Программа-вымогатель

Программа-вымогатель (англ. ransomware) — разновидность вредоносного программного обеспечения, которое зашифровывает пользовательские данные до тех пор, пока не будет выплачен выкуп.^[1]^[2]^[3]^[4] Для получения выкупа часто используются труднопрослеживаемые цифровые валюты, такие как Paysafecard, биткойн и другие криптовалюты, что затрудняет розыск и наказание преступников. Иногда исходные файлы удаётся восстановить без уплаты выкупа в случае ошибок в реализации, утечки криптографических ключей или полного отсутствия шифрования в конкретной версии программы-вымогателя.

Атаки с применением программы-вымогателя обычно осуществляются с помощью троянского ПО, замаскированного под легитимный файл, который пользователь скачивает или открывает, получив, например, в виде вложения к письму. Однако есть и примеры крупных вспышек само-распространяющихся программ-вымогателей, таких как червь WannaCry, который передавался автоматически между компьютерами без участия пользователя^[5].

Использование программ-вымогателей известно с 1989 года, когда был описан первый случай — троян AIDS (троянская программа). С тех пор масштабы вымогательства программными средствами выросли до мирового уровня.^[6]^[7] В первой половине 2018 года в мире совершено 181,5 миллиона атак программ-вымогателей — на 229% больше, чем за тот же период 2017 года^[8]. В 2014 году компания McAfee собрала в два раза больше уникальных образцов программ-вымогателей, чем за тот же квартал года ранее^[9]. Программа CryptoLocker принесла преступникам, по оценкам, 3 миллиона долларов США до ликвидации^[10], а по данным ФБР к лету 2015 года доходы от программы CryptoWall превысили 18 миллионов долларов^[11]. В 2020 году по жалобам о программах-вымогателях IC3 (центр при ФБР) зафиксировано убытков на сумму более 29,1 млн долларов^[12]. По данным Statista, в 2021 году зарегистрировано около 623 миллионов атак, а в 2022 году — 493 миллиона^[13].

Выплаты по программам-вымогателям в 2019 году оценивались в 1,1 млрд долларов^[14], в 2020 г. — 999 млн долларов, в 2023 г. — рекордные 1,25 млрд, а в 2024 г. — снижение до 813 млн долларов^[15]. Это связывают с отказом от выплат и активными действиями правоохранительных органов.

Концепция шифрующей программы-вымогателя была изобретена и реализована Адамом Янгом (Adam Young) и Моти Юнгом (Moti Yung) в Колумбийском университете и представлена на конференции IEEE Security & Privacy в 1996 году. Данная схема, получившая название криптовымогательство (англ. cryptoviral extortion), основана на протоколе, состоящем из трёх этапов^[1].

[злоумышленник→жертва] Злоумышленник генерирует пару ключей и помещает открытый ключ в вредоносную программу, после чего выпускает её "в дикую природу".
[жертва→злоумышленник] Вредоносная программа генерирует случайный симметричный ключ и шифрует им пользовательские данные, а этот ключ шифрует вложенным открытым ключом ("гибридное шифрование"). Симметричный ключ и исходные данные уничтожаются, чтобы их невозможно было восстановить. Жертве показывается инструкция по оплате и расшифровке. Жертва отправляет злоумышленнику зашифрованный симметричный ключ и электронные деньги.
[злоумышленник→жертва] Получив деньги, злоумышленник расшифровывает симметричный ключ и сообщает его жертве для восстановления данных.

Симметричный ключ уникален для каждой жертвы, закрытый ключ злоумышленника не раскрывается, жертве отправляется только небольшой "зашифрованный симметрический ключ"^[1].

Чаще всего программа-вымогатель проникает через троян, инфицируя компьютер с помощью вредоносных вложений, ссылок в фишинговых письмах или уязвимостей сетевых сервисов. После запуска вредоносный код может блокировать работу системы, изображать уведомления от правоохранительных органов о якобы незаконной деятельности пользователя, хранении пиратских файлов или порнографии^[16].

Иногда нагрузкой является простой блокировщик, изменяющий параметры загрузки (например, подменяя Windows Shell), либо модифицирующий главную загрузочную запись или таблицу разделов, не позволяя загрузить ОС до оплаты^[17]. Наиболее сложные модификации применяют надёжные методы шифрования, позволяющие восстановить файлы только владельцу закрытого ключа^[18].

Главная цель атаки — получение денег через различные непрослеживаемые платёжные системы: банковский перевод, премиальные SMS^[19], анонимные ваучеры (Paysafecard)^[20], биткойн и другие криптовалюты^[21].

По данным Sophos (2020), средняя глобальная стоимость восстановления после атаки, включая простой, потери и оплату, составила 761 106 долларов. 95% организаций, выплативших выкуп, смогли восстановить данные^[22].

Шифрующие программы-вымогатели

Первое известное в истории вымогательство с помощью вредоносного кода — троян "AIDS" (PC Cyborg) 1989 года, который скрывал файлы и шифровал только их имена, а для восстановления требовал перевести $189 на адрес американской организации, хотя ключ можно было извлечь из кода вредоносного ПО^[23].

