Программа-вымогатель, программа-шантажист, ransomware (от англ. ransom — выкуп и software — программное обеспечение) — вредоносное программное обеспечение, предназначенное для вымогательства.
Шифрование файлов в системе
К таким программам-мошенникам относятся
Trojan-Ransom.Win32.Cryzip
Trojan-Ransom.Win32.Gpcode
Trojan-Ransom.Win32.Rector
Trojan-Ransom.Win32.Xorist
WannaCry 2.0
Petya
Блокировка или помеха работе в системе
После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью системных функций и прописывается в автозагрузке (в соответствующих ветках системного реестра). При этом на экране пользователь видит какое-либо выдуманное сообщение, к примеру о якобы незаконных действиях, только что совершенных пользователем (даже со ссылками на статьи законов), и требование выкупа, нацеленное на испуг неопытного пользователя — отправить платное СМС, пополнить чей-либо счёт, в том числе анонимным способом вроде BitCoin. Причём трояны этого типа часто не проверяют пароль. При этом компьютер остаётся в рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя. Иногда в вирус все же включают инструменты уничтожения данных, таких как шифрование по ассиметричному ключу, но они либо не срабатывают должным образом, либо имеет место низкоквалифицированная реализация. Известны случаи наличия ключа расшифровки файлов в самом коде трояна, а также технической невозможности расшифровки данных самим взломщиком (несмотря на оплаченный выкуп) по причине отсутствия или утери этого ключа даже у него.
Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами, созданными антивирусными компаниями для разных географических регионов действия троянов и, как правило, доступными свободно.
Способы распространения
Программы, относящиеся к ransomware, технически представляют собой обычный компьютерный вирус или сетевой червь, и заражение происходит точно так же — из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.
Основные пути распространения ransomware:
уязвимости веб-браузеров (эксплойты iframe, XSS и пр.)
уязвимости клиентов электронной почты
уязвимости операционной системы
скачивание вредоносного контента с заражённых веб-сайтов
через ботнет
через игровые серверы (Trojan-Ransom.Win32.CiDox)
Способы борьбы
Общие правила личной информационной дисциплины:
наличие на компьютере антивируса уровня Internet Security со свежими базами
проверка антивирусом всех новых программ перед первым запуском
запуск подозрительных программ в виртуальной среде («безопасная среда», «песочница»), если антивирус предоставляет такую возможность
резервное копирование важных файлов
регулярное обновление компонентов операционной системы (Windows Update)
презумпция виновности и предвзятости ко всем получаемым бинарным файлам любым способом.
В случае когда заражение уже произошло, стоит воспользоваться утилитами и сервисами, которые предоставляют антивирусные компании. Однако устранить заражение без выплаты выкупа удается далеко не всегда
