программы-вымогатели
Программы-вымогатели — это тип криптовирусного вредоносного ПО жертвы, , которое навсегда блокирует доступ к личным данным если не будет уплачен выкуп. В то время как некоторые простые программы-вымогатели могут заблокировать систему, не повреждая файлы, более продвинутые вредоносные программы используют метод, называемый криптовирусным вымогательством. Он шифрует файлы жертвы, делая их недоступными, и требует выкуп за их расшифровку. [1] [2] [3] [4] [5] дешифрования При правильно реализованной криптовирусной атаке-вымогательстве восстановление файлов без ключа является неразрешимой трудно отслеживаемые цифровые валюты, такие как paysafecard или Bitcoin , а также другие криптовалюты проблемой, а для выкупа используются , что затрудняет отслеживание и преследование преступников.
Атаки программ-вымогателей обычно осуществляются с использованием трояна , замаскированного под законный файл, который пользователя обманом заставляют загрузить или открыть, когда он приходит в виде вложения к электронному письму. Однако один громкий пример — червь WannaCry — автоматически перемещался между компьютерами без вмешательства пользователя. [6]
Начиная с 1989 года, когда появилась первая задокументированная программа-вымогатель, известная как троян СПИДа , использование программ-вымогателей выросло во всем мире. [7] [8] [9] За первые шесть месяцев 2018 года было совершено 181,5 миллиона атак с использованием программ-вымогателей. Этот рекорд означает увеличение на 229% по сравнению с тем же периодом 2017 года. [10] В июне 2014 года поставщик McAfee опубликовал данные, показывающие, что за этот квартал он собрал более чем вдвое больше образцов программ-вымогателей, чем за тот же квартал предыдущего года. [11] CryptoLocker добился особенного успеха: он собрал около 3 миллионов долларов США, прежде чем власти закрыли его. [12] и CryptoWall, по оценкам Федерального бюро расследований США (ФБР), к июню 2015 года накопило более 18 миллионов долларов США. [13] В 2020 году IC3 получила 2474 жалобы, идентифицированные как программы-вымогатели, скорректированные убытки составили более 29,1 миллиона долларов. По данным ФБР, потери могут быть больше. [14] Во всем мире, по данным Statistica , в 2021 году было совершено около 623 миллионов атак с использованием программ-вымогателей, а в 2022 году — 493 миллиона. [15]
Операция [ править ]
Концепция программ-вымогателей, шифрующих файлы, была изобретена и реализована Янгом и Юнгом в Колумбийском университете и представлена на конференции IEEE Security & Privacy в 1996 году. Это называется криптовирусным вымогательством , и оно было вдохновлено вымышленным лицехватом из фильма «Чужой» . [16] Криптовирусное вымогательство представляет собой следующий трехраундовый протокол, осуществляемый между злоумышленником и жертвой. [1]
- [злоумышленник→жертва] Злоумышленник генерирует пару ключей и помещает соответствующий открытый ключ во вредоносное ПО. Вредоносное ПО выпущено.
- [жертва→злоумышленник] Для осуществления криптовирусной атаки-вымогательства вредоносное ПО генерирует случайный симметричный ключ и шифрует с его помощью данные жертвы. Он использует открытый ключ вредоносного ПО для шифрования симметричного ключа. Это известно как гибридное шифрование , и в результате получается небольшой асимметричный зашифрованный текст, а также симметричный зашифрованный текст данных жертвы. Он обнуляет симметричный ключ и исходные данные открытого текста, чтобы предотвратить восстановление. Он отправляет пользователю сообщение, содержащее асимметричный зашифрованный текст и информацию о том, как заплатить выкуп. Жертва отправляет злоумышленнику асимметричный зашифрованный текст и электронные деньги.
- [атакующий→жертва] Злоумышленник получает платеж, расшифровывает асимметричный зашифрованный текст с помощью закрытого ключа злоумышленника и отправляет симметричный ключ жертве. Жертва расшифровывает зашифрованные данные с помощью необходимого симметричного ключа, тем самым завершая криптовирусную атаку.
Симметричный ключ генерируется случайным образом и не поможет другим жертвам. Закрытый ключ злоумышленника ни в коем случае не становится доступен жертвам, и жертве достаточно отправить злоумышленнику очень небольшой зашифрованный текст (зашифрованный ключ симметричного шифрования).
Атаки программ-вымогателей обычно осуществляются с использованием трояна , проникающего в систему через, например, вредоносное вложение, встроенную ссылку в фишинговом электронном письме или уязвимость в сетевой службе. Затем программа запускает полезную нагрузку , которая каким-либо образом блокирует систему или утверждает, что блокирует систему, но этого не делает (например, программа- пугающее ПО ). Полезные нагрузки могут отображать ложное предупреждение, якобы сделанное такой организацией, как правоохранительный орган , ложно утверждая, что система использовалась для незаконной деятельности, содержит такой контент, как порнография и «пиратские» медиа . [17] [18] [19]
Некоторые полезные нагрузки состоят просто из приложения, предназначенного для блокировки или ограничения системы до тех пор, пока не будет произведен платеж, обычно путем установки оболочки Windows на себя. [20] или даже изменение основной загрузочной записи и/или таблицы разделов , чтобы операционная система не загружалась до тех пор, пока она не будет исправлена. [21] Самые сложные полезные нагрузки шифруют файлы, причем многие из них используют стойкое шифрование для шифрования файлов жертвы таким образом, что только автор вредоносного ПО имеет необходимый ключ дешифрования. [1] [22] [23]
Практически всегда целью является оплата, и жертву принуждают заплатить за удаление программы-вымогателя либо путем предоставления программы, которая может расшифровать файлы, либо путем отправки кода разблокировки, который отменяет изменения полезных данных. Хотя злоумышленник может просто забрать деньги, не возвращая файлы жертвы, в интересах злоумышленника выполнить расшифровку в соответствии с соглашением, поскольку жертвы перестанут отправлять платежи, если станет известно, что они бесполезны. Ключевым элементом работы программы-вымогателя для злоумышленника является удобная платежная система, которую трудно отследить. Был использован ряд таких способов оплаты, включая банковские переводы , текстовые сообщения с повышенным тарифом , [24] услуги предоплаченных ваучеров , такие как paysafecard , [7] [25] [26] и Биткойн криптовалюта . [27] [28] [29]
В мае 2020 года поставщик Sophos сообщил, что средняя глобальная стоимость устранения атаки программы-вымогателя (с учетом времени простоя, времени людей, стоимости устройства, стоимости сети, упущенных возможностей и уплаченного выкупа) составила 761 106 долларов США. Данные девяноста пяти процентов организаций, заплативших выкуп, были восстановлены. [30]
История [ править ]
Шифрование программ-вымогателей [ править ]
Первая известная атака с целью вымогательства вредоносного ПО, «троян СПИДа», написанная Джозефом Поппом в 1989 году, имела настолько серьезный конструктивный сбой, что платить вымогателю вообще не пришлось платить. Его полезная нагрузка скрывала файлы на жестком диске и шифровала только их имена , а также отображала сообщение о том, что срок действия лицензии пользователя на использование определенного программного обеспечения истек. Пользователя попросили заплатить 189 долларов США компании PC Cyborg Corporation, чтобы получить инструмент для восстановления, хотя ключ дешифрования можно было извлечь из кода трояна. Троянец также был известен как «PC Cyborg». Попп был признан психически неспособным предстать перед судом за свои действия, но он пообещал пожертвовать прибыль от вредоносного ПО на финансирование исследований СПИДа . [31]
Идея использования анонимных денежных систем для безопасного получения выкупа за похищение людей была выдвинута в 1992 году Себастьяном фон Зольмсом и Дэвидом Наккешем . [32] Этот метод сбора электронных денег также был предложен для атак с использованием криптовирусов. [1] В сценарии фон Зольмса-Наккеша использовалась газетная публикация (поскольку на момент написания статьи не существовало реестров биткойнов).
