Программы-вымогатели

Вредоносное программное обеспечение, используемое для требования выкупа

Программы-вымогатели — это тип вредоносного ПО , которое навсегда блокирует доступ к персональным данным жертвы , если не будет заплачен «выкуп». В то время как некоторые простые программы-вымогатели могут заблокировать систему, не повреждая никаких файлов, более продвинутые вредоносные программы используют технику, называемую криптовирусным вымогательством. Они шифруют файлы жертвы, делая их недоступными, и требуют выкуп за их расшифровку. ^{[1] [2] [3] [4] [5]} При правильно реализованной криптовирусной атаке-вымогательстве восстановление файлов без ключа расшифровки является неразрешимой проблемой, а для выкупа используются трудноотслеживаемые цифровые валюты , такие как paysafecard или Bitcoin и другие криптовалюты , что затрудняет отслеживание и судебное преследование преступников.

Атаки с использованием программ-вымогателей обычно осуществляются с использованием трояна , замаскированного под легитимный файл, который пользователь обманом загружает или открывает, когда он приходит в виде вложения к электронному письму. Однако один из громких примеров, червь WannaCry , автоматически перемещался между компьютерами без взаимодействия с пользователем. ^[6]

Начиная с 1989 года, когда была зарегистрирована первая программа-вымогатель, известная как троян AIDS , использование мошеннических программ-вымогателей выросло на международном уровне. ^{[7] [8] [9]} За первые шесть месяцев 2018 года было совершено 181,5 миллиона атак программ-вымогателей. Этот рекорд на 229% больше, чем за тот же период в 2017 году. ^[10] В июне 2014 года поставщик McAfee опубликовал данные, показывающие, что за тот квартал он собрал более чем вдвое больше образцов программ-вымогателей, чем за тот же квартал предыдущего года. ^[11] CryptoLocker был особенно успешным, собрав около 3 миллионов долларов США, прежде чем был закрыт властями, ^[12] а CryptoWall, по оценкам Федерального бюро расследований США (ФБР), к июню 2015 года собрал более 18 миллионов долларов США. ^[13] В 2020 году IC3 получил 2474 жалобы, идентифицированные как программы-вымогатели, с скорректированными убытками более 29,1 миллиона долларов США. По данным ФБР, убытки могут быть больше. ^[14] Во всем мире, по данным Statistica , в 2021 году было совершено около 623 миллионов атак с использованием программ-вымогателей, а в 2022 году — 493 миллиона. ^[15]

Операция

Концепция шифрующего файлы вируса-вымогателя была изобретена и реализована Янгом и Юнгом в Колумбийском университете и была представлена ​​на конференции IEEE Security & Privacy в 1996 году. Она называется криптовирусным вымогательством и была вдохновлена ​​вымышленным лицехватом из фильма «Чужой» . ^[16] Криптовирусное вымогательство — это следующий трехраундовый протокол, выполняемый между злоумышленником и жертвой. ^[1]

1. [атакующий→жертва] Атакующий генерирует пару ключей и помещает соответствующий открытый ключ во вредоносную программу. Вредоносная программа выпускается.
2. [жертва→атакующий] Для осуществления криптовирусной атаки-вымогательства вредоносная программа генерирует случайный симметричный ключ и шифрует с его помощью данные жертвы. Она использует открытый ключ во вредоносной программе для шифрования симметричного ключа. Это известно как гибридное шифрование , и в результате получается небольшой асимметричный шифртекст, а также симметричный шифртекст данных жертвы. Она обнуляет симметричный ключ и исходные данные открытого текста, чтобы предотвратить восстановление. Она отправляет пользователю сообщение, включающее асимметричный шифртекст и способ уплаты выкупа. Жертва отправляет асимметричный шифртекст и электронные деньги злоумышленнику.
3. [атакующий→жертва] Атакующий получает платеж, расшифровывает асимметричный шифртекст с помощью закрытого ключа атакующего и отправляет симметричный ключ жертве. Жертва расшифровывает зашифрованные данные с помощью необходимого симметричного ключа, тем самым завершая атаку криптовирусологии.

Симметричный ключ генерируется случайным образом и не поможет другим жертвам. Ни в коем случае закрытый ключ злоумышленника не раскрывается жертвам, и жертве нужно только отправить очень короткий шифртекст (зашифрованный симметричный ключ шифрования) злоумышленнику.

Атаки программ-вымогателей обычно осуществляются с помощью трояна , проникающего в систему через, например, вредоносное вложение, встроенную ссылку в фишинговое письмо или уязвимость в сетевой службе. Затем программа запускает полезную нагрузку , которая блокирует систему каким-либо образом или утверждает, что блокирует систему, но не делает этого (например, программа -шпион ). Полезные нагрузки могут отображать поддельное предупреждение, якобы от лица правоохранительных органов , ложно утверждая, что система использовалась для незаконной деятельности, содержит контент, такой как порнография и «пиратские» медиа . ^{[17] [18] [19]}

Некоторые полезные нагрузки состоят просто из приложения, предназначенного для блокировки или ограничения системы до тех пор, пока не будет произведена оплата, как правило, путем установки оболочки Windows на себя, ^[20] или даже изменения главной загрузочной записи и/или таблицы разделов, чтобы предотвратить загрузку операционной системы, пока она не будет восстановлена. ^[21] Наиболее сложные полезные нагрузки шифруют файлы, причем многие используют надежное шифрование для шифрования файлов жертвы таким образом, что только автор вредоносного ПО имеет необходимый ключ дешифрования. ^{[1] [22] [23]}

Платеж практически всегда является целью, и жертву принуждают заплатить за удаление программы-вымогателя, либо предоставив программу, которая может расшифровать файлы, либо отправив код разблокировки, который отменяет изменения полезной нагрузки. Хотя злоумышленник может просто взять деньги, не возвращая файлы жертвы, в интересах злоумышленника выполнить расшифровку в соответствии с договоренностью, поскольку жертвы прекратят отправлять платежи, если станет известно, что они бесполезны. Ключевым элементом в том, чтобы заставить программу-вымогателя работать на злоумышленника, является удобная платежная система, которую трудно отследить. Был использован ряд таких способов оплаты, включая банковские переводы , текстовые сообщения с премиальным тарифом , ^[24] предоплаченные ваучерные сервисы, такие как paysafecard , ^{[7] [25] [26]} и криптовалюта Bitcoin . ^{[27] [28] [29]}

В мае 2020 года поставщик Sophos сообщил, что глобальная средняя стоимость устранения атаки вымогателя (с учетом простоя, рабочего времени, стоимости устройства, стоимости сети, упущенных возможностей и выплаченного выкупа) составила $761 106. Девяносто пять процентов организаций, заплативших выкуп, восстановили свои данные. ^[30]

История

Шифрование программ-вымогателей

Первая известная атака с вымогательством вредоносного ПО, «AIDS Trojan», написанная Джозефом Поппом в 1989 году, имела настолько серьезный сбой в конструкции, что платить вымогателю вообще не было необходимости. Его полезная нагрузка скрывала файлы на жестком диске и шифровала только их имена , а также отображала сообщение о том, что лицензия пользователя на использование определенного программного обеспечения истекла. Пользователю было предложено заплатить 189 долларов США «PC Cyborg Corporation», чтобы получить инструмент для восстановления, хотя ключ дешифрования можно было извлечь из кода трояна. Троян был также известен как «PC Cyborg». Попп был признан психически недееспособным , чтобы предстать перед судом за свои действия, но он пообещал пожертвовать прибыль от вредоносного ПО на финансирование исследований СПИДа . ^[31]

Идея злоупотребления анонимными денежными системами для безопасного сбора выкупа за похищение людей была предложена в 1992 году Себастьяном фон Солмсом и Дэвидом Наккашем . ^[32] Этот метод электронного сбора денег был также предложен для криптовирусных атак с целью вымогательства. ^[1] В сценарии фон Солмса-Наккаша использовалась газетная публикация (поскольку на момент написания статьи реестры биткойнов не существовали).

Идея использования криптографии с открытым ключом для атак по похищению данных была введена в 1996 году Адамом Л. Янгом и Моти Юнгом . Янг и Юнг раскритиковали провалившийся информационный троян AIDS, который полагался только на симметричную криптографию , фатальным недостатком которого было то, что ключ дешифрования можно было извлечь из трояна, и реализовали экспериментальный криптовирус для проверки концепции на Macintosh SE/30 , который использовал RSA и Tiny Encryption Algorithm (TEA) для гибридного шифрования данных жертвы. Поскольку используется криптография с открытым ключом , вирус содержит только ключ шифрования . Злоумышленник хранит соответствующий закрытый ключ дешифрования в секрете. Оригинальный экспериментальный криптовирус Янга и Юнга заставлял жертву отправлять асимметричный шифртекст злоумышленнику, который расшифровывал его и возвращал симметричный ключ дешифрования, который он содержал, жертве за определенную плату. Задолго до появления электронных денег Янг и Юнг предположили, что электронные деньги можно вымогать также с помощью шифрования, заявив, что «вирусописатель может эффективно удерживать весь денежный выкуп, пока ему не отдадут половину. Даже если электронные деньги были ранее зашифрованы пользователем, они бесполезны для пользователя, если они зашифрованы криптовирусом». ^[1] Они назвали эти атаки « криптовирусным вымогательством», открытой атакой, которая является частью более крупного класса атак в области, называемой криптовирусологией , которая охватывает как открытые, так и скрытые атаки. ^[1] Протокол криптовирусного вымогательства был вдохновлен паразитическими отношениями между лицехватом Х. Р. Гигера и его хозяином в фильме «Чужой» . ^{[1] [16]}

Примеры вымогательского ПО-вымогателя стали заметны в мае 2005 года . ^[33] К середине 2006 года такие трояны, как Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip и MayArchive начали использовать более сложные схемы шифрования RSA с постоянно увеличивающимися размерами ключей. Gpcode.AG, обнаруженный в июне 2006 года, был зашифрован с помощью 660-битного открытого ключа RSA. ^[34] В июне 2008 года был обнаружен вариант, известный как Gpcode.AK. При использовании 1024-битного ключа RSA считалось, что его достаточно большой размер, чтобы его было невозможно взломать без согласованных распределенных усилий. ^{[35] [36] [37] [38]}

