Защита от программ-вымогателей 101: все, что вам нужно знать

[Tomcat]

Главы​

1. Как работает программа-вымогатель?
2. Стоит ли платить выкуп?
3. Кто несет ответственность за атаки программ-вымогателей?
4. Цели программ-вымогателей
5. Как избежать программ-вымогателей
6. Различные типы программ-вымогателей
7. Крупные атаки программ-вымогателей
8. Краткое содержание

В этом руководстве объясняется, что такое программы-вымогатели и как защитить себя и не стать жертвой программ-вымогателей.

Что такое программы-вымогатели?
Программа-вымогатель — это вредоносное ПО, предназначенное для шифрования файлов на компьютере или мобильной системе, чтобы сделать их недоступными для законных пользователей.
В случае атаки он требует от жертвы выкуп за расшифровку файлов и восстановление системы в исходное состояние. Он дает жертве инструкции заплатить выкуп, часто большую сумму денег, которую необходимо выплатить в виде неотслеживаемых транзакций с биткойнами.
Если жертва не соблюдает правила, они могут даже угрожать ей передать конфиденциальные данные третьим лицам в незаконных целях.
Программы-вымогатели распространены по всему миру и часто появляются новые варианты. Любая компьютерная система, не имеющая адекватных профилактических мер, уязвима для атак программ-вымогателей.
Краткое описание: Программы-вымогатели — это разновидность вредоносного программного обеспечения, которое блокирует и шифрует файлы на компьютере или мобильном устройстве, лишая законного владельца доступа к ним.
Затем киберпреступник, стоящий за атакой, требует плату в обмен на расшифровку файлов и возвращение системы в нормальное состояние.
Чтобы осуществить атаку, злоумышленники сначала идентифицируют и собирают информацию о потенциальных целях, тщательно изучая слабые места безопасности своих компьютеров и сетей.
Злоумышленники используют различные методы проникновения в системы, включая фишинговые электронные письма, целевые фишинговые кампании, попутные загрузки, использование зараженных съемных носителей и использование уязвимостей в портах протокола удаленного рабочего стола (RDP).
Попав внутрь системы, программа-вымогатель начинает свою вредоносную деятельность, сначала обнаруживая и отключая файлы резервных копий, чтобы затруднить восстановление данных, а затем шифрует системные файлы.
После шифрования файлов он уведомляет жертву о компрометации и требует выкуп за ключ дешифрования.
Даже если выкуп будет уплачен, некоторые жертвы сообщают, что не могут восстановить свои файлы с помощью предоставленного ключа дешифрования, что приводит к потере как их денег, так и данных.
Часто украденные данные продаются в даркнете.

Как работает программа-вымогатель?​

Злоумышленники, использующие программы-вымогатели, планируют реализацию, идентифицируя потенциальных жертв, собирая их информацию и анализируя уязвимости безопасности компьютеров и сетей жертв.
Обычно программа-вымогатель проходит 5 этапов: от заражения до расшифровки, о которых мы расскажем подробнее.

1. Доставка программ-вымогателей​

Чтобы программа-вымогатель проникла в систему, злоумышленникам необходимо манипулировать жертвой, чтобы она выполнила определенное действие. Для этой цели злоумышленники используют несколько путей входа.
Сначала злоумышленники придумывают, как программа-вымогатель доставляется в целевую систему. Во-первых, злоумышленники планируют, как программа-вымогатель будет доставлена в целевую систему.

