Что такое вирусы-вымогатели?

Обложка: Что такое программы-вымогатели

Словарь терминов540х540-14 (2).png

Прежде чем вы погрузитесь в обзорную экскурсию по программам-вымогателям, рекомендуем ознакомиться с терминами, которые будут часто встречаться, чтобы легче ориентироваться в тексте.

  • Симметричное шифрование — способ шифрования данных с использованием одного ключа для кодирования и декодирования информации.
  • Асимметричное шифрование — способ шифрования данных с использованием двух ключей — публичного (для шифрования) и приватного (для расшифровки).
  • Криптография — наука о методах шифрования и дешифровки информации.
  • Алгоритм AES — построен на методе симметричного шифрования.
  • Алгоритм RSA — построен на методе асимметричного шифрования. Так же как и AES, входит в топ самых популярных и используемых.
  • RaaS — модель преступной деятельности киберзлоумышленников, при которой вирусы-вымогатели сдаются в аренду хакерам через даркнет.

Вирус-шифровальщик (он же вирус-вымогатель, англ. ransomware) — вредоносное ПО, которое используют мошенники, чтобы заблокировать доступ к файлам или целым системам, шифруя их, а затем требуют выкуп за их восстановление.

Примеры известных вирусов-шифровальщиков:

Вирус-вымогатель WannaCry — использовал уязвимость в Windows (EternalBlue) и за считанные часы поразил сотни тысяч компьютеров в более чем 150 странах по всему миру.

Вирус-вымогатель Petya — модифицированная версия вируса WannaCry, блокирующая не только файлы, но и всю операционную систему Windows, делая ее загрузку невозможной.

Вирус-вымогатель Locky — активно распространялся через спам-рассылки с вредоносными вложениями и атаковал операционные системы macOS и Windows.

Сегодня угроза вирусов-шифровальщиков никуда не ушла, а стала только актуальнее. Только за 2024 год атаки вымогателей в России выросли на 44% по сравнению с 2023 годом. Особенно активно использовались вредоносные программы, такие как LockBit 3 Black и Mimic, на которые пришлось до 50% всех инцидентов. При этом растут и суммы выкупа, выплачиваемого компаниями злоумышленникам за расшифровку информации — в 2024 году сумма платежа составляла 10-15 млн рублей.

Углубиться в тему   
О том, как самые известные вирусы-вымогатели терроризировали мир, читайте в нашем материале о крупнейших кибератаках в истории.

Вредоносный код может проникнуть в систему самыми разными способами — через фишинговые письма, вредоносные вложения, уязвимости в программном обеспечении или зараженные сайты. После попадания на устройство он начинает свою основную задачу — шифрование данных.

О самом первом вирусе-вымогателе стало известно 36 лет назад: когда в 1989 году программа, получившая впоследствии название AIDS Trojan, стала массово заражать компьютеры в США. С помощью дискет, которые содержали информацию о том, как не заразиться СПИДом, вредоносный код распространялся среди ничего не подозревающих пользователей.   

Вирус шифровал имена файлов в корневом каталоге машины, что вело к блокировке доступа к большей части содержимого на диске компьютера. Затем программа требовала от жертв отправить деньги на почтовый ящик в Панаме, чтобы они могли восстановить доступ к заблокированным данным. 

Что происходит после заражения

После активации ransomware быстро сканирует систему, определяя ценные файлы, и применяет к ним шифрование. Затем он может изменять расширения файлов, оставлять записки с требованиями или блокировать доступ к операционной системе. Например, WannaCry выводил на экран угрозу удаления данных в случае неуплаты, а Petya переписывал загрузочную область диска, делая работу системы невозможной.

Как выглядел вирус-вымогатель WannaCry
Снимок экрана WannaCry с требованием выкупа

Почему сложно расшифровать файлы без ключа

Современные вирусы-вымогатели чаще всего используют два самых популярных алгоритма шифрования — AES-256 и RSA-2048, которые практически невозможно взломать без уникального ключа. Например, RSA-2048 — применяет алгоритм асимметричного шифрования, его суть заключается в том, что при кодировании используется два ключа: открытый — для шифрования, и, закрытый — для расшифровки. Этот ключ хранится на серверах злоумышленников, и если бы пострадавший решил самостоятельно подобрать подходящую комбинацию для дешифровки, то это могло бы занять миллионы лет. Без приватного ключа расшифровать файлы можно только в редких случаях, например, если в алгоритме вируса была найдена ошибка.

