Программы вымогатели что это
Программы-вымогатели: определение, защита и удаление
Программы-вымогатели представляют угрозу для вас и вашего устройства, но в чем особенности этого типа вредоносных программ? Слово «вымогатель» говорит само за себя. Программа-вымогатель блокирует компьютер, а затем требует выкуп за то, чтобы разблокировать его.
В большинстве случаев заражение программами-вымогателями происходит следующим образом. Вредоносная программа сначала получает доступ к устройству. В зависимости от типа программы-вымогателя шифруется либо вся операционная система, либо отдельные файлы. Затем от пострадавших требуют выкуп. Чтобы минимизировать риск атаки программ-вымогателей следует использовать качественное программное обеспечение, например защита от «Лаборатории Касперского».
Программы-вымогатели: часть семейства вредоносных программ
Термин вредоносные программы охватывает все программы, которые могут быть опасны для вашего компьютера, включая вирусы и троянские программы.
Как обнаружить программы-вымогатели и защититься от них
Когда дело касается защиты от программ-вымогателей, профилактика лучше лечения. Для этого очень важна внимательность и использование надлежащих программ обеспечения безопасности. Поиск уязвимостей также помогает обнаружить злоумышленников в вашей системе. Во-первых, важно убедиться, что ваш компьютер не является целью для программ-вымогателей. Программное обеспечение устройства необходимо регулярно обновлять, чтобы пользоваться последними исправлениями безопасности. Кроме того, очень важно соблюдать осторожность, особенно в отношении мошеннических веб-сайтов и вложений в сообщения электронной почты. Но даже самые лучшие превентивные меры могут потерпеть неудачу, поэтому очень важно иметь план действий на случай непредвиденных обстоятельств. В случае с программами-вымогателями план действий для непредвиденных обстоятельств заключается в создании резервной копии данных. Создание резервной копии и дополнительные меры по защите устройства описаны в статье Защита от программ-вымогателей: как сохранить данные в безопасности в 2021 году.
Борьба с троянами-шифровальщиками
Наиболее распространенные пути заражения программами-вымогателями – это посещение вредоносных веб-сайтов, загрузка вредоносных вложений и небезопасные надстройки, загружаемые вместе с программами. Достаточно одного неосторожного действия, чтобы стать жертвой программы-вымогателя. Поскольку основное свойство вредоносных программ – оставаться незамеченными как можно дольше, обнаружить заражение довольно сложно. Атака программ-вымогателей, скорее всего, будет обнаружена программами для обеспечения безопасности.
Очевидно, что изменение расширений файлов, повышенная активность процессора и другая сомнительная активность на компьютере могут свидетельствовать о заражении. При удалении программы-вымогателя доступны три основных варианта. Первый – заплатить выкуп, что категорически не рекомендуется. Поэтому лучше попытаться удалить программу-вымогатель с компьютера. Если это не удалось, остается только последнее возможное действие: восстановить настройки компьютера до заводских.
Какие существуют виды программ-вымогателей и что это значит?
Как упоминалось ранее, угроза, исходящая от программ-вымогателей, зависит от типа вируса. В первую очередь следует учитывать, что существует две основные категории программ-вымогателей: программы-блокировщики с требованием выкупа и шифровальщики. Их можно определить следующим образом:
Тип вредоносной программы также имеет большое значение, когда дело доходит до выявления и удаления программ-вымогателей. В рамках этих двух основных категорий проводится различие между многочисленными дополнительными типами программ-вымогателей. К ним относятся, например, Locky, WannaCry и Bad Rabbit.
История программ-вымогателей
Шантаж пользователей компьютеров не является изобретением 21 века. Еще в 1989 году была использована первая примитивная программа-вымогатель. Первые реальные случаи использования программ-вымогателей были зарегистрированы в России в 2005 году. С тех пор программы-вымогатели распространились по всему миру, а новые типы этих программ продолжают доказывать свою эффективность. В 2011 году наблюдался резкий рост атак программ-вымогателей. По мере роста интенсивности атак, начиная с 2016 года, производители антивирусного программного обеспечения все больше ориентируют инструменты поиска вирусов на программы-вымогатели.
В атаках программ-вымогателей все больше наблюдаются региональные различия. Например:
В некоторых странах троянские программы уведомляют жертв о том, что на их компьютерах установлено нелицензионное программное обеспечение. Затем пользователю предлагается произвести платеж.