Шифрующее ПО-вымогатель снова стало популярным в конце 2013 года с распространением CryptoLocker — использующего платформу цифровой валюты Bitcoin для сбора выкупа. В декабре 2013 года ZDNet подсчитала на основе информации о транзакциях Bitcoin, что в период с 15 октября по 18 декабря операторы CryptoLocker получили около 27 миллионов долларов США от зараженных пользователей. ^[39] В последующие месяцы технология CryptoLocker широко копировалась , включая CryptoLocker 2.0 (считается, что она не связана с CryptoLocker), CryptoDefense (которая изначально содержала серьезный недостаток конструкции, из-за которого закрытый ключ хранился в зараженной системе в доступном для пользователя месте из-за использования встроенных API шифрования Windows), ^{[28] [40] [41] [42]} и обнаружение в августе 2014 года трояна, специально нацеленного на сетевые устройства хранения данных, производимые Synology . ^[43] В январе 2015 года сообщалось, что атаки с использованием программ-вымогателей были совершены против отдельных веб-сайтов путем взлома и с помощью программ-вымогателей, предназначенных для веб-серверов на базе Linux . ^{[44] [45] [46]}

В 2022 году Коста-Рика подверглась масштабным атакам вируса-вымогателя Conti , затронувшим правительство, здравоохранение и промышленность. ^[47] Это побудило президента Родриго Чавеса объявить чрезвычайное положение и объявить, что Коста-Рика «находится в состоянии войны» со своими хакерами-вымогателями. ^[48]

В некоторых инфекциях присутствует двухэтапная полезная нагрузка, распространенная во многих вредоносных системах. Пользователя обманом заставляют запустить скрипт, который загружает основной вирус и выполняет его. В ранних версиях системы с двойной полезной нагрузкой скрипт содержался в документе Microsoft Office с прикрепленным макросом VBScript или в файле Windows Scripting Facility (WSF). Поскольку системы обнаружения начали блокировать эти полезные нагрузки первого этапа, Центр защиты от вредоносных программ Microsoft выявил тенденцию к переходу на файлы LNK с автономными скриптами Microsoft Windows PowerShell . ^[49] В 2016 году было обнаружено, что PowerShell был задействован почти в 40% инцидентов безопасности конечных точек. ^[50]

Некоторые штаммы программ-вымогателей использовали прокси-серверы , привязанные к скрытым сервисам Tor , для подключения к своим серверам управления и контроля , что усложняло отслеживание точного местонахождения преступников. ^{[51] [52]} Кроме того, поставщики темного веба все чаще ^{[ когда? ]} начали предлагать технологию как услугу , в рамках которой программы-вымогатели продаются готовыми к развертыванию на компьютерах жертв по подписке, аналогично Adobe Creative Cloud или Office 365. ^{[52] [53] [54]}

Symantec классифицировала программы-вымогатели как самую опасную киберугрозу. ^[55]

Нешифрующиеся программы-вымогатели

В августе 2010 года российские власти арестовали девять человек, связанных с трояном-вымогателем, известным как WinLock. В отличие от предыдущего трояна Gpcode, WinLock не использовал шифрование. Вместо этого WinLock тривиально ограничивал доступ к системе, отображая порнографические изображения и просил пользователей отправить платное SMS (стоимостью около 10 долларов США), чтобы получить код, который можно было использовать для разблокировки их машин. Мошенничество затронуло множество пользователей по всей России и соседних странах, что, как сообщается, принесло группе более 16 миллионов долларов США. ^{[19] [56]}

В 2011 году появился троян-вымогатель, который имитировал уведомление об активации продукта Windows и сообщал пользователям, что установку Windows необходимо повторно активировать из-за «[явления] жертвой мошенничества». Была предложена возможность активации онлайн (как и сам процесс активации Windows), но она была недоступна, требуя от пользователя позвонить по одному из шести международных номеров и ввести 6-значный код. Хотя вредоносная программа утверждала, что этот звонок будет бесплатным, он был направлен через мошеннического оператора в стране с высокими международными тарифами на телефонную связь, который поставил звонок на удержание, в результате чего пользователь понес большие расходы на международные звонки . ^[17]

В 2012 году компания Symantec сообщила о распространении в Восточной Европе вируса-вымогателя с экраном блокировки, выдававшим себя за правоохранительные органы, требующие плату за незаконную деятельность. ^[57]

В феврале 2013 года появился троян-вымогатель, основанный на наборе эксплойтов Stamp.EK ; вредоносное ПО распространялось через сайты, размещенные на хостинговых сервисах SourceForge и GitHub , которые, как утверждалось, предлагали «поддельные обнаженные фотографии» знаменитостей. ^[58] В июле 2013 года появился троян-вымогатель, специфичный для OS X , который отображает веб-страницу, обвиняющую пользователя в загрузке порнографии. В отличие от своих аналогов на базе Windows, он не блокирует весь компьютер, а просто использует поведение самого веб-браузера , чтобы помешать попыткам закрыть страницу обычными средствами. ^[59]

В июле 2013 года 21-летний мужчина из Вирджинии, чей компьютер по совпадению содержал порнографические фотографии несовершеннолетних девочек, с которыми он вел сексуальную коммуникацию, сдался полиции после того, как получил и был обманут программой-вымогателем ФБР MoneyPak, обвинившей его в хранении детской порнографии. Расследование обнаружило компрометирующие файлы, и мужчину обвинили в сексуальном насилии над детьми и хранении детской порнографии. ^[60]

Эксфильтрация (утечка/Doxware)

Обратной стороной ransomware является криптовирусная атака, изобретенная Адамом Л. Янгом, которая угрожает опубликовать украденную информацию из компьютерной системы жертвы, а не лишить жертву доступа к ней. ^[61] При атаке с использованием утечек вредоносная программа выкачивает конфиденциальные данные хоста либо злоумышленнику, либо, в качестве альтернативы, удаленным экземплярам вредоносной программы, а злоумышленник угрожает опубликовать данные жертвы, если не будет заплачен выкуп. Атака была представлена ​​в Вест-Пойнте в 2003 году и была кратко изложена в книге «Вредоносная криптография» следующим образом: «Эта атака отличается от атаки вымогательства следующим образом. При атаке вымогательства жертва лишается доступа к своей собственной ценной информации и должна заплатить, чтобы вернуть ее, тогда как в атаке, представленной здесь, жертва сохраняет доступ к информации, но ее раскрытие находится на усмотрении компьютерного вируса». ^[62] Атака основана на теории игр и изначально называлась «игры с ненулевой суммой и выживаемое вредоносное ПО». Атака может принести денежную выгоду в тех случаях, когда вредоносная программа получает доступ к информации, которая может нанести ущерб пользователю или организации-жертве, например, репутационный ущерб, который может возникнуть в результате публикации доказательств того, что сама атака была успешной.

Наиболее распространенными целями эксфильтрации являются:

• информация третьих лиц, хранящаяся у основной жертвы (например, данные счетов клиентов или медицинские записи);
• информация, являющаяся собственностью жертвы (например, коммерческие тайны и информация о продукте)
• смущающая информация (например, информация о состоянии здоровья жертвы или информация о личном прошлом жертвы)

Атаки по извлечению данных обычно носят целенаправленный характер, с тщательно подобранным списком жертв и часто предварительным наблюдением за системами жертвы для поиска потенциальных целей и слабых мест данных. ^{[63] [64]}

Мобильные программы-вымогатели

С ростом популярности программ-вымогателей на платформах ПК также распространилось и количество программ-вымогателей, нацеленных на мобильные операционные системы . Обычно мобильные программы-вымогатели являются блокировщиками, поскольку нет стимула шифровать данные, поскольку их можно легко восстановить с помощью онлайн-синхронизации. ^[65] Мобильные программы-вымогатели обычно нацелены на платформу Android , поскольку она позволяет устанавливать приложения из сторонних источников. ^{[65] [66]} Полезная нагрузка обычно распространяется в виде APK-файла, установленного ничего не подозревающим пользователем; он может попытаться отобразить сообщение о блокировке поверх всех других приложений, ^[66] в то время как другой использовал форму кликджекинга , чтобы заставить пользователя предоставить ему привилегии «администратора устройства» для получения более глубокого доступа к системе. ^[67]

На устройствах iOS использовались различные тактики , такие как эксплуатация учетных записей iCloud и использование системы Find My iPhone для блокировки доступа к устройству. ^[68] В iOS 10.3 Apple исправила ошибку в обработке всплывающих окон JavaScript в Safari , которая использовалась веб-сайтами с программами-вымогателями. ^[69] Недавно ^{[ когда? ]} было показано, что программы-вымогатели могут также быть нацелены на архитектуры ARM, подобные тем, которые можно найти в различных устройствах Интернета вещей (IoT), таких как промышленные периферийные устройства IoT. ^[70]

В августе 2019 года исследователи продемонстрировали возможность заражения цифровых зеркальных камер вирусом-вымогателем. ^[71] Цифровые камеры часто используют протокол передачи изображений (PTP — стандартный протокол, используемый для передачи файлов). Исследователи обнаружили, что можно использовать уязвимости в протоколе для заражения целевой камеры(камер) вирусом-вымогателем (или выполнить любой произвольный код). Эта атака была представлена ​​на конференции по безопасности Defcon в Лас-Вегасе в качестве доказательства концепции атаки (а не как реальное вооруженное вредоносное ПО).

Прогрессирование атак

Первые атаки были направлены на случайных пользователей, обычно зараженных через вложения электронной почты, отправленные небольшими группами преступников, требующих несколько сотен долларов в криптовалюте за разблокировку файлов (обычно фотографий и документов частного лица), которые были зашифрованы программой-вымогателем. По мере того, как программы-вымогатели развивались как бизнес, в эту сферу вошли организованные банды, которые рекламировали себя в темной паутине для поиска экспертов и передавали функции на аутсорсинг . Это привело к повышению качества программ-вымогателей и их успеху. Вместо случайных писем банды крали учетные данные, находили уязвимости в целевых сетях и улучшали вредоносное ПО, чтобы избежать обнаружения сканерами антивирусного ПО. Требуемые выкупы выросли до гораздо больших сумм (миллионов), которые предприятие заплатило бы за восстановление своих данных, а не тех, которые заплатил бы отдельный человек за свои документы (сотни).

В 2016 году был отмечен значительный рост атак программ-вымогателей на больницы. Согласно отчету об угрозах безопасности в Интернете за 2017 год от Symantec Corp, программы-вымогатели затронули не только ИТ-системы, но и уход за пациентами, клинические операции и выставление счетов. Онлайн-преступники могут быть мотивированы доступными деньгами и чувством срочности в системе здравоохранения. ^[72]

Число программ-вымогателей стремительно растёт среди пользователей Интернета, а также в среде IoT. ^[57] Большая проблема заключается в том, что некоторые организации и отрасли, которые решили заплатить, теряют миллионы долларов, например, Hollywood Presbyterian Medical Center и MedStar Health. ^[73]

Согласно отчету Symantec 2019 ISTR, в 2018 году впервые с 2013 года наблюдалось снижение активности программ-вымогателей на 20 процентов. До 2017 года основными жертвами были потребители, но в 2017 году ситуация кардинально изменилась, и она переместилась на предприятия. В 2018 году этот путь ускорился с 81 процентом заражений, что представляет собой рост на 12 процентов. ^[74] Сегодня распространенный метод распространения основан на кампаниях по электронной почте.

