Шифрувальники-вимагачі (ransomware): приклади та тенденції у 2022

Шифрувальник-вимагач (ransomware) — це зловмисне програмне забезпечення, яке шифрує файли на комп’ютері жертви, а потім запитує викуп. Ін’єкція віруса-вимагача є однією з найнебезпечніших форм кібератак.

Можливо, вам буде цікаво ознайомитися з нашими іншими антивірусними засобами:
Trojan Killer, Trojan Scanner.

Що таке шифрувальник-вимагач (ransomware)? Приклади і тенденції у 2022 | Gridinsoft

Що таке програми-вимагачі?

КОМАНДА GRIDINSOFT
Імовірно, найгіршим кошмаром буде виявити, що файли на вашому ПК зашифровані. Ви перевіряли свою поштову скриньку, клацали вкладені файли, щоб побачити, що вони містять. Дивний файл, який містив лише пропозицію ввімкнути макроси, не виглядав підозрілим. Але раптом, менш ніж через 15 хвилин після того, як ви відкрили цей документ, ви бачите, що всі файли на вашому ПК мають дивні формати, і принаймні один файл readme.txt міститься в кожній папці. Як це сталося?

Коротке визначення програми-вимагача (або шифрувальника-вимагача) приховано в її назві, як і в багатьох інших вірусів. «Програма, що шифрує та вимагає» — після проникнення на ваш комп’ютер, вона шифрує ваші файли, а потім просить вас заплатити викуп, аби отримати інструмент для їх розшифровки. Деякі приклади програм-вимагачів можуть загрожувати своїм жертвам видаленням ваших файлів або публікацією деяких конфіденційних даних, якщо ви не заплатите викуп. Хоча перша небезпека є 100% брехнею, друга теза може бути реальною, оскільки шифрувальники часто поширюються за допомогою шпигунських програм або крадіїв.

Різні приклади програм-вимагачів використовують різні методи шифрування. У більшості випадків використовуються алгоритми шифрування AES-256 і RSA-1024, але іноді використовується шифр RSA-2048. Кінцеве число в першу чергу означає ступінь двійки, яка відповідає кількості можливих ключів. Навіть у випадку AES-256 число можливих ключів складається з 78 цифр. Чи можна застосувати грубу силу? Можливо, якщо у вас є вільні 2 мільйони років. Або квантовий ПК з набагато кращою продуктивністю, ніж будь-який з існуючих. ~ Команда Gridinsoft

Для кожної жертви програми-вимагачі генерують унікальний онлайн-ключ. Цей ключ зберігається на сервері, яким керують кіберзлочинці. Якщо вірус не може підключитися до цього сервера, він шифрує файли за допомогою автономного ключа, який зберігається локально на зашифрованій машині. Кількість офлайн-ключів обмежена, або він взагалі єдиний для всіх випадків офлайн-шифрування. У такому випадку, ви маєте спільний ключ дешифрування з деякою кількістю інших жерт.

На жаль, немає 100% гарантії повернення ваших файлів. Якщо вам пощастить і програма-вимагач буде послуговуватися офлайн-ключ, ви зможете розшифрувати свої дані набагато швидше. Тим не менш, отримання навіть офлайн-ключів є досить довгим процесом, і вам доведеться чекати щонайменше кілька тижнів. Додаток, який має використовуватися для розшифровки файлів, отримає оновлення з ключем, який вам підходить, щойно аналітики його знайдуть.

Онлайн-ключі розгадати набагато важче. Оскільки кожен такий ключ унікальний, ви можете чекати місяцями. Розповсюджувачі програм-вимагачів, можливо, будуть спіймані та змушені розкрити всі ключі, які вони мають на серверах. Інший випадок, коли всі ключі можуть бути оприлюднені, це коли розробники програм-вимагачів вирішують припинити свою шкідливу діяльність. Така ситуація була лише раз – у 2018 році, коли розробники GandCrab заявили, що заробили 2 мільярди доларів, і призупинили свою діяльність, опублікувавши решту ключів, що не були викуплені.

Етапи атаки шифрувальника-вимагача

Більшість аналітиків виділяють шість основних етапів атаки програм-вимагачів. Вони можуть відбуватися як протягом одного дня, так і протягом місяця. Однак порядок, як і сенс цих кроків, завжди залишаються незмінними.

