Ransomware

Програма-вимагач, програма-здирник, програма-шантажист (англ. ransomware, ransom — викуп і software — програмне забезпечення) — це тип шкідливої програми, який злочинці встановлюють на комп'ютерах користувачів. Програми, які вимагають викуп, надають злочинцям можливість віддалено заблокувати комп'ютер. Після цього програма відображає спливаюче вікно з повідомленням, що комп'ютер заблокований і що до нього немає доступу, доки не заплатите кошти.

Типи програм-шантажистів

На даний момент існує кілька кардинально різних підходів у роботі програм-шантажистів:

1. Шифрування файлів у системі;
2. Блокування або перешкода роботи в системі;
3. Блокування або перешкода роботи в браузері.

Спосіб зараження програмами-шантажистами

Загроза захована усередині іншого файлу або програми, яка виглядає настільки безвинно, що користувач спокійно їх відкриває: вкладення в електронні листи, відео зі сторінок сумнівного походження або навіть системні оновлення від особи надійних програм, таких як Windows або Adobe Flash. Після завантаження на комп'ютер шкідлива програма активується і блокує всю операційну систему, після чого запустить попередження із загрозою і з зазначенням суми викупу, яку треба заплатити за «порятунок» всієї інформації. Ці повідомлення розрізняються залежно від типу шкідливої програми з якою Ви зіткнулися: піратський контент, порнографія, помилковий вірус. Щоб додатково налякати жертву, іноді додається IP-адрес, назви Вашого провайдера або навіть фотографія, перехоплена з Вашої вебкамери. При цьому комп'ютер залишається працездатним, але всі файли користувача виявляються недоступними. Інструкцію та пароль для розшифрування файлів зловмисник обіцяє надіслати за гроші. До таких програм-зловмисників належать:

• Trojan-Ransom.Win32.Cryzip
• Trojan-Ransom.Win32.Gpcode
• Trojan-Ransom.Win32.Rector
• Trojan-Ransom.Win32.Xorist і т. д.

Засоби уникнення

Є декілька способів, які допоможуть захистити комп'ютер від здирників та інших шкідливих програм:

• Регулярне оновлення компонентів операційної системи.
• Тримати програмне забезпечення на комп'ютері в актуальному стані, оновлюючи його.
• Тримати увімкненим мережевий екран.
• Не відкривати спам-повідомлення електронної пошти та не відвідувати підозрілі вебсайти.
• Використовувати відомі антивіруси для захисту від шкідливих програм та оновлювати антивірусні бази.
• Перед першим запуском нових програм перевіряти їх антивірусом.
• Періодично виконувати резервне копіювання важливих даних.

Засоби боротьби

Для виявлення і видалення Ransomware треба запустити повне сканування системи з відповідним, до сучасних, рішенням безпеки. Такі продукти Microsoft можуть виявити і видалити цю загрозу:

• Microsoft Security Essentials
• Microsoft Safety Scanner^[en]
• Windows Defender (деякі Ransomware не дозволять Вам використовувати продукти, зазначені вище, так що Вам можливо доведеться запустити комп'ютер з Windows Defender Offline диску.) Для шкідливих програм, які блокують роботу, використовують також: Лабораторію Касперського^[1], Dr.Web^[2], Eset^[3].

Історія

Віруси-шантажисти почали заражати користувачів персональних комп'ютерів з травня 2005 року. Відомі такі екземпляри: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Найбільш відомий вірус Gpcode^[en] і його варіанти Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Останній примітний тим, що використовує для шифрування файлів алгоритм RSA з 1024-бітовим ключем. У березні 2013 фахівцями компанії Доктор-Веб виявлений шифрувальний ArchiveLock, що атакував користувачів Іспанії та Франції, який для виконання шкідливих дій щодо шифрування файлів використовує легальний архіватор WinRAR^[4], а потім після шифрування безповоротно видаляє оригінальні файли та утиліти Sysinternals SDelete^[5].

Раптова активізація застосування Ransomware сталася на початку 2016 року: згідно з повідомленнями ФБР жертви атак у США в першому кварталі виплатили нападникам 209 млн доларів порівняно з 25 млн за весь 2015 рік ^[6].

В липні 2023 року, дослідники комп'ютерної безпеки з FortiGuard Labs опублікували свої висновки щодо трояна-здирника, який заражає пристрої, маскуючи себе під критичні оновлення операційної системи Microsoft Windows. Зловред Big Head виводить фальшивий екран Windows Update (Центр оновлень Windows) і шифрує файли у фоновому режимі. У цей час користувач чекає, поки комп'ютер завершить передбачуване оновлення Windows. Процес займає близько 30 секунд. Існує також інший варіант, варіант B, який використовує файл PowerShell з ім'ям cry.ps1 для шифрування файлів. Цей же шкідник досліджували у Trend Micro. Фірма виявила, що здирник також перевіряє віртуальні середовища, такі як Virtual Box або VMware, і навіть видаляє резервні копії, що робить його досить серйозним^[7].

20 лютого 2024 року завдяки скоординованим діям, підтриманим Євроюстом та Європолом, судові та правоохоронні органи з 10 різних країн завдали серйозного удару LockBit, найактивнішій у світі групі кіберзлочинців, яка пропонувала програми-вимагачі як послугу. У Польщі та Україні було заарештовано двох членів групи програм-вимагачів. Окрім того, правоохоронці скомпрометували основну платформу LockBit та іншу допоміжну інфраструктуру, що включає відключення 34 серверів у Нідерландах, Німеччині, Фінляндії, Франції, Швейцарії, Австралії, США та Великобританії. Як повідомлялося, LockBit вперше з’явився наприкінці 2019 року, спочатку називаючи себе програмою-вимагачем «ABCD». Відтоді він стрімко розвивався і до 2022 року став найпоширенішим варіантом програми-вимагача у світі^[8][9].

1 травня 2024 року, згідно з повідомленням на сайті Міністерства юстиції США, українського хакера Ярослава Васінського засуджено в США до 13 років та 7 місяців тюремного ув'язнення за кіберзлочини та вимагання на суму 700 млн доларів шляхом проведення понад 2,5 тисячі атак програмою-вимагачем Sodinokibi/REvil. Йому також було призначено штраф у розмірі 16 млн доларів США^[10][11].

Див. також

• Шкідливі програмні засоби;
• Trojan.Winlock;
• Хронологія комп'ютерних вірусів та хробаків
• Ізоляція браузера