В последние несколько месяцев программы-вымогатели у всех на слуху. Но, может, это просто очередная «горячая тема», которую сейчас все обсуждают, а завтра забудут? Увы, похоже, что нет: это действительно эпидемия. Чтобы убедиться, достаточно посмотреть на анализ статистики интернет-угроз, которую мы собрали с помощью нашей Kaspersky Security Network.
Первая волна: блокировщики
Историю программ-вымогателей можно условно разделить на две части. Первыми появились так называемые блокировщики — программы, которые блокируют пользователю доступ к операционной системе или браузеру. За разблокировку обычно просят умеренный выкуп, который можно уплатить, послав SMS на «короткий номер» или переведя деньги на электронный кошелек.
Вредоносное ПО данного типа оказалось весьма прибыльным и, естественно, приобрело немалую популярность у киберпреступников. Однако у популярности обнаружилась и другая сторона: эта тема довольно быстро привлекла внимание антивирусных экспертов и правоохранительных органов.
В результате преступники получили удар по самому больному месту — по платежным системам, через которые они получали выкуп. Изменив правила регулирования электронных платежей, госорганы смогли испортить жизнь мошенников сразу с двух сторон. Их деятельность стала одновременно менее прибыльной (сложнее извлекать деньги) и более рискованной (многие киберпреступники загремели в тюрьму).
В свою очередь, антивирусные эксперты создали бесплатные утилиты для борьбы с блокировщиками — например, у нас есть Kaspersky WindowsUnlocker. Конечно, программы-вымогатели после этого навсегда не исчезли, но эти меры помогли сдержать первую волну — за последние несколько лет количество заражений не росло.
Совет недели: как бороться с блокировщиками экрана, бесплатно и без сложностей: https://t.co/MO1nqH4ux3 pic.twitter.com/A7XN6XZJm9
— Kaspersky (@Kaspersky_ru) June 3, 2016
Вторая волна: шифровальщики
Однако пару лет назад все изменилось. Во-первых, определенную популярность набрали биткойны — электронная платежная система, транзакции в которой крайне сложно отследить и никак невозможно регулировать. Во-вторых, киберпреступники придумали новый подход: вместо того чтобы блокировать доступ к браузеру или операционной системе, они начали шифровать файлы пользователя, хранящиеся на жестком диске.
В отличие от программ, личные файлы уникальны, так что их нельзя заменить, просто переустановив систему. Если же вымогатели используют стойкое шифрование, то и восстановить, то есть расшифровать, их крайне сложно, а нередко и вовсе невозможно. Для преступников это означает, что и выкуп можно брать более существенный: как правило, он составляет несколько сотен долларов для частного лица и несколько тысяч долларов — для организаций.
Некоторое время новое поколение вымогателей серьезно уступало в распространенности старым блокировщикам. Однако преобладание шифровальщиков было лишь вопросом времени: преступники стали массово переключаться на использование зловредов более эффективного типа. И в конце 2015 года количество попыток заражения шифровальщиками повышалось лавинообразно.
По нашим оценкам, полученным на основе данных Kaspersky Security Network, количество атак шифровальщиков выросло за год в 5,5 раза: со 131 111 попыток заражения пользователей наших продуктов в 2014–2015 годах до 718 536 в 2015–2016-м.
География атак и самые активные семейства вымогателей
В десятку стран, в которых пользователи чаще всего сталкиваются с вымогателями, входят Индия, Россия, Казахстан, Италия, Германия, Вьетнам, Алжир, Бразилия, Украина и США. Однако в Индии, Алжире, России, Вьетнаме, Казахстане, на Украине и в Бразилии это в основном старые и не слишком опасные блокировщики. В США почти в 40% случаев пользователей атакуют куда более серьезные вымогатели — шифровальщики. Наконец, в Италии и Германии абсолютное большинство вымогателей сейчас являются опасными шифровальщиками.
За период 2015–2016 годов наибольшую активность показали четыре шифровальщика: это TeslaCrypt (почти половина атак), от которого, к счастью, у нас теперь есть лекарство, а также CTB-Locker, Scatter и Cryakl (кстати, для этого зловреда мы тоже разработали дешифратор на noransom.kaspersky.com) — эти четыре семейства делят почти 80% «рынка».
Еще один интересный факт: если изначально среди потенциальных жертв программ-вымогателей с большим отрывом лидировали домашние пользователи, то после появления шифровальщиков преступники все чаще обращают внимание и на бизнес: доля корпоративных пользователей среди атакуемых за год выросла вдвое, с 6,8 до 13,13%.
Хотите узнать больше об эволюции троянцев-вымогателей? Читайте полную версию нашего отчета на Securelist.
Как защититься
1. Регулярно делайте резервные копии ваших файлов.
2. Используйте надежное защитное решение. Например, Kaspersky Internet Security, как и все остальные наши флагманские продукты, не только распознает и блокирует все известные разновидности вымогателей, но и имеет в своем составе специальный модуль для борьбы с шифровальщиками, которые еще не успели попасть в антивирусные базы.
3. Регулярно обновляйте программное обеспечение: в обновлениях ПО устраняют уязвимости, а чем меньше в системе «дырок» — тем сложнее ее заразить.
4. Следите за новостями информационной безопасности у нас в блоге и на новостном сайте threatpost.ru — кто предупрежден, тот вооружен. И не забывайте рассказывать о них своим друзьям, родственникам и коллегам.
5. Если вы уже заразились программой-вымогателем, не спешите платить выкуп. Если это блокировщик, то вам может помочь наша бесплатная утилита WindowsUnlocker. И даже если это более серьезный шифровальщик, не исключено, что и от него у нас есть лекарство: проверьте это на сайте NoRansom.kaspersky.com.