Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder)

Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder) появились еще в 2005 году вместе с вымогателями. Сейчас шифровальщики обладают более качественным кодом, более серьезными и сложными методами шифрования и представляют более серьезную опасность, чем раньше. Шифровальщики после того как попадут в систему зашифровывают все или часть файлов на жестком диске, требуя за ключ или программы-декриптор выкуп. Многие создатели шифровальщиков используют для оплаты Bitcoin, чтобы их было сложнее найти. В 2016 был замечен огромный всплеск активности таких вирусов, даже Лаборатория Касперского назвала шифровальщики главной темой в информационной безопасности 2016 года.

Классификация вирусов-шифровальщиков

Шифровальщики – это один из видов вредоносов. Распространяются они также:  фишинговая или спам-рассылка, зараженный файл, недоверительный сервис-файлообменник, и т.д. После зашифровки, вирус-шифровальщик (virus-encoder) оставляет инструкцию в виде фона рабочего стола, либо как текстовый документ readme на рабочем столе, или в каждой папке с зашифрованными файлами.

Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder)

После оплаты выкупа пользователь получает более подробные инструкции по расшифровке файлов, либо специальный декриптор. В среднем, шифровальщики требуют за разблокировку $300, но не все из них действительно расшифровывают файлы после оплаты. Больше всего шифровальщиков написаны для операционных систем Windows и Android, хотя существуют шифровальщики и для macOS или Linux.

Объект воздействия вирусов-шифровальщиков

Основная цель шифровальщика - «вытянуть» деньги из жертвы. Вирус-шифровальщик подобен пожару, его легче предупредить, чем «потушить»:

  1. Делайте резервные копии важных файлов. Лучше, если он будет хранится в облачном хранилище или на внешнем накопителе.
  2. Не открывайте подозрительные файлы или ссылки в электронных письмах.
  3. Скачивайте программы только с сайта разработчика или проверенных ресурсов.
  4. Установите себе на компьютер хороший антивирус.

Если же вы все таки заразились шифровальщиком, вам могут помочь только одно – декриптор. В некоторых случаях его можно не только купить у вымогателей, но и найти в бесплатном виде на сайте антивирусного ПО.

Источник угрозы

Вирусы-шифровальщики распространяются так же, как и любое другие программы-вымогатели. Однако, в отличии от вымогателей-блокираторов, шифровальщики более сложные в написании, поэтому их семейств меньше. Пути распространения шифровальщиков становятся всё сложнее: они отсылаются злоумышленниками в виде электронного письма, представляясь официальным приложением банка, новой версией ПО, зафиксированы даже случаи, когда шифровальщики устанавливались под видом обновления Adobe Flash Player или Oracle Java. Однако, самым распространенным способом распространения шифровальщиков остается спам.

Анализ риска

В 2016 году была обнаружена активизация шифровальщиков, отголоски которой заметны до сих пор. Некоторые шифровальщики шифруют данные особыми алгоритмами, на расшифровку которых могут уйти годы. А некоторые расшифровываются за несколько дней. Производители антивирусного ПО выпускают бесплатные декрипторы как только расшифруют алгоритм шифровальщиков. Однако, как уже было сказано выше, на создание декрипторов для некоторых шифровальщиков уходит несколько дней, а на некоторые – года. Во многих случаях расшифровать становится невозможным. Злоумышленники используют стойкие алгоритмы шифрования, не допускают ошибок в алгоритмах работы своих программ, в этом случае помощь пострадавшим становится невозможно.

Обычно, цели шифровальщиков – частные компьютеры или небольшие организации, но были случае атак и на крупные компании. Шифровальщики – очень прибыльное дело. Так, создатели CryptoLocker в период с октября по декабрь 2013 года заработали около 27 миллионов долларов. Подробнее о деятельности шифровальщика CryptoLocker можно почитать в материале: Check Point заблокировала кибервымогателя Cryptolocker.

В случае масштабной вирусной атаки, распространите среди своих сотрудников информацию об этой атаке и расскажите им о той роли, которую они играют при защите цифровых активов компании. Прежде всего, сообщите сотрудникам, что они не при каких обстоятельствах не должны открывать файлы или переходить по ссылкам, если они не знают источника. Если они не знают, что делать, пускай обратятся с ИТ-отдел.

Со своей стороны, ИТ-специалисты могут использовать подобную систему для создания виртуальной клиентской программы электронной почты для защиты от заражения через ссылки в сообщениях или вложения. Используя такие программы в рамках всей компании, специалисты смогут гарантировать наличие всех необходимых настроек безопасности и согласованность всех пользователей. Использование антивируса, технологии DLP (Data Leakage Protection), создание «белых» списков и других решений совместно с виртуальной клиентской программой электронной почты позволит ИТ-специалистам получить дополнительное чувство уверенности.

Мобильные устройства представляют собой первоочередную цель для вредоносного ПО. Использование технологии контейнеризации (containerization) позволяет предотвратить атаки на мобильные устройства за счет централизации операций по управлению, защите и контролю для приложений и данных, не затрагивая личную информацию сотрудников, хранящуюся на их устройствах. Cистемы виртуализации для мобильных устройств могут блокировать не соответствующие корпоративным требованиям личные устройства сотрудников. Выполняется проверка отсутствия взлома для установки сотрудниками пиратских или непроверенных приложений.

Необходимо выполнять резервное копирование всех данных с помощью сервисов синхронизации и обмена файлами. Даже если вы заплатили выкуп, у вас нет никаких гарантий, что файлы будут восстановлены. Подобные сервисы хранят несколько версий одного файла, поэтому компании могут восстановить доступ к нужно информации, не соглашаясь на условия злоумышленников о выкупе.