Идея использования криптографии с открытым ключом для атак по похищению данных была предложена в 1996 году Адамом Л. Янгом и Моти Юнгом . Янг и Юнг раскритиковали неудавшийся троянский вирус СПИДа, который полагался только на симметричную криптографию , фатальный недостаток заключался в том, что ключ дешифрования мог быть извлечен из трояна, и внедрили экспериментальный криптовирус для проверки концепции на Macintosh SE/30 , который использовал RSA. и алгоритм Tiny Encryption Algorithm (TEA) для гибридного шифрования данных жертвы. Поскольку используется криптография с открытым ключом , вирус содержит только ключ шифрования . Злоумышленник сохраняет соответствующий закрытый ключ дешифрования в тайне. В оригинальном экспериментальном криптовирусе Янга и Юнга жертва отправляла асимметричный зашифрованный текст злоумышленнику, который его расшифровывал и за определенную плату возвращал жертве содержащийся в нем симметричный ключ дешифрования. Задолго до появления электронных денег Янг и Юнг предположили, что электронные деньги можно также вымогать с помощью шифрования, заявив, что «создатель вируса может эффективно удерживать весь денежный выкуп до тех пор, пока ему не будет передана половина. Даже если электронные деньги были ранее зашифрованное пользователем, оно бесполезно для пользователя, если оно будет зашифровано криптовирусом». [1] Они назвали эти атаки « криптовирусным вымогательством», открытой атакой, которая является частью более широкого класса атак в области, называемой криптовирусологией , которая включает в себя как открытые, так и скрытые атаки. [1] Протокол криптовирусного вымогательства был вдохновлен паразитическими отношениями между лицехватом в исполнении Х. Р. Гигера и его хозяином в фильме « Чужой» . [1] [16]
Примеры программ-вымогателей стали известны в мае 2005 года. [33] К середине 2006 года такие трояны, как Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip и MayArchive, начали использовать более сложные схемы шифрования RSA с постоянно увеличивающимися размерами ключей. Gpcode.AG, обнаруженный в июне 2006 года, был зашифрован с помощью 660-битного открытого ключа RSA. [34] В июне 2008 года был обнаружен вариант, известный как Gpcode.AK. Считалось, что при использовании 1024-битного ключа RSA он достаточно велик, чтобы его невозможно было взломать без согласованных распределенных усилий. [35] [36] [37] [38]
Шифрование программ-вымогателей вернулось к известности в конце 2013 года с распространением CryptoLocker — использования Биткойн платформы цифровой валюты для сбора денег в качестве выкупа. В декабре 2013 года ZDNet подсчитала, основываясь на информации о транзакциях биткойнов, что в период с 15 октября по 18 декабря операторы CryptoLocker получили от зараженных пользователей около 27 миллионов долларов США. [39] Техника CryptoLocker была широко скопирована в последующие месяцы, включая CryptoLocker 2.0 (считалось, что она не связана с CryptoLocker), CryptoDefense (которая изначально содержала серьезный недостаток конструкции, заключавшийся в хранении закрытого ключа в зараженной системе в доступном для пользователя месте) . использованию встроенных API-интерфейсов шифрования Windows), [28] [40] [41] [42] и обнаружение в августе 2014 года трояна, специально нацеленного на сетевые устройства хранения данных производства Synology . [43] В январе 2015 года сообщалось, что атаки с использованием программ-вымогателей происходили против отдельных веб-сайтов посредством взлома, а также с помощью программ-вымогателей, предназначенных для атак на Linux на базе веб-серверы . [44] [45] [46]
При некоторых инфекциях существует двухэтапная полезная нагрузка, характерная для многих вредоносных систем. Пользователя обманом заставляют запустить скрипт, который загружает основной вирус и запускает его. В ранних версиях системы двойной полезной нагрузки сценарий содержался в документе Microsoft Office с прикрепленным макросом VBScript или в файле средства сценариев Windows (WSF). Когда системы обнаружения начали блокировать эти полезные данные первого этапа, Центр защиты от вредоносных программ Microsoft выявил тенденцию к использованию файлов LNK с автономными сценариями Microsoft Windows PowerShell . [47] В 2016 году было обнаружено, что PowerShell участвует почти в 40% инцидентов безопасности конечных точек. [48]
Некоторые разновидности программ-вымогателей используют прокси-серверы, привязанные к Tor скрытым службам , для подключения к своим серверам управления и контроля , что затрудняет отслеживание точного местонахождения преступников. [49] [50] Кроме того, поставщики даркнета все чаще [ когда? ] начали предлагать технологию как услугу , при которой программы-вымогатели продаются, готовые к развертыванию на машинах жертв, на основе подписки, аналогично Adobe Creative Cloud или Office 365. [50] [51] [52]
Symantec отнесла программы-вымогатели к наиболее опасным киберугрозам. [53]
Нешифрующие программы-вымогатели [ править ]
В августе 2010 года российские власти арестовали девять человек, связанных с трояном-вымогателем, известным как WinLock. В отличие от предыдущего трояна Gpcode, WinLock не использовал шифрование. Вместо этого WinLock тривиально ограничил доступ к системе, показав порнографические изображения, и попросил пользователей отправить платное SMS (стоимостью около 10 долларов США), чтобы получить код, который можно было бы использовать для разблокировки их компьютеров. Мошенничество затронуло многочисленных пользователей по всей России и соседним странам, что, как сообщается, принесло группе более 16 миллионов долларов США. [19] [54]
В 2011 году появился троян-вымогатель, который имитировал уведомление об активации продукта Windows и сообщал пользователям, что установку Windows необходимо повторно активировать, поскольку «[являюсь] жертвой мошенничества». Предлагался вариант онлайн-активации (как и сам процесс активации Windows), но он был недоступен, и пользователю требовалось позвонить на один из шести международных номеров и ввести 6-значный код. Хотя вредоносная программа утверждала, что этот звонок будет бесплатным, он был перенаправлен через мошеннического оператора в стране с высокими международными тарифами на телефонную связь, который поставил звонок на удержание, в результате чего с пользователя взималась крупная плата за междугороднюю международную связь . [17]
В 2012 году Symantec сообщила о распространении по Восточной Европе программы-вымогателя с экраном блокировки, якобы требующей правоохранительных органов оплаты за незаконную деятельность. [55]
Stamp.EK В феврале 2013 года появился троян-вымогатель на основе эксплойт-кита ; Вредоносное ПО распространялось через сайты, размещенные на хостингах проекта SourceForge и GitHub , которые утверждали, что предлагают «поддельные обнаженные фотографии» знаменитостей. [56] В июле 2013 года появился троян-вымогатель, специфичный для OS X , который отображает веб-страницу, обвиняющую пользователя в загрузке порнографии. В отличие от своих аналогов на базе Windows, он не блокирует весь компьютер, а просто использует поведение самого веб-браузера, чтобы препятствовать попыткам закрыть страницу обычными способами. [57]
В июле 2013 года 21-летний мужчина из Вирджинии, чей компьютер по совпадению действительно содержал порнографические фотографии несовершеннолетних девочек, с которыми он общался сексуального характера, сдался полиции после того, как получил и был обманут программой-вымогателем ФБР MoneyPak, обвинившей его в хранении детская порнография. В ходе расследования были обнаружены компрометирующие материалы, и мужчине были предъявлены обвинения в сексуальном насилии над детьми и хранении детской порнографии. [58]
Эксфильтрация (утечка/Doxware) [ править ]
Обратной стороной программы-вымогателя является криптовирусная атака, изобретенная Адамом Л. Янгом, которая угрожает опубликовать украденную информацию из компьютерной системы жертвы, а не лишить жертву доступа к ней. [59] При атаке с помощью утечки вредоносное ПО передает конфиденциальные данные хоста либо злоумышленнику, либо, альтернативно, удаленным экземплярам вредоносного ПО, и злоумышленник угрожает опубликовать данные жертвы, если не будет заплачен выкуп. Атака была представлена в Вест-Пойнте в 2003 году и кратко описана в книге «Вредоносная криптография» следующим образом: «Атака отличается от атаки с вымогательством следующим образом. заплатить, чтобы получить ее обратно, тогда как в представленной здесь атаке жертва сохраняет доступ к информации, но ее раскрытие остается на усмотрение компьютерного вируса». [60] Атака основана на теории игр и первоначально называлась «игры с ненулевой суммой и живучие вредоносные программы». Атака может принести денежную выгоду в тех случаях, когда вредоносное ПО получает доступ к информации, которая может нанести ущерб пользователю или организации-жертве, например, репутационный ущерб, который может возникнуть в результате публикации доказательства того, что сама атака была успешной.
Общие цели для эксфильтрации включают в себя:
- информация третьих лиц, хранящаяся основной жертвой (например, информация об учетной записи клиента или медицинские записи);
- информация, являющаяся собственностью жертвы (например, коммерческая тайна и информация о продукте)
- смущающая информация (например, информация о здоровье жертвы или информация о личном прошлом жертвы)
Атаки с эксфильтрацией обычно являются целенаправленными, с тщательно подобранным списком жертв и зачастую с предварительным наблюдением за системами жертвы с целью выявления потенциальных объектов данных и слабых мест. [61] [62]
Мобильные программы-вымогатели [ править ]
С ростом популярности программ-вымогателей на платформах ПК программ-вымогателей, нацеленных на мобильные операционные системы также распространяется распространение . Обычно полезные нагрузки мобильных программ-вымогателей являются блокировщиками, поскольку нет смысла шифровать данные, поскольку их можно легко восстановить с помощью онлайн-синхронизации. [63] Мобильные программы-вымогатели обычно нацелены на платформу Android , поскольку позволяют устанавливать приложения из сторонних источников. [63] [64] Полезная нагрузка обычно распространяется в виде APK-файла, установленного ничего не подозревающим пользователем; он может попытаться отобразить сообщение о блокировке поверх всех других приложений, [64] в то время как другой использовал форму кликджекинга , чтобы заставить пользователя предоставить ему права «администратора устройства» для получения более глубокого доступа к системе. [65]
использовались различные тактики На устройствах iOS , такие как использование учетных записей iCloud и использование системы «Найти iPhone» для блокировки доступа к устройству. [66] В iOS 10.3 Apple исправила ошибку в обработке всплывающих окон JavaScript в Safari , которая использовалась веб-сайтами-вымогателями. [67] Это недавно [ когда? ] Было показано, что программы-вымогатели могут также атаковать архитектуры ARM, подобные тем, которые можно найти в различных устройствах Интернета вещей (IoT), таких как периферийные устройства Industrial IoT. [68]
В августе 2019 года исследователи продемонстрировали возможность заражения зеркальных камер программой-вымогателем. [69] Цифровые камеры часто используют протокол передачи изображений (PTP — стандартный протокол, используемый для передачи файлов). Исследователи обнаружили, что можно использовать уязвимости в протоколе для заражения целевой камеры (камер) программой-вымогателем (или выполнения любого произвольного кода). Эта атака была представлена на конференции по безопасности Defcon в Лас-Вегасе как доказательство концепции атаки (а не как настоящее вооруженное вредоносное ПО).