Как программы-вымогатели попадают в систему?​

Способ доставки программ-вымогателей	Как вирус-вымогатель доставляется этим методом?
Фишинг	Жертвы получают электронные письма или сообщения в чатах социальных сетей с вредоносной ссылкой или вложением, например PDF-документом, который выглядит безвредным. Как только пользователь нажимает на ссылку или открывает вложение, программа-вымогатель попадает в систему.
Целевой фишинг	Злоумышленники, маскирующиеся под надежные источники, отправляют вредоносные электронные письма конкретным лицам или компаниям. Они используют персонализированные сообщения, чтобы ловко убедить жертву выполнить действие и внедрить программу-вымогатель. Например, отправитель может быть замаскирован под вашу службу поддержки и попросит вас сменить пароль, в противном случае вы потеряете доступ. Даже самый знающий человек может стать жертвой таких писем.
Попутные загрузки	Злоумышленники скомпрометировали веб-страницу, используя «наборы эксплойтов», встраивающие вредоносные коды. Когда жертва посещает эту страницу, вредоносный код запускается и автоматически сканирует посещающее устройство, чтобы выявить любые пробелы в безопасности. В случае обнаружения наборы эксплойтов запускают эксплойт и загружают программу-вымогатель.
Съемные медиа	USB-накопители могут использоваться в качестве рекламных подарков, внутри которых может содержаться программа-вымогатель. После подключения к устройству на компьютер будет развернута программа-вымогатель.
Открытые порты протокола удаленного рабочего стола (RDP)	Когда порты RDP открыты для Интернета, он становится уязвимым для кибератак. Злоумышленники сканируют открытые порты RDP и используют украденные учетные данные для входа в систему. Получив доступ, отключите системы безопасности и доставьте полезную нагрузку программы-вымогателя.

2. Установка и выполнение​

После того как программа-вымогатель попадает в систему, начинается установка и выполнение. На этом этапе он определит файлы резервных копий в системе, чтобы предотвратить восстановление данных с использованием резервных копий. Некоторые программы-вымогатели удаляют программное обеспечение безопасности в системе перед его установкой.

3. Шифрование​

Закрытый ключ, ключ дешифрования, известен только злоумышленнику. Закрытый ключ, ключ дешифрования, известен только злоумышленнику.
Тогда он нанесет реальный ущерб системе, зашифровав системные файлы. Он использует метод шифрования военного уровня, такой как асимметричное шифрование, которое невозможно взломать. Некоторые программы-вымогатели на этом этапе могут заразить главную загрузочную запись (MBR), полностью блокируя доступ к системе. (Однако имейте в виду, что существуют типы программ-вымогателей, которые не шифруют файлы, о которых мы поговорим в разделе «Типы программ-вымогателей»).

4. Уведомление о выкупе​

После завершения процедуры шифрования жертве будет отображено сообщение о том, что она была скомпрометирована и должна заплатить деньги за расшифровку файлов.
Иногда жертве предлагается прочитать файл, чтобы узнать, как ей заплатить. Обычно злоумышленники просят заплатить выкуп в криптовалюте, поскольку ее сложно отследить.

Расшифровка после выплаты выкупа​

Когда выкуп будет выплачен, злоумышленник предоставит ключ дешифрования, чтобы разблокировать зашифрованные файлы. Однако бывают случаи, когда компании не могут восстановить данные с помощью ключа шифрования, безвозвратно теряя как деньги, так и данные.
Чаще всего украденные данные продаются в даркнете.

Стоит ли платить выкуп?​

Решение платить или не платить за программу-вымогатель зависит от того, насколько критичны и срочны данные. Иногда решение заплатить выкуп может быть худшей идеей, поскольку новости Касперского показали, что более половины жертв заплатили выкуп, но только четверть жертв смогли вернуть свои данные.
Таким образом, уплата выкупа не гарантирует, что вы вернете свои данные. Выплата выкупа также побуждает киберпреступников продолжать подобные атаки.
Следовательно, вам следует во что бы то ни стало воздержаться от выплаты выкупа, а вместо этого сообщить об атаке ответственным лицам и принять меры под их руководством.

Кто несет ответственность за атаки программ-вымогателей?​

Кто стоит за атаками программ-вымогателей и являются ли их единственным мотивом деньги? Как обнаружили следователи по кибербезопасности, за атаками программ-вымогателей стоят два типа преступников.
У них разные мотивы нападения, и они, как правило, являются экспертами в сокрытии своей настоящей личности.

Организованные банды киберпреступников​

Организованные киберпреступники хорошо оснащены всеми необходимыми инструментами и технологиями для планирования атак и поиска потенциальных целей.
Это сеть киберпреступников, которые сделали программы-вымогатели своей профессией. У них есть автоматизированные стратегии для проведения атак, обработки выкупов и процесса расшифровки.
Им удается поразить несколько жертв за одну атаку, обычно требуя от каждой жертвы лишь меньший выкуп. Террористические группы могут даже поддерживать некоторых из них для отмывания денег, полученных от террористической деятельности.

