Ransomware — Вікіпедія

Програма-вимагач, програма-здирник, програма-шантажист (англ. ransomware, ransom — викуп і software — програмне забезпечення) — це тип шкідливої програми, який злочинці встановлюють на комп'ютерах користувачів. Програми, які вимагають викуп, надають злочинцям можливість віддалено заблокувати комп'ютер. Після цього програма відображає спливаюче вікно з повідомленням, що комп'ютер заблокований і що до нього немає доступу, доки не заплатите кошти.

Типи програм-шантажистів[ред. | ред. код]

На даний момент існує кілька кардинально різних підходів у роботі програм-шантажистів:

Шифрування файлів у системі;
Блокування або перешкода роботи в системі;
Блокування або перешкода роботи в браузері.

Спосіб зараження програмами-шантажистами[ред. | ред. код]

Загроза захована усередині іншого файлу або програми, яка виглядає настільки безвинно, що користувач спокійно їх відкриває: вкладення в електронні листи, відео зі сторінок сумнівного походження або навіть системні оновлення від особи надійних програм, таких як Windows або Adobe Flash. Після завантаження на комп'ютер шкідлива програма активується і блокує всю операційну систему, після чого запустить попередження із загрозою і з зазначенням суми викупу, яку треба заплатити за «порятунок» всієї інформації. Ці повідомлення розрізняються залежно від типу шкідливої програми з якою Ви зіткнулися: піратський контент, порнографія, помилковий вірус. Щоб додатково налякати жертву, іноді додається IP-адрес, назви Вашого провайдера або навіть фотографія, перехоплена з Вашої вебкамери. При цьому комп'ютер залишається працездатним, але всі файли користувача виявляються недоступними. Інструкцію та пароль для розшифрування файлів зловмисник обіцяє надіслати за гроші. До таких програм-зловмисників належать:

Trojan-Ransom.Win32.Cryzip
Trojan-Ransom.Win32.Gpcode
Trojan-Ransom.Win32.Rector
Trojan-Ransom.Win32.Xorist і т. д.

Засоби уникнення[ред. | ред. код]

Є декілька способів, які допоможуть захистити комп'ютер від здирників та інших шкідливих програм:

Регулярне оновлення компонентів операційної системи.
Тримати програмне забезпечення на комп'ютері в актуальному стані, оновлюючи його.
Тримати увімкненим мережевий екран.
Не відкривати спам-повідомлення електронної пошти та не відвідувати підозрілі вебсайти.
Використовувати відомі антивіруси для захисту від шкідливих програм та оновлювати антивірусні бази.
Перед першим запуском нових програм перевіряти їх антивірусом.
Періодично виконувати резервне копіювання важливих даних.

Засоби боротьби[ред. | ред. код]

Для виявлення і видалення Ransomware треба запустити повне сканування системи з відповідним, до сучасних, рішенням безпеки. Такі продукти Microsoft можуть виявити і видалити цю загрозу:

Microsoft Security Essentials
Microsoft Safety Scanner^[en]
Windows Defender (деякі Ransomware не дозволять Вам використовувати продукти, зазначені вище, так що Вам можливо доведеться запустити комп'ютер з Windows Defender Offline диску.) Для шкідливих програм, які блокують роботу, використовують також: Лабораторію Касперського^[1], Dr.Web^[2], Eset^[3].

Історія[ред. | ред. код]

Віруси-шантажисти почали заражати користувачів персональних комп'ютерів з травня 2005 року. Відомі такі екземпляри: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Найбільш відомий вірус Gpcode^[en] і його варіанти Gpcode.a, Gpcode.aс, Gpcode.ag, Gpcode.ak. Останній примітний тим, що використовує для шифрування файлів алгоритм RSA з 1024-бітовим ключем. У березні 2013 фахівцями компанії Доктор-Веб виявлений шифрувальний ArchiveLock, що атакував користувачів Іспанії та Франції, який для виконання шкідливих дій щодо шифрування файлів використовує легальний архіватор WinRAR^[4], а потім після шифрування безповоротно видаляє оригінальні файли та утиліти Sysinternals SDelete^[5].