Развитие атак [ править ]
Первые атаки были направлены на случайных пользователей, обычно заражавшихся через вложения к электронной почте, отправленных небольшими группами преступников, требующих несколько сотен долларов в криптовалюте для разблокировки файлов (обычно фотографий и документов частного лица), зашифрованных программой-вымогателем. По мере того, как программы-вымогатели развивались как бизнес, в эту область вышли организованные банды, которые размещали в темной сети рекламу экспертов и выполняли аутсорсинговые функции. Это привело к улучшению качества программы-вымогателя и ее успеху. Вместо случайных электронных писем банды похитили учетные данные, нашли уязвимости в целевых сетях и усовершенствовали вредоносное ПО, чтобы избежать обнаружения антивирусными сканерами. Требуемые выкупы возросли до гораздо больших сумм (миллионов), которые предприятие заплатило бы за восстановление своих данных, а не той суммы, которую физическое лицо заплатило бы за свои документы (сотни).
В 2016 году был отмечен значительный рост атак программ-вымогателей на больницы. Согласно отчету Symantec Corp об угрозах интернет-безопасности за 2017 год, программы-вымогатели затронули не только ИТ-системы, но и уход за пациентами, клинические операции и выставление счетов. Интернет-преступники могут руководствоваться доступными деньгами и ощущением срочности в системе здравоохранения. [70]
Программы-вымогатели быстро распространяются среди пользователей Интернета, а также в среде IoT. [55] Большая проблема заключается в том, что некоторые организации и отрасли, которые решили платить, такие как Голливудский пресвитерианский медицинский центр и MedStar Health, теряют миллионы долларов. [71]
Согласно отчету Symantec 2019 ISTR, впервые с 2013 года в 2018 году наблюдалось снижение активности программ-вымогателей на 20 процентов. До 2017 года предпочтительными жертвами были потребители, но в 2017 году ситуация резко изменилась: дело перешло к предприятиям. В 2018 году этот путь ускорился: число заражений составило 81 процент, что представляет собой рост на 12 процентов. [72] Распространенный метод распространения сегодня основан на кампаниях по электронной почте.
В конце 2019 года группа вымогателей Maze загрузила конфиденциальные файлы компаний, прежде чем заблокировать их, и пригрозила обнародовать данные, если выкуп не будет выплачен; по крайней мере в одном случае они это сделали. За ними последовали многие другие банды; В даркнете были созданы «сайты утечки», где можно было получить доступ к украденным данным. Более поздние атаки были сосредоточены на угрозе утечки данных без обязательной их блокировки — это сводило на нет защиту, обеспечиваемую жертвам надежными процедурами резервного копирования. По состоянию на 2023 год [update] существует риск того, что враждебные правительства будут использовать программы-вымогатели, чтобы скрыть то, что на самом деле является сбором разведывательной информации. [73]
Первая зарегистрированная смерть в результате атаки программы-вымогателя произошла в немецкой больнице в октябре 2020 года. [74]
Значительный рост атак программ-вымогателей произошел во время пандемии COVID-19 в 2020 году . Имеющиеся данные показали, что объектами этих атак были правительства, финансы и здравоохранение. Исследователи утверждают, что рост числа атак в это время можно объяснить несколькими различными факторами. Однако важным фактором является то, что удаленная работа , которая стала нормой для многих отраслей в 2020 году, привела к всплеску атак из-за отсутствия безопасности по сравнению с традиционными рабочими средами. [75]
Известные цели атак [ править ]
пакеты Известные обеспечения программного
Реветон [ править ]
В 2012 году начал распространяться крупный троян-вымогатель, известный как Reveton. Citadel Созданный на основе трояна (который, в свою очередь, основан на трояне Zeus ), его полезная нагрузка отображает предупреждение якобы от правоохранительного органа, утверждающее, что компьютер использовался для незаконной деятельности, такой как загрузка нелицензионного программного обеспечения или детской порнографии . Из-за такого поведения его часто называют «полицейским трояном». [76] [77] [78] Предупреждение информирует пользователя о том, что для разблокировки системы ему придется заплатить штраф, используя ваучер анонимной предоплаченной кассовой службы, такой как Ukash или paysafecard . Чтобы усилить иллюзию того, что компьютер отслеживается правоохранительными органами, на экране также отображается IP-адрес жертвы, компьютера, а в некоторых версиях отображаются кадры с веб-камеры чтобы создать иллюзию того, что пользователя записывают. [7] [79]
Первоначально Реветон начал распространяться в различных странах Европы в начале 2012 года. [7] Варианты были локализованы с использованием шаблонов с логотипами различных правоохранительных организаций в зависимости от страны пользователя; например, варианты, используемые в Соединенном Королевстве, содержали брендинг таких организаций, как Служба столичной полиции и Национальное подразделение полиции по борьбе с электронными преступлениями . Другая версия содержала логотип общества по сбору роялти PRS for Music , которое конкретно обвиняло пользователя в незаконном скачивании музыки. [80] В заявлении, предупреждающем общественность о вредоносном ПО, столичная полиция пояснила, что они никогда не будут блокировать компьютер таким образом в рамках расследования. [7] [18]
В мае 2012 года исследователи угроз Trend Micro обнаружили шаблоны вариантов для США и Канады , что позволяет предположить, что их авторы, возможно, планировали ориентироваться на пользователей в Северной Америке. [81] К августу 2012 года в США начал распространяться новый вариант Reveton, утверждающий, что он требует уплаты долларов ФБР штрафа в 200 с помощью карты MoneyPak . [8] [9] [79] В феврале 2013 года гражданин России был арестован в Дубае испанскими властями за его связь с преступной группировкой, использовавшей Реветон; еще десять человек были арестованы по обвинению в отмывании денег . [82] В августе 2014 года Avast Software сообщила, что обнаружила новые варианты Reveton, которые также распространяют вредоносное ПО для кражи паролей как часть своей полезной нагрузки. [83]
КриптоЛоккер [ править ]
Шифрование программ-вымогателей вновь появилось в сентябре 2013 года с трояном, известным как CryptoLocker , который генерировал 2048-битную пару ключей RSA и, в свою очередь, загружал их на сервер управления и контроля и использовал для шифрования файлов с использованием белого списка определенных расширений файлов . Вредоносная программа угрожала удалить закрытый ключ, если платеж в биткойнах или предоплаченный денежный ваучер не будет произведен в течение 3 дней после заражения. Из-за чрезвычайно большого размера ключа, который он использует, аналитики и те, кто пострадал от трояна, сочли CryptoLocker чрезвычайно трудным для восстановления. [27] [84] [85] [86] Даже после истечения крайнего срока закрытый ключ все еще можно было получить с помощью онлайн-инструмента, но цена увеличится до 10 BTC, что по состоянию на ноябрь 2013 года стоило примерно 2300 долларов США. [87] [88]
CryptoLocker был изолирован в результате захвата Gameover ZeuS ботнета в рамках операции «Товар» , о чем официально объявило Министерство юстиции США 2 июня 2014 года. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богачеву за его предполагаемое участие. в ботнете. [89] [90] По оценкам, перед закрытием с помощью вредоносного ПО было вытащено не менее 3 миллионов долларов США. [12]
CryptoLocker.F и TorrentLocker [ править ]
В сентябре 2014 года появилась волна троянов-вымогателей, которые сначала были нацелены на пользователей в Австралии под названиями CryptoWall и CryptoLocker (которые, как и CryptoLocker 2.0, не связаны с исходным CryptoLocker). Трояны распространялись через мошеннические электронные письма, выдававшие себя за неудавшиеся уведомления о доставке посылок от Почты Австралии ; Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые переходят по всем ссылкам на странице для сканирования на наличие вредоносного ПО, этот вариант был разработан таким образом, чтобы требовать от пользователей посещения веб-страницы и ввода кода CAPTCHA перед фактической загрузкой полезной нагрузки, предотвращая такие автоматические процессы возможность сканировать полезную нагрузку. Symantec определила, что эти новые варианты, которые были идентифицированы как CryptoLocker.F , снова не связаны с исходным CryptoLocker из-за различий в их работе. [91] [92] Заметной жертвой троянцев стала Австралийская радиовещательная корпорация ; прямые трансляции на новостном телеканале ABC News 24 были прерваны на полчаса и перенесены в студии в Мельбурне из-за заражения CryptoWall компьютеров в студии в Сиднее . [93] [94] [95]
Другой троян этой волны, TorrentLocker , изначально содержал конструктивный недостаток, сравнимый с CryptoDefense; он использовал один и тот же поток ключей для каждого зараженного компьютера, что делало шифрование простым для преодоления. Однако позже этот недостаток был исправлен. [40] По оценкам, к концу ноября 2014 года только в Австралии TorrentLocker заразилось более 9 000 пользователей, уступая только Турции с 11 700 заражениями. [96]
