Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно — разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка — это вошло в историю, а о ней и поговорим.
Предисловие
Заранее скажу, что систематизация и сбор всех данных, которые разбросаны то в английском сегменте интернета, то в русском, то в китайско-японском, была очень сложным заданием, возможно, моя версия будет слегка отличаться от того, как это было на самом деле.
Оп-оп-оп, а что это у нас здесь? А-а-а, очередная статья из цикла Историческая вирусология? Неужели, так она ведь пятая за эту неделю. Автор живой ещё писать столько?
Салют, да, живой и очень даже в здравом рассудке, и я продолжаю писать в рамках своего статейного марафона, который уже длится четвертый день, и это пятая статья по тематике вирусологии, раз это у нас уже полноценный цикл, то оставляю ссылочки на предыдущие четыре выпуска и советую их к ознакомлению:
История вируса WinLocker — Как DUMBAZZ «взламывает» школьников в csgo через termux
И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки — получит денежку.
Прежде чем начать нам нужен, по традиции, дисклеймер. Стоп, а где же он? Вот смотрю-смотрю, а нигде нет.
Ты думал, что мне не под силу то, что под силу тебе? Хм. Если уж подстраиваешь кражу, то делай это правдоподобней. (Отсылка). Вот же он:
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.
Историческая вирусология: ранняя хронология вымогателей, часть первая
Наверное, каждый в своей жизни, даже тот кто вообще никак не связан с ИБ , слышал или сталкивался с вымогателями. Как бы парадоксально не было, но о них даже говорили в новостях, правда имело это обратный эффект и приводило к ещё большему распространению.
Думаю, что объяснять ,что такое Винлокер не стоит, точнее было бы выразиться так — семейство винлокеров, ведь это отнюдь не только штука, которую вы в 2010 году генерировали с помощью программ типа win32locker.exe.
По сему — поехали. Сейчас мы не будем проводить анализ одного вредоноса, мы охватим целое семейство.
Как вы уже поняли из подраздела — это у нас ранняя хронология вымогателей. Дело все в том, что эти программы и их разнообразность, а также количество их просто дух захватывает. И если втулить в эту статью все экземпляры, их историю и хронологию распространения, то выйдет, мягко говоря, не очень.
По сему здесь мы разберем старых представителей этого семейства в период от их появления, а это 1989 год, и до начала 2010 года, когда программы подобного типа стали очень частоиспользуемыми.
Здесь не будет анализа представителей современных вымогателей, типа Пети, ВаннаКрая и тому подобных, их мы оставляем на вторую часть.
Начинаем погружение в мир с винлокерами, мир примитивной и не очень информационной безопасности. Буль-буль, все, что вы можете пускать — пузыри воздуха в кромешной тьме под водой. Резкий переход, ваше сознание уплывает, а перед глазами — картина происшествий.
Декабрь, 1989 год, Тайвань. Снова, черт возьми. Молодой ученый пишет свою диссертацию, пользуясь устройством на одной из первых винудоусов, ничего не предвещало беды.
Имя нашему сегодняшнему герою — Анос Волдигорд, несмотря на свой достаточно юный возраст, он уже преподает в местном колледже, где кстати учится молодой Де Гузман, создатель того самого легендарного червя — LoveLetter. Именно Анос отвергнет проект молодого де Гузмана, что впоследствии очень повлияет на ход истории.
Самое удивительное, что данный вымогатель не распространялся через интернет, а через обычную физическую почту, к слову, да, до сих пор существует ARPANET. Жертвам, как и нашему герою пришла посылка от некого Джона Поппа, это его реальная фамилия, не ругайте. Дискета содержала в себе информацию о СПИД’е, ну как-бы на то время актуально, так как этот биологический вирус только недавно обнаружили. А кстати рассылка происходила, используя украденные списки подписчиков на конференцию Всемирной организации здравоохранения по СПИДу и журнал PC Business World в декабре 1989 года.
Кстати, на дискете был исполняемый файл, замаскированный якобы под опрос, но это не точно, данных о нем очень мало, ведь распространения он не получил, как и денег в итоге. На диске было два файла, оба написаны на QuickBASIC 3.0. Один содержал «опрос», а другой — установщик вредоносного ПО.
И вот наш Анос, 96 дней назад получил эту дискету и , не подозревая ничего, открыл ту, без особого зазрения совести. Что произошло во время открытия?