Компрометація. Його також іноді називають початковим введенням. У цей момент зловмисники проникають у пристрій (чи у мережу) і завантажують зловмисне програмне забезпечення. Зазвичай компрометація відбувається через порушення RDP, спам електронною поштою або використання неліцензійного програмного забезпечення.

Зараження. На цій стадії шахраї використовують початкову присутність у мережі, яку вони отримали, щоб розгорнути подальшу діяльність. Окрім шифрувальника, нерідко використовуються утиліти для зламу локальних паролів та шпигунське ПЗ. Вони рідко використовують пряме завантаження - його легко виявити та зупинити за допомогою рішень безпеки. Ось чому завантаження зловмисного програмного забезпечення зазвичай залежить від використання багів чи вразливостей Windows і прикладного програмного забезпечення. Однак він навіть може віддати перевагу прямому завантаженню, коли він вражає незахищену мережу або одного користувача.

Ескалація. Усі шкідливі програми працюють із правами адміністратора. Ця властивість дає змогу зменшити небезпеку та збитки від кібератаки за допомогою використання облікового запису з правами рядового користувача. Однак навіть у цьому випадку кіберзлочинці можуть знайти вихід. Більшість етапів ескалації в корпоративних мережах здійснюються через використання вразливостей, зокрема тих, що підвищують привілеї.

Сканування. Цей крок передбачає сканування інфікованих комп’ютерів для виявлення всіх файлів, які може зашифрувати шифрувальник-вимагач. Зазвичай вимагачі атакують найбільш розповсюджені формати даних – ті, що належать до файлів MS Office, зображень і музики. Однак деякі діють інакше та шифрують все, що досягають, незважаючи на файли, які можуть зашкодити функціональності програм.

Шифрування. Шифрування може тривати хвилини або години, залежно від кількості файлів на атакуваних машинах і якості програмного забезпечення, яке шифрує файли. Група LockBit, наприклад, відома тим, що має найшвидше шифрування - для обробки 100 ГБ даних потрібно лише 5 хвилин.

Повідомлення про викуп. Коли шифрування закінчено, зловмисне програмне забезпечення сповіщає жертву про атаку. Зазвичай він створює файл повідомлення про викуп на робочому столі та в кожній папці із зашифрованими файлами. За бажанням він також може змінити шпалери робочого столу на записку про викуп. У надзвичайних випадках (наприклад, програма-вимагач Petya) зловмисне програмне забезпечення заразить завантажувач операційної системи і покаже вам банер із повідомленням про викуп, як тільки ви натискаєте кнопку живлення, замість завантаження ОС.

Ransomware Attack Stages
Етапи атаки віруса-шифрувальника

Типи шифрувальників-вимагачів

Наразі існує кілька типів програм-вимагачів. Усі користувачі спільноти кібербезпеки звикли до програм-вимагачів, які називаються криптолокерами. Це саме той вірус, про який ви можете прочитати вище. Інший тип програм-вимагачів був активний набагато раніше, до 2014 року. Він називався locker ransomware, у нас більше відомий як вінлокер. Як можна зрозуміти з назви, цей вірус блокував вашу систему, вимагаючи викуп за розблокування робочого столу. Різниця між локером і програмою-вимагачем наступна:

Вірус Locker:


  • Блокує ваш робочий стіл;
  • Покриває робочий стіл банером із повідомленням про викуп;
  • Змінює розділи реєстру, які відповідають за роботу Windows Explorer;
  • Призупиняє процес explorer.exe;
  • Блокує більшість системних комбінацій (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Деякі версії можуть інфікувати BIOS, унеможливлюючи завантаження системи;
  • Іноді їх можна видалити після складних маніпуляцій із системними функціями;
  • Просити сплатити викуп як поповнення мобільного номера, а також через систему онлайн-платежів (PayPal, WebMoney, Qiwi тощо);

Крипто-вимагач:


