Що таке Ransomware?

Один з найновіших типів шкідливих програм відомий як програми-вимагачі. Програми-вимагачі є особливо неприємним типом зловмисного програмного забезпечення, оскільки воно проходить і шифрує кожен файл на вашому комп’ютері, а потім показує вам записку про викуп. Щоб розблокувати пристрій, потрібно заплатити викуп, щоб потім отримати код розблокування. Історично більшість кампаній із програмним забезпеченням-викупом фактично розшифровують файли після сплати викупу, оскільки реклама хакерів, які дотримуються своєї угоди, є важливою частиною переконання людей платити.

Примітка. Зазвичай не рекомендується платити викуп. Це продовжує доводити, що програми-вимагачі можуть бути прибутковими, але це також не гарантує, що ви знову отримаєте доступ до своїх даних.  

Порада: Шифрування – це процес скремблування даних за допомогою шифру та ключа шифрування. Зашифровані дані можна розшифрувати лише за допомогою ключа дешифрування.

Як це працює?

Як і будь-яке зловмисне програмне забезпечення, програмне забезпечення-вимагач має потрапити на ваш комп’ютер для запуску. Існує багато потенційних методів зараження, але одними з найпоширеніших є заражені завантаження на веб-сторінках, зловмисна реклама та шкідливі вкладення електронної пошти.

Порада: зловживання — це практика доставки шкідливого програмного забезпечення через рекламні мережі.

Після завантаження на ваш комп’ютер програма-вимагач почне шифрувати файли у фоновому режимі. Деякі варіанти зроблять це якомога швидше, ви можете помітити, що це впливає на продуктивність вашої системи, але потім у вас буде мало часу, щоб щось зробити з цим. Деякі варіанти програм-вимагачів будуть шифрувати дані повільно, щоб зменшити ймовірність того, що вони будуть помічені в дії. Кілька варіантів програм-вимагачів залишаються бездіяльними протягом тижнів або місяців, щоб бути включені в будь-які резервні копії, які можна було б використати для відновлення системи.

Порада. Програми-вимагачі зазвичай уникають шифрування критичних системних файлів. Windows повинна працювати, але всі особисті файли тощо будуть зашифровані.

Після того, як програмне забезпечення-викуп зашифрує все на комп’ютері, його завершальною дією є створення записки про викуп, як правило, на робочому столі. Записка про викуп зазвичай пояснює, що сталося, містить інструкції щодо того, як сплатити викуп і що станеться, якщо ви цього не зробите. Зазвичай також встановлюється часовий ліміт із загрозою підвищення ціни або видаленням ключа, який використовується для спонукання людей платити.

У ряді варіантів програм-вимагачів передбачена функція, яка дозволяє розшифрувати невелику кількість файлів як жест «доброї волі», щоб довести, що ваші файли можна розшифрувати. Зазвичай способом оплати буде біткойн або інші криптовалюти. Записка про викуп зазвичай містить ряд посилань на сайти, де ви можете купити відповідні криптовалюти, щоб людям було легше їх платити.

Після того, як ви надасте платіж або іноді підтвердження платежу, зазвичай вам буде надано ключ дешифрування, який ви можете використовувати для розшифрування своїх даних. На жаль, є варіанти, які ніколи не розшифровують, навіть якщо ви платите –  іншими словами, ви повинні НЕ платити, а шукати інші рішення.

Процес шифрування на вашому комп’ютері зазвичай виконується за допомогою випадково згенерованого симетричного ключа шифрування. Цей ключ шифрування потім шифрується асиметричним ключем шифрування, для якого розробник програм-вимагачів має відповідний ключ дешифрування. Це означає, що лише розробник програм-вимагачів може розшифрувати пароль, потрібний для розшифрування вашого комп’ютера.

Порада: є два типи алгоритмів шифрування: симетричний кінець, асиметричний. Симетричне шифрування використовує один ключ шифрування як для шифрування, так і для дешифрування даних, тоді як асиметричне шифрування використовує інший ключ для шифрування та дешифрування даних. Асиметричне шифрування дозволяє одній людині надати кільком людям однаковий ключ шифрування, зберігаючи при цьому єдиний ключ дешифрування.

Деякі варіанти програм-вимагачів також містять функції підтримки, які дозволяють зв’язатися з особою, яка здійснює шахрайство. Це створено для того, щоб допомогти вам пройти процес оплати, однак деякі люди успішно використовували його, щоб спробувати знизити ціну.

Порада. У деяких випадках програмне забезпечення-вимагач буде розгорнуто як вторинна інфекція, щоб спробувати приховати існування іншого вірусу, який, можливо, таємно викрадав інші дані. Намір у цьому випадку в першу чергу полягає в тому, щоб зашифрувати файли журналів і ускладнити реагування на інцидент і процес криміналістики. Цей тип атаки, як правило, використовується лише для високоцільових атак на підприємства, а не на звичайних користувачів комп’ютерів.

Як захистити себе

Ви можете зменшити ймовірність зараження програм-вимагачів та інших шкідливих програм, будьте обережні в Інтернеті. Ви не повинні відкривати вкладення електронної пошти, яких ви не очікували, навіть якщо ви довіряєте відправнику. Ніколи не вмикайте макроси в офісних документах, особливо якщо документ завантажено з Інтернету. Макроси офісних документів є поширеним способом зараження.

Блокувальник реклами, такий як uBlock Origin, може бути хорошим інструментом для захисту від зловмисної реклами. Ви також повинні переконатися, що ви завантажуєте файли лише з законних і надійних веб-сайтів, оскільки шкідливі програми часто можуть бути приховані в заражених завантаженнях, маскуючись під безкоштовні версії платного програмного забезпечення.

Наявність і використання антивірусного або антишкідливого програмного забезпечення, як правило, є гарним захистом від шкідливих програм, яким вдається подолати вашу першу лінію захисту.

Допоможіть, я заражений!

Якщо ви все-таки опинитеся в положенні, що програмне забезпечення-вимагач заволоділо вашим комп’ютером, ви можете безкоштовно розблокувати його. Чимала кількість схем програм-вимагачів були погано розроблені та/або вже знищені правоохоронними органами.

У цих випадках можливо, що головний ключ дешифрування ідентифікований і доступний. EC3 (Європейський центр кіберзлочинності) Європолу має інструмент під назвою « Crypto Sheriff », за допомогою якого можна визначити тип програмного забезпечення-вимагача, а потім зв’язати вас із правильним інструментом дешифрування, якщо він існує.

Одним із найкращих засобів захисту від програм-вимагачів є хороші резервні копії. Ці резервні копії слід зберігати на жорсткому диску, не підключеному до комп’ютера чи тієї самої мережі, що й комп’ютер, щоб запобігти їхньому зараженню. Резервну копію потрібно підключати до ураженого комп’ютера лише після видалення програм-вимагачів, інакше воно також буде зашифровано.