Кто такие шифровальщики в интернете
Что такое Ransomware или шифровальщики?
Как работают шифровальщики?
Отличительной особенностью шифровальщиков является то, что они используются в качестве инструмента вымогательства, и существует множество способов, как кибер-преступники используют этот тип вредоносных программ для получения доступа к устройствам жертв. Одним из наиболее распространенных способов доставки шифровальщиков до своих потенциальных жертв являются фишинговые почтовые кампании – жертвам отправляются электронные письма якобы из известных им и надежных источников, которые на самом деле содержат вредоносные вложения, при запуске которых компьютер заражается.
После успешного захвата контроля над компьютером жертвы злоумышленники продолжают шифровать некоторые или все файлы пользователя, например, документы Word, PDF-файлы, изображения, базы данных и так далее. Шифровальщики также могут распространиться и на другие устройства, подключенные к компьютерной сети жертвы, чтобы заразить другие компьютеры или даже всю организацию, если компьютер жертвы находится в корпоративной сети.
В конце процесса злоумышленник отправляет жертве сообщение с объяснением того, что их файлы теперь взломаны и зашифрованы, и они могут быть расшифрованы только в том случае, если будет выплачен выкуп. Выкуп чаще всего запрашивается в виде неотслеживаемого биткойн-платежа, который должен быть выплачен злоумышленнику.
Кто является целью для шифровальщиков?
Целями шифровальщиков могут быть отдельные домашние пользователи, предприятия малого и среднего бизнеса или крупные корпорации. То, как преступники выбирают свои цели, обычно сводится к вопросу о возможностях. Например, они могут преследовать организации с небольшими ИТ-отделами, такими как учебные заведения, из-за их более слабой защиты и высокого уровня обмена файлами.
Другой распространенной целью являются организации, которые с большей вероятностью своевременно заплатят выкуп. Правительственные учреждения, банки, юридические фирмы и медицинские учреждения – все они попадают в эту категорию, поскольку им, скорее всего, потребуется немедленный доступ к конфиденциальным файлам клиентов, и они будут в большей степени готовы быстро заплатить выкуп, если это позволит скрыть новость о нарушении безопасности такой организации.
Наконец, преступники часто нацеливаются на крупные корпорации в надежде получить более крупную выплату. Атаки шифровальщиков в этой категории обычно нацелены на предприятия в Великобритании, США и Канаде из-за более высокого уровня жизни и большого объема использования персональных компьютеров.
Типы шифровальщиков
Хотя существует бесчисленное множество разновидностей шифровальщиков, большинство атак подпадают под две основные категории: крипто-шифровальщики (crypto ransomware) и локер-шифровальщики (locker ransomware).
Серьезность угрозы, создаваемой атакой шифровальщиков, будет зависеть от используемого варианта шифровальщика, а методы устранения будут отличаться в зависимости от типа вредоносного ПО.
Примеры шифровальщиков
Хотя шифровальщики существуют уже несколько десятилетий, за последние пять лет они получили стремительное развитие благодаря растущей доступности неотслеживаемых способов оплаты, таких как биткойн (Bitcoin). Вот некоторые из самых ужасных шифровальщиков на сегодняшний день.
1. CryptoLocker
CryptoLocker был одной из первых широко распространенных атак шифровальщиков, в которых использовалось шифрование с открытым ключом. Эта атака 2013 года привела в движение современную эпоху шифровальщиков и поставила под угрозу до 500 000 машин в период с 2013 по 2014 год. Оплата требовалась в виде биткоина или предоплаченного ваучера, и в то время эксперты считали, что используемое вредоносное ПО было «непробиваемым».
Но в 2014 году одна из компаний в сфере безопасности, наконец, получила доступ к серверу, участвовавшему в атаке, и успешно восстановила хранившиеся ключи шифрования. Хотя злоумышленникам все равно удалось заполучить около 3 миллионов долларов, прежде чем они были закрыты.
2.WannaCry
В 2017 году атака WannaCry распространилась более чем в 150 странах, и она была нацелена на уязвимости безопасности в программном обеспечении Windows. Атака заразила 230 000 устройств по всему миру, заблокировав доступ пользователей к их компьютерам до тех пор, пока не будет выплачен выкуп в биткоинах.
