Атака вирусов-вымогателей: примеры и способы защиты

БЕЗОПАСНОСТЬ

Атака вирусов-вымогателей по-прежнему остаются одной из самых значимых угроз информационной безопасности. Их опасность в том, что они поражают медицинские учреждения, банки, университеты, правительственные и юридические организации по всему миру.

Вирус-шифровальщик, программа вымогатель или вирус-вымогатель (ransomware) — это вредоносная программа, которая при попадании на компьютер атакует важнейшие системные разделы с документами, таблицами, изображениями и пр. Затем вирус шифрует все файлы этого типа и лишает владельца доступа к ним. Злоумышленники предлагают жертве заплатить деньги в биткоинах за восстановление доступа к данным.

Киберпреступники ищут самые разные пути для заражения устройств вирусами шифровальщиками. Если вы ни разу не становились жертвой подобных атак программ вымогателей, вам серьёзно повезло. Для обеспечения максимальной защиты от вирусов вымогателей очень важно использовать поведенческий анализ программ и устанавливать все необходимые обновления.

Хакеры всегда стараются использовать самые простые способы заражения, которые зачастую зависят от невнимательности пользователя устройства.

Какие действия выполняют программы вымогатели

Вирусы-вымогатели (программы вымогатели) представляют собой особый тип вредоносного программного обеспечения, разработанный для вымогания денег у жертв компьютерных атак. При этом вирус как бы берет в заложники сам компьютер жертвы. Большинство программ создано таким образом, что они в состоянии незаметно проникнуть на компьютер и начать медленно зашифровывать пользовательские файлы. Отсюда и одно из названий программы вымогателя – вирус-шифровальщик.

Зашифровав все необходимое, вирусы блокируют устройство и выводят на экран сообщение с требованием выкупа. В качестве мотивации пользователю сообщают о том, что если хакеры не увидят денег, то все-все данные на компьютере будут стерты.

Как распространяется вирус – вымогатель?

Злоумышленники постоянно пробуют новые способы заражения компьютеров с помощью ransomware. В основе большинства атак вирусов-вымогателей лежит обман — вас принуждают к установке вредоносного ПО. Некоторые вирусы-вымогатели, используя уязвимости программ, даже не требуют одобрения установки, но такие атаки, как правило, краткосрочны, потому что ликвидируются после устранения уязвимостей.    

Вложения электронной почты

Большинство вирусов-вымогателей распространяется по незнакомой электронной почте. Фишинговые письма максимально маскируются под официальную переписку, заставляя вас открыть вложение или перейти по ссылке. Как только вы это делаете, ваш компьютер заражается вирусом-шифровальщиком.

Вариацией фишинг-атак, набирающих популярность, является направленная фишинг-атака: вместо рассылки большого количества писем вымогатели отправляют сообщения, точно адаптированные под конкретного человека, часто используя информацию, полученную из открытых профилей в соцсетях. Злоумышленник может выступать в роли нового клиента или даже в роли подрядчика, с которым вы уже работаете.

О том, что такое фишинг. Как определить фишинг и защититься от него мы уже писали здесь

Веб-страницы, содержащие ransomware

Некоторые веб-сайты содержат вредоносный код, который использует уязвимости в вашем браузере и операционной системе или обманывает вас, заставляя согласиться на выкуп.

Ссылки на эти сайты могут быть встроены в фишинговые письма. Их также можно направлять с помощью текстовых ссылок, рекламных баннеров или всплывающих окон.

Сетевые протоколы передачи файлов и протоколы удаленного доступа

Иногда ransomware пользуется недостатками безопасности в операционных системах или приложениях, которые позволяют распространять и запускать файлы самостоятельно. Это может наносить разрушительное действие. Без необходимости в человеческом участии вирус мгновенно распространяется от компьютера к компьютеру через интернет.

Крупные технологические компании быстро ликвидируют эти дыры в безопасности, как только узнают о них. Это означает, что компании, которые отключают обновления и не пытаются усовершенствовать ИТ-систему, на сегодняшний день являются особенно уязвимыми для такого рода атак.

