Механизм заражения
Вредоносный код попадает на устройство несколькими путями. Самый распространенный — фишинговые письма.
Второй вектор — эксплуатация уязвимостей. Злоумышленники сканируют Интернет в поисках устаревших версий программ с пробелами в безопасности. Если компания не обновила систему, атакующие получают доступ без участия пользователя.
Третий способ — вредоносная реклама на легитимных сайтах. Достаточно посетить страницу, чтобы запустился процесс заражения.
Четвертый канал — взломанное программное обеспечение. Пользователи скачивают пиратские версии популярных программ с торрент-трекеров, содержащие шифровальщик.
Этапы атаки
После проникновения программа-вымогатель действует по отработанному сценарию.
Закрепление в системе. Вирус прописывается в автозагрузку, создает копии в разных папках, отключает антивирус и систему восстановления. Задача — остаться незамеченным как можно дольше и обеспечить себе выживание даже при попытке удаления.
Разведка. Программа сканирует файловую систему, определяет ценные документы, базы данных, фотографии, архивы. Современные версии также ищут резервные копии и удаляют их, затрудняя восстановление.
Шифрование. Используются стойкие криптографические алгоритмы — AES-256 или RSA-2048. Программа генерирует уникальный ключ для каждой жертвы. Файлы шифруются один за другим, расширения меняются на специфические для конкретного семейства вымогателей: .locked, .crypted, .enc.
Требование выкупа. На рабочем столе появляется текстовый файл или HTML-страница с инструкциями. Злоумышленники требуют оплату в криптовалюте. Указываются адрес кошелька, сумма выкупа и срок.
Типы программ-вымогателей
Шифровальщики блокируют доступ к файлам. Данные физически остаются на диске, но открыть их невозможно без ключа. Это наиболее опасный и распространенный тип. Примеры: WannaCry, Petya, Ryuk, LockBit.
Блокировщики не шифруют файлы, а просто не дают пользоваться компьютером. На экран выводится сообщение, которое нельзя закрыть стандартными средствами. Часто имитируется уведомление от правоохранительных органов с требованием заплатить штраф.
Модель бизнеса
Программы-вымогатели превратились в услугу. Модель Ransomware-as-a-Service позволяет любому желающему арендовать готовое вредоносное ПО. Разработчики получают процент от выкупа, обычно 20–30%.
Крупные группировки работают как ИТ-компании. У них есть служба поддержки, которая консультирует подвергшихся атаке по процессу оплаты. Некоторые предлагают расшифровать несколько файлов бесплатно в качестве доказательства наличия ключа.
Двойное вымогательство
Перед шифрованием злоумышленники копируют конфиденциальные данные на свои серверы. Если жертва отказывается платить, информация публикуется в открытом доступе или продается конкурентам.
Создаются специальные сайты утечек, где размещаются украденные документы. Публикация происходит поэтапно: сначала небольшая часть как предупреждение, затем полный дамп.
Защита от атак
Базовая гигиена безопасности снижает риски на 90 %.
Резервное копирование. Нужны регулярные бэкапы на отдельные носители, физически отключенные от сети. Применяйте правило 3-2-1: три копии данных на двух разных типах носителей, одна из которых хранится вне офиса.
Обновления. Следует своевременно устанавливать патчи для операционной системы и всех программ. Большинство атак эксплуатируют уязвимости, закрытые несколько месяцев назад.
Ограничение прав. Пользователи работают с минимально необходимыми привилегиями. Это не позволит вредоносному ПО распространиться по всей сети.
Обучение сотрудников. Умение распознавать фишинг и подозрительные вложения необходимо. Человеческий фактор остается слабым звеном.
Платить выкуп не рекомендуется. Нет гарантий получения ключа, а оплата финансирует дальнейшие атаки.