Киберпреступники возглавляются государствами​

Поступали сообщения о том, что за атаками программ-вымогателей стоят такие страны, как Северная Корея, Россия и Иран, на которые наложены санкции со стороны иностранных правительств. Их намерение состоит не только в том, чтобы украсть деньги, но и в том, чтобы создать хаос внутри стран в качестве мести своим противникам. Например:

• Атаку с использованием программы-вымогателя SamSam в 2018 году предположительно возглавили два иранских хакера.
• NotPetya возглавляла российская военная разведка .
• Атаку Wannacry возглавила северокорейская киберпреступная группировка под названием «Лазарь». Есть несколько причин, таких как отсутствие четкой расшифровки, использование только трех платежных адресов и отсутствие связи с жертвами, и мы можем подозревать, что настоящим мотивом не является финансовая выгода.

Цели программ-вымогателей​

Злоумышленники, использующие программы-вымогатели, нацелены на системы с критически важными и конфиденциальными данными. Они нацелены как на крупный, так и на малый бизнес. Если к данным нужен немедленный доступ, то есть вероятность, что жертва согласится быстро заплатить выкуп.
Они также нацелены на организации, имеющие устаревшие системы безопасности с уязвимостями и неэффективными методами обеспечения безопасности. Здесь, в этом разделе, мы определим три основные цели программ-вымогателей, которые часто становятся их жертвами.

Здравоохранение​

В медицинских учреждениях хранятся важные для пациентов медицинские записи, к которым требуется немедленный доступ. В противном случае это может быть опасно для жизни пациентов. Например, программа-вымогатель Wannacry нанесла ущерб Национальной службе здравоохранения Великобритании в 2017 году, вынудив ее отменить операции и приемы, а также переместить пациентов неотложной помощи.
В новостях говорится, что из-за нападения Национальной службе здравоохранения пришлось отменить 19 000 встреч, модернизировать ИТ-системы и провести очистку, что обошлось им в 92 миллиона фунтов стерлингов.

Образование​

Образовательные учреждения, такие как университеты, школы и колледжи, располагают конфиденциальными исследовательскими данными, интеллектуальной собственностью, а также личными и финансовыми данными сотрудников.
Им часто не хватает строгих принципов кибербезопасности из-за бюджетных ограничений. Большинству студентов не хватает надлежащих знаний о кибератаках, и они рискуют использовать сеть.
Таким образом, они особенно уязвимы для кибератак. Например, в 2016 году Университет Калгари заплатил 20 000 долларов в биткойнах программе-вымогателю, атаковавшей его компьютерную систему. В частности, в секторе образования наблюдается всплеск атак с использованием программ-вымогателей из-за увеличения онлайн-обучения.

Государственные органы​

Правительственные учреждения, особенно департаменты безопасности, обрабатывают конфиденциальную общественную информацию, например, военную и криминальную информацию.
Такие агентства должны принять немедленные меры в случае утечки данных и готовы заплатить выкуп, чтобы как можно быстрее восстановить атакованную систему.
Кроме того, они затем привлекают частные компании к оказанию определенных услуг. Программы-вымогатели могут атаковать таких третьих лиц и проникнуть в критически важную инфраструктуру правительств.
Помимо бизнеса, подпадающего под вышеуказанные категории, программы-вымогатели нацелены на следующие сектора.

• Розничная торговля и финансы
• Коммунальные компании
• Мультимедийные провайдеры
• HR-отделы
• Мобильные устройства
• Поставщики облачных вычислений
• Юридические фирмы
• Нефтяные и энергетические компании

Как избежать программ-вымогателей​

От атаки программы-вымогателя до тех пор, пока вы не выздоровеете, ущерб может быть невыносимым в финансовом и эмоциональном плане. Поэтому в первую очередь сосредоточьтесь на предотвращении программ-вымогателей, поскольку предотвращение — лучшая защита от программ-вымогателей. В этом разделе мы обсудим 10 способов предотвратить внедрение программ-вымогателей в вашу систему.