В конце 2019 года группа вымогателей Maze скачивала конфиденциальные файлы компаний, прежде чем заблокировать их, и угрожала публичной утечкой данных, если выкуп не будет выплачен; по крайней мере в одном случае они это сделали. За ними последовали многие другие банды; в даркнете были созданы «сайты утечек», где можно было получить доступ к украденным данным. Более поздние атаки были сосредоточены на угрозе утечки данных, без обязательной их блокировки — это сводило на нет защиту, предоставляемую жертвам надежными процедурами резервного копирования. По состоянию на 2023 год ^{[обновлять]}существует риск того, что враждебные правительства будут использовать вымогателей, чтобы скрыть то, что на самом деле является сбором разведывательной информации. ^[75]

Первая зарегистрированная смерть в результате атаки с использованием вируса-вымогателя произошла в немецкой больнице в октябре 2020 года. ^[76]

Значительное увеличение атак с использованием программ-вымогателей произошло во время пандемии COVID-19 2020 года . Доказательства показали, что целевыми учреждениями этих атак были правительство, финансы и здравоохранение. Исследователи утверждают, что несколько различных факторов могут объяснить рост атак в это время. Однако основным фактором является то, что удаленная работа , которая стала нормой для многих отраслей в 2020 году, привела к всплеску атак из-за отсутствия безопасности по сравнению с традиционной рабочей средой. ^[77]

Известные цели атак

Известные программные пакеты

Реветон

Полезная нагрузка Reveton, мошенническим образом утверждающая, что пользователь должен заплатить штраф столичной полицейской службе

В 2012 году начал распространяться крупный троян-вымогатель, известный как Reveton. Основанный на трояне Citadel (который, в свою очередь, основан на трояне Zeus ), его полезная нагрузка отображает предупреждение якобы от правоохранительных органов, утверждающее, что компьютер использовался для незаконной деятельности, такой как загрузка нелицензионного программного обеспечения или детской порнографии . Из-за такого поведения его обычно называют «полицейским трояном». ^{[78] [79] [80]} Предупреждение информирует пользователя о том, что для разблокировки системы ему придется заплатить штраф, используя ваучер от анонимного предоплаченного кассового сервиса, такого как Ukash или paysafecard . Чтобы усилить иллюзию того, что компьютер отслеживается правоохранительными органами, на экране также отображается IP-адрес компьютера, в то время как некоторые версии отображают кадры с веб-камеры жертвы, создавая иллюзию того, что пользователя записывают. ^{[7] [81]}

Reveton изначально начал распространяться в различных европейских странах в начале 2012 года. ^[7] Варианты были локализованы с шаблонами, брендированными логотипами различных правоохранительных организаций в зависимости от страны пользователя; например, варианты, используемые в Соединенном Королевстве, содержали брендинг таких организаций, как Metropolitan Police Service и Police National E-Crime Unit . Другая версия содержала логотип общества по сбору роялти PRS for Music , которое конкретно обвиняло пользователя в незаконной загрузке музыки. ^[82] В заявлении, предупреждающем общественность о вредоносном ПО, Metropolitan Police пояснила, что они никогда не будут блокировать компьютер таким образом в рамках расследования. ^{[7] [18]}

В мае 2012 года исследователи угроз Trend Micro обнаружили шаблоны для вариаций для США и Канады , что позволяет предположить, что его авторы планировали нацелиться на пользователей в Северной Америке. ^[83] К августу 2012 года в США начал распространяться новый вариант Reveton, утверждавший, что требует уплаты штрафа в размере 200 долларов США ФБР с помощью карты MoneyPak . ^{[8] [9] [81]} В феврале 2013 года гражданин России был арестован в Дубае испанскими властями за его связь с преступной группировкой, которая использовала Reveton; еще десять человек были арестованы по обвинению в отмывании денег . ^[84] В августе 2014 года компания Avast Software сообщила, что обнаружила новые варианты Reveton, которые также распространяют вредоносное ПО для кражи паролей в качестве части своей полезной нагрузки. ^[85]

КриптоЛокер

Шифрующее ПО-вымогатель снова появилось в сентябре 2013 года с трояном, известным как CryptoLocker , который генерировал пару ключей RSA длиной 2048 бит и загружал их в свою очередь на сервер управления и контроля, а также использовал для шифрования файлов с использованием белого списка определенных расширений файлов . Вредоносное ПО угрожало удалить закрытый ключ, если в течение 3 дней с момента заражения не будет произведен платеж в биткоинах или предоплаченный кассовый чек. Из-за чрезвычайно большого размера используемого ключа аналитики и пострадавшие от трояна посчитали, что CryptoLocker чрезвычайно сложно восстановить. ^{[27] [86] [87] [88]} Даже после того, как крайний срок прошел, закрытый ключ все еще можно было получить с помощью онлайн-инструмента, но цена возросла до 10 BTC, что по состоянию на ноябрь 2013 года стоило примерно 2300 долларов США. ^{[89] [90]}

CryptoLocker был изолирован в результате захвата ботнета Gameover ZeuS в рамках операции Tovar , о чем официально объявило Министерство юстиции США 2 июня 2014 года. Министерство юстиции также публично вынесло обвинительное заключение против российского хакера Евгения Богачева за его предполагаемую причастность к ботнету. ^{[91] [92]} Было подсчитано, что до отключения вредоносного ПО было вымогательство не менее 3 миллионов долларов США. ^[12]

CryptoLocker.F и TorrentLocker

В сентябре 2014 года всплыла волна троянских программ-вымогателей, которые сначала были нацелены на пользователей в Австралии под названиями CryptoWall и CryptoLocker (который, как и CryptoLocker 2.0, не связан с оригинальным CryptoLocker). Трояны распространялись через мошеннические электронные письма, выдававшие себя за уведомления о неудачной доставке посылок от Australia Post ; чтобы избежать обнаружения автоматическими сканерами электронной почты, которые переходят по всем ссылкам на странице для сканирования на наличие вредоносного ПО, этот вариант был разработан так, чтобы требовать от пользователей посещения веб-страницы и ввода кода CAPTCHA до фактической загрузки полезной нагрузки, что не позволяло таким автоматизированным процессам сканировать полезную нагрузку. Symantec определила, что эти новые варианты, которые она идентифицировала как CryptoLocker.F , снова не были связаны с оригинальным CryptoLocker из-за различий в их работе. ^{[93] [94]} Известной жертвой троянов стала Australian Broadcasting Corporation ; Прямая трансляция на новостном телеканале ABC News 24 была прервана на полчаса и перенесена в студию Мельбурна из-за заражения компьютеров в студии в Сиднее вирусом CryptoWall . ^{[95] [96] [97]}

Другой троян этой волны, TorrentLocker , изначально содержал недостаток дизайна, сопоставимый с CryptoDefense; он использовал один и тот же поток ключей для каждого зараженного компьютера, что делало шифрование тривиальным для преодоления. Однако этот недостаток был позже исправлен. ^[40] К концу ноября 2014 года было подсчитано, что более 9000 пользователей были инфицированы TorrentLocker только в Австралии, уступая только Турции с 11700 заражениями. ^[98]

КриптоСтена

Другой крупный троян-вымогатель, нацеленный на Windows, CryptoWall, впервые появился в 2014 году. Один из штаммов CryptoWall был распространен в рамках вредоносной рекламной кампании в рекламной сети Zedo в конце сентября 2014 года, которая была нацелена на несколько крупных веб-сайтов; реклама перенаправлялась на мошеннические веб-сайты, которые использовали эксплойты плагинов браузера для загрузки полезной нагрузки. Исследователь Barracuda Networks также отметил, что полезная нагрузка была подписана цифровой подписью , чтобы казаться заслуживающей доверия для программного обеспечения безопасности. ^[99] CryptoWall 3.0 использовал полезную нагрузку, написанную на JavaScript , как часть вложения электронной почты, которое загружает исполняемые файлы, замаскированные под изображения JPG . Чтобы еще больше избежать обнаружения, вредоносная программа создает новые экземпляры explorer.exe и svchost.exe для связи со своими серверами. При шифровании файлов вредоносная программа также удаляет теневые копии томов и устанавливает шпионское ПО, которое крадет пароли и кошельки Bitcoin . ^[100]

В июне 2015 года ФБР сообщило, что около 1000 жертв обратились в Центр жалоб на интернет-преступления бюро , чтобы сообщить о случаях заражения CryptoWall, и оценили убытки в размере не менее 18 миллионов долларов. ^[13]

Самая последняя ^{[ когда? ]} версия, CryptoWall 4.0, усовершенствовала свой код, чтобы избежать обнаружения антивирусами, и шифрует не только данные в файлах, но и имена файлов. ^[101]

Фусоб

Fusob — это крупное семейство мобильных программ-вымогателей. В период с апреля 2015 года по март 2016 года около 56 процентов зарегистрированных мобильных программ-вымогателей составляли Fusob. ^[102]

Как и большинство других программ-вымогателей, он использует тактику запугивания, чтобы вымогать у пользователя солидную сумму. ^[103] Приложение действует так, как будто это уведомление от властей , требующее от жертвы заплатить штраф от 100 до 200 долларов США или в противном случае столкнуться с фиктивным уголовным обвинением. Fusob запрашивает подарочные карты iTunes для оплаты, в отличие от большинства программ-вымогателей, ориентированных на криптовалюту.

Для заражения устройств Fusob маскируется под порнографический видеоплеер. ^[104] При установке он сначала проверяет системный язык устройства. Если язык русский или восточноевропейский, Fusob остается бездействующим. В противном случае он блокирует устройство и требует выкуп. Около 40% жертв находятся в Германии, в то время как на Великобританию приходится 14,5% жертв, а на США — 11,4%. Fusob и Small (еще одно семейство программ-вымогателей) составили более 93% мобильных программ-вымогателей в период с 2015 по 2016 год.

