Вымогатели в сети: Что нужно знать о программах-шифровальщиках?

Всё чаще пользователи становятся жертвами программ-шифровальщиков, которые шифруют файлы на пользовательском компьютере и впоследствии требуют выкуп за дешифровку. При этом оплата киберпреступникам — не выход, так как нет никакой гарантии, что они дешифруют файлы или не займутся повторным вымогательством.
В большинстве случаев заражение происходит по электронной почте в виде вложения от незнакомого человека или от имени известной компании. Ложные письма, как показывает практика, приходят с заголовком вида: «Вам пришли документы, утерянные при пересылке», «Администрация сайта просит предоставить…», «Проверка регистрационных данных» и прочее. К письму прилагаются файлы, после открытия которых моментально запускается программа-шифровальщик. Именно она незаметно для пользователя шифрует файлы на всех дисках.

фантомас

За 2014 год, по подсчётам Kaspersky Lab, пользователи столкнулись с более чем 7 млн попыток подобных атак.

Полбеды, если объектом атаки будут личные фотографии с отпуска или нелегально скачанное видео. Масштаб угрозы увеличивается в разы, если злоумышленники шифруют файлы, жизненно важные для функционирования информационной системы или предприятия в целом. Зашифрованные с использованием криптостойкого алгоритма файлы восстановить уже почти невозможно. Но это не значит, что с этой угрозой нельзя бороться при помощи превентивных мер. О том, как работают программы-вымогатели, сколько злоумышленники зарабатывают на одном файле, что делать, если файлы уже зашифрованы и можно ли их дешифровать — специально для UBR.ua рассказывал Артём Семенченко, вирусный аналитик Kaspersky Lab:

Как «подхватить» шифровальщика-вымогателя

Если составлять «хит-парад» способов распространения шифровальщиков под платформу Windows, то выглядеть он будет следующим образом.

    • На первом месте и с большим отрывом находится атака через электронную почту. Причём в письме может содержаться как сам вредоносный объект в виде почтового вложения, так и гиперссылка на него. Часто злоумышленники используют тактику успокаивающих слов и антивирусных брендов в названии файла: «OK», «checked», «verified», «проверено антивирусом». Ещё одной особенностью этого способа атаки является использование расширений файлов, которые у простых пользователей не ассоциируются с исполняемыми файлами: scr, js, cmd, com, bat.
    • На втором месте находится атака через RDP (протокол удалённого управления компьютером). Этой атаке чаще всего подвергаются серверы организаций со слабой парольной политикой.
    • На третьем месте находится так называемая Drive-By загрузка, когда инфицирование происходит через эксплуатацию уязвимости в каком-либо популярном плагине к браузеру. Самыми популярными на данный момент являются JAVA и Adobe Flash Player. Особая опасность этого способа в том, что злоумышленнику не приходится «убеждать» пользователя запускать какие-либо файлы. Ему достаточно того, чтобы пользователь с уязвимым плагином просто зашел на сайт. Дальше всё происходит автоматически – без какого-либо участия пользователя. К счастью, такой способ на данный момент самый редкий.