Материал из РУВИКИ — свободной энциклопедии

Программа-вымогатель

Программа-вымогатель (англ. ransomware) — разновидность вредоносного программного обеспечения, которое зашифровывает пользовательские данные до тех пор, пока не будет выплачен выкуп.[1][2][3][4] Для получения выкупа часто используются труднопрослеживаемые цифровые валюты, такие как Paysafecard, биткойн и другие криптовалюты, что затрудняет розыск и наказание преступников. Иногда исходные файлы удаётся восстановить без уплаты выкупа в случае ошибок в реализации, утечки криптографических ключей или полного отсутствия шифрования в конкретной версии программы-вымогателя.

Атаки с применением программы-вымогателя обычно осуществляются с помощью троянского ПО, замаскированного под легитимный файл, который пользователь скачивает или открывает, получив, например, в виде вложения к письму. Однако есть и примеры крупных вспышек само-распространяющихся программ-вымогателей, таких как червь WannaCry, который передавался автоматически между компьютерами без участия пользователя[5].

Использование программ-вымогателей известно с 1989 года, когда был описан первый случай — троян AIDS (троянская программа). С тех пор масштабы вымогательства программными средствами выросли до мирового уровня.[6][7] В первой половине 2018 года в мире совершено 181,5 миллиона атак программ-вымогателей — на 229% больше, чем за тот же период 2017 года[8]. В 2014 году компания McAfee собрала в два раза больше уникальных образцов программ-вымогателей, чем за тот же квартал года ранее[9]. Программа CryptoLocker принесла преступникам, по оценкам, 3 миллиона долларов США до ликвидации[10], а по данным ФБР к лету 2015 года доходы от программы CryptoWall превысили 18 миллионов долларов[11]. В 2020 году по жалобам о программах-вымогателях IC3 (центр при ФБР) зафиксировано убытков на сумму более 29,1 млн долларов[12]. По данным Statista, в 2021 году зарегистрировано около 623 миллионов атак, а в 2022 году — 493 миллиона[13].

Выплаты по программам-вымогателям в 2019 году оценивались в 1,1 млрд долларов[14], в 2020 г. — 999 млн долларов, в 2023 г. — рекордные 1,25 млрд, а в 2024 г. — снижение до 813 млн долларов[15]. Это связывают с отказом от выплат и активными действиями правоохранительных органов.

Принцип действия

[править | править код]

Концепция шифрующей программы-вымогателя была изобретена и реализована Адамом Янгом (Adam Young) и Моти Юнгом (Moti Yung) в Колумбийском университете и представлена на конференции IEEE Security & Privacy в 1996 году. Данная схема, получившая название криптовымогательство (англ. cryptoviral extortion), основана на протоколе, состоящем из трёх этапов[1].

  1. [злоумышленник→жертва] Злоумышленник генерирует пару ключей и помещает открытый ключ в вредоносную программу, после чего выпускает её "в дикую природу".
  2. [жертва→злоумышленник] Вредоносная программа генерирует случайный симметричный ключ и шифрует им пользовательские данные, а этот ключ шифрует вложенным открытым ключом ("гибридное шифрование"). Симметричный ключ и исходные данные уничтожаются, чтобы их невозможно было восстановить. Жертве показывается инструкция по оплате и расшифровке. Жертва отправляет злоумышленнику зашифрованный симметричный ключ и электронные деньги.
  3. [злоумышленник→жертва] Получив деньги, злоумышленник расшифровывает симметричный ключ и сообщает его жертве для восстановления данных.

Симметричный ключ уникален для каждой жертвы, закрытый ключ злоумышленника не раскрывается, жертве отправляется только небольшой "зашифрованный симметрический ключ"[1].

Чаще всего программа-вымогатель проникает через троян, инфицируя компьютер с помощью вредоносных вложений, ссылок в фишинговых письмах или уязвимостей сетевых сервисов. После запуска вредоносный код может блокировать работу системы, изображать уведомления от правоохранительных органов о якобы незаконной деятельности пользователя, хранении пиратских файлов или порнографии[16].