А ничего, вот именно, что ни-че-го. В отличие от современных вредоносов такого типа, этот шифровал данные не сразу. Вместо этого он заражал диск C компьютера и захватывал файл AUTOEXEC.BAT в корневом каталоге.
AUTOEXEC.BAT — это файл запуска, использовавшийся в то время для Виндоус, ну мы видели уже его в 95-й версии. Операционная система выполняла его при каждой загрузке.
Хотя вирус не влиял на саму загрузку, вместо этого он подсчитывал количество запусков файла. После определенного количества раз (обычно 90, хотя оно может варьироваться) вредоносная программа запускалась, шифруя имена всех файлов на диске C с помощью симметричного шифрования .
После того, как файлы были зашифрованы, вымогатель запускал сообщение с требованием выкупа.
В сообщении утверждалось, что срок аренды программного обеспечения от PC Cyborg Corporation истек, и пользователь должен заплатить за его продление. Плата составляла 189 долларов за годовую «аренду» или 378 долларов за пожизненную аренду, фактически за “аренду” своего же устройства человек должен был платить. . С поправкой на инфляцию получается примерно 400 и 800 долларов соответственно. Жертвам было приказано отправить деньги на абонентский ящик в Панаме, из-за чего… Этого практически никто и не сделал.
Но урон все таки был нанесен, тысячи людей просто уничтожали все данные на своих устройствах, дабы избавиться от вымогателя.
Также поступил и Анос, он просто стер все данные. Из-за чего потерял все свои наработки.
К огромному сожалению, мне не удалось раздобыть исходный код этого вируса, так как он не особо популярен и вряд-ли он сохранился к данному времени. Жаль, но и разбирать его смысла немного.
Важнее обратить внимание на то, что именно из-за него появились другие вымогатели, впоследствии нанося миллиарды долларов ущерба.
Что касается самого автора, то Джон Поппа был арестован в Нидерландах в январе 1990 года после нервного срыва в аэропорту Амстердама.
Затем Нью-Скотленд-Ярд экстрадировал его в Великобританию по обвинению в шантаже.
Однако в 1992 году суд признал Поппа психически недееспособным предстать перед судом. Очевидно, ведь он начал носить бигуди в бороде, чтобы защитить себя от радиации и «микроорганизмов», носил презерватив на носу и неоднократно надевал картонную коробку на голову. Молодец, идеальное представление, во имя избежания наказания. Премия — актер уходящего столетия заслуженно.
Сам вирус было достаточно просто удалить и сделать систему снова пригодной к использованию, в ответ на появление AIDS, сразу же выходят несколько программ, типа AIDSOUT и CLEARAID.
16 лет вперед, Москва. Анос зачем-то приехал в Россию, теплый летний вечер, наш герой возвращается с работы, садится за свой ПК с Виндоус ХР и начинает играть в пасьянс. Стоп, что-то не так.
Какая беда, печаль, горе! Пасьянс не открывается! Далее он замечает, что любые его файлы непригодны для использования: либо их нельзя открыть, либо, в случае с .txt-файлами, они содержат мусор. И это касается не только документов MS Office — затрагиваются более 80 различных типов файлов.
А на рабочем столе находится какой-то текстовый файл readme.txt, открыв его можно заметить просьбу о покупки дешифратора своих файлов, ведь они закриптованы с помощью RSA.
В основном эта атака поглотила СНГ пространство, кстати.
И все дело в том, что Анос открыл ранее вложение из этого письма:
Пишем Вам по поводу резюме, которое Вы разместили на сайте job.ru. У меня есть подходящая для вас вакансия. ADC Marketing LTD (Великобритания) открывает офис в Москве, и я ищу подходящих кандидатов. Скоро я попрошу вас прийти на собеседование в удобное для обеих сторон время.
Если вы заинтересованы в моем предложении, пожалуйста, заполните прилагаемую форму, связанную с вопросами компенсации, и пришлите мне результаты по электронной почте. С уважением, Виктор Павлов, Менеджер по персоналу.
Ссылка скрыта от гостей
.
Когда получатель открывает вложение, вредоносный макрос устанавливает на машину жертвы другого троянца —
Ссылка скрыта от гостей
Где-то в конце июля 2007 года выходит Gpcode.ag с 660-битным ключом. На момент распространения самый длинный факторизованный ключ на сайте RSA составляет 640 бит.
