Программы-вымогатели, как они работают. Как бороться?

Обновлено 2021-02-26 988 5.0 2


Как не стать жертвой, инструменты защиты от интернет-вымогателей


В мире кибербезопасности постоянно появляются новые формы угроз и уязвимостей. Но программа-вымогатель является отдельным видом злонамеренных вмешательств - самым разрушительным, настойчивым, заведомо сложным для предотвращения и не подает признаков заражения оборудования, до нужного ей момента.

Попадание под атаку программы-вымогателя может привести к значительной потере, утечке данных, простоям в работе, дорогостоящему восстановлению, и ущербу репутации.

В этой истории мы постарались рассказать всё, что вам нужно знать о программах-вымогателях и о том, как они работают.


Что такое программа-вымогатель?

Программа-вымогатель - это вредоносная программа, которая получает контроль над зараженным устройством, шифрует файлы и блокирует доступ пользователей к данным или системе до тех пор, пока не будет выплачена денежная сумма или выкуп каким то другим способом.

Схема такова: жертва получает записку о выкупе с указанием суммы и инструкциями о том, как заплатить в обмен на ключ дешифрования, так же возможно и прямое общение с пострадавшим.

Программы-вымогатели поражают предприятия и учреждения любого размера и типа, злоумышленники часто нацелены на секторы здравоохранения, образования, ИТ, государственного и финансового секторов с более пухлыми карманами, нанося колоссальный ущерб.

Всплеск атак программ-вымогателей пришёлся на 2012 год, и с тех пор они стали самыми распространенными кибератаками по всему миру.

Например, вымогатель HelloKitty атаковал польского разработчика видеоигр CD Projekt Red с довольно популярной тактикой, то есть злоумышленники пригрозили компании утечкой исходного кода игр, включая Cyberpunk 2077, Witcher 3 (Ведьмак 3), Gwent, а также конфиденциальные файлы в компания.

Статья в тему  
скачать торрент игры Киберпанк

Бесплатно скачать торрент игры Киберпанк 2077 [v 1.03] (2020) PC

    Подробнее

И это произошло на самом деле! После того, как CD Projekt объявили, что не будут платить выкуп, злоумышленники организовали аукцион для украденных данных на хакерском форуме.

И это не единственный пример. Программы-вымогатели всегда были одним из самых популярных видов вредоносных программ.


Первая программа-вымогатель

Первая известная атака с использованием программ-вымогателей была осуществлена ​​в 1989 году исследователем СПИДа Джозефом Поппом, который распространил 20 000 вредоносных дискет среди учёных из более чем 90 стран, заявив, что на дисках содержится программа исследования. С тех пор угроза программ-вымогателей сильно изменилась и приобрела больше функций.


Locker вымогатели

В 2007 году появилась новая категория программ-вымогателей Locker, которые не шифруют файлы; вместо этого они блокируют доступ жертвы к устройству, не позволяя использовать его.

Аналогично этому WinLock потребовала выкуп в размере 10 долларов за код разблокировки. Позже червь Citadel, Lyposit и Reveton контролировал экран с сообщением от поддельного правоохранительного органа.

Обычно это принимает форму блокировки пользовательского интерфейса компьютера или устройства и последующего запроса пользователя заплатить за восстановление доступа к нему.

Статья в тему  
Вредоносные программы, которые устанавливают Ransomware

Вредоносные программы, которые обычно устанавливают Ransomware

    Подробнее


Пугающее ПО

В последующие годы злоумышленники изменили свою стратегию, чтобы заработать на страхе, распространяя поддельные приложения и фейковые антивирусные (AV) программы. При атаке жертвам выводится всплывающее сообщение о том, что их компьютеры заражены вирусами. Он заманивает жертв на веб-сайт, где просят заплатить деньги за программное обеспечение для решения проблемы. Все выглядело достоверно: логотипы, цветовые схемы и другие материалы, защищенные авторским правом.

С этого момента злоумышленники поняли, что взломать несколько веб-сайтов, сосредоточиться на фишинге и автоматизировать весь процесс намного проще.


Шифровальщики

В 2013 году CryptoLocker стал первым криптографическим вредоносным ПО, которое обычно приходит в виде вложения электронной почты. За эти атаки ответственен ботнет Gameover ZeuS. CryptoLocker шифрует файлы, и после этого для их разблокировки требовалась оплата биткойнами.

Если выкуп не был получен в течение 3 дней, сумма удваивалась. CryptorBit, CryptoDefense, CryptoWall, WannaCry расширили варианты ловушек и даже использовали слабые места системы для заражения компьютеров.

Последним шагом в этой эволюции стало появление программы-вымогателя как услуги, которая впервые появилась в 2015 году с запуском инструментария Tox. Это дало потенциальным киберпреступникам возможность разрабатывать собственные инструменты вымогателей с расширенными возможностями уклонения.


Корпоративные программы-вымогатели

Атакующие программы-вымогатели перешли на уровень предприятий. Они теперь предпочитают иметь дело с крупными организациями и пугать их возможной блокировкой всего компьютерного оборудования.

