Что такое RANSOMWARE (программа-вымогатель)?
Что такое RANSOMWARE (программа-вымогатель)?
ЧТО ЭТО ТАКОЕ?
Ransomware (от англ. ransom — «выкуп» + software — «программное обеспечение») — это тип вредоносного программного обеспечения (malware), которое блокирует доступ к данным или всей системе жертвы и требует денежный выкуп за восстановление доступа.
Программа шифрует файлы на устройстве с помощью криптографических алгоритмов (чаще всего AES-256 или RSA-2048), после чего пользователь не может открыть ни один документ, фото или базу данных без специального ключа дешифровки, который злоумышленники обещают предоставить после оплаты.
КАК РАБОТАЕТ?
1. Проникновение в систему Ransomware попадает на устройство через фишинговые письма, заражённые вложения, уязвимости в программном обеспечении, взломанные сайты или RDP-соединения с ненадёжной защитой.
2. Закрепление После запуска вредонос скрытно устанавливается в систему, отключает антивирусную защиту и создаёт точки восстановления, чтобы его было сложнее удалить.
3. Шифрование данных Программа сканирует все диски и сетевые папки, находит ценные файлы (документы, фото, базы данных, архивы) и шифрует их, меняя расширения файлов на нечитаемые.
4. Требование выкупа На экране появляется сообщение с требованием выкупа — как правило, в криптовалюте (Bitcoin, Monero) для анонимности. Указывается таймер обратного отсчёта: если не заплатить вовремя, сумма возрастает или данные удаляются навсегда.
ОСНОВНЫЕ ВИДЫ
Crypto-ransomware Самый распространённый тип. Шифрует файлы пользователя, но не блокирует работу системы целиком. Пример: WannaCry, CryptoLocker.
Locker-ransomware Полностью блокирует доступ к операционной системе — пользователь не может даже войти в Windows. Данные при этом не шифруются, но пользоваться компьютером невозможно.
Double extortion (двойное вымогательство) Современная и наиболее опасная тактика: злоумышленники не только шифруют данные, но и похищают их до шифрования, угрожая опубликовать конфиденциальную информацию, если выкуп не будет уплачен.
RaaS — Ransomware-as-a-Service Модель, при которой разработчики ransomware продают или сдают в аренду своё вредоносное ПО другим преступникам за процент от выкупа. Это превратило кибервымогательство в полноценную теневую индустрию.
ИЗВЕСТНЫЕ АТАКИ
WannaCry (2017) Масштабная глобальная атака, поразившая более 200 000 компьютеров в 150 странах за 4 дня. Использовала уязвимость EternalBlue в Windows. Жертвами стали больницы, банки, телекоммуникационные компании.
NotPetya (2017) Изначально выглядел как ransomware, но на самом деле являлся вайпером — программой для уничтожения данных. Нанёс ущерб более чем на 10 миллиардов долларов по всему миру.
Colonial Pipeline (2021) Атака на крупнейший трубопровод США привела к перебоям с топливом на Восточном побережье. Компания выплатила 4,4 миллиона долларов выкупа группировке DarkSide.
КАК ЗАЩИТИТЬСЯ?
- Регулярно создавать резервные копии данных по правилу 3-2-1 (3 копии, 2 разных носителя, 1 хранится офлайн).
- Своевременно устанавливать обновления операционной системы и ПО.
- Использовать надёжное антивирусное ПО с функцией защиты от ransomware.
- Не открывать вложения и ссылки из подозрительных писем.
- Ограничивать права пользователей по принципу минимальных привилегий.
- Использовать многофакторную аутентификацию (MFA) для всех учётных записей.
- Сегментировать корпоративную сеть, чтобы предотвратить распространение вредоноса.
ПЛАТИТЬ ИЛИ НЕТ?
Специалисты по кибербезопасности и большинство государственных ведомств не рекомендуют платить выкуп: оплата не гарантирует получения ключа дешифровки, финансирует дальнейшую преступную деятельность и делает организацию мишенью для повторных атак.
