Как работают программы вымогатели

Программы- вымогатели — это тактика кибер- вымогательства, при которой вредоносное программное обеспечение удерживает компьютерную систему пользователя в заложниках до тех пор, пока не будет выплачен выкуп. Злоумышленники-вымогатели часто требуют выкуп в криптовалюте, такой как биткойн, из-за ее предполагаемой анонимности и простоты онлайн-платежей. Вредоносное программное обеспечение, используемое в атаке программы-вымогателя, блокирует компьютер пользователя на ограниченное время, после чего выкуп увеличивается в цене или данные пользователя уничтожаются.

Ключевые выводы

• Программы-вымогатели — это разновидность вредоносного ПО, которое шифрует компьютерные файлы пользователя в течение определенного периода времени, делая их недоступными до тех пор, пока злоумышленнику не будет выплачен выкуп.
• Выкуп часто требуется в криптовалюте, такой как биткойн, что облегчает онлайн-анонимные платежи.
• Если выкуп не уплачен своевременно, требуемая сумма может увеличиваться до тех пор, пока в конечном итоге данные пользователя не будут полностью уничтожены.
• По всему миру выявляются атаки программ-вымогателей, ежегодно выплачиваемые вознаграждениями в миллиарды долларов.

Понимание программ-вымогателей

Программы-вымогатели — это быстро развивающаяся преступная деятельность, которая затрагивает предприятия, финансовые учреждения, государственные учреждения, медицинские учреждения и другие организации; это продукт развития цифровых технологий. Хотя развитие цифровых технологий дало возможность компаниям улучшить свои отношения с потребителями, предлагая более персонализированные услуги по индивидуальной цене, технологии используются не только законными пользователями для улучшения своих процессов. Злоумышленники также используют новые технологические инструменты для улучшения своих сетевых атак — для развлечения или для получения прибыли. Утечки данных совершаются для кражи личной информации людей, которая будет продаваться через подпольные веб-каналы за законное платежное средство или криптовалюту.

Программы-вымогатели на подъеме

Кибератаки, такие как отказ в обслуживании (DoS), могут проводиться для развлечения или для заявления. Некоторые злоумышленники отказывают бизнесу в доступе к его компьютеру, требуя в качестве оплаты определенное количество биткойнов для повторного входа в систему. Этот последний недобросовестный способ получения зарплаты осуществляется с помощью программ-вымогателей, которые в некотором смысле являются формой DoS-атаки.

7,5 миллиардов долларов

Предполагается, что программы-вымогатели обошлись мировой экономике в 7,5 млрд долларов в 2019 году1.

Как работает программа-вымогатель

Программы-вымогатели — это тип вредоносного ПО, которое шифрует системные данные компьютера с помощью ключа, который есть только у злоумышленника. Вредоносные программы, как правило, вводят в виде вложения электронной почты, программном обеспечение или незащищенного сайт.

Вирусы Ransomware блокировщики и вымогатели

Пользователь, который пытается получить доступ к любой из этих зараженных программ, запускает программу-вымогатель, которая либо блокирует экран компьютера, либо шифрует файлы в системе. Появляется полноэкранное окно с информацией о том, что компьютер пользователя заблокирован, сумма в деньгах или биткойнах, необходимая для разблокировки системы, и таймер обратного отсчета, который указывает количество времени, оставшееся до уничтожения данных, удерживаемых заложником, или до того, как выкуп увеличен.

Злоумышленники-вымогатели обычно требуют, чтобы оплата проводилась через Western Union или посредством специального текстового сообщения. Некоторые злоумышленники требуют оплаты в виде подарочных карт, таких как подарочная карта Amazon или iTunes. Спрос на программы-вымогатели может составлять от нескольких сотен долларов до 50 000 долларов. После оплаты хакеры расшифровывают файлы и освобождают систему.

Злоумышленники-вымогатели могут заразить сразу несколько компьютеров с помощью ботнетов. Ботнет — это сеть устройств, взломанных злоумышленниками без ведома владельцев устройств. Хакеры заражают компьютеры вредоносным ПО, которое дает им контроль над системами, и используют эти взломанные устройства для отправки миллионов скомпрометированных вложений электронной почты на другие устройства и системы. Похищая несколько систем и ожидая выплаты выкупа, преступники рассчитывают получить огромную зарплату.

