Ransomware
Програма-вимагач, програма-шантажист (англ. ransomware -- ransom — викуп і software — програмне забезпечення) — це тип шкідливої програми, який злочинці встановлюють на Ваших комп'ютерах. Програми, які вимагають викуп, надають злочинцям можливість віддалено заблокувати Ваш комп'ютер. Після цього програма відображає спливаюче вікно з повідомленням, що Ваш комп'ютер заблокований і що Ви не зможете отримати до нього доступ, якщо не заплатите.
Типи програм-шантажистів
На даний момент існує кілька кардинально різних підходів у роботі програм-шантажистів:
- Шифрування файлів у системі;
- Блокування або перешкода роботи в системі;
- Блокування або перешкода роботи в Браузері.
Спосіб зараження програмами-шантажистами
Загроза захована усередині іншого файлу або програми, яка виглядає настільки безвинно, що користувач спокійно їх відкриває: вкладення в електронні листи, відео зі сторінок сумнівного походження або навіть системні оновлення від особи надійних програм, таких як Windows або Adobe Flash. Після завантаження на комп'ютер шкідлива програма активується і блокує всю операційну систему, після чого запустить попередження із загрозою і з зазначенням суми викупу, яку треба заплатити за «порятунок» всієї інформації. Ці повідомлення розрізняються залежно від типу шкідливої програми з якою Ви зіткнулися: піратський контент, порнографія, помилковий вірус. Щоб додатково налякати жертву, іноді додається IP-адрес, назви Вашого Інтернет-провайдера або навіть фотографія, перехоплена з Вашої веб-камери. При цьому комп'ютер залишається працездатним, але всі файли користувача виявляються недоступними. Інструкцію та пароль для розшифрування файлів зловмисник обіцяє прислати за гроші. До таких програм-зловмисників належать:
- Trojan-Ransom.Win32.Cryzip
- Trojan-Ransom.Win32.Gpcode
- Trojan-Ransom.Win32.Rector
- Trojan-Ransom.Win32.Xorist і т. д.
Засоби уникнення
Є декілька способів, які допоможуть захистити комп'ютер від здирників та інших шкідливих програм:
- Регулярне оновлення компонентів операційної системи.
- Тримати програмне забезпечення на комп'ютері в актуальному стані оновлюючи його.
- Тримати увімкненим мережевий екран.
- Не відкривати спам-повідомлення електронної пошти та не відвідувати підозрілі вебсайти.
- Використовувати відомі антивіруси для захисту від шкідливих програм та оновлювати антивірусні бази.
- Перед першим запуском нових програм перевіряти їх антивірусом.
- Періодично виконувати резервне копіювання важливих даних.
Засоби боротьби
Для виявлення і видалення Ransomware треба запустити повне сканування системи з відповідним, до сучасних, рішенням безпеки. Такі продукти Microsoft можуть виявити і видалити цю загрозу:
- Microsoft Security Essentials
- Microsoft Safety Scanner
- Windows Defender (деякі Ransomware не дозволять Вам використовувати продукти, зазначені вище, так що Вам можливо доведеться запустити комп'ютер з Windows Defender Offline диску.) Для шкідливих програм, які блокують роботу, використовують також: Лабораторію Касперського[1], Dr.Web[2], Eset[3].
Історія
Віруси-шантажисти почали заражати користувачів персональних комп'ютерів з травня 2005 року. Відомі такі екземпляри: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Найбільш відомий вірус Gpcode і його варіанти Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Останній примітний тим, що використовує для шифрування файлів алгоритм RSA з 1024-бітовим ключем. У березні 2013 фахівцями компанії Доктор-Веб виявлений шифрувальний ArchiveLock, що атакував користувачів Іспанії та Франції, який для виконання шкідливих дій щодо шифрування файлів використовує легальний архіватор WinRAR[4], а потім після шифрування безповоротно видаляє оригінальні файли та утиліти Sysinternals SDelete[5].
Раптова активізація застосування Ransomware сталася на початку 2016 року: згідно з повідомленнями ФБР жертви атак у США в першому кварталі виплатили нападникам 209 млн доларів порівняно з 25 млн за весь 2015 рік [6].
Див. також
Примітки
- http://sms.kaspersky.ru/ Сервіс розблокування «Лабораторії Касперського»
- https://www.drweb.com/xperf/unlocker/ Архівовано 27 травня 2014 у Wayback Machine. Сервіс розблокування Dr.Web
- http://www.esetnod32.ru/support/winlock/ Архівовано 17 травня 2014 у Wayback Machine. Сервіс розблокування Eset
- http://www.anti-malware.ru/news/2013-03-15/11370 Шкідливість полягає у шифруванні файлів на комп'ютерах жертв за допомогою WinRAR
- Андрій Васильков. Табун інохідців: десять самих оригінальних і популярних троянів сучасності(рус.).http://www.computerra.ru/60550/top-10-trojan-horses/ Комп'ютера. computerra.ru (21 березня 2013). Перевірено 17 травня 2014
- Hennigan, W.J.; Bennett, Brian (April 8, 2016). Criminal hackers now target hospitals, police stations and schools. Los Angeles Times. Процитовано 30 червня 2016.