Даже на компьютере с процессором 2,2 ГГц, что на то время было много, на взлом такого ключа ушло бы лет 40, но каким-то образом все таки удалось и его расшифровать, хотя они до сих пор прикрываются коммерческой тайной. Кстати, работой над дезактивацией этого вируса занималась Лаборатория Касперского.
Ну и на этом этот вирус свое отжил, переходим к следующему.
Год спустя. После инцидента с ГПкод наш Анос решил переехать, возможно, он поступил правильно, но это никак не помогло ему уберечься от следующей напасти. Подобно магниту он собирал все существующие вирусы-вымогатели на свой ПК.
Знакомьтесь, это Архивариус.
Стоп, стоп-стоп. Не он. Короче это ещё одна программа вымогатель, а это была отсылка на что-то, на что — думайте.
Данный вредонос распространялся уже более привычным путем, хотя это было ещё не привычное заражение винлокером через какой-то чит из сайта типа ЧИИТТЫЫЫДЛЯКССССС1.666.КОМ.Ин.юа.ру.кз, но и не дискета с локером.
Итак, создатель неизвестен, но алгоритм распространения достаточно прост.
Господин Архивариус распространялся через вредоносные ссылки на веб-сайты из спам-писем. В этом очень много неточностей, поэтому так размыто излагаю.
В сообщениях зачастую говорилось о каких-то купонах, скидках или обновлении программного обеспечения, если сейчас для нас это кажется банальным и простым, то в то время были люди, готовые следовать указаниям из письма. Хотя после эпидемии МайДум, таких стало меньше.
Зловред в основном поражал системы на базе Виндоус, но некоторые, цитируя легендарное видео, “линуксоиды” пострадали тоже, ведь были модификации, которые работали на архитектуре их системы. Поэтому в начале 2006 года это вызвало массовую эпидемию вот таких вот пользователей:
Как только зловред получит доступ к устройству, она шифрует файлы жертвы, используя случайно сгенерированный закрытый ключ.
Да, наличие двух ключей, емае. Как же много слова ключ, ключ, ключ.. Ладно.
Программа-вымогатель зашифрует этот код с помощью открытого ключа.
Злоумышленник может использовать открытый ключ для расшифровки случайно сгенерированного ключа и, таким образом, расшифровать файлы, гарантируя, что тот же ключ нельзя будет использовать в случае повторной атаки на жертву. Это также означает, что кто-то не может просто перепроектировать ключ из кода шифрования.
Ключи RSA, в частности, трудно взломать, потому что они используют алгоритм RSA для генерации обоих ключей. Алгоритм основан на двух случайно сгенерированных простых числах.
Прошу простить, но иными словами это не объяснить.
Вот Архивариус и ГПкод внесли что-то новое в сегмент развития вымогателей, ведь это был огромный шаг вперед по сравнению с тем же AIDS, в котором любой школьник мог взломать симметричное шифрование и файлы могли быть довольно легко расшифрованы без необходимости платить выкуп. Может по сему Джон Поппа не получил ни единой выплаты, а после и сошел с ума.
Но “гениальный” план разработчика этого вируса потерпел крах из-за банальной лени, кстати, гениальным я бы его действительно хочу назвать, революция в подходе и реализации все таки.
В то время ГПкод продолжал активно наращивать обороты, хотя его ключ было подобрать проще, но с каждым днем появлялись новые и новые версии.
Архивариус потерпел крах через месяц после выпуска в сеть, а причиной стало то, что на всех версиях использовался один и тот же пароль — 38-символьная комбинация клавиш «mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw». Как только этот пароль стал широко распространяться, вредоносное ПО потеряло большую часть своей удерживающей способности и на этом все закончилось для него. Фатально.
Тем не менее, имея более совершенные методы шифрования, он подсказал в какую степь вредоносным-вымогателям нужно двигаться.
Ну что же.. Далее хронология уже заходит за рамки периода, который был выбран для этой статьи, как по мне, достаточно интересно вышло, даже для меня, писавшего этот бред сумашедшего. Двигаемся к итогам, господа.
Ну что же. Сегодня мы не разбирали детально работу, устройство, и не устроили практические тесты всех этих вирусняков, хотя их распространения нельзя назвать глобальным — они внесли огромный вклад в последующее развитие.
Все эти зловреды изменили ход истории, а ведь в рамках цикла мы то и делаем, что рассматриваем ключевые события в вирусологии прошлого. Их место здесь вполне заслужено.
