1. Класифікація вірусів-шифрувальників
2. Об'єкт впливу вірусів-шифрувальників
3. джерело загрози
4. аналіз ризику

Віруси-шифрувальники (Virus-Encoder, Trojan-Encoder) з'явилися ще в 2005 році разом з вимагачами. Зараз шифрувальники володіють більш якісним кодом, більш серйозними і складними методами шифрування і представляють більш серйозну небезпеку, ніж раніше. Шифрувальники після того як потраплять в систему зашифровують все або частину файлів на жорсткому диску, вимагаючи за ключ або програми-декріптор викуп. Багато творців шифрувальників використовують для оплати Bitcoin, щоб їх було складніше знайти. З 2016 був помічений величезний сплеск активності таких вірусів, навіть Лабораторія Касперського назвала шифрувальники головною темою в інформаційній безпеці 2016 року.

Класифікація вірусів-шифрувальників

Шифрувальники - це один з видів шкідників. Поширюються вони також: фішингова або спам-розсилка, заражений файл, недоверітельний сервіс-файлообмінник, і т.д. Після зашифровуваної, вірус-шифрувальник (virus-encoder) залишає інструкцію у вигляді фону робочого столу, або як текстовий документ readme на робочому столі, або в одній папці з зашифрованими файлами.

Після оплати викупу користувач отримує більш докладні інструкції по розшифровці файлів, або спеціальний декріптор. В середньому, шифрувальники вимагають за розблокування $ 300, але не всі з них дійсно розшифровують файли після оплати. Найбільше шифрувальників написані для операційних систем Windows і Android, хоча існують шифрувальники і для macOS або Linux.

Об'єкт впливу вірусів-шифрувальників

Основна мета шифрувальника - «витягнути» гроші з жертви. Вірус-шифрувальник подібний пожежі, його легше попередити, ніж «згасити»:

1. Робіть резервні копії важливих файлів. Краще, якщо він буде зберігається в хмарному сховище або на зовнішньому накопичувачі.
2. Не відкривайте підозрілі файли або посилання в електронних листах.
3. Завантажуйте програми тільки з сайту розробника або перевірених ресурсів.
4. Встановіть собі на комп'ютер хороший антивірус.

Якщо ж ви все таки заразилися шифрувальником, вам можуть допомогти тільки одне - декріптор. У деяких випадках його можна не тільки купити у вимагачів, а й знайти в безкоштовному вигляді на сайті антивірусного ПО.

джерело загрози

Віруси-шифрувальники поширюються так само, як і будь-який інші програми-вимагачі. Однак, на відміну від здирників-блокаторів, шифрувальники більш складні в написанні, тому їх родин менше. Шляхи поширення шифрувальників стають все складніше: вони відсилаються зловмисниками у вигляді електронного листа, представляючись офіційним додатком банку, новою версією ПО, зафіксовані навіть випадки, коли шифрувальники встановлювалися під виглядом поновлення Adobe Flash Player або Oracle Java. Однак, найпоширенішим способом поширення шифрувальників залишається спам.

аналіз ризику

У 2016 році була виявлена ​​активізація шифрувальників, відгомони якої помітні досі. Деякі шифрувальники шифрують дані особливими алгоритмами, на розшифровку яких можуть піти роки. А деякі розшифровуються за кілька днів. Виробники антивірусного ПО випускають безкоштовні декріптор як тільки розшифрують алгоритм шифрувальників. Однак, як уже було сказано вище, на створення декріптор для деяких шифрувальників йде кілька днів, а на деякі - року. У багатьох випадках розшифрувати стає неможливим. Зловмисники використовують стійкі алгоритми шифрування, не допускають помилок в алгоритмах роботи своїх програм, в цьому випадку допомога постраждалим стає неможливо.

Зазвичай, мети шифрувальників - приватні комп'ютери або невеликі організації, але були разі атак і на великі компанії. Шифрувальники - дуже прибуткова справа. Так, творці CryptoLocker в період з жовтня по грудень 2013 року заробили близько 27 мільйонів доларів. Детальніше про діяльність шифрувальника CryptoLocker можна почитати в матеріалі: Check Point заблокувала кібервимогателя Cryptolocker .

У разі масштабної вірусної атаки, розповсюдьте серед своїх співробітників інформацію про цю атаку і розкажіть їм про ту роль, яку вони грають при захисті цифрових активів компанії. Перш за все, повідомте співробітникам, що вони ні за яких обставин не повинні відкривати файли або переходити за посиланнями, якщо вони не знають джерела. Якщо вони не знають, що робити, нехай звернуться з ІТ-відділ.

Зі свого боку, ІТ-фахівці можуть використовувати подібну систему для створення віртуальної клієнтської програми електронної пошти для захисту від зараження через посилання в повідомленнях або вкладення. Використовуючи такі програми в рамках всієї компанії, фахівці зможуть гарантувати наявність усіх необхідних налаштувань безпеки і узгодженість всіх користувачів. Використання антивіруса, технології DLP (Data Leakage Protection), створення «білих» списків і інших рішень спільно з віртуальної клієнтською програмою електронної пошти дозволить ІТ-фахівцям отримати додаткове почуття впевненості.

Мобільні пристрої являють собою першочергову мету для шкідливого ПЗ. Використання технології контейнеризації (containerization) дозволяє запобігти атаки на мобільні пристрої за рахунок централізації операцій з управління, захисту і контролю для додатків і даних, не зачіпаючи особисту інформацію співробітників, що зберігається на їх пристроях. Системи віртуалізації для мобільних пристроїв можуть блокувати не відповідають корпоративним вимогам особисті пристрої співробітників. Виконується перевірка відсутності злому для установки співробітниками піратських або неперевірених додатків.

Необхідно створити резервну копію всіх даних за допомогою сервісів синхронізації і обміну файлами. Навіть якщо ви заплатили викуп, у вас немає ніяких гарантій, що файли будуть відновлені. Подібні сервіси зберігають кілька версій одного файлу, тому компанії можуть відновити доступ до потрібно інформації, не погоджуючись на умови зловмисників про викуп.