Подробное руководство по программам-вымогателям: что нужно знать, чтобы оставаться в безопасности
Программа-вымогатель относится к сложной вредоносной программе, которая блокирует доступ человека к своим файлам. Единственный способ восстановить доступ — заплатить выкуп. В 6-м сезоне популярного и потрясающего шоу «Хорошая жена» был эпизод, в котором была показана программа-вымогатель — злодей в эпизоде был в России. В конце ему помешали. Вам может не повезти. Вот почему мы составили это руководство по программам-вымогателям.
В обращении находятся два типа программ-вымогателей:
- Программы-вымогатели с шифрованием: они включают в себя сложные алгоритмы шифрования. Они созданы таким образом, чтобы блокировать доступ к системным файлам. Затем они требуют плату за предоставление жертве ключа, который можно использовать для расшифровки системных файлов. Некоторые примеры шифрующих программ-вымогателей включают Locky, CryptoLocker и CryptoWall.
- Программа-вымогатель Locker: блокирует доступ пользователя к ОС, делая невозможным доступ к файлам, приложениям или настольным компьютерам. Злоумышленники по-прежнему требуют выкуп перед разблокировкой компьютера. Одним из ярких примеров программ-вымогателей для шкафчиков является WinLocker.
Существуют некоторые типы программ-вымогателей для шкафчиков, которые способны повлиять даже на основную загрузочную запись или MBR вашего компьютера. Поскольку MBR обеспечивает загрузку, в случае атаки программы-вымогателя MBR процесс загрузки не завершается. Вместо этого отображается сообщение о выкупе. К этой категории относятся семьи Петя и Сатана.
Шифрующие программы-вымогатели представляют собой самые большие киберугрозы на данный момент и являются самой большой угрозой уже много лет.
Характеристики программ-вымогателей
- Используемое шифрование невозможно взломать. Это означает, что затронутый человек не может расшифровать файлы, которые были зашифрованы.
- Программы-вымогатели могут шифровать различные типы файлов, включая видео, аудио, документы и изображения.
- Он имеет возможность шифровать имена файлов. Это создает ситуацию, когда жертва не может знать, какие именно данные были затронуты.
- Он может добавлять различные расширения к файлам. Иногда это делается для обозначения другого штамма программы-вымогателя.
- Программа-вымогатель отобразит сообщение или изображение, информирующее пострадавшего о том, что его данные теперь зашифрованы; для его возврата требуется уплата определенной суммы денег.
- Как правило, он запрашивает оплату только в биткойнах, потому что биткойны не могут быть отслежены правоохранительными органами или экспертами по кибербезопасности.
- Выплаты выкупа обычно идут с определенным сроком. В большинстве случаев нарушение срока означало бы увеличение требований о выкупе. В некоторых случаях данные уничтожаются навсегда.
- Программа-вымогатель использует ряд сложных методов уклонения, чтобы оставаться незамеченной антивирусным программным обеспечением.
- Он часто вовлекает зараженные машины в ботнеты.
- Вместо шифрования файлов он также может извлекать имена пользователей, адреса электронной почты, пароли и т. д. и отправлять их на определенные мошеннические серверы.
Почему создатели программ-вымогателей нацелены на домашних пользователей?
- Они редко делают резервные копии данных.
- Уровень образования в области кибербезопасности низкий.
- Даже базовая киберзащита недостаточно широко распространена.
- Они склонны полагаться на удачу, чтобы обеспечить свою безопасность в Интернете.
Почему создатели программ-вымогателей нацелены на бизнес?
- Они, как говорится, гонятся за деньгами.
- Недовольные знают, что сбои в бизнесе могут повысить их шансы на получение оплаты.
- Корпоративные компьютерные системы часто сложны, а это означает, что количество уязвимостей велико.
- Киберпреступники считают, что компании, как правило, не сообщают о каких-либо заражениях из-за боязни ущерба для бренда и юридических последствий.
Почему создатели программ-вымогателей нацелены на государственные учреждения?