Передовые методы шифрования на то время, в том числе асимметричное шифрование, неизменно остануться в этом типе вредоносов, и они окажутся проблематичными как для жертв, так и для фирм, производящих антивирусное ПО, поскольку подвергают безопасность данных большему риску.
Думаете эта шишка как-то отразилась на развитии и они усвоили урок? Не совсем, маловато оказалось. Ведь именно мы, находясь в современности, можем судить. Объективно? Покажет время, рассудим тогда, когда окажемся в прошлом.
Рассмотрев 22 года существования и работы вымогателей в хронологическом порядке, на следующую статью мы оставляем 10. Но каких десять? Ой-й, каких насыщенных. И я думаю, что это выйдет отнюдь не на две части. А тем и лучше.
С вами был, как всегда, какой-то парень под ником DeathDay, а мы с вами неизменно движемся к современности, рано или поздно мы её настигнем. Или все таки никогда? Ведь мгновение, называемое “сейчас” — это одновременно прошлое, будущее и настоящее. А каждое настоящее превращается в историю, к слову как раз о истории и этот цикл, только не о мгновении, а о былом прогрессе. Историческая вирусология.
Не прощаюсь, мира всем.
Источник: codeby.net
История Ransomware: С чего все началось и куда идет
Ransomware появилось в середине 2000-х годов и, как и многие другие угрозы компьютерной безопасности, зародилось в России и Восточной Европе, а затем превратилось во все более мощную угрозу. Но что ждет ransomware в будущем? Ransomware – это тип вредоносного ПО, которое препятствует нормальному доступу к системе или файлам, если жертва не заплатит выкуп. Большинство людей знакомы с разновидностями крипто-рандомного ПО, в которых файлы заключены в невзламываемые шифры, но на самом деле эта парадигма намного старше На самом деле, ransomware появилось почти десять лет назад. Как и многие другие угрозы компьютерной безопасности, она возникла в России и приграничных странах. С момента своего первого обнаружения Ransomware превратилось во все более мощную угрозу, способную получать все более крупные выкупы
Ранние Ransomware: Из России с ненавистью
Первые образцы ransomware были обнаружены в России между 2005 и 2006 годами. Они были созданы российскими организованными преступниками и направлены в основном на российских жертв, а также на жителей номинально русоязычных соседних стран, таких как Беларусь, Украина и Казахстан 
Один из этих вариантов ransomware назывался TROJ_CRYZIP.A.
Он был обнаружен в 2006 году, задолго до появления термина. Она в основном поражала машины под управлением Windows 98, ME, NT, 2000, XP и Server 2003. После загрузки и выполнения он определял файлы определенного типа и перемещал их в защищенную паролем папку ZIP, удаляя оригиналы.
Чтобы восстановить свои файлы, жертва должна была перевести 300 долларов на счет E-Gold E-Gold можно назвать духовным предшественником BitCoin. Анонимная цифровая валюта на основе золота, управляемая компанией, расположенной во Флориде, но зарегистрированной в Сент-Китс и Невис, обеспечивала относительную анонимность, но быстро стала популярной среди организованных преступников как способ отмывания грязных денег. Это привело к тому, что правительство США приостановило ее действие в 2009 году, а вскоре после этого компания прекратила свою деятельность Более поздние варианты программ-вымогателей использовали в качестве способа оплаты анонимные криптовалюты, такие как биткойн, предоплаченные дебетовые карты и даже телефонные номера с премиум-тарифом TROJ_RANSOM.AQB – еще один вариант ransomware, выявленный компанией Trend Micro в 2012 году. Его метод заражения заключался в замене главной загрузочной записи (MBR) Windows собственным вредоносным кодом. Когда компьютер загружался, пользователь видел сообщение о выкупе, написанное на русском языке, в котором требовалось заплатить 920 украинских гривен через QIWI – кипрскую платежную систему, принадлежащую России. После оплаты жертва получала код, который позволял восстановить нормальную работу компьютера 
Поскольку многие из выявленных операторов ransomware были идентифицированы как российские, можно утверждать, что опыт, приобретенный в борьбе с внутренним рынком, позволил им лучше ориентироваться на международных пользователей
Стоп, полиция!
К концу 2000-х и началу 2010-х годов ransomware все чаще признавались угрозой для международных пользователей. Но еще предстояло пройти долгий путь, прежде чем он превратился в мощный вариант крипто-трансомационного ПО, который мы видим сегодня Примерно в это же время программы-вымогатели стали часто выдавать себя за представителей правоохранительных органов, чтобы получить выкуп.
