Подробное руководство по программам-вымогателям: что нужно знать, чтобы оставаться в безопасности

Программа-вымогатель относится к сложной вредоносной программе, которая блокирует доступ человека к своим файлам. Единственный способ восстановить доступ — заплатить выкуп. В 6-м сезоне популярного и потрясающего шоу «Хорошая жена» был эпизод, в котором была показана программа-вымогатель — злодей в эпизоде был в России. В конце ему помешали. Вам может не повезти. Вот почему мы составили это руководство по программам-вымогателям.

В обращении находятся два типа программ-вымогателей:

1. Программы-вымогатели с шифрованием: они включают в себя сложные алгоритмы шифрования. Они созданы таким образом, чтобы блокировать доступ к системным файлам. Затем они требуют плату за предоставление жертве ключа, который можно использовать для расшифровки системных файлов. Некоторые примеры шифрующих программ-вымогателей включают Locky, CryptoLocker и CryptoWall.
2. Программа-вымогатель Locker: блокирует доступ пользователя к ОС, делая невозможным доступ к файлам, приложениям или настольным компьютерам. Злоумышленники по-прежнему требуют выкуп перед разблокировкой компьютера. Одним из ярких примеров программ-вымогателей для шкафчиков является WinLocker.

Существуют некоторые типы программ-вымогателей для шкафчиков, которые способны повлиять даже на основную загрузочную запись или MBR вашего компьютера. Поскольку MBR обеспечивает загрузку, в случае атаки программы-вымогателя MBR процесс загрузки не завершается. Вместо этого отображается сообщение о выкупе. К этой категории относятся семьи Петя и Сатана.

Шифрующие программы-вымогатели представляют собой самые большие киберугрозы на данный момент и являются самой большой угрозой уже много лет.

Характеристики программ-вымогателей

• Используемое шифрование невозможно взломать. Это означает, что затронутый человек не может расшифровать файлы, которые были зашифрованы.
• Программы-вымогатели могут шифровать различные типы файлов, включая видео, аудио, документы и изображения.
• Он имеет возможность шифровать имена файлов. Это создает ситуацию, когда жертва не может знать, какие именно данные были затронуты.
• Он может добавлять различные расширения к файлам. Иногда это делается для обозначения другого штамма программы-вымогателя.
• Программа-вымогатель отобразит сообщение или изображение, информирующее пострадавшего о том, что его данные теперь зашифрованы; для его возврата требуется уплата определенной суммы денег.
• Как правило, он запрашивает оплату только в биткойнах, потому что биткойны не могут быть отслежены правоохранительными органами или экспертами по кибербезопасности.
• Выплаты выкупа обычно идут с определенным сроком. В большинстве случаев нарушение срока означало бы увеличение требований о выкупе. В некоторых случаях данные уничтожаются навсегда.
• Программа-вымогатель использует ряд сложных методов уклонения, чтобы оставаться незамеченной антивирусным программным обеспечением.
• Он часто вовлекает зараженные машины в ботнеты.
• Вместо шифрования файлов он также может извлекать имена пользователей, адреса электронной почты, пароли и т. д. и отправлять их на определенные мошеннические серверы.

Почему создатели программ-вымогателей нацелены на домашних пользователей?

• Они редко делают резервные копии данных.
• Уровень образования в области кибербезопасности низкий.
• Даже базовая киберзащита недостаточно широко распространена.
• Они склонны полагаться на удачу, чтобы обеспечить свою безопасность в Интернете.

Почему создатели программ-вымогателей нацелены на бизнес?

• Они, как говорится, гонятся за деньгами.
• Недовольные знают, что сбои в бизнесе могут повысить их шансы на получение оплаты.
• Корпоративные компьютерные системы часто сложны, а это означает, что количество уязвимостей велико.
• Киберпреступники считают, что компании, как правило, не сообщают о каких-либо заражениях из-за боязни ущерба для бренда и юридических последствий.

Почему создатели программ-вымогателей нацелены на государственные учреждения?

