречаются на популярных глобальных сайтах, таких как The New York Times, NFL и BBC. Все они стали жертвами кампании вымогателей, которая велась через захваченную рекламу.
CryptoWall - отличный пример вредоносной программы-вымогателя, использующей этот метод заражения.
3. USB и другие съемные носители
Популярность программ-вымогателей продолжает расти, и злоумышленники используют все их преимущества. USB-устройства и другие съемные носители - еще один распространенный способ, которым эксперты-вымогатели заражают системы и машины. Знаменитая атака с целью выкупа была распространена среди австралийцев в 2016 году с использованием флэш-дисков, замаскированных под приложение Netflix при продвижении. Внешние диски заражали компьютеры программами-вымогателями. Программа-вымогатель может реплицироваться и повлиять на другие машины, подключенные к съемному диску.
4. RDP
Злоумышленники-вымогатели усовершенствовали искусство использования RDP для нацеливания на компьютеры жертв. Обычно это включает управление другими машинами в сети удаленно, с другого компьютера администратора. Первоначально протокол RDP был разработан, чтобы позволить ИТ-специалистам и администраторам удаленно настраивать корпоративные компьютеры.
Эта функция предлагает злоумышленникам возможность эксплуатировать возможность для злонамеренных действий. Используя специализированные поисковые системы в Интернете, такие как Shodan.io, хакеры ищут и нацеливаются на эти компьютеры, работающие с открытым портом 3389, и запускают атаки. Чаще всего злоумышленники получают доступ к административным правам с помощью метода взлома паролей методом грубой силы. Это делается с помощью специального программного обеспечения и инструментов для взлома паролей, таких как John the Ripper, Cain and Abel, Medusa и другие.
Получив доступ к административным функциям, они развертывают программы-вымогатели и отключают функции безопасности, вынуждая организации платить за повторный доступ к своим данным. Другие программы-вымогатели, которые использовали этот механизм раньше, - это CrySis и LowLevel04.
4. Кто является целью программ-вымогателей?
На начальных этапах внедрения программы-вымогатели в основном предназначались для отдельных компьютеров. Злоумышленники часто запускали программы-вымогатели, намереваясь вывести из строя определенные компьютеры, а затем побудить их произвести оплату в обмен на свои данные. Однако со временем эта тенденция изменилась, сосредоточившись на крупных корпорациях и малом и среднем бизнесе. Разработчики программ-вымогателей осознали огромные возможности, которые связаны с нацеливанием на предприятия и компании, а не на отдельных лиц.
Ориентация на компании дает им возможность взимать больше, поскольку компании полагаются на свои системы для ведения деятельности. Ограничение их систем серьезно подрывает эти организации, вынуждая их платить огромные суммы выкупа злоумышленникам, чтобы они возобновили свою деятельность.
Согласно исследованию, около 13% обнаружений предприятий во всем мире были вымогателями. Точно так же около 35% всех малых и средних предприятий столкнулись с атакой программ-вымогателей. В том же году 22 процента организаций были вынуждены прекратить бизнес из-за атак. Колоссальный 81 процент всех предприятий испытали одну или несколько кибератак. Статистические данные бесконечны, и все они показывают, что корпорации, малые и средние предприятия более уязвимы для атак программ-вымогателей, чем средний пользователь Интернета.
С географической точки зрения атаки программ-вымогателей наиболее распространены в странах Востока и Запада. Организации в таких странах, как Саудовская Аравия, Турция, Китай, Испания, Великобритания, США и Мексика, зарегистрировали наибольшее количество атак с целью выкупа. Удивительно, но в Южной Африке около 60% организаций также сообщили о какой-либо форме атаки с использованием программ-вымогателей.
5. Факты о программах-вымогателях
Киберпреступность продолжает развиваться, меняя стратегии заражения, процедуры шифрования, а также целевые области шифрования. Вот некоторые факты о программах-вымогателях за предыдущие годы.
Давайте посмотрим на некоторые выдающиеся атаки программ-вымогателей, которые потребовали успешных или неудачных выплат в 2019 году.
1. В июне 2019 года Общественный центр здоровья Park DuValle столкнулся с атакой программы-вымогателя, в результате которой были зашифрованы записи около 20000 пациентов. Это нападение нанесло вред медицинскому центру два месяца подряд, заблокировав их доступ к их системе. Учреждение должно было работать с ручной бумажной и файловой системой в течение семи недель без возможности назначать расписания и назначать встречи. В итоге медицинское учреждение выплатило выкуп в размере 70 000 долларов.
2. Городской город в Онтарио, Канада, столкнулся с атакой программы-вымогателя, развернув вредоносное ПО, которое зашифровало их серверы и полностью заблокировало их доступ к данным. Городу пришлось заплатить выкуп в размере 10 BTC, что составило около 71000 долларов.
3. Аналогичным образом в июне 2019 года графство Ла-Порт в Индиане было атаковано программой-вымогателем. К счастью, ИТ-специалисты осознали распространение вредоносного ПО и сумели ограничить его распространение в небольшой части сети. ФБР вместе с фирмой судебно-медицинской экспертизы попыталось восстановить данные, вынудив округ выплатить выкуп в размере 130 000 долларов. Страхование покрыло из этой суммы около 100 000 долларов.
4. Округ Джексон в Джорджии занимает четвертое место. Эта атака была совершена в марте 2019 года, когда в округе Джексон были остановлены все свои службы. Программа-вымогатель пощадила только свою полицейскую службу экстренной помощи (911) и сайт округа. Позже было обнаружено, что эта программа-вымогатель является штаммом вымогателя Ryuk, который в 2019 году стал кошмаром для многих школ, а также затронул более 500 школ. Округу пришлось заплатить выкуп в размере 400000 долларов, чтобы восстановить доступ к своей системе.
5. Во Флориде Лейк-Сити также пострадал от атаки вымогателя в июне 2019 года. Эта атака распространилась так быстро, что парализовало большинство их систем. Это вызвало операционные проблемы в городе. Эта атака ограничила доступ к повесткам дня городского совета, резолюциям, постановлениям, протоколам собраний и так далее. Через несколько недель Лейк-Сити через свою страховку заплатил выкуп в размере 500000 долларов за восстановление некоторых своих данных. Не все данные были восстановлены из-за задержек с согласованием. Это был еще один вымогатель Ryuk.
6. Завершаем список Ривьера-Бич-Сити, снова во Флориде. Эта атака произошла в мае 2019 года и потребовала самой высокой выплаты выкупа в 2019 году. По имеющимся данным, сотрудник Сити попал в ловушку фишингового письма, и злоумышленники сразу же получили доступ ко всей системе города. Это затронуло процедуры оплаты, связь и даже коммунальные насосы. Власти города согласились заплатить 600000 долларов по запросу злоумышленника, используя около 300000 долларов из своего страхового полиса. К сожалению, эта атака произошла вскоре после того, как Riviera Beach City инвестировала около 1 миллиона долларов в замену своего компьютерного оборудования.
Программа-вымогатель заражает важные файлы
Как упоминалось ранее, индустрия программ-вымогателей постоянно развивается и внедряет новые разработанные барьеры безопасности. В этом разделе мы немного обсудим важные файлы, то, как программы-вымогатели нацеливаются на них и почему они являются приоритетной целью для атак программ-вымогателей.
Как упоминалось ранее, индустрия программ-вымогателей постоянно развивается и внедряет новые разработанные барьеры безопасности. В этом разделе мы немного обсудим важные файлы, то, как программы-вымогатели нацеливаются на них и почему они являются приоритетной целью для атак программ-вымогателей.
Критический файл - это важный файл в системе, который необходим для бесперебойной работы операционной системы. Программы-вымогатели, влияющие на критически важные файлы, часто зависят от пропатченных вредоносных программ для успешного заражения систем.
Пропатченный вредоносное ПО - это законный файл, - который был изменен вредоносным кодом. Злоумышленники-вымогатели используют эти файлы для заражения систем, поскольку они довольно часто используются во время работы системы. Это объясняет, почему кибер-злоумышленники нацелены на такие файлы: чем больше раз запускается файл, тем выше скорость выполнения встроенного вредоносного кода.
Например, популярная программа-вымогатель атакует и заражает user32.DLL - хорошо известный критический файл. Этот метод чрезвычайно затрудняет обнаружение вредоносных действий средствами безопасности. Запуск атак на критически важные файлы имеет несколько преимуществ, например, он действует как метод уклонения от средств защиты, которые отслеживают поведение системы.
Очистка важных файлов требует особой осторожности; по этой причине инструменты для очистки часто не касаются их, что делает его относительно безопасным местом проживания для вредоносных кодов.
Затем зараженный файл user32.DLL действует от своего имени и в конечном итоге загружает в систему саму программу-вымогатель. На этом этапе программа-вымогатель блокирует экран и отображает сообщение о выкупе.
История программ-вымогателей
Программы-вымогатели смогли стать глобальной угрозой только в середине 2000-х годов; первые атаки такого рода произошли намного раньше. Первая зарегистрированная атака с использованием программ-вымогателей произошла в 1989 году и была нацелена на медицинское учреждение. В 1989 году исследователь СПИДа д-р. Джозеф Попп заразил дискеты вредоносным ПО, а затем распространил около 20000 копий дискет другим международным исследователям в 90 странах.
Согласно отчету, Dr.Попп утверждал, что диски содержат полезную компьютерную программу, которая может оценивать риски заражения СПИДом на основе анкеты. Однако эта программа-вымогатель заразила компьютеры, а затем потребовала выкуп. Вредоносная программа оставалась бездействующей на зараженных компьютерах в течение нескольких дней и активировалась только после того, как компьютер был перезагружен 90 раз. После этого порогового значения программа-вымогатель запустила себя и отобразила на экране сообщение о выкупе с требованием оплаты за восстановление доступа. Согласно отчету, запрашиваемый выкуп составлял от 189 до 378 долларов.
Эта атака позже была названа вирусом СПИДа цифрового мира или PC Cyborg. Однако программа-вымогатель была плохо спроектирована и содержала широкий спектр уязвимостей. Но это заложило основу для последующих программ-вымогателей, которые стали более изощренными в своем подходе. Последующие создатели программ-вымогателей обычно писали свои собственные коды и алгоритмы шифрования.
После этого возникло несколько других атак программ-вымогателей; однако следующая заметная угроза была засвидетельствована в 2014 году, когда GpCode использовал относительно слабые коды RSA для шифрования личных файлов с целью выкупа. Три года спустя, в 2017 году, появилась программа-вымогатель WinLock, которая немного изменила правила игры. WinLock отошел от обычной цели вымогателей, решив заблокировать доступ пользователей к своей системе, отобразив на экране изображения для взрослых и запросив выкуп через SMS.
Спустя годы, после кошмара WinLock, в 2012 году пришло время Реветона. Этот тип программ-вымогателей также использует уникальный подход.
Она захватила компьютеры жертв и выдавала себя за полицейские и другие правоохранительные органы. Она показала сайты законных агентств, а затем утверждала , что взломанная жертва совершила преступление. Затем она попросили выкуп, который, как сообщается, варьировался от 100 до 3000 долларов.
Этот метод оказался успешным благодаря задействованной социальной инженерии; большинство жертв предпочитали платить выкуп, а не связываться с ужасной преступной деятельностью, как детская порнография, хотя они были невиновны.
С 2013 года начали появляться другие виды программ-вымогателей. CrytpoLocker представил другую версию, которая была гораздо более сложной с использованием военного шифрования. Он использовал другой подход, который включал использование ключа дешифрования, находящегося на сервере. Вы должны были использовать этот ключ для расшифровки зашифрованных файлов. В результате этого практического подхода несколько других программ-вымогателей приняли ту же тенденцию. Petya и WannaCry использовали ту же технику. Примерно в это же время произошло множество атак, направленных как на частные, так и на государственные объекты.
Ryuk появился на месте событий в 2018 году и терроризировал несколько правительственных и новостных изданий в США. Ryuk необычайно эффективен и искушен. Ryuk использовался для заражения некоторых городских систем Флориды, среди других целей. А в 2019 году был обнаружен вымогатель, известный как Sodinokibi, который, как сообщается, также совершал атаки.
Со временем разработчики начали переходить на заранее разработанные алгоритмы шифрования, которые предлагаются как готовые библиотеки. Эти библиотеки тщательно разработаны и содержат очень сложные алгоритмы, которые часто трудно взломать. Кроме того, атаки программ-вымогателей превратились в высокоуровневые методы заражения. Большинству программ-вымогателей не требуются физические устройства, такие как гибкие диски, как в случае с Джозефом Поппом. Современные атаки программ-вымогателей запускаются с помощью передовых методов, таких как целевые фишинговые кампании, в отличие от традиционных фишинговых писем, с которыми удалось бороться большинству спам-фильтров.
7. Вы платите выкуп?
На данный момент ясно, что программы-вымогатели - это глобальная проблема, которая может атаковать и нанести вред практически любой цифровой сущности. По этой причине разумно понять, целесообразно ли платить выкуп в случае нападения.
Это тема, которая вызвала немало споров. При нынешнем уровне сложности программ-вымогателей в цифровом мире взломать эти шифрование стало серьезной проблемой для экспертов по безопасности и даже ФБР, в результате чего жертвы атак оказываются на перепутье. Часто, когда они сталкиваются с атакой, особенно в отношении корпораций и государственных учреждений, им предъявляется ультиматум относительно того, когда следует произвести платеж.
В это время жертвы думают о доступных им вариантах расшифровки файлов, не поддаваясь требованиям хакеров. В большинстве случаев неуплата выкупа оказывается не лучшим вариантом для жертв, которые не готовы потерять свои данные. Исследования показывают, что около 70% малых и средних предприятий, подвергшихся атакам программ-вымогателей, в конечном итоге заплатили.
Если предположить, что на вас уже напали, решение, которое вы примете, полностью зависит от того, что вы можете потерять. В случае персонального компьютера вы можете рассмотреть возможность не платить запрошенный выкуп и выбрать замену своей машины, если на вашем устройстве нет конфиденциальных данных, которые вы не хотели бы потерять.
Однако предприятия рискуют потерять данные клиентов, финансовые записи если они откажутся платить. Чтобы определить, какой вариант лучше, можно провести быстрый анализ затрат и выгод. Глядя на тенденции в отношении предыдущих требований к платежам за программы-вымогатели, становится ясно, что большинство из них предпочли бы заплатить и возобновить операции, поскольку они работают над настройкой функций безопасности против будущих атак.
8. Типы программ-вымогателей
По уровням опасности программы-вымогатели можно разделить на три основные категории. Ниже приводится разбивка по трем типам программ-вымогателей;
1. Scareware
Scareware - это уникальный тип вредоносного ПО, которое использует тактику социальной инженерии, чтобы заставить пользователей выполнить определенную задачу. Как правило, этот тип вредоносного ПО запускается всплывающим окном на компьютере или рекламой.
Например, пользователи ПК всегда находятся в поиске потенциальных вирусных угроз. Пугающая программа, маскирующаяся под антивирус, может легко обмануть таких пользователей, щелкнув по ней и установив "поддельный" антивирус. Загружая и устанавливая эти зараженные файлы, пользователи вместо этого обнаруживают, что у них есть программа-вымогатель.
Прекрасный пример схемы пугающего ПО произошел в 2010 году, когда на Minneapolis Star Tribune появлялась реклама, которая перенаправляла их на вредоносные сайты. Эти пользователи стали жертвами злонамеренной рекламной кампании Windows, которая побуждала пользователей покупать антивирус за 49,95 доллара. Восемь лет спустя гражданин Латвии был позже арестован за участие в нападении с применением паники.
2. Screen Lockers
На ступеньку выше от пугающих программ находятся screen lockers. Этот тип программ-вымогателей строгий в своем процессе атаки. Когда скрин-локен заражает систему, жертва полностью лишается доступа к своему компьютеру. Примером такой программы-вымогателя является WinLock. При загрузке отображается полноэкранное сообщение. Они часто требуют оплаты, утверждая, что жертва совершила незаконную деятельность.
3. Encrypting Ransomware
Шифрующиеие программы-вымогатели намного сложнее по сравнению с программным обеспечением для блокировки экрана и пугающими программами. Эти типы вредоносных программ нацелены на личные файлы и шифруют их с помощью сложных алгоритмов. Противодействовать таким атакам было сложной задачей, поскольку расшифровать уже зашифрованные файлы без помощи злоумышленников практически невозможно. По этой причине на протяжении многих лет с использованием этой стратегии было запущено множество атак программ-вымогателей.