Они обвиняли жертву в причастности к преступлению – от простого нарушения авторских прав до незаконной порнографии – и говорили, что ее компьютер находится под следствием и заблокирован Затем они предоставят жертве выбор. Жертва могла бы выбрать выплату ‘штрафа’. Это позволило бы снять (несуществующие) обвинения и вернуть доступ к компьютеру.
Если жертва задерживалась, штраф удваивался. Если жертва отказывалась платить полностью, программа-вымогатель угрожала ей арестом, судом и возможным тюремным заключением Наиболее широко известным вариантом полицейской программы-выкупа был Reveton. Эффективность Reveton заключалась в том, что он использовал локализацию, чтобы казаться более легитимным.
Он выяснял, где находится пользователь, а затем выдавал себя за представителей местных правоохранительных органов Так, если жертва находилась в Соединенных Штатах, записка с требованием выкупа выдавалась за сообщение Министерства юстиции. Если пользователь был итальянцем, то сообщение было бы оформлено в стиле Guardia di Finanza.
Британские пользователи увидели бы сообщение от городской полиции Лондона или полиции Стратклайда Создатели Reveton предусмотрели все возможные варианты. Он был локализован практически для всех европейских стран, а также Австралии, Канады, Новой Зеландии и США. Но у него был недостаток. Поскольку он не шифровал файлы пользователя, его можно было удалить без каких-либо негативных последствий. Это можно сделать с помощью антивирусного live-CD или загрузившись в безопасном режиме
CryptoLocker: первая большая криптовалюта-вымогатель
У крипто-рандомных программ нет такого недостатка. Оно использует практически не поддающееся взлому шифрование, чтобы запечатать файлы пользователя. Даже если вредоносная программа была удалена, файлы остаются заблокированными.
Это оказывает огромное давление на жертву, заставляя ее заплатить CryptoLocker был первой широко известной крипто-рандомной программой, появившейся в конце 2013 года. Трудно оценить масштаб зараженных пользователей с какой-либо степенью точности.ZDNet, уважаемый журнал о технологиях, отследил четыре биткоин-адреса, использовавшихся вредоносной программой, и обнаружил, что они получили около 27 миллионов долларов в виде платежей Он распространялся через зараженные вложения электронной почты, которые распространялись через обширные сети спама, а также через ботнет Gameover ZeuS.
После взлома системы он систематически шифровал документы и медиафайлы с помощью надежной криптографии RSA с открытым ключом После этого у жертвы в течение короткого времени появляется возможность заплатить выкуп в размере 400 долларов США или 400 евро либо через Bitcoin, либо через GreenDot MoneyPak – систему предоплаченных ваучеров, которую предпочитают киберпреступники. Если жертва не заплатит в течение 72 часов, операторы угрожали, что удалят закрытый ключ, что сделает дешифровку невозможной В июне 2014 года серверы распространения CryptoLocker были уничтожены коалицией ученых, производителей систем безопасности и правоохранительных органов в рамках операции ‘Товар’. Два поставщика – FireEye и Fox-IT – смогли получить доступ к базе данных закрытых ключей, используемых CryptoLocker. Затем они выпустили сервис, который позволил жертвам бесплатно расшифровать свои файлы
Хотя CryptoLocker просуществовал недолго, он окончательно доказал, что модель крипто-вымогателей может быть прибыльной, и привел к квази цифровой гонке вооружений. Пока поставщики средств защиты готовили меры по снижению риска, преступники выпускали все более изощренные варианты ransomwareTorrentLocker и CryptoWall: Ransomware становится умнее
Одним из таких усовершенствованных вариантов ransomware стал TorrentLocker, появившийся вскоре после падения CryptoLocker Это довольно простая форма крипто-рандомного ПО. Как и большинство других форм крипто-рандомных программ, вектором атаки являются вредоносные вложения электронной почты, особенно документы Word с вредоносными макросами. После заражения машины он шифрует обычный набор мультимедийных и офисных файлов с помощью шифрования AES Наибольшее различие было в отображаемых примечаниях к выкупу.TorrentLocker отображал требуемый выкуп в местной валюте жертвы. Так, если зараженная машина находилась в Австралии, TorrentLocker отображал цену в австралийских долларах, оплачиваемую в BitCoin. Он даже перечислит местные биржи BitCoin Появились даже инновации в процессе заражения и обфускации. Возьмем, к примеру, CryptoWall 4. 0 – последний штамм в семействе крипто-рандомных программ, вызывающих опасения Он изменил способ заражения систем и теперь переименовывает все зараженные файлы, не позволяя пользователю определить, что именно было зашифровано, и затрудняя восстановление из резервной копии
Ransomware теперь нацелено на нишевые платформы
В подавляющем большинстве случаев вымогательское ПО нацелено на компьютеры под управлением Windows и в меньшей степени на смартфоны под управлением Android. Причину этого можно объяснить долей рынка. Гораздо больше людей используют Windows, чем Linux.