WannaCry

В мае 2017 года в Интернете распространилась атака вируса-вымогателя WannaCry с использованием вектора эксплойта EternalBlue , который, как утверждается, был получен из Агентства национальной безопасности США . Беспрецедентная по масштабам атака вируса-вымогателя ^[105] заразила более 230 000 компьютеров в более чем 150 странах ^[106] , используя 20 различных языков, чтобы требовать деньги от пользователей, используя криптовалюту Bitcoin . WannaCry требовал 300 долларов США за компьютер ^[107] . Атака затронула Telefónica и несколько других крупных компаний в Испании, а также части Британской национальной службы здравоохранения (NHS), где по меньшей мере 16 больниц были вынуждены отказать пациентам или отменить запланированные операции ^{[108] ,} FedEx , Deutsche Bahn , Honda , ^[109] Renault , а также Министерство внутренних дел России и российский телекоммуникационный оператор МегаФон . ^[110] Злоумышленники дали своим жертвам 7-дневный срок с момента заражения их компьютеров, после чего зашифрованные файлы будут удалены. ^[111]

Петя

Petya был впервые обнаружен в марте 2016 года; в отличие от других форм шифрующих программ-вымогателей, вредоносная программа была нацелена на заражение главной загрузочной записи , устанавливая полезную нагрузку, которая шифрует таблицы файлов файловой системы NTFS при следующей загрузке зараженной системы, блокируя загрузку Windows до тех пор, пока не будет выплачен выкуп. Check Point сообщила, что, несмотря на то, что она считала инновационной эволюцией в дизайне программ-вымогателей, она привела к относительно меньшему количеству заражений, чем другие программы-вымогатели, действовавшие примерно в то же время. ^[112]

27 июня 2017 года сильно модифицированная версия Petya была использована для глобальной кибератаки, в первую очередь нацеленной на Украину (но затронувшей многие страны ^[113] ). Эта версия была модифицирована для распространения с использованием того же эксплойта EternalBlue, который использовался WannaCry. Из-за другого изменения конструкции он также не может фактически разблокировать систему после уплаты выкупа; это привело к тому, что аналитики по безопасности предположили, что атака не была направлена ​​на получение незаконной прибыли, а просто на создание сбоев. ^{[114] [115]}

Плохой Кролик

24 октября 2017 года некоторые пользователи в России и Украине сообщили о новой атаке с использованием программы-вымогателя под названием «Bad Rabbit», которая следует схеме, схожей с WannaCry и Petya, шифруя таблицы файлов пользователя, а затем требуя оплату в биткоинах за их расшифровку. ESET считает, что программа-вымогатель распространялась с помощью поддельного обновления программного обеспечения Adobe Flash . ^[116] Среди агентств, пострадавших от программы-вымогателя, были: «Интерфакс» , Международный аэропорт Одесса , Киевский метрополитен и Министерство инфраструктуры Украины. ^[117] Поскольку программа-вымогатель использовала корпоративные сетевые структуры для распространения, она была обнаружена и в других странах, включая Турцию, Германию, Польшу, Японию, Южную Корею и США. ^[118] Эксперты полагают, что атака вируса-вымогателя была связана с атакой Petya на Украине (особенно потому, что код Bad Rabbit имеет много пересекающихся и аналогичных элементов с кодом Petya/NotPetya, ^[119] добавляя к CrowdStrike, что Bad Rabbit и динамическая библиотека (DLL) NotPetya разделяют 67 процентов одного и того же кода ^[120] ), хотя единственной идентификацией виновников являются имена персонажей из сериала «Игра престолов» , встроенные в код. ^[118]

Эксперты по безопасности обнаружили, что вирус-вымогатель не использовал эксплойт EternalBlue для распространения, а простой способ заражения незараженной машины, работающей под управлением старых версий Windows, был найден 24 октября 2017 года. ^{[121] [122]} Кроме того, сайты, которые использовались для распространения поддельного обновления Flash, отключились или удалили проблемные файлы в течение нескольких дней после его обнаружения, что фактически остановило распространение Bad Rabbit. ^[118]

СэмСэм

В 2016 году появился новый штамм вируса-вымогателя, нацеленный на серверы JBoss . ^[123] Было обнаружено, что этот штамм, названный «SamSam», обходит процесс фишинга или незаконных загрузок в пользу эксплуатации уязвимостей на слабых серверах. ^[124] Вредоносная программа использует атаку методом подбора по протоколу удаленного рабочего стола , чтобы угадывать слабые пароли, пока один из них не будет взломан. Вирус стоял за атаками на правительственные и медицинские объекты, при этом заметные взломы были совершены против города Фармингтон, штат Нью-Мексико , Департамента транспорта Колорадо , округа Дэвидсон, Северная Каролина , и совсем недавно, ^{[ когда? ]} атака вируса-вымогателя на инфраструктуру Атланты . ^[124]

Мохаммад Мехди Шах Мансури (родился в Куме , Иран , в 1991 году) и Фарамарз Шахи Саванди (родился в Ширазе , Иран , в 1984 году) разыскиваются ФБР по подозрению в запуске вируса-вымогателя SamSam. ^[125] Эти двое предположительно заработали 6 миллионов долларов на вымогательстве и нанесли ущерб на сумму более 30 миллионов долларов с помощью вредоносного ПО. ^[126]

DarkSide

7 мая 2021 года была совершена кибератака на трубопровод Colonial Pipeline в США. Федеральное бюро расследований идентифицировало DarkSide как виновника атаки с использованием вредоносного кода , которая привела к добровольному отключению основного трубопровода, поставляющего 45% топлива на восточное побережье США . Атака была описана как самая страшная кибератака на сегодняшний день на критическую инфраструктуру США . DarkSide успешно вымогала около 75 биткойнов (почти 5 миллионов долларов США) у трубопровода Colonial Pipeline. Чиновники США расследуют, была ли атака чисто криминальной или имела место при участии российского правительства или другого государственного спонсора. После атаки DarkSide опубликовала заявление, в котором утверждалось, что «Мы аполитичны, мы не участвуем в геополитике ... Наша цель — зарабатывать деньги, а не создавать проблемы для общества».

В мае 2021 года ФБР и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустили совместное предупреждение, призывающее владельцев и операторов критически важной инфраструктуры предпринять определенные шаги для снижения своей уязвимости к программам-вымогателям DarkSide и программам-вымогателям в целом.

Сыскей

Syskey — это утилита, которая была включена в операционные системы на базе Windows NT для шифрования базы данных учетных записей пользователей , опционально с паролем. Инструмент иногда эффективно использовался как программа-вымогатель во время мошенничества с технической поддержкой , когда звонящий с удаленным доступом к компьютеру может использовать инструмент, чтобы заблокировать пользователя от его компьютера с паролем, известным только ему. ^[127] Syskey был удален из более поздних версий Windows 10 и Windows Server в 2017 году из-за того, что он устарел и «известно, что используется хакерами как часть мошенничества с программами-вымогателями». ^{[128] [129]}

Программа-вымогатель как услуга

Ransomware-as-a-service (RaaS) стал заметным методом после того, как базирующаяся в России ^[130] или русскоязычная ^[131] группа REvil организовала операции против нескольких целей, включая базирующуюся в Бразилии JBS SA в мае 2021 года и базирующуюся в США Kaseya Limited в июле 2021 года. ^[132] После телефонного разговора 9 июля 2021 года между президентом США Джо Байденом и президентом России Владимиром Путиным Байден заявил прессе: «Я очень ясно дал ему понять, что Соединенные Штаты ожидают, что когда операция по вымогательству исходит с его территории, даже если она не спонсируется государством, мы ожидаем, что они будут действовать, если мы предоставим им достаточно информации, чтобы действовать в отношении того, кто это». Позже Байден добавил, что Соединенные Штаты отключат серверы группы, если Путин этого не сделает. ^{[133] [134]} Четыре дня спустя веб-сайты и другая инфраструктура REvil исчезли из интернета. ^[135]

Смягчение

Если атака подозревается или обнаружена на ранних стадиях, для ее шифрования требуется некоторое время; немедленное удаление вредоносного ПО (относительно простой процесс) до ее завершения остановит дальнейший ущерб данным, не спасая уже потерянные данные. ^{[136] [137]}

Эксперты по безопасности предложили меры предосторожности для борьбы с программами-вымогателями. Использование программного обеспечения или других политик безопасности для блокировки запуска известных полезных нагрузок поможет предотвратить заражение, но не защитит от всех атак ^{[27] [138]} Таким образом, наличие надлежащего решения для резервного копирования является критически важным компонентом защиты от программ-вымогателей. Обратите внимание, что, поскольку многие злоумышленники, использующие программы-вымогатели, не только шифруют работающую машину жертвы, но и пытаются удалить любые горячие резервные копии, хранящиеся локально или на доступном по сети NAS , также важно поддерживать «офлайновые» резервные копии данных, хранящихся в местах, недоступных с любого потенциально зараженного компьютера , таких как внешние накопители или устройства, которые не имеют доступа к какой-либо сети (включая Интернет) , что предотвращает доступ к ним со стороны программ-вымогателей. Более того, если используется NAS или облачное хранилище , то компьютер должен иметь разрешение только на добавление в целевое хранилище, чтобы он не мог удалять или перезаписывать предыдущие резервные копии. По данным Comodo , применение двух методов сокращения поверхности атаки на ОС / ядре обеспечивает существенное сокращение поверхности атаки, что приводит к повышению уровня безопасности. ^{[139] [140] [141]}

Установка обновлений безопасности , выпущенных поставщиками программного обеспечения, может смягчить уязвимости, используемые определенными штаммами для распространения. ^{[142] [143] [144] [145] [146]} Другие меры включают кибергигиену — соблюдение осторожности при открытии вложений и ссылок электронной почты , сегментацию сети и изоляцию критически важных компьютеров от сетей. ^{[147] [148]} Кроме того, для смягчения распространения программ-вымогателей могут применяться меры контроля заражения . ^[149] К ним могут относиться отключение зараженных машин от всех сетей, образовательные программы, ^[150] эффективные каналы связи, наблюдение за вредоносным ПО ^{[ оригинальное исследование? ]} и способы коллективного участия ^[149]

В августе 2021 года Агентство по кибербезопасности и безопасности инфраструктуры (CISA) опубликовало отчет, в котором содержались рекомендации по смягчению атак программ-вымогателей. Это произошло из-за значительного увеличения числа недавних атак, связанных с программами-вымогателями. Эти атаки включали агрессию против американской трубопроводной компании и компании-разработчика программного обеспечения, что повлияло на клиентов MSP , находящихся ниже по течению . ^[151]

Защита файловой системы от программ-вымогателей

Ряд файловых систем хранят моментальные снимки хранящихся в них данных, которые можно использовать для восстановления содержимого файлов, существовавшего до атаки программы-вымогателя, в случае, если программа-вымогатель не отключит ее.

