Современные вирусы-шифровальщики.
В прошлой заметке «Что такое RANSOMWARE или программы вымогатели?», мы вспомнили с вами историю возникновения первых программ-вымогателей, которые заражая систему пользователя, требовали выкуп.
Вирусы-шифровальщики, как и другие вирусы-вымогатели, блокирующие доступ жертв к пользовательской информации, — не новая угроза в сфере информационной безопасности. Начиная еще с 90-х годов, начали появляться первые версии вирусов-шифровальщиков. При этом, такие вирусы в целом применяли слабые алгоритмы шифрования с малым размером ключа, либо применяли симметричное шифрование, используя один ключ для шифрования файлов у всех своих жертв, так и тот же ключ для расшифровки файлов жертв. Нередко ключ расшифровки «вшивался» в сам шифратор и таким образом, появлялась большая вероятность извлечь ключ для расшифровки файлов из самого шифратора, изучив сам код вируса-шифровальщика. Некоторые создатели вирусов-шифровальщиков, считали себя, наверное, «гениями» и использовали собственные алгоритмы шифрования.
К сожалению, современные экземпляры вирусов-шифровальщиков, не имеют таких недостатков. Проблема и в том, что само по себе шифрование не представляет опасности, ведь является легитимным и мощным инструментом, применяемым в повседневной жизни как домашними пользователями, корпоративными пользователями, так и правительственными учреждениями, организациями, для обеспечения безопасности информации от незаконного к ней доступа. То есть, необходимо чётко понимать, что вирусы-шифровальщики используют исключительно легитимные инструменты для достижения своих целей, а не те, которые присущи исключительно зловредам. В этом и есть часть проблемы. Злоумышленники, используя для своих целей легитимные инструменты шифрования, блокируют доступ к данным их законному владельцу, так как владелец своих файлов, которые шифруются вирусами-шифровальщиками, не владеет ключом шифрования, ведь не владелец своих файлов инициализировал этот процесс, а злоумышленники и соответственно доступ к информации могут получить исключительно злоумышленники, которые владеют этим ключом. Проблема заключается и в том, что, благодаря использованию легитимных инструментов шифрования, злоумышленники, создающие вирусы-шифровальщики, усложняют антивирусным компаниям определять вредоносные действия своих «изобретений». Ведь если раньше, антивирус мог ориентироваться частично на то, что неизвестная программа, начинает, например, использовать какие-то присущие большинству вирусам механизмы, то теперь, такие вредоносы, используют совершенно легальные средства шифрования, которые присущи как легитимным, полезным и безопасным программам и механизмам системы, так и вредоносным действиям вирусов-шифровальщиков.
Таким образом, подводя итоги, можно увидеть, что современные вирусы-шифровальщики, используют стойкий алгоритм шифрования, который является легитимным инструментом. Соответственно, защитным средствам, необходимо уметь отличать где легитимные инструменты используются в безопасных целях и с пользой для пользователя, а где кроются вредоносные действия, инициализированные вирусами-шифровальщиками, что уже, является достаточно сложной задачей. Не стоит забывать и то, что современные вирусы-шифровальщики, всячески стараются препятствовать работе защитных средств, выводят из строя службы теневого копирования и восстановление системы.
В следующей заметке «Механизмы шифрования в современных вымогателях.», мы поговорим о нескольких технических тонкостях, которые используют современные вирусы-шифровальщики.