Одним из направлений развития вредоносных программ сегодня является программное обеспечение, блокирующее работу персонального компьютера, смартфона или планшета, обозначаемое термином ransomware. Если рассматривать его историю, то первыми видами таких программ были блокировщики браузеров. В дальнейшем развитие направления блокировки работы привело к появлению различного рода вредоносных шифровальщиков данных. Вначале это были программы для компьютеров под управлением Windows, затем для операционных систем Linux и Android, а теперь уже и для Mac. Фактически цикл развития данной «особи» завершен. В дальнейшем будут, вероятнее всего, совершенствоваться методы заражения и увеличиваться длина ключа шифрования.

Однако самыми опасными, на мой взгляд, являются программы типа Ransomware, реализованные в виде службы. Это происходит, когда разработчики соответствующего вредоносного программного обеспечения просто сдают его в аренду и сами практически не «светятся», а сосредоточиваются на разработке новых версий и новых методов заражения. Мало того, отследить такие группы разработчиков практически невозможно, ведь они мало контактируют с внешним миром. С другой стороны, резко увеличивается возможность заражения, ведь атаку на пользователей ведет множество групп подписавшихся на эту службу дилетантов, причем она продолжается ограниченное время. Следовательно, обнаружить подобную атаку бывает достаточно сложно, ведь при следующей попытке вредоносное программное обеспечение, скорее всего, будет уже модифицировано.

Что можно предпринять?

  1. Универсальным советом по преодолению последствий атаки Ransomware, как и других, является создание резервных копий ваших данных на внешних носителях, подключаемых только на период создания копии. Говорят о таком способе противодействия достаточно давно, но, увы, особенно в среде пользователей персональных компьютеров резервное копирование так и не получило широкого распространения. Проблемой резервного копирования в «облачное» хранилище является в данном случае то, что «облачное» хранилище, как правило, подключено постоянно, следовательно, данные в нем могут быть также заражены и зашифрованы.
  2. Обновление операционной системы и приложений, безусловно, поможет уменьшить вероятность заражения. Для этого необходимо вовремя обновлять операционную систему компьютера и приложения. В то же время, ввиду ухудшения качества обновлений, необходимо перед обновлением выполнять создание контрольной точки или опять-таки делать полную резервную копию компьютера. Не забудьте, что обновлять нужно не только операционную систему и приложения от Microsoft, но и приложения независимых разработчиков, в которых также могут быть уязвимые места.
  3. Никогда не запускайте приложения, полученные из неизвестных источников. Как можно внимательнее отнеситесь к получаемым сообщениям электронной почты. Никогда не запускайте приложение и не щелкайте по ссылке в письме, особенно если не уверены в источнике. Не постесняйтесь переспросить отправителя, если письмо пришло из известного источника, на что именно он хотел обратить ваше внимание, что это за ссылка у него в письме.
  4. Регулярно обновляйте антивирус. Хотя этот совет вы слышите очень часто, все же не забудьте обновить свой антивирус. И никогда не пользуйтесь взломанным антивирусом, поскольку неизвестно, в какой момент он откажет. Уж лучше используйте бесплатную версию.

Ransomware для Android

По данным Kaspersky Lab, в 2015 году, по сравнению с 2014 годом, количество обнаруженных семейств класса Trojan-Ransom удвоилось. Количество обнаруженных модификаций за этот же период выросло в 3,5 раза. Что это означает? Злоумышленники переключаются на выманивание денег у пользователей с помощью троянцев-вымогателей, продолжая активно создавать новые модификации вредоносных программ. Актуальность угроз подтверждается количеством атакованных пользователей. За 2015 год этот показатель вырос более чем в пять раз.

За разблокировку устройства пользователям предлагается заплатить от 12 до 100 и более долларов (см. экран). Заблокированным устройством пользоваться невозможно. Некоторые программы умеют перекрывать даже системные диалоги (например, выключение телефона).

 

Окно, которое открывает троянец Fusob
Экран. Окно, которое открывает троянец Fusob

Однако самым важным событием 2015 года стало появление программ семейства Trojan-Downloader, которые в основном загружали в систему троянца-вымогателя Trojan-Ransom.AndroidOS.Pletor. Особенностью этих троянцев-загрузчиков стало то, что они используют уязвимые места в системе, чтобы получить права суперпользователя на устройстве и установить Trojan-Ransom в системную папку. После этого установленный троянец практически невозможно удалить.

Ransomware для Mac

В 2016 году программы типа Ransomware добрались до компьютеров Apple. Вымогатель шифрует файлы, а затем требует выкуп в 400 долл. для восстановления доступа к данным. О том, что компьютеры Mac были атакованы 28 февраля 2016 года, сообщало, например, агентство Reuters со ссылкой на представителей компании Palo Alto Networks. По словам директора компании Palo Alto Threat Intelligence Райана Олсона, вирус под названием KeRanger стал первым в своем роде вирусом, заразившим компьютеры Mac от Apple. Злоумышленники смогли заразить компьютеры Mac через вредоносную копию популярной программы Transmission. Пользователи загружали версию 2.90 этой программы, и таким образом заражали свои компьютеры.

Представитель Apple заявил агентству, что компания незамедлительно приняла меры для предотвращения дальнейшего распространения вируса, аннулировав цифровой сертификат, который позволял мошенникам устанавливать программы на Mac. Другие подробности он сообщить отказался.

Как мы видим, атаки Ransomware принесли такую выгоду создателям этой программы, что в дальнейшем стоит ожидать лишь увеличения числа подобных атак. Тем более что занимающиеся борьбой с этим явлением представители спецслужб рекомендовали платить, мотивируя это тем, что таким образом пользователи смогут получить доступ к своим данным за минимальное время. С другой стороны, мне кажется, что, выплачивая деньги злоумышленникам, мы лишь поддерживаем их деятельность. Решение, одновременно простое и сложное, как я уже неоднократно говорил, состоит лишь в создании резервных копий на внешних отчуждаемых носителях.