Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder)

Вирусы-шифровальщики (Virus-Encoder, Trojan-Encoder) появились еще в 2005 году вместе с вымогателями. Сейчас шифровальщики обладают более качественным кодом, более серьезными и сложными методами шифрования и представляют более серьезную опасность, чем раньше. Шифровальщики после того как попадут в систему зашифровывают все или часть файлов на жестком диске, требуя за ключ или программы-декриптор выкуп. Многие создатели шифровальщиков используют для оплаты Bitcoin, чтобы их было сложнее найти. В 2016 был замечен огромный всплеск активности таких вирусов, даже Лаборатория Касперского назвала шифровальщики главной темой в информационной безопасности 2016 года.

Классификация вирусов-шифровальщиков

Шифровальщики – это один из видов вредоносов. Распространяются они также:  фишинговая или спам-рассылка, зараженный файл, недоверительный сервис-файлообменник, и т.д. После зашифровки, вирус-шифровальщик (virus-encoder) оставляет инструкцию в виде фона рабочего стола, либо как текстовый документ readme на рабочем столе, или в каждой папке с зашифрованными файлами. После оплаты выкупа пользователь получает более подробные инструкции по расшифровке файлов, либо специальный декриптор. В среднем, шифровальщики требуют за разблокировку $300, но не все из них действительно расшифровывают файлы после оплаты. Больше всего шифровальщиков написаны для операционных систем Windows и Android, хотя существуют шифровальщики и для macOS или Linux.

Объект воздействия вирусов-шифровальщиков

Основная цель шифровальщика - «вытянуть» деньги из жертвы. Вирус-шифровальщик подобен пожару, его легче предупредить, чем «потушить»:

  1. Делайте резервные копии важных файлов. Лучше, если он будет хранится в облачном хранилище или на внешнем накопителе.
  2. Не открывайте подозрительные файлы или ссылки в электронных письмах.
  3. Скачивайте программы только с сайта разработчика или проверенных ресурсов.
  4. Установите себе на компьютер хороший антивирус.

Если же вы все таки заразились шифровальщиком, вам могут помочь только одно – декриптор. В некоторых случаях его можно не только купить у вымогателей, но и найти в бесплатном виде на сайте антивирусного ПО.

Источник угрозы

Вирусы-шифровальщики распространяются так же, как и любое другие программы-вымогатели. Однако, в отличии от вымогателей-блокираторов, шифровальщики более сложные в написании, поэтому их семейств меньше. Пути распространения шифровальщиков становятся всё сложнее: они отсылаются злоумышленниками в виде электронного письма, представляясь официальным приложением банка, новой версией ПО, зафиксированы даже случаи, когда шифровальщики устанавливались под видом обновления Adobe Flash Player или Oracle Java. Однако, самым распространенным способом распространения шифровальщиков остается спам.

Анализ риска

В 2016 году была обнаружена активизация шифровальщиков, отголоски которой заметны до сих пор. Некоторые шифровальщики шифруют данные особыми алгоритмами, на расшифровку которых могут уйти годы. А некоторые расшифровываются за несколько дней. Производители антивирусного ПО выпускают бесплатные декрипторы как только расшифруют алгоритм шифровальщиков. Однако, как уже было сказано выше, на создание декрипторов для некоторых шифровальщиков уходит несколько дней, а на некоторые – года. Во многих случаях расшифровать становится невозможным. Злоумышленники используют стойкие алгоритмы шифрования, не допускают ошибок в алгоритмах работы своих программ, в этом случае помощь пострадавшим становится невозможно.

Обычно, цели шифровальщиков – частные компьютеры или небольшие организации, но были случае атак и на крупные компании. Шифровальщики – очень прибыльное дело. Так, создатели CryptoLocker в период с октября по декабрь 2013 года заработали около 27 миллионов долларов. Подробнее о деятельности шифровальщика CryptoLocker можно почитать в материале: Check Point заблокировала кибервымогателя Cryptolocker.

Анализ угроз