После того, как ваши файлы зашифрованы, единственный логический способ расшифровать и восстановить доступ - заплатить требуемый выкуп. К сожалению, уплата выкупа хакерам не дает полной гарантии того, что ваши файлы будут расшифрованы. Это всегда авантюра. Примером такого типа программ-вымогателей является CryptoLocker.
Эволюция CryptoLocker и криптовымогателей
CrytpoLocker появился в 2013 году и представил новый подход. В то время большой популярностью пользовались программные средства блокировки экрана. CrytpoLocker инфицировал персональные компьютеры с антивирусной защитой или без нее и зашифровал личные файлы, ограничивая доступ. Разработчики позаботились о том, чтобы программа-вымогатель могла шифровать файлы даже при наличии антивируса. Хотя некоторые антивирусные программы смогли обнаружить и удалить его, CrytpoLocker гарантировал, что заставит своих жертв платить выкуп даже после того, как он был удален. Когда платеж произведен, жертве предоставляется ключ дешифрования, чтобы она могла расшифровать свои файлы.
По словам аналитиков безопасности, CrytpoLocker использует шифрование AES и RSA, однако в их примечании указан только RSA-2048. Очевидное различие между RSA и AES состоит в том, что AES использует симметричные ключи; это означает, что для шифрования используется тот же ключ, что и для дешифрования. Что касается RSA, который представляет собой криптографию с асимметричным ключом, открытый ключ используется для шифрования целевого файла и становится доступным для всех. Однако он хранит закрытый ключ, необходимый для расшифровки зашифрованных данных.
В этом случае программа-вымогатель сначала разрабатывается, чтобы использовать ключ AES для шифрования целевого файла. AES требует того же ключа для дешифрования; следовательно, ключ записывается в зашифрованные данные. Затем открытый ключ RSA используется для шифрования ключа AES. Итак, для успешного дешифрования этих файлов потребуется закрытый ключ RSA.
К концу 2013 года был обнаружен другой вид CryptoLocker. Этот конкретный вариант CryptoLocker может распространяться через вторичные диски. Это было необычно для вариантов CRILOCK. Эта особенность делала этот вариант более опасным, поскольку он мог распространяться намного быстрее, чем другие. Некоторые исследователи считают, что этот CryptoLocker - это работа подражателя.
Вскоре после этого появилась Cryptorbit. Cryptorbit также был известен как Crypto-ransomware или CryptoDefense. Это шифрование программ-вымогателей, предназначенных для баз данных, сценариев, веб-видео, текста, изображений и некоторых других типов файлов. Он также удалял файлы резервных копий, чтобы избежать попыток восстановления, и, наконец, запрашивал выкуп в обмен на ключ дешифрования.
9. Происхождение программ-вымогателей
AIDS Джозефа Поппа был первой документированной атакой вредоносного ПО в истории программ-вымогателей. Это произошло в 1989 году, и в нем были серьезные сбои, из-за которых даже мысль о выплате выкупа вымогателю становилась до смешного безумной.
Позже Джозеф Попп был арестован, но, к сожалению, был признан психически неспособным предстать перед судом за свои действия. Однако он пообещал финансировать исследования СПИДа за счет прибыли, которую он получил от вымогателей.
10. Mobile Ransomware
Это особый вид программ-вымогателей, атакующих мобильные устройства. Этот тип программ-вымогателей преследует те же цели, что и на ПК; они стремятся вымогать у жертвы, отказывая ей в доступе к ее данным или выдвигая ложные уголовные обвинения.
Типичная мобильная атака программ-вымогателей либо блокирует доступ пользователей к своим устройствам, либо крадет конфиденциальную информацию с мобильных устройств и требует выкуп за восстановление.
Кроме того, жертвам атак с использованием мобильных программ-вымогателей могут угрожать ложными обвинениями в противоправном поведении, побуждающие их заплатить выкуп. Сегодня большинство вымогателей предпочитают биткойн и другие криптовалюты в качестве способа оплаты из-за невозможности отслеживать транзакции с ними.
Два недавних мобильных вымогателя - CryptoLocker и DoubleLocker. CrytpoLocker заразил несколько мобильных телефонов, как Android, так и Apple. В том же году DoubleLocker - программа-вымогатель для Android - заразила также несколько смартфонов. DoubleLocker распространялся через уязвимые веб-сайты, на которых размещались поддельные мобильные приложения. Эта мобильная программа-вымогатель запуталась с PIN-кодом телефона и, следовательно, зашифровала исходные файлы хранилища. Они потребовали выкуп за то, чтобы это было расшифровано.
Есть зловред Koler. Этот мобильный вымогатель маскируется под приложение для взрослых, заражает мобильные телефоны в США. Обычно он отображает экран с контентом для взрослых и просит у пользователя выкуп. После загрузки вредоносная программа-вымогатель получает административный доступ к устройству, предоставляя злоумышленникам полный контроль при установке.
11. Mac ransomware
Пользователи Mac раньше гордились своей невосприимчивостью к кибератакам, поскольку большинство злоумышленников нацелены на пользователей ПК с Windows. Эта тенденция со временем изменилась, и теперь пользователи Mac также сталкиваются с изрядной долей проблем с кибербезопасностью.
Однако верно, что пользователи Windows более уязвимы для атак по сравнению с пользователями Mac. Это горячая тема в сфере информационных технологий; утверждается, что многие люди используют ОС Windows; поэтому злоумышленники, как правило, сосредотачиваются на большинстве, чтобы максимизировать свой охват.
В феврале 2017 года программа-вымогатель для Mac, известная как Filezip или Patcher, сумела проникнуть в некоторых пользователей Mac и терроризировать их. Программа-вымогатель зашифровала файлы пользователя и запросила выкуп в размере 0,25 биткойна за расшифровку. К сожалению, эти злоумышленники также не смогли расшифровать данные; поэтому платить выкуп было бессмысленно.
Еще одна вызывающая озабоченность программа-вымогатель для Mac появилась в 2016 году; она проникала на компьютеры Mac через обновление BitTorrent Client, которое обнаружило, что в него встроен авторизованный сертификат безопасности. Это позволило ему обойти гейткипер macOS. KeRanger требовал выкуп в размере 1 биткойна после заражения и, как сообщается, все еще находится в стадии разработки.
В 2014 году FileCoder распространился среди компьютеров Mac; однако это было относительно безвредно. FileCoder никогда не шифрует файлы пользователей; вместо этого на экране появилось окно с требованием выкупа.
В 2013 году браузер Mac Safari также стал мишенью для вымогателей. Это было известно как мошенничество ФБР/MoneyPak. Эта программа-вымогатель для Mac потребовала от жертв уплаты 300 долларов за восстановление доступа. Программа-вымогатель автоматически перезапускалась при каждом запуске сафари, если пользователь принудительно закрывает браузер сафари.
Хотя пользователи Mac не сталкиваются с неминуемыми рисками атак программ-вымогателей по сравнению с Windows, интерес начал расти, и многие хакеры проявляют интерес к платформе. Пользователи Mac должны просто следить за ловушками программ-вымогателей, как и пользователи Windows.
12. Что делать, если я заражен
По данным ФБР, когда программа-вымогатель атакует ваш компьютер, вы должны взять на себя обязательство не подчиняться требованиям и не платить выкуп. Аргумент в том, что чем больше мы платим выкуп этим вымогателям, тем больше мы поощряем отрасль. Хотя ФБР не смогло найти решения для расшифровки всех программ-вымогателей, уже существуют некоторые решения, которые позволяют жертвам получить хотя бы хороший фрагмент своих зашифрованных данных.
Исторически сложилось так, что большинство попыток расшифровать файлы без помощи хакеров-вымогателей терпели неудачу и приводили только к дальнейшему шифрованию. По этой причине жертвам не следует пытаться расшифровать важные файлы без консультации со специалистами, так как это может привести к безвозвратной потере данных.
Если вы уже заражены программой-вымогателем, вам следует удалить вредоносную программу, чтобы предотвратить дальнейшие повреждения. Чтобы удалить угрозу, вы должны загрузить средство исправления, которое представляет собой продукт безопасности, который запускается на вашем компьютере и сканирует его на наличие потенциальных вредоносных угроз. Если оно обнаружит вредоносное ПО, он удалит его, чтобы устранить риск. Это процедура, используемая для очистки вашего ПК после повреждений; однако это не решение, которое поможет вам восстановить доступ к вашим зашифрованным файлам. Если, например, у вас есть программа-вымогатель для блокировки экрана, необходим полный процесс загрузки с использованием внешних загрузочных устройств, таких как USB-накопители.
Иногда ваша машина может быть атакована прямо перед вами. Если вы замечаете ненужные задержки на своем компьютере без какой-либо очевидной причины или подозреваете, что подверглись атаке, вам следует отключиться от Интернета и выключить компьютер. Это предотвращает успешную установку вымогателей в вашу систему, поскольку для большинства из них требуются коды инструкций с удаленного сервера, которые выполняются за кулисами. Поэтому, когда вы предотвратите это, вы можете перезагрузить компьютер и запустить продукты безопасности для исправления и очистки вашей системы.
Хотя вы не должны платить выкуп, иногда соглашения - не лучшее решение. За каждым существенным платежом стоит причина. Следует провести анализ, чтобы определить влияние потери данных на стоимость выплаты выкупа.
13. Как предотвратить выполнение программ-вымогателей?
Все атаки программ-вымогателей часто используют лазейку в системе безопасности.
Есть несколько основных правил, которые помогут привлечь внимание общественности к превентивным мерам против этих гнусных атак с использованием программ-вымогателей. Вот несколько общих советов относительно мер предосторожности.
1. Не посещайте неизвестные или непроверенные ссылки.
Ссылки - это доступный способ распространения программ-вымогателей среди злоумышленников. Можно безопасно избегать перехода по незнакомым ссылкам в рекламных объявлениях или нежелательных электронных письмах. Большинство программ-вымогателей загружаются при нажатии неизвестных ссылок, которые, соответственно, инициируют загрузку. Жертвы часто не осознают, что они заражены, пока программа-вымогатель полностью не захватит контроль.
2. Никогда не загружайте/не открывайте неизвестные или ненадежные вложения электронной почты.
Фишинговые письма - стандартный путь для злоумышленников. Часто, когда вы получаете электронное письмо из неизвестных источников, вам не следует быстро открывать связанные вложения. Если вы сомневаетесь в адресе электронной почты, не открывайте вложения и подтвердите это у отправителя. Если вы встретили вложение электронной почты, в котором требуется включить макросы, не включайте. Включение макросов позволяет вредоносному коду захватить ваш компьютер и заблокировать вас.
3. Скачивайте файлы только с доверенных сайтов
Вы должны быть очень осторожны при выборе веб-сайтов, с которых вы можете загружать файлы. Популярные и проверенные сайты имеют больше шансов защитить свои данные от программ-вымогателей, что, в свою очередь, делает их безопаснее для вас. Сертификат SSL на веб-сайте сегодня является стандартным знаком доверия для большинства сайтов. Все известные и надежные сайты имеют префикс "https" вместо обычного "Http", который подвержен нарушениям безопасности.
4. Не разглашайте личную информацию.
Иногда злоумышленники доходит до телефонных звонков или отправки текстовых сообщений, пытаясь заранее получить доступ к личной информации. Они используют эту информацию для создания персонализированных писем, которые нацелены на жертв с их личными данными, что делает фишинговые письма более легитимными. Когда вам поступает анонимный звонок с просьбой предоставить личные данные, вы всегда должны говорить "нет".
5. Используйте функции фильтрации и сканирования электронной почты
На почтовых серверах есть сканеры содержимого и файлов, а также функции фильтрации. Использование этих функций в ваших электронных письмах значительно снижает ваши шансы попасть в ловушку программы-вымогателя. Фильтрация и сканирование проверяют ваши электронные письма и отправляют подозрительные электронные письма в папку для спама.
6. Не берите неизвестные USB-устройства
Как правило, на вашем компьютере нельзя использовать неизвестные устройства. Кибер-злоумышленники иногда оставляют зараженные USB-устройства в общественных местах в надежде, что кто-то станет жертвой. Таким образом, это отличная профилактическая мера, позволяющая избежать подключения неизвестных USB-накопителей к вашему компьютеру.
7. В общедоступной Wi-Fi всегда используйте VPN
Публичный Wi-Fi представляет серьезную угрозу безопасности для пользователей. Злоумышленники, подключенные к тому же Wi-Fi, могут проникнуть на ваше устройство. Чтобы оставаться в безопасности, следует применять дополнительные меры безопасности. Использование безопасной виртуальной частной сети (VPN) может помочь снизить вероятность успешной атаки.
8. Всегда обновляйте операционную систему и программное обеспечение.
Операционные системы, программное обеспечение, мобильные приложения и браузеры регулярно обновляются. В большинстве их журналов изменений часто встречаются обновления безопасности. Обновления безопасности делаются, чтобы предложить максимально возможную защиту от потенциальных атак и исправить обнаруженные области уязвимостей.
9. Используйте программное обеспечение для безопасности
Использование программного обеспечения для безопасности может иметь большое значение для предотвращения атак программ-вымогателей. Защита от программ-вымогателей становится все более важной, и такие компании, как Kaspersky, предлагают достойную защиту от потенциальных атак программ-вымогателей.
10. Делайте резервное копирование важных данных
Резервное копирование важных данных - это не превентивная стратегия, а мера предосторожности. В случае атаки программы-вымогателя у вас будет доступ к резервным копиям данных. При резервном копировании рекомендуется использовать внешние устройства и держать устройства отключенными от компьютеров в сети, чтобы избежать заражения.
14. Как программы-вымогатели влияют на ваш бизнес?
Хорошее понимание того, как программы-вымогатели влияют на ваш бизнес, может помочь лицам, принимающим решения, принимать больше мер предосторожности в своей
1. Предотвращает доступ к вашим данным
Сегодняшний малый и средний бизнес в своей повседневной деятельности в значительной степени полагается на данные. Практически все секторы деловых операций были успешно оцифрованы, в результате чего компьютеры и данные стали важной частью бизнеса.Из-за этого ограничение доступа к этой информации приводит к серьезному удару по компании. Следовательно, владельцы бизнеса и администраторы должны проявлять бдительность и искать более безопасные и защитные способы защиты от вируса.
2. Стоимость восстановления высока.
В случае успешной атаки программы-вымогателя данные всегда будут повреждены, если выкуп не выплачен. Когда компания хранит резервную копию своих данных, в зависимости от объема, восстановление может быть дорогостоящим и трудоемким. Кроме того, размер потери данных, вызванной программой-вымогателем, может сделать восстановление данных бессмысленным и дорогостоящим. Это делает внешнее резервное копирование лучшим приоритетом в качестве меры предосторожности для бизнеса.
3. Ущерб репутации
Доверие клиентов жизненно важно для компаний, и небольшое пятно на деловой репутации окажет на них негативное влияние. Например, компания, которая продает товары в Интернете через веб-сайт электронной коммерции, потеряет доверие клиентов, когда их сайт будет взломан. Клиенты не захотят совершать онлайн-платежи через сайт из-за опасений атак программ-вымогателей.
4. Нарушение нормальной коммерческой деятельности
Чтобы получить четкое представление о том, как сбой может иметь катастрофические последствия для бизнеса, позвольте визуализировать производственную фирму. Когда программа-вымогатель успешно поражает фирму, все зашифрованные данные и системы контроля отключены. Возникшие помехи могут привести к значительным потерям в миллионы долларов. Точно так же способность программ-вымогателей немедленно останавливать жизненно важные процессы бизнеса может привести к серьезным убыткам и даже закрытию малых и средних предприятий.
15. Статистика программ-вымогателей
Вот случайная статистика о программах-вымогателях за последние годы.
1. Cybersecurity Ventures прогнозирует, что к 2021 году глобальные организации потратят около 20 миллиардов долларов на атаки программ-вымогателей. Это значительный рост по сравнению с предыдущими годами. По оценкам Cybersecurity Ventures, в 2018 и 2019 годах затраты на программы-вымогатели составят 8 и 11,5 млрд долларов соответственно.
2. Одна только программа-вымогатель Ryuk в третьем квартале 2019 года стоила в среднем 377000 долларов США.
3. В 2019 году стоимость атак программ-вымогателей превысила отметку в 7,5 млрд долларов. В этом отчете рассматриваются атаки на государственные учреждения, образовательные учреждения и поставщиков медицинских услуг.