Атака WannaCry осуществлялась путем использования уязвимости в операционной системе, которая, как было установлено позже, была известна задолго до атаки. Это событие в конечном итоге пролило свет на проблему устаревших систем безопасности. Во всем мире WannaCry привела к финансовым потерям в среднем на 4 миллиарда долларов.
3. NotPetya
NotPetya был глобальной атакой 2017 года, которая в первую очередь была нацелена на Украину. Первоначально считалось, что это новый штамм шифровальщика Petya – разновидность вредоносного ПО, которое заражает компьютер, шифрует его данные и требует выкуп в биткоинах для восстановления файлов. Однако позже NotPetya была признана совершенно новой разновидностью шифровальщиков, известной как wiper, единственной целью которой является уничтожение скомпрометированных данных вместо их возврата за выкуп.
4. BadRabbit
BadRabbit был штаммом шифровальщиков, которые заразили медиа-компании в России и Восточной Европе в 2019 году. Атака была проведена путем распространения поддельного обновления Adobe Flash, которое заражало устройства жертв при загрузке, направляя их на платежную страницу, где требовался выкуп в биткоинах. В отличие от атаки NotPetya, атака BadRabbit позволила расшифровать файлы, если был получен выкуп.
Как защитить себя от шифровальщиков
Как и в случае с любой угрозой информационной безопасности, методы профилактики почти всегда лучше, чем поиск лекарства, когда уже слишком поздно. Следуйте приведенным ниже рекомендациям по предотвращению угрозы, чтобы снизить вероятность нападения.
Как реагировать на атаку шифровальщиков
Если вы подверглись атаке шифровальщиков, время имеет решающее значение, и важно действовать как можно быстрее. Есть несколько шагов, которые вы можете предпринять, чтобы минимизировать ущерб и, надеюсь, быстро оправиться от атаки.
Можно ли удалить шифровальщика?
Удаление программ-шифровальщиков зависит от типа шифровальщика, с которыми вы имеете дело, а также вам потребуется программное обеспечение безопасности, уже установленное до атаки, но в некоторых случаях удаление возможно. Вот что вы можете сделать:
Шифровальщики представляют значительную угрозу как для домашних пользователей, так и для компаний, а злоумышленники, в свою очередь, проводят все более изощренные атаки по мере развития технологий. Когда дело доходит до собственной защиты, то профилактика почти всегда лучше, чем лечение после атаки – это означает, что для предотвращения атаки необходимо изучить программы-шифровальщики и способы безопасного использования ваших устройств. Для повышения безопасности убедитесь, что на всех ваших устройствах установлено антивирусное программное обеспечение, чтобы снизить вероятность заражения.
Вирус-шифровальщик. Лечение бесполезно?
Игры хакеров кончились. Теперь вирусы пишут с целью получить деньги. Зашифровать файлы, а затем потребовать выкуп за доступ к данным — классическая схема работы семейства вируса-шифровальщика. Можно ли восстановить файлы самостоятельно, и как избежать встречи с вирусом?
Что такое шифровальщик?
Под шифровальщиками (криптолокерами) подразумевается семейство вредоносных программ, которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере (известны, например, сbf, chipdale, just, foxmail inbox com, watnik91 aol com и др.).
Обычно вирус шифрует популярные типы пользовательских файлов: документы, электронные таблицы, базы данных 1С, любые массивы данных, фотографии и т. д. Расшифровка файлов предлагается за деньги — создатели требуют перечислить определенную сумму, обычно в биткоинах. И в случае, если в организации не принимались должные меры по обеспечению сохранности важной информации, перечисление требуемой суммы злоумышленникам может стать единственным способом восстановить работоспособность компании.
В большинстве случаев вирус распространяется через электронную почту, маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д. Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код. Вирус последовательно шифрует нужные файлы, а также удаляет исходные экземпляры методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных средств).
Современные шифровальщики
Шифровальщики и прочие вирусы, которые блокируют доступ пользователей к данным, — не новая проблема в информационной безопасности. Первые версии появились еще в 90-х годах, однако они в основном использовали либо «слабое» (нестойкие алгоритмы, малый размер ключа), либо симметричное шифрование (одним ключом шифровались файлы у большого числа жертв, также была возможность восстановить ключ, изучив код вируса), либо вообще придумывали собственные алгоритмы. Современные экземпляры лишены таких недостатков, злоумышленники используют гибридное шифрование: с помощью симметричных алгоритмов содержимое файлов шифруется с очень высокой скоростью, а ключ шифрования шифруется асимметричным алгоритмом. Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник, в исходном коде программы его не найти. Для примера, CryptoLocker использует алгоритм RSA с длиной ключа в 2048 бит в сочетании с симметричным алгоритмом AES с длиной ключа 256 бит. Данные алгоритмы в настоящее время признаны криптостойкими.