  • Шифрує файли найпопулярніших розширень (.docx, .png, .jpeg, .gif, .xslx) і додає до них своє розширення;
  • Змінює ключі реєстру, які відповідають за роботу в мережі та запуск програм;
  • Додає файл .txt із інструкціями щодо сплати викупу до кожної папки, де знаходяться зашифровані файли;
  • Може блокувати доступ до деяких веб-сайтів;
  • Запобігає запуску інсталяційних файлів програмного забезпечення для захисту від шкідливих програм;
  • Можна змінити шпалери на записку про викуп;
  • Оплата викупу збирається здійснюватися лише з використанням криптовалют, в першу чергу – біткоіни;

Атаки програм-вимагачів

Список сімейств програм-вимагачів, актуальний на October, 2022:

  • Avaddon показала коротке, але досить активне життя: її розробники вирішили припинити свою діяльність у травні 2021 року
  • STOP Djvu є однією з найпоширеніших сімей програм-вимагачів. Вперше активність цього типу вірусу була виявлена ​​в 2018 році, і досі його активність дуже висока. Це програмне забезпечення-вимагач, націлене переважно на простих користувачів, може бути чудовим прикладом «класичного» шифрувальника
  • Conti. Це злочинне угруповання атакує організації, де збої в ІТ можуть мати небезпечні для життя наслідки: лікарні, служби екстреної медичної допомоги та правоохоронні органи.
  • Matrix – старожил у секторі програм-вимагачів, який з’явилися в грудні 2016 року
  • MedusaLocker з’явилися у вересні 2019 року та дуже швидко почала атакувати компанії з усього світу
  • Snatch використовує трюк із безпечним режимом Windows і привілейованою службою для того, аби обійти антивірусне ПЗ на атакованому пристрої
  • VoidCrypt використовує декілька функцій, більш типових для корпоративних вірусів, атакуючи при цьому окремих користувачів
  • Xorist використовує крипто-конструктор, може змінити себе настільки, що її важко розпізнати навіть найбільш софістикованими антивірусами
  • Dharma з’явилися приблизно в 2016 році, ці програми-вимагачі призначені для малого бізнесу. Майже 77% усіх випадків атаки вимагача Dharma пов’язані з використанням уразливостей RDP
  • Egregor атакувала великі компанії з усього світу
  • HiddenTear спочатку було створено з освітньою метою турецьким професором кібербезпеки. Цей шифрувальник є першим і єдиним прикладом відкритого програмного забезпечення серед вимагачів
  • LockBit надзвичайно швидка програма-вимагач, яка постійно розвивається
  • Magniber програма-вимагач, яка намагається використати відому вразливість PrintNightmare для компрометації жертв
  • Makop постійно змінює алгоритм шифрування, роблячи використання декрипторів неможливим
  • Ryuk – старожил, який, можливо, пов’язаний із північнокорейськими хакерами

Чи можна сплатити викуп?

Більшість доходів, які отримують розробники програм-вимагачів, використовуються для фінансування різних незаконних дій, як-от тероризму, інших кампаній з розповсюдження зловмисного програмного забезпечення, торгівлі наркотиками тощо. Оскільки всі платежі викупу здійснюються в криптовалютах, неможливо розкрити особистість шахраїв. Однак адреси електронної пошти іноді можуть вказувати на місцезнаходження розповсюджувачів програм-вимагачів - Близький Схід, росія, Індія чи Китай.

Як ви вже могли зробити висновок, сплата викупу означає участь у злочинних діях. Звісно, ​​вас ніхто не звинуватить у фінансуванні тероризму. Але немає нічого приємного в розумінні того, що гроші, які ти отримуєш за чесну роботу, йдуть на тероризм чи наркотики. Часто навіть великі корпорації, яких шантажують погрозами опублікувати деякі внутрішні дані, не платять цим шахраям ні копійки.

Як я можу захистити свій комп’ютер від програм-вимагачів?

