Програми-вимагачі атакують користувачів Інтернету

Компанія ESET – лідер у галузі проактивного виявлення – повідомляє про високу активність загроз, які блокують пристрої та вимагають фінансову винагороду за розшифровування даних.

Останнім часом одним з найбільш популярних видів діяльності кіберзлочинців залишається розсилка шкідливих електронних листів, які отримують користувачі з усього світу. Так, лише місяць тому спеціалісти ESET повідомляли про загрозу JS/TrojanDownloader.Nemucod, яка надсилалася користувачам під виглядом безпечного вкладення. У разі відкриття даного файлу починалося завантаження та встановлення шкідливих програм відомих вже сімейств, таких як TeslaCrypt, Locky, CTB Locker або Filecoder.DG.

Як відомо, після інфікування дані загрози здійснюють шифрування певних файлів, а на екрані з’являється повідомлення з вимогою відправити певну суму грошей за вказаною адресою. Більше того, техніка шифрування, яка використовувалася цими шкідливими програмами, робить неможливим відновлення файлів шляхом простого аналізу даних. Тому у більшості випадків компаніям доводиться платити тисячі доларів, щоб повернути втрачену інформацію.

Однак не всі вимагачі такі ж небезпечні, як вищезгадані загрози. Багато подібних програм створюються з суттєвими технічними недоліками, які дозволяють жертвам повернути свої файли без перерахування коштів зловмисникам.

Прикладом такої програми-вимагача є Petya, яка у разі успішного проникнення в систему Windows запускає синій екран. Після перезавантаження пристрою на екрані користувача з’являється вимога заплатити викуп у розмірі 0,99 біткоїнів (приблизно $ 431).

Після детального вивчення спеціалісти ESET виявили, що дана загроза шифрує не самі файли, а тільки їх таблиці. Цей недолік програми дозволяє користувачу відновлювати дані за допомогою загальнодоступних інструментів.

Поширюється Petya через електронні листи, замасковані під резюме потенційних співробітників. Замість документу шахраї прикріплюють до листа посилання на файлообмінник Dropbox. Завантажений файл Bewerbungsmappe-gepackt.exe, який може самостійно розпаковуватися, інфікує операційну систему. Його назва вказує на те, що атака зловмисників була спрямована на користувачів німецькомовних країн.

Наразі Dropbox вже видалив шкідливий файл з файлообмінника. Однак існує ймовірність, що шахраї з’являться знову після вдосконалення загрози.

На сьогоднішній день виявлено дві версії таких шкідливих програм: Win32/Disk Coder.Petya.A та Win32/Disk Coder.Petya.B.

Увагу спеціалістів ESET також привернув ще один приклад подібних загроз — Jigsaw. Наслідуючи відомий фільм жахів «Пила», зловмисники ставлять жертв перед вибором. Від моменту інфікування шахраї запускають зворотній відлік. Якщо користувач не платить протягом першої години, зловмисники видаляють один файл. З кожною годиною кількість стертих файлів зростає в геометричній прогресії, спричиняючи значні втрати даних. Загроза Jigsaw також попереджає жертву, що кожна спроба перезавантажити пристрій каратиметься видаленням ще 1000 файлів.

Дана шкідлива програма першою застосувала подібний спосіб вимагання грошей. Попередники тільки погрожували користувачам зростаючим видаленням файлів.

Після детального вивчення Jigsaw спеціалісти ESET виявили недосконалість технічного боку загрози. Jigsaw використовує статичний ключ для всіх шифрів, що дозволяє користувачу скористатися інструментом для розшифрування даних.

На сьогоднішній день виявлено такі версії загрози, як MSIL/Filecoder.Jigsaw.A, MSIL/Filecoder.Jigsaw.B та MSIL/Filecoder.Jigsaw.C.

Ще однією подібною програмою є Win32/Filecoder.Autolocky.A або Autolocky. Наслідуючи поширену та небезпечну загрозу Locky, Autolocky використовує її розширення для зашифрованих файлів (.locky). Однак на відміну від відомої програми, послідовник має значні недоліки у кодуванні. Завдяки цьому ключ розшифрування надсилається тільки через Internet Explorer і може бути знайдений в історії інфікованого пристрою. Таким чином жертви Autolocky мають легкодоступний інструмент для повернення файлів.

«У разі інфікування подібними загрозами користувачам не слід піддаватися на залякування шахраїв та платити зловмисникам. Безпечно відновлювати файли, економлячи гроші та запобігаючи фінансуванню кіберзлочинності, можна за допомогою інструменту для розшифрування даних, орієнтованого на кілька сімейств програм-вимагачів», — розповідає Вячеслав Заріцький, провідний технічний спеціаліст ESET в Україні.

Незважаючи на недосконалості деяких програм-вимагачів, кіберзлочинці постійно поліпшують техніки віросописання. Саме тому вкрай важливо вчасно запобігти зараженню свого пристрою.

Експерти ESET наполегливо рекомендують користувачам бути обережними та дотримуватися добре відомих правил безпеки — регулярно створювати резервні копії файлів, оновлювати програмне забезпечення та забезпечити надійний захист пристроїв.