Методы защиты от программ-вымогателей​

• Воздержитесь от перехода по подозрительным ссылкам и открытия небезопасных вложений – Фишинг Воздержитесь от перехода по подозрительным ссылкам и открытия небезопасных вложений – Фишинговые электронные письма могут исходить от отправителей, замаскированных под правоохранительные органы, бухгалтерские фирмы или ваших близких знакомых. Всегда проверяйте адрес электронной почты и информацию об отправителе. Если вы получаете личные сообщения от неизвестных людей или близких знакомых, содержащие ссылки, всегда уточняйте у отправителя, чтобы подтвердить их легитимность.
• Избегайте раскрытия личной информации. Чтобы проникнуть в вашу систему, программа-вымогатель может собрать вашу информацию. Они могут просматривать ваши профили в социальных сетях, чтобы найти ключевую информацию. Таким образом, не разглашайте свою личную информацию без необходимости.
• Поддерживайте актуальность операционных систем и программного обеспечения. Убедитесь, что операционная система (ОС) и программное обеспечение находятся в последней версии, позволяющей автоматические обновления. Обновления ОС не только содержат новейшие функции, но также содержат исправления безопасности для устранения любых недостатков безопасности в системе.
• Регулярное резервное копирование. Сохраняйте резервные копии файлов, особенно наиболее важных файлов, и храните их вне сети в нескольких местах. Потому что, как упоминалось ранее, программы-вымогатели нацелены на резервные копии внутри системы. Облачные платформы идеально подходят для хранения резервных копий, поскольку оснащены самыми современными технологиями резервного копирования и восстановления.
• Загрузка с надежных сайтов. Воздержитесь от загрузки программного обеспечения с ненадежных сайтов. Всегда проверяйте URL-адрес и посещайте сайты, URL-адреса которых содержат только HTTPS или имеют замки в адресной строке. Будьте особенно осторожны при загрузке бесплатного программного обеспечения и игр.
• Обеспечьте необходимое обучение безопасности. Сообщите пользователям вашей системы о причинах и действиях программ-вымогателей. Расскажите своим пользователям о лучших практиках и правилах, которых им следует придерживаться, чтобы избежать таких атак вредоносных программ, проводя регулярное обучение по вопросам безопасности. Это обучение должно включать моделирование фишинга с использованием программ-вымогателей, чтобы выявить пользователей, которым требуется дополнительная подготовка по кибербезопасности.
• Настройте защиту электронной почты — фильтрацию спама для выявления наиболее распространенных типов файлов-вымогателей, таких как .exe, .vbs и .scr. Сканируйте и отслеживайте электронные письма, циркулирующие в вашей системе, с помощью защищенных шлюзов электронной почты, которые могут блокировать фишинговые атаки. Вам также следует использовать службы зашифрованной электронной почты, такие как ProtonMail .
• Используйте программное обеспечение для защиты от программ-вымогателей. Это программное обеспечение предназначено для выявления вредоносных программ, включая программы-вымогатели. У них есть инструменты защиты от программ-вымогателей Light-8, которые регулярно сканируют ваш компьютер и удаляют их, если программы-вымогатели обнаружены. Для персональных компьютеров доступно бесплатное программное обеспечение для защиты от программ-вымогателей.
• Используйте защиту конечных точек. Определенный трафик может быть подвержен атакам программ-вымогателей. Решения по обеспечению безопасности конечных точек обеспечивают безопасность всей корпоративной сети со всеми подключенными к ней конечными точками. Он может защитить ваше устройство от такого трафика, связанного с программами-вымогателями, проникающего на ваш компьютер.
• Определите контроль доступа. Используйте принцип наименьших привилегий, при котором пользователям вашей системы предоставляется минимальный уровень разрешений. Только пользователи с более высокими привилегиями могут получать доступ к конфиденциальным данным в системе и манипулировать ими.

Различные типы программ-вымогателей​

Все выявленные на данный момент программы-вымогатели делятся на две категории: программы-вымогатели-криптовалюты и программы-вымогатели для шкафчиков.

Крипто-вымогатели и программы-вымогатели для шкафчиков​

Крипто-вымогатели​

Крипто-вымогатели обычно проникают в компьютерную систему жертвы и шифруют файлы, используя надежный метод шифрования. Обычно это не блокирует систему. Жертвы по-прежнему могут получить доступ к незашифрованным частям.