Компьютер заражен вирусом. Что делать?
Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере. Шифрование идет последовательно, скорость зависит от размера шифруемых файлов. Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.
После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную. Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам. В таком случае антивирусная программа может ничего и не обнаружить.
Главный вопрос — как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет. Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы, размещенные на сайтах производителей. Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.
Попробуйте воспользоваться утилитами восстановления удаленных файлов. Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт). Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.
Защита информации от уничтожения
Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.
Чего мы настоятельно не рекомендуем делать — идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.
Как защититься от вируса-шифровальщика. Превентивные меры
Предотвратить опасные последствия легче, чем их исправить:
Лучше всего это делать с помощью специализированных средств резервного копирования. Большинство криптолокеров умеют шифровать в том числе и резервные копии, поэтому имеет смысл хранить резервные копии на других компьютерах (например, на серверах) или на отчуждаемых носителях.
Ограничьте права на изменения файлов в папках с резервными копиями, разрешив только дозапись. Помимо последствий шифровальщика, системы резервного копирования нейтрализуют множество других угроз, связанных с потерей данных. Распространение вируса в очередной раз демонстрирует актуальность и важность использования таких систем. Восстановить данные гораздо легче, чем расшифровать!
Еще одним эффективным способом борьбы является ограничение на запуск некоторых потенциально опасных типов файлов, к примеру, с расширениями.js,.cmd,.bat,.vba,.ps1 и т. д. Это можно сделать при помощи средства AppLocker (в Enterprise-редакциях) или политик SRP централизованно в домене. В сети есть довольно подробные руководства, как это сделать. В большинстве случаев пользователю нет необходимости использовать файлы сценариев, указанные выше, и у шифровальщика будет меньше шансов на успешное внедрение.
Внимательность — один из самых эффективных методов предотвращения угрозы. Относитесь подозрительно к каждому письму, полученному от неизвестных лиц. Не торопитесь открывать все вложения, при возникновении сомнений лучше обратитесь с вопросом к администратору.
Предотвратим потерю информации
Александр Власов, старший инженер отдела внедрения систем защиты информации компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Что такое Ransomware
В нескольких словах: что такое трояны-вымогатели, почему о них надо знать и как от них защититься.
Этот текст предназначен для тех людей, которые либо вообще не слышали ничего о троянах-вымогателях, либо слышали, но особо не вникали. Здесь мы постараемся максимально просто и наглядно объяснить, что за звери такие трояны-вымогатели, почему их стоит опасаться и как от них защититься.
Что такое Ransomware?
Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которая за последнее время из просто распространенной стала очень-очень распространенной.
По тому, как они портят жизнь людям, их можно разделить на два основных типа — шифровальщики (крипторы, cryptoransomware) и блокировщики (blockers, блокеры).
Блокировщики получили свое имя за то, что они просто блокируют доступ к устройству. То есть воспользоваться не получится не просто файлами, а всем компьютером целиком. Они тоже требуют выкуп, но обычно не такой большой, как шифровальщики.
Почему о вымогателях стоит знать и что в них страшного
Начнем с того, что вымогателей стало уж очень много и встречаются они уж очень часто. Они есть для всех операционных систем: для Windows, для Mac OS X, для Linux и для Android. То есть трояны-вымогатели встречаются не только для компьютеров, но и для смартфонов и планшетов. Больше всего их для Windows и Android.
К тому же заразиться довольно просто: трояны-вымогатели чаще всего попадают в компьютер, когда пользователи открывают нехорошие почтовые вложения, переходят по сомнительным ссылкам или устанавливают приложения из неофициальных источников. Но могут проникать и с абсолютно добропорядочных сайтов — например, злоумышленники навострились подсовывать их в рекламу.
Также преступники научились убеждать людей, что им предлагается скачать или открыть что-то полезное — письмо из банка, счет, какую-нибудь ценную программу и так далее. При этом на самом деле на компьютер попадает блокировщик или шифровальщик.