Самая крупная атака программ-вымогателей
Весной 2017 года произошла одна из самых крупных и серьезных атак с использованием программ-вымогателей, которая получила название WannaCry. В ходе атаки у приблизительно 200,000 пользователей из 150 стран был затребован выкуп в биткойнах.
Выводы
Все виды программ-вымогателей представляют серьезную угрозу как для частных лиц, так и для компаний. Поэтому очень важно отслеживать угрозы, представляемые программами-вымогателями, и быть как можно более подготовленными ко всем непредвиденным обстоятельствам. Важно также быть в курсе новостей о программах-вымогателях, придерживаться осознанного подхода при работе с устройствами и использовать лучшие программы для обеспечения безопасности. «Лаборатория Касперского» всегда готова помочь: и информативными постам в блоге, и программами для обеспечения безопасности.
Удаление программ-вымогателей | Расшифровка данных – как победить вирус
Заражение программами-вымогателями означает, что ваши данные зашифрованы или ваша операционная системазаблокирована киберпреступниками. Киберпреступники обычно требуют выкуп за расшифровку данных. Программы-вымогатели могут проникать на устройства разными способами. Наиболее распространенные пути включают заражение при посещении вредоносных веб-сайтов, загрузку нежелательных надстроек и спам-рассылки. Целями атак программ-вымогателей являются как частные лица, так и компании. Для защиты от атак программ-вымогателей могут быть предприняты различные меры, однако сохранение бдительности и использование программ безопасности – это самые важные шаги в правильном направлении. При атаке программы-вымогателя происходит либо потеря данных, либо трата крупной суммы денег, либо и то, и другое.
Обнаружение программ-вымогателей
Как узнать, заражен ли ваш компьютер? Вот несколько способов обнаружить атаку программы-вымогателя:
Наконец, появляется окно с требованием выкупа, что подтверждает заражение программой-вымогателем. Чем раньше была обнаружена угроза, тем проще бороться с вредоносной программой. Раннее обнаружение факта заражения троянскими программами-шифровальщиками позволяет определить, какой тип программы-вымогателя заразил устройство. Многие троянские программы-вымогатели удаляют себя после выполнения шифрования, поэтому их невозможно изучить и расшифровать.
Произошло заражение программой-вымогателем – что делать?
Программы-вымогатели обычно бывают двух типов: программы-блокировщики с требованием выкупа и шифровальщики. Программы-блокировщики с требованием выкупа блокируют экран компьютера, в то время как шифровальщики шифруют отдельные файлы. Независимо от типа программы-вымогателя, у жертвы обычно есть три варианта:
Удаление троянских программ-шифровальщиков и расшифровка данных
Тип программы-вымогателя и стадия, на которой было обнаружено заражение, существенно влияют на способ борьбы с вирусом. Удаление вредоносной программы и восстановление файлов возможно не для всех программ-вымогателей. Вот три способа борьбы с заражением.
Обнаружение программ-вымогателей – чем раньше, тем лучше
Если программа-вымогатель обнаружена до момента требования выкупа, ее можно удалить. Данные, которые были зашифрованы до этого момента, останутся зашифрованными, но саму программу-вымогатель можно остановить. Раннее обнаружение означает, что можно предотвратить распространение вредоносной программы на другие устройства и файлы.
Если во внешнем или в облачном хранилище имеется резервная копия данных, зашифрованные данные возможно восстановить. Но что делать, если у вас нет резервной копии данных? Мы рекомендуем вам установить надежное решение для интернет-безопасности. Возможно, уже существует инструмент для расшифровки данных, зашифрованных программой-вымогателем, жертвой которой вы стали. Можно также посетить веб-сайт проекта No More Ransom. Эта общеотраслевая инициатива запущена для помощи всем жертвам программ-вымогателей.
Инструкция по удалению программ-шифровальщиков файлов
Если вы стали жертвой атаки программы-шифровальщика файлов, можно выполнить следующие действия, чтобы удалить трояна-шифровальщика.
Шаг 1. Отключитесь от интернета
Сначала удалите все подключения, как виртуальные, так и физические. К ним относятся беспроводные и проводные устройства, внешние жесткие диски, любые носители и облачные учетные записи. Это может предотвратить распространение программ-вымогателей по сети. Если вы подозреваете, что пострадали другие области, выполните действия по резервному копированию и для этих областей.
Шаг 2. Проведите расследование с использованием программ обеспечения интернет-безопасности
Выполните антивирусную проверку с помощью установленных программ для обеспечения безопасности в интернете. Это поможет определить угрозы. Если обнаружены опасные файлы, их можно удалить или поместить на карантин. Вредоносные файлы можно удалить вручную или автоматически с помощью антивирусного программного обеспечения. Выполнять удаление вредоносных программ вручную рекомендуется только опытным пользователям.