Это делает Windows более привлекательной целью для разработчиков вредоносных программ Но за последний год эта тенденция начала меняться – хотя и медленно – и мы начинаем видеть, что крипто-рандомные программы нацелены на пользователей Mac и Linux Linux.Encoder. 1 был обнаружен в ноябре 2015 года крупной российской компанией Dr.Web, специализирующейся на кибербезопасности. Он запускается удаленно с помощью дефекта в CMS Magento и шифрует ряд типов файлов (офисные и медиафайлы, а также файлы, связанные с веб-приложениями) с помощью криптографии с открытым ключом AES и RSA. Чтобы расшифровать файлы, жертве придется заплатить выкуп в размере одного биткоина В начале этого года появилась программа-вымогатель KeRanger, нацеленная на пользователей Mac. Она имела необычный вектор атаки, поскольку проникала в системы путем инфильтрации обновлений программного обеспечения Transmission – популярного и легитимного клиента BitTorrent Хотя угроза ransomware для этих платформ невелика, она, несомненно, растет, и ее нельзя игнорировать
Будущее Ransomware: Уничтожение как услуга
Итак, на что похоже будущее ransomware? Если бы мне пришлось выразить это словами: бренды и франшизы Сначала поговорим о франшизах. В последние несколько лет наметилась интересная тенденция, связанная с тем, что разработка ransomware стала невероятно коммодитизированной.
Сегодня, если вы заразились программой ransomware, вполне вероятно, что человек, распространивший ее, не является тем, кто ее создал Кроме того, существует брендинг. Хотя многие штаммы ransomware заслужили известность благодаря своей разрушительной силе, некоторые производители стремятся сделать свои продукты как можно более анонимными и универсальными Ценность ransomware с белой этикеткой заключается в том, что ее можно ребрендировать.
Из одного основного штамма ransomware могут появиться сотни других. Возможно, именно по этой причине в первом квартале 2015 года McAfee Labs собрала более 725 000 образцов ransomware. Это представляет собой квартальный рост почти на 165%. Кажется крайне маловероятным, что правоохранительные органы и индустрия безопасности смогут сдержать этот стремительный прилив Пострадали ли вы от ransomware?
Заплатили ли вы, потеряли ли данные или смогли решить проблему другим способом (возможно, с помощью резервного копирования)? Расскажите нам об этом в комментариях! Image Credits:privacy and security by Nicescene via Shutterstock
Источник: xn—-jtbhalmdgfdiny5d9d6a.xn--p1ai
Вот как вымогателей эволюционировал с момента его создания
Не потребовалось много времени, чтобы убедиться, что вымогатель является одной из «главных» атак киберпреступности. Он характеризуется высокой эффективностью и является машиной для реальных денег. В одном случае он способен собрать миллиарды евро от невинных жертв. Эти люди думают, что, заплатив выкуп они вернет свои файлы.
К сожалению, это не так в подавляющем большинстве случаев. В этой статье мы расскажем все, что вам нужно знать об эволюции этой атаки на сегодняшний день.
Прежде чем мы начнем объяснять историю и эволюцию вымогателей, мы напомним вам, из чего они состоят.
Это атака, которая вызывает шифрование или шифрование некоторых или всех ваших файлов, найденных на вашем компьютере. Главный сигнал, который дает нам понять, что мы стали жертвами этой атаки, заключается в том, что появляется всплывающее окно, подобное этому:
Весь контент в этом всплывающем окне был разработан и создан для отчаяния жертвы. Снимок экрана, который мы видим в качестве примера, соответствует одной из крупнейших в истории атак на вымогателей: WannaCrypt / WannaCry , Он содержит информацию о том, что случилось с вашим компьютером, можно ли восстановить зашифрованные файлы и даже как сделать платеж.