Шкафчик-вымогатель​

Программа-вымогатель Locker блокирует и выключает компьютеры жертв. Эта программа-вымогатель обычно не проникает во всю компьютерную систему и не шифрует файлы. Иногда пользователи могут даже обнаружить, что их мышь или клавиатура зависли и позволяют работать только с окном выкупа.

Популярные типы программ-вымогателей​

Тип программы-вымогателя	способ доставки	Функции
КриптоЛоккер	Фишинговые вложения электронной почты и через одноранговый ботнет Gameover Zeus	Созданный в 2013 году, он использовал асимметричное шифрование для шифрования файлов. В записке о выкупе жертв предупреждалось, что ключ будет удален, если они не заплатят выкуп. Жертвы должны были получить закрытый ключ для расшифровки файлов через онлайн-сервис. Он был полностью закрыт в 2014 году.
КриптоСтена	Вредоносные вложения в формате PDF и наборы эксплойтов на зараженных веб-сайтах	Он шифрует файлы и шифрует имена файлов, что затрудняет их идентификацию жертвам. Существует несколько вариантов криптостена, включая CryptoWall 3.0, CryptoWall 3.0 и CryptoBit.
Головоломка	Вредоносные вложения в спам-сообщениях	Один из самых разрушительных типов программ-вымогателей, которые постепенно удаляют зашифрованные файлы, чтобы убедить жертву быстро заплатить выкуп. В течение 72 часов он будет удалять файлы в час. Если по прошествии 72 часов выкуп не будет выплачен, остальные зашифрованные файлы будут удалены.
Золотой глаз	Уязвимость Microsoft SMBv1	Появился в 2017 году и сильно ударил по многим украинским компаниям. Он не только шифрует файлы, но и шифрует главную загрузочную запись (MBR), полностью блокируя доступ к компьютеру.
Локки	Целевые фишинговые электронные письма с прикрепленным документом Word.	Документ Word содержит вредоносные макросы. Когда жертва включает макрос, она загружает программу-вымогатель и начинает шифровать файлы.
Хочу плакать	Через EternalBlue, разработанный Агентством национальной безопасности (АНБ) для старых версий Windows.	Выпущенный в 2017 году этот вирус-вымогатель предназначался для операционных систем Windows. Содержит несколько компонентов — первоначальный дроппер, шифратор и дешифратор. Он использует уязвимость в протоколе Microsoft Server Message Block (SMB).
BadRabbit	Загрузка с диска – маскировка под установщик Adobe Flash на взломанных веб-сайтах	BadRabbit впервые появился в 2017 году, заразив компании в России и Восточной Европе. Злоумышленники потребовали выплатить 0,05 биткойна, что составило $285 в течение 40 часов после атаки.
Цербер	Фишинговые электронные письма, зараженные веб-сайты и реклама	Cerber — это программа-вымогатель как услуга, которая лицензирует программу-вымогатель и предоставляет ее другим киберзлоумышленникам в обмен на определенный процент выкупа. Он появился в 2016 году и нацелен на миллионы пользователей Office 365.
Крайзис	Фишинговые электронные письма с двойным расширением файлов, легальным программным обеспечением и через протокол Windows RDP.	Использует шифрование AES-256 и RSA-1024, применяемое к фиксированным, съемным и сетевым дискам.
CTB-Locker, он же Curve-Tor-Bitcoin Locker	Письма с прикрепленным зараженным ZIP-файлом	Использует криптографию с эллиптической кривой (ECC) для шифрования файлов на жестком диске жертвы. Впервые заразившиеся 204 злоумышленники потребовали более высокий выкуп за CTB-Locker по сравнению с другими программами-вымогателями.
КеРейнджер	Зараженный установщик под названием Transmission	Появившийся в 2016 году, он успешно заражал компьютеры Mac, удаленно выполняясь на компьютере жертвы.

Крупные атаки программ-вымогателей​

Программы-вымогатели затронули множество организаций в разных странах. Согласно статистике кибербезопасности, к 2025 году стоимость атак оценивается в 6 триллионов долларов в год.
Давайте обсудим наиболее известные и влиятельные атаки программ-вымогателей, которые произошли до сих пор, и то, как они повлияли на организации в финансовом отношении.
Ознакомьтесь с нашим основным списком крупнейших атак программ-вымогателей в 2024 году .