Пожалуй, главная проблема шифровальщиков состоит в том, что просто вылечить их вы не сможете. То есть если вы попытаетесь вылечить шифровальщика антивирусом или специальной утилитой, то у вас это, скорее всего, получится — вот только файлы это не вернет: они так и останутся зашифрованными.
Более того, заплатить выкуп — тоже не универсальное лекарство. Во-первых, это дорого. Во-вторых, это поощряет преступников делать новых и новых шифровальщиков. А в-третьих, это еще и не всегда помогает. Согласно нашей статистике, 20% тех, кто все-таки заплатил мошенникам выкуп, так и не получили обратно свои файлы. Просто потому, что преступники — это преступники. Не стоит ждать от них честности.
Как расшифровать файлы?
Если шифровальщик проник в систему и успел натворить дел, то просто так сами вы файлы не расшифруете. Вариантов, по сути, два. Можно, конечно, заплатить выкуп злоумышленникам, но мы бы этого делать не советовали по вышеуказанным причинам.
Второй вариант — зайти на сайт noransom.kaspersky.com и посмотреть, нет ли там декриптора, который помог бы вам расшифровать файлы. Все наши декрипторы абсолютно бесплатны, но, к сожалению, далеко не от всех шифровальщиков получается создать такое лекарство. Так что лучше не доводить до крайностей и защищаться от них заранее.
Как защититься от вымогателей?
Не открывайте подозрительные вложения в почте, не ходите по сомнительным сайтам и не скачивайте программы с каких-либо сайтов, кроме официальных магазинов и сайтов самих разработчиков.
Регулярно делайте резервные копии важных файлов. Если все ваши файлы есть не только на компьютере, но и на отдельном жестком диске или в облаке, то можно просто вылечить шифровальщика и скопировать файлы обратно на компьютер.
Установите хороший антивирус. Например, Kaspersky Internet Security, в котором есть специальный модуль «Мониторинг активности», отлично защищающий от шифровальщиков. Кстати, по данным одного из недавних независимых тестирований, Kaspersky Internet Security справляется со 100% троянов-вымогателей.
На нашем блоге есть более подробный текст, из которого вы можете узнать больше о различных видах вымогателей и о том, откуда они берутся, а также почерпнуть еще несколько полезных советов по борьбе с ними. Ну а чтобы какой-нибудь новый шифровальщик не застал вас врасплох, советуем следить за новостями.
Сага о программах-вымогателях
Рассказываем историю программ-вымогателей — как из немного наивных блокировщиков экрана они выросли в монстров, способных парализовать целый аэропорт.
Если вы следите за миром информационной безопасности, то в последние годы наверняка много слышали о программах-вымогателях. Возможно, вам даже не повезло лично столкнуться с разрушительными последствиями их атак. Пожалуй, их без преувеличения можно назвать самыми опасными зловредами современности.
Но знаете ли вы, что такие вредоносные программы существуют уже более 30 лет, а особенности современных атак ученые предсказали еще в середине 90-х? Хотите узнать, почему на смену блокировщикам пришли шифровальщики, какую сумму составил самый крупный в истории выкуп и при чем тут СПИД?
Мы составили для вас хронологию развития вымогательского ПО и нашли ответы на все эти — и многие другие — вопросы. Предлагаем вместе проследить, как менялись блокировщики, шифровальщики и вайперы в последние десятилетия.
Словарь вымогателей
В тексте вам часто будут встречаться некоторые термины. Чтобы вы не запутались, но и не отвлекались от сюжета на сноски, мы решили собрать и разъяснить их прямо в начале. Можете прочитать этот словарик сразу или возвращаться к нему, когда встретите что-то непонятное.
Криптография — наука о том, как не дать посторонним прочитать секретную информацию. Занимается в том числе вопросами шифрования.
Симметричное шифрование — способ шифрования данных, при котором один и тот же ключ используется и для шифрования, и для расшифровки информации.
Асимметричное шифрование — метод шифрования данных, предполагающий использование двух ключей — открытого (или публичного) для шифрования информации и закрытого (или приватного) для расшифровки. Что важно: знание открытого ключа никак не помогает в восстановлении данных, для этого нужен именно закрытый.
Алгоритм RSA — популярный вариант асимметричного шифрования.
Программа-вымогатель (ransomware) — любая вредоносная программа, вынуждающая жертву заплатить выкуп злоумышленнику. Вымогатели можно разделить на несколько групп: блокировщики, шифровальщики и притворяющиеся шифровальщиками вайперы.