• В Windows теневое копирование тома (VSS) часто используется для хранения резервных копий данных; программы-вымогатели часто нацелены на эти моментальные снимки, чтобы предотвратить восстановление, и поэтому часто рекомендуется отключить доступ пользователя к пользовательскому инструменту VSSadmin.exe , чтобы снизить риск того, что программы-вымогатели могут отключить или удалить предыдущие копии.
• В Windows 10 пользователи могут добавлять определенные каталоги или файлы в контролируемый доступ к папкам в Защитнике Windows, чтобы защитить их от программ-вымогателей. ^[152] Рекомендуется добавлять резервные копии и другие важные каталоги в контролируемый доступ к папкам.
• Если только вредоносное ПО не получит root-доступ к хост-системе ZFS, развернув атаку, закодированную для выдачи административных команд ZFS, файловые серверы, работающие под управлением ZFS, в целом невосприимчивы к программам-вымогателям, поскольку ZFS способна делать снимки даже большой файловой системы много раз в час, и эти снимки являются неизменяемыми (только для чтения) и легко откатываются, а файлы восстанавливаются в случае повреждения данных. ^[153] Как правило, только администратор может удалять (но не может изменять) снимки.

Расшифровка и восстановление файлов

Существует ряд инструментов, специально предназначенных для расшифровки файлов, заблокированных программой-вымогателем, хотя успешное восстановление может оказаться невозможным. ^{[2] [154]} Если для всех файлов используется один и тот же ключ шифрования, инструменты расшифровки используют файлы, для которых существуют как неповрежденные резервные копии, так и зашифрованные копии ( атака с использованием известного открытого текста на жаргоне криптоанализа . Но это работает только в том случае, если шифр, использованный злоумышленником, изначально был слабым и был уязвим для атаки с использованием известного открытого текста); восстановление ключа, если оно возможно, может занять несколько дней. ^[155] Бесплатные инструменты дешифрования программ-вымогателей могут помочь расшифровать файлы, зашифрованные следующими формами программ-вымогателей: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. ^[156] Шифрование программ-вымогателей, взломанное исследователями безопасности, обычно используется в преступных целях; таким образом, на практике большинство атак невозможно отменить, взломав шифрование. ^[157]

Проект No More Ransom — это инициатива Национального подразделения по борьбе с высокотехнологичными преступлениями полиции Нидерландов , Европейского центра по борьбе с киберпреступностью Европола , «Лаборатории Касперского» и McAfee, призванная помочь жертвам программ-вымогателей восстановить свои данные без уплаты выкупа. ^[158] Они предлагают бесплатный инструмент CryptoSheriff для анализа зашифрованных файлов и поиска инструментов дешифрования. ^[159]

Кроме того, на диске могут существовать старые копии файлов, которые были ранее удалены. В некоторых случаях эти удаленные версии все еще могут быть восстановлены с помощью программного обеспечения, предназначенного для этой цели .

Расследование ProPublica 2019 года показало, что компании по кибербезопасности Proven Data Recovery и Monstercloud, которые рекламировали услуги по дешифрованию без выкупа, обычно просто платили выкуп и взимали с жертвы более высокую цену. ^[157] Хакеры SamSam так часто имели дело с Proven Data, что рекомендовали эту компанию жертвам, испытывающим технические трудности с оплатой. ^[157] Другие компании, такие как Coveware, были более прозрачны в предоставлении услуг по оплате хакерам и исправлению небезопасных систем. ^[157] Многие американские жертвы обнаружили, что сумма выкупа была слишком низкой, чтобы соответствовать порогу Министерства юстиции США для федерального вмешательства, но что у местной полиции не было технических возможностей помочь, и часто они сами становились жертвами. ^[157]

Уголовные аресты и обвинительные приговоры

Заин Кайзер

Британский студент Зейн Кайзер из Баркинга, Лондон, был приговорен к шести годам тюрьмы в Королевском суде Кингстона-апон-Темз за свои атаки с использованием программ-вымогателей в 2019 году. ^[160] Говорят, что он был «самым плодовитым киберпреступником, осужденным в Великобритании». Он начал действовать, когда ему было всего 17 лет. Он связался с российским контролером одной из самых мощных атак, предположительно, с вредоносной бандой Lurk, и договорился о разделе своей прибыли. Он также связался с онлайн-преступниками из Китая и США, чтобы перевести деньги. ^[160] Около полутора лет он выдавал себя за законного поставщика онлайн-рекламы книг на некоторых из самых посещаемых в мире веб-сайтов с легальной порнографией. Каждое из объявлений, которые продвигались на веб-сайтах, содержало штамм Reveton Ransomware вредоносного набора эксплойтов Angler (AEK) ^[161] , который захватывал контроль над машиной. Следователи обнаружили около 700 000 фунтов стерлингов дохода, хотя его сеть могла заработать более 4 миллионов фунтов стерлингов. Он мог спрятать часть денег, используя криптовалюты. Программа-вымогатель инструктировала жертв покупать ваучеры GreenDot MoneyPak и вводить код на панели Reveton, отображаемой на экране. Эти деньги поступали на счет MoneyPak, управляемый Кайзером, который затем вносил платежи по ваучерам на счет дебетовой карты своего американского сообщника, Рэймонда Одиги Уадиале. Уадиале был студентом Международного университета Флориды в 2012 и 2013 годах, а затем работал в Microsoft. Уадиале конвертировал деньги в цифровую валюту Liberty Reserve и вносил ее на счет Liberty Reserve Кайзера. ^[162]

Прорыв в этом деле произошел в мае 2013 года, когда власти нескольких стран захватили серверы Liberty Reserve, получив доступ ко всем его транзакциям и истории счетов. Кайзер запускал зашифрованные виртуальные машины на своем Macbook Pro с операционными системами Mac и Windows. ^[163] Его нельзя было судить раньше, поскольку он был помещен (недобровольно помещен) в соответствии с Законом Великобритании о психическом здоровье 1983 года в больницу Goodmayes , где он, как было обнаружено, использовал больничный Wi-Fi для доступа к своим рекламным сайтам. Его адвокат утверждал, что Кайзер страдал психическим заболеванием. ^[160] Российская полиция арестовала 50 членов банды вредоносного ПО Lurk в июне 2016 года. ^[164] Уадиале, натурализованный гражданин США нигерийского происхождения, был заключен в тюрьму на 18 месяцев. ^[165]

Проблемы свободы слова и уголовное наказание

Публикация кода атаки доказательства концепции распространена среди академических исследователей и исследователей уязвимостей. Она обучает природе угрозы, передает серьезность проблем и позволяет разрабатывать и внедрять контрмеры. Однако законодатели при поддержке правоохранительных органов рассматривают возможность сделать создание программ-вымогателей незаконным. В штате Мэриленд первоначальный проект HB 340 сделал создание программ-вымогателей уголовным преступлением, наказуемым тюремным заключением сроком до 10 лет. ^[166] Однако это положение было удалено из окончательной версии законопроекта. ^{[ необходима цитата ]} Несовершеннолетний в Японии был арестован за создание и распространение кода программ-вымогателей. ^[167] Янг и Юнг имели исходный код ANSI C для криптотрояна-вымогателя в сети на сайте cryptovirology.com с 2005 года в рамках написания книги по криптовирусологии . Исходный код криптотрояна все еще доступен в Интернете и связан с черновиком Главы 2. ^[168]

Смотрите также

• Атака вируса-вымогателя Colonial Pipeline  – Атака вируса-вымогателя на американскую систему нефтепроводов
• BlueKeep (уязвимость безопасности)  – дыра в безопасности WindowsСтраницы, отображающие краткие описания целей перенаправления
• Балансирование на грани войны  – Политическая и военная тактика
• Hitler-Ransomware  – Форма вымогателя
• Jigsaw (программа-вымогатель)  – шифрующая программа-вымогатель, созданная в 2016 году.
• Только добавление  – свойство хранения компьютерных данных
• Рискованное ПО  – программное обеспечение, представляющее опасность для хост-компьютера.
• Ryuk (программа-вымогатель)  – Тип программы-вымогателя
• Надежность техники  – раздел системной инженерии, который уделяет особое внимание надежности.
• Воздушный зазор (сеть)  – Мера безопасности сети
• Избыточность данных  – наличие дополнительных данных к фактическим данным, которые могут позволить исправить ошибки в хранимых или передаваемых данных.Страницы, отображающие описания викиданных в качестве резерва
• Отказоустойчивость  – устойчивость систем к отказам компонентов или ошибкам
• Надежность (компьютерные сети)  – возможность подтверждения протокола
• Однонаправленная сеть  — сетевое устройство, допускающее передачу данных только в одном направлении.
• Отказоустойчивая компьютерная система  – Устойчивость систем к отказам компонентов или ошибкамСтраницы, отображающие краткие описания целей перенаправления
• Византийская ошибка  – ошибка в компьютерной системе, которая проявляется по-разному у разных наблюдателей.
• Квантовое византийское соглашение  – Квантовая версия протокола византийского соглашения
• Задача двух генералов  – Мысленный эксперимент
• Команда по борьбе с программами-вымогателями  – документальная книга 2022 года Рене Дадли и Дэниела Голдена
• Первоначальный брокер доступа  – Хакер, продающий доступ к взломанным компьютерам

