программы-вымогатели

Вредоносное ПО, используемое для требования выкупа

Программы-вымогатели — это тип криптовирусного вредоносного ПО , которое навсегда блокирует доступ к личным данным жертвы , если не будет уплачен выкуп. В то время как некоторые простые программы-вымогатели могут заблокировать систему, не повреждая файлы, более продвинутые вредоносные программы используют метод, называемый криптовирусным вымогательством. Он шифрует файлы жертвы, делая их недоступными, и требует выкуп за их расшифровку. ^{[1] [2] [3] [4] [5]} При правильно реализованной криптовирусной атаке-вымогательстве восстановление файлов без ключа дешифрования является неразрешимой проблемой, а цифровые валюты, которые трудно отследить, такие как paysafecard или биткойн и другие Для выкупа используются криптовалюты , что затрудняет отслеживание и преследование преступников.

Атаки программ-вымогателей обычно осуществляются с использованием трояна, замаскированного под законный файл, который пользователя обманом заставляют загрузить или открыть, когда он приходит в виде вложения к электронному письму. Однако один громкий пример — червь WannaCry — автоматически перемещался между компьютерами без вмешательства пользователя. ^[6]

Начиная с 1989 года, когда появилась первая задокументированная программа-вымогатель, известная как троян СПИДа , использование программ-вымогателей выросло во всем мире. ^{[7] [8] [9]} За первые шесть месяцев 2018 года было совершено 181,5 миллиона атак с использованием программ-вымогателей. Этот рекорд означает увеличение на 229% по сравнению с тем же периодом 2017 года. ^[10] В июне 2014 года поставщик McAfee опубликовал данные, показывающие, что что в этом квартале было собрано более чем вдвое больше образцов программ-вымогателей, чем в том же квартале предыдущего года. ^[11] CryptoLocker был особенно успешным, заработав около 3 миллионов долларов США, прежде чем он был закрыт властями, ^[12] а CryptoWall, по оценкам Федерального бюро расследований США (ФБР), к июню 2015 года накопил более 18 миллионов долларов США. ^[13] В 2020 году IC3 получила 2474 жалобы, идентифицированные как программы-вымогатели, скорректированные убытки составили более 29,1 миллиона долларов. По данным ФБР, потери могут быть больше. ^[14] Во всем мире, по данным Statistica , в 2021 году было совершено около 623 миллионов атак с использованием программ-вымогателей, а в 2022 году — 493 миллиона. ^[15]

Операция

Концепция программ-вымогателей, шифрующих файлы, была изобретена и реализована Янгом и Юнгом в Колумбийском университете и представлена ​​на конференции IEEE Security & Privacy в 1996 году. Это называется криптовирусным вымогательством , и оно было вдохновлено вымышленным лицехватом из фильма «Чужой» . ^[16] Криптовирусное вымогательство представляет собой следующий трехраундовый протокол между злоумышленником и жертвой. ^[1]

1. [злоумышленник→жертва] Злоумышленник генерирует пару ключей и помещает соответствующий открытый ключ во вредоносное ПО. Вредоносное ПО выпущено.
2. [жертва→злоумышленник] Для осуществления криптовирусной атаки-вымогательства вредоносное ПО генерирует случайный симметричный ключ и шифрует с его помощью данные жертвы. Он использует открытый ключ вредоносного ПО для шифрования симметричного ключа. Это известно как гибридное шифрование , и в результате получается небольшой асимметричный зашифрованный текст, а также симметричный зашифрованный текст данных жертвы. Он обнуляет симметричный ключ и исходные данные открытого текста, чтобы предотвратить восстановление. Он отправляет пользователю сообщение, содержащее асимметричный зашифрованный текст и информацию о том, как заплатить выкуп. Жертва отправляет злоумышленнику асимметричный зашифрованный текст и электронные деньги.
3. [атакующий→жертва] Злоумышленник получает платеж, расшифровывает асимметричный зашифрованный текст с помощью закрытого ключа злоумышленника и отправляет симметричный ключ жертве. Жертва расшифровывает зашифрованные данные с помощью необходимого симметричного ключа, тем самым завершая криптовирусную атаку.

Симметричный ключ генерируется случайным образом и не поможет другим жертвам. Закрытый ключ злоумышленника ни в коем случае не становится доступен жертвам, и жертве достаточно отправить злоумышленнику очень небольшой зашифрованный текст (зашифрованный ключ симметричного шифрования).

Атаки программ-вымогателей обычно осуществляются с использованием трояна , проникающего в систему через, например, вредоносное вложение, встроенную ссылку в фишинговом электронном письме или уязвимость в сетевой службе. Затем программа запускает полезную нагрузку , которая каким-либо образом блокирует систему или утверждает, что блокирует систему, но этого не делает (например, программа- пугающее ПО ). Полезные нагрузки могут отображать ложное предупреждение, якобы сделанное такой организацией, как правоохранительный орган , ложно утверждая, что система использовалась для незаконной деятельности, содержит такой контент, как порнография и «пиратские» медиа . ^{[17] [18] [19]}

Некоторые полезные нагрузки состоят просто из приложения, предназначенного для блокировки или ограничения системы до тех пор, пока не будет произведена оплата, обычно путем установки оболочки Windows на себя ^[20] или даже изменения главной загрузочной записи и/или таблицы разделов , чтобы предотвратить загрузку операционной системы. пока его не отремонтируют. ^[21] Самые сложные полезные нагрузки шифруют файлы, причем многие из них используют стойкое шифрование для шифрования файлов жертвы таким образом, что только автор вредоносного ПО имеет необходимый ключ дешифрования. ^{[1] [22] [23]}

Практически всегда целью является оплата, и жертву принуждают заплатить за удаление программы-вымогателя либо путем предоставления программы, которая может расшифровать файлы, либо путем отправки кода разблокировки, который отменяет изменения полезных данных. Хотя злоумышленник может просто забрать деньги, не возвращая файлы жертвы, в интересах злоумышленника выполнить расшифровку в соответствии с соглашением, поскольку жертвы перестанут отправлять платежи, если станет известно, что они бесполезны. Ключевым элементом работы программы-вымогателя для злоумышленника является удобная платежная система, которую трудно отследить. Был использован ряд таких способов оплаты, включая банковские переводы , текстовые сообщения с повышенным тарифом , ^[24] услуги предоплаченных ваучеров , такие как paysafecard , ^{[7] [25] [26]} и криптовалюту Биткойн . ^{[27] [28] [29]}

В мае 2020 года поставщик Sophos сообщил, что средняя глобальная стоимость устранения атаки программы-вымогателя (с учетом времени простоя, времени людей, стоимости устройства, стоимости сети, упущенных возможностей и уплаченного выкупа) составила 761 106 долларов США. Данные девяносто пяти процентов организаций, заплативших выкуп, были восстановлены. ^[30]

История

Шифрование программ-вымогателей

Первая известная атака с целью вымогательства вредоносного ПО, «троян СПИДа» , написанная Джозефом Поппом в 1989 году, имела настолько серьезный конструктивный сбой, что платить вымогателю вообще не пришлось платить. Его полезная нагрузка скрывала файлы на жестком диске и шифровала только их имена , а также отображала сообщение о том, что срок действия лицензии пользователя на использование определенной части программного обеспечения истек. Пользователя попросили заплатить 189 долларов США компании PC Cyborg Corporation, чтобы получить инструмент для восстановления, хотя ключ дешифрования можно было извлечь из кода трояна. Троянец также был известен как «PC Cyborg». Поппа признали психически неспособным предстать перед судом за свои действия, но он пообещал пожертвовать прибыль от вредоносного ПО на финансирование исследований СПИДа . ^[31]

Идея использования анонимных денежных систем для безопасного сбора выкупа за похищение людей была выдвинута в 1992 году Себастьяном фон Зольмсом и Дэвидом Наккешем . ^[32] Этот метод сбора электронных денег также был предложен для атак с использованием криптовирусов. ^[1] В сценарии фон Зольмса-Наккеша использовалась газетная публикация (поскольку на момент написания статьи не существовало реестров биткойнов).

Идея использования криптографии с открытым ключом для атак по похищению данных была предложена в 1996 году Адамом Л. Янгом и Моти Юнгом . Янг и Юнг раскритиковали неудавшийся информационный троян о СПИДе, который полагался только на симметричную криптографию , фатальный недостаток заключался в том, что ключ дешифрования мог быть извлечен из трояна, и внедрили экспериментальный криптовирус для проверки концепции на Macintosh SE/30 , который использовал RSA. и алгоритм Tiny Encryption Algorithm (TEA) для гибридного шифрования данных жертвы. Поскольку используется криптография с открытым ключом , вирус содержит только ключ шифрования . Злоумышленник сохраняет соответствующий закрытый ключ дешифрования в тайне . В оригинальном экспериментальном криптовирусе Янга и Юнга жертва отправляла асимметричный зашифрованный текст злоумышленнику, который его расшифровывал и за определенную плату возвращал жертве содержащийся в нем симметричный ключ дешифрования. Задолго до появления электронных денег Янг и Юнг предположили, что электронные деньги можно также вымогать с помощью шифрования, заявив, что «создатель вируса может эффективно удерживать весь денежный выкуп до тех пор, пока ему не будет передана половина. Даже если электронные деньги были ранее зашифрованное пользователем, оно бесполезно для пользователя, если оно будет зашифровано криптовирусом». ^[1] Они назвали эти атаки « криптовирусным вымогательством», открытой атакой, которая является частью более широкого класса атак в области, называемой криптовирусологией , которая включает в себя как открытые, так и скрытые атаки. ^[1] Протокол криптовирусного вымогательства был вдохновлен паразитическими отношениями между лицехватом в исполнении Х. Р. Гигера и его хозяином в фильме « Чужой» . ^{[1] [16]}

Примеры программ-вымогателей стали заметными в мае 2005 года. ^[33] К середине 2006 года трояны, такие как Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip и MayArchive, начали использовать более сложные схемы шифрования RSA с постоянно увеличивающимся ключом. -размеры. Gpcode.AG, обнаруженный в июне 2006 года, был зашифрован с помощью 660-битного открытого ключа RSA. ^[34] В июне 2008 года был обнаружен вариант, известный как Gpcode.AK. Считалось, что при использовании 1024-битного ключа RSA он достаточно велик, чтобы его невозможно было взломать без согласованных распределенных усилий. ^{[35] [36] [37] [38]}

