Шифровальщики (английское название – Ransomware) – это тип вредоносных программ, которые блокируют доступ пользователей к компьютерным системам и шифруют файлы, предоставляя злоумышленникам контроль над любой персональной информацией, хранящейся на устройствах жертв. Затем кибер-преступники угрожают жертвам оставить заблокированным доступ к их файлам / компьютеру или раскрыть их конфиденциальные данные, если они не заплатят выкуп (в английском языке слово «выкуп» обозначает «ransom» - вот откуда пошло название данного типа угроз).


Как работают шифровальщики?

Отличительной особенностью шифровальщиков является то, что они используются в качестве инструмента вымогательства, и существует множество способов, как кибер-преступники используют этот тип вредоносных программ для получения доступа к устройствам жертв. Одним из наиболее распространенных способов доставки шифровальщиков до своих потенциальных жертв являются фишинговые почтовые кампании – жертвам отправляются электронные письма якобы из известных им и надежных источников, которые на самом деле содержат вредоносные вложения, при запуске которых компьютер заражается.

После успешного захвата контроля над компьютером жертвы злоумышленники продолжают шифровать некоторые или все файлы пользователя, например, документы Word, PDF-файлы, изображения, базы данных и так далее. Шифровальщики также могут распространиться и на другие устройства, подключенные к компьютерной сети жертвы, чтобы заразить другие компьютеры или даже всю организацию, если компьютер жертвы находится в корпоративной сети.

В конце процесса злоумышленник отправляет жертве сообщение с объяснением того, что их файлы теперь взломаны и зашифрованы, и они могут быть расшифрованы только в том случае, если будет выплачен выкуп. Выкуп чаще всего запрашивается в виде неотслеживаемого биткойн-платежа, который должен быть выплачен злоумышленнику.

Кто является целью для шифровальщиков?

Целями шифровальщиков могут быть отдельные домашние пользователи, предприятия малого и среднего бизнеса или крупные корпорации. То, как преступники выбирают свои цели, обычно сводится к вопросу о возможностях. Например, они могут преследовать организации с небольшими ИТ-отделами, такими как учебные заведения, из-за их более слабой защиты и высокого уровня обмена файлами.


Другой распространенной целью являются организации, которые с большей вероятностью своевременно заплатят выкуп. Правительственные учреждения, банки, юридические фирмы и медицинские учреждения – все они попадают в эту категорию, поскольку им, скорее всего, потребуется немедленный доступ к конфиденциальным файлам клиентов, и они будут в большей степени готовы быстро заплатить выкуп, если это позволит скрыть новость о нарушении безопасности такой организации.

Наконец, преступники часто нацеливаются на крупные корпорации в надежде получить более крупную выплату. Атаки шифровальщиков в этой категории обычно нацелены на предприятия в Великобритании, США и Канаде из-за более высокого уровня жизни и большого объема использования персональных компьютеров.

Типы шифровальщиков

Хотя существует бесчисленное множество разновидностей шифровальщиков, большинство атак подпадают под две основные категории: крипто-шифровальщики (crypto ransomware) и локер-шифровальщики (locker ransomware).

  • Крипто-шифровальщики шифруют важные и конфиденциальные файлы на компьютере жертвы и запрашивают выкуп для восстановления доступа к файлам.
  • Локер-шифровальщики не шифруют файлы. Вместо этого они нарушают основные функции компьютера и полностью блокируют доступ жертвы к своему устройству до тех пор, пока не будет выплачен выкуп.

Серьезность угрозы, создаваемой атакой шифровальщиков, будет зависеть от используемого варианта шифровальщика, а методы устранения будут отличаться в зависимости от типа вредоносного ПО.

Примеры шифровальщиков

Хотя шифровальщики существуют уже несколько десятилетий, за последние пять лет они получили стремительное развитие благодаря растущей доступности неотслеживаемых способов оплаты, таких как биткойн (Bitcoin). Вот некоторые из самых ужасных шифровальщиков на сегодняшний день.


1. CryptoLocker

CryptoLocker был одной из первых широко распространенных атак шифровальщиков, в которых использовалось шифрование с открытым ключом. Эта атака 2013 года привела в движение современную эпоху шифровальщиков и поставила под угрозу до 500 000 машин в период с 2013 по 2014 год. Оплата требовалась в виде биткоина или предоплаченного ваучера, и в то время эксперты считали, что используемое вредоносное ПО было «непробиваемым».

Но в 2014 году одна из компаний в сфере безопасности, наконец, получила доступ к серверу, участвовавшему в атаке, и успешно восстановила хранившиеся ключи шифрования. Хотя злоумышленникам все равно удалось заполучить около 3 миллионов долларов, прежде чем они были закрыты.

2.WannaCry

В 2017 году атака WannaCry распространилась более чем в 150 странах, и она была нацелена на уязвимости безопасности в программном обеспечении Windows. Атака заразила 230 000 устройств по всему миру, заблокировав доступ пользователей к их компьютерам до тех пор, пока не будет выплачен выкуп в биткоинах.

Атака WannaCry осуществлялась путем использования уязвимости в операционной системе, которая, как было установлено позже, была известна задолго до атаки. Это событие в конечном итоге пролило свет на проблему устаревших систем безопасности. Во всем мире WannaCry привела к финансовым потерям в среднем на 4 миллиарда долларов.

3. NotPetya

NotPetya был глобальной атакой 2017 года, которая в первую очередь была нацелена на Украину. Первоначально считалось, что это новый штамм шифровальщика Petya – разновидность вредоносного ПО, которое заражает компьютер, шифрует его данные и требует выкуп в биткоинах для восстановления файлов. Однако позже NotPetya была признана совершенно новой разновидностью шифровальщиков, известной как wiper, единственной целью которой является уничтожение скомпрометированных данных вместо их возврата за выкуп.