Ссылки

1. Янг, А.; М. Юнг (1996). Криптовирусология: угрозы безопасности, основанные на вымогательстве, и контрмеры . Симпозиум IEEE по безопасности и конфиденциальности. стр. 129–140. doi :10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
2. Schofield, Jack (28 июля 2016 г.). «Как удалить заражение программой-вымогателем?». The Guardian . Получено 28 июля 2016 г.
3. Mimoso, Michael (28 марта 2016 г.). «Petya Ransomware Master File Table Encryption». threatpost.com . Получено 28 июля 2016 г.
4. Джастин Луна (21 сентября 2016 г.). «Mamba ransomware шифрует ваш жесткий диск, манипулирует процессом загрузки». Newlin . Получено 5 ноября 2016 г.
5. Мин, Донхён; Ко, Юнгву; Уокер, Райан; Ли, Чонхи; Ким, Ёнджэ (июль 2022 г.). «Обнаружение программ-вымогателей на основе контента и резервный твердотельный накопитель для защиты от программ-вымогателей». Труды IEEE по автоматизированному проектированию интегральных схем и систем . 41 (7): 2038–2051. doi : 10.1109/TCAD.2021.3099084. ISSN  0278-0070. S2CID  237683171.
6. Кэмерон, Делл (13 мая 2017 г.). «Сегодняшнюю массированную атаку программ-вымогателей можно было в основном предотвратить; вот как ее избежать». Gizmodo . Получено 13 мая 2017 г.
7. Данн, Джон Э. «Трояны-вымогатели распространяются за пределы российского сердца». TechWorld. Архивировано из оригинала 2 июля 2014 г. Получено 10 марта 2012 г.
8. "Новое интернет-мошенничество: программы-вымогатели..." ФБР. 9 августа 2012 г.
9. «Вредоносное ПО Citadel продолжает распространять вирус-вымогатель Reveton...» Центр жалоб на преступления в Интернете (IC3). 30 ноября 2012 г.
10. "Программы-вымогатели снова в деле, 181,5 миллиона атак с января". Help Net Security . 11 июля 2018 г. Получено 20 октября 2018 г.
11. "Обновление: McAfee: Киберпреступники чаще всего используют вредоносное ПО и программы-вымогатели для Android". InfoWorld . 3 июня 2013 г. Получено 16 сентября 2013 г.
12. "Жертвы Cryptolocker получат файлы обратно бесплатно". BBC News. 6 августа 2014 г. Получено 18 августа 2014 г.
13. "ФБР утверждает, что крипто-вымогатели принесли киберпреступникам более 18 миллионов долларов". Ars Technica . 25 июня 2015 г. Получено 25 июня 2015 г.
14. "Internet Crime Report 2020" (PDF) . Ic3.gov . Получено 1 марта 2022 г. .
15. "Количество атак программ-вымогателей в 2022 году". Statista . Получено 4 июня 2023 г.
16. Young, Adam L.; Yung, Moti (2017). «Криптовирусология: рождение, пренебрежение и взрыв программ-вымогателей». Communications of the ACM . 60 (7): 24–26. doi :10.1145/3097347. S2CID  232783395. Получено 27 июня 2017 г.
17. "Программы-вымогатели выжимают из пользователей фиктивные требования активации Windows". Computerworld . 11 апреля 2011 г. Архивировано из оригинала 3 июля 2014 г. Получено 9 марта 2012 г.
18. "Полиция предупреждает о сообщениях о вымогательстве, отправленных от ее имени". Helsingin Sanomat . Получено 9 марта 2012 г.
19. McMillian, Robert (31 августа 2010 г.). «Московская полиция расследует деятельность предполагаемой банды, занимающейся вредоносным ПО». PC World . Архивировано из оригинала 4 ноября 2010 г. Получено 10 марта 2012 г.
20. "Программы-вымогатели: поддельное уведомление Федеральной полиции Германии (BKA)". SecureList (Лаборатория Касперского) . Получено 10 марта 2012 г.
21. "И теперь MBR-вымогатель". SecureList (Лаборатория Касперского) . Получено 10 марта 2012 г.
22. Адам Янг (2005). Чжоу, Цзяньин; Лопес, Хавьер (ред.). «Создание криптовируса с использованием криптографического API Microsoft». Информационная безопасность: 8-я международная конференция, ISC 2005. Springer -Verlag . стр. 389–401.
23. Янг, Адам (2006). «Криптовирусное вымогательство с использованием крипто-API Microsoft: могут ли крипто-API помочь врагу?». Международный журнал информационной безопасности . 5 (2): 67–76. doi :10.1007/s10207-006-0082-7. S2CID  12990192.
24. Данчев, Данчо (22 апреля 2009 г.). «Новый вирус-вымогатель блокирует ПК, требует премиум-СМС для удаления». ZDNet . Архивировано из оригинала 26 апреля 2009 г. Получено 2 мая 2009 г.
25. "Программа-вымогатель воспроизводит пиратскую карту Windows, требует 143 доллара". Computerworld . 6 сентября 2011 г. Архивировано из оригинала 3 июля 2014 г. Получено 9 марта 2012 г.
26. Ченг, Жаки (18 июля 2007 г.). «Новые трояны: дайте нам 300 долларов, или данные получат их!». Ars Technica . Получено 16 апреля 2009 г.
27. «Вы заражены — если хотите снова увидеть свои данные, заплатите нам 300 долларов в биткоинах». Ars Technica . 17 октября 2013 г. Получено 23 октября 2013 г.
28. "CryptoDefense ransomware leaves decryption key available". Computerworld . IDG. Апрель 2014. Архивировано из оригинала 3 июля 2014 . Получено 7 апреля 2014 .
29. "Что делать, если на ваш компьютер Windows нападает программа-вымогатель?". Techie Motto . Архивировано из оригинала 23 мая 2016 г. Получено 25 апреля 2016 г.
30. Адам, Салли (12 мая 2020 г.). «Состояние программ-вымогателей в 2020 году». Sophos News . Получено 18 сентября 2020 г.
31. Касснер, Майкл. «Программы-вымогатели: вымогательство через Интернет». TechRepublic . Получено 10 марта 2012 г.
32. Себастьян фон Солмс; Дэвид Наккаш (1992). «О слепых 'подписях и идеальных преступлениях» (PDF) . Компьютеры и безопасность . 11 (6): 581–583. doi :10.1016/0167-4048(92)90193-U. S2CID  23153906. Архивировано из оригинала (PDF) 26 октября 2017 г. . Получено 25 октября 2017 г. .
33. Шайбли, Сьюзан (26 сентября 2005 г.). «Файлы для выкупа». Network World . Получено 17 апреля 2009 г.
34. Лейден, Джон (24 июля 2006 г.). «Программы-вымогатели становятся все сложнее взломать». The Register . Получено 18 апреля 2009 г.
35. Нарейн, Райан (6 июня 2008 г.). «Вирус-вымогатель Blackmail возвращается с ключом шифрования 1024 бит». ZDNet . Архивировано из оригинала 3 августа 2008 г. Получено 3 мая 2009 г.
36. Лемос, Роберт (13 июня 2008 г.). «Программы-вымогатели, противостоящие попыткам взлома криптосистем». SecurityFocus . Получено 18 апреля 2009 г.
37. Кребс, Брайан (9 июня 2008 г.). «Программа-вымогатель шифрует файлы жертвы с помощью 1024-битного ключа». The Washington Post . Архивировано из оригинала 5 февраля 2013 г. Получено 16 апреля 2009 г.
38. "Лаборатория Касперского сообщает о новом опасном вирусе-шантажисте". Лаборатория Касперского . 5 июня 2008 г. Получено 11 июня 2008 г.
39. Violet Blue (22 декабря 2013 г.). «Криминальная волна CryptoLocker: след миллионов отмытых биткоинов». ZDNet . Получено 23 декабря 2013 г.
40. "Исправлена ​​ошибка шифрования в вредоносном ПО TorrentLocker, блокирующем файлы". PC World . 17 сентября 2014 г. Получено 15 октября 2014 г.
41. «Cryptolocker 2.0 – новая версия или копия?». WeLiveSecurity . ESET. 19 декабря 2013 г. Получено 18 января 2014 г.
42. "New CryptoLocker распространяется через съемные диски". Trend Micro. 26 декабря 2013 г. Архивировано из оригинала 4 ноября 2016 г. Получено 18 января 2014 г.
43. «Устройства Synology NAS подверглись атаке хакеров, требующих выкуп в биткоинах за расшифровку файлов». ExtremeTech . Ziff Davis Media. Архивировано из оригинала 19 августа 2014 г. Получено 18 августа 2014 г.
44. "Файл-шифрующее вымогательское ПО начинает атаковать веб-серверы Linux". PC World . IDG. 9 ноября 2015 г. Получено 31 мая 2016 г.
45. "Киберпреступники шифруют базы данных веб-сайтов при атаках "RansomWeb"". SecurityWeek . Архивировано из оригинала 20 апреля 2017 г. Получено 31 мая 2016 г.
46. "Хакеры удерживают веб-сайты с целью получения выкупа, меняя их ключи шифрования". The Guardian . Получено 31 мая 2016 г.
47. Берджесс, Мэтт. «Атака Конти против Коста-Рики открывает новую эру программ-вымогателей». Wired . ISSN  1059-1028 . Получено 11 июля 2024 г.
48. «Президент Родриго Чавес заявил, что Коста-Рика находится в состоянии войны с хакерами Conti». 18 мая 2022 г. Получено 11 июля 2024 г.
49. "Новый .LNK между спамом и заражением Locky". Blogs.technet.microsoft.com . 19 октября 2016 г. Получено 25 октября 2017 г.
50. Манкастер, Фил (13 апреля 2016 г.). «Эксплойты PowerShell обнаружены в более чем трети атак».
51. "Новый вирус-вымогатель использует Tor, чтобы оставаться скрытым от безопасности". The Guardian . Получено 31 мая 2016 г.
52. "Текущее состояние программ-вымогателей: CTB-Locker". Блог Sophos . Sophos. 31 декабря 2015 г. Получено 31 мая 2016 г.
53. Брук, Крис (4 июня 2015 г.). «Автор вируса-вымогателя Tox называет его закрытым и продает платформу» . Получено 6 августа 2015 г.
54. Дела Пас, Роланд (29 июля 2015 г.). «Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block». Архивировано из оригинала 2 августа 2015 г. Получено 6 августа 2015 г.
55. "Symantec классифицирует программы-вымогатели как самую опасную киберугрозу – Tech2". 22 сентября 2016 г. Архивировано из оригинала 25 апреля 2017 г. Получено 22 сентября 2016 г.
56. Лейден, Джон. «Российские полицейские надели наручники на 10 подозреваемых в использовании троянских программ-вымогателей». The Register . Получено 10 марта 2012 г.
57. O'Gorman, G.; McDonald, G. (2012), Ransonmware: A Growing Menace (PDF) , Symantec Security Response, Symantec Corporation , получено 5 октября 2019 г.
58. "Преступники продвигают вирус-вымогатель, размещенный на страницах GitHub и SourceForge, рассылая спам в виде "поддельных обнаженных фотографий" знаменитостей". TheNextWeb . 7 февраля 2013 г. Получено 17 июля 2013 г.
59. "Новое вредоносное ПО для OS X удерживает компьютеры Mac с целью получения выкупа и требует от ФБР штраф в размере 300 долларов за "просмотр или распространение" порно". TheNextWeb . 15 июля 2013 г. . Получено 17 июля 2013 г.
60. "Мужчина получает всплывающее окно с порно с вымогателем, идет в полицию, его арестовывают по обвинению в детской порнографии". Ars Technica . 26 июля 2013 г. Получено 31 июля 2013 г.
61. Янг, А. (2003). Игры с ненулевой суммой и вредоносное ПО, способное выживать . Семинар IEEE Systems, Man and Cybernetics Society по обеспечению безопасности информации. С. 24–29.
62. А. Янг, М. Юнг (2004). Вредоносная криптография: разоблачение криптовирусологии . Wiley. ISBN 978-0-7645-4975-5.
63. Arntz, Pieter (10 июля 2020 г.). "В центре внимания угроза: WastedLocker, настраиваемая программа-вымогатель". Malwarebytes Labs . Получено 27 июля 2020 г.
64. Рикер, Томас (27 июля 2020 г.). «Garmin подтверждает кибератаку, поскольку системы фитнес-трекинга возвращаются в строй». The Verge . Получено 27 июля 2020 г. .
65. "Программы-вымогатели на мобильных устройствах: тук-тук-блок". Лаборатория Касперского . 29 июня 2016 г. Получено 6 декабря 2016 г.
66. «Ваш телефон Android просматривал нелегальное порно. Чтобы разблокировать его, заплатите штраф в размере 300 долларов». Ars Technica . 6 мая 2014 г. Получено 9 апреля 2017 г.
67. "Новый Android-вымогатель использует clickjacking для получения прав администратора". PC World . 27 января 2016 г. Получено 9 апреля 2017 г.
68. «Вот как преодолеть недавно обнаруженное вредоносное ПО для iPhone». Fortune . Получено 9 апреля 2017 г.
69. "Мошенники-вымогатели использовали ошибку Safari для вымогательства денег у пользователей iOS, просматривающих порно". Ars Technica . 28 марта 2017 г. Получено 9 апреля 2017 г.
70. Аль-Хававрех, Муна; ден Хартог, Франк; Ситникова, Елена (2019). «Целевые программы-вымогатели: новая киберугроза для периферийной системы промышленного Интернета вещей». Журнал IEEE Internet of Things . 6 (4): 7137–7151. doi : 10.1109/JIOT.2019.2914390. S2CID  155469264.
71. Палмер, Дэнни. «Вот как вирус-вымогатель может заразить вашу цифровую камеру». ZDNet . Получено 13 августа 2019 г. .
72. Robeznieks, A. (2017). «Программы-вымогатели превращают кибербезопасность здравоохранения в проблему ухода за пациентами». Healthcare Business News . Healthcare Financial Management Association. Архивировано из оригинала 16 июня 2017 г.
73. Heater, Brian (13 апреля 2016 г.), «Растущая угроза программ-вымогателей» (PDF) , PC Magazine , дата обращения 5 октября 2019 г.
74. «Активность начинает снижаться, но остается проблемой для организаций», Internet Security Threat Report (ISTR) 2019 , т. 24, Symantec Corporation, стр. 16, 2019 , получено 5 октября 2019 г.
75. Дадли, Рене (17 июля 2023 г.). «Кто эти банды вирусов-вымогателей, сеющие хаос в крупнейших компаниях мира?». The Guardian .
76. Сообщается о первой смерти после атаки вируса-вымогателя на немецкую больницу, ZDNet , получено 5 октября 2020 г.
77. Биман, Крейг; Баркворт, Эшли; Аканде, Толувалопе Дэвид; Хакак, Сакиб; Хан, Мухаммад Хуррам (1 декабря 2021 г.). «Программы-вымогатели: последние достижения, анализ, проблемы и будущие направления исследований». Компьютеры и безопасность . 111 : 102490. doi : 10.1016/j.cose.2021.102490. ISSN  0167-4048. PMC 8463105. PMID 34602684  . 
78. "Gardaí предупреждает о вирусе-блокировщике компьютеров "Police Trojan". TheJournal.ie . 15 июня 2012 г. Получено 31 мая 2016 г.
79. "Barrie computer expert see an increase in the effects of the new ransomware". Barrie Examiner . Postmedia Network . Получено 31 мая 2016 г. .
80. "Фейковый полицейский троян "обнаруживает оскорбительные материалы" на ПК, требует денег". The Register . Получено 15 августа 2012 г.
81. "Reveton Malware замораживает ПК, требует оплаты". InformationWeek . Получено 16 августа 2012 г.
82. Данн, Джон Э. «Полицейское оповещение после того, как троян с требованием выкупа заблокировал 1100 ПК». TechWorld. Архивировано из оригинала 2 июля 2014 г. Получено 16 августа 2012 г.
