Вредоносные программы, которые шифруют данные жертвы до тех пор, пока не будут выполнены требования вымогателя, представляют собой одну из самых распространенных форм киберпреступности. Количество атак с использованием программ-шантажистов продолжает расти. Сегодня киберпреступники применяют более 50 видов программ-шантажистов, чтобы вымогать деньги у отдельных пользователей и компаний.

Ежедневно предпринимается более 4000 подобных атак, и их количество растет на 300% в год (Symantec, 2016 Internet Security Threat Report, April 2016, https://www.symantec.com/security-center/threat-report). Никто не защищен от программ-шантажистов — они без разбора атакуют крупные, средние и малые компании, правительственные учреждения и отдельных пользователей. Требования таких программ в денежном выражении возросли более чем вдвое в 2016 году по сравнению с 2015 годом (с 294 до 679 долл.), но затраты на устранение ущерба и потери продуктивности значительно выше (Symantec, 2016 Internet Security Threat Report, April 2016, https://www.symantec.com/security-center/threat-report). Поражение программами-шантажистами равноценно катастрофической потере данных; при этом все данные остаются в системах, но уже не могут использоваться.

Компаниям, особенно с ограниченными ресурсами, трудно противостоять угрозе шантажа. Службы резервного копирования и восстановления данных позволяют вернуть данные после атаки, но они не снижают угрозы. Чтобы помешать шантажистам, компаниям необходим всеобъемлющий подход к защите устройств и сетей от вредоносных программ с использованием в качестве страховки резервных копий и аварийного восстановления — последнего надежного решения в случае повреждения данных.

В предлагаемой статье мы подробно рассмотрим проблему программ-шантажистов: методы их работы и приемы, предпринимаемые для повреждения данных, способы снижения уязвимости в отношении атак и то, каким образом можно обрести спокойствие и уверенность в будущем с помощью решений для резервного копирования и восстановления.

Что такое программы-шантажисты

Распознать подобную программу обычному пользователю компьютера или мобильного устройства непросто. Заражение программой-шантажистом обычно начинается, когда конечный пользователь получает письмо по электронной почте из непроверенного источника и открывает зараженное вложение или щелкает по мошеннической веб-ссылке. Фальшивые электронные сообщения часто мастерски выполнены и выглядят как обычная деловая корреспонденция. С помощью компактного инструментария они анализируют локальную систему в поисках уязвимых мест — часто программ сторонних поставщиков, которыми можно воспользоваться для продолжения атаки (см. рисунок).

 

Схема заражения программой-шантажистом
Рисунок. Схема заражения программой-шантажистом

 

В течение последнего десятилетия чаще всего встречаются два типа программ-шантажистов:

  • блокировщики экрана, которые вышли из моды в последние годы, отображают сообщение, занимающее весь экран, и препятствуют доступу к зараженному устройству, если не уплачен выкуп;
  • шифровальщики, которые портят файлы данных; полностью восстановить данные после такой атаки почти невозможно.

Эффективность программ-шантажистов второго типа, которые шифруют каждый файл, который им удается обнаружить на жестком диске, объясняется сложностью расшифровки файлов в отсутствие ключа.

Приведем пример. В CryptoLocker, широко распространенной программе шантажа, используется алгоритм...

Это не вся статья. Полная версия доступна только подписчикам журнала. Пожалуйста, авторизуйтесь либо оформите подписку.
Купить номер с этой статьей в PDF