Программа-шифровальщик (или просто шифровальщик) — программа-вымогатель, которая шифрует данные на устройстве пользователя и требует выкуп за их восстановление. Шифровальщики могут атаковать как частных пользователей, так и бизнес. Часто они распространяются по модели «Программа-вымогатель как услуга» (Ransomware-as-a-Service).
Атаки с использованием шифровальщиков
Как правило, атаки с использованием программ-шифровальщиков происходят следующим образом:
- Злоумышленники доставляют программу-шифровальщик на устройство пользователя, например с помощью электронного письма с вредоносной ссылкой, через взломанный аккаунт или уязвимость в ПО.
- Программа-шифровальщик полностью или частично шифрует данные на устройстве. Большинство шифровальщиков при этом игнорирует программы и системные файлы, необходимые для того, чтобы устройство оставалось работоспособным.
- Программа-шифровальщик оставляет на устройстве записку с требованием выкупа, контактами злоумышленников и инструкциями к дальнейшим действиям. Записку могут поместить в папки с зашифрованными файлами, установить в качестве обоев на рабочем столе, демонстрировать в браузере и т. д. Выкуп обычно требуют в криптовалюте. При этом часто преступники предлагают жертве бесплатно расшифровать небольшой файл, чтобы та убедилась, что у них есть действующий ключ.
С конца 2019 года злоумышленники, стоящие за шифровальщиками, стали перед шифрованием красть файлы жертв, чтобы в дальнейшем угрожать публикацией этих файлов. Шифровальщики, использующие эту тактику, также называются leakware (от англ. leak — утечка и software — ПО) или doxware (от англ. сленг. dox — документы и software — ПО).
Способы шифрования
Чаще всего шифровальщики используют гибридную схему шифрования, в которой задействованы и симметричные (данные шифруются и расшифровываются с помощью одного и того же ключа), и асимметричные (для шифрования и расшифровки данных используются разные ключи) алгоритмы. При таком подходе файлы шифруются симметричным способом, который, как правило, более быстрый, а сгенерированный для этого секретный ключ — асимметричным. Таким образом злоумышленники избегают необходимости передавать ключ для расшифровки файлов или хранить его на устройстве жертвы в незашифрованном виде.
К распространенным алгоритмам шифрования, которые используют злоумышленники, относятся:
- Симметричные: Advanced Encryption Standard (AES), ChaCha20, Salsa20, RC4
- Асимметричные: RSA и протокол Диффи — Хеллмана (ECDH)
Известные шифровальщики
К наиболее известным шифровальщикам относятся такие вредоносные программы, как CryptoLocker, Bad Rabbit, Petya, WannaCry, Conti/Ryuk, Hive, LockBit, Maze, REvil, BlackCat и другие.