Ransomware [1] [2] , ransomware [3] ( eng. ransomware - un portmanteau al cuvintelor răscumpărare - răscumpărare și software - software) - un tip de software rău intenționat conceput pentru extorcare , blochează accesul la un sistem informatic sau împiedică citirea datelor înregistrat în el (folosind adesea metode de criptare), apoi solicită o răscumpărare de la victimă pentru a restabili starea inițială.
În prezent, există mai multe abordări radical diferite ale activității ransomware:
După ce Trojan.Winlock\LockScreen este instalat pe computerul victimei, programul blochează computerul folosind funcțiile de sistem și este adăugat la pornire (în ramurile corespunzătoare ale registrului de sistem). În același timp, utilizatorul vede un mesaj fictiv pe ecran, de exemplu, despre acțiuni presupuse ilegale tocmai comise de utilizator (chiar și cu link-uri către articole de legi) și o cerere de răscumpărare menită să sperie un utilizator neexperimentat - trimiteți o SMS plătit , completați contul altcuiva [4] , inclusiv într-un mod anonim precum BitCoin. Mai mult decât atât, troienii de acest tip nu verifică adesea parola. În acest caz, computerul rămâne în stare de funcționare. Adesea există o amenințare de distrugere a tuturor datelor, dar aceasta este doar o încercare de a intimida utilizatorul [5] . Uneori, instrumentele de distrugere a datelor, cum ar fi criptarea cheii asimetrice, sunt încă incluse în virus, dar fie nu funcționează corect, fie există o implementare cu competențe reduse. Sunt cunoscute cazuri de prezență a unei chei de decriptare a fișierelor în codul troian în sine, precum și imposibilitatea tehnică a decriptării datelor de către hacker însuși (în ciuda răscumpărării plătite) din cauza absenței sau pierderii acestei chei chiar și de către acesta.
Uneori este posibil să scăpați de un virus folosind formulare de deblocare pe site-uri antivirus sau programe speciale create de companii antivirus pentru diferite regiuni geografice în care troienii sunt activi și, de regulă, sunt disponibile gratuit. În plus, în unele cazuri, în modul sigur, este posibil să găsiți procesul troian în managerul de activități , să găsiți fișierul acestuia și să-l ștergeți. De asemenea, merită luat în considerare faptul că troianul este capabil, în unele cazuri, să rămână operațional chiar și în modul sigur. În astfel de cazuri, trebuie să intrați în modul sigur cu linia de comandă și să rulați procesul de explorare în consolă și să eliminați troianul sau să utilizați serviciile programelor antivirus.
După ce a fost instalat pe computerul victimei, programul criptează majoritatea fișierelor de lucru (de exemplu, toate fișierele cu extensii comune). În acest caz, computerul rămâne operațional, dar toate fișierele utilizatorului sunt inaccesibile. Atacatorul promite că va trimite instrucțiuni și o parolă pentru decriptarea fișierelor pentru bani.
Virușii de criptare au apărut cronologic după winlockers. Distribuția lor este asociată cu UAC și remedieri fierbinți Microsoft: devine mai dificil să se înregistreze în sistem fără știrea utilizatorilor, dar computerul este proiectat să funcționeze cu fișierele utilizatorului! Ele pot fi corupte chiar și fără privilegii administrative.
Aceste escrocherii includ
Programele legate de ransomware sunt, din punct de vedere tehnic, un virus de computer obișnuit sau un vierme de rețea , iar infecția are loc în același mod - de la o corespondență în masă când este lansat un fișier executabil sau când este atacat printr-o vulnerabilitate într-un serviciu de rețea.
Principalele rute de distribuție a ransomware: [6]
Reguli generale de disciplină a informațiilor personale:
În cazul în care infecția a apărut deja, merită să utilizați utilitățile și serviciile oferite de companiile antivirus. Cu toate acestea, este departe de a fi întotdeauna posibil să se elimine infecția fără a plăti o răscumpărare [8] .
Virușii ransomware infectează utilizatorii de computere personale din mai 2005. Sunt cunoscute următoarele cazuri: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Cel mai cunoscut virus este Gpcode și variantele sale Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Acesta din urmă se remarcă prin faptul că folosește algoritmul RSA cu o cheie de 1024 de biți pentru a cripta fișierele.
În martie 2013, Dr. Web, a fost descoperit ransomware-ul ArchiveLock care a atacat utilizatorii din Spania și Franța , care utilizează arhivatorul legal WinRAR [9] pentru a efectua acțiuni rău intenționate pentru a cripta fișierele și apoi, după criptare, șterge definitiv fișierele originale cu utilitarul Sysinternals SDelete [10] ] .
Următorul fapt vorbește despre amploarea afacerii criminale în curs de dezvoltare. La sfârșitul anului 2013, ransomware-ul CryptoLocker a folosit sistemul de plată Bitcoin pentru a colecta o răscumpărare. În decembrie 2013 , pe baza disponibilității informațiilor despre tranzacțiile Bitcoin, ZDNet a evaluat transferurile de fonduri de la utilizatorii infectați pentru perioada 15 octombrie - 18 decembrie. Doar până la sfârșitul acestei perioade, operatorii CryptoLocker reușiseră să strângă aproximativ 27 de milioane de dolari la prețul actual al bitcoinilor. [unsprezece]
Atacurile cunoscute2017 : WannaCry (mai) [12] ; Petya (iunie) [13] [14] ; Bad Rabbit (octombrie) [15]
Folosind internetul, atacatorii pot opera peste tot în lume: doar în Australia , conform datelor oficiale, din august până în decembrie 2014 au avut loc aproximativ 16 mii de episoade de extorcare online, în timp ce răscumpărarea totală s-a ridicat la aproximativ 7 milioane de dolari [8] .
Urmă ruseascăPotrivit experților, semnele indirecte indică legătura dintre dezvoltatorii de ransomware cu Rusia și fostele republici ale URSS . Următoarele fapte vorbesc în favoarea acestei versiuni [16] :
Publicații companiei:
Articole:
Software rău intenționat | |
---|---|
Malware infecțios | |
Metode de ascundere | |
Malware pentru profit |
|
După sisteme de operare |
|
Protecţie |
|
Contramăsuri |
|