Какие данные наиболее уязвимы

Чаще всего вирусы шифруют документы, фотографии, базы данных и рабочие файлы, поскольку они имеют критическую ценность для отдельного пользователя или бизнеса в целом. Особенно уязвимы медицинские учреждения, банки, государственные структуры и IT-компании, так как потеря их данных может привести к серьезным последствиям, вплоть до уголовной ответственности. Если в системе нет резервных копий, жертва вынуждена либо платить выкуп (чего в большинстве случаев делать не стоит, так как злоумышленники получают деньги и не выполняют свои обещания), либо терять данные навсегда.

  • Шифровальшики   
    Шифруют файлы на зараженном устройстве, при этом оставляя операционную систему работоспособной. Жертва получает сообщение с требованием выкупа за ключ расшифровки. Самый известный пример, уже знакомый читателю, – WannaCry.
  • Блокировщики   
    Тип вредоносного ПО блокирует доступ к системе или определенным ее частям, не шифруя файлы. Зловред размещает на экране неотключаемое сообщение с требованием выкупа за разблокировку.
  • Вирусы MBR  
    Вирусы заражают основную загрузочную запись (MBR), не позволяя системе загрузиться. Например, Petya, который отличался особой свирепостью и полностью блокировал доступ к компьютеру, шифруя жесткий диск.

Master Boot Record, MBR – часть жесткого диска компьютера, которая отвечает за загрузку операционной системы.

  • Черные арендаторы (RaaS)   
    Это модель, при которой киберпреступники продают или сдают в аренду вирусы-вымогатели другим злоумышленникам. Такой подход упрощает распространение атак.
  • Вайперы    
    Цель подобных программ не в шифровании или хищении данных, а в уничтожении их без возможности восстановления. Вайпер может частично испортить или полностью удалить ценную информацию, что приведет к критическим последствиям как для частных лиц, так и для организаций.

Примечательно, что создатель вируса AIDS Trojan не был хакером, как могли бы подумать читатели, а был биологом с докторской степенью в Гарварде. Джозефа Проппа признали невменяемым после ареста, однако это ему нисколько не помешало издать книгу по антропологии и эволюции — “Popular Evolution: Life-Lessons from Anthropology”. 

Мы не рекомендуем платить выкуп злоумышленникам. Это не даст никаких гарантий восстановления файлов и скорее всего, будет использовано для финансирования дальнейших атаки. Вместо этого сделайте следующие шаги по восстановлению:НЕ ПЛАТИТЕ ВЫКУП ВИРУСУ! — DDoS-Guard

1. Удалите программу вымогателя и восстановите данные из резервной копии

  • Отключите зараженный компьютер от локальной сети, чтобы предотвратить дальнейшее распространение вируса.
  • Запустите систему в безопасном режиме и используйте антивирусные программы (Kaspersky, ESET) для удаления вредоносного ПО.
  • Восстановите файлы из облачных либо локальных резервных копий.

2. Используйте бесплатные инструменты для расшифровки

  • Прежде чем применять инструменты, которые рекомендует какой-либо источник, внимательно изучите его благонадежность.
  • Некоторые вирусы имеют известные уязвимости, и специалисты-исследователи кибербезопасности создают бесплатные расшифровщики. Например, No More Ransom, где вы сможете найти инструменты и рекомендации для восстановления данных.

3. Переустановите систему, если расшифровка файлов невозможна

  • Помните, что форматирование диска и переустановка Windows или macOS удалят вирус, но уничтожат и все данные.
  • После переустановки обновите ПО, включите антивирус, создайте резервные копии.

 

Старайтесь всегда следовать основам кибербезопасности, что бы540х540-05.png защитить конфиденциальные данные и свою систему. Готовьтесь к атакам заранее и повышайте  уровень киберграмотности. Так вы сможете правильно реагировать в сложных ситуациях и быстро минимизировать возможные последствия действий злоумышленников. О новых трендах и новостях из мира кибербезопасности в нашем телеграм-канале

Все перечисленные советы носят рекомендательный характер и не гарантируют полной защиты, однако будут полезны в большинстве случаев и помогут обезопасить чувствительные данные от вирусов.

1. Используйте антивирусы

Установите надежное антивирусное программное обеспечение и регулярно обновляйте его, чтобы предотвратить шифрование файлов.

2. Будьте внимательны к подозрительным ссылкам и вложениям

Никогда не открывайте подозрительные вложения и не переходите по сомнительным ссылкам, особенно если письмо пришло от незнакомого отправителя. С 2024 года фишинговые атаки выросли на 425% в России.    
Чаще всего такие письма маскируются под официальные сообщения банков, служб доставки и других компаний.

Как выглядит фишинговое письмо — DDoS-Guard
Пример фишингового письма

3. Регулярно создавайте резервные копии

Настройте автоматическое резервное копирование важных данных на внешние носители или облачные сервисы (Google Drive, OneDrive, Dropbox). Храните копии отдельно от основной сети, чтобы вирус не смог до них добраться.

4. Контролируйте учетные записи

Используйте многофакторную аутентификацию для защиты учетных записей.

5. Повышайте свою киберграмотность

Регулярно проводите обучения для себя и коллег по основам кибербезопасности, разработайте стратегию реагирования на инциденты и следите за новыми видами угроз и способами защиты, чтобы быть готовым к любым атакам. 

Зловреды чаще всего распространяются через фишинговые письма, зараженные сайты и торренты. Далее рассмотрим подробнее источники заражения:

  • Фишинговые письма и вложения — на сегодняшний день один из самых распространенных способов заражения — поддельные электронные письма, которые маскируются под сообщения от банков, коллег по работе, служб доставки. Вложенные файлы к этим письмам, такие как Word, PDF, ZIP, EXE, могут содержать вредоносный код, который запускается при открытии.
  • Зараженные сайты — вредоносная реклама даже на легальных сайтах или фальшивые веб-страницы могут содержать эксплойты, заражающие систему при переходе по ссылке. В некоторых случаях достаточно просто зайти на сайт без установки опасных файлов, если ваш браузер уязвим.
  • Торренты и пиратский софт — вирусы-вымогатели часто маскируются под бесплатные версии платных программ, игры и активаторы лицензий. Запуская нелицензионное ПО, пользователь собственными руками запускает вирус.
  • Социальная инженерия — мошенники могут отправлять вредоносные ссылки в мессенджеры, заманивая своих жертв поддельными предложениями или важными «документами».
  • Уязвимости в операционной системе и ПО — некоторые вирусы, например, WannaCry, используют эксплойты для заражения компьютеров даже без участия пользователя. Достаточно не обновлять систему, чтобы хакеры нашли слабые места и легко проникли в нее.  
  • Протокол удаленного рабочего стола (RDP) и слабые пароли — после массового перехода на удаленный формат работы в декабре 2019 года участились атаки на протокол RDP, который позволяет подключаться к серверам и компьютерам удаленно. Киберпреступники стали использовать это в свою пользу — они сканируют интернет в поисках открытых RDP-портов (3389) и подбирают пароли к удаленному рабочему столу. Если защита слабая, злоумышленники могут легко заразить сеть или получить доступ к частным данным. Чтобы снизить возможность взлома учетных записей, выставьте количество неудачных подключений в настройках локальной политики безопасности. После определенного числа переключений, которое вы выберете, будет происходить блокировка учетной записи.

После «успеха» вируса Джозефа Проппа интерес к идеям шифрования временно пропал из поля зрения, но уже в 1995 году вернулся с новой силой со стороны научного сообщества. Двое ученых-криптографов — Адам Янг и Моти Юнг — решили проверить, каким может быть самый страшный компьютерный вирус. Их исследования привели к концепции, которая по сей день активно используется не только в преступных, но и защитных целях — кодирование данных с помощью асимметричного шифрования.   

Исследования криптографов оказались пророческими: они предположили, что будущие хакеры будут заставлять своих жертв платить виртуальными деньгами за возвращение доступа к зашифрованным данным. Тогда научное сообщество восприняло все идеи Янга и Юнга скептически и не отнеслось серьезно к их исследованиям, но технологический прогресс и скачок развития сферы ИТ показали, как же это было ошибочно.

Вирусы-шифровальщики до сих пор остаются одной из главных киберугроз в России и мире. Они наносят многомиллионные убытки бизнесу. Хакеры используют фишинг, уязвимости в ПО и RDP-доступы для проникновения в системы. Чтобы защититься от действий злоумышленников важно регулярно делать резервные копии, обновлять ПО и подключить многофакторную аутентификацию. Не платите выкуп мошенникам и сразу обратитесь к специалистам, чтобы получить профессиональную помощь и защиту.

Поделиться:

Читайте также

Виды бэкапа

Статьи

Все о бэкапе: Почему это важно и какие типы резервного копирования существуют

Почему важно делать бэкап и какие типы резервного копирования существуют.

5 мин
35
Обложка: Новые типы киберугроз 2025

Статьи

DDoS-атаки сегодня: новые типы киберугроз в 2025 году

Изменение ландшафта DDoS-атак в 2025 году: новые типы угроз и надежный способ защиты от них.

5 мин
1030
1920x1080 Что такое кибербезопасность (2).png

Статьи

Что такое кибербезопасность

Разбираемся в понятии кибербезопасности, рассматриваем важность и применение стратегий защиты

13 мин
382