Шифрование программ-вымогателей вернулось к известности в конце 2013 года с распространением CryptoLocker — использования платформы цифровой валюты Биткойн для сбора денег в качестве выкупа. В декабре 2013 года ZDNet подсчитала, основываясь на информации о транзакциях биткойнов, что в период с 15 октября по 18 декабря операторы CryptoLocker получили от зараженных пользователей около 27 миллионов долларов США. ^[39] Техника CryptoLocker широко копировалась в последующие месяцы, включая CryptoLocker 2.0 (считалось, что она не связана с CryptoLocker), CryptoDefense (которая изначально содержала серьезный конструктивный недостаток, заключавшийся в сохранении закрытого ключа зараженной системы в доступном для пользователя файле) . location из-за использования встроенных в Windows API-интерфейсов шифрования), ^{[28] [40] [41] [42]} и обнаружения в августе 2014 года трояна, специально нацеленного на сетевые устройства хранения данных производства Synology . ^[43] В январе 2015 года сообщалось, что атаки с использованием программ-вымогателей происходили против отдельных веб-сайтов посредством взлома, а также с помощью программ-вымогателей, предназначенных для атак на веб-серверы на базе Linux . ^{[44] [45] [46]}

При некоторых инфекциях существует двухэтапная полезная нагрузка, характерная для многих вредоносных систем. Пользователя обманом заставляют запустить скрипт, который загружает основной вирус и запускает его. В ранних версиях системы двойной полезной нагрузки сценарий содержался в документе Microsoft Office с прикрепленным макросом VBScript или в файле средства сценариев Windows (WSF). Когда системы обнаружения начали блокировать эти полезные данные первого этапа, Центр защиты от вредоносных программ Microsoft выявил тенденцию к использованию файлов LNK с автономными сценариями Microsoft Windows PowerShell . ^[47] В 2016 году было обнаружено, что PowerShell участвует почти в 40% инцидентов безопасности конечных точек, ^[48]

Некоторые разновидности программ-вымогателей используют прокси-серверы , привязанные к скрытым службам Tor , для подключения к своим серверам управления и контроля , что затрудняет отслеживание точного местонахождения преступников. ^{[49] [50]} Кроме того, поставщики даркнета все чаще ^{[ когда? ]} начал предлагать технологию как услугу , при которой программы-вымогатели продаются, готовые к развертыванию на компьютерах жертв, на основе подписки, аналогично Adobe Creative Cloud или Office 365. ^{[50] [51] [52]}

Symantec отнесла программы-вымогатели к наиболее опасным киберугрозам. ^[53]

Нешифрующие программы-вымогатели

В августе 2010 года российские власти арестовали девять человек, связанных с трояном-вымогателем, известным как WinLock. В отличие от предыдущего трояна Gpcode, WinLock не использовал шифрование. Вместо этого WinLock тривиально ограничил доступ к системе, показав порнографические изображения, и попросил пользователей отправить SMS по повышенному тарифу (стоимостью около 10 долларов США), чтобы получить код, который можно было бы использовать для разблокировки их компьютеров. Мошенничество затронуло многочисленных пользователей в России и соседних странах, что, как сообщается, принесло группе более 16 миллионов долларов США. ^{[19] [54]}

В 2011 году появился троян-вымогатель, который имитировал уведомление об активации продукта Windows и сообщал пользователям, что установку Windows необходимо повторно активировать, поскольку «[являюсь] жертвой мошенничества». Предлагался вариант онлайн-активации (как и сам процесс активации Windows), но он был недоступен, и пользователю требовалось позвонить на один из шести международных номеров и ввести 6-значный код. Хотя вредоносная программа утверждала, что этот звонок будет бесплатным, он был направлен через мошеннического оператора в стране с высокими международными тарифами на телефонную связь, который поставил звонок на удержание, в результате чего с пользователя взималась крупная плата за международную междугородную связь . ^[17]

В 2012 году Symantec сообщила о распространении по Восточной Европе программы-вымогателя с экраном блокировки, якобы требующей правоохранительных органов оплаты за незаконную деятельность. ^[55]

В феврале 2013 года появился троян-вымогатель на основе эксплойт-кита Stamp.EK ; Вредоносное ПО распространялось через сайты, размещенные на хостинговых сервисах проекта SourceForge и GitHub , которые утверждали, что предлагают «поддельные обнаженные фотографии» знаменитостей. ^[56] В июле 2013 года появился троян-вымогатель, специфичный для OS X , который отображает веб-страницу, обвиняющую пользователя в загрузке порнографии. В отличие от своих аналогов на базе Windows, он не блокирует весь компьютер, а просто использует поведение самого веб-браузера , чтобы препятствовать попыткам закрыть страницу обычными способами. ^[57]

В июле 2013 года 21-летний мужчина из Вирджинии, чей компьютер по совпадению действительно содержал порнографические фотографии несовершеннолетних девочек, с которыми он общался сексуального характера, сдался полиции после того, как получил и был обманут программой-вымогателем ФБР MoneyPak, обвинившей его в хранении детская порнография. В ходе расследования были обнаружены компрометирующие материалы, и мужчине были предъявлены обвинения в сексуальном насилии над детьми и хранении детской порнографии. ^[58]

Эксфильтрация (утечка/Doxware)

Обратной стороной программы-вымогателя является криптовирусная атака, изобретенная Адамом Л. Янгом, которая угрожает опубликовать украденную информацию из компьютерной системы жертвы, а не лишить жертву доступа к ней. ^[59] При атаке с помощью утечки вредоносное ПО передает конфиденциальные данные хоста либо злоумышленнику, либо, альтернативно, удаленным экземплярам вредоносного ПО, и злоумышленник угрожает опубликовать данные жертвы, если не будет заплачен выкуп. Атака была представлена ​​в Вест-Пойнте в 2003 году и кратко описана в книге « Вредоносная криптография» следующим образом: «Атака отличается от атаки с вымогательством следующим образом. заплатить, чтобы получить ее обратно, тогда как в представленной здесь атаке жертва сохраняет доступ к информации, но ее раскрытие остается на усмотрение компьютерного вируса». ^[60] Атака основана на теории игр и первоначально называлась «игры с ненулевой суммой и живучие вредоносные программы». Атака может принести денежную выгоду в тех случаях, когда вредоносное ПО получает доступ к информации, которая может нанести ущерб пользователю или организации-жертве, например, репутационный ущерб, который может возникнуть в результате публикации доказательства того, что сама атака была успешной.

Общие цели эксфильтрации включают в себя:

• информация третьих лиц, хранящаяся основной жертвой (например, информация об учетной записи клиента или медицинские записи);
• информация, являющаяся собственностью жертвы (например, коммерческая тайна и информация о продукте)
• смущающая информация (например, информация о здоровье жертвы или информация о личном прошлом жертвы)

Атаки с эксфильтрацией обычно являются целенаправленными, с тщательно подобранным списком жертв и зачастую с предварительным наблюдением за системами жертвы с целью обнаружения потенциальных объектов данных и слабых мест. ^{[61] [62]}

Мобильные программы-вымогатели

С ростом популярности программ-вымогателей на платформах ПК также распространяется распространение программ-вымогателей, нацеленных на мобильные операционные системы . Как правило, полезные нагрузки мобильных программ-вымогателей являются блокировщиками, поскольку нет смысла шифровать данные, поскольку их можно легко восстановить с помощью онлайн-синхронизации. ^[63] Мобильные программы-вымогатели обычно нацелены на платформу Android , поскольку позволяют устанавливать приложения из сторонних источников. ^{[63] [64]} Полезная нагрузка обычно распространяется в виде APK-файла , устанавливаемого ничего не подозревающим пользователем; он может попытаться отобразить сообщение о блокировке поверх всех других приложений, ^[64] в то время как другое использовало форму кликджекинга , чтобы заставить пользователя предоставить ему права «администратора устройства» для достижения более глубокого доступа к системе. ^[65]

На устройствах iOS использовались различные тактики , такие как использование учетных записей iCloud и использование системы «Найти iPhone» для блокировки доступа к устройству. ^[66] В iOS 10.3 Apple исправила ошибку в обработке всплывающих окон JavaScript в Safari , которая использовалась веб-сайтами-вымогателями. ^[67] Это недавно ^{[ когда? ]} было показано, что программы-вымогатели также могут атаковать архитектуры ARM, подобные тем, которые можно найти в различных устройствах Интернета вещей (IoT), таких как периферийные устройства Industrial IoT. ^[68]

В августе 2019 года исследователи продемонстрировали возможность заражения зеркальных камер программой-вымогателем. ^[69] Цифровые камеры часто используют протокол передачи изображений (PTP — стандартный протокол, используемый для передачи файлов). Исследователи обнаружили, что можно использовать уязвимости в протоколе для заражения целевой камеры (камер) программой-вымогателем (или выполнения любого произвольного кода). Эта атака была представлена ​​на конференции по безопасности Defcon в Лас-Вегасе как доказательство концепции атаки (а не как настоящее вооруженное вредоносное ПО).

Развитие атак

Первые атаки были направлены на случайных пользователей, обычно заражавшихся через вложения к электронной почте, отправленных небольшими группами преступников, требующих несколько сотен долларов в криптовалюте для разблокировки файлов (обычно фотографий и документов частного лица), зашифрованных программой-вымогателем. По мере того, как программы-вымогатели развивались как бизнес, в эту область вышли организованные банды, рекламирующие в темной сети экспертов и выполняющие функции аутсорсинга . Это привело к улучшению качества программы-вымогателя и ее успеху. Вместо случайных электронных писем банды похитили учетные данные, нашли уязвимости в целевых сетях и усовершенствовали вредоносное ПО, чтобы избежать обнаружения антивирусными сканерами. Требуемые выкупы возросли до гораздо больших сумм (миллионов), которые предприятие заплатило бы за восстановление своих данных, а не той суммы, которую физическое лицо заплатило бы за свои документы (сотни).

В 2016 году был отмечен значительный рост атак программ-вымогателей на больницы. Согласно отчету Symantec Corp. об угрозах интернет-безопасности за 2017 год, программы-вымогатели затронули не только ИТ-системы, но и уход за пациентами, клинические операции и выставление счетов. Интернет-преступники могут руководствоваться доступными деньгами и ощущением срочности в системе здравоохранения. ^[70]

Программы-вымогатели быстро распространяются среди пользователей Интернета, а также в среде IoT. ^[55] Большая проблема заключается в том, что некоторые организации и отрасли, которые решили платить, такие как Голливудский пресвитерианский медицинский центр и MedStar Health, теряют миллионы долларов. ^[71]

Согласно отчету Symantec 2019 ISTR, впервые с 2013 года в 2018 году наблюдалось снижение активности программ-вымогателей на 20 процентов. До 2017 года предпочтительными жертвами были потребители, но в 2017 году ситуация резко изменилась: дело перешло к предприятиям. В 2018 году этот путь ускорился: число заражений составило 81 процент, что представляет собой рост на 12 процентов. ^[72] Сегодня распространенный метод распространения основан на кампаниях по электронной почте.