Пример программы-вымогателя

Корпоративная информация компании, которая оказалась заложником программ-вымогателей, может быть уничтожена, операции могут быть нарушены, репутация может быть повреждена, а финансы потеряны. В 2016 году Голливудский пресвитерианский медицинский центр заплатил около 17000 долларов в биткойнах злоумышленникам, которые взяли в заложники данные о пациентах больницы. Во время кризиса некоторые пациенты были переведены в другие больницы для лечения, и система медицинской документации была недоступна в течение десяти дней, что нарушило повседневную работу больницы.

Источник: nesrakonk.ru

Программы-вымогатели: как не стать жертвой киберпреступников

Эксперты прогнозируют, что в ближайшее время самой серьёзной угрозой для пользователей станут программы-вымогатели. С их помощью киберпреступники могут заработать в этом году до 5 миллиардов долларов.

Что такое программы-вымогатели и как они работают

Исследование, в котором определены главные киберугрозы 2017 года, провела компания Acronis, занимающаяся защитой и хранением данных в гибридных облаках.

Большинство участников опроса признались, что ничего не слышали о программах-вымогателях, но считают свои личные данные (документы, фотографии, видео, музыку) очень ценными. Их восстановление после атаки подобного вредоносного ПО может обойтись в приличную сумму — более 500 долларов.

Также выяснилось, что свыше четверти опрошенных никогда не делали резервных копий. А более 34% заявили, что уже теряли личные данные.

Программы-вымогатели работают просто. Они попадают на устройство (например, через электронную почту) и зашифровывают данные пользователя. После этого хакеры требуют выкуп.

Злоумышленники атакуют не только крупные компании или правительственные структуры, но и простых людей, ведь они тоже готовы платить.

Вот только один пример работы программы-вымогателя под названием Osiris. Этот троян легко обходит Windows Defender, атакует резервные копии данных и отказывается запускаться в виртуальной среде.

В начале года Osiris заразил компьютеры департамента полиции американского города Кокрелл Хилл. В итоге были утеряны данные криминальных дел (улики, фото, видеозаписи) за восемь последних лет. Защита не смогла предотвратить безвозвратную потерю информации.

Что нас ждёт в ближайшее время?

• Эпидемия программ-вымогателей будет разрастаться в геометрической прогрессии. В 2016 году хакеры заработали с их помощью около 1 миллиарда долларов, в 2017 году эта сумма может увеличиться в пять раз.
• Вырастет количество «штаммов» этого вредоносного ПО.
• Увеличится число распространителей программ-вымогателей. Один из принципов работы вируса — копирование модели SaaS (software as a service), для чего привлекается огромное количество мелких распространителей. Их единственная цель — заражать целевые компьютеры. Чтобы это делать, не нужно специальных технических знаний. Достаточно иметь свой компьютер и быть готовым преступить закон.
• Технологии распространения программ-вымогателей станут ещё более хитрыми. В конце 2016 года выяснилась одна из самых изобретательных на сегодняшний день схем распространения. Пользователю обещали дать бесплатный ключ расшифровки, если тот заразит вредоносным ПО двух других пользователей. Предполагается, что эта идея была взяла из известного фильма ужасов «Звонок».
• Наиболее распространённым видом атак останутся различные схемы фишинг-мошенничества. Но они будут ещё более персонализированными и эффективными. Взамен блокировщиков программы-вымогатели будут чаще применять шифрователи.
• Появятся новые методы давления на жертв. Технологии позволяют увеличивать размер выкупа и каждый час удалять файлы, пока пользователь не заплатит. По прогнозам, программы-вымогатели начнут угрожать распространением и публикацией конфиденциальных и компрометирующих данных, если жертва сразу не заплатит выкуп.
• Всё меньше поставщиков защитного ПО будут предлагать бесплатные дешифраторы. Разработчики программ-вымогателей научатся использовать самые надёжные схемы шифрования.
• Новые версии вредоносного ПО смогут работать в облаках и начнут атаковать, в том числе и облачные хранилища данных. Пользователям придётся искать облачных провайдеров, которые смогут защитить их данные от таких атак.

Что делать?