Криптостена [ править ]
Другой крупный троян-вымогатель, нацеленный на Windows, CryptoWall, впервые появился в 2014 году. Один из вариантов CryptoWall был распространен в рамках вредоносной рекламной кампании в рекламной сети Zedo в конце сентября 2014 года, нацеленной на несколько крупных веб-сайтов; реклама перенаправлялась на мошеннические веб-сайты, которые использовали эксплойты плагинов браузера для загрузки полезной нагрузки. Исследователь Barracuda Networks также отметил, что полезная нагрузка была подписана цифровой подписью , чтобы обеспечить безопасность программного обеспечения. [97] CryptoWall 3.0 использовал полезную нагрузку, написанную на JavaScript , как часть вложения электронной почты, которая загружает исполняемые файлы, замаскированные под изображения JPG . Чтобы еще больше избежать обнаружения, вредоносная программа создает новые экземпляры explorer.exe и svchost.exe для связи со своими серверами. При шифровании файлов вредоносная программа также удаляет теневые копии томов и устанавливает шпионское ПО, которое крадет пароли и биткойн-кошельки . [98]
ФБР В июне 2015 года ФБР сообщило, что около 1000 жертв обратились в Центр рассмотрения жалоб на интернет-преступления , чтобы сообщить о заражении CryptoWall, и оценили убытки как минимум в 18 миллионов долларов. [13]
Самый последний [ когда? ] Версия CryptoWall 4.0 усовершенствовала свой код, чтобы избежать обнаружения антивирусом, и шифрует не только данные в файлах, но и имена файлов. [99]
Фусоб [ править ]
Fusob — крупное семейство мобильных программ-вымогателей. В период с апреля 2015 года по март 2016 года около 56 процентов зарегистрированных мобильных программ-вымогателей составляли Fusob. [100]
Как и большинство других программ-вымогателей, он использует тактику запугивания, чтобы вымогать у пользователя огромную сумму. [101] Приложение действует так, как если бы оно было уведомлением от властей , требующим от жертвы заплатить штраф от 100 до 200 долларов США или иным образом предъявить фиктивное уголовное обвинение. Fusob запрашивает подарочные карты iTunes для оплаты, в отличие от большинства программ-вымогателей, ориентированных на криптовалюту.
Для заражения устройств Fusob маскируется под порнографический видеоплеер. [102] При установке он сначала проверяет системный язык устройства. Если язык русский или восточноевропейский, Фусоб остается дремлющим. В противном случае он блокирует устройство и требует выкуп. Около 40% жертв приходится на Германию, в Великобритании – 14,5% жертв, а в США – 11,4%. Fusob и Small (еще одно семейство программ-вымогателей) представляли более 93% мобильных программ-вымогателей в период с 2015 по 2016 год.
WannaCry [ править ]
В мае 2017 года атака программы-вымогателя WannaCry распространилась по Интернету с использованием вектора эксплойта под названием EternalBlue , который предположительно был утек из Агентства национальной безопасности США . Беспрецедентная по масштабам атака программы-вымогателя [103] заразил более 230 000 компьютеров в более чем 150 странах, [104] используя 20 разных языков, чтобы требовать деньги от пользователей, использующих криптовалюту Биткойн . WannaCry требовала 300 долларов США за компьютер. [105] Атака затронула Telefónica и несколько других крупных компаний в Испании, а также подразделения Британской национальной службы здравоохранения (NHS), где по меньшей мере 16 больницам пришлось отказать пациентам или отменить запланированные операции. [106] FedEx , Deutsche Bahn , Honda , [107] Renault , а также МВД России и российский оператор связи "МегаФон " . [108] Злоумышленники предоставили своим жертвам 7-дневный срок со дня заражения их компьютеров, после чего зашифрованные файлы будут удалены. [109]
Petya [ edit ]
Петя был впервые обнаружен в марте 2016 года; В отличие от других форм шифрования программ-вымогателей, вредоносное ПО нацелено на заражение основной загрузочной записи , устанавливая полезную нагрузку, которая шифрует файловые таблицы файловой системы NTFS при следующей загрузке зараженной системы, блокируя загрузку системы в Windows до тех пор, пока не выкуп уплачен. Check Point сообщила, что, несмотря на то, что она считала инновационной эволюцией в разработке программ-вымогателей, она привела к относительно меньшему количеству заражений, чем другие программы-вымогатели, действовавшие примерно в тот же период времени. [110]
27 июня 2017 года сильно модифицированная версия Petya была использована для глобальной кибератаки, направленной в первую очередь на Украину (но затронувшей многие страны). [111] ). Эта версия была модифицирована для распространения с использованием того же эксплойта EternalBlue, который использовался WannaCry. Из-за другого изменения конструкции он также не может фактически разблокировать систему после выплаты выкупа; это привело к тому, что аналитики по безопасности предположили, что атака была направлена не на получение незаконной прибыли, а просто на то, чтобы вызвать сбой. [112] [113]
Плохой кролик [ править ]
24 октября 2017 года некоторые пользователи в России и Украине сообщили о новой атаке программы-вымогателя под названием «Bad Rabbit», которая повторяет схему, аналогичную WannaCry и Petya: шифрует таблицы файлов пользователя, а затем требует оплаты в биткойнах для их расшифровки. ESET предположила, что программа-вымогатель была распространена посредством фиктивного обновления программного обеспечения Adobe Flash . [114] Среди ведомств, пострадавших от программы-вымогателя, оказались: «Интерфакс» , «Одесский международный аэропорт» , «Киевский метрополитен » и Министерство инфраструктуры Украины. [115] Поскольку для распространения программа-вымогатель использовала корпоративные сетевые структуры, она была обнаружена и в других странах, включая Турцию, Германию, Польшу, Японию, Южную Корею и США. [116] Эксперты полагали, что атака программы-вымогателя была связана с атакой Petya в Украине (особенно потому, что код Bad Rabbit имеет множество пересекающихся и аналогичных элементов с кодом Petya/NotPetya). [117] добавление к CrowdStrike Bad Rabbit и библиотеки динамической компоновки (DLL) NotPetya использует 67 процентов одного и того же кода. [118] ), хотя единственными виновниками являются имена персонажей из сериала «Игра престолов» , встроенные в код. [116]
Эксперты по безопасности обнаружили, что программа-вымогатель не использовала эксплойт EternalBlue для распространения, а к 24 октября 2017 года был найден простой способ заражения незатронутой машины под управлением более старых версий Windows. [119] [120] Кроме того, сайты, которые использовались для распространения фиктивного обновления Flash, отключились или удалили проблемные файлы в течение нескольких дней после его обнаружения, что фактически положило конец распространению Bad Rabbit. [116]
СамСам [ править ]
В 2016 году появился новый штамм программы-вымогателя, нацеленный на серверы JBoss . [121] Было обнаружено, что этот штамм, названный « SamSam », обходит процесс фишинга или незаконных загрузок и использует уязвимости на слабых серверах. [122] Вредоносная программа использует протокола удаленного рабочего стола грубую атаку , чтобы угадать слабые пароли, пока один из них не будет взломан. Вирус стоял за атаками на правительственные учреждения и учреждения здравоохранения, при этом заметные хакерские атаки произошли в городе Фармингтон, штат Нью-Мексико , в Министерстве транспорта Колорадо , в округе Дэвидсон, штат Северная Каролина , и совсем недавно. [ когда? ] , атака программы-вымогателя на инфраструктуру Атланты . [122]
Мохаммад Мехди Шах Мансури (родился в Куме , Иран , в 1991 году) и Фарамарз Шахи Саванди (родился в Ширазе , Иран , в 1984 году) разыскиваются ФБР по подозрению в запуске программы-вымогателя SamSam. [123] Эти двое якобы заработали 6 миллионов долларов на вымогательстве и нанесли ущерб на сумму более 30 миллионов долларов, используя вредоносное ПО. [124]
ДаркСайд [ править ]
7 мая 2021 года была совершена кибератака на Колониальный трубопровод США. Федеральное бюро расследований определило DarkSide как виновника атаки программы-вымогателя Colonial Pipeline , совершенной с помощью вредоносного кода , которая привела к добровольному останову магистрального трубопровода, поставляющего 45% топлива на восточное побережье США . Атака была названа худшей кибератакой на важнейшую инфраструктуру США на сегодняшний день . DarkSide успешно выманил около 75 биткойнов (почти 5 миллионов долларов США) из Colonial Pipeline. Американские чиновники расследуют, было ли нападение чисто криминальным или имело место при участии российского правительства или другого государственного спонсора. После нападения DarkSide опубликовал заявление, в котором утверждалось, что «Мы аполитичны, мы не участвуем в геополитике... Наша цель — зарабатывать деньги, а не создавать проблемы обществу».