4. В последнем квартале 2019 года сумма выкупа значительно выросла, примерно на 104%. Средний спрос вырос до 84 116 долларов, при этом самый высокий зарегистрированный платежный инцидент составил 780 000 долларов.
5. Сектор здравоохранения в США столкнулся с многочисленными серьезными атаками программ-вымогателей. Согласно исследованию, 172 различных атаки программ-вымогателей были направлены на клиники, медицинские учреждения и больницы. Все эти атаки относятся к 2016 году и оценены в 157 миллионов долларов.
6. В 2019 году произошел неумолимый рост атак программ-вымогателей. Ryuk, как одна программа-вымогатель, зафиксировал рост на 543% за последние три месяца 2018 года. Опять же, программа-вымогатель Sodinokibi, представленная в мае 2019 года, зафиксировала рост числа обнаружений на 820%.
7. Согласно отчетам "Лаборатории Касперского", количество установок мобильных программ-вымогателей в 2019 году увеличилось с 8186 в 2018 году до 68000. Это свидетельствует о значительном увеличении числа троянских программ-вымогателей; тем не менее, в течение кварталов 2019 года количество случаев вымогательства постепенно уменьшалось: в первом квартале было зафиксировано максимальное значение (27 928), а в последнем квартале - самый низкий (3951).
8. В 2019 году более 1000 различных организаций США подверглись атакам программ-вымогателей
9. 36% атак программ-вымогателей нацелены на нарушение нормальной работы бизнеса.,
10. С 2016 года от атак программ-вымогателей на медицинские учреждения пострадали 6,6 миллиона пациентов.
11. В 2019 году количество атак программ-вымогателей в муниципалитетах увеличилось на 60%
12. Более половины всех программ-вымогателей нацелены на школы и образовательные учреждения. Этот показатель составляет 61%.
13. Малый и средний бизнес составляют 20% жертв атак программ-вымогателей.
14. В корпоративном мире около 645 сотрудников стали жертвами атаки программ-вымогателей в третьем квартале 2019 года.
16. Список самых популярных программ-вымогателей на сегодняшний день
За прошедшие годы было зарегистрировано несколько случаев инцидентов с вымогательством. Здесь мы обсудим некоторые из известных на сегодняшний день программ-вымогателей.
1. Bad Rabbit
Программа-вымогатель Bad Rabbit получила распространение в России и других частях Восточной Европы. Он очень похож и связан с вредоносным кодом, который был связан с программами-вымогателями WannaCry и NotPetya. Bad Rabbit маскировался под установщик Adobe Flash. В основном он распространяется через попутные загрузки с ненадежных веб-сайтов. Когда жертвы нажимали на вредоносный установщик Adobe, компьютер автоматически выключался. Bad Rabbit обычно требовал выкуп в размере 280 долларов США при крайнем сроке в 40 часов.
2. Cerber
Эта программа-вымогатель была относительно развитой. Cerber в первую очередь распространялся как RaaS, также известный как Ransomware, в качестве услуги через партнерскую программу.
Он предлагал уникальную бизнес-модель, в которой любая заинтересованная сторона могла загрузить и использовать ее в обмен на 40 процентов полученной прибыли. Cerber в основном нацелился на тех, кто использовал Office 365, с помощью изощренной фишинговой кампании. После щелчка он запускается в бэкэнде без каких-либо указаний до завершения шифрования. В 2017 году, когда Cerber был на пике заражения, он был ответственен за 26% атак программ-вымогателей. Cerber использует алгоритм шифрования RSA; на сегодняшний день на рынке нет надежных решений для бесплатного дешифрования.
3. Dharma
Dharma была впервые обнаружена в 2016 году и с тех пор выпустила новые версии программы-вымогателя. Он в основном использует алгоритм шифрования AES 256 для шифрования файлов. В частности, были удалены теневые копии зашифрованных файлов. Dharma - это криптовирус, который в основном использует уязвимости электронной почты. Вредоносная программа-вымогатель добавляет к зашифрованным файлам имена с разными расширениями, например "USA", ".xwx", ".dharma", ".best" и ".gif".
В настоящее время в "Лаборатории Касперского" есть инструмент для расшифровки файлов с расширением ".dharma".
4. GandCrab
Это самая популярная программа-вымогатель 2018 года. Вредоносное ПО GandCrab нацелено на ПК с Windows и в значительной степени зависит от макросов Windows PowerShell, VBScript и Microsoft Office. Он использовал фишинговые электронные письма как путь к жертвам, в основном создавая фишинговые письма по модели потребителей. Требования выкупа GandCrab варьировались от 500 до 600 долларов.
Сообщается, что GandCrab атаковал более 48000 узлов за первый месяц в январе 2018 года. Сложная команда агентств по кибербезопасности объединилась и успешно взломала серверы GandCrab и бесплатно выпустила ключи дешифрования. В состав группы входили Европол, Bitdefender, Управление полиции Румынии и Генеральная прокуратура.
5. Jigsaw
Вредоносная программа Jigsaw использовала относительно жестокий механизм атаки. Он зашифровал файлы пользователя, а затем со временем начал их систематически удалять. Jigsaw требовала выкуп в размере 150 долларов в течение 24 часов, после чего файлы жертвы автоматически начали постепенно самоудаляться. Jigsaw удалял еще больше данных, если жертва пыталась принудительно выключить компьютер после заражения.
6. Katyusha
Вредоносная программа была впервые обнаружена в октябре 2018 года при шифровании файлов и добавлении расширения ".katyusha" к зашифрованным файлам. Она требовала выкуп в размере 0,5 биткойна с 72-часовым ультиматумом.
7. WannaCry
WannaCry, пожалуй, самая популярная программа-вымогатель всех времен во всем мире. По оценкам, вымогателем заражено около 125 000 различных организаций в 150 странах. Вредоносная программа-выкуп WannaCry также известна как WanaCryptOr или Wcry. Она был нацелен на компьютеры, работающие под управлением операционных систем Windows, и требовал выкупа в биткойнах. Согласно Википедии, атака WannaCry 2017 предположительно исходила из Северной Кореи.
8. GoldenEye
Эту вредоносную программу-вымогатель можно сравнить с печально известной программой-вымогателем Petya. В первую очередь он был нацелен на отделы кадров организаций. GoldenEye распространился через тщательно продуманную кампанию социальной инженерии в Интернете. GoldenEye незаметно действовал на компьютерах и запускал макрос, шифрующий файлы на компьютере жертвы.
9. LockerGoda
LockerGoda был замечен в действии в 2019 году, парализовав производственные и промышленные предприятия. Это относительно новый тип программ-вымогателей. Он полностью блокирует доступ жертв к зараженным системам. Для антивирусного программного обеспечения также сложно обнаружить LockerGoda.
10. PewCrypt
PewCrypt - еще одна программа-вымогатель 2019 года в списке с совершенно другими целями. Если вам когда-либо было любопытно, какой канал является самым популярным на YouTube, вы, должно быть, слышали о PewDiePie. PewCrypt - это программа-вымогатель, якобы разработанная поклонниками популярного канала PewDiePie, чтобы привлечь больше подписчиков на свой любимый канал и достичь отметки в 100 миллионов подписчиков, опередив другие каналы конкурентов.
PewCrypt в основном распространялся через электронные письма и другие взломанные веб-сайты.
11. Ryuk
Семейство программ-вымогателей Ryuk дебютировало в августе 2018 года и оказало огромное влияние. С тех пор Рюк потребовал более 52 значительных выплат выкупа на общую сумму 3,7 миллиона долларов в биткойнах. Примечательно, что эта программа-вымогатель нацелена на более известных клиентов, таких как предприятия и государственные учреждения.
12. SamSam
Похоже, что это вредоносное ПО также используется только для целенаправленных атак на промышленные предприятия, медицинские учреждения и государственные учреждения, например муниципалитеты. Например, SamSam был использован, чтобы парализовать город Атланту, что в конечном итоге стоило жителям около 17 миллионов долларов. Программа-вымогатель SamSam - одна из немногих программ-вымогателей, использующих протокол удаленного рабочего стола, о котором говорилось ранее.
13. Sodinokibi
Эта программа-вымогатель также известна как Revil. Это модель программы-вымогателя как услуги, которая была обнаружена в апреле 2019 года. Sodinokibi использует множество векторов заражения, например, напрямую используя уязвимости системы безопасности и используя фишинговые кампании по электронной почте. Sodinokibi может получить доступ к административным правам на машине, используя уязвимость в Oracle WebLogic.
В августе 2019 года Sodinokibi атаковал несколько местных органов власти в Техасе и расширил сферу своей деятельности, чтобы затронуть службу удаленного резервного копирования данных, которая использовалась несколькими стоматологическими клиниками в США. Sodinoki блокирует файлы пользователей, и для их расшифровки требуется ключ. Не существует бесплатных инструментов для расшифровки файлов, зашифрованных программой-вымогателем Sodinokibi.
14. Bitpaymer
BitPaymer - это вирус-вымогатель. Сразу после заражения он шифрует наиболее часто используемые файлы и добавляет к имени файла расширение "locked"; однако в обновленной версии добавлено расширение "LOCK". BitPaymer также известен как "wp_encrypt". В основном он распространяется через зараженные вложения электронной почты (макросы), через взломанные и вредоносные веб-сайты, а также через торрент-сайты. BitPaymer также известен как DoppelPaymer.
15. Phobos
Программа-вымогатель Phobos была представлена в 2017 году, и с тех пор она была связана с программой-вымогателем Dharma. Phobos распространяется через подключения к удаленному рабочему столу (RDP). Вредоносная программа продолжает шифровать файлы в фоновом режиме даже после появления сообщения о выкупе.
Phobos использует несколько механизмов сохранения, таких как добавление себя в папку "Автозагрузка", самостоятельная установка в% APPDATA% и добавление команд в разделы реестра для автоматического запуска при загрузке системы. Чтобы завоевать доверие своих жертв, разработчики Phobos предлагают бесплатное дешифрование нескольких файлов, чтобы доказать свою способность дешифровать данные. В своем сообщении с требованием выкупа разработчики предостерегают от попыток расшифровать данные с помощью сторонних инструментов, поскольку это может привести к безвозвратной потере данных. Цена выкупа со временем увеличивается, заставляя жертв платить в течение шести часов после нападения.
17. Будущие тенденции программ-вымогателей
В ближайшие годы число атак программ-вымогателей обязательно возрастет. Эта досадная тенденция почти неизбежна, поскольку создатели программ-вымогателей хорошо умеют приспосабливаться к новым технологиям и в свою очередь постоянно разрабатывать сложные программы-вымогатели.
Согласно отчету, есть два основных вопроса, вызывающих озабоченность. Программы-вымогатели развивались в 2019 и 2020 годах и в настоящее время способны атаковать практически любой сектор, от правительств до производственных компаний и медицинских учреждений - список бесконечен. Нет никого, кто застрахован от атак программ-вымогателей; Опять же, разработчики выкупа все чаще используют тенденцию угрожать раскрыть критически важную информацию общественности после успешных взломов.
Это оставляет высокопоставленным жертвам практически единственного выбора, кроме как заплатить выкуп из-за страха утечки конфиденциальной информации.
Вот некоторые из важных тенденций, на которые следует обратить внимание:
18. Что такое программа-вымогатель как услуга (RaaS)?
Программа-вымогатель как услуга - это недавняя разработка в отрасли, в которой наблюдается значительный рост распространения программ-вымогателей. RaaS - это облачная программа-вымогатель, продаваемая дистрибьюторам за плату; затем распространители наблюдают за распространением вируса среди невинных людей. Создатели RaaS часто получают долю от прибыли, полученной от жертв.
Как видите, это очень прибыльная бизнес-модель, поскольку за последние несколько лет в качестве выкупа были выплачены миллионы долларов. Эта модель стала чрезвычайно популярной, поскольку позволяет как опытным, так и неквалифицированным программистам и пользователям компьютеров успешно запускать атаки программ-вымогателей. В прошлом это было невозможно, поскольку для запуска атаки с использованием программ-вымогателей требовался значительный уровень навыков программирования и программирования.
До популярности RaaS киберпреступники часто взламывали системы данных. Затем им пришлось связаться с жертвами и договориться о цене, прежде чем они вернут данные. Этот метод оказался не таким эффективным, как современные программы-вымогатели. Благодаря программам-вымогателям доступны встроенные "покупатели", и жертвы часто должны платить без переговоров или терять свои данные.
19. Почему так сложно найти преступников-вымогателей?
Продвинутые киберпреступники часто бывают осторожными, умеющими замести следы. Это затрудняет их отслеживание. Вот несколько причин, по которым большинству этих преступников сходит с рук дело.
Тщательное отслеживание киберпреступников занимает много времени. Преступники-вымогатели иногда используют украденные устройства и маскируют свои следы с помощью других скомпрометированных систем, оставляя за собой след систем. Опять же, большинство преступников направляют свои атаки через несколько систем в разных странах, которые часто недоступны или труднодоступны. Злоумышленники-вымогатели также часто используют Tor, который является анонимным, и властям становится еще труднее отслеживать их.
20. Как защититься от программ-вымогателей?
Есть несколько проверенных способов помочь пользователям персональных компьютеров; организации минимизировать риск заражения программами-вымогателями.
1. Будьте предельно осторожны при переходе по ссылкам в электронных письмах или на ненадежных сайтах. Если у вас есть время, проверьте адреса веб-сайтов индивидуально перед посещением. Некоторые вредоносные сайты выглядят идентичными хорошо известным веб-сайтам только с небольшими вариациями в их доменных именах.
2. Когда вы получаете электронное письмо с вложениями из неизвестных источников, воздержитесь от нажатия на вложения. Фишинговые письма - распространенный способ распространения программ-вымогателей. Большинство вложений программ-вымогателей представляют собой сжатые файлы, например ZIP-файлы.
3. Всегда обновляйте программное обеспечение машины до последней версии. Обновления программного обеспечения необходимы по соображениям безопасности. Регулярное обновление операционной системы вашего компьютера снижает вероятность атак программ-вымогателей. Это связано с тем, что разработчики операционных систем также постоянно устраняют лазейки в безопасности в своем программном обеспечении, чтобы минимизировать вероятность атаки.
4. Будьте в курсе последних тенденций в области кибербезопасности. Информация - это сила, и она помогает избежать распространенных ловушек, которые злоумышленники расставляют для ничего не подозревающих пользователей Интернета.
5. Подтвердите и проверьте свои электронные письма и отправителей. Фишинговые письма иногда бывают очень умными, и если вы не разбираетесь в эом, вы можете попасть в их ловушку. Электронные письма часто хорошо составлены и отправляются целевым получателям.
6. Используйте антивирусное программное обеспечение для защиты вашего компьютера от возможных атак. Такое программное обеспечение, среди прочего, включает фильтры электронной почты, антивирусное программное обеспечение и брандмауэры.
21. Действия по реагированию на атаку программы-вымогателя
После заражения вы столкнетесь с другой проблемой, и вам нужно будет выполнить несколько шагов. В типичном случае атаки программ-вымогателей предполагается, что жертвы отключат зараженную машину от любой доступной сетевой системы. Жертвам рекомендуется отключиться от Wi-Fi, Bluetooth и любого другого сетевого подключения, чтобы избежать распространения программы-вымогателя.
При отключении по возможности следует выключить зараженную систему. Все остальные компьютеры и устройства, которые используют сеть с зараженным устройством, также должны быть выключены. Эти шаги могут оказаться полезными для специалистов по безопасности при попытках восстановления данных. Иногда использование наполовину зашифрованных компьютеров может дать экспертам представление о том, как проводить расшифровку или восстановление данных.
Защитите свои файлы резервных копий. Когда вы столкнулись с атакой и у вас есть резервные данные, убедитесь, что данные в безопасности, отключив их от машины. Предпочтительно вторичные хранилища подходят для резервного копирования данных. По возможности используйте другое устройство для сканирования резервной копии на наличие вредоносных программ.
22. Удаление программ-вымогателей
Существует три типа программ-вымогателей: программы-вымогатели, программы блокировки экрана и вредоносные программы для шифрования данных. Степень серьезности этой программы-вымогателя различна: программы-вымогатели являются наименее опасными и легко удаляются, за ними следуют программы блокировки экрана и, наконец, невероятно сложные программы-вымогатели для шифрования данных.
Как удалить программу-вымогатель?