Правила по-прежнему просты:

1. Создавайте резервные копии ваших данных. Выбирайте ПО для резервного копирования с локальным и облачным хранилищем и активной защитой от программ-вымогателей.
2. Регулярно обновляйте операционную систему и программное обеспечение. Благодаря этому вы не пострадаете от уже известных уязвимостей.
3. Не читая, удаляйте подозрительные письма, ссылки и приложения. Вредоносное ПО проникает в систему, когда пользователь открывает заражённое приложение к письму или переходит по ссылке на вредоносный сайт.
4. Установите антивирусное ПО на компьютер, включите его автоматическое обновление.

Источник: lifehacker.ru

Зашифрованный мир: как работает WannaCry и что умеют программы-вымогатели?

«Новый вымогатель WCry / WannaCry распространяется, как ад», — не скрывали эмоций исследователи из MalwareHunterTeam в пятницу утром. Меньше чем за два часа заражение было обнаружено в 11 странах мира: России, Великобритании, США, Китае, Испании, Италии, Вьетнаме, Тайване. К вечеру пятницы было зафиксировано 45 000 попыток атак в 74 странах мира. Атакам подверглись около 40 клиник в Англии и Шотландии, одна из крупнейших телекоммуникационных компаний Испании Telefonica. Масштабное заражение произошло в России (по нашим данных, обнаружено 5014 зараженных вирусом хостов) — о проблемах сообщали в «Мегафоне», МВД (в ведомстве подтвердили блокирование порядка 1 000 компьютеров).

Заражение, как установили криминалисты (компании автора, Group IB — Forbes) происходит не через почтовую рассылку, а весьма необычным образом: WannaCry сам сканирует сеть на предмет уязвимых хостов (на скриншоте — список IP адресов, которые сканирует вирус со скоростью 50 000 000 IP в минуту) и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры. Этим объясняется скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства. WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — $300 в биткоинах. К тому же, если зараженный компьютер попал в какую-то другую сеть, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.

Есть еще одна причина успеха стиль масштабной атаки. WannaCry, как предположили эксперты, использует известную сетевую уязвимость ОС Windows, которая хотя и была закрыта Microsoft — в марте было выпущено обновление Security Bulletin MS17-010, но не все пользователи его установили. Любопытно другое: эксплоит ETERNALBLUE — оказался из арсенала шпионских инструментов Агентства национальной безопасности США (АНБ), которые были выложена в открытый доступ хакерами Shadow Brokers. Это не первый случай — с помощью одного из инструментов АНБ — бэкдора DOUBLEPULSAR из утечки Shadow Brokers хакерам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване.

Наследство Поппа

Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 23 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели сегодня, совершенно различные компании и организации. Угроза актуальна даже для некоммерческих организаций. Так как для каждой крупной атаки вредоносное ПО модернизируется и тестируется злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Преступники стараются зашифровать не просто файлы, а базы данных 1С, рабочие документы, резервные копии и т.д. Именно поэтому жертвой вымогателей чаще всего становятся аудиторские, кредитно-финансовые и бухгалтерские компании, аккумулирующие большие массивы финансовой информации — потерять их, особенно в на этапе сдачи годового отчета — большая угроза для любой компании.

Шифрование, используемое этими программами, надежно, и найти альтернативного способа кроме, как получить ключ расшифровки данных от атакующего, либо с его сервера невозможно. После того, как файлы зашифрованы, появляется сообщение, в котором описывают сколько и куда необходимо перевести денег, чтобы получить ключ расшифровки. Как правило оплата производится в Bitcoin. Многие соглашаются заплатить вымогателям, лишь бы восстановить доступ к драгоценным данным, и тем самым финансируют развития этого вида киберпреступлений. Основной способ распространения таких программ – рассылки по электронной почте вложений под видом банковских выписок, счетов, актов-сверок, уведомлений о вызове в суд и т.п. (но как мы говорили выше, WannaCry распространяется по-другому).