• У них есть большие базы данных личной информации, которую можно продать.
• Обучение противодействию кибератакам часто бывает недостаточным.
• Государственные учреждения часто используют устаревшее оборудование, а это означает, что количество уязвимостей велико.

Как распространяется программа-вымогатель?

• Спамовые кампании по электронной почте с вредоносными вложениями или ссылками.
• Эксплойты безопасности в программном обеспечении.
• Перенаправление интернет-трафика на вредоносные веб-сайты.
• Легальные веб-сайты с внедрением вредоносного кода.
• SMS-сообщения.
• Ботнеты.
• Самораспространение.

Например, киберпреступники находят уязвимые веб-сайты, внедряют в них вредоносный код JavaScript и используют его в качестве триггера для перенаправления запросов на зараженные веб-сайты.

Как происходят инфекции?

Это ключевые этапы инфекции.

• Жертве отправляется электронное письмо с вредоносной ссылкой или вложением, что и сделала Дайан Локхарт в «Хорошей жене», запуская программы-вымогатели для захвата каждого офисного компьютера и вызывая всеобщую панику. В качестве альтернативы вредоносный веб-сайт использует эксплойт безопасности, чтобы открыть бэкдор на компьютере жертвы.
• После перехода по ссылке или загрузки вложения загрузчик сохраняется на пораженном компьютере.
• Загрузчик загружает программу-вымогатель в систему.
• Вредоносный сервер отправляет обратно любые запрошенные данные.
• Вредоносная программа шифрует все содержимое жесткого диска, другую конфиденциальную информацию и личные файлы.
• Появится предупреждающее сообщение с инструкциями о том, как получить ключ дешифрования.

Почему большинство программ-вымогателей часто остаются незамеченными антивирусными программами?

Существует несколько методов, которые производители вредоносных программ используют для обеспечения скрытности программ-вымогателей.

• Зашифрованная связь с управляющими серверами, которую трудно обнаружить в обычном сетевом трафике.
• Используются анонимайзеры трафика, такие как биткойн и тор.
• Используются методы защиты от песочницы, чтобы антивирус не подхватил его.
• Теневое копирование домена используется, чтобы скрыть связь между серверами управления вредоносными программами и загрузчиком.
• Используются зашифрованные полезные данные, что может затруднить обнаружение вредоносных программ антивирусными программами.
• Программа-вымогатель демонстрирует полиморфное поведение, что означает, что она может создавать новые варианты по мере необходимости.
• Программы-вымогатели могут бездействовать на компьютере только для того, чтобы инициировать атаку в нужное время.

Шаги, чтобы вывести защиту от программ-вымогателей на новый уровень

Вот несколько шагов, которые вы можете выполнить, чтобы обеспечить переход вашей защиты от программ-вымогателей на новый уровень. Убедись, что:

• Важные данные хранятся не только на ПК.
• Для ваших данных есть две резервные копии: одна на внешнем жестком диске, а другая в облаке.
• Облачный диск не настроен на постоянную работу. Он используется специально только для синхронизации данных, а затем закрывается.
• Вы используете последнюю версию операционной системы и программного обеспечения, включая самые последние обновления, связанные с безопасностью.
• Вы не используете учетную запись администратора для повседневного использования. Вы входите только с учетной записью с более низким уровнем привилегий.
• Макросы отключены в MS Office.
• Если вам необходимо использовать такие плагины, как Adobe Flash, Java, Silverlight и Acrobat Reader, используйте настройки браузера, чтобы запросить и активировать их по мере необходимости.
• Настройки конфиденциальности и безопасности вашего браузера были скорректированы для обеспечения максимальной защиты.
• Программное обеспечение для блокировки рекламы используется для предотвращения любых возможных угроз со стороны вредоносной рекламы.

Программа-вымогатель представляет собой, пожалуй, самую опасную угрозу для компьютерных систем. Тот факт, что большинство программ-вымогателей могут обойти антивирусное программное обеспечение, делает их еще более опасными. Вы должны принять меры, чтобы защитить себя от этой угрозы.