В мае 2021 года ФБР и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустили совместное предупреждение, призывающее владельцев и операторов критической инфраструктуры предпринять определенные шаги для снижения своей уязвимости к программам-вымогателям DarkSide и программам-вымогателям в целом.
Сиски [ править ]
Syskey — это утилита, включенная в операционные системы на базе Windows NT для шифрования базы данных учетных записей пользователей , при необходимости с помощью пароля. Этот инструмент иногда эффективно использовался в качестве программы-вымогателя во время мошенничества с технической поддержкой , когда звонивший с удаленным доступом к компьютеру мог использовать этот инструмент, чтобы заблокировать пользователя на его компьютере с помощью пароля, известного только ему. [125] Syskey был удален из более поздних версий Windows 10 и Windows Server в 2017 году из-за того, что он устарел и «известен как используемый хакерами в рамках мошенничества с программами-вымогателями». [126] [127]
Программа-вымогатель как услуга [ править ]
Программа-вымогатель как услуга (RaaS) стала заметным методом после того, как базирующаяся в России [128] или русскоязычный [129] Группа REvil провела операции против нескольких целей, включая базирующуюся в Бразилии JBS SA в мае 2021 года и американскую Kaseya Limited в июле 2021 года. [130] После телефонного разговора между президентом США Джо Байденом и президентом России Владимиром Путиным 9 июля 2021 года Байден заявил прессе: «Я очень ясно дал ему понять, что Соединенные Штаты ожидают, когда с его территории начнется операция по вымогательству, даже если это не спонсируемые государством, мы ожидаем, что они будут действовать, если мы предоставим им достаточно информации, чтобы действовать в отношении того, кто это». Позже Байден добавил, что Соединенные Штаты отключат серверы группы, если Путин этого не сделает. [131] [132] Четыре дня спустя веб-сайты REvil и другая инфраструктура исчезли из Интернета. [133]
Смягчение [ править ]
Если атака подозревается или обнаруживается на ранних стадиях, для шифрования требуется некоторое время; немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения предотвратит дальнейшее повреждение данных, не восстанавливая уже потерянные данные. [134] [135]
Эксперты по безопасности предложили меры предосторожности при борьбе с программами-вымогателями. Использование программного обеспечения или других политик безопасности для блокировки запуска известных полезных данных поможет предотвратить заражение, но не защитит от всех атак. [27] [136] Таким образом, наличие правильного решения для резервного копирования является важнейшим компонентом защиты от программ-вымогателей. Обратите внимание: поскольку многие злоумышленники, использующие программы-вымогатели, не только зашифровывают работающую машину жертвы, но также пытаются удалить любые горячие резервные копии, хранящиеся локально или доступные по сети на NAS , также важно поддерживать «автономные» резервные копии данных, хранящихся в места, недоступные с любого потенциально зараженного компьютера , например внешние накопители или устройства, не имеющие доступа к какой-либо сети (включая Интернет) , предотвращает доступ к ним программы-вымогателя. Более того, если вы используете NAS или облачное хранилище , компьютер должен иметь разрешение только на добавление к целевому хранилищу, чтобы он не мог удалять или перезаписывать предыдущие резервные копии. По данным comodo , применение двух сокращений поверхности атаки на ОС / ядре обеспечивает существенное уменьшение поверхности атаки, что приводит к повышению уровня безопасности. [137] [138] [139]
безопасности Установка обновлений , выпущенных поставщиками программного обеспечения, может уменьшить количество уязвимостей, которые используются для распространения определенными штаммами. [140] [141] [142] [143] [144] Другие меры включают кибергигиену — соблюдение осторожности при открытии электронной почты вложений и ссылок , сегментацию сети и изоляцию критически важных компьютеров от сетей. [145] [146] Кроме того, для смягчения распространения программ-вымогателей могут быть применены меры инфекционного контроля . [147] К ним могут относиться отключение зараженных компьютеров от всех сетей, образовательные программы, [148] эффективные каналы связи, наблюдение за вредоносным ПО [ оригинальное исследование? ] и способы коллективного участия [147]
В августе 2021 года Агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало отчет, в котором содержатся рекомендации по смягчению последствий атак программ-вымогателей. Это произошло из-за значительного скачка числа недавних атак, связанных с программами-вымогателями. Эти атаки включали агрессию против американской трубопроводной компании и компании-разработчика программного обеспечения, что отразилось на последующих клиентах MSP . [149]
Защита файловой системы от программ-вымогателей [ править ]
Ряд файловых систем хранят снимки хранящихся в них данных, которые можно использовать для восстановления содержимого файлов, существовавших до атаки программы-вымогателя, если программа-вымогатель не отключит ее.
- В Windows теневая копия тома (VSS) часто используется для хранения резервных копий данных; программы-вымогатели часто нацелены на эти снимки, чтобы предотвратить восстановление, поэтому часто рекомендуется отключить доступ пользователей к пользовательскому инструменту VSSadmin.exe , чтобы снизить риск того, что программы-вымогатели могут отключить или удалить предыдущие копии.
- В Windows 10 пользователи могут добавлять определенные каталоги или файлы в контролируемый доступ к папкам в Защитнике Windows, чтобы защитить их от программ-вымогателей. [150] Рекомендуется добавить резервные копии и другие важные каталоги в контролируемый доступ к папкам.
- Если вредоносное ПО не проникнет в хост-систему ZFS в ходе атаки, закодированной для выполнения административных команд ZFS, файловые серверы, на которых работает ZFS, в целом невосприимчивы к программам-вымогателям, поскольку ZFS способна создавать снимки даже большой файловой системы много раз в час, и эти снимки неизменяемые (только для чтения) и легко откатываемые файлы, а также файлы, восстанавливаемые в случае повреждения данных. [151] Как правило, только администратор может удалять (но не изменять) снимки.
Расшифровка и восстановление файлов [ править ]
Существует ряд инструментов, предназначенных специально для расшифровки файлов, заблокированных программой-вымогателем, однако успешное восстановление может оказаться невозможным. [2] [152] Если для всех файлов используется один и тот же ключ шифрования, инструменты дешифрования используют файлы, для которых существуют как неповрежденные резервные копии, так и зашифрованные копии ( атака с известным открытым текстом на жаргоне криптоанализа) . Но она работает только тогда, когда шифр, использованный злоумышленником, был слабым для шифрования. начнем с уязвимости к атакам с использованием известного открытого текста); восстановление ключа, если оно возможно, может занять несколько дней. [153] Бесплатные инструменты расшифровки программ-вымогателей могут помочь расшифровать файлы, зашифрованные следующими формами программ-вымогателей: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. [154] Шифрование программ-вымогателей, взломанное исследователями безопасности, обычно используется в преступных целях; таким образом, на практике большинство атак невозможно предотвратить путем взлома шифрования. [155]
Проект No More Ransom — это инициатива Национального подразделения полиции Нидерландов по борьбе с преступлениями в сфере высоких технологий, Европола Европейского центра по борьбе с киберпреступностью , «Лаборатории Касперского» и McAfee, направленная на то, чтобы помочь жертвам программ-вымогателей восстановить свои данные без уплаты выкупа. [156] Они предлагают бесплатный инструмент CryptoSheriff для анализа зашифрованных файлов и поиска инструментов расшифровки. [157]
Кроме того, на диске могут существовать старые копии файлов, которые ранее были удалены. В некоторых случаях эти удаленные версии все же можно восстановить с помощью программного обеспечения, предназначенного для этой цели .
