Несмотря на то, что о проблеме Ransomware (вредоносов-шифровальщиков) написано уже много статей, проблема не теряет актуальности.
Ransomware — тип вредоносного программного обеспечения, которое заражает и блокирует систему, требуя оплату за возвращение доступа к данным. Такое ПО может заразить вашу ОС с помощью злонамеренного загруженного файла, уязвимости в сетевой службе или даже с помощью текстового сообщения.
В отличие от традиционного вредоносного ПО ransomware:
• не крадет информацию жертвы, а шифрует ее;
• требует выкуп, как правило, в Bitcoin;
• относительно легко воспроизводится, т. к. существует масса хорошо задокументированных библиотек шифрования.
Следует отметить, что если вы стали жертвой ransomware, то чаще всего не существует способа вернуть ваши файлы без платежа. Но проблема состоит в том, что даже если вы платите, то, во-первых, вы поощряете злоумышленников, а во-вторых, существует довольно большая вероятность остаться и без денег, и без данных.
Типы ransomware
Блокировщик устройства. Блокирует экран устройства и выводит на него полноэкранное изображение. Сообщение требует оплату. Файлы не шифруются.
Вредонос-шифровальщик. Наиболее известные семейства — Cryptowall, Critroni и TorLocker. Шифровальщики семейства Cryptolocker шифруют файлы документов, электронные таблицы, изображения, видео. После проникновения вредоносное ПО связывается с центром управления, генерирующим ключ шифрования, и шифрует файлы на ПК. После этого вредоносное ПО выводит на экран сообщение, часто от имени правоохранительных органов, запугивая жертвы угрозами наказания и требуя оплату через Bitcoin. Иногда при этом в сообщении угрожают удалить закрытый ключ шифрования, если до крайнего срока пользователь не оплатит требуемую сумму.
TorLocker — коммерческий инструмент, продаваемый на форумах злоумышленников для создания ransomware, своего рода конструктор.
Как распространяется ransomware
Методы проникновения:
• спам и социальная инженерия;
• загрузка с диска или malvertising;
• бот-сети.
Malvertising — метод распространения вредоносного ПО через рекламные сети, не требующий взлома онлайн-ресурса. Принципиальное отличие атак через рекламные сети в том, что злоумышленникам не нужно втираться в доверие к потенциальным жертвам или взламывать популярные сайты. Достаточно найти провайдера рекламы, у которого можно купить просмотры, или стать таким провайдером самому. Всю остальную работу по распространению вредоносного кода сделают механизмы рекламной сети — в итоге доверенный сайт сам загрузит баннер, который содержит вредоносный код, и отобразит его пользователю.
В последнее время жертвами подобной техники стали сотни миллионов пользователей, в том числе посетители таких крупных медиа-сайтов, как NYT, London Stock Exchange, Spotify, USNews, TheOnion, Yahoo!, YouTube. При этом возможности рекламных сетей обеспечивают дополнительную гибкость действий злоумышленников. К примеру, они могут воспользоваться механизмами целевой рекламы, чтобы купить показы для определенной аудитории из нужной им выборки стран.
Использование рекламных сетей для распространения вредоносного ПО и реализации целевых атак затрагивает не только пользователей браузеров. Эта проблема также актуальна для приложений, в которых есть механизм показа рекламы: системы мгновенного обмена сообщениями (к примеру, Skype), почтовые клиенты (Yahoo!) и пр. Дополнительно в круг потенциальных жертв попадает огромное количество пользователей мобильных приложений, которые также используют рекламные сети.
Принципы работы ransomware
Стоит отметить, что разновидности ransomware спроектированы по-разному. Общими чертами являются тайные механизмы запуска, предназначенные для сокрытия от антивирусного обнаружения.
Для понимания того, как работает ransomware, давайте рассмотрим Cryptolocker, который зашифровывает файлы на зараженном компьютере и требует выкуп для расшифровки. Как правило, выплатить выкуп можно в течение 96 часов. Если за это время деньги не перечислены на указанный счет, ключ для расшифровки удаляется и восстановить файлы невозможно.