Сложность удаления вредоносного ПО с вашего компьютера зависит от типа вымогателя, заразившего ваш компьютер. Удалить пугающие программы и некоторые средства блокировки экрана очень просто. Если на вашем компьютере установлена антивирусная программа, простое сканирование, скорее всего, обнаружит эту программу-вымогатель и предоставит вам возможность удалить ее.
Если у вас есть резервная копия, вы можете удалить программу-вымогатель, отформатировав зараженный диск, проверив существующие программы-вымогатели и, наконец, восстановив данные из источника резервной копии.
В некоторых случаях инструменты дешифрования могут помочь вам удалить вредоносное ПО и восстановить файлы. Хотя это может быть авантюра, иногда это ценная процедура.
При заражении программой-вымогателем вы можете поискать возможное программное обеспечение для дешифрования в Интернете. Большинство вредоносных программ привлекают внимание из-за своей популярности и частоты атак. В результате противодействующие организации и отдельные лица разрабатывают инструменты дешифрования, которые помогают жертвам восстанавливать свои зашифрованные данные.
В случае заражения вы можете использовать NoMoreRansomware чтобы определить тип вредоносного ПО, заразившего ваш компьютер.
Когда они распознают программу-вымогатель, они предложат вам решения или необходимые шаги по восстановлению ваших данных, когда это возможно.
23. Защита, предотвращение и удаление программ-вымогателей
Удаление программ-вымогателей различается по сложности и сильно зависит от типа вымогателя. Наиболее распространенные подходы к удалению программ-вымогателей включают:
1. Очистка и восстановление
Это лучший вариант для пользователей персональных компьютеров и малого бизнеса. Если у вас есть внешняя резервная копия, рекомендуется полностью очистить ваш компьютер - путем форматирования, чтобы удалить все следы программ-вымогателей, а затем восстановить данные из чистой резервной копии.
2. Расшифровывание данных
Расшифровка данных не служит для их удаления. Однако это помогает в восстановлении данных путем отмены процедуры шифрования. Иногда это сложная процедура, которую обычные пользователи компьютеров не могут выполнить. Опять же, не все программы-вымогатели шифруют данные таким образом, чтобы их можно было восстановить. Некоторые процедуры шифрования слишком сложны для расшифровки или требуют помощи атакуюшего в расшифровке.
3. Оплата выкупа
Часто это самый страшный и последний вариант. Почти все, в том числе и ФБР, предостерегают от выплаты вредоносных программ с целью выкупа. Однако, когда дело доходит до одного бизнеса или отдельного человека, часто приходится принимать решение. Выплата выкупа не рекомендуется, и часто это способствует последующим атакам, однако иногда жертвы не могут позволить себе потерять свои данные и предпочитают платить.
Вот несколько рекомендуемых мер для защиты и предотвращения заражения.
Разверните защиту для шлюза
Чтобы адекватно защитить себя от потенциальных атак программ-вымогателей, вам следует развернуть механизмы защиты шлюза, такие как системы обнаружения вторжений и системы предотвращения вторжений, фильтрацию спама и защиту электронной почты, а также межсетевой экран и межсетевой экран веб-приложений (WAF).
Используйте антивирусное программное обеспечение нового поколения
Использование универсального или стандартного антивирусного программного обеспечения - требование для всех, кто заботится о своей кибербезопасности. Однако эти решения часто не улавливают изощренные вредоносные программы-вымогатели, которые предназначены для скрытной работы. Рекомендуется использовать антивирус нового поколения, поскольку он может обнаруживать вредоносные программы, не соответствующие известным сигнатурам.
Обучение сотрудников и антифишинговые тесты
Информация - мощное оружие против атак программ-вымогателей. Обучение сотрудников и обычных пользователей компьютеров воздействию фишинговых писем на безопасность может иметь большое значение в борьбе с программами-вымогателями.
24. Инструменты и решения для защиты от программ-вымогателей
Как для потребителей, так и для предприятий существует множество различных решений для защиты от программ-вымогателей. Базовым, но необходимым уровнем защиты потребителей является антивирусное программное обеспечение. Важно, чтобы на вашем компьютере был установлен хороший антивирус, чтобы сканировать любые файлы, которые вы загружаете, чтобы убедиться, что они в безопасности. Одним из лучших антивирусных решений на рынке сегодня является Comodo Antivirus (https://antivirus.comodo.com/), который доступен в "бесплатной" и "полной" версиях, обе из которых имеют уникальную функцию "сдерживания", которая изолирует любой неизвестный файл, загружаемый пользователем в изолированной виртуальной среде, поэтому, если файл окажется вредоносным, он не сможет нанести вред вашей системе.
Точно так же для предприятий решение для защиты конечных точек должно быть в состоянии остановить неизвестные программы-вымогатели от получения доступа к вашей системе. Таким образом, решение Comodo Advanced Endpoint Protection, в котором используется та же технология "сдерживания", является отличным решением для защиты предприятий и малых и средних предприятий от программ-вымогателей.
25. Новости и краткий обзор программ-вымогателей
Как упоминалось ранее, количество атак с использованием программ-вымогателей значительно увеличилось за последние несколько лет, и ожидается, что с 2020 по 2022 год их число резко возрастет. Началась популярная тенденция, указывающая на то, что атаки программ-вымогателей становятся все более целенаправленными. Основными целями остаются местные органы власти, образовательные учреждения и медицинские учреждения. Новые события также показывают, что нефтяная и финансовая отрасли стали более целенаправленными в последние годы.
Кроме того, игра с программами-вымогателями меняется и продолжит меняться. Более продвинутые злоумышленники, способные создавать сложные и эффективные программы-вымогатели, выбирают модель RaaS для распространения своего вредоносного ПО. Новички и киберпреступники средней квалификации получают прибыль от распространения этого вредоносного ПО среди пользователей по всему Интернету. Популярность программ-вымогателей как услуги на подпольных форумах растет. Они продаются за дешевую абонентскую плату, чтобы увеличить их охват.
Еще несколько последних новостей о программах-вымогателях:
В 2019 году программа-вымогатель Sodinokibi совершала громкие атаки на организации, в частности заразив международный аэропорт Олбани, а также компанию Travelex Foreign Exchange. Жертвы Sodinokibi угрожают раскрыть данные. Это часто пугает компании и жертв. Одно дело потерять данные, а другое - сделать их общедоступными.
Недавно городское управление освещения города Рединг столкнулось с атакой программы-вымогателя. Однако компания Electricity Utility предпочла не раскрывать дополнительную информацию о нападении. RMLD - относительно старое учреждение, которое обслуживает более 29 000 жителей в Рединге, штат Массачусетс. В своем отчете компания утверждала, что их данные не были скомпрометированы, и заверила клиентов в нормальной работе.
Программа-вымогатель Ryuk и Sodinokibi внесли большой вклад в общую сумму выкупа, требуемого от жертв атак программ-вымогателей. Covaware сообщил, что в первом квартале 2020 года средний размер запрашиваемого выкупа составил 111 605 долларов. Это значение увеличилось на треть по сравнению с последним зарегистрированным значением в последнем квартале 2019 года. Covaware утверждает, что этот заметный рост является результатом трех основных семейств программ-вымогателей: Ryuk, Sodinokibi и Phobos. В том же отчете Phobos была указана как третья по популярности программа-вымогатель в первом квартале 2020 года, занимая 7,8% рынка вымогателей. Phobos в первую очередь атакует малые и средние предприятия с помощью уязвимого протокола удаленного рабочего стола (RDP). Средний выкуп за Фобос вырос до 15 761 долларов с 12 089 долларов
Ryuk занял второе место с 19,6% доли рынка. Примечательно, что у Ryuk значительно увеличились средние выплаты выкупа: с 779 856 долларов в последнем квартале 2019 года до 1 339 878 долларов в первом квартале этого года. Интересно, что Ryuk зафиксировал рост, хотя и уменьшился размер организаций, на которые он ориентировался. Covaware назвал Sodinokibi самой распространенной программой-вымогателем на сегодняшний день. На Sodinokibi приходилось 26,7% рынка.
Новые тенденции в индустрии программ-вымогателей начали влиять на другие отрасли. Сообщается, что претензии по киберстрахованию были основной причиной претензий для страховщиков как в 2018, так и в 2019 году. Это показывает рост более чем на 100%.
По состоянию на 4 мая 2020 года журнал CPO сообщил, что Cognizant признал, что был поражен программой-вымогателем Maze. Cognizant упомянул, что они работают с правоохранительными органами по этому поводу. Cognizant - которая входит в список Fortune 500, штат Нью-Джерси, предлагает своим клиентам услуги, связанные с ИТ. Эта компания зафиксировала годовую прибыль в размере 16,8 млрд долларов в 2019 году и вела бизнес более чем в 80 странах. Количество программ-вымогателей Maze, похоже, также растет, и Cognizant - не единственная их жертва. Ранее было известно, что программы-вымогатели Maze поражают более крупные цели, в том числе, как утверждает администратор США, Jackson Plaza, Madison Insurance Group, Chubb Insurance и Hammersmith Medicines Research.
Злоумышленники-вымогатели вносят значительные изменения в свой бизнес-подход. Большинство из них осознали, что шифрования данных недостаточно для некоторых целей. Это связано с тем, что сегодня большинство предприятий приняли меры предосторожности, такие как резервное копирование своих данных. Однако большинство этих предприятий боятся раскрывать свои данные общественности по общим причинам. Раскрытие платежных реквизитов клиентов, информации о кредитных картах, конфиденциальных бизнес-данных и многих других форм конфиденциальных данных не подходит для любого бизнеса. По этой причине атаки программ-вымогателей начали использовать эту уязвимость.
В заключение, программы-вымогатели представляют собой неминуемую угрозу в 2020 году, с которой столкнутся все организации. Хотя рядовые пользователи компьютеров могут не подвергаться серьезным угрозам, как раньше, рост числа сложных программ-вымогателей по-прежнему вызывает беспокойство. В 2018 году программы-вымогатели стоили компаниям более 8 миллиардов долларов, а в 2019 году эта цифра выросла.
Вам следует принять участие в борьбе с программами-вымогателями, следуя рекомендованным выше превентивным мерам, таким как тщательная проверка электронных писем и проверка отправителей электронной почты, предотвращение вложений в электронные письма из неизвестных источников, использование фильтров и сканеров электронной почты, регулярное обновление программного обеспечения, такого как операционные системы.
Источник: https://enterprise.comodo.com/ransomware/
Автор перевода: yashechka
Переведено специально для https://xss.pro
Жертвам атаки программ-вымогателей предоставляется пошаговое руководство по получению ключа дешифрования. В последние годы злоумышленники перешли на платежи, совершаемые с помощью криптовалют, чтобы исключить возможность отслеживания. Выплаты выкупа варьируются от нескольких сотен долларов до миллионов долларов. В 2017 году наибольший спрос на программы-вымогатели был предъявлен корейской веб-хостинговой компанией (Internet Nayana). В итоге компания рассталась с выплатой выкупа в размере 1,14 миллиона долларов.
1. Что такое программа-вымогатель?
Программе-вымогателям уже давно уделяется серьезное внимание. Вы, вероятно, встречали всплывающее окно антивируса, которое предупреждает вас о заражении программой-вымогателем, или слышали об этом в офисе. Внимание, уделяемое программам-вымогателям, небезосновательно, поскольку они представляют собой законную угрозу нормальным процессам работы компаний. Цель этой статьи - предоставить вам подробную информацию обо всех программах-вымогателях.
Эта статья состоит из частей; не стесняйтесь переходить к тем разделам, которые отвечают на ваш вопрос.
2.Как работает программа-вымогатель
Существует несколько типов программ-вымогателей. У большинства из них одна и та же цель; то есть взять под административный контроль системы и файлы и потребовать выкуп. Однако есть существенная разница в том, как проводятся эти атаки с использованием программ-вымогателей. Инженерная тактика для каждой атаки часто уникальна, и это предназначено для того, чтобы жертвы и другие разработчики безопасности постоянно гадали.
Давайте обсудим некоторые из используемых методов, чтобы лучше понять, как работают программы-вымогатели. Этот раздел подходит как для технических, так и для нетехнических читателей. Мы обсудим, как работают некоторые из наиболее распространенных программ-вымогателей, такие как Apocalypse, Jigsaw, CTB_Locker, Cerber, Unlock92, CyptoWall, Locky, Petya, TeslaCrypt и TorrentLocker.
1. Apocalypse
Апокалипсис был обнаружен еще в 2016 году, и эксперты по безопасности быстро отреагировали на него, прежде чем он получил широкое распространение. Apocalypse уникален тем, что он использовал полностью настраиваемый шаблон или алгоритм шифрования вместо использования стандартных алгоритмов шифрования.
Процесс шифрования апокалипсиса разработан специально, а ключ шифрования сохраняется в регистре. После успешного шифрования к имени файла добавляется "расширение точки". Точно так же процедура дешифрования файлов основана на алгоритме из класса алгоритмов с симметричным ключом, что позволяет относительно легко расшифровать зараженные файлы.
2. Jigsaw
Jjigsaw был выпущен в 2016 году. Эта программа-вымогатель работает в .NET Framework. ".fun" добавляется к файлам, зашифрованным с помощью Jigsaw. Однако эксперты по безопасности быстро сломали его. Возможно, программа-вымогатель имеет самый простой подход из всех в этом списке. Он в первую очередь использует алгоритм AES в процедуре шифрования.
Процесс дешифрования также очевиден. Все, что вам нужно сделать, это выполнить дешифрование зашифрованных файлов с помощью алгоритма AES с использованием точного ключа и iv.
3. CTB Locker
Это относительно старый, но в 2014 году он получил значительное распространение. Он использует более совершенный алгоритм шифрования, чем RSA, а зашифрованные имена файлов имеют расширение из 7 символов, которое генерируется случайным образом. Подход CTB Locker к шифрованию использует алгоритмы ECDH и AES. Алгоритм ECDH использует протокол анонимного согласования ключей, и его не следует принимать за алгоритм шифрования. Процедура шифрования CTB_Locker также использует три уровня кодирования с использованием ключей ECDH, которые генерируются случайным образом. Он использует ключ для кодирования случайно сгенерированного ключа AES и, наконец, шифрует целевые файлы с помощью алгоритма шифрования AES.
Процедура дешифрования файлов, зашифрованных этим вымогателем, проста и понятна. Поскольку невозможно получить закрытый ключ ECDH, соответствующий доступному общедоступному ключу ECDH, мы оставили только два процедурных шага. Вы получаете частный и случайно сгенерированный ключ ECDH от C&C сервера и используете его для декодирования ключа AES, а затем используете ключ AES для расшифровки зашифрованных файлов жертвы.
4. Cerber
Cerber также был выпущен в 2016 году, а вторая его версия была обнаружена в 2019 году. Первоначальный Cerber шифрует файлы жертвы и добавляет к именам файлов расширение ".Cerber". Он использует алгоритмы шифрования RSA и RC4. Cerber работает довольно изощренно; он использует три разных уровня шифрования, жонглирование алгоритмами шифрования RC4 и RSA вместе со случайно сгенерированными ключами.
Однако примечательной особенностью работы Cerber является то, что он влияет только на части файла, а не на весь файл. Расшифровать файлы, зараженные Cerber, легко, если у вас есть доступ к ключам RSA, которые были сгенерированы случайным образом. Их можно получить с C&C сервера. Когда у вас есть ключ, дешифрование выполняется путем простого обращения процесса шифрования. Это делается путем дешифрования случайно сгенерированного ключа RSA, а затем дешифрования случайно сгенерированного ключа RC4. В конце концов, используйте RC4 для расшифровки файла.
5. Unlock92
Первоначально эта программа-вымогатель была выпущена в июне 2016 года, а последующие версии были выпущены до настоящего времени. Он работает в среде .net и оставляет для имени файла расширение ".CRRRT или .CCCRRRPPP" в зависимости от используемой версии Unlock92.
В процессе шифрования он дважды использует алгоритм шифрования RSA. Каждый из его образцов имеет предварительно созданный ключ RSA, который обычно кодируется base64. Base64 используется для шифрования ключей RSA, которые генерируются случайным образом, которые затем используются для шифрования целевых файлов.
Unlock92 не шифрует файлы целиком; вместо этого он шифрует только начальные 0x300 байтов файла.
Расшифровка файлов включает восстановление закрытого ключа RSA с C&C сервера и использование алгоритма RSA для дешифрования зашифрованных файлов.
6. CryptoWall
CryptoWall был впервые обнаружен в 2014 году, и на сегодняшний день он выпустил четыре разные версии. CryptoWall использует как алгоритм шифрования AES, так и алгоритм шифрования RSA. Этот тип программ-вымогателей в первую очередь нацелен на операционные системы на базе Windows. Это связано с тем, что реализация задействованных алгоритмов шифрования напрямую зависит от API, называемого CryptoAPI, который обычно является частью операционных систем на базе Windows.
При расшифровке CryptoWall вам необходимо перейти на C&C сервер, чтобы получить закрытый ключ RSA, а затем расшифровать ключ AES, который был сгенерирован случайным образом. Используя этот ключ AES, вы расшифровываете личные файлы.
7. Locky
Locky использует в процессе шифрования алгоритмы AES и RSA, хотя разные версии предлагают совершенно разные процедуры реализации алгоритмов. В одной из версий программы-вымогателя сгенерированный ключ AES изначально зашифрован алгоритмом RSA, а используемый открытый ключ RSA получается с C&C сервера. Сгенерированный ключ AES затем используется для шифрования файлов.
Расшифровка файлов, зашифрованных с помощью Locky, напоминает расшифровку файлов, зашифрованных CryptoWall. Используя закрытый ключ RSA для дешифрования ключа AES и, наконец, дешифрутся зашифрованные данные с помощью того же ключа AES.
8. Petya
Petya обнаружили в марте 2016 года. Он попадает в этот список как ещё один уникальный вымогатель. Он работает совсем не так, как другие программы-вымогатели из этого списка. Petya стремится зашифровать таблицу основных файлов NTFS, а не личные файлы, как можно было бы ожидать. Обычно это мешает традиционной инициализации ОС Windows, переопределив код начальной загрузки в главной загрузочной записи.
В своей процедуре шифрования он использует как алгоритм ECDH, так и алгоритм SALSA20. Petya использует алгоритм ECDH для кодирования случайно сгенерированного ключа SALSA20. Важно отметить, что SALSA20 работает в 16-битной среде и запускается после того, как алгоритм ECDH кодирует случайно сгенерированный ключ SALSA.
В Petya процесс расшифровки также прост. Получив только ключ для C&C-сервера, вы восстанавливаете MBR и MTF соответственно, расшифровывая их с помощью SALSA20.
9. TeslaCrypt
TeslaCrypt появился еще в 2015 году и продолжает выпускать больше версий. В каждом выпуске он также использует широкий спектр алгоритмов. В своей четвертой версии вымогатель использовал алгоритмы ECDH и AES в процессе шифрования. Он очень похож на CTB_Locker, о котором говорилось ранее.
Процедура расшифровки TeslaCrypt также соответствует CTB_Locker. Вы получаете частный и случайно сгенерированный ключ ECDH от C&C сервера и используете его для декодирования ключа AES, а затем используете ключ AES для расшифровки зашифрованных файлов жертвы.
10. TorrentLocker
TorrentLocker был выпущен в 2014 году и продолжает терроризировать рынок выпусками новых версий. Как правило, эта программа-вымогатель добавляет к имени зашифрованного файла расширение ".encrypted". TorrentLocker использует комбинацию алгоритмов шифрования RSA и AES в своей процедуре шифрования. Большинство программ-вымогателей используют шаблон RSA-AES.
Существенная разница с TorrentLocker заключается в том, что здесь ключ AES генерируется алгоритмом Yarrow. Сид алгоритма Yarrow дает возвращаемое значение разнообразной функции и, следовательно, шифрует целевые файлы размером 16 на 16 байтов с использованием сгенерированного алгоритма AES.
При расшифровке вы должны получить закрытый ключ RSA для сервера и использовать AES для расшифровки зашифрованных файлов.
3. Заражение и поведение программ-вымогателей
Заражение программ-вымогателей происходит несколькими способами. При стандартной атаке программ-вымогателей заражение обычно является первым шагом. Полный цикл атаки программ-вымогателей включает заражение, безопасный обмен ключами, шифрование, вымогательство и, наконец, расшифровку. Этот хронологический порядок описывает все поведение программы-вымогателя.
Стадия заражения влечет за собой множество других переменных.Например, как файлы вымогателей попадают в вашу систему. Существует четыре распространенных способа распространения программ-вымогателей среди разных пользователей. Хорошее понимание этих методов часто помогает интернет-пользователям избегать ловушек вымогателей и оставаться в безопасности.
Вот некоторые из популярных путей заражения.
1. Фишинговые письма
Электронная почта стала наиболее распространенным методом распространения программ-вымогателей. Фишинговые сообщения электронной почты предназначены для того, чтобы побудить целевых пользователей перейти по ссылке или щелкнуть вложение, содержащее вредоносный файл. Эти вложения могут представлять собой ZIP-файл, документ Word, файл PDF или даже файл JavaScript. Атаки программ-вымогателей предназначены для того, чтобы обманом заставить жертв "включить макросы", которые затем позволяют им загружать вредоносные файлы ".exe", выполняя сценарии в фоновом режиме.
Исполняемые файлы содержат методы и функции, которые шифруют определенные данные или части системы. Программы-вымогатели стали чрезвычайно продвинутыми и могут распространяться на другие системы через сеть. Это делает невероятно важным, чтобы организации были начеку, поскольку одно заражение может вывести из строя компьютерную сеть всей организации. Такие программы-вымогатели, как Locky и Cerber, широко известны тем, что используют фишинг электронной почты как способ эксплуатации целевых жертв.
2. Автозагрузка
Это вредоносные загрузки, которые происходят за кулисами - без ведома жертвы при посещении взломанного веб-сайта. Этот путь атаки опасен, поскольку он не требует от пользователей особых действий, что чрезвычайно затрудняет защиту от этого вида заражения. Затем злоумышленники-вымогатели используют уязвимости веб-сайтов, встраивая вредоносное ПО на целевые веб-сайты. Иногда они предоставляют ссылки с автоматическим перенаправлением на уязвимый сайт, где затем могут использовать эксплойт-киты, чтобы предоставить им доступ к жертвам.
Атаки на загрузку Drive-By происходят не только на небольших малоизвестных веб-сайтах; они также встречаются на популярных глобальных сайтах, таких как The New York Times, NFL и BBC. Все они стали жертвами кампании вымогателей, которая велась через захваченную рекламу.
CryptoWall - отличный пример вредоносной программы-вымогателя, использующей этот метод заражения.
3. USB и другие съемные носители
Популярность программ-вымогателей продолжает расти, и злоумышленники используют все их преимущества. USB-устройства и другие съемные носители - еще один распространенный способ, которым эксперты-вымогатели заражают системы и машины. Знаменитая атака с целью выкупа была распространена среди австралийцев в 2016 году с использованием флэш-дисков, замаскированных под приложение Netflix при продвижении. Внешние диски заражали компьютеры программами-вымогателями. Программа-вымогатель может реплицироваться и повлиять на другие машины, подключенные к съемному диску.
4. RDP
Злоумышленники-вымогатели усовершенствовали искусство использования RDP для нацеливания на компьютеры жертв. Обычно это включает управление другими машинами в сети удаленно, с другого компьютера администратора. Первоначально протокол RDP был разработан, чтобы позволить ИТ-специалистам и администраторам удаленно настраивать корпоративные компьютеры.
Эта функция предлагает злоумышленникам возможность эксплуатировать возможность для злонамеренных действий. Используя специализированные поисковые системы в Интернете, такие как Shodan.io, хакеры ищут и нацеливаются на эти компьютеры, работающие с открытым портом 3389, и запускают атаки. Чаще всего злоумышленники получают доступ к административным правам с помощью метода взлома паролей методом грубой силы. Это делается с помощью специального программного обеспечения и инструментов для взлома паролей, таких как John the Ripper, Cain and Abel, Medusa и другие.
Получив доступ к административным функциям, они развертывают программы-вымогатели и отключают функции безопасности, вынуждая организации платить за повторный доступ к своим данным. Другие программы-вымогатели, которые использовали этот механизм раньше, - это CrySis и LowLevel04.
4. Кто является целью программ-вымогателей?
На начальных этапах внедрения программы-вымогатели в основном предназначались для отдельных компьютеров. Злоумышленники часто запускали программы-вымогатели, намереваясь вывести из строя определенные компьютеры, а затем побудить их произвести оплату в обмен на свои данные. Однако со временем эта тенденция изменилась, сосредоточившись на крупных корпорациях и малом и среднем бизнесе. Разработчики программ-вымогателей осознали огромные возможности, которые связаны с нацеливанием на предприятия и компании, а не на отдельных лиц.
Ориентация на компании дает им возможность взимать больше, поскольку компании полагаются на свои системы для ведения деятельности. Ограничение их систем серьезно подрывает эти организации, вынуждая их платить огромные суммы выкупа злоумышленникам, чтобы они возобновили свою деятельность.
Согласно исследованию, около 13% обнаружений предприятий во всем мире были вымогателями. Точно так же около 35% всех малых и средних предприятий столкнулись с атакой программ-вымогателей. В том же году 22 процента организаций были вынуждены прекратить бизнес из-за атак. Колоссальный 81 процент всех предприятий испытали одну или несколько кибератак. Статистические данные бесконечны, и все они показывают, что корпорации, малые и средние предприятия более уязвимы для атак программ-вымогателей, чем средний пользователь Интернета.
С географической точки зрения атаки программ-вымогателей наиболее распространены в странах Востока и Запада. Организации в таких странах, как Саудовская Аравия, Турция, Китай, Испания, Великобритания, США и Мексика, зарегистрировали наибольшее количество атак с целью выкупа. Удивительно, но в Южной Африке около 60% организаций также сообщили о какой-либо форме атаки с использованием программ-вымогателей.
5. Факты о программах-вымогателях
Киберпреступность продолжает развиваться, меняя стратегии заражения, процедуры шифрования, а также целевые области шифрования. Вот некоторые факты о программах-вымогателях за предыдущие годы.
Давайте посмотрим на некоторые выдающиеся атаки программ-вымогателей, которые потребовали успешных или неудачных выплат в 2019 году.
1. В июне 2019 года Общественный центр здоровья Park DuValle столкнулся с атакой программы-вымогателя, в результате которой были зашифрованы записи около 20000 пациентов. Это нападение нанесло вред медицинскому центру два месяца подряд, заблокировав их доступ к их системе. Учреждение должно было работать с ручной бумажной и файловой системой в течение семи недель без возможности назначать расписания и назначать встречи. В итоге медицинское учреждение выплатило выкуп в размере 70 000 долларов.
2. Городской город в Онтарио, Канада, столкнулся с атакой программы-вымогателя, развернув вредоносное ПО, которое зашифровало их серверы и полностью заблокировало их доступ к данным. Городу пришлось заплатить выкуп в размере 10 BTC, что составило около 71000 долларов.
3. Аналогичным образом в июне 2019 года графство Ла-Порт в Индиане было атаковано программой-вымогателем. К счастью, ИТ-специалисты осознали распространение вредоносного ПО и сумели ограничить его распространение в небольшой части сети. ФБР вместе с фирмой судебно-медицинской экспертизы попыталось восстановить данные, вынудив округ выплатить выкуп в размере 130 000 долларов. Страхование покрыло из этой суммы около 100 000 долларов.
4. Округ Джексон в Джорджии занимает четвертое место. Эта атака была совершена в марте 2019 года, когда в округе Джексон были остановлены все свои службы. Программа-вымогатель пощадила только свою полицейскую службу экстренной помощи (911) и сайт округа. Позже было обнаружено, что эта программа-вымогатель является штаммом вымогателя Ryuk, который в 2019 году стал кошмаром для многих школ, а также затронул более 500 школ. Округу пришлось заплатить выкуп в размере 400000 долларов, чтобы восстановить доступ к своей системе.
5. Во Флориде Лейк-Сити также пострадал от атаки вымогателя в июне 2019 года. Эта атака распространилась так быстро, что парализовало большинство их систем. Это вызвало операционные проблемы в городе. Эта атака ограничила доступ к повесткам дня городского совета, резолюциям, постановлениям, протоколам собраний и так далее. Через несколько недель Лейк-Сити через свою страховку заплатил выкуп в размере 500000 долларов за восстановление некоторых своих данных. Не все данные были восстановлены из-за задержек с согласованием. Это был еще один вымогатель Ryuk.
6. Завершаем список Ривьера-Бич-Сити, снова во Флориде. Эта атака произошла в мае 2019 года и потребовала самой высокой выплаты выкупа в 2019 году. По имеющимся данным, сотрудник Сити попал в ловушку фишингового письма, и злоумышленники сразу же получили доступ ко всей системе города. Это затронуло процедуры оплаты, связь и даже коммунальные насосы. Власти города согласились заплатить 600000 долларов по запросу злоумышленника, используя около 300000 долларов из своего страхового полиса. К сожалению, эта атака произошла вскоре после того, как Riviera Beach City инвестировала около 1 миллиона долларов в замену своего компьютерного оборудования.
Программа-вымогатель заражает важные файлы
Как упоминалось ранее, индустрия программ-вымогателей постоянно развивается и внедряет новые разработанные барьеры безопасности. В этом разделе мы немного обсудим важные файлы, то, как программы-вымогатели нацеливаются на них и почему они являются приоритетной целью для атак программ-вымогателей.
Как упоминалось ранее, индустрия программ-вымогателей постоянно развивается и внедряет новые разработанные барьеры безопасности. В этом разделе мы немного обсудим важные файлы, то, как программы-вымогатели нацеливаются на них и почему они являются приоритетной целью для атак программ-вымогателей.
Критический файл - это важный файл в системе, который необходим для бесперебойной работы операционной системы. Программы-вымогатели, влияющие на критически важные файлы, часто зависят от пропатченных вредоносных программ для успешного заражения систем.
Пропатченный вредоносное ПО - это законный файл, - который был изменен вредоносным кодом. Злоумышленники-вымогатели используют эти файлы для заражения систем, поскольку они довольно часто используются во время работы системы. Это объясняет, почему кибер-злоумышленники нацелены на такие файлы: чем больше раз запускается файл, тем выше скорость выполнения встроенного вредоносного кода.
Например, популярная программа-вымогатель атакует и заражает user32.DLL - хорошо известный критический файл. Этот метод чрезвычайно затрудняет обнаружение вредоносных действий средствами безопасности. Запуск атак на критически важные файлы имеет несколько преимуществ, например, он действует как метод уклонения от средств защиты, которые отслеживают поведение системы.
Очистка важных файлов требует особой осторожности; по этой причине инструменты для очистки часто не касаются их, что делает его относительно безопасным местом проживания для вредоносных кодов.
Затем зараженный файл user32.DLL действует от своего имени и в конечном итоге загружает в систему саму программу-вымогатель. На этом этапе программа-вымогатель блокирует экран и отображает сообщение о выкупе.
История программ-вымогателей
Программы-вымогатели смогли стать глобальной угрозой только в середине 2000-х годов; первые атаки такого рода произошли намного раньше. Первая зарегистрированная атака с использованием программ-вымогателей произошла в 1989 году и была нацелена на медицинское учреждение. В 1989 году исследователь СПИДа д-р. Джозеф Попп заразил дискеты вредоносным ПО, а затем распространил около 20000 копий дискет другим международным исследователям в 90 странах.
Согласно отчету, Dr.Попп утверждал, что диски содержат полезную компьютерную программу, которая может оценивать риски заражения СПИДом на основе анкеты. Однако эта программа-вымогатель заразила компьютеры, а затем потребовала выкуп. Вредоносная программа оставалась бездействующей на зараженных компьютерах в течение нескольких дней и активировалась только после того, как компьютер был перезагружен 90 раз. После этого порогового значения программа-вымогатель запустила себя и отобразила на экране сообщение о выкупе с требованием оплаты за восстановление доступа. Согласно отчету, запрашиваемый выкуп составлял от 189 до 378 долларов.
Эта атака позже была названа вирусом СПИДа цифрового мира или PC Cyborg. Однако программа-вымогатель была плохо спроектирована и содержала широкий спектр уязвимостей. Но это заложило основу для последующих программ-вымогателей, которые стали более изощренными в своем подходе. Последующие создатели программ-вымогателей обычно писали свои собственные коды и алгоритмы шифрования.