Шаг 3. Используйте инструмент для расшифровки данных, зашифрованных программами-вымогателями
Если компьютер заражен программой-вымогателем, зашифровавшей данные, для восстановления доступа к ним потребуется соответствующий инструмент расшифровки. В «Лаборатории Касперского» ведется постоянное изучение новейших типов программ-вымогателей и предоставляются инструменты расшифровки данных для противодействия атакам этих программ.
Шаг 4. Восстановите данные из резервной копии
Если резервные копии ваших данных хранятся на внешнем носителе или в облачном хранилище, создайте также резервную копию данных, которые еще не были зашифрованы программой-вымогателем. Если вы не создавали резервных копий, очистить и восстановить работу компьютера будет намного сложнее. Чтобы избежать такой ситуации, рекомендуется регулярно создавать резервные копии. Если вы склонны забывать о таких вещах, используйте службы автоматического резервного копирования в облако или создайте напоминания в календаре.
Как удалить программу-вымогатель, блокирующую экран
В случае программы-блокировщика жертва сначала сталкивается с проблемой доступа к программе безопасности. При запуске компьютера в безопасном режиме есть вероятность, что операция блокировки экрана не загрузится, и удастся использовать антивирусную программу для борьбы с вредоносным ПО.
Платить ли выкуп?
Обычно не рекомендуетсяплатить выкуп. Как в случае с политикой отказа от переговоров в реальной ситуации с заложниками, при «захвате» данных следует применять аналогичный подход. Выплачивать выкуп не рекомендуется, поскольку нет гарантии, что вымогатели действительно выполнят свое обещание и расшифруют данные. Кроме того, получение злоумышленниками выкупа будет способствовать совершению такого вида преступлений, а этого следует избегать любой ценой.
Если вы все же планируете заплатить выкуп, не удаляйте программу-вымогатель со своего компьютера. В зависимости от типа программы-вымогателя или плана киберпреступников по расшифровке данных, программа-вымогатель может являться единственным способом применить код дешифрования. В случае преждевременного удаления программы-вымогателя код дешифрования, купленный по высокой цене, станет бесполезным. Но если вы действительно получили код дешифрования и он сработал, необходимо удалить программу-вымогатель с устройства как можно скорее после расшифровки данных.
Дальнейшие действия в зависимости от типа программ-вымогателей
Существует множество различных типов программ-вымогателей, некоторые из них можно удалить всего несколькими щелчками мыши. Однако есть также распространенные вирусы, удаление которых значительно сложнее и требует много времени.
Существуют различные способы удаления и расшифровки зараженных файлов в зависимости от типа программы-вымогателя. Не существует универсального инструмента дешифрования, который работал бы с любыми программами-вымогателями.
Для корректного удаления программ-вымогателей важно ответить на следующие вопросы:
Вирус Ryuk мог попасть в систему, например, через Emotet, что влияет на способ решения проблемы. В случае с вирусом Petya, безопасный режим – хороший способ удалить его. Более подробно различные варианты программ-вымогателей описаны в этой статье.
Выводы
Даже при соблюдении самых строгих мер безопасности нельзя с полной уверенностью исключить атаку программы-вымогателя. Если атака уже произошла, использование интернет-безопасности может смягчить последствия, например, от «Лаборатории Касперского», надлежащая подготовка и внимательность. Внимание к первичным признакам атаки программы-вымогателя позволит обнаружить ее и начать борьбу еще на ранней стадии. Однако даже если злоумышленники потребовали выкуп, в вашем распоряжении есть различные варианты, и вы можете выбрать подходящий в зависимости от ситуации. Помните, что регулярное резервное копирование данных значительно снизит воздействие атаки.
Другие статьи по теме
What Что такое программы-вымогатели
How to prevent Ransomware Как защитить себя от программ-вымогателей
Распознавание программ-вымогателей (ransomware): чем отличаются трояны-шифровальщики
Что такое программы-вымогатели?
Программы-вымогатели – это разновидность вредоносных программ, используемых киберпреступниками. Если компьютер или сеть заражены программой-вымогателем, происходит блокировкадоступа к системе или шифрованиеданных. Киберпреступники требуют от своих жертв выкуп в обмен на предоставление доступа к данным. Чтобы защититься от заражения программами-вымогателями, рекомендуется сохранять бдительность и использовать программы безопасности. У жертв программ-вымогателей есть три варианта действий после заражения: можно заплатить выкуп, попытаться удалить вредоносную программу или перезагрузить устройство. Векторы атак, используемые троянами-вымогателями, включают, в основном, протокол удаленного рабочего стола, фишинговые сообщения электронной почты и уязвимости программного обеспечения. Таким образом, атака программ-вымогателей может быть нацелена как на частных лиц, так и на компании.