Блокировщик — разновидность программы-вымогателя, блокирующая или имитирующая блокировку компьютера или мобильного устройства. Обычно зловред размещает неотключаемое сообщение с требованием оплаты поверх всех остальных окон.
Шифровальщик — разновидность программы-вымогателя, шифрующая пользовательские файлы, чтобы их невозможно было использовать.
Вайпер — в целом это разновидность вредоносного ПО, предназначенная для уничтожения данных на диске компьютера жертвы. Иногда программы-вымогатели, притворяющиеся шифровальщиками, в действительности оказываются вайперами — они необратимо повреждают файлы, так что даже после уплаты выкупа восстановить их все равно невозможно.
RaaS (Ransomware-as-a-Service) — схема криминальной деятельности, в которой создатели программы-шифровальщика сдают ее в аренду любым желающим заняться ее распространением за процент с дохода. Получается своего рода киберкриминальная франшиза.
1989 — первая атака шифровальщика
Автором первого вымогателя-шифровальщика стал доктор биологических наук Джозеф Попп (Joseph L. Popp), который решил подзаработать на людях, интересующихся синдромом иммунодефицита, благодаря чему зловред и получил свое название — AIDS (СПИД по-английски).
Поскольку в те времена Интернет был еще в зачаточном состоянии, для доставки вымогателя Попп использовал весьма оригинальный по современным меркам способ. Злоумышленник каким-то образом добыл списки почтовых адресов подписчиков конференции ВОЗ по СПИДу и журнала PC Business World, после чего высылал жертвам дискету с наклейкой «Информация по СПИД, ознакомительная дискета» и подробной инструкцией. Получателям предлагали установить программу, ответить на вопросы и получить информацию о том, как лично им минимизировать риски заражения. Лицензионное соглашение гласило, что, устанавливая программу, разработанную некоей PC Cyborg Corporation, пользователь обязуется выплатить компании 378 долларов. Но кто же воспринимает такое всерьез?
На самом деле установщик служил для доставки зловреда на жесткий диск. Через определенное количество загрузок системы AIDS начинал действовать: он шифровал имена файлов (включая расширение) на диске C: зараженного компьютера. Имена превращались в мешанину случайных символов, так что с файлами становилось невозможно работать нормальным образом: к примеру, чтобы открыть или запустить файл, надо было для начала понять, какое у него должно быть расширение, и изменить его вручную.
Зловред использовал симметричное шифрование, так что ключ, позволяющий восстановить файлы, содержался прямо в его коде. Поэтому решить проблему было сравнительно несложно: необходимо было достать ключ, удалить зловред и восстановить имена файлов. Уже в январе 1990 года советник редакции Virus Bulletin Джим Бейтс (Jim Bates) создал для этого программы AIDSOUT и CLEARAID.
Сам Джозеф Попп был арестован, но суд признал его невменяемым. Что, впрочем, не помешало ему в 2000 году издать книгу «Популярная эволюция: жизненные уроки из антропологии» (Popular Evolution: Life-Lessons from Anthropology).
1995–2004 — Янг, Юнг и вымогатель будущего
AIDS не смог обогатить своего создателя — возможно, поэтому идея шифрования данных с целью получения выкупа не вызвала большого энтузиазма у мошенников. Интерес к ней вернулся только в 1995 году, причем со стороны научного сообщества.
Криптографы Адам Янг (Adam L. Young) и Моти Юнг (Moti Yung) захотели понять, каким будет самый мощный компьютерный вирус. В результате они пришли к концепции криптовирусного вымогательства (cryptoviral extortion) с использованием асимметричного шифрования.
Вместо одного ключа для кодирования файлов, который пришлось бы добавлять в код программы, в их модели применялись два, что позволяло сохранить ключ для расшифровки в секрете. Причем Янг и Юнг предположили, что жертву заставят платить электронными деньгами, которых в те времена еще не было.
Свои мысли пророки от кибербезопасности представили в 1996 году на конференции IEEE Security and Privacy, где эти идеи были восприняты как несколько вульгарные. В 2004 году вышла книга «Вредоносная криптография: раскрытие криптовирологии» (Malicious Cryptography: Exposing Cryptovirology), в которой Янг и Юнг систематизировали результаты своих исследований.
2007–2010 — золотые годы блокировщиков
Пока шифровальщики ждали своего часа, мир увидел расцвет других троянов — блокировщиков. Это были довольно примитивные вымогатели, которые затрудняли нормальную работу операционной системы.
