Что такое RANSOMWARE или программы вымогатели?
Начнём с того, что вирусы-шифровальщики относятся к вирусам-вымогателям – Ransomware, или троянам-вымогателям. При этом, нужно знать, что Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которые можно поделить на два основных типа — шифровальщики (крипторы, cryptoransomware) и блокировщики (blockers, блокеры).
Начнём с блокировщиков.
Блокировщики системы, исключительно препятствуют получить доступ к всему устройству в целом, за что и заслужили такое имя – блокировщики. При заражении устройства блокировщиком, у пользователя не будет возможности пользоваться всем устройством в целом. При этом, пользовательские данные не удаляются, не повреждаются, не блокируются и не шифруются. У пользователя, просто нет возможности обычным способом «добраться» до своих данных. Многие, наверное, помнят бум блокировщиков системы, когда после перезагрузки/включения системы, блокировался весь рабочий стол, не реагировали никакие клавиши и на весь экран была устрашающая надпись о том, что компьютер заблокирован за просмотр запрещённого контента и для разблокировки системы требовалось заплатить «штраф». Были блокировщики даже с «музыкальным» сопровождением, где были слышны пикантные звуки из порнофильмов. Суть таких блокировщиков сводилась к тому, что испуганная жертва, под психологическим давлением устрашающих текстов с фото и звуковым сопровождением, оплатит выкуп для того, чтобы разблокировать своё устройство.
Стоит также заметить, что блокировщики бывают разного «качества», если можно, так сказать и делятся на два основных вида. Первый тип, так называемые вирусы-блокировщики Winlock. Данный блокировщик, проявляет себя сразу после загрузки ОС Windows вместо рабочего стола Windows. Имелись такие блокировщики Winlock, которые можно было свернуть при помощи кнопок Alt – >Tab или Ctrl –>Alt –> Delete и потом самому «убив» процессы через Диспетчер задач, удалить вручную блокировщик. Другие, из разновидности Winlock были посерьёзней. Они имели более солидное и устрашающее оформление (имели красочное оформление с угрозами «от» ФСБ, МВД, СБУ и в редких случаях, имели звуковое сопровождение с вырезками из порнофильмов) и их невозможно было как-то просто свернуть в обычном режиме загрузки устройства. При этом, доступ к заблокированному устройству, можно было получить через Безопасный режим и уже там, удалить данного блокировщика системы.
Последний тип блокировщика, относится ко второму типу – MBRlock. Главное отличие так называемого блокировщика из разновидностей MBRlock от обычного блокировщика Winlock, заключается в том, что MBRlock блокирует возможность загрузится в Безопасном режиме, так как блокирует загрузку системы в целом и сразу после BIOS, выдаёт сообщение с требованиями о выкупе.
При этом, стоит повторится, что доступ к важным файлам, можно получить, если подключить жёсткий диск к другому компьютеру. Можно спокойно сохранить важные данные и после, отформатировав системный раздел, переустановить систему. Можно также разблокировать систему при помощи загрузочных дисков. Данный способ, помогает как при Winlock, так и при MBRlock. Есть множество загрузочных дисков от антивирусных лабораторий, которые восстанавливают работу системы и удаляют блокировщиков. Также, если даже не пытаться разблокировать систему, а просто сразу переустановить систему, можно спокойно пользоваться всеми данными, которые хранятся на других разделах жёсткого диска.
Примечательно и то, что выкуп за разблокировку системы от блокировщиков, обычно относительно невелик.
Для защиты загрузочной записи MBR, ознакомьтесь с заметкой: «Защита главной загрузочной записи (MBR).»Теперь, поговорим о шифровальщиках.
«Фишка» данного вируса в том, что с помощью методов шифрования, вирусы-шифровальщики блокируют важные данные на системе, а затем требует от жертвы выкуп для восстановления исходного состояния зашифрованных файлов. Таким образом, шифровальщики, в отличии от блокировщиков, которые только блокируют привычный доступ к устройству в целом, но, не уничтожают, не портят и не блокируют пользовательские файлы, оказываясь на устройстве жертвы, шифровальщики напротив, зашифровывают важные данные: ключи для ПО M.E.Doc, файлы Word и таблицы Excel, разные текстовые файлы и PDF-файлы, фото и видео файлы, сейвы (save-файлы) к играм, базы данных 1 С и другие данные — таким образом, что ими нельзя пользоваться. Удаление вируса-шифровальщика из системы антивирусными утилитами, переустановка системы, подключение жёсткого диска к другому компьютеру, не помогут жертве шифровальщика получить доступ к своим файлам. То есть, жертва вируса-шифровальщика не сможете воспользоваться своими файлами, которые хранились на всех подключённых к заражённому устройству носителях информации. А за расшифровку файлов, злоумышленники распространяющие свои вирусы-шифровальщики, требуют выкуп и в отличии от блокировщиков, которые не требовали в основном баснословных выкупов, средняя цена выкупа для шифровальщика – 300$. На данный момент, все больше пострадавших, сталкиваются с требованиями о выкупе от 1500$ и более.
Подводя итоги, можем увидеть, что вирусы-шифровальщики, в отличии от блокировщиков, представляют куда большую угрозу. В первую очередь, вирусы-шифровальщики попав в систему, полностью шифруют каждый файл при помощи сложных алгоритмов для шифрования (AES, RSA и др.), удаляют теневые копии, «ломают» службу «Восстановление системы». После, требуют внушительный выкуп за расшифровку файлов. И самостоятельно, просто удалив шифровальщик из системы или переустановив систему, доступ к файлам не получить. Файлы будут по-прежнему зашифрованы и ими не удастся пользоваться.
В следующей заметке «Современные вирусы-шифровальщики.», разберем с вами историю появления современных программ-вымогателей, более известные как вирусы-шифровальщики.