Программа-вымогатель — вредоносное ПО, которое шифрует данные или блокирует доступ к ним и требует заплатить за снятие блокировки или дешифровку файлов. Существуют программы-вымогатели как для настольных систем, так и для мобильных устройств.
Первая известная атака с использованием программы-вымогателя произошла в 1989 году. Автор вредоносной программы, эволюционный биолог Джозеф Попп (Joseph Popp), разослал дискеты с наклейкой «Информация по СПИД, ознакомительная дискета» подписчикам конференции ВОЗ по СПИДу. Программа-вымогатель шифровала имена файлов вместе с расширениями и требовала от жертвы «оплатить лицензию». Атака получила название AIDS. Хотя она не была успешной, в дальнейшем программы-вымогатели приобрели популярность, и появилась модель RaaS (Ransomware-as-a-Service, программы-вымогатели как услуга), при которой технически продвинутые злоумышленники сдают вредоносный код и инфраструктуру в аренду всем желающим.
Типы программ-вымогателей
- Блокировщики: блокируют устройство или имитируют блокировку и выводят на экран сообщение с требованием выкупа за возвращение доступа. Часто блокировщики эксплуатируют тему штрафов за хранение или просмотр запрещенной информации, например детской порнографии. Также заблокировать устройство могут якобы из-за заражения вредоносным ПО, за удаление которого нужно заплатить.
- Шифровальщики: шифруют все или некоторые файлы пользователя и требуют выкуп за их расшифровку. В некоторых случаях шифровальщики также угрожают публикацией данных жертвы. Такие программы называют leakware (от англ. leak — утечка и software — ПО) или doxware (от англ. сленг. dox — документы и software — ПО).
Способы распространения вымогателей
Как и любое вредоносное ПО, вымогатель может попасть на устройство пользователя несколькими способами.
- Эксплуатация уязвимостей операционной системы, веб-браузеров и т. д.
- Взлом аккаунта жертвы с помощью подбора пароля или подстановки украденных учетных данных, например, от протокола удаленного рабочего стола.
- Распространение вредоносных ссылок и вложений по электронной почте.
Ущерб от программ-вымогателей
Программы-вымогатели атакуют как частных пользователей, так и организации. В обоих случаях успешная атака приводит к простою в работе и затратам на восстановление данных. Кроме того, не всегда действия программ-вымогателей обратимы. Например, шифровальщик может на практике оказаться вайпером — вредоносной программой, которая уничтожает или повреждает данные без возможности восстановления.
Противодействие вымогателям
Для противодействия вымогателям правоохранительные органы разных стран совместно с компаниями — поставщиками решений в сфере кибербезопасности создали проект No More Ransom. На сайте проекта доступна информация о программах-вымогателях, утилита для распознавания семейства вымогателей, с которым столкнулся пользователь, а также существующие декрипторы для разных семейств шифровальщиков.