Ссылка на источник информации >>>
Криптовымогатель (вирус-шифровальщик, шифровальщик-вымогатель, англ. Crypto-Ransomware) является одним из видов вредоносного программного обеспечения, которое, захватив управление компьютером и зашифровав файлы пользователя, вымогает деньги у пострадавшего. Требование выкупа отображается, как правило, через обычный текстовый файл или html-файл (веб-страницу), открываемый в браузере. Этот тип вредоносных программ использует удивление, смущение или страх своих жертв, чтобы заставить их выплатить требуемый выкуп.
История вымогательского ПО насчитывает, по крайней мере, десять лет, но за последние полгода оно кардинально эволюционировало и понеслось по нарастающей. См. ниже историческую схему, отражающую частоту появления вымогательского ПО за последние года.
Основные способы распространения криптовымогателей:
- загрузки файлов с помощью одноранговой P2P-сети;
- вредоносные вложения в спам-фишинг-сообщения email;
- троянские загрузчики и установщики (Trojan-Downloader, Backdoor, Trojan-Dropper);
- взломанные с целью заражения и размещения эксплойтов сайты;
- наборы эксплойтов, например, Angler, Blackhole, Nuclear, Magnitude, Flash 0-day и пр.;
- загрузки файлов через инструменты удалённого управления;
- поддельные дистрибутивы и обновления программного обеспечения.
Принципиальные отличия от традиционных вредоносных программ:
- использование сложных алгоритмов для шифрования (AES, RSA и др.);
- проверка наличия в системе антивирусов и утилит выявления вредоносов;
- добавление файлам специальных расширений или удаление имеющихся;
- удаление всех теневых копий файлов и точек восстановления системы;
- скрытие командного сервера в доменной зоне .onion (анонимная сеть Tor);
- вымогание выкупа в биткоинах, инструкция их добывания и оплаты выкупа;
- предложение расшифровки одного или нескольких зашифрованных файлов;
- запуск функционала самозачистки после завершения шифрования файлов.
После произошедшего шифрования файлов нет необходимости оставлять Crypto-Ransomware в системе и, если он сам себя не зачистил, то необходимо проверить систему антивирусным средством и удалить все найденные вирусы, чтобы шифрование не повторилось с новыми файлами.