Для этого зловред прописывал себя в автозагрузку Windows, а для защиты от удаления зачастую блокировал редактор реестра и диспетчер задач. Методы воздействия на жертву были самыми разнообразными: незакрываемое окно или смена обоев. Среди способов оплаты, кроме прочего, фигурировали SMS на платные номера.
Обезвреживание вымогателей-блокировщиков обычно даже не требовало антивирусной программы, но предполагало достаточно высокую квалификацию пользователя. Чтобы удалить зловреда вручную, нужно было, например, загрузить систему с LiveCD, запуститься в безопасном режиме или войти в Windows из другого профиля.
Однако относительно невысокая опасность компенсировалась простотой написания «блокировщиков». Появились даже автоматические генераторы таких троянов, поэтому их распространители брали количеством.
Зачастую зловред размещал на рабочем столе порнобаннер, а жертвам угрожали проблемами за просмотр запрещенного контента (эта тактика используется до сих пор). А поскольку размер требуемого выкупа был небольшим, многие предпочитали не обращаться за помощью, а расстаться с деньгами.
2010 — шифровальщики с асимметричным шифрованием
В 2011 году разработчики шифровальщиков заметно активизировались и, как и предсказывали Юнг и Янг, начали использовать асимметричное шифрование. Модификация шифровальщика Gpcode была основана на алгоритме RSA.
2013 — гибридный вымогатель CryptoLocker
Конец 2013 года ознаменовался появлением комбинированных зловредов, которые были сразу и блокировщиками, и шифровальщиками. Такая концепция повышала шансы киберпреступников получить выкуп, поскольку даже удалив вредоносное ПО и сняв таким образом блокировку, жертва не получала доступа к информации. Пожалуй, наибольшую известность из таких гибридов приобрел вымогатель Cryptolocker. Для распространения CryptoLocker использовались спам-рассылки, а оплату злоумышленники принимали в биткойнах.
2015 — блокировщики сменились шифровальщиками
По данным «Лаборатории Касперского», в 2015 году начался лавинообразный рост попыток заражения шифровальщиками. Количество атак с использованием этого типа вымогателей выросло в 5,5 раз. Шифровальщики стали преобладать над блокировщиками.
Победа шифровальщиков была обусловлена несколькими причинами. Прежде всего, пользовательские файлы значительно ценнее системы и прикладных программ, которые всегда можно переустановить. Это позволило мошенникам требовать с жертвы значительно больший выкуп — и повышало шансы его получить.
Кроме того, к 2015 году уже получили достаточно широкое распространение криптовалюты, которые обеспечивали анонимность, поэтому злоумышленники не опасались отслеживания транзакций — биткойн позволял получать крупные суммы выкупа и не засветиться.
2016 — массовые вымогатели
Программы-вымогатели продолжили набирать популярность. Количество разновидностей вымогателей в 2016 году выросло в 11 раз, причем сумма требуемого выкупа колебалась от 0,5 до сотен биткойнов (которые, напомним, на тот момент были раз в 100 дешевле, чем сейчас). Главным направлением атак стал уже не пользовательский, а корпоративный сектор. Появились все основания говорить о появлении нового сегмента преступной индустрии.
Самостоятельно разрабатывать вредоносное ПО стало не обязательно — его можно было просто купить. Например, в продаже появилась «пожизненная лицензия» на вымогатель Stampado. После шифровки зловред угрожал удалить случайные файлы через определенный период времени, чтобы напугать пострадавших пользователей и заставить их заплатить выкуп.
Программы-вымогатели стали доступны и как услуга: модель RaaS (Ransomware-as-a-Service — термин вошел в обиход после появления вымогателя Encryptor RaaS) повысила доступность программ-вымогателей, позволив злоумышленникам не разрабатывать собственное ПО и средства его распространения.
2016–2017 — Petya, NotPetya и WannaCry
В апреле 2016 года появился новый зловред Petya. Если до него шифровальщики оставляли операционную систему нетронутой, чтобы жертва могла заплатить выкуп, то Petya превращал в «кирпич» весь зараженный компьютер. Причина в том, что объектом атаки были не отдельные файлы, а MFT (главная файловая таблица) — база данных, в которой хранится вся структура папок и файлов на жестком диске.