Например, цель получила электронное письмо с угрозой атаки типа «отказ в обслуживании» (DDoS). Чтобы этого избежать, жертвам нужно было заплатить выкуп.

Еще один случай - выкуп за компрометацию данных. Преступник угрожает цели использовать скомпрометированную информацию для общественности, если не будет уплачен выкуп. Эта тактика довольно эффективна на уровне предприятия, поскольку компании не хотят ставить под угрозу свою репутацию.

Теперь ясно, что вредоносное ПО будет продолжать развиваться. И, возможно, он приобретет гибридные атаки, в том числе другие семейства вредоносных программ.


Подробнее об атаке

Теперь, когда мы знаем историю и типы программ-вымогателей, пришло время понять, как они работают.

Развертывание: на первом этапе злоумышленники распространяют основные компоненты, используемые для заражения, шифрования или блокировки системы, загружаемые без ведома пользователя, с помощью фишинга или после использования целевых системных недостатков.

Установка: после загрузки полезной нагрузки следующим шагом будет заражение. Вредоносная программа сбрасывает небольшой файл, который часто может избежать защиты. Программа-вымогатель запускается и пытается закрепиться в зараженной системе, выполняя автозапуск ключей реестра, что позволяет удаленным злоумышленникам контролировать систему.

Command-and-Control: затем вредоносная программа подключается к серверу управления и контроля (C2) злоумышленников для получения инструкций и, в первую очередь, для внесения асимметричного частного ключа шифрования в недоступное для жертвы место.

Уничтожение: после шифрования файлов вредоносная программа удаляет исходные копии в системе, и единственный способ восстановить их - расшифровать закодированные файлы.

Вымогательство: вот получена записка с требованием выкупа. Жертва узнает, что его данные скомпрометированы. Диапазон выплат варьируется в зависимости от типа цели. Чтобы запутать и напугать жертву, злоумышленники могут удалить с компьютера несколько файлов. Однако, если пользователь платит выкуп, это не гарантирует, что информация будет восстановлена ​​или сама программа-вымогатель будет удалена.


Популярные семейства и операторы

В мире программ-вымогателей известно несколько типов вредоносных программ. Давайте рассмотрим их и поговорим о популярных операторах, которые выделяются в истории вредоносных программ:

1) Программа-вымогатель GandCrab - один из самых известных выпусков программ-вымогателей за последние несколько лет, жертвами которого проведены выплаты почти на 2 миллиарда долларов.

GandCrab был обнаружен в 2018 году как часть Ransomware-as-a-Service (RaaS), проданного другим киберпреступникам.

Хотя GandCrab объявил о «выходе на пенсию» в 2019 году, некоторые исследователи утверждают, что он вернулся с новым штаммом под названием Sodinokibi с аналогичной кодовой базой. Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы, кроме файлов конфигурации.

2) Далее, программа- вымогатель Maze, о которой много писали в последние два года, известна тем, что публикует украденные данные, если жертва не платит за их расшифровку.

Это была первая атака программ-вымогателей, сочетающая шифрование данных с кражей информации. Более того, они пригрозили обнародовать данные, если выкуп не будет уплачен. Когда началась COVID-19, Maze объявили, что оставят больницы в покое. Но позже они нарушили и это обещание.

В 2020 году Maze объявил о закрытии своей деятельности. Но более вероятно, что они просто перешли на другое вредоносное ПО.

3) Netwalker использовал очистку процессов и обфускацию (запутывание) кода для нацеливания на корпоративных жертв. Но в январе 2021 года правоохранительные органы объединились против Netwalker и захватили домены в темной сети, используемые злоумышленниками.

4) Wannacry автономно распространяется с компьютера на компьютер с помощью EternalBlue, эксплойта, предположительно разработанного АНБ, а затем украденного хакерами.

Это самые "популярные" типы вымогателей в 2020 году.

5) Спам Avaddon обычно содержит единственный смайлик, который побуждает пользователей загрузить вложение. Перед заражением вредоносная программа также проверяет языковой стандарт пользователя, Avaddon не шифрует системы.

6) Babuk - это новое вредоносное ПО, нацеленное на предприятия в 2021 году. Babuk включает в себя безопасное шифрование, которое делает невозможным бесплатное восстановление файлов.


Цели атак программ-вымогателей

Есть несколько причин, по которым злоумышленники сначала выбирают, на какие организации они хотят нацеливаться с помощью программ-вымогателей:

✨ Легко пробить защиту. Университеты, небольшие компании с любительскими настройками безопасности - легкая цель. Обмен файлами и обширная база данных упрощают проникновение для злоумышленников.

✨ Возможность быстрой оплаты. Некоторые организации вынуждены быстро платить выкуп. Правительственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим данным. Юридические фирмы и другие организации с конфиденциальными данными обычно хотят сохранить в секрете свои данные.

Некоторые программы-вымогатели распространяются автоматически, и любой желающий может стать их жертвой.