После этого возникло несколько других атак программ-вымогателей; однако следующая заметная угроза была засвидетельствована в 2014 году, когда GpCode использовал относительно слабые коды RSA для шифрования личных файлов с целью выкупа. Три года спустя, в 2017 году, появилась программа-вымогатель WinLock, которая немного изменила правила игры. WinLock отошел от обычной цели вымогателей, решив заблокировать доступ пользователей к своей системе, отобразив на экране изображения для взрослых и запросив выкуп через SMS.
Спустя годы, после кошмара WinLock, в 2012 году пришло время Реветона. Этот тип программ-вымогателей также использует уникальный подход.
Она захватила компьютеры жертв и выдавала себя за полицейские и другие правоохранительные органы. Она показала сайты законных агентств, а затем утверждала , что взломанная жертва совершила преступление. Затем она попросили выкуп, который, как сообщается, варьировался от 100 до 3000 долларов.
Этот метод оказался успешным благодаря задействованной социальной инженерии; большинство жертв предпочитали платить выкуп, а не связываться с ужасной преступной деятельностью, как детская порнография, хотя они были невиновны.
С 2013 года начали появляться другие виды программ-вымогателей. CrytpoLocker представил другую версию, которая была гораздо более сложной с использованием военного шифрования. Он использовал другой подход, который включал использование ключа дешифрования, находящегося на сервере. Вы должны были использовать этот ключ для расшифровки зашифрованных файлов. В результате этого практического подхода несколько других программ-вымогателей приняли ту же тенденцию. Petya и WannaCry использовали ту же технику. Примерно в это же время произошло множество атак, направленных как на частные, так и на государственные объекты.
Ryuk появился на месте событий в 2018 году и терроризировал несколько правительственных и новостных изданий в США. Ryuk необычайно эффективен и искушен. Ryuk использовался для заражения некоторых городских систем Флориды, среди других целей. А в 2019 году был обнаружен вымогатель, известный как Sodinokibi, который, как сообщается, также совершал атаки.
Со временем разработчики начали переходить на заранее разработанные алгоритмы шифрования, которые предлагаются как готовые библиотеки. Эти библиотеки тщательно разработаны и содержат очень сложные алгоритмы, которые часто трудно взломать. Кроме того, атаки программ-вымогателей превратились в высокоуровневые методы заражения. Большинству программ-вымогателей не требуются физические устройства, такие как гибкие диски, как в случае с Джозефом Поппом. Современные атаки программ-вымогателей запускаются с помощью передовых методов, таких как целевые фишинговые кампании, в отличие от традиционных фишинговых писем, с которыми удалось бороться большинству спам-фильтров.
7. Вы платите выкуп?
На данный момент ясно, что программы-вымогатели - это глобальная проблема, которая может атаковать и нанести вред практически любой цифровой сущности. По этой причине разумно понять, целесообразно ли платить выкуп в случае нападения.
Это тема, которая вызвала немало споров. При нынешнем уровне сложности программ-вымогателей в цифровом мире взломать эти шифрование стало серьезной проблемой для экспертов по безопасности и даже ФБР, в результате чего жертвы атак оказываются на перепутье. Часто, когда они сталкиваются с атакой, особенно в отношении корпораций и государственных учреждений, им предъявляется ультиматум относительно того, когда следует произвести платеж.
В это время жертвы думают о доступных им вариантах расшифровки файлов, не поддаваясь требованиям хакеров. В большинстве случаев неуплата выкупа оказывается не лучшим вариантом для жертв, которые не готовы потерять свои данные. Исследования показывают, что около 70% малых и средних предприятий, подвергшихся атакам программ-вымогателей, в конечном итоге заплатили.
Если предположить, что на вас уже напали, решение, которое вы примете, полностью зависит от того, что вы можете потерять. В случае персонального компьютера вы можете рассмотреть возможность не платить запрошенный выкуп и выбрать замену своей машины, если на вашем устройстве нет конфиденциальных данных, которые вы не хотели бы потерять.
Однако предприятия рискуют потерять данные клиентов, финансовые записи если они откажутся платить. Чтобы определить, какой вариант лучше, можно провести быстрый анализ затрат и выгод. Глядя на тенденции в отношении предыдущих требований к платежам за программы-вымогатели, становится ясно, что большинство из них предпочли бы заплатить и возобновить операции, поскольку они работают над настройкой функций безопасности против будущих атак.
8. Типы программ-вымогателей
По уровням опасности программы-вымогатели можно разделить на три основные категории. Ниже приводится разбивка по трем типам программ-вымогателей;
1. Scareware
Scareware - это уникальный тип вредоносного ПО, которое использует тактику социальной инженерии, чтобы заставить пользователей выполнить определенную задачу. Как правило, этот тип вредоносного ПО запускается всплывающим окном на компьютере или рекламой.
Например, пользователи ПК всегда находятся в поиске потенциальных вирусных угроз. Пугающая программа, маскирующаяся под антивирус, может легко обмануть таких пользователей, щелкнув по ней и установив "поддельный" антивирус. Загружая и устанавливая эти зараженные файлы, пользователи вместо этого обнаруживают, что у них есть программа-вымогатель.
Прекрасный пример схемы пугающего ПО произошел в 2010 году, когда на Minneapolis Star Tribune появлялась реклама, которая перенаправляла их на вредоносные сайты. Эти пользователи стали жертвами злонамеренной рекламной кампании Windows, которая побуждала пользователей покупать антивирус за 49,95 доллара. Восемь лет спустя гражданин Латвии был позже арестован за участие в нападении с применением паники.
2. Screen Lockers
На ступеньку выше от пугающих программ находятся screen lockers. Этот тип программ-вымогателей строгий в своем процессе атаки. Когда скрин-локен заражает систему, жертва полностью лишается доступа к своему компьютеру. Примером такой программы-вымогателя является WinLock. При загрузке отображается полноэкранное сообщение. Они часто требуют оплаты, утверждая, что жертва совершила незаконную деятельность.
3. Encrypting Ransomware
Шифрующиеие программы-вымогатели намного сложнее по сравнению с программным обеспечением для блокировки экрана и пугающими программами. Эти типы вредоносных программ нацелены на личные файлы и шифруют их с помощью сложных алгоритмов. Противодействовать таким атакам было сложной задачей, поскольку расшифровать уже зашифрованные файлы без помощи злоумышленников практически невозможно. По этой причине на протяжении многих лет с использованием этой стратегии было запущено множество атак программ-вымогателей.
После того, как ваши файлы зашифрованы, единственный логический способ расшифровать и восстановить доступ - заплатить требуемый выкуп. К сожалению, уплата выкупа хакерам не дает полной гарантии того, что ваши файлы будут расшифрованы. Это всегда авантюра. Примером такого типа программ-вымогателей является CryptoLocker.
Эволюция CryptoLocker и криптовымогателей
CrytpoLocker появился в 2013 году и представил новый подход. В то время большой популярностью пользовались программные средства блокировки экрана. CrytpoLocker инфицировал персональные компьютеры с антивирусной защитой или без нее и зашифровал личные файлы, ограничивая доступ. Разработчики позаботились о том, чтобы программа-вымогатель могла шифровать файлы даже при наличии антивируса. Хотя некоторые антивирусные программы смогли обнаружить и удалить его, CrytpoLocker гарантировал, что заставит своих жертв платить выкуп даже после того, как он был удален. Когда платеж произведен, жертве предоставляется ключ дешифрования, чтобы она могла расшифровать свои файлы.
По словам аналитиков безопасности, CrytpoLocker использует шифрование AES и RSA, однако в их примечании указан только RSA-2048. Очевидное различие между RSA и AES состоит в том, что AES использует симметричные ключи; это означает, что для шифрования используется тот же ключ, что и для дешифрования. Что касается RSA, который представляет собой криптографию с асимметричным ключом, открытый ключ используется для шифрования целевого файла и становится доступным для всех. Однако он хранит закрытый ключ, необходимый для расшифровки зашифрованных данных.
В этом случае программа-вымогатель сначала разрабатывается, чтобы использовать ключ AES для шифрования целевого файла. AES требует того же ключа для дешифрования; следовательно, ключ записывается в зашифрованные данные. Затем открытый ключ RSA используется для шифрования ключа AES. Итак, для успешного дешифрования этих файлов потребуется закрытый ключ RSA.
К концу 2013 года был обнаружен другой вид CryptoLocker. Этот конкретный вариант CryptoLocker может распространяться через вторичные диски. Это было необычно для вариантов CRILOCK. Эта особенность делала этот вариант более опасным, поскольку он мог распространяться намного быстрее, чем другие. Некоторые исследователи считают, что этот CryptoLocker - это работа подражателя.
Вскоре после этого появилась Cryptorbit. Cryptorbit также был известен как Crypto-ransomware или CryptoDefense. Это шифрование программ-вымогателей, предназначенных для баз данных, сценариев, веб-видео, текста, изображений и некоторых других типов файлов. Он также удалял файлы резервных копий, чтобы избежать попыток восстановления, и, наконец, запрашивал выкуп в обмен на ключ дешифрования.
9. Происхождение программ-вымогателей
AIDS Джозефа Поппа был первой документированной атакой вредоносного ПО в истории программ-вымогателей. Это произошло в 1989 году, и в нем были серьезные сбои, из-за которых даже мысль о выплате выкупа вымогателю становилась до смешного безумной.
Позже Джозеф Попп был арестован, но, к сожалению, был признан психически неспособным предстать перед судом за свои действия. Однако он пообещал финансировать исследования СПИДа за счет прибыли, которую он получил от вымогателей.
10. Mobile Ransomware
Это особый вид программ-вымогателей, атакующих мобильные устройства. Этот тип программ-вымогателей преследует те же цели, что и на ПК; они стремятся вымогать у жертвы, отказывая ей в доступе к ее данным или выдвигая ложные уголовные обвинения.
Типичная мобильная атака программ-вымогателей либо блокирует доступ пользователей к своим устройствам, либо крадет конфиденциальную информацию с мобильных устройств и требует выкуп за восстановление.
Кроме того, жертвам атак с использованием мобильных программ-вымогателей могут угрожать ложными обвинениями в противоправном поведении, побуждающие их заплатить выкуп. Сегодня большинство вымогателей предпочитают биткойн и другие криптовалюты в качестве способа оплаты из-за невозможности отслеживать транзакции с ними.
Два недавних мобильных вымогателя - CryptoLocker и DoubleLocker. CrytpoLocker заразил несколько мобильных телефонов, как Android, так и Apple. В том же году DoubleLocker - программа-вымогатель для Android - заразила также несколько смартфонов. DoubleLocker распространялся через уязвимые веб-сайты, на которых размещались поддельные мобильные приложения. Эта мобильная программа-вымогатель запуталась с PIN-кодом телефона и, следовательно, зашифровала исходные файлы хранилища. Они потребовали выкуп за то, чтобы это было расшифровано.
Есть зловред Koler. Этот мобильный вымогатель маскируется под приложение для взрослых, заражает мобильные телефоны в США. Обычно он отображает экран с контентом для взрослых и просит у пользователя выкуп. После загрузки вредоносная программа-вымогатель получает административный доступ к устройству, предоставляя злоумышленникам полный контроль при установке.
11. Mac ransomware
Пользователи Mac раньше гордились своей невосприимчивостью к кибератакам, поскольку большинство злоумышленников нацелены на пользователей ПК с Windows. Эта тенденция со временем изменилась, и теперь пользователи Mac также сталкиваются с изрядной долей проблем с кибербезопасностью.
Однако верно, что пользователи Windows более уязвимы для атак по сравнению с пользователями Mac. Это горячая тема в сфере информационных технологий; утверждается, что многие люди используют ОС Windows; поэтому злоумышленники, как правило, сосредотачиваются на большинстве, чтобы максимизировать свой охват.
В феврале 2017 года программа-вымогатель для Mac, известная как Filezip или Patcher, сумела проникнуть в некоторых пользователей Mac и терроризировать их. Программа-вымогатель зашифровала файлы пользователя и запросила выкуп в размере 0,25 биткойна за расшифровку. К сожалению, эти злоумышленники также не смогли расшифровать данные; поэтому платить выкуп было бессмысленно.
Еще одна вызывающая озабоченность программа-вымогатель для Mac появилась в 2016 году; она проникала на компьютеры Mac через обновление BitTorrent Client, которое обнаружило, что в него встроен авторизованный сертификат безопасности. Это позволило ему обойти гейткипер macOS. KeRanger требовал выкуп в размере 1 биткойна после заражения и, как сообщается, все еще находится в стадии разработки.
В 2014 году FileCoder распространился среди компьютеров Mac; однако это было относительно безвредно. FileCoder никогда не шифрует файлы пользователей; вместо этого на экране появилось окно с требованием выкупа.
В 2013 году браузер Mac Safari также стал мишенью для вымогателей. Это было известно как мошенничество ФБР/MoneyPak. Эта программа-вымогатель для Mac потребовала от жертв уплаты 300 долларов за восстановление доступа. Программа-вымогатель автоматически перезапускалась при каждом запуске сафари, если пользователь принудительно закрывает браузер сафари.
Хотя пользователи Mac не сталкиваются с неминуемыми рисками атак программ-вымогателей по сравнению с Windows, интерес начал расти, и многие хакеры проявляют интерес к платформе. Пользователи Mac должны просто следить за ловушками программ-вымогателей, как и пользователи Windows.
12. Что делать, если я заражен
По данным ФБР, когда программа-вымогатель атакует ваш компьютер, вы должны взять на себя обязательство не подчиняться требованиям и не платить выкуп. Аргумент в том, что чем больше мы платим выкуп этим вымогателям, тем больше мы поощряем отрасль. Хотя ФБР не смогло найти решения для расшифровки всех программ-вымогателей, уже существуют некоторые решения, которые позволяют жертвам получить хотя бы хороший фрагмент своих зашифрованных данных.
Исторически сложилось так, что большинство попыток расшифровать файлы без помощи хакеров-вымогателей терпели неудачу и приводили только к дальнейшему шифрованию. По этой причине жертвам не следует пытаться расшифровать важные файлы без консультации со специалистами, так как это может привести к безвозвратной потере данных.
Если вы уже заражены программой-вымогателем, вам следует удалить вредоносную программу, чтобы предотвратить дальнейшие повреждения. Чтобы удалить угрозу, вы должны загрузить средство исправления, которое представляет собой продукт безопасности, который запускается на вашем компьютере и сканирует его на наличие потенциальных вредоносных угроз. Если оно обнаружит вредоносное ПО, он удалит его, чтобы устранить риск. Это процедура, используемая для очистки вашего ПК после повреждений; однако это не решение, которое поможет вам восстановить доступ к вашим зашифрованным файлам. Если, например, у вас есть программа-вымогатель для блокировки экрана, необходим полный процесс загрузки с использованием внешних загрузочных устройств, таких как USB-накопители.
Иногда ваша машина может быть атакована прямо перед вами. Если вы замечаете ненужные задержки на своем компьютере без какой-либо очевидной причины или подозреваете, что подверглись атаке, вам следует отключиться от Интернета и выключить компьютер. Это предотвращает успешную установку вымогателей в вашу систему, поскольку для большинства из них требуются коды инструкций с удаленного сервера, которые выполняются за кулисами. Поэтому, когда вы предотвратите это, вы можете перезагрузить компьютер и запустить продукты безопасности для исправления и очистки вашей системы.
Хотя вы не должны платить выкуп, иногда соглашения - не лучшее решение. За каждым существенным платежом стоит причина. Следует провести анализ, чтобы определить влияние потери данных на стоимость выплаты выкупа.
13. Как предотвратить выполнение программ-вымогателей?
Все атаки программ-вымогателей часто используют лазейку в системе безопасности.
Есть несколько основных правил, которые помогут привлечь внимание общественности к превентивным мерам против этих гнусных атак с использованием программ-вымогателей. Вот несколько общих советов относительно мер предосторожности.
1. Не посещайте неизвестные или непроверенные ссылки.
Ссылки - это доступный способ распространения программ-вымогателей среди злоумышленников. Можно безопасно избегать перехода по незнакомым ссылкам в рекламных объявлениях или нежелательных электронных письмах. Большинство программ-вымогателей загружаются при нажатии неизвестных ссылок, которые, соответственно, инициируют загрузку. Жертвы часто не осознают, что они заражены, пока программа-вымогатель полностью не захватит контроль.
2. Никогда не загружайте/не открывайте неизвестные или ненадежные вложения электронной почты.