Раптова активізація застосування Ransomware сталася на початку 2016 року: згідно з повідомленнями ФБР жертви атак у США в першому кварталі виплатили нападникам 209 млн доларів порівняно з 25 млн за весь 2015 рік ^[6].

В липні 2023 року, дослідники комп'ютерної безпеки з FortiGuard Labs опублікували свої висновки щодо трояна-здирника, який заражає пристрої, маскуючи себе під критичні оновлення операційної системи Microsoft Windows. Зловред Big Head виводить фальшивий екран Windows Update (Центр оновлень Windows) і шифрує файли у фоновому режимі. У цей час користувач чекає, поки комп'ютер завершить передбачуване оновлення Windows. Процес займає близько 30 секунд. Існує також інший варіант, варіант B, який використовує файл PowerShell з ім'ям cry.ps1 для шифрування файлів. Цей же шкідник досліджували у Trend Micro. Фірма виявила, що здирник також перевіряє віртуальні середовища, такі як Virtual Box або VMware, і навіть видаляє резервні копії, що робить його досить серйозним^[7].

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

↑ http://sms.kaspersky.ru/ [Архівовано 1 червня 2014 у Wayback Machine.] Сервіс розблокування «Лабораторії Касперського»
↑ https://www.drweb.com/xperf/unlocker/ [Архівовано 27 травня 2014 у Wayback Machine.] Сервіс розблокування Dr.Web
↑ http://www.esetnod32.ru/support/winlock/ [Архівовано 17 травня 2014 у Wayback Machine.] Сервіс розблокування Eset
↑ http://www.anti-malware.ru/news/2013-03-15/11370 [Архівовано 2013-06-27 у Wayback Machine.] Шкідливість полягає у шифруванні файлів на комп'ютерах жертв за допомогою WinRAR
↑ Андрій Васильков. Табун інохідців: десять самих оригінальних і популярних троянів сучасності(рус.).http://www.computerra.ru/60550/top-10-trojan-horses/ Комп'ютера. computerra.ru (21 березня 2013). Перевірено 17 травня 2014
↑ Hennigan, W.J.; Bennett, Brian (8 квітня 2016). Criminal hackers now target hospitals, police stations and schools. Los Angeles Times. Архів оригіналу за 8 липня 2016. Процитовано 30 червня 2016.
↑ Програма-вимагач Big Head, схожа на оновлення Windows, може видаляти резервні копії. 10.07.2023

Це незавершена стаття про програмне забезпечення.
Ви можете допомогти проєкту, виправивши або дописавши її.

Портал «Інформаційні технології»

[1] ttp://sms.kaspersky.ru/ [Архівовано 1 червня 2014 у Wayback Machine.] Сервіс розблокування «Лабораторії Касперського»

[2] ttps://www.drweb.com/xperf/unlocker/ [Архівовано 27 травня 2014 у Wayback Machine.] Сервіс розблокування Dr.Web

[3] ttp://www.esetnod32.ru/support/winlock/ [Архівовано 17 травня 2014 у Wayback Machine.] Сервіс розблокування Eset

[4] ttp://www.anti-malware.ru/news/2013-03-15/11370 [Архівовано 2013-06-27 у Wayback Machine.] Шкідливість полягає у шифруванні файлів на комп'ютерах жертв за допомогою WinRAR

[5] Андрій Васильков. Табун інохідців: десять самих оригінальних і популярних троянів сучасності(рус.).http://www.computerra.ru/60550/top-10-trojan-horses/ Комп'ютера. computerra.ru (21 березня 2013). Перевірено 17 травня 2014

[6] Hennigan, W.J.; Bennett, Brian (8 квітня 2016). Criminal hackers now target hospitals, police stations and schools. Los Angeles Times. Архів оригіналу за 8 липня 2016. Процитовано 30 червня 2016.

[7] Програма-вимагач Big Head, схожа на оновлення Windows, може видаляти резервні копії. 10.07.2023

[1]

[2]

[3]

[4]

[5]

[6]

[7]