В конце 2019 года группа вымогателей Maze загрузила конфиденциальные файлы компаний, прежде чем заблокировать их, и пригрозила обнародовать данные, если выкуп не будет выплачен; по крайней мере в одном случае они это сделали. За ними последовали многие другие банды; В даркнете были созданы «сайты утечки», где можно было получить доступ к украденным данным. Более поздние атаки были сосредоточены на угрозе утечки данных без обязательной их блокировки — это сводило на нет защиту, обеспечиваемую жертвам надежными процедурами резервного копирования. По состоянию на 2023 год ^{[обновлять]}существует риск того, что враждебные правительства будут использовать программы-вымогатели, чтобы скрыть то, что на самом деле является сбором разведывательной информации. ^[73]

Первая зарегистрированная смерть в результате атаки программы-вымогателя произошла в немецкой больнице в октябре 2020 года. ^[74]

Известные цели атаки

Известные пакеты программного обеспечения

Реветон

Полезная нагрузка Reveton, мошеннически утверждающая, что пользователь должен заплатить штраф столичной полицейской службе.

В 2012 году начал распространяться крупный троян-вымогатель, известный как Reveton. Основанный на трояне Citadel (который, в свою очередь, основан на трояне Zeus ), его полезная нагрузка отображает предупреждение якобы от правоохранительного органа, утверждающее, что компьютер использовался для незаконной деятельности, такой как загрузка нелицензионного программного обеспечения или детской порнографии . Из-за такого поведения его часто называют «полицейским трояном». ^{[75] [76] [77]} Предупреждение информирует пользователя о том, что для разблокировки системы ему придется заплатить штраф, используя ваучер анонимной предоплаченной кассовой службы, такой как Ukash или paysafecard . Чтобы усилить иллюзию того, что компьютер отслеживается правоохранительными органами, на экране также отображается IP-адрес компьютера, а в некоторых версиях отображаются кадры с веб-камеры жертвы , чтобы создать иллюзию того, что пользователя записывают. ^{[7] [78]}

Первоначально Reveton начал распространяться в различных европейских странах в начале 2012 года. ^[7] Варианты были локализованы с использованием шаблонов с логотипами различных правоохранительных организаций в зависимости от страны пользователя; например, варианты, используемые в Соединенном Королевстве, содержали брендинг таких организаций, как Служба столичной полиции и Национальное подразделение полиции по борьбе с электронными преступлениями . Другая версия содержала логотип общества по сбору роялти PRS for Music , которое конкретно обвиняло пользователя в незаконном скачивании музыки. ^[79] В заявлении, предупреждающем общественность о вредоносном ПО, столичная полиция пояснила, что они никогда не будут блокировать компьютер таким образом в рамках расследования. ^{[7] [18]}

В мае 2012 года исследователи угроз Trend Micro обнаружили шаблоны вариантов для США и Канады , что позволяет предположить, что их авторы, возможно, планировали ориентироваться на пользователей в Северной Америке. ^[80] К августу 2012 года в США начал распространяться новый вариант Реветона, утверждающий, что он требует уплаты ФБР штрафа в 200 долларов с помощью карты MoneyPak . ^{[8] [9] [78]} В феврале 2013 года гражданин России был арестован в Дубае испанскими властями за его связь с преступной группировкой, которая использовала Реветон; еще десять человек были арестованы по обвинению в отмывании денег . ^[81] В августе 2014 года компания Avast Software сообщила, что обнаружила новые варианты Reveton, которые также распространяют вредоносное ПО для кражи паролей как часть своей полезной нагрузки. ^[82]

КриптоЛоккер

Шифрование программ-вымогателей вновь появилось в сентябре 2013 года с трояном, известным как CryptoLocker , который генерировал 2048-битную пару ключей RSA и, в свою очередь, загружал их на сервер управления и контроля и использовал для шифрования файлов с использованием белого списка определенных расширений файлов . Вредоносная программа угрожала удалить закрытый ключ, если платеж в биткойнах или предоплаченный денежный ваучер не будет произведен в течение 3 дней после заражения. Из-за чрезвычайно большого размера ключа, который он использует, аналитики и те, кто пострадал от трояна, сочли CryptoLocker чрезвычайно трудным для восстановления. ^{[27] [83] [84] [85]} Даже после истечения крайнего срока закрытый ключ все еще можно было получить с помощью онлайн-инструмента, но цена увеличится до 10 BTC, что по состоянию на ноябрь 2013 года стоило примерно 2300 долларов США. ^{[ 86] [87]}

CryptoLocker был изолирован в результате захвата ботнета Gameover ZeuS в рамках операции «Товар» , о чем официально объявило Министерство юстиции США 2 июня 2014 года. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богачеву за его предполагаемое участие. в ботнете. ^{[88] [89]} Было подсчитано, что до закрытия с помощью вредоносного ПО было вытащено не менее 3 миллионов долларов США. ^[12]

CryptoLocker.F и TorrentLocker

В сентябре 2014 года появилась волна троянов-вымогателей, которые сначала были нацелены на пользователей в Австралии под названиями CryptoWall и CryptoLocker (которые, как и CryptoLocker 2.0, не связаны с исходным CryptoLocker). Трояны распространялись через мошеннические электронные письма, выдававшие себя за неудавшиеся уведомления о доставке посылок от Почты Австралии ; Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые переходят по всем ссылкам на странице для сканирования на наличие вредоносного ПО, этот вариант был разработан таким образом, чтобы требовать от пользователей посещения веб-страницы и ввода кода CAPTCHA перед фактической загрузкой полезной нагрузки, предотвращая такие автоматические процессы возможность сканировать полезную нагрузку. Symantec определила, что эти новые варианты, которые были идентифицированы как CryptoLocker.F , снова не связаны с исходным CryptoLocker из-за различий в их работе. ^{[90] [91]} Заметной жертвой троянов стала Австралийская радиовещательная корпорация ; прямые трансляции на новостном телеканале ABC News 24 были прерваны на полчаса и перенесены в студии в Мельбурне из-за заражения CryptoWall на компьютерах студии в Сиднее . ^{[92] [93] [94]}

Другой троян из этой волны, TorrentLocker , изначально содержал конструктивный недостаток, сравнимый с CryptoDefense; он использовал один и тот же поток ключей для каждого зараженного компьютера, что делало шифрование простым для преодоления. Однако позже этот недостаток был исправлен. ^[40] По оценкам, к концу ноября 2014 года TorrentLocker заразились более 9 000 пользователей только в Австралии, уступая только Турции с 11 700 заражениями. ^[95]

КриптоСтена

Другой крупный троян-вымогатель, нацеленный на Windows, CryptoWall, впервые появился в 2014 году. Один из вариантов CryptoWall был распространен в рамках вредоносной рекламной кампании в рекламной сети Zedo в конце сентября 2014 года, нацеленной на несколько крупных веб-сайтов; реклама перенаправлялась на мошеннические веб-сайты, которые использовали эксплойты плагинов браузера для загрузки полезной нагрузки. Исследователь Barracuda Networks также отметил, что полезная нагрузка была подписана цифровой подписью , чтобы обеспечить надежность программного обеспечения безопасности. ^[96] CryptoWall 3.0 использовал полезную нагрузку, написанную на JavaScript, как часть вложения электронной почты, которая загружала исполняемые файлы, замаскированные под изображения JPG . Чтобы еще больше избежать обнаружения, вредоносная программа создает новые экземпляры explorer.exe и svchost.exe для связи со своими серверами. При шифровании файлов вредоносная программа также удаляет теневые копии томов и устанавливает шпионское ПО, которое крадет пароли и биткойн-кошельки . ^[97]

В июне 2015 года ФБР сообщило, что около 1000 жертв обратились в Центр рассмотрения жалоб на интернет-преступления ФБР, чтобы сообщить о заражении CryptoWall, и оценили убытки как минимум в 18 миллионов долларов. ^[13]

Самый последний ^{[ когда? ]} версия CryptoWall 4.0 усовершенствовала свой код, чтобы избежать обнаружения антивирусом, и шифрует не только данные в файлах, но и имена файлов. ^[98]

Фюсоб

Fusob — крупное семейство мобильных программ-вымогателей. В период с апреля 2015 года по март 2016 года около 56 процентов зарегистрированных мобильных программ-вымогателей составляли Fusob. ^[99]

Как и большинство других программ-вымогателей, он использует тактику запугивания, чтобы вымогать у пользователя огромную сумму. ^[100] Приложение действует так, как если бы оно было уведомлением от властей , требующим от жертвы заплатить штраф от 100 до 200 долларов США или иным образом предъявить фиктивное уголовное обвинение. Fusob запрашивает подарочные карты iTunes для оплаты, в отличие от большинства программ-вымогателей, ориентированных на криптовалюту.

Для заражения устройств Fusob маскируется под порнографический видеоплеер. ^[101] При установке сначала проверяется системный язык устройства. Если язык русский или восточноевропейский, Фусоб остается дремлющим. В противном случае он блокирует устройство и требует выкуп. Около 40% жертв приходится на Германию, в Великобритании – 14,5% жертв, а в США – 11,4%. Fusob и Small (еще одно семейство программ-вымогателей) представляли более 93% мобильных программ-вымогателей в период с 2015 по 2016 год.

