Что такое программа-вымогатель?
Этот тип вредоносного программного обеспечения используется киберпреступниками для вымогательства средств у жертв. После успешной атаки устройства вредоносная программа блокирует экран или шифрует данные на диске, при этом на экране отображается требование выкупа с реквизитами платежа.
Как распознать программу-вымогателя?
Если вы подверглись атаке, в большинстве случаев программа-вымогатель отображает на экране сообщение с требованием выкупа или добавляет текстовый файл (сообщение) в зараженные папки. Многие семейства программ-вымогателей также меняют расширение зашифрованных файлов.
Как работает программа-вымогатель?
Операторы программ-вымогателей используют множество различных техник:
- Шифрование диска – программа-вымогатель шифрует весь диск и блокирует доступ пользователя к операционной системе.
- Блокировка экрана – блокируется доступ к экрану устройства.
- Вымогатель-шифровальщик шифрует данные, хранящиеся на диске жертвы.;
- Блокировщик PIN-кодов атакует устройства на базе Android и блокирует доступ к ним путем изменения кода доступа.
Подробнее
Все вышеперечисленные типы программ-вымогателей требуют выкуп, чаще всего в биткойнах или другой трудно отслеживаемой криптовалюте. Взамен операторы программы-вымогателя обещают расшифровать данные или восстановить доступ к зараженному устройству.
Стоит отметить, что злоумышленники не дают никакой гарантии того, что выполняют свое обещание (иногда и не могут сделать умышленно или из-за неграмотного кодирования). Поэтому ESET рекомендует не торопиться с оплатой требуемой суммы и сначала обратиться в службу технической поддержки ESET, чтобы узнать, как можно расшифровать данные.
Как защититься?
Основные правила, которые необходимо соблюдать для защиты данных:
- Регулярно создавайте резервные копии данных и локально храните хотя бы одну полную резервную копию.
- Своевременно выполняйте патчинг и обновление всего программного обеспечения, включая операционные системы.
Надежное многоуровневое решение безопасности – самый эффективный способ, позволяющий пользователям/организациям распознать, предотвратить и удалить программу-вымогателя.
Дополнительные правила, преимущественно для защиты корпоративных пользователей:
- Для снижения риска заражения отключите или деинсталлируйте ненужные сервисы и ПО.
- Выполните сканирование сетей на наличие плохо защищенных учетных записей из-за слабых паролей.
- Ограничьте или запретите использование протокола удаленного рабочего стола (RDP) за пределами сети или включите аутентификацию на уровне сети.
- Используйте виртуальную частную сеть (VPN).
- Проверьте настройки брандмауэра.
- Проверьте политики обмена данными между внутренней и внешней сетями (Интернет).
- Задайте пароль в настройках решения(ий) безопасности для предотвращения его/их отключения злоумышленниками.
- Обеспечьте защиту резервных копий с помощью двух- или многофакторной аутентификации.
- Регулярно проводите обучение персонала для распознавания и борьбы с фишинг-атаками.
Краткая история
Первый задокументированный случай атаки программы-вымогателя был зарегистрирован в 1989 году. Вредоносная программа, получившая название AIDS Trojan, распространялась по почте через тысячи дискет, которые якобы содержали интерактивную базу данных о СПИДе и факторы риска, связанные с заболеванием. После запуска вредоносная программа фактически блокировала доступ пользователя к большей части содержимого на диске.
Вирус AIDS Trojan требовал выкуп (или, как указывалось в требовании выкупа, «лицензионный платеж») в размере 189 долларов США, которые нужно было отправить на почтовый ящик в Панаме, чтобы пользователь мог запустить программу 365 раз. Автором угрозы был доктор Джозеф Попп, который, однако, был признан неподсудным.
Недавние примеры
В мае 2017 года быстро распространилась программа-вымогатель WannaCryptor (или WannaCry), которая использовала эксплойт EternalBlue, похищенный у Агентства национальной безопасности (NSA). Последний использовал уязвимость в самых популярных версиях операционных систем Windows. Несмотря на то, что Microsoft выпустила патчи для многих уязвимых операционных систем более чем за два месяца до атаки, файлы и системы тысяч организаций по всему миру пострадали от этой вредоносной программы. Сумма ущерба, нанесенного вредоносным ПО, оценивалась в миллиарды долларов.
В июне 2017 года вредоносное программное обеспечение Diskcoder.C (или Petya) начало распространяться в Украине, а вскоре вышло за пределы страны. Как оказалось позже, это была хорошо организованная атака на цепочку поставок, в ходе которой злоумышленники использовали популярное бухгалтерское программное обеспечение против украинских организаций.
Однако вредоносная программа вышла из-под контроля и заразила сети многих мировых компаний, среди которых Maersk, Merck, «Роснефть» и FedEx, котоырм был нанесен ущерб, оцениваемый в сотни миллионов долларов.
ESET обеспечит защиту от программ-вымогателей
Благодарим вас за загрузку ESET Smart Security Premium.
Загрузка продукта eset_smart_security_premium_live_installer.exe началась автоматически. Если загрузка не началась, нажмите здесь.
Наслаждайтесь безопасным Интернетом с ESET
