Ransomware

Програма-вимагач, програма-здирник, програма-шантажист (англ. ransomware, ransom — викуп і software — програмне забезпечення) — це тип шкідливої програми, який злочинці встановлюють на комп'ютерах користувачів. Програми, які вимагають викуп, надають злочинцям можливість віддалено заблокувати комп'ютер. Після цього програма відображає спливаюче вікно з повідомленням, що комп'ютер заблокований і що до нього немає доступу, доки не заплатите кошти.

Типи програм-шантажистів

На даний момент існує кілька кардинально різних підходів у роботі програм-шантажистів:

Шифрування файлів у системі;
Блокування або перешкода роботи в системі;
Блокування або перешкода роботи в браузері.

Спосіб зараження програмами-шантажистами

Загроза захована усередині іншого файлу або програми, яка виглядає настільки безвинно, що користувач спокійно їх відкриває: вкладення в електронні листи, відео зі сторінок сумнівного походження або навіть системні оновлення від особи надійних програм, таких як Windows або Adobe Flash. Після завантаження на комп'ютер шкідлива програма активується і блокує всю операційну систему, після чого запустить попередження із загрозою і з зазначенням суми викупу, яку треба заплатити за «порятунок» всієї інформації. Ці повідомлення розрізняються залежно від типу шкідливої програми з якою Ви зіткнулися: піратський контент, порнографія, помилковий вірус. Щоб додатково налякати жертву, іноді додається IP-адрес, назви Вашого провайдера або навіть фотографія, перехоплена з Вашої вебкамери. При цьому комп'ютер залишається працездатним, але всі файли користувача виявляються недоступними. Інструкцію та пароль для розшифрування файлів зловмисник обіцяє надіслати за гроші. До таких програм-зловмисників належать:

Trojan-Ransom.Win32.Cryzip
Trojan-Ransom.Win32.Gpcode
Trojan-Ransom.Win32.Rector
Trojan-Ransom.Win32.Xorist і т. д.

Засоби уникнення

Є декілька способів, які допоможуть захистити комп'ютер від здирників та інших шкідливих програм:

Регулярне оновлення компонентів операційної системи.
Тримати програмне забезпечення на комп'ютері в актуальному стані, оновлюючи його.
Тримати увімкненим мережевий екран.
Не відкривати спам-повідомлення електронної пошти та не відвідувати підозрілі вебсайти.
Використовувати відомі антивіруси для захисту від шкідливих програм та оновлювати антивірусні бази.
Перед першим запуском нових програм перевіряти їх антивірусом.
Періодично виконувати резервне копіювання важливих даних.

Засоби боротьби

Для виявлення і видалення Ransomware треба запустити повне сканування системи з відповідним, до сучасних, рішенням безпеки. Такі продукти Microsoft можуть виявити і видалити цю загрозу:

Microsoft Security Essentials
Microsoft Safety Scanner^[en]
Windows Defender (деякі Ransomware не дозволять Вам використовувати продукти, зазначені вище, так що Вам можливо доведеться запустити комп'ютер з Windows Defender Offline диску.) Для шкідливих програм, які блокують роботу, використовують також: Лабораторію Касперського^[1], Dr.Web^[2], Eset^[3].

Історія

Віруси-шантажисти почали заражати користувачів персональних комп'ютерів з травня 2005 року. Відомі такі екземпляри: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Найбільш відомий вірус Gpcode^[en] і його варіанти Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Останній примітний тим, що використовує для шифрування файлів алгоритм RSA з 1024-бітовим ключем. У березні 2013 фахівцями компанії Доктор-Веб виявлений шифрувальний ArchiveLock, що атакував користувачів Іспанії та Франції, який для виконання шкідливих дій щодо шифрування файлів використовує легальний архіватор WinRAR^[4], а потім після шифрування безповоротно видаляє оригінальні файли та утиліти Sysinternals SDelete^[5].

Раптова активізація застосування Ransomware сталася на початку 2016 року: згідно з повідомленнями ФБР жертви атак у США в першому кварталі виплатили нападникам 209 млн доларів порівняно з 25 млн за весь 2015 рік ^[6].

В липні 2023 року, дослідники комп'ютерної безпеки з FortiGuard Labs опублікували свої висновки щодо трояна-здирника, який заражає пристрої, маскуючи себе під критичні оновлення операційної системи Microsoft Windows. Зловред Big Head виводить фальшивий екран Windows Update (Центр оновлень Windows) і шифрує файли у фоновому режимі. У цей час користувач чекає, поки комп'ютер завершить передбачуване оновлення Windows. Процес займає близько 30 секунд. Існує також інший варіант, варіант B, який використовує файл PowerShell з ім'ям cry.ps1 для шифрування файлів. Цей же шкідник досліджували у Trend Micro. Фірма виявила, що здирник також перевіряє віртуальні середовища, такі як Virtual Box або VMware, і навіть видаляє резервні копії, що робить його досить серйозним^[7].

20 лютого 2024 року завдяки скоординованим діям, підтриманим Євроюстом та Європолом, судові та правоохоронні органи з 10 різних країн завдали серйозного удару LockBit, найактивнішій у світі групі кіберзлочинців, яка пропонувала програми-вимагачі як послугу. У Польщі та Україні було заарештовано двох членів групи програм-вимагачів. Окрім того, правоохоронці скомпрометували основну платформу LockBit та іншу допоміжну інфраструктуру, що включає відключення 34 серверів у Нідерландах, Німеччині, Фінляндії, Франції, Швейцарії, Австралії, США та Великобританії. Як повідомлялося, LockBit вперше з’явився наприкінці 2019 року, спочатку називаючи себе програмою-вимагачем «ABCD». Відтоді він стрімко розвивався і до 2022 року став найпоширенішим варіантом програми-вимагача у світі^[8]^[9].