Фишинговые письма - стандартный путь для злоумышленников. Часто, когда вы получаете электронное письмо из неизвестных источников, вам не следует быстро открывать связанные вложения. Если вы сомневаетесь в адресе электронной почты, не открывайте вложения и подтвердите это у отправителя. Если вы встретили вложение электронной почты, в котором требуется включить макросы, не включайте. Включение макросов позволяет вредоносному коду захватить ваш компьютер и заблокировать вас.
3. Скачивайте файлы только с доверенных сайтов
Вы должны быть очень осторожны при выборе веб-сайтов, с которых вы можете загружать файлы. Популярные и проверенные сайты имеют больше шансов защитить свои данные от программ-вымогателей, что, в свою очередь, делает их безопаснее для вас. Сертификат SSL на веб-сайте сегодня является стандартным знаком доверия для большинства сайтов. Все известные и надежные сайты имеют префикс "https" вместо обычного "Http", который подвержен нарушениям безопасности.
4. Не разглашайте личную информацию.
Иногда злоумышленники доходит до телефонных звонков или отправки текстовых сообщений, пытаясь заранее получить доступ к личной информации. Они используют эту информацию для создания персонализированных писем, которые нацелены на жертв с их личными данными, что делает фишинговые письма более легитимными. Когда вам поступает анонимный звонок с просьбой предоставить личные данные, вы всегда должны говорить "нет".
5. Используйте функции фильтрации и сканирования электронной почты
На почтовых серверах есть сканеры содержимого и файлов, а также функции фильтрации. Использование этих функций в ваших электронных письмах значительно снижает ваши шансы попасть в ловушку программы-вымогателя. Фильтрация и сканирование проверяют ваши электронные письма и отправляют подозрительные электронные письма в папку для спама.
6. Не берите неизвестные USB-устройства
Как правило, на вашем компьютере нельзя использовать неизвестные устройства. Кибер-злоумышленники иногда оставляют зараженные USB-устройства в общественных местах в надежде, что кто-то станет жертвой. Таким образом, это отличная профилактическая мера, позволяющая избежать подключения неизвестных USB-накопителей к вашему компьютеру.
7. В общедоступной Wi-Fi всегда используйте VPN
Публичный Wi-Fi представляет серьезную угрозу безопасности для пользователей. Злоумышленники, подключенные к тому же Wi-Fi, могут проникнуть на ваше устройство. Чтобы оставаться в безопасности, следует применять дополнительные меры безопасности. Использование безопасной виртуальной частной сети (VPN) может помочь снизить вероятность успешной атаки.
8. Всегда обновляйте операционную систему и программное обеспечение.
Операционные системы, программное обеспечение, мобильные приложения и браузеры регулярно обновляются. В большинстве их журналов изменений часто встречаются обновления безопасности. Обновления безопасности делаются, чтобы предложить максимально возможную защиту от потенциальных атак и исправить обнаруженные области уязвимостей.
9. Используйте программное обеспечение для безопасности
Использование программного обеспечения для безопасности может иметь большое значение для предотвращения атак программ-вымогателей. Защита от программ-вымогателей становится все более важной, и такие компании, как Kaspersky, предлагают достойную защиту от потенциальных атак программ-вымогателей.
10. Делайте резервное копирование важных данных
Резервное копирование важных данных - это не превентивная стратегия, а мера предосторожности. В случае атаки программы-вымогателя у вас будет доступ к резервным копиям данных. При резервном копировании рекомендуется использовать внешние устройства и держать устройства отключенными от компьютеров в сети, чтобы избежать заражения.
14. Как программы-вымогатели влияют на ваш бизнес?
Хорошее понимание того, как программы-вымогатели влияют на ваш бизнес, может помочь лицам, принимающим решения, принимать больше мер предосторожности в своей
1. Предотвращает доступ к вашим данным
Сегодняшний малый и средний бизнес в своей повседневной деятельности в значительной степени полагается на данные. Практически все секторы деловых операций были успешно оцифрованы, в результате чего компьютеры и данные стали важной частью бизнеса.Из-за этого ограничение доступа к этой информации приводит к серьезному удару по компании. Следовательно, владельцы бизнеса и администраторы должны проявлять бдительность и искать более безопасные и защитные способы защиты от вируса.
2. Стоимость восстановления высока.
В случае успешной атаки программы-вымогателя данные всегда будут повреждены, если выкуп не выплачен. Когда компания хранит резервную копию своих данных, в зависимости от объема, восстановление может быть дорогостоящим и трудоемким. Кроме того, размер потери данных, вызванной программой-вымогателем, может сделать восстановление данных бессмысленным и дорогостоящим. Это делает внешнее резервное копирование лучшим приоритетом в качестве меры предосторожности для бизнеса.
3. Ущерб репутации
Доверие клиентов жизненно важно для компаний, и небольшое пятно на деловой репутации окажет на них негативное влияние. Например, компания, которая продает товары в Интернете через веб-сайт электронной коммерции, потеряет доверие клиентов, когда их сайт будет взломан. Клиенты не захотят совершать онлайн-платежи через сайт из-за опасений атак программ-вымогателей.
4. Нарушение нормальной коммерческой деятельности
Чтобы получить четкое представление о том, как сбой может иметь катастрофические последствия для бизнеса, позвольте визуализировать производственную фирму. Когда программа-вымогатель успешно поражает фирму, все зашифрованные данные и системы контроля отключены. Возникшие помехи могут привести к значительным потерям в миллионы долларов. Точно так же способность программ-вымогателей немедленно останавливать жизненно важные процессы бизнеса может привести к серьезным убыткам и даже закрытию малых и средних предприятий.
15. Статистика программ-вымогателей
Вот случайная статистика о программах-вымогателях за последние годы.
1. Cybersecurity Ventures прогнозирует, что к 2021 году глобальные организации потратят около 20 миллиардов долларов на атаки программ-вымогателей. Это значительный рост по сравнению с предыдущими годами. По оценкам Cybersecurity Ventures, в 2018 и 2019 годах затраты на программы-вымогатели составят 8 и 11,5 млрд долларов соответственно.
2. Одна только программа-вымогатель Ryuk в третьем квартале 2019 года стоила в среднем 377000 долларов США.
3. В 2019 году стоимость атак программ-вымогателей превысила отметку в 7,5 млрд долларов. В этом отчете рассматриваются атаки на государственные учреждения, образовательные учреждения и поставщиков медицинских услуг.
4. В последнем квартале 2019 года сумма выкупа значительно выросла, примерно на 104%. Средний спрос вырос до 84 116 долларов, при этом самый высокий зарегистрированный платежный инцидент составил 780 000 долларов.
5. Сектор здравоохранения в США столкнулся с многочисленными серьезными атаками программ-вымогателей. Согласно исследованию, 172 различных атаки программ-вымогателей были направлены на клиники, медицинские учреждения и больницы. Все эти атаки относятся к 2016 году и оценены в 157 миллионов долларов.
6. В 2019 году произошел неумолимый рост атак программ-вымогателей. Ryuk, как одна программа-вымогатель, зафиксировал рост на 543% за последние три месяца 2018 года. Опять же, программа-вымогатель Sodinokibi, представленная в мае 2019 года, зафиксировала рост числа обнаружений на 820%.
7. Согласно отчетам "Лаборатории Касперского", количество установок мобильных программ-вымогателей в 2019 году увеличилось с 8186 в 2018 году до 68000. Это свидетельствует о значительном увеличении числа троянских программ-вымогателей; тем не менее, в течение кварталов 2019 года количество случаев вымогательства постепенно уменьшалось: в первом квартале было зафиксировано максимальное значение (27 928), а в последнем квартале - самый низкий (3951).
8. В 2019 году более 1000 различных организаций США подверглись атакам программ-вымогателей
9. 36% атак программ-вымогателей нацелены на нарушение нормальной работы бизнеса.,
10. С 2016 года от атак программ-вымогателей на медицинские учреждения пострадали 6,6 миллиона пациентов.
11. В 2019 году количество атак программ-вымогателей в муниципалитетах увеличилось на 60%
12. Более половины всех программ-вымогателей нацелены на школы и образовательные учреждения. Этот показатель составляет 61%.
13. Малый и средний бизнес составляют 20% жертв атак программ-вымогателей.
14. В корпоративном мире около 645 сотрудников стали жертвами атаки программ-вымогателей в третьем квартале 2019 года.
16. Список самых популярных программ-вымогателей на сегодняшний день
За прошедшие годы было зарегистрировано несколько случаев инцидентов с вымогательством. Здесь мы обсудим некоторые из известных на сегодняшний день программ-вымогателей.
1. Bad Rabbit
Программа-вымогатель Bad Rabbit получила распространение в России и других частях Восточной Европы. Он очень похож и связан с вредоносным кодом, который был связан с программами-вымогателями WannaCry и NotPetya. Bad Rabbit маскировался под установщик Adobe Flash. В основном он распространяется через попутные загрузки с ненадежных веб-сайтов. Когда жертвы нажимали на вредоносный установщик Adobe, компьютер автоматически выключался. Bad Rabbit обычно требовал выкуп в размере 280 долларов США при крайнем сроке в 40 часов.
2. Cerber
Эта программа-вымогатель была относительно развитой. Cerber в первую очередь распространялся как RaaS, также известный как Ransomware, в качестве услуги через партнерскую программу.
Он предлагал уникальную бизнес-модель, в которой любая заинтересованная сторона могла загрузить и использовать ее в обмен на 40 процентов полученной прибыли. Cerber в основном нацелился на тех, кто использовал Office 365, с помощью изощренной фишинговой кампании. После щелчка он запускается в бэкэнде без каких-либо указаний до завершения шифрования. В 2017 году, когда Cerber был на пике заражения, он был ответственен за 26% атак программ-вымогателей. Cerber использует алгоритм шифрования RSA; на сегодняшний день на рынке нет надежных решений для бесплатного дешифрования.
3. Dharma
Dharma была впервые обнаружена в 2016 году и с тех пор выпустила новые версии программы-вымогателя. Он в основном использует алгоритм шифрования AES 256 для шифрования файлов. В частности, были удалены теневые копии зашифрованных файлов. Dharma - это криптовирус, который в основном использует уязвимости электронной почты. Вредоносная программа-вымогатель добавляет к зашифрованным файлам имена с разными расширениями, например "USA", ".xwx", ".dharma", ".best" и ".gif".
В настоящее время в "Лаборатории Касперского" есть инструмент для расшифровки файлов с расширением ".dharma".
4. GandCrab
Это самая популярная программа-вымогатель 2018 года. Вредоносное ПО GandCrab нацелено на ПК с Windows и в значительной степени зависит от макросов Windows PowerShell, VBScript и Microsoft Office. Он использовал фишинговые электронные письма как путь к жертвам, в основном создавая фишинговые письма по модели потребителей. Требования выкупа GandCrab варьировались от 500 до 600 долларов.
Сообщается, что GandCrab атаковал более 48000 узлов за первый месяц в январе 2018 года. Сложная команда агентств по кибербезопасности объединилась и успешно взломала серверы GandCrab и бесплатно выпустила ключи дешифрования. В состав группы входили Европол, Bitdefender, Управление полиции Румынии и Генеральная прокуратура.
5. Jigsaw
Вредоносная программа Jigsaw использовала относительно жестокий механизм атаки. Он зашифровал файлы пользователя, а затем со временем начал их систематически удалять. Jigsaw требовала выкуп в размере 150 долларов в течение 24 часов, после чего файлы жертвы автоматически начали постепенно самоудаляться. Jigsaw удалял еще больше данных, если жертва пыталась принудительно выключить компьютер после заражения.
6. Katyusha
Вредоносная программа была впервые обнаружена в октябре 2018 года при шифровании файлов и добавлении расширения ".katyusha" к зашифрованным файлам. Она требовала выкуп в размере 0,5 биткойна с 72-часовым ультиматумом.
7. WannaCry
WannaCry, пожалуй, самая популярная программа-вымогатель всех времен во всем мире. По оценкам, вымогателем заражено около 125 000 различных организаций в 150 странах. Вредоносная программа-выкуп WannaCry также известна как WanaCryptOr или Wcry. Она был нацелен на компьютеры, работающие под управлением операционных систем Windows, и требовал выкупа в биткойнах. Согласно Википедии, атака WannaCry 2017 предположительно исходила из Северной Кореи.
8. GoldenEye
Эту вредоносную программу-вымогатель можно сравнить с печально известной программой-вымогателем Petya. В первую очередь он был нацелен на отделы кадров организаций. GoldenEye распространился через тщательно продуманную кампанию социальной инженерии в Интернете. GoldenEye незаметно действовал на компьютерах и запускал макрос, шифрующий файлы на компьютере жертвы.
9. LockerGoda
LockerGoda был замечен в действии в 2019 году, парализовав производственные и промышленные предприятия. Это относительно новый тип программ-вымогателей. Он полностью блокирует доступ жертв к зараженным системам. Для антивирусного программного обеспечения также сложно обнаружить LockerGoda.
10. PewCrypt
PewCrypt - еще одна программа-вымогатель 2019 года в списке с совершенно другими целями. Если вам когда-либо было любопытно, какой канал является самым популярным на YouTube, вы, должно быть, слышали о PewDiePie. PewCrypt - это программа-вымогатель, якобы разработанная поклонниками популярного канала PewDiePie, чтобы привлечь больше подписчиков на свой любимый канал и достичь отметки в 100 миллионов подписчиков, опередив другие каналы конкурентов.
PewCrypt в основном распространялся через электронные письма и другие взломанные веб-сайты.
11. Ryuk
Семейство программ-вымогателей Ryuk дебютировало в августе 2018 года и оказало огромное влияние. С тех пор Рюк потребовал более 52 значительных выплат выкупа на общую сумму 3,7 миллиона долларов в биткойнах. Примечательно, что эта программа-вымогатель нацелена на более известных клиентов, таких как предприятия и государственные учреждения.
12. SamSam
Похоже, что это вредоносное ПО также используется только для целенаправленных атак на промышленные предприятия, медицинские учреждения и государственные учреждения, например муниципалитеты. Например, SamSam был использован, чтобы парализовать город Атланту, что в конечном итоге стоило жителям около 17 миллионов долларов. Программа-вымогатель SamSam - одна из немногих программ-вымогателей, использующих протокол удаленного рабочего стола, о котором говорилось ранее.
13. Sodinokibi
Эта программа-вымогатель также известна как Revil. Это модель программы-вымогателя как услуги, которая была обнаружена в апреле 2019 года. Sodinokibi использует множество векторов заражения, например, напрямую используя уязвимости системы безопасности и используя фишинговые кампании по электронной почте. Sodinokibi может получить доступ к административным правам на машине, используя уязвимость в Oracle WebLogic.
В августе 2019 года Sodinokibi атаковал несколько местных органов власти в Техасе и расширил сферу своей деятельности, чтобы затронуть службу удаленного резервного копирования данных, которая использовалась несколькими стоматологическими клиниками в США. Sodinoki блокирует файлы пользователей, и для их расшифровки требуется ключ. Не существует бесплатных инструментов для расшифровки файлов, зашифрованных программой-вымогателем Sodinokibi.
14. Bitpaymer
BitPaymer - это вирус-вымогатель. Сразу после заражения он шифрует наиболее часто используемые файлы и добавляет к имени файла расширение "locked"; однако в обновленной версии добавлено расширение "LOCK". BitPaymer также известен как "wp_encrypt". В основном он распространяется через зараженные вложения электронной почты (макросы), через взломанные и вредоносные веб-сайты, а также через торрент-сайты. BitPaymer также известен как DoppelPaymer.
15. Phobos
Программа-вымогатель Phobos была представлена в 2017 году, и с тех пор она была связана с программой-вымогателем Dharma. Phobos распространяется через подключения к удаленному рабочему столу (RDP). Вредоносная программа продолжает шифровать файлы в фоновом режиме даже после появления сообщения о выкупе.
Phobos использует несколько механизмов сохранения, таких как добавление себя в папку "Автозагрузка", самостоятельная установка в% APPDATA% и добавление команд в разделы реестра для автоматического запуска при загрузке системы. Чтобы завоевать доверие своих жертв, разработчики Phobos предлагают бесплатное дешифрование нескольких файлов, чтобы доказать свою способность дешифровать данные. В своем сообщении с требованием выкупа разработчики предостерегают от попыток расшифровать данные с помощью сторонних инструментов, поскольку это может привести к безвозвратной потере данных. Цена выкупа со временем увеличивается, заставляя жертв платить в течение шести часов после нападения.