Выявление программ-вымогателей – основные различия
Наиболее популярны два типа программ-вымогателей:
Locky, Petya и прочие
Теперь вы знаете, что такое программы-вымогатели, и каких основных двух типов они бывают. Далее приведены несколько примеров известных программ-вымогателей, показывающих, чем они опасны.
Locky
Locky – это программа-вымогатель, атака с применением которой была впервые совершена группой организованных хакеров в 2016 году. С использованием Locky было зашифровано более 160 типов файлов. Программа распространялась с помощью писем, содержащих зараженные вложения. Пользователи попались на уловку с сообщениями электронной почты и установили программу-вымогатель на свои компьютеры. Этот метод распространения называется фишингом и представляет собой один из методов социальной инженерии. Программа-вымогатель Locky нацелена на типы файлов, часто используемые дизайнерами, разработчиками, инженерами и тестировщиками.
WannaCry
WannaCry – это атака программы-вымогателя, в 2017 году имевшая место в более чем 150 странах. Она была разработана для использования уязвимости в системе безопасности Windows, созданной АНБ и ставшей известной в результате действий группы хакеров Shadow Brokers. Атаке WannaCry подверглись 230 000 компьютеров по всему миру, в том числе треть больниц Национальной службы здравоохранения Великобритании, что повлекло ущерб в 92 миллиона фунтов стерлингов. Пользователи были заблокированы, и у них требовали выкуп в биткойнах. Это атака вскрыла проблему устаревших систем: хакеры использовал уязвимость операционной системы, для которой на момент атаки уже в течение продолжительного времени существовал патч. Мировой финансовый ущерб, нанесенный WannaCry, составил около 4 миллиардов долларов США.
Bad Rabbit
Bad Rabbit – это атака с использованием программ-вымогателей, которая распространялась с 2017 года посредством так называемой скрытой загрузки. Для выполнения таких атак используются незащищенные веб-сайты. При атаке с использованием скрытой загрузки пользователь посещает настоящий веб-сайт, не подозревая, что он был взломан. Для большинства атак с использованием скрытой загрузки от пользователя требуется только открыть взломанную страницу. В этом случае запуск установщика, содержащего скрытую вредоносную программу, ведет к заражению. Это называется распространением вредоносных программ. Bad Rabbit просит пользователей запустить поддельную установку Adobe Flash, тем самым заражая компьютер вредоносной программой.
Ryuk – это троян-шифровальщик, распространившийся в августе 2018 года. Он отключаетфункцию восстановления операционных систем Windows, что делает невозможным восстановление зашифрованных данных без внешней резервной копии. Вирус Ryuk также шифрует сетевые жесткие диски. Атака имела масштабные последствия; многие американские компании, подвергшиеся нападению, выплатили требуемые суммы выкупа. Общий ущерб оценивается более чем в 640 000 долларов.
Shade/Troldesh
Атака программы-вымогателя Shade (также известной как Troldesh) произошла в 2015 году. Она распространялась через спам-сообщения, содержащие зараженные ссылки или вложенные файлы. Интересно, что исполнители атаки Troldesh общались непосредственно со своими жертвами по электронной почте. Жертвы, с которыми у них сложились «хорошие отношения», получали скидки. Однако такое поведение – скорее исключение, чем правило.
Jigsaw
Атака программы-вымогателя Jigsaw началась в 2016 году. Она получила свое название из-за изображения известной куклы из франшизы фильма «Пила». С каждым часом, пока выкуп оставался невыплаченным, программа-вымогатель Jigsaw удаляла все больше файлов. Дополнительный стресс у пользователей вызвало использование изображения из фильма ужасов.
CryptoLocker
CryptoLocker – это программа-вымогатель, впервые обнаруженная в 2007 году, распространяемая через зараженные вложения электронной почты. Она выполняла поиск важных данных на зараженных компьютерах и зашифровывала их. Пострадало около 500 000 компьютеров. Правоохранительным органам и компаниям по обеспечению безопасности в конечном итоге удалось получить контроль над сетью взломанных домашних компьютеров, используемых для распространения CryptoLocker по всему миру. Это позволило агентствам и компаниям перехватывать данные, передаваемые по сети, незаметно для злоумышленников. В конечном итоге это привело к созданию онлайн-портала, на котором жертвы могли получить ключ для разблокировки своих данных. Это позволило им получить свои данные без необходимости платить преступникам выкуп.