Иногда нагрузкой является простой блокировщик, изменяющий параметры загрузки (например, подменяя Windows Shell), либо модифицирующий главную загрузочную запись или таблицу разделов, не позволяя загрузить ОС до оплаты[17]. Наиболее сложные модификации применяют надёжные методы шифрования, позволяющие восстановить файлы только владельцу закрытого ключа[18].

Главная цель атаки — получение денег через различные непрослеживаемые платёжные системы: банковский перевод, премиальные SMS[19], анонимные ваучеры (Paysafecard)[20], биткойн и другие криптовалюты[21].

По данным Sophos (2020), средняя глобальная стоимость восстановления после атаки, включая простой, потери и оплату, составила 761 106 долларов. 95% организаций, выплативших выкуп, смогли восстановить данные[22].

История

[править | править код]

Шифрующие программы-вымогатели[править | править код]

Первое известное в истории вымогательство с помощью вредоносного кода — троян "AIDS" (PC Cyborg) 1989 года, который скрывал файлы и шифровал только их имена, а для восстановления требовал перевести $189 на адрес американской организации, хотя ключ можно было извлечь из кода вредоносного ПО[23].

Концепция анонимных денежных переводов для сбора выкупа была предложена Себастьяном фон Солмсом и Давидом Накажем в 1992 году[24]. Позднее в 1996 году Адам Янг и Моти Юнг предложили осуществлять вымогательство с использованием открытых криптосистем (RSA, TEA); разработанный ими прототип вируса зашифровывал файлы только по открытому ключу, приватный — у злоумышленника, который "расшифровывал" его за плату[1]

С 2005 года наблюдался резкий рост программ-вымогателей, использующих сильное шифрование (например, Gpcode, Archiveus, Krotten, Cryzip, MayArchive), с постепенным увеличением длины ключей — вплоть до 1024 бит.[25].

Шифрующие программы-вымогатели вернулись на арену в 2013 году с широким распространением CryptoLocker, использовавшей для вымогательства платформу Bitcoin; по оценкам, только за пару месяцев 2013 года операторы получили до $27 млн[26].

В 2022 году серия атак с программой-вымогателем Conti поразила ключевые службы Коста-Рики, что привело к чрезвычайному положению в стране[27].

Программы-вымогатели, не использующие шифрование[править | править код]

Иногда программы-вымогатели просто блокируют доступ к устройству (например, WinLock), заставляя оплатить разблокировку через платный SMS или телефонный звонок. Подобные атаки массово фиксировались в странах СНГ (особенно Россия) и приносили злоумышленникам миллионы долларов[28].

С 2012 года распространяются блокировщики с ложными предупреждениями якобы от полиции о фиктивных нарушениях (так называемый "полицейский" троян)[29].

Вынос данных и угроза публикации (Leakware / Doxware)[править | править код]

Альтернативным методом вымогательства является не шифрование файлов, а угроза публикации украденных данных (англ. leakware, англ. doxware). Обычно нацелены на чувствительную, конфиденциальную или компрометирующую информацию[30].

Мобильные программы-вымогатели[править | править код]

С распространением Android появились аналогичные атаки на мобильные устройства, как правило, блокирующие экран[31]. На iOS применяется взлом учётных записей iCloud или блокировка через систему Find My iPhone[32].

Борьба и защита

[править | править код]

Если атаку обнаружить на ранней стадии, её можно остановить, удалив вредоносную программу до завершения процесса шифрования[33]. Однако для восстановления зашифрованных данных необходимы полные резервные копии (желательно физически недоступные для заражённого ПК).

Рекомендовано регулярно устанавливать обновления ПО, выполнять файлообмен с осторожностью, сегментировать критичные сети и хранить резервные копии offline[34].