После того, как CryptoLocker попал в систему, он сканирует компьютер и подключенные сетевые диски для поиска файлов с наиболее распространенными расширениями, например, doc, docx, xls, xlsx, jpg, ppt. Все найденные файлы подходящего формата шифруются открытым ключом, а затем экран блокируется сообщением о необходимости выплаты денег злоумышленникам.
CryptoLocker использует ассиметричное шифрование: файлы зашифровываются открытым криптографическим ключом, а расшифровка происходит закрытым ключом, который хранится на удаленном сервере злоумышленников. Файлы на каждом зараженном компьютере шифруются уникальными ключами. CryptoLocker использует криптостойкий механизм шифрования, который невозможно взломать программами-дешифраторами. Если компьютер уже заражен этим вирусом, восстановить файлы можно только с помощью закрытого ключа.
Любая попытка удалить CryptoLocker или ввести неправильный ключ приведет к уничтожению закрытого ключа, который необходим для расшифровки файлов.
Кто может стать жертвой ransomware
Жертвами ransomware сегодня могут стать не только домашние, но и корпоративные пользователи. Не так давно в Сети промелькнуло сообщение что жертвами данного вида вредоносного ПО стали компьютеры NASA. Всего же только в сентябре 2014 г. жертвами Cryptolocker 2.0 стали порядка 200 тыс. ПК.
Поскольку использование вредоносного ПО Winlock оказалось весьма успешным, принцип его действия был использован для создания соответствующего вредоносного ПО под управлением Android. Принцип действия вымогательства тот же. В определенный момент на экране смартфона жертвы отображается требование мошенников перечислить деньги на счет. В противном случае устройство остается заблокированным.
Пикантность ситуации в том, что мошенники умело запугивают пользователей, отображая текст сообщения на основе геоданных, определяемых по IP-адресу. Абоненты из США увидят баннер с эмблемой FBI и портретом Барака Обамы, застывшего в обличительном жесте. Перед жителями других стран предстанет баннер с символикой местных спецслужб. На детей и даже некоторых взрослых это производит сильное впечатление.
На устройствах с Android вредоносная программа делает невозможным использование домашнего экрана и большинства установленных приложений. Для восстановления функциональности предлагается перечислить деньги через такие платёжные системы, как Paysafecard или Ukash.
Для блокирования смартфонов и планшетов Apple используются методы социальной инженерии и официальный сервис блокировки утерянных гаджетов.
Как предотвратить заражение
Ввиду того, что существует целый ряд технологических ограничений, препятствующих получению пользователями ключей расшифровки, не платя выкуп, лучший способ защититься от ransomware состоит в том, чтобы воспрепятствовать заражению.
Рекомендации для пользователей:
1. Регулярно делайте резервные копии своих данных в облаке или на внешних устройствах. Резервные копии не должны храниться на другом разделе вашего жесткого диска.
2. Не отключайте UAC.
3. Используйте регулярно обновляемое антивирусное ПО.
4. Не загружайте приложения с неизвестных сайтов на ваш смартфон (планшет). Установите антивирусное приложение с функцией блокирования фишинговых сайтов.
5. Не открывайте вложения писем электронной почты, если вы не знаете отправителя. Избегайте сомнительных сайтов.
6. Используйте приложения для блокирования нежелательной рекламы.
7. Используйте антиспамовые фильтры.
8. Если возможно, отключите использование Adobe Flash.
9. Не забудьте о необходимости регулярно обновлять вашу ОС и приложения третьих сторон.
Не стоит забывать, что ransomware — растущая угроза для компаний, и очень часто самым слабым звеном безопасности являются сотрудники, особенно с тенденцией BYOD. Поэтому компаниям также необходимо принять ряд мер.
Рекомендации для компаний:
1. Обучите сотрудников пониманию того, что такое фишинг. Научите их противодействовать фишинговым атакам.
2. Установите, сконфигурируйте и поддерживайте решение по обеспечению безопасности ПК.
3. Используйте политики для блокирования запуска нежелательного ПО.
4. Используйте брандмауэр, чтобы блокировать все входящие соединения к службам, которые не должны быть публично доступными.
5. Удостоверьтесь что пользователи имеют минимально необходимый уровень полномочий.
Автор статьи — Microsoft Most Valuable Professional, Microsoft Security Trusted Advisor.