83. Constantian, Lucian (9 мая 2012 г.). «Полицейское вирус-вымогатель начинает атаковать пользователей США и Канады». PC World . Получено 11 мая 2012 г.
84. "Reveton 'police ransom' глава вредоносной банды арестован в Дубае". TechWorld . Архивировано из оригинала 14 декабря 2014 года . Получено 18 октября 2014 года .
85. "Программа-вымогатель 'Reveton' обновлена ​​мощным средством кражи паролей". PC World . 19 августа 2014 г. Получено 18 октября 2014 г.
86. "Шифрующая диск вредоносная программа Cryptolocker требует 300 долларов за расшифровку ваших файлов". Geek.com . 11 сентября 2013 г. Архивировано из оригинала 4 ноября 2016 г. Получено 12 сентября 2013 г.
87. Фергюсон, Донна (19 октября 2013 г.). «Атаки CryptoLocker, которые удерживают ваш компьютер в ожидании выкупа». The Guardian . Получено 23 октября 2013 г.
88. «Разрушительное вредоносное ПО «CryptoLocker» на свободе – вот что делать». Naked Security . Sophos. 12 октября 2013 г. Получено 23 октября 2013 г.
89. "Мошенники CryptoLocker берут 10 биткоинов за услугу повторного расшифровывания". NetworkWorld . 4 ноября 2013 г. Архивировано из оригинала 5 ноября 2013 г. Получено 5 ноября 2013 г.
90. "Создатели CryptoLocker пытаются вымогать у жертв еще больше денег с помощью новой услуги". PC World . 4 ноября 2013 г. Получено 5 ноября 2013 г.
91. "Wham bam: Global Operation Tovar уничтожает CryptoLocker ransomware и GameOver Zeus botnet". Computerworld . IDG. Архивировано из оригинала 3 июля 2014 года . Получено 18 августа 2014 года .
92. "США возглавляют многонациональные действия против ботнета "Gameover Zeus" и вируса-вымогателя "Cryptolocker", предъявляют обвинения администратору ботнета". Justice.gov . Министерство юстиции США . Получено 18 августа 2014 г.
93. "Австралийцы все чаще страдают от глобальной волны криптомаслоев". Symantec . Получено 15 октября 2014 г.
94. Грабб, Бен (17 сентября 2014 г.). «Хакеры заблокировали тысячи австралийских компьютеров, требуют выкуп». Sydney Morning Herald . Получено 15 октября 2014 г.
95. "Австралия специально атакована Cryptolocker: Symantec". ARNnet . 3 октября 2014 г. Получено 15 октября 2014 г.
96. «Мошенники используют Australia Post для маскировки атак по электронной почте». Sydney Morning Herald . 15 октября 2014 г. Получено 15 октября 2014 г.
97. Стив Раган (7 октября 2014 г.). «Атака с использованием программ-вымогателей лишила телестанцию ​​эфира». CSO . Архивировано из оригинала 12 октября 2016 г. Получено 15 октября 2014 г.
98. «Более 9000 ПК в Австралии заражены программой-вымогателем TorrentLocker». CSO.com.au. 17 декабря 2014 г. Получено 18 декабря 2014 г.
99. «Вредоносная рекламная кампания поставляет вирус-вымогатель CryptoWall с цифровой подписью». PC World . 29 сентября 2014 г. Получено 25 июня 2015 г.
100. "CryptoWall 3.0 Ransomware сотрудничает с FAREIT Spyware". Trend Micro. 20 марта 2015 г. Получено 25 июня 2015 г.
101. Andra Zaharia (5 ноября 2015 г.). «Предупреждение о безопасности: CryptoWall 4.0 – новый, улучшенный и более сложный для обнаружения». HEIMDAL . Получено 5 января 2016 г.
102. "Программы-вымогатели на мобильных устройствах: тук-тук-блок". Лаборатория Касперского . 29 июня 2016 г. Получено 4 декабря 2016 г.
103. "Эволюция мобильных программ-вымогателей". Avast . Получено 4 декабря 2016 г.
104. "Увеличивается использование мобильных программ-вымогателей, блокирующих доступ к телефонам". PCWorld . IDG Consumer & SMB. 30 июня 2016 г. Получено 4 декабря 2016 г.
105. "Кибератака: Европол заявляет, что она была беспрецедентной по масштабу". BBC News . 13 мая 2017 г. . Получено 13 мая 2017 г. .
106. ««Беспрецедентная» кибератака затронула 200 000 человек по меньшей мере в 150 странах, и угроза растёт». CNBC. 14 мая 2017 г. Архивировано из оригинала 15 мая 2017 г. Получено 16 мая 2017 г.
107. «Настоящая жертва вируса-вымогателя: ваш местный магазин на углу». CNET . Получено 22 мая 2017 г.
108. Марш, Сара (12 мая 2017 г.). «Доверия NHS пострадали от вредоносного ПО – полный список». The Guardian . Получено 12 мая 2017 г.
109. "Honda останавливает японский автомобильный завод после того, как вирус WannaCry попал в компьютерную сеть". Reuters . 21 июня 2017 г. Получено 21 июня 2017 г.
110. "Последние новости: МВД России подверглось кибератаке". WTHR .
111. Скотт, Пол Мозур, Марк; Гоэль, Винду (19 мая 2017 г.). «Жертвы называют хакеров блефом, поскольку приближается крайний срок для программ-вымогателей». The New York Times . ISSN  0362-4331 . Получено 22 мая 2017 г.{{cite news}}: CS1 maint: несколько имен: список авторов ( ссылка )
112. Константин, Люциан. «Petya ransomware теперь приносит двойную беду». NetworkWorld . Получено 27 июня 2017 г.
113. "Статистика программ-вымогателей за 2018 год | Safety Detective". Safety Detective . 23 октября 2018 г. Получено 20 ноября 2018 г.
114. «Массовая вспышка вируса-вымогателя во вторник на самом деле была чем-то гораздо худшим». Ars Technica . 28 июня 2017 г. . Получено 28 июня 2017 г. .
115. «Эксперты говорят, что кибератака была направлена ​​на данные, а не на деньги». BBC News . 29 июня 2017 г. . Получено 29 июня 2017 г. .
116. "Программа-вымогатель Bad Rabbit атакует Украину и Россию". BBC . 24 октября 2017 г. Получено 24 октября 2017 г.
117. Херн, Алекс (25 октября 2017 г.). «Bad Rabbit: Game of Thrones-referencing ransomware hits Europe». Theguardian.com . Получено 25 октября 2017 г. .
118. Larson, Selena (25 октября 2017 г.). «Новая атака с использованием программ-вымогателей обрушилась на Россию и распространилась по всему миру». CNN . Получено 25 октября 2017 г.
119. "BadRabbit: более пристальный взгляд на новую версию Petya/NotPetya". Malwarebytes Labs . 24 октября 2017 г. Получено 31 июля 2019 г.
120. Палмер, Дэнни. «Bad Rabbit: Десять вещей, которые вам нужно знать о последней вспышке вирусов-вымогателей». ZDNet . Получено 31 июля 2019 г.
121. Кэмерон, Делл (24 октября 2017 г.). «Вирус-вымогатель Bad Rabbit атакует Россию и Украину». Gizmodo . Получено 24 октября 2017 г.
122. Палмер, Дэнни (24 октября 2017 г.). «Bad Rabbit ransomware: распространяется новый вариант Petya, предупреждают исследователи». ZDNet . Получено 24 октября 2017 г.
123. Рашид, Фахмида Й. (19 апреля 2016 г.). «Обновите JBoss сейчас, чтобы предотвратить атаки программ-вымогателей SamSam». InfoWorld . IDG . Получено 23 июля 2018 г. .
124. Crowe, Jonathan (март 2018 г.). «Город Атланта пострадал от вируса-вымогателя SamSam: 5 ключевых моментов, которые нужно знать». Barkley против вредоносных программ . Barkley Protects, Inc. Архивировано из оригинала 18 июля 2018 г. Получено 18 июля 2018 г.
125. Федеральное бюро расследований , Разыскивается ФБР: субъекты СэмСэма (PDF) , Министерство юстиции США , получено 5 октября 2019 г.
126. «Двое иранцев обвиняются в использовании вируса-вымогателя с целью вымогательства у больниц, муниципалитетов и государственных учреждений, что привело к убыткам на сумму более 30 миллионов долларов» (пресс-релиз). Министерство юстиции США. 28 ноября 2018 г. Получено 11 декабря 2018 г.
127. Уиттакер, Зак. «Мы поговорили с мошенниками из техподдержки Windows. Вот почему этого делать не стоит». ZDNet . Получено 6 ноября 2019 г.
128. "Windows 10 Fall Creators Update: прекращена поддержка syskey.exe". gHacks . 26 июня 2017 г. . Получено 6 ноября 2019 г. .
129. "Утилита Syskey.exe больше не поддерживается в Windows 10, Windows Server 2016 и Windows Server 2019". Microsoft . Получено 6 ноября 2019 г. .
130. «Российская группа вымогателей „REvil“ исчезает после атаки на американские компании». The Independent . 13 июля 2021 г.
131. «Плодовитая банда вирусов-вымогателей внезапно исчезает из интернета. Примечательно время». NBC News . 14 июля 2021 г.
132. «McAfee ATR анализирует Sodinokibi, также известную как REvil Ransomware-as-a-Service — The All-Stars». 2 октября 2019 г.
133. «Байден говорит Путину, что Россия должна бороться с киберпреступниками». AP NEWS . 9 июля 2021 г.
134. Sanger, David E. (13 июля 2021 г.). «Самая агрессивная в России группа вымогателей исчезла. Неясно, кто их отключил». The New York Times . Архивировано из оригинала 28 декабря 2021 г.
135. Брайан Фанг; Закари Коэн; Женева Сэндс (13 июля 2021 г.). «Банда вымогателей, атаковавшая поставщика мяса, таинственным образом исчезает из интернета». CNN Business .
136. Кэннелл, Джошуа (8 октября 2013 г.). «Cryptolocker Ransomware: что вам нужно знать», последнее обновление 06/02/2014. Malwarebytes Unpacked . Архивировано из оригинала 30 сентября 2021 г. Получено 19 октября 2013 г.
137. Лейден, Джош. «Fiendish CryptoLocker ransomware: Whatever you do, don't PAY». The Register . Архивировано из оригинала 13 августа 2021 г. Получено 18 октября 2013 г.
138. "Cryptolocker Infections on the Rise; US-CERT Issues Warning". SecurityWeek . 19 ноября 2013 г. Архивировано из оригинала 27 мая 2021 г. Получено 18 января 2014 г.
139. Метин, Озер. «Применение сокращения поверхности атаки». Comodo Cybersecurity . Архивировано из оригинала 5 октября 2021 г. Получено 27 августа 2020 г.
140. "Обзор возможностей сокращения поверхности атаки". Microsoft . Архивировано из оригинала 18 ноября 2021 г. . Получено 6 февраля 2020 г. .
141. "Запатентованная Comodo "виртуализация API ядра" – под капотом". Comodo Cybersecurity . Архивировано из оригинала 4 октября 2021 г. Получено 27 августа 2020 г.
142. «Вспышка вируса-вымогателя Petya становится глобальной». krebsonsecurity.com . Krebs on Security. 28 июня 2017 г. . Получено 29 июня 2017 г. .
143. "Как защитить себя от вредоносного ПО Petya". CNET . Получено 29 июня 2017 г.
144. «Атака вируса-вымогателя Petya: что следует делать, чтобы ваша безопасность не была скомпрометирована». The Economic Times . 29 июня 2017 г. Получено 29 июня 2017 г.
145. «Распространяется новая атака вируса-вымогателя «Petya»: что делать». Tom's Guide. 27 июня 2017 г. Получено 29 июня 2017 г.
146. "Индия больше всего пострадала от Petya в Азиатско-Тихоокеанском регионе, 7-е место в мире: Symantec". The Economic Times . 29 июня 2017 г. . Получено 29 июня 2017 г. .
147. "TRA выпускает рекомендации по защите от новейшего вируса-вымогателя Petya | The National". 29 июня 2017 г. Получено 29 июня 2017 г.
148. «Petya Ransomware Spreading Via EternalBlue Exploit « Threat Research Blog». FireEye. Архивировано из оригинала 13 февраля 2021 г. Получено 29 июня 2017 г.
149. Chang, Yao-Chung (2012). Киберпреступность в регионе Большого Китая: меры регулирования и профилактика преступности через Тайваньский пролив. Edward Elgar Publishing. ISBN 9780857936684. Получено 30 июня 2017 г. .
150. "Контроль инфекций для ваших компьютеров: защита от киберпреступности - Блог управления практикой врачей общей практики". Блог управления практикой врачей общей практики . 18 мая 2017 г. Получено 30 июня 2017 г.
151. Piper, DLA (2021). «Агентство по кибербезопасности и безопасности инфраструктуры выпускает руководство по борьбе с программами-вымогателями». Журнал интернет-права . 25 (1): 1–17 . Получено 3 декабря 2023 г.
152. "Как включить защиту от программ-вымогателей в Windows 10". WindowsLoop . 8 мая 2018 г. Получено 19 декабря 2018 г.
153. «Противостояние атакам CryptoLocker с помощью ZFS». ixsystems.com . 27 августа 2015 г.
154. "Список бесплатных инструментов дешифровки программ-вымогателей для разблокировки файлов". Thewindowsclub.com . Получено 28 июля 2016 г. .
155. "Emsisoft Decrypter for HydraCrypt and UmbreCrypt Ransomware". Thewindowsclub.com . 17 февраля 2016 . Получено 28 июля 2016 .
156. "Инструменты удаления программ-вымогателей" . Получено 19 сентября 2017 г. .
157. Рене Дадли; Джефф Као (15 мая 2019 г.). «Фирмы, хранящие коммерческую тайну и обещавшие высокотехнологичные решения для борьбы с программами-вымогателями, почти всегда просто платили хакерам».
158. "О проекте - The No More Ransom Project". Архивировано из оригинала 22 ноября 2021 г. Получено 3 декабря 2021 г.
159. "Crypto Sheriff - The No More Ransom Project". Архивировано из оригинала 26 октября 2021 г. Получено 3 декабря 2021 г.
160. "Зайн Кайзер: студент заключен в тюрьму за шантаж пользователей порно по всему миру". BBC News . 9 апреля 2019 г.
161. "Британский хакер Зейн Кайзер осужден за шантаж миллионов". 9 апреля 2019 г.
162. Чимпану, Каталин. «Распространитель вируса-вымогателя Reveton приговорен к шести годам тюрьмы в Великобритании». ZDNet .
163. «Как полиция поймала самого известного в Великобритании барона, занимающегося порновымогательством», Мэтт Берджесс, Wired , 12 апреля 2019 г.]
164. «Angler от Lurk: почему печально известная киберпреступная группировка, укравшая миллионы, сдавала в аренду свой самый мощный инструмент». usa.kaspersky.com . 26 мая 2021 г.
165. Николс, Шон (15 августа 2018 г.). «Житель Флориды отмывал деньги для программы-вымогателя Reveton. Затем Microsoft наняла его в Сан-Франциско». Theregister.com .
166. Филдс, Логан М. (25 февраля 2017 г.). «Отчет меньшинства – Неделя 7 – Половина пути». Мировые новости.
167. Вэй, Ван (6 июня 2017 г.). «14-летний японский мальчик арестован за создание вируса-вымогателя». The Hacker News.
168. Янг, Адам Л.; Юнг, Моти (2005). «Реализация криптовирусного вымогательства с использованием Microsoft's Crypto API» (PDF) . Cryptovirology Labs. Архивировано из оригинала (PDF) 24 июня 2016 г. . Получено 16 августа 2017 г. .