Вспышка программы-вымогателя WannaCry​

Это известно как самая разрушительная атака с использованием программ-вымогателей, которую когда-либо видела история. Он был запущен в 2017 году и предназначался для компьютеров Microsoft Windows по всему миру, особенно для систем Windows, на которых не были установлены обновления безопасности Microsoft после апреля 2017 года.
Согласно опубликованным отчетам, он атаковал более 200 000 компьютеров в 150 странах, в результате чего они потеряли миллиарды долларов.
В число наиболее пострадавших стран входят Россия, Украина и Индия. Затронутые организации включают Национальную службу здравоохранения (NHS) в Великобритании, Honda, Hitachi, университеты в Китае и правительства штатов Индии.
США и Великобритания подозревают, что за нападением стоит Северная Корея. Убийство остановило распространение переключателя Wannacry, разработанного исследователем Маркусом Хатчинсом, и выпуск экстренных исправлений программного обеспечения Microsoft.

Атака программы-вымогателя Калифорнийского университета​

Netwalker — это банда программ-вымогателей, которая в июне 2020 года атаковала Калифорнийский университет в Сан-Франциско, одно из ведущих исследовательских учреждений, занимающихся исследованиями пандемии Covid-19.
В отчетах говорится, что университету пришлось заплатить злоумышленникам 1,14 миллиона долларов в биткойнах за восстановление данных, что было согласованной суммой по сравнению с первоначальным выкупом в 3 миллиона долларов США.
Программа-вымогатель зашифровала файлы на нескольких серверах в ИТ-среде медицинского факультета. Это можно рассматривать как одну из оппортунистических атак, поскольку зашифрованные данные связаны с исследованиями вакцины против Covid-19, которые имели решающее значение в то время.
В университете сообщили, что они согласились заплатить выкуп, поскольку данные важны для них, чтобы продолжить академическую работу, которой они занимаются.

Атаки программ-вымогателей Ryuk​

Рюк успешно атаковал такие известные организации, как газеты Los Angeles Times и Tribune, больницы Universal Health Services (UHS) и консалтинговую компанию в области информационных технологий в Париже.
После выстрела он отключает функции восстановления Windows и завершает работу служб и процессов. Он стоит за одними из самых высоких требований выкупа, например, от 5 до 12,5 миллионов долларов США.
Он появился в 2018 году; Поначалу предполагается, что за программой-вымогателем Ryuk стоят российские кибер-злоумышленники, известные как Wizard Spider. Однако последние следователи установили личность двух российских преступников, стоящих за нападением.

Атаки Petya и NotPetya​

Варианты программ-вымогателей Petya и Not Petya начали свое распространение в 2016 и 2017 годах, в основном через фишинговые электронные письма с вредоносными вложениями.
По оценкам отчетов, различные варианты Petya с момента его создания принесли около 10 миллиардов долларов США. Petya специально нацелен на системы с операционными системами Windows, заражающими MBR. Это означает, что он полностью блокирует операционную систему.
В то время как NotPetya был нацелен на украинские компании, такие как Чернобыльская АЭС, Petya затронула различные организации по всему миру.
Например, система здравоохранения Heritage Valley в США, нефтяные компании, такие как Роснефть, Россия, и пищевые компании, такие как шоколадная фабрика Cadbury в Хобарте.
Помимо этих наиболее заметных атак программ-вымогателей, Conti, Maze, DopplePaymer и Revil являются наиболее популярными программами-вымогателями в 2024 году, которые могут стать вспышками.

Краткое содержание​

В этом руководстве вы узнаете все, что вам нужно знать о программах-вымогателях, включая наиболее распространенные типы и широко распространенные атаки, которые произошли до сих пор во всем мире. Программы-вымогатели — мощное оружие, которое продолжает беспокоить мир.
Если атака программы-вымогателя произойдет в системе, в которой хранятся конфиденциальные данные, критически важные для продолжения работы бизнеса, она может быть полностью повреждена.
Это приводит к серьезным финансовым потерям и ущербу репутации компании. Поэтому используйте методы предотвращения, описанные в этом руководстве, чтобы защитить вашу систему от атак программ-вымогателей.