Для борьбы с программами-вымогателями существуют проекты по дешифровке (например, международная инициатива No More Ransom, Национальная полиция Нидерландов, Europol, Kaspersky Lab, McAfee и др.)[35], однако успех возможен только при уязвимости алгоритма шифрования либо известных мастер-ключах для конкретной модификации.

Известные случаи и вредоносные программы

[править | править код]
  • Reveton («полицейский троян», блокирует компьютер под видом сообщения от правоохранительных органов)
  • CryptoLocker, CryptoWall, TorrentLocker (массовое шифрование пользовательских файлов, требование выкупа в биткойнах)
  • WannaCry (2017, крупнейшая инфекция в истории, глобальная эпидемия с захватом больниц, предприятий, инфраструктуры)
  • Petya, NotPetya (шифрование загрузочных областей и файловых таблиц)
  • Bad Rabbit (2017, Россия и Украина)
  • SamSam (вымогатель) (2016—2018, США)
  • Fusob (основной семейство мобильных программ-вымогателей)
  • DarkSide (атаковал американсий Colonial Pipeline в 2021 году)
  • REvil (Ransomware--as-a-service, атаки 2019-2021 гг.)

Законы и уголовные дела

[править | править код]

В разных странах законодательство ужесточается — за создание/распространение программ-вымогателей может грозить уголовная ответственность[36]. В Австралии жертвы обязаны сообщать о выплатах по атакам[37].

