Компания ESET – лидер в области проактивного обнаружения – сообщает о высокой активности угроз, которые блокируют устройства и требуют финансовое вознаграждение за расшифровку данных.
В последнее время одним из самых популярных видов деятельности киберпреступников остается рассылка вредоносных электронных писем, которые получают пользователи со всего мира. Так, месяц назад специалисты ESET сообщали об угрозе JS/TrojanDownloader.Nemucod, которая отправлялась пользователям под видом безопасного вложения. В случае открытия данного файла начиналась загрузка и установка вредоносных программ известных уже семейств, таких как TeslaCrypt, Locky, CTB Locker или Filecoder.DG.
Как известно, после заражение данные угрозы осуществляют шифрование определенных файлов, а на экране появляется сообщение с требованием отправить определенную сумму денег по указанному адресу. Более того, техника шифрования, которая использовалась этими вредоносными программами, делает невозможным восстановление файлов путем простого анализа данных. Поэтому в большинстве случаев компаниям приходится платить тысячи долларов, чтобы вернуть утраченную информацию.
Однако не все вымогатели также опасные, как вышеупомянутые угрозы. Много подобных программ создаются с существенными техническими недостатками, которые позволяют жертвам вернуть свои файлы без перечисления средств злоумышленникам.
Примером такой программы-вымогателя является Petya, которая в случае успешного проникновения в систему Windows запускает синий экран. После перезагрузки устройства на экране пользователя появляется требование заплатить выкуп в размере 0,99 биткоинов (примерно $ 431).
После детального изучения специалисты ESET обнаружили, что данная угроза шифрует не файлы, а только их таблицы. Этот недостаток программы позволяет пользователю восстанавливать данные с помощью общедоступных инструментов.
Распространяется Petya через электронные письма, замаскированные под резюме потенциальных сотрудников. Вместо документа мошенники прикрепляют к письму ссылку на файлообменник Dropbox. Загруженный файл Bewerbungsmappe-gepackt.exe, который может самостоятельно распаковываться, заражает операционную систему. Его название указывает на то, что атака злоумышленников была направлена на пользователей немецкоязычных стран.
Сейчас Dropbox уже удалил вредоносный файл с файлообменника. Однако существует вероятность, что мошенники появятся снова после усовершенствования угрозы.
На сегодняшний день обнаружено две версии таких вредоносных программ: Win32/Disk Coder.Petya.A и Win32/Disk Coder.Petya.
В центре внимания специалистов ESET также оказался еще один пример подобных угроз – Jigsaw. Наследуя известный фильм ужасов «Пила», злоумышленники ставят жертв перед выбором. От момента инфицирования мошенники запускают обратный отсчет. Если пользователь не платит в течение часа, злоумышленники удаляют один файл. С каждым часом количество стертых файлов растет в геометрической прогрессии, приводя к значительной потери данных. Угроза Jigsaw также предупреждает жертву, что каждая попытка перезагрузить устройство будет наказываться удалением еще 1000 файлов.
Данная вредоносная программа первой применила подобный способ вымогательства денег. Предшественники только угрожали пользователям удалением файлов.
После детального изучения Jigsaw специалисты ESET обнаружили несовершенство технической стороны угрозы. Jigsaw использует статический ключ для всех шифров, позволяющий пользователю воспользоваться инструментом для расшифровки данных.
На сегодняшний день выявлены такие версии угрозы, как MSIL/Filecoder.Jigsaw.A, MSIL/Filecoder.Jigsaw.B и MSIL/Filecoder.Jigsaw.C.
Еще одной подобной программой является Win32/Filecoder.Autolocky.A или Autolocky. Следуя распространенной и опасной угрозе Locky, Autolocky использует ее расширения для зашифрованных файлов (.locky). Однако в отличие от известной программы, последователь имеет значительные недостатки в кодировке. Благодаря этому ключ расшифровки посылается только через Internet Explorer и может быть найден в истории инфицированного устройства. Таким образом жертвы Autolocky имеют легкодоступный инструмент для расшифровки файлов.
«В случае заражения подобными угрозами пользователям не следует поддаваться на запугивание мошенников и платить злоумышленникам. Безопасно восстанавливать файлы, экономя деньги и предотвращая финансирование киберпреступности, можно с помощью инструмента для расшифровки данных, ориентированного на несколько семейств программ-вымогателей», —рассказывает Вячеслав Зарицкий, ведущий технический специалист ESET в Украине.
Несмотря на несовершенства некоторых программ-вымогателей, киберпреступники постоянно улучшают техники вирусописания. Именно поэтому крайне важно вовремя предотвратить заражение устройства.
Эксперты ESET настоятельно рекомендуют пользователям быть предельно осторожными и соблюдать хорошо известные правила безопасности — регулярно создавать резервные копии файлов, обновлять программное обеспечение и обеспечить надежную защиту устройств.