Дальнейшее чтение

• Янг, А.; Юнг, М. (2004). Вредоносная криптография: разоблачение криптовирусологии . Wiley. ISBN 978-0-7645-4975-5.
• Руссинович , Марк (7 января 2013 г.). «Выслеживание и уничтожение программ-вымогателей». Microsoft TechNet . Microsoft.
• Simonite, Tom (4 февраля 2015 г.). «Удержание данных в заложниках: идеальное интернет-преступление? Программа-вымогатель (Scareware)». MIT Technology Review . Архивировано из оригинала 27 ноября 2015 г. Получено 5 февраля 2015 г.
• Брэд, Дункан (2 марта 2015 г.). «Exploit Kits and CryptoWall 3.0». Блог Rackspace! & NewsRoom. Архивировано из оригинала 24 сентября 2015 г. Получено 15 апреля 2015 г.
• «Растет число программ-вымогателей: ФБР и партнеры работают над борьбой с этой киберугрозой». НОВОСТИ . Федеральное бюро расследований. 20 января 2015 г.
• Yang, T.; Yang, Y.; Qian, K.; Lo, DCT; Qian, L. и Tao, L. (2015). IEEE 17-я международная конференция по высокопроизводительным вычислениям и коммуникациям 2015 г., IEEE 7-й международный симпозиум по безопасности киберпространства 2015 г. и IEEE 12-я международная конференция по встроенному программному обеспечению и системам 2015 г. Журнал IEEE Internet of Things, КОНФЕРЕНЦИЯ, АВГУСТ 2015 г. стр. 1338–1343. doi :10.1109/HPCC-CSS-ICESS.2015.39. ISBN 978-1-4799-8937-9. S2CID  5374328.
• Рише, Жан-Лу (июль 2015 г.). «Вымогательство в Интернете: рост крипто-вымогателей» (PDF) . Гарвардский университет.
• Лиска, Аллан (20 октября 2021 г.). «Программы-вымогатели — понять. Предотвратить. Восстановить». Записано в Future . ActualTech Media.

Внешние ссылки

• Медиа, связанные с программой-вымогателем на Wikimedia Commons
• Число случаев использования программ-вымогателей растет – Федеральное бюро расследований
• Экономика вымогательства / Компании США и программы-вымогатели

Удаление программ-вымогателей