Програма-вимагач, програма-здирник, програма-шантажист (англ. ransomware, ransom — викуп і software — програмне забезпечення) — це тип шкідливої програми, який злочинці встановлюють на комп'ютерах користувачів. Програми, які вимагають викуп, надають злочинцям можливість віддалено заблокувати комп'ютер. Після цього програма відображає спливаюче вікно з повідомленням, що комп'ютер заблокований і що до нього немає доступу, доки не заплатите кошти.
Типи програм-шантажистів
На даний момент існує кілька кардинально різних підходів у роботі програм-шантажистів:
- Шифрування файлів у системі;
- Блокування або перешкода роботи в системі;
- Блокування або перешкода роботи в браузері.
Спосіб зараження програмами-шантажистами
Загроза захована усередині іншого файлу або програми, яка виглядає настільки безвинно, що користувач спокійно їх відкриває: вкладення в електронні листи, відео зі сторінок сумнівного походження або навіть системні оновлення від особи надійних програм, таких як Windows або Adobe Flash. Після завантаження на комп'ютер шкідлива програма активується і блокує всю операційну систему, після чого запустить попередження із загрозою і з зазначенням суми викупу, яку треба заплатити за «порятунок» всієї інформації. Ці повідомлення розрізняються залежно від типу шкідливої програми з якою Ви зіткнулися: піратський контент, порнографія, помилковий вірус. Щоб додатково налякати жертву, іноді додається IP-адрес, назви Вашого провайдера або навіть фотографія, перехоплена з Вашої вебкамери. При цьому комп'ютер залишається працездатним, але всі файли користувача виявляються недоступними. Інструкцію та пароль для розшифрування файлів зловмисник обіцяє надіслати за гроші. До таких програм-зловмисників належать:
- Trojan-Ransom.Win32.Cryzip
- Trojan-Ransom.Win32.Gpcode
- Trojan-Ransom.Win32.Rector
- Trojan-Ransom.Win32.Xorist і т. д.
Засоби уникнення
Є декілька способів, які допоможуть захистити комп'ютер від здирників та інших шкідливих програм:
- Регулярне оновлення компонентів операційної системи.
- Тримати програмне забезпечення на комп'ютері в актуальному стані, оновлюючи його.
- Тримати увімкненим мережевий екран.
- Не відкривати спам-повідомлення електронної пошти та не відвідувати підозрілі вебсайти.
- Використовувати відомі антивіруси для захисту від шкідливих програм та оновлювати антивірусні бази.
- Перед першим запуском нових програм перевіряти їх антивірусом.
- Періодично виконувати резервне копіювання важливих даних.
Засоби боротьби
Для виявлення і видалення Ransomware треба запустити повне сканування системи з відповідним, до сучасних, рішенням безпеки. Такі продукти Microsoft можуть виявити і видалити цю загрозу:
Історія
Віруси-шантажисти почали заражати користувачів персональних комп'ютерів з травня 2005 року. Відомі такі екземпляри: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Найбільш відомий вірус Gpcode[en] і його варіанти Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Останній примітний тим, що використовує для шифрування файлів алгоритм RSA з 1024-бітовим ключем. У березні 2013 фахівцями компанії Доктор-Веб виявлений шифрувальний ArchiveLock, що атакував користувачів Іспанії та Франції, який для виконання шкідливих дій щодо шифрування файлів використовує легальний архіватор WinRAR[4], а потім після шифрування безповоротно видаляє оригінальні файли та утиліти Sysinternals SDelete[5].
Раптова активізація застосування Ransomware сталася на початку 2016 року: згідно з повідомленнями ФБР жертви атак у США в першому кварталі виплатили нападникам 209 млн доларів порівняно з 25 млн за весь 2015 рік [6].
В липні 2023 року, дослідники комп'ютерної безпеки з FortiGuard Labs опублікували свої висновки щодо трояна-здирника, який заражає пристрої, маскуючи себе під критичні оновлення операційної системи Microsoft Windows. Зловред Big Head виводить фальшивий екран Windows Update (Центр оновлень Windows) і шифрує файли у фоновому режимі. У цей час користувач чекає, поки комп'ютер завершить передбачуване оновлення Windows. Процес займає близько 30 секунд. Існує також інший варіант, варіант B, який використовує файл PowerShell з ім'ям cry.ps1 для шифрування файлів. Цей же шкідник досліджували у Trend Micro. Фірма виявила, що здирник також перевіряє віртуальні середовища, такі як Virtual Box або VMware, і навіть видаляє резервні копії, що робить його досить серйозним[7].
1 травня 2024 року, згідно повідомлення на сайті Міністерства юстиції США, українського хакера Ярослава Васінського було засуджено в США до 13 років та 7 місяців тюремного ув'язнення за кіберзлочини та вимагання на суму 700 млн доларів шляхом проведення понад 2,5 тисячі атак програмою-вимагачем Sodinokibi/REvil. Йому також було призначено штраф у розмірі 16 млн доларів США[8][9].
Див. також
Примітки
|
---|
| Інфекційне шкідливе ПЗ |
|
---|
| Методи приховування |
|
---|
| Шкідливі програми для прибутку |
|
---|
| За операційною системою |
|
---|
| Захист |
|
---|
| Контрзаходи |
|
---|
|