АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Программа-вымогатель

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Программа-вымогатель (англ. ransomware) — разновидность вредоносного программного обеспечения, которое зашифровывает пользовательские данные до тех пор, пока не будет выплачен выкуп.[1][2][3] Для получения выкупа часто используются труднопрослеживаемые цифровые валюты, такие как Paysafecard, биткойн и другие криптовалюты, что затрудняет розыск и наказание преступников. Иногда исходные файлы удаётся восстановить без уплаты выкупа в случае ошибок в реализации, утечки криптографических ключей или полного отсутствия шифрования в конкретной версии программы-вымогателя.

Атаки с применением программы-вымогателя обычно осуществляются с помощью троянского ПО, замаскированного под легитимный файл, который пользователь скачивает или открывает, получив, например, в виде вложения к письму. Однако есть и примеры крупных вспышек само-распространяющихся программ-вымогателей, таких как червь WannaCry, который передавался автоматически между компьютерами без участия пользователя.

Использование программ-вымогателей известно с 1989 года, когда был описан первый случай — троян AIDS (троянская программа). С тех пор масштабы вымогательства программными средствами выросли до мирового уровня. В первой половине 2018 года в мире совершено 181,5 миллиона атак программ-вымогателей — на 229% больше, чем за тот же период 2017 года[4]. В 2014 году компания McAfee собрала в два раза больше уникальных образцов программ-вымогателей, чем за тот же квартал года ранее. Программа CryptoLocker принесла преступникам, по оценкам, 3 миллиона долларов США до ликвидации, а по данным ФБР к лету 2015 года доходы от программы CryptoWall превысили 18 миллионов долларов. В 2020 году по жалобам о программах-вымогателях IC3 (центр при ФБР) зафиксировано убытков на сумму более 29,1 млн долларов[5]. По данным Statista, в 2021 году зарегистрировано около 623 миллионов атак, а в 2022 году — 493 миллиона.

Выплаты по программам-вымогателям в 2019 году оценивались в 1,1 млрд долларов[6], в 2020 г. — 999 млн долларов, в 2023 г. — рекордные 1,25 млрд, а в 2024 г. — снижение до 813 млн долларов[7]. Это связывают с отказом от выплат и активными действиями правоохранительных органов.

Принцип действия

Концепция шифрующей программы-вымогателя была изобретена и реализована Адамом Янгом (Adam Young) и Моти Юнгом (Moti Yung) в Колумбийском университете и представлена на конференции IEEE Security & Privacy в 1996 году. Данная схема, получившая название криптовымогательство (англ. cryptoviral extortion), основана на протоколе, состоящем из трёх этапов[1].

  1. [злоумышленник→жертва] Злоумышленник генерирует пару ключей и помещает открытый ключ в вредоносную программу, после чего выпускает её «в дикую природу».
  2. [жертва→злоумышленник] Вредоносная программа генерирует случайный симметричный ключ и шифрует им пользовательские данные, а этот ключ шифрует вложенным открытым ключом («гибридное шифрование»). Симметричный ключ и исходные данные уничтожаются, чтобы их невозможно было восстановить. Жертве показывается инструкция по оплате и расшифровке. Жертва отправляет злоумышленнику зашифрованный симметричный ключ и электронные деньги.
  3. [злоумышленник→жертва] Получив деньги, злоумышленник расшифровывает симметричный ключ и сообщает его жертве для восстановления данных.

Симметричный ключ уникален для каждой жертвы, закрытый ключ злоумышленника не раскрывается, жертве отправляется только небольшой «зашифрованный симметрический ключ»[1].

Чаще всего программа-вымогатель проникает через троян, инфицируя компьютер с помощью вредоносных вложений, ссылок в фишинговых письмах или уязвимостей сетевых сервисов. После запуска вредоносный код может блокировать работу системы, изображать уведомления от правоохранительных органов о якобы незаконной деятельности пользователя, хранении пиратских файлов или порнографии.