Хочу плакать

В мае 2017 года атака программы-вымогателя WannaCry распространилась по Интернету с использованием вектора эксплойта под названием EternalBlue , который предположительно был утек из Агентства национальной безопасности США . Атака программы-вымогателя, беспрецедентная по своим масштабам, ^[102] заразила более 230 000 компьютеров в более чем 150 странах, ^[103] используя 20 различных языков для требования денег от пользователей, использующих криптовалюту Биткойн . WannaCry требовала 300 долларов США за компьютер. ^[104] Атака затронула Telefónica и несколько других крупных компаний в Испании, а также подразделения Британской национальной службы здравоохранения (NHS), где по меньшей мере 16 больницам пришлось отказать пациентам или отменить запланированные операции, ^[105] FedEx , Deutsche Bahn , Honda , ^[106] Renault , а также МВД России и российский оператор связи «МегаФон» . ^[107] Злоумышленники предоставили своим жертвам 7-дневный срок со дня заражения компьютеров, после чего зашифрованные файлы должны были быть удалены. ^[108]

Петя

Петя был впервые обнаружен в марте 2016 года; В отличие от других форм шифрования программ-вымогателей, вредоносное ПО нацелено на заражение основной загрузочной записи , устанавливая полезную нагрузку, которая шифрует файловые таблицы файловой системы NTFS при следующей загрузке зараженной системы, блокируя загрузку системы в Windows до тех пор, пока не выкуп уплачен. Check Point сообщила, что, несмотря на то, что она считала инновационной эволюцией в разработке программ-вымогателей, она привела к относительно меньшему количеству заражений, чем другие программы-вымогатели, действовавшие примерно в тот же период времени. ^[109]

27 июня 2017 г. сильно модифицированная версия Petya была использована для глобальной кибератаки, направленной в первую очередь на Украину (но затронувшей многие страны ^[110] ). Эта версия была модифицирована для распространения с использованием того же эксплойта EternalBlue, который использовался WannaCry. Из-за другого изменения конструкции он также не может фактически разблокировать систему после выплаты выкупа; это привело к тому, что аналитики по безопасности предположили, что атака была направлена ​​​​не на получение незаконной прибыли, а просто на то, чтобы вызвать сбой. ^{[111] [112]}

Плохой кролик

24 октября 2017 года некоторые пользователи в России и Украине сообщили о новой атаке программы-вымогателя под названием «Bad Rabbit», которая повторяет схему, аналогичную WannaCry и Petya: шифрует таблицы файлов пользователя, а затем требует оплаты в биткойнах для их расшифровки. ESET предположила, что программа-вымогатель была распространена посредством фиктивного обновления программного обеспечения Adobe Flash . ^[113] Среди агентств, пострадавших от программы-вымогателя, были: « Интерфакс» , «Одесский международный аэропорт» , «Киевский метрополитен » и Министерство инфраструктуры Украины. ^[114] Поскольку для распространения программа-вымогатель использовала корпоративные сетевые структуры, она была обнаружена и в других странах, включая Турцию, Германию, Польшу, Японию, Южную Корею и США. ^[115] Эксперты полагали, что атака с помощью программы-вымогателя была связана с атакой Petya в Украине (особенно потому, что код Bad Rabbit имеет множество пересекающихся и аналогичных элементов с кодом Petya/NotPetya, ^[116] добавление к CrowdStrike Bad Rabbit и DLL NotPetya (динамическая ссылка) библиотека) используют 67 процентов одного и того же кода ^[117] ), хотя единственными виновниками являются имена персонажей из сериала «Игра престолов» , встроенные в код. ^[115]

Эксперты по безопасности обнаружили, что программа-вымогатель не использовала эксплойт EternalBlue для распространения, а 24 октября 2017 года был найден простой метод заражения незатронутой машины под управлением более старых версий Windows. ^{[118] [119]} Кроме того, сайты, которые использовались для заражения распространили фиктивное обновление Flash, отключились от сети или удалили проблемные файлы в течение нескольких дней после его обнаружения, эффективно прекратив распространение Bad Rabbit. ^[115]

Сэм Сэм

В 2016 году появился новый штамм программы-вымогателя, нацеленный на серверы JBoss . ^[120] Было обнаружено, что этот штамм, получивший название «SamSam», обходит процесс фишинга или незаконных загрузок в пользу использования уязвимостей на слабых серверах. ^[121] Вредоносная программа использует грубую атаку протокола удаленного рабочего стола , чтобы подобрать слабые пароли, пока один из них не будет взломан. Вирус стоял за атаками на государственные учреждения и учреждения здравоохранения, при этом заметные хакерские атаки произошли в городе Фармингтон, штат Нью-Мексико , в Министерстве транспорта Колорадо , округе Дэвидсон, Северная Каролина , а совсем недавно ^{[ когда? ]} — атака программы-вымогателя на инфраструктуру Атланты . ^[121]

Мохаммад Мехди Шах Мансури (родился в Куме , Иран , в 1991 году) и Фарамарз Шахи Саванди (родился в Ширазе , Иран , в 1984 году) разыскиваются ФБР по подозрению в запуске программы-вымогателя SamSam. ^[122] Эти двое предположительно заработали 6 миллионов долларов на вымогательстве и нанесли ущерб на сумму более 30 миллионов долларов, используя вредоносное ПО. ^[123]

Темная сторона

7 мая 2021 года была совершена кибератака на Колониальный трубопровод США. Федеральное бюро расследований определило DarkSide как виновника атаки программы-вымогателя Colonial Pipeline , совершенной с помощью вредоносного кода , которая привела к добровольному отключению основного трубопровода, поставляющего 45% топлива на восточное побережье США . Атака была названа худшей кибератакой на важнейшую инфраструктуру США на сегодняшний день . DarkSide успешно выманил около 75 биткойнов (почти 5 миллионов долларов США) из Colonial Pipeline. Американские чиновники расследуют, было ли нападение чисто криминальным или имело место при участии российского правительства или другого государственного спонсора. После нападения DarkSide опубликовал заявление, в котором утверждалось, что «Мы аполитичны, мы не участвуем в геополитике... Наша цель — зарабатывать деньги, а не создавать проблемы обществу».

В мае 2021 года ФБР и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустили совместное предупреждение, призывающее владельцев и операторов критически важной инфраструктуры предпринять определенные шаги для снижения своей уязвимости к программам-вымогателям DarkSide и программам-вымогателям в целом.

Сиски

Syskey — это утилита, включенная в операционные системы на базе Windows NT для шифрования базы данных учетных записей пользователей , при необходимости с помощью пароля. Этот инструмент иногда эффективно использовался в качестве программы-вымогателя во время мошенничества с технической поддержкой , когда звонивший с удаленным доступом к компьютеру мог использовать этот инструмент, чтобы заблокировать пользователя на его компьютере с помощью пароля, известного только ему. ^[124] Syskey был удален из более поздних версий Windows 10 и Windows Server в 2017 году по причине того, что он устарел и «известен тем, что он использовался хакерами в рамках мошенничества с программами-вымогателями». ^{[125] [126]}

Программа-вымогатель как услуга

Программа-вымогатель как услуга (RaaS) стала заметным методом после того, как российская ^[127] или русскоязычная ^[128] группа REvil провела операции против нескольких целей, включая базирующуюся в Бразилии JBS SA в мае 2021 года и Американская компания Kaseya Limited в июле 2021 года. ^[129] После телефонного разговора 9 июля 2021 года между президентом США Джо Байденом и президентом России Владимиром Путиным Байден заявил прессе: «Я очень ясно дал ему понять, что Соединенные Штаты ожидают когда с его территории проводится операция по вымогательству, даже если она не спонсируется государством, мы ожидаем, что они будут действовать, если мы предоставим им достаточно информации, чтобы определить, кто это такой». Позже Байден добавил, что Соединенные Штаты отключат серверы группы, если Путин этого не сделает. ^{[130] [131]} Четыре дня спустя веб-сайты REvil и другая инфраструктура исчезли из Интернета. ^[132]

смягчение последствий

Если атака подозревается или обнаруживается на ранних стадиях, для шифрования требуется некоторое время; немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения предотвратит дальнейшее повреждение данных, не восстанавливая уже потерянные данные. ^{[133] [134]}

Эксперты по безопасности предложили меры предосторожности при борьбе с программами-вымогателями. Использование программного обеспечения или других политик безопасности для блокировки запуска известных полезных данных поможет предотвратить заражение, но не защитит от всех атак ^{[27] [135]} . Таким образом, наличие надлежащего решения для резервного копирования является критически важным компонентом защиты от программ-вымогателей. Обратите внимание: поскольку многие злоумышленники-вымогатели не только зашифровывают работающую машину жертвы, но также пытаются удалить любые горячие резервные копии, хранящиеся локально или доступные по сети на NAS , также важно поддерживать «автономные» резервные копии данных, хранящихся в места, недоступные с любого потенциально зараженного компьютера , например внешние накопители или устройства, не имеющие доступа к какой-либо сети (включая Интернет) , предотвращает доступ к ним программы-вымогателя. Более того, если вы используете NAS или облачное хранилище , компьютер должен иметь разрешение только на добавление к целевому хранилищу, чтобы он не мог удалять или перезаписывать предыдущие резервные копии. По данным comodo , применение двух сокращений поверхности атаки на ОС / ядре обеспечивает существенное уменьшение поверхности атаки, что приводит к повышению уровня безопасности. ^{[136] [137] [138]}

Установка обновлений безопасности , выпущенных поставщиками программного обеспечения, может уменьшить количество уязвимостей , которые используются для распространения определенными штаммами. ^{[139] [140] [141] [142] [143]} Другие меры включают кибергигиену — соблюдение осторожности при открытии вложений и ссылок электронной почты , сегментацию сети и изоляцию критически важных компьютеров от сетей. ^{[144] [145]} Кроме того, для смягчения распространения программ-вымогателей могут быть применены меры инфекционного контроля . ^[146] Сюда может входить отключение зараженных компьютеров от всех сетей, образовательные программы, ^[147] эффективные каналы связи, слежка за вредоносным ПО ^{[ оригинальные исследования? ]} и способы коллективного участия ^[146]

В августе 2021 года Агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало отчет, в котором содержатся рекомендации по смягчению последствий атак программ-вымогателей. Это произошло из-за значительного скачка числа недавних атак, связанных с программами-вымогателями. Эти атаки включали агрессию против американской трубопроводной компании и компании-разработчика программного обеспечения, что отразилось на последующих клиентах MSP . ^[148]

Защита файловой системы от программ-вымогателей

Ряд файловых систем хранят снимки хранящихся в них данных, которые можно использовать для восстановления содержимого файлов, существовавших до атаки программы-вымогателя, если программа-вымогатель не отключит ее.

• В Windows теневая копия тома (VSS) часто используется для хранения резервных копий данных; программы-вымогатели часто нацелены на эти снимки, чтобы предотвратить восстановление, поэтому часто рекомендуется отключить доступ пользователей к пользовательскому инструменту VSSadmin.exe , чтобы снизить риск того, что программы-вымогатели могут отключить или удалить предыдущие копии.
• В Windows 10 пользователи могут добавлять определенные каталоги или файлы в контролируемый доступ к папкам в Защитнике Windows, чтобы защитить их от программ-вымогателей. ^[149] Рекомендуется добавить резервные копии и другие важные каталоги в контролируемый доступ к папкам.
• Если вредоносное ПО не получит root-доступ в хост-системе ZFS при развертывании атаки, закодированной для выполнения административных команд ZFS, файловые серверы, на которых работает ZFS, в целом невосприимчивы к программам-вымогателям, поскольку ZFS способна создавать снимки даже большой файловой системы много раз в час, и эти снимки неизменяемые (только для чтения) и легко откатываемые файлы, а также файлы, восстанавливаемые в случае повреждения данных. ^[150] Как правило, только администратор может удалять (но не изменять) снимки.