- У них есть большие базы данных личной информации, которую можно продать.
- Обучение противодействию кибератакам часто бывает недостаточным.
- Государственные учреждения часто используют устаревшее оборудование, а это означает, что количество уязвимостей велико.
Как распространяется программа-вымогатель?
- Спамовые кампании по электронной почте с вредоносными вложениями или ссылками.
- Эксплойты безопасности в программном обеспечении.
- Перенаправление интернет-трафика на вредоносные веб-сайты.
- Легальные веб-сайты с внедрением вредоносного кода.
- SMS-сообщения.
- Ботнеты.
- Самораспространение.
Например, киберпреступники находят уязвимые веб-сайты, внедряют в них вредоносный код JavaScript и используют его в качестве триггера для перенаправления запросов на зараженные веб-сайты.
Как происходят инфекции?
Это ключевые этапы инфекции.
- Жертве отправляется электронное письмо с вредоносной ссылкой или вложением, что и сделала Дайан Локхарт в «Хорошей жене», запуская программы-вымогатели для захвата каждого офисного компьютера и вызывая всеобщую панику. В качестве альтернативы вредоносный веб-сайт использует эксплойт безопасности, чтобы открыть бэкдор на компьютере жертвы.
- После перехода по ссылке или загрузки вложения загрузчик сохраняется на пораженном компьютере.
- Загрузчик загружает программу-вымогатель в систему.
- Вредоносный сервер отправляет обратно любые запрошенные данные.
- Вредоносная программа шифрует все содержимое жесткого диска, другую конфиденциальную информацию и личные файлы.
- Появится предупреждающее сообщение с инструкциями о том, как получить ключ дешифрования.
Почему большинство программ-вымогателей часто остаются незамеченными антивирусными программами?
Существует несколько методов, которые производители вредоносных программ используют для обеспечения скрытности программ-вымогателей.
- Зашифрованная связь с управляющими серверами, которую трудно обнаружить в обычном сетевом трафике.
- Используются анонимайзеры трафика, такие как биткойн и тор.
- Используются методы защиты от песочницы, чтобы антивирус не подхватил его.
- Теневое копирование домена используется, чтобы скрыть связь между серверами управления вредоносными программами и загрузчиком.
- Используются зашифрованные полезные данные, что может затруднить обнаружение вредоносных программ антивирусными программами.
- Программа-вымогатель демонстрирует полиморфное поведение, что означает, что она может создавать новые варианты по мере необходимости.
- Программы-вымогатели могут бездействовать на компьютере только для того, чтобы инициировать атаку в нужное время.
Шаги, чтобы вывести защиту от программ-вымогателей на новый уровень
Вот несколько шагов, которые вы можете выполнить, чтобы обеспечить переход вашей защиты от программ-вымогателей на новый уровень. Убедись, что:
- Важные данные хранятся не только на ПК.
- Для ваших данных есть две резервные копии: одна на внешнем жестком диске, а другая в облаке.
- Облачный диск не настроен на постоянную работу. Он используется специально только для синхронизации данных, а затем закрывается.
- Вы используете последнюю версию операционной системы и программного обеспечения, включая самые последние обновления, связанные с безопасностью.
- Вы не используете учетную запись администратора для повседневного использования. Вы входите только с учетной записью с более низким уровнем привилегий.
- Макросы отключены в MS Office.
- Если вам необходимо использовать такие плагины, как Adobe Flash, Java, Silverlight и Acrobat Reader, используйте настройки браузера, чтобы запросить и активировать их по мере необходимости.
- Настройки конфиденциальности и безопасности вашего браузера были скорректированы для обеспечения максимальной защиты.
- Программное обеспечение для блокировки рекламы используется для предотвращения любых возможных угроз со стороны вредоносной рекламы.
Программа-вымогатель представляет собой, пожалуй, самую опасную угрозу для компьютерных систем. Тот факт, что большинство программ-вымогателей могут обойти антивирусное программное обеспечение, делает их еще более опасными. Вы должны принять меры, чтобы защитить себя от этой угрозы.