Уязвимость мобильных устройств (Android, iOS)

Раньше мобильные телефоны хранили только базу контактов, то сейчас они являются хранилищами критичных данных для пользователя: фото, видео, календари, документы и пр. Мобильные устройства все активнее используются и в корпоративном секторе (ежегодный прирост 20-30%). По данным Kaspersky Lab, в 1 квартале 2017 года вымогатели занимают 16% от общего числа вредоносов (в 4 квартале 2016 года это значение не превышало 5%).

Меры защиты от атак программ-вымогателей для мобильных устройств:

  • Для корпоративного сектора:
    • использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя; для защиты корпоративных данных на мобильных устройствах пользователя — системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
    • использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений.
  • Для конечных пользователей:
    • использование официальных магазинов для установки приложений;
    • своевременное обновление системного ПО;
    • исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов. 

Защита от программ вымогателей

  • Используйте ПО с функцией многоуровневой проактивной защиты данных, например, TrapX Deceptiongrid™.
  • Проводить регулярное резервное копирование данных.
  • Применять сетевые экраны и фильтры, запрещающие доступ к вредоносным сайтам.
  • Проводить обучение сотрудников с целью обеспечения безопасности данных.
  • Устанавливать регулярные обновления операционной системы. Вирусы-вымогатели нередко заражают компьютеры через уязвимости старых версий операционных систем, так и не исправленные разработчиками.
  • Регулярно обновлять сторонние программы.
  • Ограничивать доступ сотрудников к информации и их привилегии при использовании корпоративных компьютеров.
  • Следите за тем, чтобы ваш антивирус использовал самые актуальные базы.
  • Проинструктировать сотрудников организации о проверке адреса сайтов, на которые переходят

Что делать, если атаковал вирус-вымогатель?

В случае, если на ваше устройство совершил атаку вирус-шифровальщик, эксперт Роскачества советует:

1. Ни в коем случае не платите выкуп. 

Нет никаких гарантий, что злоумышленник вернет доступ к данным. Также он может скопировать информацию и продолжить шантажировать тем, что опубликует ее в Сети.

2. Отключите компьютер от сети, а лучше отключите всю электрическую сеть в доме.

3. Обратитесь к IT-специалистам.

Для многих известных вирусов-шифровальщиков есть программы-дешифраторы. IT-специалисту нужно определить тип вируса и применить против нее дешифратор, если он существует.

Однако вероятность успеха не велика и гарантий восстановления системы никто не может дать. Нужно морально подготовиться к тому, что вы потеряете данные, которые зашифровал вирус-вымогатель.

Примеры наиболее опасных программ-вымогателей (вирусов-шифровальщиков)

Программа-шифровальщик AvosLocker

Впервые замеченный в июле 2021 года, AvosLocker работает в рамках модели “вымогательство как услуга” (RaaS) и контролируется avos, которая рекламирует свои услуги на форуме темных веб-дискуссий Dread. В примечании о выкупе содержится информация и идентификатор, используемый для идентификации жертв, с указанием посетить сайт AvosLocker. Согласно исследованию, запросы на выкуп составляли от 50 000 до 75 000 долларов в Монеро, при этом вирус-вымогатель был выявлен в семи организациях по всему миру.

Hive Ransomware

Программа-вымогатель Hive Ransomware впервые была обнаружена в июне 2021 года. Главными целями этого вируса-вымогателя стали медицинские организации. Группа опубликовала свою первую жертву на своем сайте утечек Hive Leaks, а спустя некоторое время появились данные еще о 28 жертвах, пострадавших от вируса-шифровальщика. 

HelloKitty: Linux Edition

Семейство HelloKitty появилось в 2020 году, в основном ориентируясь на системы Windows. Его название происходит от использования HelloKittyMutex.

LockBit 2.0

Ранее известная как программа-вымогатель ABCD, LockBit 2.0 – это еще одна группа, которая работает как RaaS. Несмотря на то, что Пало-Альто работает с 2019 года, он обнаружил недавнюю эволюцию методов группы, и участники утверждают, что их текущий вариант является самым быстрым программным обеспечением для шифрования. С июня группа скомпрометировала 52 крупные компании.

Оцените статью