проведенное в 2019 году, Расследование ProPublica, показало, что компании по кибербезопасности Proven Data Recovery и Monstercloud, рекламирующие услуги дешифрования без выкупа, обычно просто платят выкуп и взимают с жертвы более высокую цену. [155] Хакеры SamSam так часто имели дело с Proven Data, что рекомендовали компанию жертвам, испытывающим технические трудности с оплатой. [155] Другие компании, такие как Coveware, были более прозрачными, предлагая услуги по выплате хакерам и исправлению незащищенных систем. [155] Многие американские жертвы обнаружили, что сумма выкупа была слишком низкой, чтобы соответствовать порогу Министерства юстиции США для участия федерального правительства, но у местной полиции не было технических возможностей, чтобы помочь, и они часто сами становились жертвами. [155]
аресты Уголовные осуждения и
Зейн Кайзер [ править ]
Британский студент Зейн Кайзер из Баркинга, Лондон, был заключен в тюрьму на более чем шесть лет в Королевском суде Кингстона-на-Темзе за атаки с использованием программ-вымогателей в 2019 году. [158] Говорят, что он был «самым плодовитым киберпреступником, приговоренным к приговору в Великобритании». Он начал активную деятельность, когда ему было всего 17 лет. Он связался с российским организатором одной из самых мощных атак, предположительно бандой вредоносного ПО Lurk, и договорился о разделе своей прибыли. Он также связался с онлайн-преступниками из Китая и США, чтобы перевести деньги. [158] Около полутора лет он выдавал себя за законного поставщика онлайн-продвижения книжной рекламы на некоторых из самых посещаемых в мире сайтов легальной порнографии. Каждая из рекламных объявлений, рекламируемых на веб-сайтах, содержала разновидность Reveton Ransomware вредоносного Angler Exploit Kit (AEK). [159] который захватил контроль над машиной. Следователи обнаружили около 700 000 фунтов стерлингов доходов, хотя его сеть, возможно, заработала более 4 миллионов фунтов стерлингов. Возможно, он спрятал немного денег, используя криптовалюты. Программа-вымогатель предлагала жертвам купить ваучеры GreenDot MoneyPak и ввести код на панели Reveton, отображаемой на экране. Эти деньги поступали на счет MoneyPak, которым управлял Кайзер, который затем переводил ваучеры на счет дебетовой карты своего американского сообщника Раймонда Одиги Уадиале. Уадиале был студентом Международного университета Флориды в 2012 и 2013 годах, а затем работал в Microsoft. Уадиале конвертировал деньги в цифровую валюту Liberty Reserve и вносил их на счет Liberty Reserve Кайзера. [160]
Прорыв в данном случае произошел в мае 2013 года, когда власти нескольких стран захватили серверы Liberty Reserve, получив доступ ко всем ее транзакциям и истории счетов. Кайзер использовал зашифрованные виртуальные машины на своем Macbook Pro с операционными системами Mac и Windows. [161] Раньше его нельзя было судить, поскольку он был помещен в отделение (принудительно) в соответствии с Законом Великобритании о психическом здоровье 1983 года в больнице Гудмейс , где было обнаружено, что он использовал больничный Wi-Fi для доступа к своим рекламным сайтам. Его адвокат утверждал, что Кайзер страдал психическим заболеванием. [158] В июне 2016 года российская полиция арестовала 50 членов вредоносной банды Lurk. [162] Уадиале, натурализованный гражданин США нигерийского происхождения, был заключен в тюрьму на 18 месяцев. [163]
свободы слова и Проблемы наказание уголовное
Публикация кода атаки, подтверждающего концепцию, распространена среди академических исследователей и исследователей уязвимостей.Он рассказывает о характере угрозы, передает серьезность проблем и позволяет разработать и принять контрмеры. Однако законодатели при поддержке правоохранительных органов рассматривают возможность объявить создание программ-вымогателей незаконным. В штате Мэриленд первоначальный проект HB 340 квалифицировал создание программ-вымогателей как уголовное преступление, караемое тюремным заключением на срок до 10 лет. [164] Однако это положение было исключено из окончательной версии законопроекта. [ нужна ссылка ] Несовершеннолетнего в Японии арестовали за создание и распространение кода-вымогателя. [165] Янг и Юнг разместили исходный код ANSI C криптотрояна-вымогателя в Интернете на сайте cryptovirology.com с 2005 года как часть по криптовирусологии написанной книги . Исходный код криптотрояна до сих пор доступен в Интернете.связанный с проектом Главы 2. [166]
См. также [ править ]
- Атака программы-вымогателя Colonial Pipeline - атака программы-вымогателя на американскую систему нефтепроводов
- BlueKeep (уязвимость безопасности) — дыра в безопасности Windows.
- Балансирование на грани – Политическая и военная тактика.
- Гитлер-вымогатель – форма программы-вымогателя
- Jigsaw (программа-вымогатель) — программа-шифровальщик, созданная в 2016 году.
- Только добавление — свойство хранения компьютерных данных.
- Рискованное ПО — программное обеспечение, представляющее угрозу для главного компьютера.
- Рюк (программа-вымогатель) — тип программы-вымогателя.
- Проектирование надежности - раздел системной инженерии, в котором особое внимание уделяется надежности.
- Воздушный зазор (сеть) – мера сетевой безопасности.
- Избыточность данных – наличие данных, дополнительных к фактическим данным, которые могут позволить исправить ошибки в сохраненных или передаваемых данных.
- Отказоустойчивость – устойчивость систем к сбоям или ошибкам компонентов.
- Надежность (компьютерные сети) – возможность подтверждения протокола.
- Однонаправленная сеть – сетевое устройство, которое обеспечивает передачу данных только в одном направлении.
- отказоустойчивая компьютерная система – устойчивость систем к сбоям или ошибкам компонентов.
- Византийская ошибка - ошибка в компьютерной системе, которая представляет разные симптомы для разных наблюдателей.
- Квантовое византийское соглашение - Квантовая версия протокола Византийского соглашения.
- Проблема двух генералов – мысленный эксперимент
- Команда по поиску программ-вымогателей - научно-популярная книга Рене Дадли и Дэниела Голдена, 2022 г.
- Брокер первичного доступа – хакер, продающий доступ к взломанным компьютерам.
Ссылки [ править ]
- ^ Jump up to: Перейти обратно: а б с д и ж г Янг, А.; М. Юнг (1996). Криптовирусология: угрозы безопасности, основанные на вымогательстве, и меры противодействия . Симпозиум IEEE по безопасности и конфиденциальности. стр. 129–140. дои : 10.1109/SECPRI.1996.502676 . ISBN 0-8186-7417-2 .
- ^ Jump up to: Перейти обратно: а б Шофилд, Джек (28 июля 2016 г.). «Как я могу удалить заражение программой-вымогателем?» . Хранитель . Проверено 28 июля 2016 г.
- ^ Мимозо, Майкл (28 марта 2016 г.). «Шифрование основной таблицы файлов программы-вымогателя Petya» . Threatpost.com . Проверено 28 июля 2016 г.
- ^ Джастин Луна (21 сентября 2016 г.). «Программа-вымогатель Mamba шифрует ваш жесткий диск и манипулирует процессом загрузки» . Ньюлин . Проверено 5 ноября 2016 г.
- ^ Мин, Донхён; Ко, Юнгу; Уокер, Райан; Ли, Чонхи; Ким, Ёнджэ (июль 2022 г.). «Твердотельный накопитель для обнаружения программ-вымогателей на основе контента и резервного копирования для защиты от программ-вымогателей» . Транзакции IEEE по автоматизированному проектированию интегральных схем и систем . 41 (7): 2038–2051. дои : 10.1109/TCAD.2021.3099084 . ISSN 0278-0070 . S2CID 237683171 .
- ^ Кэмерон, Делл (13 мая 2017 г.). «Сегодняшнюю массированную атаку программы-вымогателя в основном можно было предотвратить; вот как ее избежать» . Гизмодо . Проверено 13 мая 2017 г.
- ^ Jump up to: Перейти обратно: а б с д и Данн, Джон Э. «Трояны-выкупщики распространяются за пределы глубинки России» . ТехМир. Архивировано из оригинала 2 июля 2014 года . Проверено 10 марта 2012 г.
- ^ Jump up to: Перейти обратно: а б «Новое интернет-мошенничество: программы-вымогатели…» ФБР. 9 августа 2012 г.
- ^ Jump up to: Перейти обратно: а б «Вредоносное ПО Citadel продолжает распространять программу-вымогатель Reveton…» Центр жалоб на интернет-преступления (IC3). 30 ноября 2012 г.
- ^ «Программы-вымогатели вернулись с размахом: с января было совершено 181,5 миллиона атак» . Помогите Net Security . 11 июля 2018 года . Проверено 20 октября 2018 г.
- ^ «Обновление: McAfee: Киберпреступники чаще всего используют вредоносное ПО для Android и программы-вымогатели» . Инфомир . 3 июня 2013 года . Проверено 16 сентября 2013 г.
- ^ Jump up to: Перейти обратно: а б «Жертвы криптоблокировки могут получить файлы обратно бесплатно» . Новости Би-би-си. 6 августа 2014 года . Проверено 18 августа 2014 г.
- ^ Jump up to: Перейти обратно: а б «ФБР сообщает, что программы-вымогатели принесли киберпреступникам более 18 миллионов долларов» . Арс Техника . 25 июня 2015 г. Проверено 25 июня 2015 г.
- ^ «Отчет о преступности в Интернете за 2020 год» (PDF) . Ic3.gov . Проверено 1 марта 2022 г.
- ^ «Количество атак программ-вымогателей в 2022 году» . Статистика . Проверено 4 июня 2023 г.
- ^ Jump up to: Перейти обратно: а б Янг, Адам Л.; Юнг, Моти (2017). «Криптовирусология: рождение, пренебрежение и взрыв программ-вымогателей» . Коммуникации АКМ . 60 (7): 24–26. дои : 10.1145/3097347 . S2CID 232783395 . Проверено 27 июня 2017 г.