4. BadRabbit

BadRabbit был штаммом шифровальщиков, которые заразили медиа-компании в России и Восточной Европе в 2019 году. Атака была проведена путем распространения поддельного обновления Adobe Flash, которое заражало устройства жертв при загрузке, направляя их на платежную страницу, где требовался выкуп в биткоинах. В отличие от атаки NotPetya, атака BadRabbit позволила расшифровать файлы, если был получен выкуп.

Как защитить себя от шифровальщиков

Как и в случае с любой угрозой информационной безопасности, методы профилактики почти всегда лучше, чем поиск лекарства, когда уже слишком поздно. Следуйте приведенным ниже рекомендациям по предотвращению угрозы, чтобы снизить вероятность нападения.

  • Делайте резервные копии ваших данных: лучший способ избежать блокировки доступа к вашим конфиденциальным файлам – это проявлять бдительность и периодически делать резервные копии ваших данных. Лучше всего их хранить в облаке или на внешнем жестком диске (желательно, чтобы он не был подключен к компьютеру или сети). Если вы все же подвергнетесь атаке, вы сможете просто очистить свое устройство и достать файлы из резервной копии.
  • Защитите вашу электронную почту: фишинговые почтовые кампании являются одним из наиболее распространенных способов «доставки» программ-шифровальщиков на компьютер потенциальной жертвы, поэтому защита вашей электронной почты имеет решающее значение. На уровне организации такая защита почтовых ящиков ваших сотрудников позволит заранее распознавать подозрительные электронные письма, чтобы попытаться остановить атаку до того момента, как она причинит какой-либо ущерб.
  • Регулярно обновляйте ваши системы: регулярное обновление вашего программного обеспечения является одним из самых простых способов предотвращения любых кибер-атак. Каждое доступное обновление программного обеспечения устраняет вновь обнаруженные уязвимости в системе безопасности, затрудняя злоумышленникам использование уязвимостей в устаревшем (необновленном) программном обеспечении.
  • Никогда не переходите по подозрительным ссылкам: будь то вложение в электронном письме или ссылка, найденная в Интернете, никогда не переходите по ссылкам в спам-сообщениях или на неизвестных веб-сайтах. Простое нажатие на вредоносную ссылку может инициировать автоматическую загрузку каких-либо процессов или файлов, способных немедленно заразить ваш компьютер.
  • Не разглашайте персональную информацию: никогда не отвечайте на электронные письма или текстовые сообщения от неизвестного источника, запрашивающие личную информацию, даже если они утверждают, что вы им доверяете.
  • Используйте программное обеспечение безопасности: Установка надежного антивируса – один из самых простых способов обеспечить безопасность ваших данных. Чтобы усилить защиту, выберите тот, который предлагает больше, чем просто функции антивируса - некоторые из них имеют кроссплатформенные возможности обнаружения угроз на различных операционных системах, которые могут обеспечить безопасность всех ваших устройств.

Как реагировать на атаку шифровальщиков

Если вы подверглись атаке шифровальщиков, время имеет решающее значение, и важно действовать как можно быстрее. Есть несколько шагов, которые вы можете предпринять, чтобы минимизировать ущерб и, надеюсь, быстро оправиться от атаки.

  • Изолируйте зараженное устройство: для обеспечения безопасности вашей сети, сетевых дисков и других устройств крайне важно как можно скорее отключить пораженное устройство от сети. Это может предотвратить заражение других подключенных устройств.
  • Проверьте все другие подключенные устройства: изоляция зараженного устройства не всегда гарантирует, что шифровальщики не попали на другие объекты вашей компьютерной сети. Чтобы предотвратить распространение шифровальщика, проверьте все другие подключенные устройства и отключите все те, что ведут себя подозрительно.
  • Сообщите в полицию: вымогательство – это преступление, как и любое другое, о котором следует сообщать в правоохранительные органы. Полиция может иметь доступ к инструментам, которые смогут помочь восстановить украденные данные и найти злоумышленников.

Можно ли удалить шифровальщика?

Удаление программ-шифровальщиков зависит от типа шифровальщика, с которыми вы имеете дело, а также вам потребуется программное обеспечение безопасности, уже установленное до атаки, но в некоторых случаях удаление возможно. Вот что вы можете сделать:

  • Как можно скорее отключите зараженное устройство от Интернета, чтобы предотвратить распространение программы-шифровальщика.
  • Выполните антивирусную проверку на наличие вредоносных файлов и удалите их с помощью антивируса. Если вы стали жертвой шифровальщика и у вас уже зашифрованы файлы или имеется блокировка экрана, то это может оказаться невозможным.
  • Восстановите доступ к своим данным с помощью средства расшифровки, которое может содержаться в вашем антивирусе. Этот шаг будет зависеть от того, какой именно антивирус вы используете.
  • Восстановите пострадавшие файлы, если у вас есть внешняя резервная копия эти данных.

Если вы не можете выполнить описанные выше действия, единственный оставшийся вариант - сбросить настройки компьютера до заводских (возможно, полная переустановка операционной системы с форматированием диска). Для получения дополнительной помощи лучше всего обратиться в техническую поддержку вашего устройства.

Шифровальщики представляют значительную угрозу как для домашних пользователей, так и для компаний, а злоумышленники, в свою очередь, проводят все более изощренные атаки по мере развития технологий. Когда дело доходит до собственной защиты, то профилактика почти всегда лучше, чем лечение после атаки – это означает, что для предотвращения атаки необходимо изучить программы-шифровальщики и способы безопасного использования ваших устройств. Для повышения безопасности убедитесь, что на всех ваших устройствах установлено антивирусное программное обеспечение, чтобы снизить вероятность заражения.