Petya
Petya (не путать с ExPetr) – это атака программы-вымогателя, впервые произошедшая в 2016 году, а затем повторившаяся как GoldenEye в 2017 году. Вместо шифрования отдельных файлов эта вредоносная программа-вымогатель шифровала целиком жесткие диски жертв. Это достигалось путем шифрования основной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске. Программа-вымогатель Petya распространялась по корпоративным отделам кадров с посредством поддельного приложения, содержащего зараженную ссылку Dropbox.
Существует другой вариант вируса Petya – Petya 2.0, отличающийся некоторыми ключевыми особенностями. Однако с точки зрения осуществления атаки, оба вируса одинаково опасны для устройства.
GoldenEye
Повторное появление вируса Petya под именем GoldenEye привело к мировому заражению программами-вымогателями в 2017 году. Вирус GoldenEye, также известный как «смертоносный брат» WannaCry, поразил более 2000 целей, в том числе несколько известных российских нефтяных компаний и банков. В результате атаки вируса GoldenEye на Чернобыльскую АЭС, сотрудники были вынуждены вручную проверять уровень радиации, поскольку их компьютеры с Windows были отключены от сети.
GandCrab
GandCrab – это скандальная программа-вымогатель, угрожающаяраскрыть увлечения своих жертв порнографией. Злоумышленники утверждали, что взломали веб-камеру жертвы и требовали выкуп. В случае неуплаты выкупа они грозились опубликовать материалы, компрометирующие жертву. После первого упоминания в 2018 году, появлялись различные версии программы-вымогателя GandCrab. В рамках проекта «No More Ransom» производители систем безопасности и органы полиции разработали инструмент для расшифровки данных, зашифрованных программами-вымогателями, чтобы помочь жертвам восстановить конфиденциальные данные из GandCrab.
B0r0nt0k
Программа-вымогатель Dharma Brrr
Программа-вымогатель FAIR RANSOMWARE
Программа-вымогатель MADO
Атаки с использованием программ-вымогателей
Как описано выше, программы-вымогатели используются в абсолютно разных сферах. Обычно требуемый размер выкупа составляет от 100 до 200 долларов. Однако в некоторых случаях злоумышленники требуют гораздо больший выкуп, особенно если понимают, что блокировка данных может повлечь значительные финансовые потери для атакуемой компании. Таким образом, это позволяет киберпреступникам зарабатывать существенные суммы денег. В двух приведенных ниже примерах обратите внимание на жертв кибератаки, а не на тип используемых программ-вымогателей.
Программа-вымогатель WordPress
Программа-вымогатель WordPress, как следует из названия, нацелена на файлы веб-сайтов WordPress. У жертв вымогают выкуп, что типично для программ-вымогателей. Чем более востребован сайт на платформе WordPress, тем выше вероятность его атаки с применением программ-вымогателей.
Дело компании Wolverine
Компания Wolverine Solutions Group (предоставляющая медицинские услуги) стала жертвой атаки программ-вымогателей в сентябре 2018 года. Большое количество файлов компании было зашифровано вредоносной программой, в результате чего сотрудники не смогли их открыть. К счастью, эксперты-криминалисты смогли расшифровать и восстановить данные 3 октября. Однако в результате атаки были скомпрометированы данные многих пациентов. Имена, адреса, медицинские данные и другая личная информация могла попасть в руки киберпреступников.
Услуги по предоставлению программ-вымогателей
Услуги по предоставлению программ-вымогателей позволяют киберпреступникам с низкими техническими возможностями осуществлять атаки с использованием этих программ. Вредоносные программы предоставляется покупателям, что снижает риск и повышает выгоду для разработчиков.
Выводы
Атаки программ-вымогателей имеют различные проявления и масштабы. Вектор атаки – это важный фактор, зависящий от типа используемой программы-вымогателя. Чтобы оценить серьезность и масштабы атаки, необходимо учитывать потенциальный ущерб, то есть какие данные могут быть удалены или опубликованы. Независимо от типа программы-вымогателя, предварительное резервное копирование данных и использование программ безопасности может значительно снизить последствия атаки.
Другие статьи по теме
What Что такое программы-вымогатели
How to remove ransomware Как удалить программы-вымогатели
How to prevent Ransomware Как защитить себя от программ-вымогателей