- ^ Jump up to: Перейти обратно: а б «Программа-вымогатель давит на пользователей фиктивным требованием активации Windows» . Компьютерный мир . 11 апреля 2011 года . Проверено 9 марта 2012 г.
- ^ Jump up to: Перейти обратно: а б «Полиция предупреждает о сообщениях о вымогательстве, отправленных от их имени» . Хельсингин Саномат . Проверено 9 марта 2012 г.
- ^ Jump up to: Перейти обратно: а б Макмиллиан, Роберт (31 августа 2010 г.). «Группа предполагаемых программ-вымогателей расследуется московской полицией» . Мир ПК . Архивировано из оригинала 4 ноября 2010 года . Проверено 10 марта 2012 г.
- ^ «Программы-вымогатели: поддельное уведомление Федеральной полиции Германии (BKA)» . SecureList (Лаборатория Касперского) . Проверено 10 марта 2012 г.
- ^ «А теперь программа-вымогатель MBR» . SecureList (Лаборатория Касперского) . Проверено 10 марта 2012 г.
- ^ Адам Янг (2005). Чжоу, Цзяньин; Лопес, Хавьер (ред.). «Создание криптовируса с использованием криптографического API Microsoft». Информационная безопасность: 8-я Международная конференция ISC 2005 . Спрингер-Верлаг . стр. 389–401.
- ^ Янг, Адам (2006). «Криптовирусное вымогательство с использованием Crypto API Microsoft: могут ли Crypto API помочь врагу?». Международный журнал информационной безопасности . 5 (2): 67–76. дои : 10.1007/s10207-006-0082-7 . S2CID 12990192 .
- ^ Данчев, Данчо (22 апреля 2009 г.). «Новая программа-вымогатель блокирует компьютеры и требует для удаления премиум-SMS» . ЗДНет . Архивировано из оригинала 26 апреля 2009 года . Проверено 2 мая 2009 г.
- ^ «Программа-вымогатель использует пиратскую карту Windows и требует 143 доллара» . Компьютерный мир . 6 сентября 2011 года . Проверено 9 марта 2012 г.
- ^ Ченг, Жаки (18 июля 2007 г.). «Новые трояны: дайте нам 300 долларов, или данные получат их!» . Арс Техника . Проверено 16 апреля 2009 г.
- ^ Jump up to: Перейти обратно: а б с «Вы заражены — если хотите снова увидеть свои данные, заплатите нам 300 долларов в биткойнах» . Арс Техника . 17 октября 2013 года . Проверено 23 октября 2013 г.
- ^ Jump up to: Перейти обратно: а б «Программа-вымогатель CryptoDefense оставляет ключ дешифрования доступным» . Компьютерный мир . ИДГ. Апрель 2014 года . Проверено 7 апреля 2014 г.
- ^ «Что делать, если на ваш компьютер с Windows атакует программа-вымогатель?» . Технологический девиз . Архивировано из оригинала 23 мая 2016 года . Проверено 25 апреля 2016 г.
- ^ Адам, Салли (12 мая 2020 г.). «Состояние программ-вымогателей 2020» . Новости Софоса . Проверено 18 сентября 2020 г.
- ^ Касснер, Майкл. «Программы-вымогатели: вымогательство через Интернет» . Техреспублика . Проверено 10 марта 2012 г.
- ^ Себастьян фон Зольмс; Дэвид Наккеш (1992). «О слепых подписях и совершенных преступлениях» (PDF) . Компьютеры и безопасность . 11 (6): 581–583. дои : 10.1016/0167-4048(92)90193-У . S2CID 23153906 . Архивировано из оригинала (PDF) 26 октября 2017 года . Проверено 25 октября 2017 г.
- ^ Шайбли, Сьюзен (26 сентября 2005 г.). «Файлы для выкупа» . Сетевой мир . Проверено 17 апреля 2009 г.
- ^ Лейден, Джон (24 июля 2006 г.). «Программы-вымогатели становится все труднее взломать» . Регистр . Проверено 18 апреля 2009 г.
- ^ Нарейн, Райан (6 июня 2008 г.). «Программа-вымогатель для шантажа возвращается с 1024-битным ключом шифрования» . ЗДНет . Архивировано из оригинала 3 августа 2008 года . Проверено 3 мая 2009 г.
- ^ Лемос, Роберт (13 июня 2008 г.). «Программы-вымогатели противостоят попыткам взлома криптовалюты» . БезопасностьФокус . Проверено 18 апреля 2009 г.
- ^ Кребс, Брайан (9 июня 2008 г.). «Программа-вымогатель шифрует файлы жертвы с помощью 1024-битного ключа» . Вашингтон Пост . Проверено 16 апреля 2009 г.
- ^ «Лаборатория Касперского» сообщает о новом и опасном вирусе-шантажисте . Лаборатория Касперского . 5 июня 2008 года . Проверено 11 июня 2008 г.
- ^ Фиолетовый синий (22 декабря 2013 г.). «Волна преступности CryptoLocker: след миллионов отмытых биткойнов» . ЗДНет . Проверено 23 декабря 2013 г.
- ^ Jump up to: Перейти обратно: а б «Во вредоносном ПО TorrentLocker, блокирующем файлы, исправлена ошибка шифрования» . Мир ПК . 17 сентября 2014 года . Проверено 15 октября 2014 г.
- ^ «Cryptolocker 2.0 – новая версия или подражатель?» . WeLiveSecurity . ЕСЕТ. 19 декабря 2013 года . Проверено 18 января 2014 г.
- ^ «Новый CryptoLocker распространяется через съемные диски» . Тренд Микро. 26 декабря 2013 года. Архивировано из оригинала 4 ноября 2016 года . Проверено 18 января 2014 г.
- ^ «Устройства Synology NAS, атакованные хакерами, требуют выкуп в биткойнах за расшифровку файлов» . ЭкстримТех . Зифф Дэвис Медиа. Архивировано из оригинала 19 августа 2014 года . Проверено 18 августа 2014 г.
- ^ «Программа-вымогатель, шифрующая файлы, начинает атаковать веб-серверы Linux» . Мир ПК . ИДГ. 9 ноября 2015 года . Проверено 31 мая 2016 г.
- ^ «Киберпреступники шифруют базы данных веб-сайтов в ходе атак «RansomWeb»» . Неделя Безопасности . Архивировано из оригинала 20 апреля 2017 года . Проверено 31 мая 2016 г.
- ^ «Хакеры удерживают веб-сайты с целью получения выкупа, подменяя их ключи шифрования» . Хранитель . Проверено 31 мая 2016 г.
- ^ «Новый .LNK между спамом и заражением Locky» . Блоги.technet.microsoft.com . 19 октября 2016 г. Проверено 25 октября 2017 г.
- ^ Манкастер, Фил (13 апреля 2016 г.). «Эксплойты PowerShell обнаружены более чем в трети атак» .
- ^ «Новые программы-вымогатели используют Tor, чтобы оставаться скрытыми от безопасности» . Хранитель . Проверено 31 мая 2016 г.
- ^ Jump up to: Перейти обратно: а б «Текущее состояние программы-вымогателя: CTB-Locker» . Блог Софоса . Софос. 31 декабря 2015 года . Проверено 31 мая 2016 г.
- ^ Брук, Крис (4 июня 2015 г.). «Автор программы-вымогателя Tox прекращает работу и продает платформу» . Проверено 6 августа 2015 г.
- ^ Дела Пас, Роланд (29 июля 2015 г.). «Шифрование RaaS: еще одна новая программа-вымогатель как услуга в блоке» . Архивировано из оригинала 2 августа 2015 года . Проверено 6 августа 2015 г.
- ^ «Symantec классифицирует программы-вымогатели как самую опасную киберугрозу – Tech2» . 22 сентября 2016 г. Архивировано из оригинала 25 апреля 2017 г. Проверено 22 сентября 2016 г.
- ^ Лейден, Джон. «Российские полицейские надели наручники на 10 подозреваемых в использовании трояна-вымогателя» . Регистр . Проверено 10 марта 2012 г.
- ^ Jump up to: Перейти обратно: а б О'Горман, Г.; Макдональд, Г. (2012), Программы-вымогатели: растущая угроза (PDF) , Symantec Security Response, Symantec Corporation , получено 5 октября 2019 г.
- ^ «Преступники распространяют программы-вымогатели, размещенные на страницах GitHub и SourceForge, рассылая спам «фальшивые обнаженные фотографии» знаменитостей» . TheNextWeb . 7 февраля 2013 года . Проверено 17 июля 2013 г.
- ^ «Новое вредоносное ПО для OS X удерживает компьютеры Mac с целью выкупа и требует от ФБР штрафа в размере 300 долларов за «просмотр или распространение» порно» . TheNextWeb . 15 июля 2013 года . Проверено 17 июля 2013 г.
- ^ «Мужчина увидел всплывающее окно с порно-вымогателем, обратился в полицию и был арестован по обвинению в детской порнографии» . Арс Техника . 26 июля 2013 года . Проверено 31 июля 2013 г.
