Програма-вимагач (Ransomware)

Програма-вимагач (ransomware) — різновид шкідливого програмного забезпечення, яке шифрує файли на комп'ютері або в мережі жертви, роблячи їх недоступними. Зловмисники вимагають викуп — майже завжди в криптовалюті — в обмін на ключ розшифровки.

Як працює ransomware

1. Шкідливе ПЗ потрапляє на пристрій через фішинговий лист, шкідливе посилання або вразливість у ПЗ
2. Шифрує файли на локальній машині та підключених мережевих дисках
3. З'являється записка з вимогою перевести криптовалюту на вказану адресу
4. Жертва відправляє криптовалюту на гаманець зловмисника
5. Зловмисник (в ідеалі) надає ключ розшифровки

Чому використовується криптовалюта

• Необоротність — криптотранзакції не можна скасувати, на відміну від банківських переказів
• Анонімність — адреса гаманця створюється без верифікації особи
• Трансграничність — кошти переводяться глобально без участі банків і регуляторів
• Заплутування слідів — зловмисники використовують міксери та приватні монети (Monero), щоб приховати рух грошей

Біткоїн — найбільш поширена валюта для викупу, однак Monero все частіше обирають просунуті атакуючі через вищу конфіденційність.

Відомі атаки

• WannaCry (2017) — заразив 200 000+ комп'ютерів у 150 країнах, вимагав Bitcoin
• Colonial Pipeline (2021) — паралізував паливну інфраструктуру США; виплачено $4,4 млн у Bitcoin, більшу частину ФБР пізніше повернуло

Захист

• Регулярні резервні копії, що зберігаються в офлайні
• Своєчасне оновлення ПЗ та встановлення патчів безпеки
• Багатофакторна аутентифікація
• Навчання співробітників розпізнаванню фішингу
• Сегментація мережі для обмеження горизонтального поширення атаки

Дивіться також

• Фішинг
• Приватний ключ
• Відкритий вихідний код