Расшифровка и восстановление файлов

Существует ряд инструментов, предназначенных специально для расшифровки файлов, заблокированных программой-вымогателем, однако успешное восстановление может оказаться невозможным. ^{[2] [151]} Если для всех файлов используется один и тот же ключ шифрования, инструменты дешифрования используют файлы, для которых существуют как неповрежденные резервные копии, так и зашифрованные копии ( атака с известным открытым текстом на жаргоне криптоанализа ). Но она работает только тогда, когда шифр использованный злоумышленник изначально был слабым и уязвимым для атаки с использованием известного открытого текста); восстановление ключа, если оно возможно, может занять несколько дней. ^[152] Бесплатные инструменты расшифровки программ-вымогателей могут помочь расшифровать файлы, зашифрованные следующими формами программ-вымогателей: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigsaw, LambdaLocker. , Легион, NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. ^[153] Шифрование программ-вымогателей, взломанное исследователями безопасности, обычно используется в преступных целях; таким образом, на практике большинство атак невозможно предотвратить путем взлома шифрования. ^[154]

Проект No More Ransom — это инициатива Национального подразделения полиции Нидерландов по борьбе с преступлениями в сфере высоких технологий, Европейского центра по борьбе с киберпреступностью Европола , «Лаборатории Касперского» и McAfee , призванная помочь жертвам программ-вымогателей восстановить свои данные без уплаты выкупа. ^[155] Они предлагают бесплатный инструмент CryptoSheriff для анализа зашифрованных файлов и поиска инструментов расшифровки. ^[156]

Кроме того, на диске могут существовать старые копии файлов, которые ранее были удалены. В некоторых случаях эти удаленные версии все же можно восстановить с помощью программного обеспечения, предназначенного для этой цели .

Расследование ProPublica, проведенное в 2019 году , показало, что компании по кибербезопасности Proven Data Recovery и Monstercloud, которые рекламировали услуги дешифрования без выкупа, обычно просто платили выкуп и взимали с жертвы более высокую цену. ^[154] Хакеры SamSam так часто имели дело с Proven Data, что рекомендовали компанию жертвам, испытывающим технические трудности с оплатой. ^[154] Другие компании, такие как Coveware, были более прозрачными, предлагая услуги по оплате хакерам и исправлению незащищенных систем. ^[154] Многие американские жертвы обнаружили, что сумма выкупа была слишком низкой, чтобы соответствовать порогу Министерства юстиции США для участия федерального правительства, но у местной полиции не было технических возможностей, чтобы помочь, и они часто сами становились жертвами. ^[154]

Уголовные аресты и осуждения

Зейн Кайзер

Британский студент Зейн Кайзер из Баркинга, Лондон, был заключен в тюрьму на более чем шесть лет в Королевском суде Кингстона-на-Темзе за атаки с использованием программ-вымогателей в 2019 году. ^[157] Говорят, что он был «самым плодовитым киберпреступником, приговоренным к приговору в Великобритания". Он начал активную деятельность, когда ему было всего 17 лет. Он связался с российским организатором одной из самых мощных атак, предположительно бандой вредоносного ПО Lurk, и договорился о разделе своей прибыли. Он также связался с онлайн-преступниками из Китая и США, чтобы перевести деньги. ^[157] В течение примерно полутора лет он выдавал себя за законного поставщика онлайн-продвижения книжной рекламы на некоторых из самых посещаемых в мире сайтов легальной порнографии. Каждое из рекламных объявлений, рекламируемых на веб-сайтах, содержало разновидность Reveton Ransomware вредоносного Angler Exploit Kit (AEK) ^[158] , захватившего контроль над машиной. Следователи обнаружили около 700 000 фунтов стерлингов доходов, хотя его сеть, возможно, заработала более 4 миллионов фунтов стерлингов. Возможно, он спрятал немного денег, используя криптовалюты. Программа-вымогатель предлагала жертвам купить ваучеры GreenDot MoneyPak и ввести код на панели Reveton, отображаемой на экране. Эти деньги поступали на счет MoneyPak, которым управлял Кайзер, который затем переводил ваучеры на счет дебетовой карты своего американского сообщника Раймонда Одиги Уадиале. Уадиале был студентом Международного университета Флориды в 2012 и 2013 годах, а затем работал в Microsoft. Уадиале конвертировал деньги в цифровую валюту Liberty Reserve и вносил их на счет Liberty Reserve Кайзера. ^[159]

Прорыв в данном случае произошел в мае 2013 года, когда власти нескольких стран захватили серверы Liberty Reserve, получив доступ ко всем ее транзакциям и истории счетов. Кайзер использовал зашифрованные виртуальные машины на своем Macbook Pro с операционными системами Mac и Windows. ^[160] Раньше его нельзя было судить, поскольку он был помещен в отделение (принудительно) в соответствии с Законом Великобритании о психическом здоровье от 1983 года в больнице Гудмейс , где было обнаружено, что он использовал больничный Wi-Fi для доступа к своим рекламным сайтам. Его адвокат утверждал, что Кайзер страдал психическим заболеванием. ^[157] В июне 2016 года российская полиция арестовала 50 членов вредоносной банды Lurk. ^[161] Уадиале, натурализованный гражданин США нигерийского происхождения, был заключен в тюрьму на 18 месяцев. ^[162]

Проблемы свободы слова и уголовное наказание

Публикация кода атаки, подтверждающего концепцию, распространена среди академических исследователей и исследователей уязвимостей. Он рассказывает о характере угрозы, передает серьезность проблем и позволяет разработать и принять контрмеры. Однако законодатели при поддержке правоохранительных органов рассматривают возможность объявить создание программ-вымогателей незаконным. В штате Мэриленд первоначальный проект HB 340 квалифицировал создание программ-вымогателей как уголовное преступление, караемое тюремным заключением на срок до 10 лет. ^[163] Однако это положение было исключено из окончательной версии законопроекта. ^{[ нужна цитата ]} Несовершеннолетний в Японии был арестован за создание и распространение кода-вымогателя. ^[164] Янг и Юнг располагали исходным кодом ANSI C криптотрояна-вымогателя в Интернете на сайте cryptovirology.com с 2005 года как часть написанной книги по криптовирусологии . Исходный код криптотрояна до сих пор доступен в Интернете и связан с черновиком главы 2. ^[165]

Смотрите также

• Атака программы-вымогателя Colonial Pipeline  - атака программы-вымогателя на американскую систему нефтепроводов
• BlueKeep (уязвимость безопасности)  – дыра в безопасности WindowsСтраницы с краткими описаниями целей перенаправления.
• Гитлер-вымогатель  – форма программы-вымогателя
• Jigsaw (программа-вымогатель)  — программа-шифровальщик, созданная в 2016 году.
• Только добавление  — свойство хранения компьютерных данных.
• Рискованное ПО  — программное обеспечение, представляющее угрозу для главного компьютера.
• Рюк (программа-вымогатель)  — тип программы-вымогателя.
• Проектирование надежности  - раздел системной инженерии, в котором особое внимание уделяется надежности.
• Воздушный зазор (сеть)  – мера сетевой безопасности.
• Избыточность данных  – наличие данных, дополнительных к фактическим данным, которые могут позволить исправить ошибки в хранимых или передаваемых данных.Страницы, отображающие описания викиданных в качестве запасного варианта
• Отказоустойчивость  – устойчивость систем к сбоям или ошибкам компонентов.
• Надежность (компьютерные сети)  – возможность подтверждения протокола.
• Однонаправленная сеть  - сетевое устройство, которое обеспечивает передачу данных только в одном направлении.
• отказоустойчивая компьютерная система  - устойчивость систем к сбоям или ошибкам компонентов.Страницы с краткими описаниями целей перенаправления.
• Византийская ошибка  - ошибка в компьютерной системе, которая представляет разные симптомы для разных наблюдателей.
• Квантовое византийское соглашение  - Квантовая версия протокола Византийского соглашения.
• Проблема двух генералов  – мысленный эксперимент
• Команда по поиску программ-вымогателей  - научно-популярная книга Рене Дадли и Дэниела Голдена, 2022 г.
• Брокер начального доступа

