Головна / Блог / Ransomware: чому віруси-здирники такі небезпечні?

Ransomware: чому віруси-здирники такі небезпечні?

18.04.2023

Випадки здирницьких атак стають дедалі частішими й серйознішими. Досить згадати вірус WannaCry, який набув широкого поширення у травні 2017 року. Тоді зараження зазнали комп’ютери в 150 країнах, а жертвами стали понад 200 000 організацій, включаючи Національну службу охорони здоров’я Великобританії.
Здирник, як і будь-який інший вірус, може потрапити на комп’ютер різними способами. Найчастіше зараження відбувається з вини самого користувача, який недостатньо поінформований про безпечну роботу в Інтернеті.

Вимагач може прилетіти на комп’ютер у безпечному, на перший погляд, файлі – у JPG-картинці, PDF-документі або PPT-презентації. Після запуску зараженого документа користувач потрапляє на підроблений сайт Google, де пропонується ввести свої дані для входу. Якщо він не встигне запідозрити недобре, шахраї вкрадуть аккаунт і вимагатимуть за нього викупу.
Не варто повністю покладатися на антивірус або системний фаєрвол. В арсеналі хакерів є безліч методів, які дозволяють шкідливому програмному забезпеченню обходити захист. Так, просунуте ransomware не розпізнається локальними антивірусами, не привертає увагу співробітників служби безпеки й викликає підозру дослідників комп’ютерних загроз.

Чим довше здирник залишається непоміченим, тим більший обсяг даних він може зібрати. Це означає, що збитки від його діяльності будуть серйознішими. Ось деякі прийоми, які використовуються хакерами при створенні прихованого анонімного здирника.

  • Зв’язок із командним сервером шифрується і важко виявляється у мережевому трафіку.
  • Щоб уникнути відстеження правоохоронними органами та отримувати платежі від жертв, вірус містить анонімні інструменти передачі даних – TOR-протоколи, Bitcoin-адреси тощо.
  • Для обходу антивіруса шкідник використовує антипісочні механізми.
  • За допомогою «затінення» доменів вірус приховує експлойти та зв’язок між завантажувачем та серверами кіберзлочинців.
  • Fast Flux – складний метод анонімізації IP-адрес зловмисників.
  • Вірус виконує корисне навантаження. Це ускладнює виявлення шкідливого коду антивірусним сканером та дає додатковий час для впровадження у систему.
  • Поліморфна поведінка – здатність ransomware до незначних змін у коді. В результаті вірус набуває нової форми, але при цьому зберігає свою основну функцію.
  • Ransomware може йти в сплячий режим і залишатися неактивним, доки не отримає команду від сервера або система сама не створить умов для його пробудження.

Випадок з WannaCry показує, наскільки важливо своєчасно оновлювати операційну систему: здирник скористався вразливістю у застарілому програмному забезпеченні Microsoft. Попри те, що компанія встигла випустити оновлення, що усувають загрозу, мільйони користувачів знехтували ним.

У порівнянні з іншими шкідливими програмами, історія ransomware набагато коротша. Перший випадок зараження здирником стався у 80-х роках у медичній сфері, яка і сьогодні зазнає нападів хакерів. Ту форму, в якій ми знаємо ransomware зараз, здирники прийняли у 2005 році. З того часу найбільшого поширення набули дві форми – криптографічні шифрувальники та блокувальники.
Криптошифрувальник займається тим, що шифрує дані, тому користувач не в змозі розібратися, де який файл лежить. Блокувальник просто забороняє доступ до файлів. Є й гібридна форма здирників, яка поєднує можливості обох типів.

Останні п’ять років спостерігається зростання активності ransomware, хакери вимагають викупи у нових формах. Якщо раніше плата приймалася на анонімні QIWI-гаманці, то зараз найчастіше у криптовалюті. У 2016 році на частку здирників припадало близько 4000 щоденних вірусних атак. 70% підприємств воліли заплатити шахраям викуп, сподіваючись відновити доступ до втрачених файлів. Нові інструменти автоматизації дозволяють хакерам атакувати все більше людей з мінімальними зусиллями, тому кількість ransomware продовжує зростати.

Передбачається, що в майбутньому атакам зазнають екосистеми інтернету речей. Припущення не є безпідставним, оскільки пристрої IoT(Internet of Things) мають постійне підключення до інтернету, а їх ПЗ не отримує достатньо оновлень безпеки.

Компанія “Vamark” спеціалізується на IT Безпеки. Зв’яжіться з нами, щоб отримати безкоштовну консультацію або замовити ІТ послуги (Київ) для своєї компанії. Для цього достатньо зателефонуємо до нас за контактними номерами або заповнити форму зворотнього зв’язку, і ми передзвонимо вам самі.

Останні новини
Зв`язатись з нами
Заповнюючи форму, ви погоджуєтесь з політикою конфіденційності сайту