В некоторых случаях, подобных этому, вы можете увидеть, сколько времени жертве потребуется произвести оплату, прежде чем файлы будут окончательно потеряны. Кроме того, сколько времени требуется, чтобы выкуп «выкуп» денег увеличивается. Очень важная деталь, которую мы не устанем повторять, заключается в том, что ты не должен платить для предполагаемого спасения ваших файлов. Даже если они предоставят вам «доказательства жизни» для ваших файлов, вы не должны этого делать. Все, что вы можете сделать, это сделать их жертвой в другой раз.
История вымогателей
Конец 80-х, в частности 1989, стал свидетелем того, что считается первым вымогателем. Это была программа с довольно примитивными характеристиками, которая распространялась злонамеренно через старые дискеты , Его первое появление вызвало волну вымогательства в начале 2000-х годов. Тем не менее, он не привлек внимание широкой общественности, пока CryptoLocker не появился в 2013 году.
Вымогатели настолько прибыльны, что превратились в круглый бизнес и растут в мире киберпреступности. Другой чрезвычайно популярный и опасный вымогатель называется Sodinokibi , Это может быть настолько опасным и хитрым, что несколько месяцев назад он получил улучшение, которое затрудняет его обнаружение: платежи через криптовалюты, которые практически не оставляют следов ваших транзакций.
Биткойн — это криптовалюта, которую вымогатели привыкли принимать. Однако Содинокиби принял решение передать Монеро. Последнее не допускает никаких следов выполненных транзакций. Поэтому практически бесполезно пытаться отслеживать выплаты выкупа.
Трояны в сети и шифрование файлов
Между 2012 и 2013 годами предок вымогателей был на охоте. Он состоял из троянского вируса, который блокировал ваш браузер и даже весь экран вашего компьютера. Случилось так, что вы увидели сообщение в соответствующем формате, чтобы привлечь ваше внимание. Сообщение, которое может быть прочитан был якобы обвинение в совершении таких преступлений, как пиратство, детской порнографии и других незаконных действий.
Если потенциальная жертва поверит в сообщение, прочитайте ниже советы о том, как сделать платеж в обмен на то, что о нем не сообщили в полицию и не предали суду. В то время методы оплаты были различными карточными депозитными услугами.
Авторам этого трояна удалось собрать миллионы долларов благодаря тысячам жертв, ежедневно погибших. Тем не менее, это было достаточно легко удалить. Требуется лишь восстановить операционную систему до предыдущей точки перед заражением или восстановить веб-браузер.
С 2013 года шифрование файлов стало набирать популярность. CryptoLocker является одним из пионеров в области вымогателей и появился именно в сентябре того же года. Файлы были зашифрованы с использованием надежных 2048-битных алгоритмов шифрования RSA. пара открытый-закрытый ключ был практически недоступен, так как он был сохранен на Команда и управление сервер, который управляет самой вымогателей. У потерпевших был предполагаемый трехдневный срок, чтобы заплатить выкуп с помощью биткойнов или предоплаченных карт.
Свидетельство того, насколько прибыльными они могут быть, требует оплаты от 100 до 600 долларов, независимо от способа оплаты. Этот популярный вымогатель происходит из ботнета под названием Gameover ZeuS , который впервые появился в 2011 году. Его первоначальной целью было присвоение учетных данных для доступа к банковскому счету. Успех, скажем, такого типа атак привел к появлению нескольких преемников, которые были столь же успешны, как и оригинал. Некоторые из них — PClock, CryptoLocker 2.0 и TorrentLocker.
RaaS: вымогатель как услуга
2000-е годы характеризуются различными ситуациями и любопытными фактами, одним из которых является «Все как услуга», то есть все как услуга. Программное обеспечение как услуга, Инфраструктура как услуга — это всего лишь несколько примеров того, что все можно настроить, чтобы стать прибыльным сервисом. Недостатком является то, что это почти не знает границ, и вымогателей получил свое место в этой области в 2015 году.
РАСХН состоял из модели, в которой различные группы киберпреступников распространяли определенные вымогатели. Впоследствии прибыль была распределена между теми же группами и авторами вымогателей. Они даже собрали панели с чрезвычайно подробной статистикой, которая позволяла отслеживать статус жертв. И если диктуется необходимость, они могут настроить коды и распространять еще более опасные вымогателей.
Источник: itigic.com