Концепция анонимных денежных переводов для сбора выкупа была предложена Себастьяном фон Солмсом и Давидом Накажем в 1992 году^[24]. Позднее в 1996 году Адам Янг и Моти Юнг предложили осуществлять вымогательство с использованием открытых криптосистем (RSA, TEA); разработанный ими прототип вируса зашифровывал файлы только по открытому ключу, приватный — у злоумышленника, который "расшифровывал" его за плату^[1]

С 2005 года наблюдался резкий рост программ-вымогателей, использующих сильное шифрование (например, Gpcode, Archiveus, Krotten, Cryzip, MayArchive), с постепенным увеличением длины ключей — вплоть до 1024 бит.^[25].

Шифрующие программы-вымогатели вернулись на арену в 2013 году с широким распространением CryptoLocker, использовавшей для вымогательства платформу Bitcoin; по оценкам, только за пару месяцев 2013 года операторы получили до $27 млн^[26].

В 2022 году серия атак с программой-вымогателем Conti поразила ключевые службы Коста-Рики, что привело к чрезвычайному положению в стране^[27].

Программы-вымогатели, не использующие шифрование

Иногда программы-вымогатели просто блокируют доступ к устройству (например, WinLock), заставляя оплатить разблокировку через платный SMS или телефонный звонок. Подобные атаки массово фиксировались в странах СНГ (особенно Россия) и приносили злоумышленникам миллионы долларов^[28].

С 2012 года распространяются блокировщики с ложными предупреждениями якобы от полиции о фиктивных нарушениях (так называемый "полицейский" троян)^[29].

Вынос данных и угроза публикации (Leakware / Doxware)

Альтернативным методом вымогательства является не шифрование файлов, а угроза публикации украденных данных (англ. leakware, англ. doxware). Обычно нацелены на чувствительную, конфиденциальную или компрометирующую информацию^[30].

Мобильные программы-вымогатели

С распространением Android появились аналогичные атаки на мобильные устройства, как правило, блокирующие экран^[31]. На iOS применяется взлом учётных записей iCloud или блокировка через систему Find My iPhone^[32].

Если атаку обнаружить на ранней стадии, её можно остановить, удалив вредоносную программу до завершения процесса шифрования^[33]. Однако для восстановления зашифрованных данных необходимы полные резервные копии (желательно физически недоступные для заражённого ПК).

Рекомендовано регулярно устанавливать обновления ПО, выполнять файлообмен с осторожностью, сегментировать критичные сети и хранить резервные копии offline^[34].

Для борьбы с программами-вымогателями существуют проекты по дешифровке (например, международная инициатива No More Ransom, Национальная полиция Нидерландов, Europol, Kaspersky Lab, McAfee и др.)^[35], однако успех возможен только при уязвимости алгоритма шифрования либо известных мастер-ключах для конкретной модификации.

Reveton («полицейский троян», блокирует компьютер под видом сообщения от правоохранительных органов)
CryptoLocker, CryptoWall, TorrentLocker (массовое шифрование пользовательских файлов, требование выкупа в биткойнах)
WannaCry (2017, крупнейшая инфекция в истории, глобальная эпидемия с захватом больниц, предприятий, инфраструктуры)
Petya, NotPetya (шифрование загрузочных областей и файловых таблиц)
Bad Rabbit (2017, Россия и Украина)
SamSam (вымогатель) (2016—2018, США)
Fusob (основной семейство мобильных программ-вымогателей)
DarkSide (атаковал американсий Colonial Pipeline в 2021 году)
REvil (Ransomware—as-a-service, атаки 2019-2021 гг.)

В разных странах законодательство ужесточается — за создание/распространение программ-вымогателей может грозить уголовная ответственность^[36]. В Австралии жертвы обязаны сообщать о выплатах по атакам^[37].

Янг, А. Malicious Cryptography: Exposing Cryptovirology / А. Янг, М. Юнг. — Wiley, 2004. — ISBN 978-0-7645-4975-5.
Simonite, Tom (4 февраля 2015). “Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)”. MIT Technology Review. Архивировано из оригинала 27 ноября 2015. Дата обращения 5 февраля 2015. Используется устаревший параметр |url-status= (справка)
Brad, Duncan Exploit Kits and CryptoWall 3.0 (неопр.). The Rackspace Blog! & NewsRoom (2 марта 2015). Дата обращения: 15 апреля 2015. Архивировано 24 сентября 2015 года.
Ransomware on the Rise: FBI and Partners Working to Combat This Cyber Threat (неопр.). NEWS. Federal Bureau of Investigation (20 января 2015).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

Программа-вымогатель

Принцип действия

История

Шифрующие программы-вымогатели

Программы-вымогатели, не использующие шифрование

Вынос данных и угроза публикации (Leakware / Doxware)

Мобильные программы-вымогатели

Борьба и защита

Известные случаи и вредоносные программы

Законы и уголовные дела

Примечания

Литература