Торжество вымогателей

Почему так распространены программы-вымогатели? На это есть несколько причин:

• Обмен данными. Рост количества атак на компании связан в том числе с тем, что владельцы бот-сетей начали продавать доступы к компьютерам с критичными финансовыми системами, из которых нельзя похить деньги, но потеря данных из которых критична для бизнеса. Некоторые хакеры, управляющие банковскими троянами, в первую очередь интересуются компьютерами с системами дистанционного банковского обслуживания, и часто обнаруживают компьютеры бухгалтеров, которые привыкли работать удаленно в 1С. Поэтому они начали продавать информацию о таких компьютерах своим «партнерам», чтобы те шифровали данные и извлекали из этого прибыль. По аналогичной схеме доступы к системам могут быть проданы кибертеррористам или игрокам, заинтересованным в кибершпионаже.
• Развитие сервисов, упрощающих атаки. Появились новые партнерские программы по распространению программ-вымогателей, предоставляющие любому желающему возможность сгенерировать исполняемый файл вымогателя, который может быть использован для заражения устройств жертв, и среду для переписки с требованиями выкупа. 20% от выкупа перечисляются создателю сервиса.
• Повышение вероятности выплаты. Кроме того, хакеры начали проверять серверы с подобранными паролями на наличие систем с данными, потеря доступа к которым с высокой степенью вероятности приведет к выплате суммы, требуемой вымогателями.
• Наиболее важная информация хранится на серверах, а самой популярной операционной системой для серверов является Linux. Поэтому атакующие создали вымогателей, которые шифруют данные на Linux-серверах.
• Увеличение количества атак на мобильные устройства. Так, вымогатели для Android после шифрования выводят на экран устройства страницу, написанную на HTML/JS коде, с требованием перевести деньги на счет злоумышленника. В феврале 2016 года компания Blue Coat зафиксировала распространение программы-вымогателя под Android через набор эксплойтов. На вредоносном сервере был скрипт с эксплойтом под libxslt, который был в утечке Hacking Team. iOS-устройства тоже оказываются в зоне опасности. Установить вредоносное программное обеспечение на устройство Apple непросто, поэтому мошенники придумали особый подход. Специальное вредоносное ПО, используя базу перехваченных логинов и паролей от iCloud, автоматически заходит в iCloud, сбрасывает пароль, меняет привязанный адрес электронной почты, блокирует все устройства, привязанные к AppleID и настраивает окно блокировки таким образом, чтобы оно отображало требование атакующего перевести деньги за разблокировку.
• Шифрование IoT-устройств (Internet of Things, «интернет вещей» — Forbes). С появлением популярных производителей IoT-устройств возникнет и рынок информации об их уязвимостях. IoT-устройства будут использоваться и в мошеннических схемах, например, для перенаправления на фишинговые сайты, демонстрации рекламы с предложением скачать вредоносные программы, замаскированные под легальные, и т.п.

Как минимизировать риски?

• Резервное копирование! Лучше всего создать две резервные копии: одна пусть хранится в облаке (не забудьте использовать сервис, который делает автоматическое резервное копирование ваших файлов) и еще одна копия на портативном жестком диске, флэш-накопителе, резервном ноутбуке. Не забудьте их отключить от вашего компьютера после завершения копирования.
• Своевременно обновляйте вашу операционную систему (ОС)! Не выключайте «эвристические функции», так как они помогают поймать образцы вымогателей, которые еще не были официально обнаружены.
• Не доверяйте никому. Буквально. Любая учетная запись может быть скомпрометирована и вредоносные ссылки могут прийти с почтовых ящиков или аккаунтов ваших друзей и коллег. Никогда не открывайте вложения в сообщениях электронной почты от кого-то вы не знаете.
• Включите опцию «Показывать расширения файлов» в настройках Windows на своем компьютере. Это позволит сделать это намного легче обнаружить потенциально вредоносные файлы. Держитесь подальше от расширений файлов , таких как ‘.exe’, ‘.vbs’ и ‘.SCR’. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документа (например, горячего chics.avi.exe или doc.scr).
• Если вы обнаружили подозрительный процесс на вашей машине, немедленно отключите ее из Интернета или других сетевых подключений (например, домашний Wi-Fi) — это позволит предотвратить распространение инфекции.
• Используйте решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, запуская их в специальной, изолированной среде. В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение. Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены – недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам.
• Никогда не выплачивайте выкуп! Отправляя свои деньги киберпреступникам, вы признаете эффективность их действий и нет никакой гарантии, что вы получите ключ дешифрования.

Источник: www.forbes.ru