Иногда нагрузкой является простой блокировщик, изменяющий параметры загрузки (например, подменяя Windows Shell), либо модифицирующий главную загрузочную запись или таблицу разделов, не позволяя загрузить ОС до оплаты[8]. Наиболее сложные модификации применяют надёжные методы шифрования, позволяющие восстановить файлы только владельцу закрытого ключа[9].

Главная цель атаки — получение денег через различные непрослеживаемые платёжные системы: банковский перевод, премиальные SMS, анонимные ваучеры (Paysafecard), биткойн и другие криптовалюты[10].

По данным Sophos (2020), средняя глобальная стоимость восстановления после атаки, включая простой, потери и оплату, составила 761 106 долларов. 95% организаций, выплативших выкуп, смогли восстановить данные.

История

Шифрующие программы-вымогатели

Первое известное в истории вымогательство с помощью вредоносного кода — троян «AIDS» (PC Cyborg) 1989 года, который скрывал файлы и шифровал только их имена, а для восстановления требовал перевести $189 на адрес американской организации, хотя ключ можно было извлечь из кода вредоносного ПО.

Концепция анонимных денежных переводов для сбора выкупа была предложена Себастьяном фон Солмсом и Давидом Накажем в 1992 году[11]. Позднее в 1996 году Адам Янг и Моти Юнг предложили осуществлять вымогательство с использованием открытых криптосистем (RSA, TEA); разработанный ими прототип вируса зашифровывал файлы только по открытому ключу, приватный — у злоумышленника, который «расшифровывал» его за плату[1]

С 2005 года наблюдался резкий рост программ-вымогателей, использующих сильное шифрование (например, Gpcode, Archiveus, Krotten, Cryzip, MayArchive), с постепенным увеличением длины ключей — вплоть до 1024 бит..

Шифрующие программы-вымогатели вернулись на арену в 2013 году с широким распространением CryptoLocker, использовавшей для вымогательства платформу Bitcoin; по оценкам, только за пару месяцев 2013 года операторы получили до $27 млн[12].

В 2022 году серия атак с программой-вымогателем Conti поразила ключевые службы Коста-Рики, что привело к чрезвычайному положению в стране.

Программы-вымогатели, не использующие шифрование

Иногда программы-вымогатели просто блокируют доступ к устройству (например, WinLock), заставляя оплатить разблокировку через платный SMS или телефонный звонок. Подобные атаки массово фиксировались в странах СНГ (особенно Россия) и приносили злоумышленникам миллионы долларов.

С 2012 года распространяются блокировщики с ложными предупреждениями якобы от полиции о фиктивных нарушениях (так называемый "полицейский" троян).

Вынос данных и угроза публикации (Leakware / Doxware)

Альтернативным методом вымогательства является не шифрование файлов, а угроза публикации украденных данных (англ. leakware, англ. doxware). Обычно нацелены на чувствительную, конфиденциальную или компрометирующую информацию[13].

Мобильные программы-вымогатели

С распространением Android появились аналогичные атаки на мобильные устройства, как правило, блокирующие экран[14]. На iOS применяется взлом учётных записей iCloud или блокировка через систему Find My iPhone.

Борьба и защита

Если атаку обнаружить на ранней стадии, её можно остановить, удалив вредоносную программу до завершения процесса шифрования[15]. Однако для восстановления зашифрованных данных необходимы полные резервные копии (желательно физически недоступные для заражённого ПК).

Рекомендовано регулярно устанавливать обновления ПО, выполнять файлообмен с осторожностью, сегментировать критичные сети и хранить резервные копии offline[16].

Для борьбы с программами-вымогателями существуют проекты по дешифровке (например, международная инициатива No More Ransom, Национальная полиция Нидерландов, Europol, Kaspersky Lab, McAfee и др.)[17], однако успех возможен только при уязвимости алгоритма шифрования либо известных мастер-ключах для конкретной модификации.