При всей разрушительности у «Пети» были проблемы с механизмом внедрения и распространения. Для его активации жертве нужно было вручную скачать и запустить исполняемый файл, что затрудняло заражение. Он мог бы не оставить значимого следа в истории, если бы не другой вымогатель — печально известный WannaCry.
Не прошло и двух месяцев после начала эпидемии WannaCry, как появился еще один шифровальщик, модифицированный под использование EternalBlue, — NotPetya, также известный как ExPetr. Научившись проникать в сеть через обновление украинского ПО для подачи финансовой отчетности в контролирующие органы (злоумышленникам удалось скомпрометировать инфраструктуру компании-разработчика) и распространяться по компьютерам подобно WannaCry, NotPetya пожирал жесткие диски целиком.
Атака WannaCry была настолько разрушительной, что компания Microsoft срочно выпустила патч для защиты от уязвимости для уже не поддерживаемых ОС. Для поддерживаемых систем обновления были доступны задолго до начала обеих эпидемий, однако далеко не все их установили, и эти два вымогателя еще долго напоминали о себе.
2017 — миллион за расшифровку
Сначала киберпреступники запросили в 4,5 раза больше, но в результате переговоров размер выкупа удалось уменьшить. Больше всего экспертное сообщество удивило то, что компания публично заявила о выплате денег злоумышленникам — чаще всего жертвы предпочитают не афишировать подобные вещи.
Всего на тот момент существовало как минимум восемь группировок, которые специализировались на создании программ-вымогателей, нацеленных на бизнес. Рядовые пользователи тоже оставались под прицелом.
2018–2019 — угроза для общества
Эти годы запомнились массовыми атаками вымогателей на социально значимые объекты. Если раньше преступники выбирали в качестве жертв частных лиц и коммерческие компании, то теперь под прицел все чаще попадают организации, которые отвечают за транспорт, водо- и электроснабжение, здравоохранение. Злоумышленники рассчитывают, что их руководство согласится заплатить выкуп, даже очень крупный, чтобы не причинять неудобство тысячам людей.
Так, сотрудникам международного аэропорта Бристоля в 2018 году из-за успешной атаки шифровальщика в течение нескольких дней пришлось писать расписание рейсов на бумажных плакатах. К чести сотрудников аэропорта, им удалось своевременно заметить атаку, быстро среагировать на нее и даже в таких сложных условиях обойтись без серьезных изменений в расписании — и не платить выкуп.
2020 — рост масштабов и шантаж сливом данных
Кроме продолжающегося роста масштабов заражения, его последствий и размеров выкупа, 2020 год запомнился новыми гибридами: все чаще вымогатели, прежде чем зашифровать данные, пересылают их своим «хозяевам». Дальше в ход идет шантаж сливом информации конкурентам или публикацией в общем доступе, что в эпоху особого внимания к персональным данным может быть смертельно для бизнеса. Впервые эту тактику освоила группировка Maze еще в 2019 году, но в 2020-м она стала настоящим трендом.
Так, жертвой одного из самых громких инцидентов 2020 года стала сеть косметологических клиник Transform Hospital Group. Преступная группа REvil зашифровала и выкрала 900 ГБ данных, в том числе фотографии пациентов до и после операции, которые злоумышленники угрожали опубликовать, если не получат выкупа.
Кроме того, в 2020 году операторы шифровальщиков-вымогателей взяли на вооружение еще несколько новых тактик. Во-первых, группировка REvil начала проводить аукционы по продаже украденной информации. А во-вторых, злоумышленники стали объединяться в своеобразные картели. Первым таким картелем оказалась группировка Maze, которая начала выкладывать на своем сайте информацию, похищенную шифровальщиком LockBit. По словам злоумышленников, они теперь плотно сотрудничают с LockBit, причем не только предоставляют свою платформу для слива данных, но и делятся опытом.
Они также похвастались, что скоро к картелю присоединится еще одна группа — RagnarLocker, которая примечательна тем, что одной из первых в качестве дополнительного средства давления на шантажируемые компании стала устраивать DDoS-атаки на ресурсы жертв.
Заключение
За тридцать лет программы-вымогатели из относительно безобидных игрушек трансформировались в серьезную угрозу как для пользователей всех платформ, так и для бизнеса. Чтобы защитить себя от атак, важно соблюдать несколько правил безопасности. Даже если избежать взлома все же не удалось, важно не идти на поводу у преступников, а обращаться за помощью к специалистам.