Рекомендации

1. Янг, А.; М. Юнг (1996). Криптовирусология: угрозы безопасности, основанные на вымогательстве, и меры противодействия . Симпозиум IEEE по безопасности и конфиденциальности. стр. 129–140. doi : 10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
2. Шофилд, Джек (28 июля 2016 г.). «Как я могу удалить заражение программой-вымогателем?». Хранитель . Проверено 28 июля 2016 г.
3. Мимосо, Майкл (28 марта 2016 г.). «Шифрование основной таблицы файлов программы-вымогателя Petya». Threatpost.com . Проверено 28 июля 2016 г.
4. Джастин Луна (21 сентября 2016 г.). «Программа-вымогатель Mamba шифрует ваш жесткий диск и манипулирует процессом загрузки». Ньюлин . Проверено 5 ноября 2016 г.
5. Мин, Донхён; Ко, Юнгу; Уокер, Райан; Ли, Чонхи; Ким, Ёнджэ (июль 2022 г.). «Твердотельный накопитель для обнаружения программ-вымогателей на основе контента и резервного копирования для защиты от программ-вымогателей». Транзакции IEEE по автоматизированному проектированию интегральных схем и систем . 41 (7): 2038–2051. doi : 10.1109/TCAD.2021.3099084. ISSN  0278-0070. S2CID  237683171.
6. Кэмерон, Делл (13 мая 2017 г.). «Сегодняшнюю массированную атаку программы-вымогателя в основном можно было предотвратить; вот как ее избежать». Гизмодо . Проверено 13 мая 2017 г.
7. Dunn, Джон Э. «Трояны-выкупщики, распространяющиеся за пределы центра России». ТехМир. Архивировано из оригинала 2 июля 2014 года . Проверено 10 марта 2012 г.
8. «Новое интернет-мошенничество: программы-вымогатели...» ФБР. 9 августа 2012 г.
9. «Вредоносное ПО Citadel продолжает распространять программы-вымогатели Reveton…» Центр жалоб на интернет-преступления (IC3). 30 ноября 2012 г.
10. «Программы-вымогатели снова набирают обороты, с января произошло 181,5 миллиона атак» . Помогите Net Security . 11 июля 2018 года . Проверено 20 октября 2018 г.
11. «Обновление: McAfee: Киберпреступники чаще всего используют вредоносное ПО для Android и программы-вымогатели» . Инфомир . 3 июня 2013 года . Проверено 16 сентября 2013 г.
12. «Жертвы криптоблокировки могут получить файлы обратно бесплатно» . Новости BBC. 6 августа 2014 года . Проверено 18 августа 2014 г.
13. «ФБР сообщает, что программа-вымогатель с криптовалютой принесла киберпреступникам > 18 миллионов долларов» . Арс Техника . 25 июня 2015 г. Проверено 25 июня 2015 г.
14. «Отчет о преступности в Интернете за 2020 год» (PDF) . Ic3.gov . Проверено 1 марта 2022 г.
15. «Количество атак программ-вымогателей в 2022 году» . Статистика . Проверено 4 июня 2023 г.
16. Янг, Адам Л.; Юнг, Моти (2017). «Криптовирусология: рождение, пренебрежение и взрыв программ-вымогателей». Коммуникации АКМ . 60 (7): 24–26 . Проверено 27 июня 2017 г.
17. «Программа-вымогатель давит на пользователей фиктивным требованием активации Windows» . Компьютерный мир . 11 апреля 2011 года . Проверено 9 марта 2012 г.
18. «Полиция предупреждает о сообщениях о вымогательстве, отправленных от их имени» . Хельсингин Саномат . Проверено 9 марта 2012 г.
19. Макмиллиан, Роберт (31 августа 2010 г.). «Группа предполагаемых программ-вымогателей расследуется московской полицией». Мир ПК . Архивировано из оригинала 4 ноября 2010 года . Проверено 10 марта 2012 г.
20. «Программы-вымогатели: поддельное уведомление Федеральной полиции Германии (BKA)» . SecureList (Лаборатория Касперского) . Проверено 10 марта 2012 г.
21. «А теперь программа-вымогатель MBR» . SecureList (Лаборатория Касперского) . Проверено 10 марта 2012 г.
22. Адам Янг (2005). Чжоу, Цзяньин; Лопес, Хавьер (ред.). «Создание криптовируса с использованием криптографического API Microsoft». Информационная безопасность: 8-я Международная конференция ISC 2005 . Спрингер-Верлаг . стр. 389–401.
23. Янг, Адам (2006). «Криптовирусное вымогательство с использованием Crypto API Microsoft: могут ли Crypto API помочь врагу?». Международный журнал информационной безопасности . 5 (2): 67–76. дои : 10.1007/s10207-006-0082-7. S2CID  12990192.
24. Данчев, Данчо (22 апреля 2009 г.). «Новая программа-вымогатель блокирует компьютеры и требует для удаления премиум-SMS». ЗДНет . Архивировано из оригинала 26 апреля 2009 года . Проверено 2 мая 2009 г.
25. «Программа-вымогатель использует пиратскую карту Windows, требует 143 доллара» . Компьютерный мир . 6 сентября 2011 года . Проверено 9 марта 2012 г.
26. Ченг, Жаки (18 июля 2007 г.). «Новые трояны: дайте нам 300 долларов, или данные получат их!». Арс Техника . Проверено 16 апреля 2009 г.
27. «Вы заражены — если хотите снова увидеть свои данные, заплатите нам 300 долларов в биткойнах». Арс Техника . 17 октября 2013 года . Проверено 23 октября 2013 г.
28. «Программа-вымогатель CryptoDefense оставляет ключ дешифрования доступным». Компьютерный мир . ИДГ. Апрель 2014 года . Проверено 7 апреля 2014 г.
29. «Что делать, если программа-вымогатель атакует ваш компьютер с Windows?». Технологический девиз . Архивировано из оригинала 23 мая 2016 года . Проверено 25 апреля 2016 г.
30. Адам, Салли (12 мая 2020 г.). «Состояние программ-вымогателей 2020». Новости Софоса . Проверено 18 сентября 2020 г.
31. Касснер, Майкл. «Программы-вымогатели: вымогательство через Интернет». Техреспублика . Проверено 10 марта 2012 г.
32. Себастьян фон Зольмс; Дэвид Наккеш (1992). «О слепых подписях и совершенных преступлениях» (PDF) . Компьютеры и безопасность . 11 (6): 581–583. дои : 10.1016/0167-4048(92)90193-U. S2CID  23153906. Архивировано из оригинала (PDF) 26 октября 2017 года . Проверено 25 октября 2017 г.
33. Шайбли, Сьюзен (26 сентября 2005 г.). «Файлы для выкупа». Сетевой мир . Проверено 17 апреля 2009 г.
34. Лейден, Джон (24 июля 2006 г.). «Программы-вымогатели становится все труднее взломать». Регистр . Проверено 18 апреля 2009 г.
35. Нарейн, Райан (6 июня 2008 г.). «Программа-вымогатель для шантажа возвращается с 1024-битным ключом шифрования». ЗДНет . Архивировано из оригинала 3 августа 2008 года . Проверено 3 мая 2009 г.
36. Лемос, Роберт (13 июня 2008 г.). «Программы-вымогатели, сопротивляющиеся попыткам взлома криптовалюты». БезопасностьФокус . Проверено 18 апреля 2009 г.
37. Кребс, Брайан (9 июня 2008 г.). «Программа-вымогатель шифрует файлы жертвы с помощью 1024-битного ключа». Вашингтон Пост . Проверено 16 апреля 2009 г.
38. "Лаборатория Касперского сообщает о новом и опасном вирусе-шантажесте" . Лаборатория Касперского . 5 июня 2008 года . Проверено 11 июня 2008 г.
39. Фиолетовый синий (22 декабря 2013 г.). «Волна преступности CryptoLocker: след миллионов отмытых биткойнов». ЗДНет . Проверено 23 декабря 2013 г.
40. «Во вредоносном ПО TorrentLocker, блокирующем файлы, исправлена ​​ошибка шифрования». Мир ПК . 17 сентября 2014 года . Проверено 15 октября 2014 г.
41. «Cryptolocker 2.0 – новая версия или подражатель?». WeLiveSecurity . ЕСЕТ. 19 декабря 2013 года . Проверено 18 января 2014 г.
42. «Новый CryptoLocker распространяется через съемные диски» . Тренд Микро. 26 декабря 2013 года. Архивировано из оригинала 4 ноября 2016 года . Проверено 18 января 2014 г.
43. «Устройства Synology NAS, атакованные хакерами, требуют выкуп в биткойнах за расшифровку файлов» . ЭкстримТех . Зифф Дэвис Медиа. Архивировано из оригинала 19 августа 2014 года . Проверено 18 августа 2014 г.
44. «Программа-вымогатель, шифрующая файлы, начинает атаковать веб-серверы Linux» . Мир ПК . ИДГ. 9 ноября 2015 года . Проверено 31 мая 2016 г.
45. «Киберпреступники шифруют базы данных веб-сайтов в ходе атак «RansomWeb»» . Неделя Безопасности . Архивировано из оригинала 20 апреля 2017 года . Проверено 31 мая 2016 г.
46. «Хакеры требуют выкуп за веб-сайты, подменяя ключи шифрования» . Хранитель . Проверено 31 мая 2016 г.
47. «Новый .LNK между спамом и заражением Locky» . Блоги.technet.microsoft.com . 19 октября 2016 г. Проверено 25 октября 2017 г.
48. Манкастер, Фил (13 апреля 2016 г.). «Эксплойты PowerShell обнаружены более чем в трети атак».
49. «Новая программа-вымогатель использует Tor, чтобы оставаться скрытым от безопасности» . Хранитель . Проверено 31 мая 2016 г.
50. «Текущее состояние программы-вымогателя: CTB-Locker». Блог Софоса . Софос. 31 декабря 2015 года . Проверено 31 мая 2016 г.
51. Брук, Крис (4 июня 2015 г.). «Автор программы-вымогателя Tox прекращает работу и продает платформу» . Проверено 6 августа 2015 г.
52. Дела Пас, Роланд (29 июля 2015 г.). «Шифрование RaaS: еще одна новая программа-вымогатель как услуга в блоке». Архивировано из оригинала 2 августа 2015 года . Проверено 6 августа 2015 г.
53. «Symantec классифицирует программы-вымогатели как самую опасную киберугрозу - Tech2» . 22 сентября 2016 г. Архивировано из оригинала 25 апреля 2017 г. Проверено 22 сентября 2016 г.
54. Лейден, Джон. «Российские полицейские надели наручники на 10 подозреваемых в использовании трояна-вымогателя» . Регистр . Проверено 10 марта 2012 г.
55. О'Горман, Г.; Макдональд, Г. (2012), Программы-вымогатели: растущая угроза (PDF) , Symantec Security Response, Symantec Corporation , получено 5 октября 2019 г.
56. «Преступники распространяют программы-вымогатели, размещенные на страницах GitHub и SourceForge, рассылая спам «фальшивые обнаженные фотографии» знаменитостей» . TheNextWeb . 7 февраля 2013 года . Проверено 17 июля 2013 г.
57. «Новое вредоносное ПО для OS X удерживает компьютеры Mac с целью выкупа и требует от ФБР штрафа в размере 300 долларов за« просмотр или распространение »порно». TheNextWeb . 15 июля 2013 года . Проверено 17 июля 2013 г.
58. «Мужчина получает всплывающее окно с порно-вымогателем, идет в полицию, его арестовывают по обвинению в детской порнографии» . Арс Техника . 26 июля 2013 года . Проверено 31 июля 2013 г.
59. Янг, А. (2003). Игры с ненулевой суммой и живучие вредоносные программы . Семинар по обеспечению информации Общества систем IEEE, Человека и Кибернетики. стр. 24–29.
60. А. Янг, М. Юнг (2004). Вредоносная криптография: разоблачение криптовирусологии . Уайли. ISBN 978-0-7645-4975-5.
61. Арнц, Питер (10 июля 2020 г.). «Обзор угроз: WastedLocker, специализированная программа-вымогатель». Лаборатория Малваребайтс . Проверено 27 июля 2020 г.
62. Рикер, Томас (27 июля 2020 г.). «Garmin подтверждает кибератаку, поскольку системы отслеживания фитнеса снова работают». Грань . Проверено 27 июля 2020 г.
63. «Программы-вымогатели на мобильных устройствах: тук-тук-блок». Лаборатория Касперского . Проверено 6 декабря 2016 г.
64. «Ваш телефон Android просматривал нелегальное порно. Чтобы разблокировать его, заплатите штраф в размере 300 долларов» . Арс Техника . 6 мая 2014 года . Проверено 9 апреля 2017 г.
65. «Новая программа-вымогатель для Android использует кликджекинг для получения прав администратора» . Мир ПК . 27 января 2016 года . Проверено 9 апреля 2017 г.
66. «Вот как победить недавно обнаруженную программу-вымогателя для iPhone» . Удача . Проверено 9 апреля 2017 г.
67. «Мошенники-вымогатели использовали ошибку Safari, чтобы вымогать деньги у пользователей iOS, просматривающих порно». Арс Техника . 28 марта 2017 г. Проверено 9 апреля 2017 г.
68. Аль-Хававре, Муна; ден Хартог, Фрэнк; Ситникова, Елена (2019). «Целевая программа-вымогатель: новая киберугроза для периферийной системы заброшенного промышленного Интернета вещей». Журнал IEEE Интернета вещей . 6 (4): 7137–7151. дои : 10.1109/JIOT.2019.2914390. S2CID  155469264.
69. Палмер, Дэнни. «Вот как программа-вымогатель может заразить вашу цифровую камеру». ЗДНет . Проверено 13 августа 2019 г.
70. Робезниекс, А. (2017). «Программы-вымогатели превращают кибербезопасность здравоохранения в проблему ухода за пациентами». Новости бизнеса в сфере здравоохранения . Ассоциация финансового менеджмента здравоохранения. Архивировано из оригинала 16 июня 2017 года.
71. Хитер, Брайан (13 апреля 2016 г.), «Растущая угроза программ-вымогателей» (PDF) , PC Magazine , получено 5 октября 2019 г.
72. «Активность начинает падать, но остается проблемой для организаций», Отчет об угрозах интернет-безопасности (ISTR) 2019 , Symantec Corporation, vol. 24, с. 16 октября 2019 г. , получено 5 октября 2019 г.
73. Дадли, Рене (17 июля 2023 г.). «Кто эти банды-вымогатели, сеющие хаос в крупнейших компаниях мира?». Хранитель .
74. Сообщается о первой смерти в результате атаки программы-вымогателя на немецкую больницу ZDNet , данные получены 5 октября 2020 г.
75. «Гардаи предупреждает о вирусе блокировки компьютера «полицейский троян»» . TheJournal.ie . Проверено 31 мая 2016 г.
76. «Компьютерный эксперт Барри видит усиление воздействия нового вируса-вымогателя» . Барри Эквизор . Постмедиа сеть . Проверено 31 мая 2016 г.
77. «Фальшивый полицейский троян 'обнаруживает оскорбительные материалы' на ПК и требует денег» . Регистр . Проверено 15 августа 2012 г.
78. «Вредоносная программа Reveton замораживает компьютеры и требует оплаты» . Информационная неделя . Проверено 16 августа 2012 г.
79. Данн, Джон Э. «Полиция предупреждена после того, как троян, требующий выкупа, заблокировал 1100 компьютеров». ТехМир. Архивировано из оригинала 2 июля 2014 года . Проверено 16 августа 2012 г.
80. Констанциан, Лукиан (9 мая 2012 г.). «Программа-вымогатель на полицейскую тематику начинает атаковать пользователей из США и Канады». Мир ПК . Проверено 11 мая 2012 г.
81. «Глава банды вредоносного ПО Reveton, требующей выкупа от полиции, арестован в Дубае» . ТехМир . Архивировано из оригинала 14 декабря 2014 года . Проверено 18 октября 2014 г.
