Что такое Ransomware?

Ransomware - это вид вредоносного ПО (вредоносное программного обеспечение), которое может проявляться несколькими способами, затрагивая отдельные системы, а также сети предприятий, больниц, аэропортов и государственных учреждений.

Ransomware постоянно совершенствуется, и становится все более сложным с момента первого зарегистрированного проявления в 1989 году. В то время как простые форматы, как правило, не шифруют ransomware, современные используют криптографические методы с целью шифрования файлов, делая их недоступными. Шифрование ransomware может также использоваться на жестких дисках, чтобы полностью заблокировать компьютерную операционную систему, не позволяя жертве получить доступ к ней. Конечная цель состоит в том, чтобы убедить жертву заплатить за получение дешифрования, что обычно запрашивается в цифровых валютах, которые трудно отследить (например, Bitcoin или другие криптовалюты). Тем не менее, нет никакой гарантии, что после платежа злоумышленники выполнят свои условия.

Популярность ransomware значительно выросла в последнее десятилетие (особенно в 2017 году), в качестве финансовой мотивированной кибер-атаки, в настоящее время это самая известная угроза вредоносных программ в мире - как сообщает Europol (IOCTA 2018).

Как становятся жертвой?

Phishing: повторяющаяся форма социальной инженерии. В контексте ransomware фишинговые письма являются одной из наиболее популярных форм распространения вредоносных программ. Жертвы обычно заражаются через скомпрометированные вложения в электронной почте или через ссылки, которые замаскированы под настоящие. В пределах компьютерной сети одной единственной жертвы может быть достаточно, чтобы поставить под угрозу всю организацию.
Exploit Kits: пакет из различных вредоносных инструментов и предварительно написанного программного кода. Эти наборы предназначены для использования проблем и уязвимостей в программных приложениях, и операционных системах, в качестве способа распространения вредоносного ПО (наиболее небезопасными являются системы с устаревшим программным обеспечением).
Malvertising: злоумышленники используют рекламные сети для распространения ransomware.

Как защитить себя от атак ransomware?

Регулярно используйте внешние накопители для резервного копирования ваших файлов, чтобы вы могли восстановить их после удаления как потенциально инфицированных;
Будьте осторожны с прикрепленными файлами в электронной почте и ссылками. Не нажимайте на объявления и сайты от неизвестного источника;
Установите надежный антивирус и обновите свои приложения и операционную систему;
Включите опцию «показать расширения файлов» в настройках Windows, чтобы вы могли легко проверить их. Избегайте таких файлов, как .exe .vbs и .scr;
Избегайте посещать сайты, которые не защищены протоколом HTTPS (т.е. URL-адреса, начинающиеся с «https: //»). Однако имейте в виду, что многие вредоносные веб-сайты внедряют протокол HTTPS, чтобы запутать своих жертв, т.е. наличие одного протокола не гарантирует то, что сайт является легальным или безопасным.
Посетите NoMoreRansom.org, сайт, созданный правоохранительными органами и ИТ-компаниями по безопасности, работающими над угрозами от ransomware. Веб-сайт предлагает бесплатные инструменты для расшифровки инфицированных пользователей, а также профилактические рекомендации.

Пример Ransomware

GrandCrab (2018)

Впервые это произошло в январе 2018 года, 50,000 стали жертвами ransomware меньше чем за месяц, прежде чем его работа была остановлена румынскими властями вместе с Bitdefender и Europol (с помощью бесплатного набора инструментов для восстановления данных). GrandCrab был распространен через malvertising и фишинговые электронные письма, это было первое известное вымогательство от ransomware, требующее выкуп в криптовалюте DASH. Первоначальное вымогательство варьировалось от 300 до 1500 долларов США.

WannaCry (2017)

Глобальная кибератака, которая заразила более 300,000 компьютеров за 4 дня. WannaCry распространялся через эксплойт, известный как EternalBlue и предназначенный для операционных систем Microsoft Windows (большинство уязвимых компьютеров работало под управлением Windows 7). Атака была остановлена из-за экстренных исправлений, выпущенных Microsoft. Эксперты по безопасности США заявили, что Северная Корея имеет отношение к этому нападению, но никаких доказательств не было представлено.

Bad Rabbit (2017)

Ransomware, который был распространен как фальшивое обновление Adobe Flash, загруженное с взломанных веб-сайтов. Большинство зараженных компьютеров находились в России, и инфекция зависела от ручной установки файла .exe. Стоимость дешифрования в то время составляла примерно 280 долларов США (0,05 BTC).

Locky (2016)

Обычно распространяется по электронной почте в качестве квитанции, требующей оплаты, содержащая зараженный файл во вложениях. В 2016 году Hollywood Presbyterian Medical Center был заражен Locky и был вынужден оплатить 40 BTC (17, 000 долларов США в то время), чтобы восстановить доступ к компьютерным системам больницы.