Ransomware

Ransomware [1] [2] , ransomware [3] ( eng.  ransomware  - un portmanteau al cuvintelor răscumpărare  - răscumpărare și software  - software) - un tip de software rău intenționat conceput pentru extorcare , blochează accesul la un sistem informatic sau împiedică citirea datelor înregistrat în el (folosind adesea metode de criptare), apoi solicită o răscumpărare de la victimă pentru a restabili starea inițială.

Tipuri de ransomware

În prezent, există mai multe abordări radical diferite ale activității ransomware:

Blocarea sau interferarea cu munca în sistem

După ce Trojan.Winlock\LockScreen este instalat pe computerul victimei, programul blochează computerul folosind funcțiile de sistem și este adăugat la pornire (în ramurile corespunzătoare ale registrului de sistem). În același timp, utilizatorul vede un mesaj fictiv pe ecran, de exemplu, despre acțiuni presupuse ilegale tocmai comise de utilizator (chiar și cu link-uri către articole de legi) și o cerere de răscumpărare menită să sperie un utilizator neexperimentat - trimiteți o SMS plătit , completați contul altcuiva [4] , inclusiv într-un mod anonim precum BitCoin. Mai mult decât atât, troienii de acest tip nu verifică adesea parola. În acest caz, computerul rămâne în stare de funcționare. Adesea există o amenințare de distrugere a tuturor datelor, dar aceasta este doar o încercare de a intimida utilizatorul [5] . Uneori, instrumentele de distrugere a datelor, cum ar fi criptarea cheii asimetrice, sunt încă incluse în virus, dar fie nu funcționează corect, fie există o implementare cu competențe reduse. Sunt cunoscute cazuri de prezență a unei chei de decriptare a fișierelor în codul troian în sine, precum și imposibilitatea tehnică a decriptării datelor de către hacker însuși (în ciuda răscumpărării plătite) din cauza absenței sau pierderii acestei chei chiar și de către acesta.

Uneori este posibil să scăpați de un virus folosind formulare de deblocare pe site-uri antivirus sau programe speciale create de companii antivirus pentru diferite regiuni geografice în care troienii sunt activi și, de regulă, sunt disponibile gratuit. În plus, în unele cazuri, în modul sigur, este posibil să găsiți procesul troian în managerul de activități , să găsiți fișierul acestuia și să-l ștergeți. De asemenea, merită luat în considerare faptul că troianul este capabil, în unele cazuri, să rămână operațional chiar și în modul sigur. În astfel de cazuri, trebuie să intrați în modul sigur cu linia de comandă și să rulați procesul de explorare în consolă și să eliminați troianul sau să utilizați serviciile programelor antivirus.

Criptarea fișierelor din sistem

După ce a fost instalat pe computerul victimei, programul criptează majoritatea fișierelor de lucru (de exemplu, toate fișierele cu extensii comune). În acest caz, computerul rămâne operațional, dar toate fișierele utilizatorului sunt inaccesibile. Atacatorul promite că va trimite instrucțiuni și o parolă pentru decriptarea fișierelor pentru bani.

Virușii de criptare au apărut cronologic după winlockers. Distribuția lor este asociată cu UAC și remedieri fierbinți Microsoft: devine mai dificil să se înregistreze în sistem fără știrea utilizatorilor, dar computerul este proiectat să funcționeze cu fișierele utilizatorului! Ele pot fi corupte chiar și fără privilegii administrative.

Aceste escrocherii includ

Modalități de distribuție

Programele legate de ransomware sunt, din punct de vedere tehnic, un virus de computer obișnuit sau un vierme de rețea , iar infecția are loc în același mod - de la o corespondență în masă când este lansat un fișier executabil sau când este atacat printr-o vulnerabilitate într-un serviciu de rețea.

Principalele rute de distribuție a ransomware: [6]

Modalități de a lupta

Reguli generale de disciplină a informațiilor personale:

În cazul în care infecția a apărut deja, merită să utilizați utilitățile și serviciile oferite de companiile antivirus. Cu toate acestea, este departe de a fi întotdeauna posibil să se elimine infecția fără a plăti o răscumpărare [8] .

Istorie

Virușii ransomware infectează utilizatorii de computere personale din mai 2005. Sunt cunoscute următoarele cazuri: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Cel mai cunoscut virus este Gpcode și variantele sale Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Acesta din urmă se remarcă prin faptul că folosește algoritmul RSA cu o cheie de 1024 de biți pentru a cripta fișierele.

În martie 2013, Dr. Web, a fost descoperit ransomware-ul ArchiveLock care a atacat utilizatorii din Spania și Franța , care utilizează arhivatorul legal WinRAR [9] pentru a efectua acțiuni rău intenționate pentru a cripta fișierele și apoi, după criptare, șterge definitiv fișierele originale cu utilitarul Sysinternals SDelete [10] ] .