ЧТО ЭТО ТАКОЕ?
Ransomware (от англ. ransom — «выкуп» + software — «программное обеспечение») — это тип вредоносного программного обеспечения (malware), которое блокирует доступ к данным или всей системе жертвы и требует денежный выкуп за восстановление доступа.
Программа шифрует файлы на устройстве с помощью криптографических алгоритмов (чаще всего AES-256 или RSA-2048), после чего пользователь не может открыть ни один документ, фото или базу данных без специального ключа дешифровки, который злоумышленники обещают предоставить после оплаты.
КАК РАБОТАЕТ?
1. Проникновение в систему Ransomware попадает на устройство через фишинговые письма, заражённые вложения, уязвимости в программном обеспечении, взломанные сайты или RDP-соединения с ненадёжной защитой.
2. Закрепление После запуска вредонос скрытно устанавливается в систему, отключает антивирусную защиту и создаёт точки восстановления, чтобы его было сложнее удалить.
3. Шифрование данных Программа сканирует все диски и сетевые папки, находит ценные файлы (документы, фото, базы данных, архивы) и шифрует их, меняя расширения файлов на нечитаемые.
4. Требование выкупа На экране появляется сообщение с требованием выкупа — как правило, в криптовалюте (Bitcoin, Monero) для анонимности. Указывается таймер обратного отсчёта: если не заплатить вовремя, сумма возрастает или данные удаляются навсегда.
ОСНОВНЫЕ ВИДЫ
Crypto-ransomware Самый распространённый тип. Шифрует файлы пользователя, но не блокирует работу системы целиком. Пример: WannaCry, CryptoLocker.
Locker-ransomware Полностью блокирует доступ к операционной системе — пользователь не может даже войти в Windows. Данные при этом не шифруются, но пользоваться компьютером невозможно.
Double extortion (двойное вымогательство) Современная и наиболее опасная тактика: злоумышленники не только шифруют данные, но и похищают их до шифрования, угрожая опубликовать конфиденциальную информацию, если выкуп не будет уплачен.
RaaS — Ransomware-as-a-Service Модель, при которой разработчики ransomware продают или сдают в аренду своё вредоносное ПО другим преступникам за процент от выкупа. Это превратило кибервымогательство в полноценную теневую индустрию.
ИЗВЕСТНЫЕ АТАКИ
WannaCry (2017) Масштабная глобальная атака, поразившая более 200 000 компьютеров в 150 странах за 4 дня. Использовала уязвимость EternalBlue в Windows. Жертвами стали больницы, банки, телекоммуникационные компании.
NotPetya (2017) Изначально выглядел как ransomware, но на самом деле являлся вайпером — программой для уничтожения данных. Нанёс ущерб более чем на 10 миллиардов долларов по всему миру.
Colonial Pipeline (2021) Атака на крупнейший трубопровод США привела к перебоям с топливом на Восточном побережье. Компания выплатила 4,4 миллиона долларов выкупа группировке DarkSide.
КАК ЗАЩИТИТЬСЯ?
- Регулярно создавать резервные копии данных по правилу 3-2-1 (3 копии, 2 разных носителя, 1 хранится офлайн).
- Своевременно устанавливать обновления операционной системы и ПО.
- Использовать надёжное антивирусное ПО с функцией защиты от ransomware.
- Не открывать вложения и ссылки из подозрительных писем.
- Ограничивать права пользователей по принципу минимальных привилегий.
- Использовать многофакторную аутентификацию (MFA) для всех учётных записей.
- Сегментировать корпоративную сеть, чтобы предотвратить распространение вредоноса.
ПЛАТИТЬ ИЛИ НЕТ?
Специалисты по кибербезопасности и большинство государственных ведомств не рекомендуют платить выкуп: оплата не гарантирует получения ключа дешифровки, финансирует дальнейшую преступную деятельность и делает организацию мишенью для повторных атак.