Примечания

[править | править код]
  1. 1 2 3 4 Young, A.; Yung, М. (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. pp. 129—140. DOI:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
  2. Mimoso, Michael Petya Ransomware Master File Table Encryption. threatpost.com (28 марта 2016). Дата обращения: 28 июля 2016.
  3. Justin Luna. Программа-вымогатель Mamba шифрует жёсткий диск и изменяет процесс загрузки. Neowin (21 сентября 2016). Дата обращения: 5 ноября 2016.
  4. Min, Donghyun; Ko, Yungwoo; Walker, Ryan; Lee, Junghee; Kim, Youngjae (июль 2022). “A Content-Based Ransomware Detection and Backup Solid-State Drive for Ransomware Defense”. IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems. 41 (7): 2038—2051. DOI:10.1109/TCAD.2021.3099084. ISSN 0278-0070. Проверьте дату в |date= (справка на английском)
  5. Cameron, Dell Массированная атака программы-вымогателя была предсказуема. Как защититься? Gizmodo (13 мая 2017). Дата обращения: 13 мая 2017.
  6. New Internet scam: Ransomware... FBI (9 августа 2012).
  7. Citadel malware continues to deliver Reveton ransomware... Internet Crime Complaint Center (IC3) (30 ноября 2012).
  8. Рекордное число атак программ-вымогателей: 181,5 миллиона с января, Help Net Security (11 июля 2018). Дата обращения: 20 октября 2018.
  9. Update: McAfee: Киберпреступники чаще всего используют Android-малварь и программы-вымогатели. InfoWorld (3 июня 2013). Дата обращения: 16 сентября 2013.
  10. Жертвы Cryptolocker смогут вернуть файлы бесплатно (6 августа 2014). Дата обращения: 18 августа 2014.
  11. FBI: программа-вымогатель принесла более 18 млн долларов. Ars Technica (25 июня 2015). Дата обращения: 25 июня 2015.
  12. Internet Crime Report 2020. Ic3.gov. Дата обращения: 1 марта 2022.
  13. Число атак программ-вымогателей в год к 2022 (англ.). Statista. Дата обращения: 4 июня 2023.
  14. Jowitt, Tom Жертвы хакеров выплатили 1,1 млрд долларов в качестве выкупа в прошлом году. Silicon (8 февраля 2024). Дата обращения: 21 февраля 2025.
  15. Выплаты по программам-вымогателям упали на треть благодаря мерам по борьбе с вымогательством. The Guardian (5 февраля 2025). Дата обращения: 21 февраля 2025.
  16. Полиция предупреждает о вымогательских письмах от их имени. Дата обращения: 9 марта 2012.
  17. Программа-вымогатель под видом Федполиции Германии. SecureList (Kaspersky Lab). Дата обращения: 10 марта 2012.
  18. Young, Adam (2006). “Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?”. International Journal of Information Security. 5 (2): 67—76. DOI:10.1007/s10207-006-0082-7. S2CID 12990192.
  19. Danchev, Dancho. Новая программа-вымогатель блокирует ПК и требует отправить платное SMS, ZDNet (22 апреля 2009). Архивировано 26 апреля 2009. Дата обращения: 2 мая 2009.
  20. Cheng, Jacqui Новый троян: заплатите $300 — иначе ваши данные будут уничтожены! Ars Technica (18 июля 2007). Дата обращения: 16 апреля 2009.
  21. CryptoDefense хранит ключ шифрования на устройстве пользователя. Computerworld. IDG (апрель 2014). Дата обращения: 7 апреля 2014. Архивировано 3 июля 2014 года.
  22. Adam, Sally The state of ransomware 2020 (англ.). Sophos News (12 мая 2020). Дата обращения: 18 сентября 2020.
  23. Kassner, Michael. “Программы-вымогатели: интернет-выкуп”. TechRepublic. Дата обращения 10 марта 2012.
  24. Sebastiaan von Solms; David Naccache (1992). “On Blind 'Signatures and Perfect Crimes” (PDF). Computers & Security. 11 (6): 581—583. DOI:10.1016/0167-4048(92)90193-U. S2CID 23153906. Архивировано из оригинала (PDF) 26 октября 2017. Дата обращения 25 октября 2017. Используется устаревший параметр |url-status= (справка)
  25. Leyden, John Программы-вымогатели становится сложнее взломать. The Register (24 июля 2006). Дата обращения: 18 апреля 2009.
  26. Violet Blue. Волна преступлений CryptoLocker: миллионы отмытых биткойнов, ZDNet (22 декабря 2013). Дата обращения: 23 декабря 2013.
  27. Burgess, Matt. “Conti's Attack Against Costa Rica Sparks a New Ransomware Era”. Wired [англ.]. ISSN 1059-1028. Дата обращения 11 июля 2024.
  28. Leyden, John Российская полиция арестовала 10 подозреваемых в создании программы-вымогателя. The Register. Дата обращения: 10 марта 2012.
  29. O'Gorman, G. & McDonald, G. (2012), Ransonmware: A Growing Menace, Symantec Security Response, Symantec Corporation, <https://www.01net.it/whitepaper_library/Symantec_Ransomware_Growing_Menace.pdf>. Проверено 5 октября 2019. 
  30. Arntz, Pieter Threat spotlight: WastedLocker, customized ransomware (амер. англ.). Malwarebytes Labs (10 июля 2020). Дата обращения: 27 июля 2020.
  31. Ransomware on mobile devices: knock-knock-block. Kaspersky Lab (29 июня 2016). Дата обращения: 4 декабря 2016.
  32. Here's How to Overcome Newly Discovered iPhone Ransomware. Fortune. Дата обращения: 9 апреля 2017.
  33. Cannell, Joshua Cryptolocker Ransomware: Что нужно знать. Malwarebytes Unpacked (8 октября 2013). Дата обращения: 19 октября 2013. Архивировано 30 сентября 2021 года.
  34. Petya: способы защиты, CNET. Дата обращения: 29 июня 2017.
  35. About the Project - The No More Ransom Project. Архивировано 22 ноября 2021. Дата обращения: 3 декабря 2021.
  36. Fields, Logan M. The Minority Report – Week 7 – The Half-Way Point. World News (25 февраля 2017).
  37. Martin, Alexander В Австралии теперь требуется сообщать о выплатах по программам-вымогателям (англ.). therecord.media (30 мая 2025). Дата обращения: 15 июня 2025.

Литература

[править | править код]
Источник — https://ru.ruwiki.ru/w/index.php?title=Программа-вымогатель&oldid=1215151742