Următorul fapt vorbește despre amploarea afacerii criminale în curs de dezvoltare. La sfârșitul anului 2013, ransomware-ul CryptoLocker a folosit sistemul de plată Bitcoin pentru a colecta o răscumpărare. În decembrie 2013 , pe baza disponibilității informațiilor despre tranzacțiile Bitcoin, ZDNet a evaluat transferurile de fonduri de la utilizatorii infectați pentru perioada 15 octombrie - 18 decembrie. Doar până la sfârșitul acestei perioade, operatorii CryptoLocker reușiseră să strângă aproximativ 27 de milioane de dolari la prețul actual al bitcoinilor. [unsprezece]

Atacurile cunoscute

2017 : WannaCry (mai) [12] ; Petya (iunie) [13] [14] ; Bad Rabbit (octombrie) [15]

Geografie

Folosind internetul, atacatorii pot opera peste tot în lume: doar în Australia , conform datelor oficiale, din august până în decembrie 2014 au avut loc aproximativ 16 mii de episoade de extorcare online, în timp ce răscumpărarea totală s-a ridicat la aproximativ 7 milioane de dolari [8] .

Urmă rusească

Potrivit experților, semnele indirecte indică legătura dintre dezvoltatorii de ransomware cu Rusia și fostele republici ale URSS . Următoarele fapte vorbesc în favoarea acestei versiuni [16] :

Vezi și

Note

  1. Termeni IT: despre jargonul profesional cu umor . Preluat la 28 februarie 2018. Arhivat din original la 1 martie 2018.
  2. Ransomware - Ransomware - Anti-Malware - Cis . Consultat la 28 februarie 2018. Arhivat din original la 3 noiembrie 2017.
  3. Căutare terminologică - Microsoft Language Portal . Consultat la 16 septembrie 2017. Arhivat din original la 31 octombrie 2017.
  4. Grigori Sobcenko. Escroci prinși pentru SMS . Kommersant . kommersant.ru (27 august 2010). Consultat la 11 aprilie 2013. Arhivat din original pe 17 mai 2014.
  5. Alexei Dmitriev. Noul ransomware ne fură prin browsere populare . Moskovsky Komsomolets . Moskovsky Komsomolets (2 aprilie 2013). Consultat la 9 aprilie 2013. Arhivat din original pe 19 aprilie 2013.
  6. Principalele amenințări de pe Web sunt numite: hackeri chinezi și troieni ransomware . Noutăți noi . newizv.ru (26 ianuarie 2010). Consultat la 11 aprilie 2013. Arhivat din original pe 17 mai 2014.
  7. Viaceslav Kopeitsev, Ivan Tatarinov. Troieni ransomware . SecureList . securelist.com (12 decembrie 2011). Consultat la 11 aprilie 2013. Arhivat din original pe 5 septembrie 2012.
  8. 1 2 „Ransomware: Your money or your data”, arhivat 23 ianuarie 2015 la Wayback Machine The Economist , 17 ianuarie 2015
  9. Programele malware criptează fișierele de pe computerele victimelor folosind WinRAR . Anti-Malware.ru _ anti-malware.ru (15 martie 2013). Consultat la 9 aprilie 2013. Arhivat din original pe 17 aprilie 2013.
  10. Andrei Vasilkov. Turma de Pacers: Zece cei mai originali și populari troieni ai timpurilor moderne . Computerra . computerra.ru (21 martie 2013). Consultat la 17 aprilie 2013. Arhivat din original pe 5 mai 2013.
  11. Violet Blue. Valul criminalității CryptoLocker: o urmă de milioane în Bitcoin spălat  (engleză) . ZDNet (22 decembrie 2013). Consultat la 4 iulie 2015. Arhivat din original la 23 decembrie 2013.
  12. Atacul hackerilor la scară globală. Virusul ransomware a atacat computerele din întreaga lume
  13. Virusul ransomware a atacat companiile rusești Copie de arhivă din 27 iunie 2017 pe Wayback Machine // RG, 27.06.2017
  14. Virusul Petya a atacat centrala nucleară de la Cernobîl Copie de arhivă din 27 iunie 2017 pe Wayback Machine // RG, 27.06.2017
  15. Group-IB: Virusul de criptare Bad Rabbit a atacat mass-media  rusă (rusă) , TASS . Arhivat din original pe 26 octombrie 2017. Preluat la 26 octombrie 2017.
  16. De ce bandele cibernetice nu își vor face griji în legătură cu discuțiile dintre SUA și Rusia Arhivat 22 iunie 2021 la Wayback Machine , BBC, 20.06.2021

Link -uri

Publicații companiei:

Articole: