Вымогательское ПО (Ransomware)

Вымогательское ПО (ransomware) — разновидность вредоносного программного обеспечения, которое шифрует файлы на компьютере или в сети жертвы, делая их недоступными. Злоумышленники требуют выкуп — почти всегда в криптовалюте — в обмен на ключ расшифровки.

Как работает ransomware

1. Вредонос попадает на устройство через фишинговое письмо, вредоносную ссылку или уязвимость в ПО
2. Шифрует файлы на локальной машине и подключённых сетевых дисках
3. Появляется записка с требованием перевести криптовалюту на указанный адрес
4. Жертва отправляет криптовалюту на кошелёк злоумышленника
5. Злоумышленник (в идеале) предоставляет ключ расшифровки

Почему используется криптовалюта

• Необратимость — криптотранзакции нельзя отменить, в отличие от банковских переводов
• Анонимность — адрес кошелька создаётся без верификации личности
• Трансграничность — средства переводятся глобально без участия банков и регуляторов
• Запутывание следов — злоумышленники используют миксеры и приватные монеты (Monero), чтобы скрыть движение денег

Биткоин — наиболее распространённая валюта для выкупа, однако Monero всё чаще предпочитают продвинутые атакующие из-за более высокой конфиденциальности.

Известные атаки

• WannaCry (2017) — заразил 200 000+ компьютеров в 150 странах, требовал Bitcoin
• Colonial Pipeline (2021) — парализовал топливную инфраструктуру США; выплачено $4,4 млн в Bitcoin, большую часть ФБР позднее вернуло

Защита

• Регулярные резервные копии, хранящиеся в офлайне
• Своевременное обновление ПО и установка патчей безопасности
• Многофакторная аутентификация
• Обучение сотрудников распознаванию фишинга
• Сегментация сети для ограничения горизонтального распространения атаки

Смотрите также

• Фишинг
• Приватный ключ
• Открытый исходный код