82. «Программа-вымогатель Reveton, обновленная с помощью мощного похитителя паролей» . Мир ПК . 19 августа 2014 года . Проверено 18 октября 2014 г.
83. «Вредоносное ПО Cryptolocker, шифрующее диск, требует 300 долларов для расшифровки ваших файлов» . Geek.com . 11 сентября 2013 года. Архивировано из оригинала 4 ноября 2016 года . Проверено 12 сентября 2013 г.
84. Фергюсон, Донна (19 октября 2013 г.). «Атаки CryptoLocker, которые требуют выкупа за ваш компьютер» . Хранитель . Проверено 23 октября 2013 г.
85. «Разрушительная вредоносная программа «CryptoLocker» на свободе – вот что делать» . Голая охрана . Софос. 12 октября 2013 года . Проверено 23 октября 2013 г.
86. «Мошенники CryptoLocker взимают 10 биткойнов за услугу вторичного дешифрования» . Сетевой Мир . 4 ноября 2013 года . Проверено 5 ноября 2013 г.
87. «Создатели CryptoLocker пытаются вымогать у жертв еще больше денег с помощью нового сервиса» . Мир ПК . 4 ноября 2013 года . Проверено 5 ноября 2013 г.
88. «Бам-бам: Глобальная операция Товар уничтожает программу-вымогатель CryptoLocker и ботнет GameOver Zeus» . Компьютерный мир . ИДГ. Архивировано из оригинала 3 июля 2014 года . Проверено 18 августа 2014 г.
89. «США возглавляют многонациональные действия против ботнета Gameover Zeus и программы-вымогателя Cryptolocker, обвиняют администратора ботнета» . Justice.gov . Министерство юстиции США . Проверено 18 августа 2014 г.
90. «Австралийцы все чаще страдают от глобальной волны крипто-вредоносных программ» . Симантек . Проверено 15 октября 2014 г.
91. Грабб, Бен (17 сентября 2014 г.). «Хакеры блокируют тысячи австралийских компьютеров и требуют выкуп». Сидней Морнинг Геральд . Проверено 15 октября 2014 г.
92. «Австралия специально нацелена на Cryptolocker: Symantec» . АРНнет . 3 октября 2014 года . Проверено 15 октября 2014 г.
93. «Мошенники используют Почту Австралии для маскировки атак по электронной почте» . Сидней Морнинг Геральд . 15 октября 2014 года . Проверено 15 октября 2014 г.
94. Стив Рэган (7 октября 2014 г.). «Атака программы-вымогателя выбивает телеканал из эфира» . ОГО . Архивировано из оригинала 12 октября 2016 года . Проверено 15 октября 2014 г.
95. «Более 9000 компьютеров в Австралии заражены программой-вымогателем TorrentLocker» . CSO.com.au. _ 17 декабря 2014 года . Проверено 18 декабря 2014 г.
96. «Кампания по вредоносной рекламе обеспечивает вымогательство CryptoWall с цифровой подписью» . Мир ПК . 29 сентября 2014 года . Проверено 25 июня 2015 г.
97. «Программа-вымогатель CryptoWall 3.0 сотрудничает со шпионским ПО FAREIT» . Тренд Микро. 20 марта 2015 года . Проверено 25 июня 2015 г.
98. Андра Захария (5 ноября 2015 г.). «Предупреждение безопасности: CryptoWall 4.0 – новое, улучшенное и более сложное для обнаружения». ХЕЙМДАЛЬ . Проверено 5 января 2016 г.
99. «Программы-вымогатели на мобильных устройствах: тук-тук-блок» . Лаборатория Касперского . Проверено 4 декабря 2016 г.
100. «Эволюция мобильных программ-вымогателей» . Аваст . Проверено 4 декабря 2016 г.
101. «Мобильные программы-вымогатели используют прыжки, блокируя доступ к телефонам» . ПКМир . IDG Consumer & SMB. 30 июня 2016 года . Проверено 4 декабря 2016 г.
102. «Кибер-атака: Европол заявляет, что она была беспрецедентной по масштабу» . Новости BBC . 13 мая 2017 года . Проверено 13 мая 2017 г.
103. «Беспрецедентная» кибератака затронула 200 000 человек как минимум в 150 странах, и угроза возрастает» . CNBC. 14 мая 2017 года. Архивировано из оригинала 15 мая 2017 года . Проверено 16 мая 2017 г.
104. «Настоящая жертва программы-вымогателя: ваш местный магазин на углу» . CNET . Проверено 22 мая 2017 г.
105. Марш, Сара (12 мая 2017 г.). «Трасты Национальной службы здравоохранения, пораженные вредоносным ПО – полный список» . Хранитель . Проверено 12 мая 2017 г. .
106. «Honda останавливает автомобильный завод в Японии после того, как вирус WannaCry попал в компьютерную сеть» . Рейтер . 21 июня 2017 года . Проверено 21 июня 2017 г.
107. «Последние новости: МВД России подверглось кибератаке» . ВТХР .
108. Скотт, Пол Мозур, Марк; Гоэл, Винду (19 мая 2017 г.). «Жертвы называют хакеров блефом, поскольку срок защиты от программ-вымогателей приближается». Нью-Йорк Таймс . ISSN  0362-4331 . Проверено 22 мая 2017 г.{{cite news}}: CS1 maint: несколько имен: список авторов ( ссылка )
109. Константин, Лукиан. «Программа-вымогатель Petya теперь доставляет двойную проблему». Сетевой Мир . Проверено 27 июня 2017 г.
110. «Статистика программ-вымогателей за 2018 год | Детектив безопасности» . Детектив безопасности . 23 октября 2018 г. Проверено 20 ноября 2018 г.
111. «Массовая вспышка вируса-вымогателя во вторник на самом деле была чем-то гораздо худшим». Арс Техника . 28 июня 2017 г. Проверено 28 июня 2017 г.
112. «Кибератака была связана с данными, а не с деньгами, говорят эксперты». Новости BBC . 29 июня 2017 года . Проверено 29 июня 2017 г.
113. «Программа-вымогатель Bad Rabbit поражает Украину и Россию» . Би-би-си . 24 октября 2017 года . Проверено 24 октября 2017 г.
114. Херн, Алекс (25 октября 2017 г.). «Плохой кролик: программа-вымогатель, отсылающая к «Игре престолов», попала в Европу». Theguardian.com . Проверено 25 октября 2017 г.
115. Ларсон, Селена (25 октября 2017 г.). «Новая атака вируса-вымогателя поражает Россию и распространяется по всему миру». CNN . Проверено 25 октября 2017 г.
116. «BadRabbit: более пристальный взгляд на новую версию Petya/NotPetya». Лаборатория Малваребайтс . 24 октября 2017 года . Проверено 31 июля 2019 г.
117. Палмер, Дэнни. «Плохой кролик: десять вещей, которые вам нужно знать о последней вспышке программ-вымогателей». ЗДНет . Проверено 31 июля 2019 г.
118. Кэмерон, Делл (24 октября 2017 г.). «Программа-вымогатель Bad Rabbit поражает Россию и Украину». Гизмодо . Проверено 24 октября 2017 г.
119. Палмер, Дэнни (24 октября 2017 г.). «Вымогатель Bad Rabbit: распространяется новый вариант Petya, предупреждают исследователи». ЗДНет . Проверено 24 октября 2017 г.
120. Рашид, Фахмида Ю. (19 апреля 2016 г.). «Обновите JBoss сейчас, чтобы предотвратить атаки программ-вымогателей SamSam». Инфомир . ИДГ . Проверено 23 июля 2018 г.
121. Кроу, Джонатан (март 2018 г.). «Город Атланта пострадал от программы-вымогателя SamSam: 5 важных вещей, которые нужно знать». Баркли против вредоносного ПО . Barkley Protects, Inc. Архивировано из оригинала 18 июля 2018 года . Проверено 18 июля 2018 г.
122. Федеральное бюро расследований , Разыскивается ФБР: субъекты СэмСэма (PDF) , Министерство юстиции США , получено 5 октября 2019 г.
123. «Двое иранцев обвинены в использовании программ-вымогателей для вымогательства денег у больниц, муниципалитетов и государственных учреждений, что привело к убыткам на сумму более 30 миллионов долларов» (пресс-релиз). Министерство юстиции США. 28 ноября 2018 года . Проверено 11 декабря 2018 г.
124. Уиттакер, Зак. «Мы поговорили с мошенниками из службы технической поддержки Windows. Вот почему не следует этого делать». ЗДНет . Проверено 6 ноября 2019 г.
125. «Осеннее обновление Windows 10 Creators: поддержка syskey.exe прекращена» . gHacks . 26 июня 2017 года . Проверено 6 ноября 2019 г.
126. «Утилита Syskey.exe больше не поддерживается в Windows 10, Windows Server 2016 и Windows Server 2019» . Майкрософт . Проверено 6 ноября 2019 г.
127. «Российская группа вымогателей REvil исчезает после нападения на предприятия в США» . Независимый . 13 июля 2021 г.
128. «Плодотворная банда программ-вымогателей внезапно исчезает из Интернета. Время заслуживает внимания» . Новости Эн-Би-Си .
129. «McAfee ATR анализирует Sodinokibi, также известное как REvil, программа-вымогатель как услуга - Все звезды» . 2 октября 2019 г.
130. "Байден говорит Путину, что Россия должна расправиться с киберпреступниками" . АП НОВОСТИ . 9 июля 2021 г.
131. Сэнгер, Дэвид Э. (13 июля 2021 г.). «Самая агрессивная в России группа вымогателей исчезла. Непонятно, кто их вывел из строя». Нью-Йорк Таймс . Архивировано из оригинала 28 декабря 2021 года.
132. Брайан Фунг; Закари Коэн; Женевские пески (13 июля 2021 г.). «Банда вымогателей, атаковавшая поставщика мяса, загадочным образом исчезла из Интернета». CNN Бизнес .
133. Каннелл, Джошуа (8 октября 2013 г.). «Программа-вымогатель Cryptolocker: что вам нужно знать, последнее обновление 02.06.2014». Распакованные вредоносные байты . Архивировано из оригинала 30 сентября 2021 года . Проверено 19 октября 2013 г.
134. Лейден, Джош. «Дьявольская программа-вымогатель CryptoLocker: что бы вы ни делали, не ПЛАТИТЕ». Регистр . Архивировано из оригинала 13 августа 2021 года . Проверено 18 октября 2013 г.
135. «Рост числа заражений криптоблоками; предупреждение CERT США» . Неделя Безопасности . 19 ноября 2013 г. Архивировано из оригинала 27 мая 2021 г. . Проверено 18 января 2014 г.
136. Метин, Озер. «Применение уменьшения поверхности атаки». Комодо Кибербезопасность . Архивировано из оригинала 5 октября 2021 года . Проверено 27 августа 2020 г.
137. «Обзор возможностей уменьшения поверхности атаки» . Майкрософт . Архивировано из оригинала 18 ноября 2021 года . Проверено 6 февраля 2020 г.
138. «Запатентованная Comodo «Виртуализация API ядра» - под капотом» . Комодо Кибербезопасность . Архивировано из оригинала 4 октября 2021 года . Проверено 27 августа 2020 г.
139. «Вспышка программы-вымогателя Petya становится глобальной» . krebsonsecurity.com . Кребс о безопасности . Проверено 29 июня 2017 г.
140. «Как защититься от вредоносного ПО Petya» . CNET . Проверено 29 июня 2017 г.
141. «Атака программы-вымогателя Petya: что следует делать, чтобы ваша безопасность не была поставлена ​​под угрозу» . Экономические времена . 29 июня 2017 года . Проверено 29 июня 2017 г.
142. «Распространяется новая атака программы-вымогателя Petya: что делать» . Путеводитель Тома. 27 июня 2017 г. Проверено 29 июня 2017 г.
143. «Индия больше всего пострадала от Petya в Азиатско-Тихоокеанском регионе, 7-е место в мире: Symantec» . Экономические времена . 29 июня 2017 года . Проверено 29 июня 2017 г.
144. «TRA дает советы по защите от новейших программ-вымогателей Petya | The National» . 29 июня 2017 года . Проверено 29 июня 2017 г.
145. «Распространение программы-вымогателя Petya через эксплойт EternalBlue «Блог исследования угроз» . Огненный Глаз. Архивировано из оригинала 13 февраля 2021 года . Проверено 29 июня 2017 г.
146. Чанг, Яо-Чунг (2012). Киберпреступность в регионе Большого Китая: меры регулирования и предотвращение преступности через Тайваньский пролив. Издательство Эдварда Элгара. ISBN 9780857936684. Проверено 30 июня 2017 г.
147. «Инфекционный контроль на ваших компьютерах: защита от киберпреступности - Блог управления практикой врачей общей практики» . Блог по управлению практикой врачей общей практики . 18 мая 2017 года . Проверено 30 июня 2017 г.
148. Пайпер, DLA (2021). «Агентство по кибербезопасности и безопасности инфраструктуры выпускает руководство относительно программ-вымогателей». Журнал интернет-права . 25 (1): 1–17 . Проверено 3 декабря 2023 г.
149. «Как включить защиту от программ-вымогателей в Windows 10» . WindowsLoop . 8 мая 2018 года . Проверено 19 декабря 2018 г.
150. «Отражение атак CryptoLocker с помощью ZFS» . ixsystems.com . 27 августа 2015 г.
151. «Список бесплатных инструментов расшифровки программ-вымогателей для разблокировки файлов» . Thewindowsclub.com . Проверено 28 июля 2016 г.
152. «Emsisoft Decrypter для программ-вымогателей HydraCrypt и UmbreCrypt» . Thewindowsclub.com . 17 февраля 2016 года . Проверено 28 июля 2016 г.
153. «Инструменты удаления программ-вымогателей» . Проверено 19 сентября 2017 г.
154. Рене Дадли; Джефф Као (15 мая 2019 г.). «Фирмы, занимающиеся коммерческой тайной, которые обещали высокотехнологичные решения для программ-вымогателей, почти всегда просто платят хакерам».
155. «О проекте - Проект «Больше никаких выкупов»» . Архивировано из оригинала 22 ноября 2021 года . Проверено 3 декабря 2021 г.
156. «Криптовалютный шериф - Проект «Больше нет выкупа»» . Архивировано из оригинала 26 октября 2021 года . Проверено 3 декабря 2021 г.
157. «Зейн Кайзер: Студент заключен в тюрьму за шантаж пользователей порно по всему миру». Новости BBC . 9 апреля 2019 г.
158. «Британский хакер Зейн Кайзер осужден за шантаж миллионов» . 9 апреля 2019 г.
159. Чимпану, Каталин. «Распространитель программы-вымогателя Reveton приговорен к шести годам тюремного заключения в Великобритании» . ЗДНет .
160. «Как полиция поймала самого известного в Великобритании барона порно-вымогателей», Мэтт Берджесс, Wired , 12 апреля 2019 г.]
161. «Рыболов от Lurk: Почему печально известная группа киберпреступников, укравшая миллионы, сдавала в аренду свой самый мощный инструмент» . США.kaspersky.com . 26 мая 2021 г.
162. Николс, Шон (15 августа 2018 г.). «Человек из Флориды отмывал деньги для программы-вымогателя Reveton. Затем Microsoft наняла его в Сан-Франциско». Thereregister.com .
163. Филдс, Логан М. (25 февраля 2017 г.). «Отчет меньшинства – Неделя 7 – Половина пути». Мировые новости.
164. Вэй, Ван (6 июня 2017 г.). «14-летний японский мальчик арестован за создание программы-вымогателя» . Хакерские новости.
165. Янг, Адам Л.; Юнг, Моти (2005). «Реализация криптовирусного вымогательства с использованием Crypto API Microsoft» (PDF) . Криптовирусологические лаборатории. Архивировано из оригинала (PDF) 24 июня 2016 года . Проверено 16 августа 2017 г.