Зазвичай програми захисту від зловмисного програмного забезпечення щодня оновлюють свої бази даних виявлення. GridinSoft Anti-Malware може пропонувати вам оновлення щогодини, що зменшує ймовірність того, що абсолютно новий зразок програми-вимагача проникне у вашу систему. Однак використання антишкідного програмного забезпечення не є панацеєю. Було б найкраще, якби ви були обережні в усіх небезпечних місцях. Це:

  • Повідомлення електронної пошти. Більшість випадків програм-вимагачів, незалежно від сімейства, пов’язані зі спам-повідомленнями електронної пошти. Раніше люди довіряли всім повідомленням, надісланим електронною поштою, і не думали, що у вкладеному файлі може бути щось шкідливе. Тим часом кіберзламники використовують цю слабкість і наманюють людей, щоб увімкнути макроси у файлах Microsoft Office. Макроси – це спеціальна програма, яка дозволяє збільшити взаємодію з документом. Ви можете створити будь-що на мові програмування Visual Basic і додати це до документа як макрос. Шахраї, не роздумуючи, додають код, який завантажує на ваш ПК шифрувальника-вимагача.
  • Сумнівні утиліти та ненадійні програми. Під час перегляду веб-сторінок ви можете бачити різні поради. Онлайн-форуми, соціальні мережі та торент-трекери – ці місця відомі як джерела різноманітних спеціальних інструментів. І в такому ПЗ немає нічого поганого - іноді людям потрібні функції, які не затребувані для корпоративного використання. Такими інструментами є так звані кейгени для різних додатків, активатори ліцензійних ключів (одним з найвідоміших є KMS Activator), утиліти для налаштування елементів системи. Більшість механізмів захисту від зловмисного програмного забезпечення виявляють ці програми як шкідливі, щонайменше тому що використання таких утиліт є незаконним у більшості країн. Через це ви, ймовірно, вимкнете антивірус або додасте програму до білого списку. Водночас ця утиліта може бути як чистою, так і зараженою троянами чи програмами-вимагачами.

Хронологія найбільших атак шифрувальників-вимагачів:

Часті Питання

Чи можуть програми-вимагачі поширюватися через Wi-Fi?
На щастя, ні. Випадки поширення програм-вимагачів у локальній мережі пов’язані з циркуляцією шкідливих програм у стандартних каталогах. Одночасно зловмисники отримують права адміністратора та запускають цю шкідливу програму на всіх комп’ютерах у мережі. Однак неможливо заразитися, не дозволивши шахраям підключитися до вашого пристрою.
Чи є програми-вимагачі злочином?
Напевно, це так. Обидва створюють шкідливий код, поширюють його та збирають викуп, який підпадає під дію законодавства про кіберзлочинність у багатьох країнах. Навіть доторкання до процесу або викупу може бути розцінено як участь у цьому злочині.
Чи потрібно повідомляти ФБР про програми-вимагачі?
Ви не зобов'язані повідомляти про це саме в ФБР - підійдуть будь-які інші правоохоронні органи. Звичайно, найкраще сказати про атаку програм-вимагачів на організацію, створену спеціально для боротьби з кіберзлочинністю. Однак вони можуть не бути представлені у вашому місті чи навіть окрузі/штаті. Поліція може вимагати вашу заяву та передати її до компетентних органів або проконсультуватися з вами, кому ви можете повідомити про випадок.
Що я можу зробити проти програм-вимагачів?
Окремі користувачі не можуть багато зробити проти розробки та розповсюдження програм-вимагачів. Незважаючи на те, що шахраї можуть бути вашими друзями чи родичами, ви, ймовірно, розкриєте це лише в інформаційних бюлетенях - після їхнього захоплення. Вони мають суворі правила інформаційної гігієни, оскільки їхній головний ворог – правоохоронні органи – становить для них набагато більшу загрозу. Головне, що ви можете зробити, щоб протистояти активності програм-вимагачів, — це зробити їх нерентабельними. Кожен користувач, який платить викуп, стимулює шахраїв продовжувати дію. Але коли вони не отримують ні копійки від більшості жертв, вони можуть бути просто незадоволені і, можливо, переключити свої навички в більш мирне русло.
Чи Windows 10 або Windows 11 уразливі до програм-вимагачів?
Усі версії Windows уразливі до атак програм-вимагачів. Деякі конкретні версії Windows може бути важче заразити (фактично, програми-вимагачі важко завершать шифрування), але це все одно можливо. Windows 11, найновіша операційна система Microsoft, має серйозні оновлення системи безпеки, включаючи посилений Windows Defender і механізми безпеки в конфіденційних компонентах системи. У результаті він вважається менш вразливим, але розробники програм-вимагачів також працюють.