17. Будущие тенденции программ-вымогателей
В ближайшие годы число атак программ-вымогателей обязательно возрастет. Эта досадная тенденция почти неизбежна, поскольку создатели программ-вымогателей хорошо умеют приспосабливаться к новым технологиям и в свою очередь постоянно разрабатывать сложные программы-вымогатели.
Согласно отчету, есть два основных вопроса, вызывающих озабоченность. Программы-вымогатели развивались в 2019 и 2020 годах и в настоящее время способны атаковать практически любой сектор, от правительств до производственных компаний и медицинских учреждений - список бесконечен. Нет никого, кто застрахован от атак программ-вымогателей; Опять же, разработчики выкупа все чаще используют тенденцию угрожать раскрыть критически важную информацию общественности после успешных взломов.
Это оставляет высокопоставленным жертвам практически единственного выбора, кроме как заплатить выкуп из-за страха утечки конфиденциальной информации.
Вот некоторые из важных тенденций, на которые следует обратить внимание:
18. Что такое программа-вымогатель как услуга (RaaS)?
Программа-вымогатель как услуга - это недавняя разработка в отрасли, в которой наблюдается значительный рост распространения программ-вымогателей. RaaS - это облачная программа-вымогатель, продаваемая дистрибьюторам за плату; затем распространители наблюдают за распространением вируса среди невинных людей. Создатели RaaS часто получают долю от прибыли, полученной от жертв.
Как видите, это очень прибыльная бизнес-модель, поскольку за последние несколько лет в качестве выкупа были выплачены миллионы долларов. Эта модель стала чрезвычайно популярной, поскольку позволяет как опытным, так и неквалифицированным программистам и пользователям компьютеров успешно запускать атаки программ-вымогателей. В прошлом это было невозможно, поскольку для запуска атаки с использованием программ-вымогателей требовался значительный уровень навыков программирования и программирования.
До популярности RaaS киберпреступники часто взламывали системы данных. Затем им пришлось связаться с жертвами и договориться о цене, прежде чем они вернут данные. Этот метод оказался не таким эффективным, как современные программы-вымогатели. Благодаря программам-вымогателям доступны встроенные "покупатели", и жертвы часто должны платить без переговоров или терять свои данные.
19. Почему так сложно найти преступников-вымогателей?
Продвинутые киберпреступники часто бывают осторожными, умеющими замести следы. Это затрудняет их отслеживание. Вот несколько причин, по которым большинству этих преступников сходит с рук дело.
Тщательное отслеживание киберпреступников занимает много времени. Преступники-вымогатели иногда используют украденные устройства и маскируют свои следы с помощью других скомпрометированных систем, оставляя за собой след систем. Опять же, большинство преступников направляют свои атаки через несколько систем в разных странах, которые часто недоступны или труднодоступны. Злоумышленники-вымогатели также часто используют Tor, который является анонимным, и властям становится еще труднее отслеживать их.
20. Как защититься от программ-вымогателей?
Есть несколько проверенных способов помочь пользователям персональных компьютеров; организации минимизировать риск заражения программами-вымогателями.
1. Будьте предельно осторожны при переходе по ссылкам в электронных письмах или на ненадежных сайтах. Если у вас есть время, проверьте адреса веб-сайтов индивидуально перед посещением. Некоторые вредоносные сайты выглядят идентичными хорошо известным веб-сайтам только с небольшими вариациями в их доменных именах.
2. Когда вы получаете электронное письмо с вложениями из неизвестных источников, воздержитесь от нажатия на вложения. Фишинговые письма - распространенный способ распространения программ-вымогателей. Большинство вложений программ-вымогателей представляют собой сжатые файлы, например ZIP-файлы.
3. Всегда обновляйте программное обеспечение машины до последней версии. Обновления программного обеспечения необходимы по соображениям безопасности. Регулярное обновление операционной системы вашего компьютера снижает вероятность атак программ-вымогателей. Это связано с тем, что разработчики операционных систем также постоянно устраняют лазейки в безопасности в своем программном обеспечении, чтобы минимизировать вероятность атаки.
4. Будьте в курсе последних тенденций в области кибербезопасности. Информация - это сила, и она помогает избежать распространенных ловушек, которые злоумышленники расставляют для ничего не подозревающих пользователей Интернета.
5. Подтвердите и проверьте свои электронные письма и отправителей. Фишинговые письма иногда бывают очень умными, и если вы не разбираетесь в эом, вы можете попасть в их ловушку. Электронные письма часто хорошо составлены и отправляются целевым получателям.
6. Используйте антивирусное программное обеспечение для защиты вашего компьютера от возможных атак. Такое программное обеспечение, среди прочего, включает фильтры электронной почты, антивирусное программное обеспечение и брандмауэры.
21. Действия по реагированию на атаку программы-вымогателя
После заражения вы столкнетесь с другой проблемой, и вам нужно будет выполнить несколько шагов. В типичном случае атаки программ-вымогателей предполагается, что жертвы отключат зараженную машину от любой доступной сетевой системы. Жертвам рекомендуется отключиться от Wi-Fi, Bluetooth и любого другого сетевого подключения, чтобы избежать распространения программы-вымогателя.
При отключении по возможности следует выключить зараженную систему. Все остальные компьютеры и устройства, которые используют сеть с зараженным устройством, также должны быть выключены. Эти шаги могут оказаться полезными для специалистов по безопасности при попытках восстановления данных. Иногда использование наполовину зашифрованных компьютеров может дать экспертам представление о том, как проводить расшифровку или восстановление данных.
Защитите свои файлы резервных копий. Когда вы столкнулись с атакой и у вас есть резервные данные, убедитесь, что данные в безопасности, отключив их от машины. Предпочтительно вторичные хранилища подходят для резервного копирования данных. По возможности используйте другое устройство для сканирования резервной копии на наличие вредоносных программ.
22. Удаление программ-вымогателей
Существует три типа программ-вымогателей: программы-вымогатели, программы блокировки экрана и вредоносные программы для шифрования данных. Степень серьезности этой программы-вымогателя различна: программы-вымогатели являются наименее опасными и легко удаляются, за ними следуют программы блокировки экрана и, наконец, невероятно сложные программы-вымогатели для шифрования данных.
Как удалить программу-вымогатель?
Сложность удаления вредоносного ПО с вашего компьютера зависит от типа вымогателя, заразившего ваш компьютер. Удалить пугающие программы и некоторые средства блокировки экрана очень просто. Если на вашем компьютере установлена антивирусная программа, простое сканирование, скорее всего, обнаружит эту программу-вымогатель и предоставит вам возможность удалить ее.
Если у вас есть резервная копия, вы можете удалить программу-вымогатель, отформатировав зараженный диск, проверив существующие программы-вымогатели и, наконец, восстановив данные из источника резервной копии.
В некоторых случаях инструменты дешифрования могут помочь вам удалить вредоносное ПО и восстановить файлы. Хотя это может быть авантюра, иногда это ценная процедура.
При заражении программой-вымогателем вы можете поискать возможное программное обеспечение для дешифрования в Интернете. Большинство вредоносных программ привлекают внимание из-за своей популярности и частоты атак. В результате противодействующие организации и отдельные лица разрабатывают инструменты дешифрования, которые помогают жертвам восстанавливать свои зашифрованные данные.
В случае заражения вы можете использовать NoMoreRansomware чтобы определить тип вредоносного ПО, заразившего ваш компьютер.
Когда они распознают программу-вымогатель, они предложат вам решения или необходимые шаги по восстановлению ваших данных, когда это возможно.
23. Защита, предотвращение и удаление программ-вымогателей
Удаление программ-вымогателей различается по сложности и сильно зависит от типа вымогателя. Наиболее распространенные подходы к удалению программ-вымогателей включают:
1. Очистка и восстановление
Это лучший вариант для пользователей персональных компьютеров и малого бизнеса. Если у вас есть внешняя резервная копия, рекомендуется полностью очистить ваш компьютер - путем форматирования, чтобы удалить все следы программ-вымогателей, а затем восстановить данные из чистой резервной копии.
2. Расшифровывание данных
Расшифровка данных не служит для их удаления. Однако это помогает в восстановлении данных путем отмены процедуры шифрования. Иногда это сложная процедура, которую обычные пользователи компьютеров не могут выполнить. Опять же, не все программы-вымогатели шифруют данные таким образом, чтобы их можно было восстановить. Некоторые процедуры шифрования слишком сложны для расшифровки или требуют помощи атакуюшего в расшифровке.
3. Оплата выкупа
Часто это самый страшный и последний вариант. Почти все, в том числе и ФБР, предостерегают от выплаты вредоносных программ с целью выкупа. Однако, когда дело доходит до одного бизнеса или отдельного человека, часто приходится принимать решение. Выплата выкупа не рекомендуется, и часто это способствует последующим атакам, однако иногда жертвы не могут позволить себе потерять свои данные и предпочитают платить.
Вот несколько рекомендуемых мер для защиты и предотвращения заражения.
Разверните защиту для шлюза
Чтобы адекватно защитить себя от потенциальных атак программ-вымогателей, вам следует развернуть механизмы защиты шлюза, такие как системы обнаружения вторжений и системы предотвращения вторжений, фильтрацию спама и защиту электронной почты, а также межсетевой экран и межсетевой экран веб-приложений (WAF).
Используйте антивирусное программное обеспечение нового поколения
Использование универсального или стандартного антивирусного программного обеспечения - требование для всех, кто заботится о своей кибербезопасности. Однако эти решения часто не улавливают изощренные вредоносные программы-вымогатели, которые предназначены для скрытной работы. Рекомендуется использовать антивирус нового поколения, поскольку он может обнаруживать вредоносные программы, не соответствующие известным сигнатурам.
Обучение сотрудников и антифишинговые тесты
Информация - мощное оружие против атак программ-вымогателей. Обучение сотрудников и обычных пользователей компьютеров воздействию фишинговых писем на безопасность может иметь большое значение в борьбе с программами-вымогателями.
24. Инструменты и решения для защиты от программ-вымогателей
Как для потребителей, так и для предприятий существует множество различных решений для защиты от программ-вымогателей. Базовым, но необходимым уровнем защиты потребителей является антивирусное программное обеспечение. Важно, чтобы на вашем компьютере был установлен хороший антивирус, чтобы сканировать любые файлы, которые вы загружаете, чтобы убедиться, что они в безопасности. Одним из лучших антивирусных решений на рынке сегодня является Comodo Antivirus (https://antivirus.comodo.com/), который доступен в "бесплатной" и "полной" версиях, обе из которых имеют уникальную функцию "сдерживания", которая изолирует любой неизвестный файл, загружаемый пользователем в изолированной виртуальной среде, поэтому, если файл окажется вредоносным, он не сможет нанести вред вашей системе.
Точно так же для предприятий решение для защиты конечных точек должно быть в состоянии остановить неизвестные программы-вымогатели от получения доступа к вашей системе. Таким образом, решение Comodo Advanced Endpoint Protection, в котором используется та же технология "сдерживания", является отличным решением для защиты предприятий и малых и средних предприятий от программ-вымогателей.
25. Новости и краткий обзор программ-вымогателей
Как упоминалось ранее, количество атак с использованием программ-вымогателей значительно увеличилось за последние несколько лет, и ожидается, что с 2020 по 2022 год их число резко возрастет. Началась популярная тенденция, указывающая на то, что атаки программ-вымогателей становятся все более целенаправленными. Основными целями остаются местные органы власти, образовательные учреждения и медицинские учреждения. Новые события также показывают, что нефтяная и финансовая отрасли стали более целенаправленными в последние годы.
Кроме того, игра с программами-вымогателями меняется и продолжит меняться. Более продвинутые злоумышленники, способные создавать сложные и эффективные программы-вымогатели, выбирают модель RaaS для распространения своего вредоносного ПО. Новички и киберпреступники средней квалификации получают прибыль от распространения этого вредоносного ПО среди пользователей по всему Интернету. Популярность программ-вымогателей как услуги на подпольных форумах растет. Они продаются за дешевую абонентскую плату, чтобы увеличить их охват.
Еще несколько последних новостей о программах-вымогателях:
В 2019 году программа-вымогатель Sodinokibi совершала громкие атаки на организации, в частности заразив международный аэропорт Олбани, а также компанию Travelex Foreign Exchange. Жертвы Sodinokibi угрожают раскрыть данные. Это часто пугает компании и жертв. Одно дело потерять данные, а другое - сделать их общедоступными.
Недавно городское управление освещения города Рединг столкнулось с атакой программы-вымогателя. Однако компания Electricity Utility предпочла не раскрывать дополнительную информацию о нападении. RMLD - относительно старое учреждение, которое обслуживает более 29 000 жителей в Рединге, штат Массачусетс. В своем отчете компания утверждала, что их данные не были скомпрометированы, и заверила клиентов в нормальной работе.
Программа-вымогатель Ryuk и Sodinokibi внесли большой вклад в общую сумму выкупа, требуемого от жертв атак программ-вымогателей. Covaware сообщил, что в первом квартале 2020 года средний размер запрашиваемого выкупа составил 111 605 долларов. Это значение увеличилось на треть по сравнению с последним зарегистрированным значением в последнем квартале 2019 года. Covaware утверждает, что этот заметный рост является результатом трех основных семейств программ-вымогателей: Ryuk, Sodinokibi и Phobos. В том же отчете Phobos была указана как третья по популярности программа-вымогатель в первом квартале 2020 года, занимая 7,8% рынка вымогателей. Phobos в первую очередь атакует малые и средние предприятия с помощью уязвимого протокола удаленного рабочего стола (RDP). Средний выкуп за Фобос вырос до 15 761 долларов с 12 089 долларов
Ryuk занял второе место с 19,6% доли рынка. Примечательно, что у Ryuk значительно увеличились средние выплаты выкупа: с 779 856 долларов в последнем квартале 2019 года до 1 339 878 долларов в первом квартале этого года. Интересно, что Ryuk зафиксировал рост, хотя и уменьшился размер организаций, на которые он ориентировался. Covaware назвал Sodinokibi самой распространенной программой-вымогателем на сегодняшний день. На Sodinokibi приходилось 26,7% рынка.
Новые тенденции в индустрии программ-вымогателей начали влиять на другие отрасли. Сообщается, что претензии по киберстрахованию были основной причиной претензий для страховщиков как в 2018, так и в 2019 году. Это показывает рост более чем на 100%.
По состоянию на 4 мая 2020 года журнал CPO сообщил, что Cognizant признал, что был поражен программой-вымогателем Maze. Cognizant упомянул, что они работают с правоохранительными органами по этому поводу. Cognizant - которая входит в список Fortune 500, штат Нью-Джерси, предлагает своим клиентам услуги, связанные с ИТ. Эта компания зафиксировала годовую прибыль в размере 16,8 млрд долларов в 2019 году и вела бизнес более чем в 80 странах. Количество программ-вымогателей Maze, похоже, также растет, и Cognizant - не единственная их жертва. Ранее было известно, что программы-вымогатели Maze поражают более крупные цели, в том числе, как утверждает администратор США, Jackson Plaza, Madison Insurance Group, Chubb Insurance и Hammersmith Medicines Research.
Злоумышленники-вымогатели вносят значительные изменения в свой бизнес-подход. Большинство из них осознали, что шифрования данных недостаточно для некоторых целей. Это связано с тем, что сегодня большинство предприятий приняли меры предосторожности, такие как резервное копирование своих данных. Однако большинство этих предприятий боятся раскрывать свои данные общественности по общим причинам. Раскрытие платежных реквизитов клиентов, информации о кредитных картах, конфиденциальных бизнес-данных и многих других форм конфиденциальных данных не подходит для любого бизнеса. По этой причине атаки программ-вымогателей начали использовать эту уязвимость.
В заключение, программы-вымогатели представляют собой неминуемую угрозу в 2020 году, с которой столкнутся все организации. Хотя рядовые пользователи компьютеров могут не подвергаться серьезным угрозам, как раньше, рост числа сложных программ-вымогателей по-прежнему вызывает беспокойство. В 2018 году программы-вымогатели стоили компаниям более 8 миллиардов долларов, а в 2019 году эта цифра выросла.
Вам следует принять участие в борьбе с программами-вымогателями, следуя рекомендованным выше превентивным мерам, таким как тщательная проверка электронных писем и проверка отправителей электронной почты, предотвращение вложений в электронные письма из неизвестных источников, использование фильтров и сканеров электронной почты, регулярное обновление программного обеспечения, такого как операционные системы.
Источник: https://enterprise.comodo.com/ransomware/
Автор перевода: yashechka
Переведено специально для https://xss.pro