дальнейшее чтение

• Янг, А.; Юнг, М. (2004). Вредоносная криптография: разоблачение криптовирусологии . Уайли. ISBN 978-0-7645-4975-5.
• Руссинович , Марк (7 января 2013 г.). «Выслеживание и уничтожение программ-вымогателей». Microsoft TechNet . Майкрософт.
• Симоните, Том (4 февраля 2015 г.). «Хранение данных в качестве заложника: идеальное интернет-преступление? Программы-вымогатели (Scareware)». Обзор технологий Массачусетского технологического института . Архивировано из оригинала 27 ноября 2015 года . Проверено 5 февраля 2015 г.
• Брэд, Дункан (2 марта 2015 г.). «Наборы эксплойтов и CryptoWall 3.0». Блог Rackspace! & NewsRoom. Архивировано из оригинала 24 сентября 2015 года . Проверено 15 апреля 2015 г.
• «Рост программ-вымогателей: ФБР и партнеры работают над борьбой с этой киберугрозой». НОВОСТИ . Федеральное Бюро Расследований. 20 января 2015 г.
• Ян, Т.; Ян, Ю.; Цянь, К.; Ло, ДКП; Цянь Л. и Тао Л. (2015). 17-я Международная конференция IEEE по высокопроизводительным вычислениям и коммуникациям (2015 г.), 7-й Международный симпозиум IEEE по безопасности и защите киберпространства (2015 г.) и 12-я Международная конференция IEEE по встраиваемому программному обеспечению и системам (2015 г.) . Журнал IEEE Internet of Things, КОНФЕРЕНЦИЯ, АВГУСТ 2015 г., стр. 1338–1343. doi : 10.1109/HPCC-CSS-ICES.2015.39. ISBN 978-1-4799-8937-9. S2CID  5374328.
• Рише, Жан-Лу (июль 2015 г.). «Вымогательство в Интернете: рост количества программ-вымогателей» (PDF) . Гарвардский университет.
• Лиска, Аллан (20 октября 2021 г.). «Программы-вымогатели – понять. Предотвратить. Восстановить». Записанное будущее . АктуальныеТех Медиа.

Внешние ссылки

• СМИ, связанные с программами-вымогателями, на Викискладе?
• Число случаев использования программ-вымогателей растет – Федеральное бюро расследований
• Экономика вымогательства / Американские компании и программы-вымогатели