Быстрый рост программ-вымогателей

Основная причина успеха этого типа вредоносного ПО - это атаки, которые приносят результат киберпреступникам. Рынки DarkNet позволяют мошенникам покупать сложные программы-вымогатели для заработка.

Авторы вредоносных программ предлагают несколько способов упаковки вымогателей. Вредоносное ПО быстро и незаметно шифрует системы. Как только выкуп получен, замести следы не составит труда. Эти уловки приводят к значительному спросу на такие зловреды.

Преступники рассчитывают получить сотни или тысячи долларов, поскольку компании не хотят рисковать потерей данных или отключениями от бизнеса.


Способы распространения программ-вымогателей

Теперь подошли к самому интересному и расскажем об известных способах распространения программ-вымогателей:

  • Электронная почта (спам)
  • Watering hole (злоумышленники размещают вредоносное программное обеспечение на сайтах, где, по их мнению, часто бывают потенциальные жертвы)
  • Вредоносная реклама
  • Наборы эксплойтов (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении)
  • USB и съемный носитель
  • Программа-вымогатель как услуга
  • Zero-Day Exploit (не устранённые уязвимости, не найденные разработчиками программ)


    • Меры профилактики

    2021 год начался с арестов банд вымогателей. Недавно французской и украинской полицией была ликвидирована хакерская группа Egregor.

    Это хорошо, когда правоохранительные органы уничтожают злоумышленников. Однако и нам надо быть осторожными и также постараться избежать атаки.

    Для защиты от программ-вымогателей компании должны иметь тщательно продуманный план защиты от вредоносных программ, включая резервные копии данных. Поскольку программы-вымогатели очень сложно обнаружить и бороться с ними, следует использовать различные механизмы защиты.

    🚩 Никогда не открывайте вложения файлов, если вы не уверены, что они получены от законного отправителя.

    🚩 Никогда не подключайте USB-флешки найденные на улице или подброшенные вам

    🚩 Если вы открываете файл в Microsoft Office, который просит запустить макросы, запретите разрешение

    🚩 Избегайте хитрых веб-сайтов

    🚩 Своевременно обновляйте антивирусную программу, операционную систему и другое программное обеспечение.

    🚩 Поддерживайте актуальные резервные копии - и храните их физически отдельно, чтобы программы-вымогатели не могли проникнуть в вашу сеть и заразить их. Ведь если у вас есть резервная копия, вы можете вернуть свои файлы, не платя за них выкуп

    Статья в тему  
    резервные копии компьютера

    Как автоматически создавать резервные копии компьютера с помощью встроенных инструментов Windows 10

    		    Подробнее
    безопасность в интернете

    Основные термины достижения личной безопасности в интернете

    		    Подробнее



    Идея:thehackernews.com



    Читайте также:
    Похожие записи, из рубрики:
    • Как подготовиться к атаке программ-вымогателей и бороться с ними
    • Вредоносные программы, которые обычно устанавливают Ransomware
    • Что такое кейлоггер и как его удалить с компьютера?
    • Как включить DNS-over во всех основных браузерах

    Комментарии
    0
    1 hapl343   (2021-04-27 4:41:54) [Материал]
    Хакерские атаки проводятся не только на организации как частные, так и государственные, но и на обычных пользователей. У меня так было и со многими моими знакомыми и все сводиться что бы хакеры заработали. Тут уже зависит от морали хакера. Я скачал был программу, но оказалась она была с вирусом. Заблокировался весь компьютер и нужно было заплатить определенную сумму денежных средств и главное на электронный кошелек, не буду называть какой. Хорошо, что у меня там ничего не хранилось на компьютере и я переустановил полностью программное обеспечения и у меня обошлось без потерь. А вот у знакомого также было, но когда он попытался переустановить программное обеспечение то у него погорели почти все необходимые и дорогие платы. Пришлось покупать новый компьютер. Было еще у меня что мне принесли флешку что бы скачать определенную информацию на нее и когда я вставил в USB то там был вирус как описано в статье.
    Для себя я сделал вывод что нужно всю информацию, пароли и все что нужно сохранять только на своем носители и пользоваться только своим носителем. Программы, которые нужны стараться скачивать только с официальных сайтов их разработчиков. И лучше заплатить за программу чем скачать ее с вирусом. Тем более не всегда антивирусный может распознать спрятанный вирус.

    0
    2 pro1004ello   (2021-04-30 12:08:42) [Материал]
    Помнится несколько лет назад нечто подобное с одним популярным покерным форумом произошло. Через ПО перехватили все ключевые данные доступа, оперативно перерегистрировали, и стали у прежних владельцев сколько-то там биткоинов иянуть. При этом гарантий того, что даже в случае выплаты, жертва вымогательства получит обещанное, ведь никакой по сути... Крупные компании сегодня такие риски просчитывают скорее всего, обзаводятся собственными службами безопасности по линии айти. В прицеле главным образом рядовые пользователи.

    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]