1 травня 2024 року, згідно повідомлення на сайті Міністерства юстиції США, українського хакера Ярослава Васінського було засуджено в США до 13 років та 7 місяців тюремного ув'язнення за кіберзлочини та вимагання на суму 700 млн доларів шляхом проведення понад 2,5 тисячі атак програмою-вимагачем Sodinokibi/REvil. Йому також було призначено штраф у розмірі 16 млн доларів США^[10]^[11].

Див. також

Примітки

↑ http://sms.kaspersky.ru/ [Архівовано 1 червня 2014 у Wayback Machine.] Сервіс розблокування «Лабораторії Касперського»
↑ https://www.drweb.com/xperf/unlocker/ [Архівовано 27 травня 2014 у Wayback Machine.] Сервіс розблокування Dr.Web
↑ http://www.esetnod32.ru/support/winlock/ [Архівовано 17 травня 2014 у Wayback Machine.] Сервіс розблокування Eset
↑ http://www.anti-malware.ru/news/2013-03-15/11370 [Архівовано 2013-06-27 у Wayback Machine.] Шкідливість полягає у шифруванні файлів на комп'ютерах жертв за допомогою WinRAR
↑ Андрій Васильков. Табун інохідців: десять самих оригінальних і популярних троянів сучасності(рус.).http://www.computerra.ru/60550/top-10-trojan-horses/ Комп'ютера. computerra.ru (21 березня 2013). Перевірено 17 травня 2014
↑ Hennigan, W.J.; Bennett, Brian (8 квітня 2016). Criminal hackers now target hospitals, police stations and schools. Los Angeles Times. Архів оригіналу за 8 липня 2016. Процитовано 30 червня 2016.
↑ Програма-вимагач Big Head, схожа на оновлення Windows, може видаляти резервні копії. 10.07.2023
↑ Eurojust supports international operation against world’s largest ransomware group. 20 February 2024
↑ Хакерську мережу LockBit знешкодили, двох учасників арештували в Україні й Польщі - Євроюст. 20.02.2024, 18:31
↑ Sodinokibi/REvil Affiliate Sentenced for Role in $700M Ransomware Scheme. Wednesday, May 1, 2024
↑ У США українського хакера засудили до майже 14 років ув'язнення. // Автор: Дар'я Головко. 02.05.2024, 16:00

Це незавершена стаття про програмне забезпечення.
Ви можете допомогти проєкту, виправивши або дописавши її.

Портал «Інформаційні технології»

[1] ttp://sms.kaspersky.ru/ [Архівовано 1 червня 2014 у Wayback Machine.] Сервіс розблокування «Лабораторії Касперського»

[2] ttps://www.drweb.com/xperf/unlocker/ [Архівовано 27 травня 2014 у Wayback Machine.] Сервіс розблокування Dr.Web

[3] ttp://www.esetnod32.ru/support/winlock/ [Архівовано 17 травня 2014 у Wayback Machine.] Сервіс розблокування Eset

[4] ttp://www.anti-malware.ru/news/2013-03-15/11370 [Архівовано 2013-06-27 у Wayback Machine.] Шкідливість полягає у шифруванні файлів на комп'ютерах жертв за допомогою WinRAR

[5] Андрій Васильков. Табун інохідців: десять самих оригінальних і популярних троянів сучасності(рус.).http://www.computerra.ru/60550/top-10-trojan-horses/ Комп'ютера. computerra.ru (21 березня 2013). Перевірено 17 травня 2014

[6] Hennigan, W.J.; Bennett, Brian (8 квітня 2016). Criminal hackers now target hospitals, police stations and schools. Los Angeles Times. Архів оригіналу за 8 липня 2016. Процитовано 30 червня 2016.

[7] Програма-вимагач Big Head, схожа на оновлення Windows, може видаляти резервні копії. 10.07.2023

[8] Eurojust supports international operation against world’s largest ransomware group. 20 February 2024

[9] Хакерську мережу LockBit знешкодили, двох учасників арештували в Україні й Польщі - Євроюст. 20.02.2024, 18:31

[10] Sodinokibi/REvil Affiliate Sentenced for Role in $700M Ransomware Scheme. Wednesday, May 1, 2024

[11] У США українського хакера засудили до майже 14 років ув'язнення. // Автор: Дар'я Головко. 02.05.2024, 16:00

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

п о р Зловмисне програмне забезпечення
Інфекційне шкідливе ПЗ	Комп'ютерний вірус Мережевий хробак Троянська програма Завантажувальний вірус Хронологія комп'ютерних вірусів та черв'яків Стелси
Методи приховування	Троянський кінь Руткіт Бекдор Комп'ютер-зомбі Атака «людина посередині» Атака «людина в браузері» Атака «людина в мобільному»
Шкідливі програми для прибутку	Adware Privacy-invasive software^[en] Spyware Ботнет Keylogger Бот Фальшивий антивірус Ransomware Формграббер Вебзагрози^[en]
За операційною системою	Шкідливе ПЗ для Linux Віруси для Palm OS Макровіруси Мобільний вірус
Захист	Антивірусне програмне забезпечення Defensive computing Безпека мережі Брандмауер Система виявлення вторгнень Запобігання витоків інформації Хронологія антивірусів
Контрзаходи	Моніторингові програмні продукти Honeypot