Известные случаи и вредоносные программы

  • Reveton («полицейский троян», блокирует компьютер под видом сообщения от правоохранительных органов)
  • CryptoLocker, CryptoWall, TorrentLocker (массовое шифрование пользовательских файлов, требование выкупа в биткойнах)
  • WannaCry (2017, крупнейшая инфекция в истории, глобальная эпидемия с захватом больниц, предприятий, инфраструктуры)
  • Petya, NotPetya (шифрование загрузочных областей и файловых таблиц)
  • Bad Rabbit (2017, Россия и Украина)
  • SamSam (вымогатель) (2016—2018, США)
  • Fusob (основной семейство мобильных программ-вымогателей)
  • DarkSide (атаковал американсий Colonial Pipeline в 2021 году)
  • REvil (Ransomware—as-a-service, атаки 2019-2021 гг.)

Законы и уголовные дела

В разных странах законодательство ужесточается — за создание/распространение программ-вымогателей может грозить уголовная ответственность. В Австралии жертвы обязаны сообщать о выплатах по атакам.

Примечания

  1. 1 2 3 4 Young, A.; Yung, М. (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. pp. 129—140. DOI:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
  2. Mimoso, Michael Petya Ransomware Master File Table Encryption. threatpost.com (28 марта 2016). Дата обращения: 28 июля 2016.
  3. Min, Donghyun; Ko, Yungwoo; Walker, Ryan; Lee, Junghee; Kim, Youngjae (июль 2022). “A Content-Based Ransomware Detection and Backup Solid-State Drive for Ransomware Defense”. IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems. 41 (7): 2038—2051. DOI:10.1109/TCAD.2021.3099084. ISSN 0278-0070. Проверьте дату в |date= (справка на английском)
  4. Рекордное число атак программ-вымогателей: 181,5 миллиона с января, Help Net Security (11 июля 2018). Дата обращения: 20 октября 2018.
  5. Internet Crime Report 2020. Ic3.gov. Дата обращения: 1 марта 2022.
  6. Jowitt, Tom Жертвы хакеров выплатили 1,1 млрд долларов в качестве выкупа в прошлом году. Silicon (8 февраля 2024). Дата обращения: 21 февраля 2025.
  7. Выплаты по программам-вымогателям упали на треть благодаря мерам по борьбе с вымогательством. The Guardian (5 февраля 2025). Дата обращения: 21 февраля 2025.
  8. Программа-вымогатель под видом Федполиции Германии. SecureList (Kaspersky Lab). Дата обращения: 10 марта 2012.
  9. Young, Adam (2006). “Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?”. International Journal of Information Security. 5 (2): 67—76. DOI:10.1007/s10207-006-0082-7. S2CID 12990192.
  10. CryptoDefense хранит ключ шифрования на устройстве пользователя. Computerworld. IDG (апрель 2014). Дата обращения: 7 апреля 2014. Архивировано 3 июля 2014 года.
  11. Sebastiaan von Solms; David Naccache (1992). “On Blind 'Signatures and Perfect Crimes” (PDF). Computers & Security. 11 (6): 581—583. DOI:10.1016/0167-4048(92)90193-U. S2CID 23153906. Архивировано из оригинала (PDF) 26 октября 2017. Дата обращения 25 октября 2017. Используется устаревший параметр |url-status= (справка)
  12. Violet Blue. Волна преступлений CryptoLocker: миллионы отмытых биткойнов, ZDNet (22 декабря 2013). Дата обращения: 23 декабря 2013.
  13. Arntz, Pieter Threat spotlight: WastedLocker, customized ransomware (амер. англ.). Malwarebytes Labs (10 июля 2020). Дата обращения: 27 июля 2020.
  14. Ransomware on mobile devices: knock-knock-block. Kaspersky Lab (29 июня 2016). Дата обращения: 4 декабря 2016.
  15. Cannell, Joshua Cryptolocker Ransomware: Что нужно знать. Malwarebytes Unpacked (8 октября 2013). Дата обращения: 19 октября 2013. Архивировано 30 сентября 2021 года.
  16. Petya: способы защиты, CNET. Дата обращения: 29 июня 2017.
  17. About the Project - The No More Ransom Project. Архивировано 22 ноября 2021. Дата обращения: 3 декабря 2021.

Литература

Категории