Що таке вірус-вимагач?
Цей вид шкідливого програмного забезпечення використовується кіберзлочинцями для вимагання коштів у жертв. Зазвичай, програма-вимагач блокує екран пристрою жертви або шифрує дані на диску, відображаючи вимогу про викуп із реквізитами платежу.
Як розпізнати програму-вимагача?
У більшості випадків програма-вимагач відображає на екрані повідомлення, що ваш комп’ютер заблокований, або додає текстовий файл (повідомлення) до відповідних папок. Багато сімейств вимагачів також змінюють розширення зашифрованих файлів.
Як працює програма-вимагач?
Оператори програм-вимагачів використовують багато різних технік інфікування:
- Шифрування диску та блокування доступу користувача до операційної системи.
- Блокування екрану користувача.
- Шифрування даних на диску жертви
- Блокування пристроїв Android шляхом зміни коду доступу для заблокування пристрою користувача
Дізнатися більше
Усі перераховані вище види програм-вимагачів вимагають викуп, найчастіше у Bitcoin або в іншій криптовалюті. Натомість оператори загрози обіцяють розшифрувати дані або відновити доступ до інфікованого пристрою.
Однак немає ніякої гарантії, що кіберзлочинці виконають свою обіцянку (а іноді вони не можуть це зробити навмисно або через некомпетентне кодування). Таким чином, компанія ESET рекомендує не поспішати сплачувати необхідну суму, а звернутися до безкоштовної технічної підтримки ESET, щоб дізнатися про можливі варіанти розшифрування даних.
Як забезпечити захист від програм-вимагачів?
Основні правила для захисту власних даних та пристроїв від програм-вимагачів:
- Регулярно створюйте резервні копії даних та зберігайте принаймні одну повну резервну копію
- Оновлюйте все ПЗ, включно з операційною системою
Надійне та багаторівневе рішення з безпеки допоможе користувачам, а також організаціям розпізнати, запобігти та видалити вимагача.
Правила для захисту бізнесу від програм-вимагачів:
- Вимкніть або видаліть будь-які непотрібні сервіси та ПЗ
- Скануйте мережі на наявність незахищених облікових записів, зокрема зі слабкими паролями
- Обмежуйте або забороняйте використання протоколу віддаленого робочого столу (RDP) за межами мережі або вмикайте аутентифікацію на рівні мережі
- Використовуйте Virtual Private Network (VPN)
- Переглядайте параметри брандмауера
- Переглядайте політику для трафіку між внутрішньою та зовнішньою мережею (Інтернет)
- Встановіть пароль у налаштуваннях рішення безпеки, щоб захистити їх від вимкнення зловмисниками
- Забезпечте захист резервних копій за допомогою двох- або багатофакторної аутентифікації
- Регулярно проводьте навчання персоналу для розпізнавання фішинг-атак та інших технік кіберзлочинців.
Коротко про історію
Вперше програма-вимагач була виявлена в 1989 році. Шкідлива програма отримала назву AIDS Trojan. Вона поширювалася через тисячі дискет, які містили інтерактивну базу даних про СНІД і фактори ризику, пов'язані з хворобою. Після запуску шкідлива програма фактично зробила неможливим доступ користувача до більшої частини вмісту на диску.
AIDS Trojan вимагав викуп в розмірі $189, які потрібно було надіслати на поштову скриньку в Панамі. Програма була запущена 365 разів. Автором загрози був доктор Джозеф Попп, однак його було визнано непідсудним.
Нещодавні приклади
У травні 2017 року програма-вимагач WannaCryptor або WannaCry швидко розповсюдилася, використовуючи есплойт EternalBlue. Останній використовував уразливість у найпопулярніших версіях операційних систем Windows. Незважаючи на те, що Microsoft випустила виправлення для багатьох уразливих операційних систем більше ніж за два місяці до атаки, файли і системи тисяч організацій у всьому світі постраждали від цього шкідливого програмного забезпечення. Таким чином загроза WannaCry спричинила шкоду на суму мільярдів доларів.
У червні 2017 року шкідливе програмне забезпечення Diskcoder.C або Petya почало поширюватися в Україні, а незабаром розповсюдилося і за межі країни. Як виявилося пізніше, це була добре організована атака на ланцюг постачання, яка використовувала популярне програмне забезпечення для бухгалтерського обліку, щоб атакувати українські організації.
Проте шкідлива програма вийшла з-під контролю та інфікувала мережі багатьохміжнародних компаній, зокрема Maersk, Merck, Rosneft таFedEx, спричинивши збитки на сотні мільйонів доларів.