- ^ Янг, А. (2003). Игры с ненулевой суммой и живучие вредоносные программы . Семинар по обеспечению информации Общества систем IEEE, Человека и Кибернетики. стр. 24–29.
- ^ А. Янг, М. Юнг (2004). Вредоносная криптография: разоблачение криптовирусологии . Уайли. ISBN 978-0-7645-4975-5 .
- ^ Арнц, Питер (10 июля 2020 г.). «Обзор угроз: WastedLocker, специализированная программа-вымогатель» . Лаборатория Малваребайтс . Проверено 27 июля 2020 г.
- ^ Рикер, Томас (27 июля 2020 г.). «Garmin подтверждает кибератаку, поскольку системы отслеживания фитнеса снова работают» . Грань . Проверено 27 июля 2020 г.
- ^ Jump up to: Перейти обратно: а б «Программы-вымогатели на мобильных устройствах: тук-тук-блок» . Лаборатория Касперского . 29 июня 2016 г. Проверено 6 декабря 2016 г.
- ^ Jump up to: Перейти обратно: а б «Ваш телефон Android просматривал нелегальное порно. Чтобы разблокировать его, заплатите штраф в размере 300 долларов» . Арс Техника . 6 мая 2014 года . Проверено 9 апреля 2017 г.
- ^ «Новая программа-вымогатель для Android использует кликджекинг для получения прав администратора» . Мир ПК . 27 января 2016 года . Проверено 9 апреля 2017 г.
- ^ «Вот как победить недавно обнаруженную программу-вымогателя для iPhone» . Удача . Проверено 9 апреля 2017 г.
- ^ «Мошенники-вымогатели использовали ошибку Safari, чтобы вымогать деньги у пользователей iOS, просматривающих порно» . Арс Техника . 28 марта 2017 года . Проверено 9 апреля 2017 г.
- ^ Аль-Хававре, Муна; ден Хартог, Фрэнк; Ситникова, Елена (2019). «Целевая программа-вымогатель: новая киберугроза для периферийной системы заброшенного промышленного Интернета вещей». Журнал IEEE Интернета вещей . 6 (4): 7137–7151. дои : 10.1109/JIOT.2019.2914390 . S2CID 155469264 .
- ^ Палмер, Дэнни. «Вот как программа-вымогатель может заразить вашу цифровую камеру» . ЗДНет . Проверено 13 августа 2019 г.
- ^ Робезниекс, А. (2017). «Программы-вымогатели превращают кибербезопасность здравоохранения в проблему ухода за пациентами» . Новости бизнеса в сфере здравоохранения . Ассоциация финансового менеджмента здравоохранения. Архивировано из оригинала 16 июня 2017 года.
- ^ Хитер, Брайан (13 апреля 2016 г.), «Растущая угроза программ-вымогателей» (PDF) , журнал PC Magazine , получено 5 октября 2019 г.
- ^ «Активность начинает падать, но остается проблемой для организаций» , Отчет об угрозах интернет-безопасности (ISTR) 2019 , том. 24, Корпорация Symantec, стр. 24. 16 октября 2019 г. , получено 5 октября 2019 г.
- ^ Дадли, Рене (17 июля 2023 г.). «Кто эти банды-вымогатели, сеющие хаос в крупнейших компаниях мира?» . Хранитель .
- ^ Сообщается о первой смерти в результате атаки программы-вымогателя на немецкую больницу ZDNet , данные получены 5 октября 2020 г.
- ^ Биман, Крейг; Баркуорт, Эшли; Аканде, Толувалопе Дэвид; Хакак, Сакиб; Хан, Мухаммад Хуррам (1 декабря 2021 г.). «Программы-вымогатели: последние достижения, анализ, проблемы и будущие направления исследований» . Компьютеры и безопасность . 111 : 102490. doi : 10.1016/j.cose.2021.102490 . ISSN 0167-4048 . ПМЦ 8463105 . ПМИД 34602684 .
- ^ «Гардаи предупреждает о вирусе блокировки компьютера «полицейский троян»» . TheJournal.ie . 15 июня 2012 года . Проверено 31 мая 2016 г.
- ^ «Компьютерный эксперт Барри отмечает усиление воздействия новой программы-вымогателя» . Барри Эквизор . Постмедиа сеть . Проверено 31 мая 2016 г.
- ^ «Фальшивый полицейский троян «обнаруживает оскорбительные материалы» на ПК и требует денег» . Регистр . Проверено 15 августа 2012 г.
- ^ Jump up to: Перейти обратно: а б «Вредоносная программа Reveton зависает на ПК и требует оплаты» . Информационная неделя . Проверено 16 августа 2012 г.
- ^ Данн, Джон Э. «Полиция предупреждена после того, как троян, требующий выкупа, заблокировал 1100 компьютеров» . ТехМир. Архивировано из оригинала 2 июля 2014 года . Проверено 16 августа 2012 г.
- ^ Констанциан, Лукиан (9 мая 2012 г.). «Программа-вымогатель на полицейскую тематику начинает атаковать пользователей из США и Канады» . Мир ПК . Проверено 11 мая 2012 г.
- ^ «Глава банды вредоносного ПО Reveton, требующей выкупа от полиции, арестован в Дубае» . ТехМир . Архивировано из оригинала 14 декабря 2014 года . Проверено 18 октября 2014 г.
- ^ « Программа-вымогатель Reveton дополнена мощной функцией похитителя паролей» . Мир ПК . 19 августа 2014 года . Проверено 18 октября 2014 г.
- ^ «Вредоносное ПО Cryptolocker, шифрующее диск, требует 300 долларов США для расшифровки ваших файлов» . Geek.com . 11 сентября 2013 года. Архивировано из оригинала 4 ноября 2016 года . Проверено 12 сентября 2013 г.
- ^ Фергюсон, Донна (19 октября 2013 г.). «Атаки CryptoLocker, которые требуют выкупа за ваш компьютер» . Хранитель . Проверено 23 октября 2013 г.
- ^ «Деструктивная вредоносная программа «CryptoLocker» на свободе – вот что делать» . Голая охрана . Софос. 12 октября 2013 года . Проверено 23 октября 2013 г.
- ^ «Мошенники CryptoLocker взимают 10 биткойнов за услугу вторичного дешифрования» . Сетевой Мир . 4 ноября 2013 года . Проверено 5 ноября 2013 г.
- ^ «С помощью нового сервиса создатели CryptoLocker пытаются вымогать у жертв еще больше денег» . Мир ПК . 4 ноября 2013 года . Проверено 5 ноября 2013 г.
- ^ «Бам-бам: глобальная операция «Товар» уничтожает программу-вымогатель CryptoLocker и ботнет GameOver Zeus» . Компьютерный мир . ИДГ. Архивировано из оригинала 3 июля 2014 года . Проверено 18 августа 2014 г.
- ^ «США возглавляют многонациональные действия против ботнета «Gameover Zeus» и программы-вымогателя «Cryptlocker», предъявлены обвинения администратору ботнета» . Justice.gov . Министерство юстиции США . Проверено 18 августа 2014 г.
- ^ «Австралийцы все чаще страдают от глобальной волны крипто-вредоносных программ» . Симантек . Проверено 15 октября 2014 г.
- ^ Грабб, Бен (17 сентября 2014 г.). «Хакеры блокируют тысячи австралийских компьютеров и требуют выкуп» . Сидней Морнинг Геральд . Проверено 15 октября 2014 г.
- ^ «Австралия специально нацелена на Cryptolocker: Symantec» . АРНнет . 3 октября 2014 года . Проверено 15 октября 2014 г.
- ^ «Мошенники используют Почту Австралии для маскировки атак по электронной почте» . Сидней Морнинг Геральд . 15 октября 2014 года . Проверено 15 октября 2014 г.
- ^ Стив Рэган (7 октября 2014 г.). «Атака программы-вымогателя выбивает телеканал из эфира» . ОГО . Архивировано из оригинала 12 октября 2016 года . Проверено 15 октября 2014 г.
- ^ «Более 9000 компьютеров в Австралии заражены программой-вымогателем TorrentLocker» . CSO.com.au. 17 декабря 2014 года . Проверено 18 декабря 2014 г.
- ^ «Вредоносная рекламная кампания распространяет программу-вымогатель CryptoWall с цифровой подписью» . Мир ПК . 29 сентября 2014 года . Проверено 25 июня 2015 г.
- ^ «Программа-вымогатель CryptoWall 3.0 сотрудничает со шпионским ПО FAREIT» . Тренд Микро. 20 марта 2015 года . Проверено 25 июня 2015 г.
- ^ Андра Захария (5 ноября 2015 г.). «Предупреждение безопасности: CryptoWall 4.0 – новый, улучшенный и более трудный для обнаружения» . ХЕЙМДАЛЬ . Проверено 5 января 2016 г.
- ^ «Программы-вымогатели на мобильных устройствах: тук-тук-блок» . Лаборатория Касперского . 29 июня 2016 г. Проверено 4 декабря 2016 г.
- ^ «Эволюция мобильных программ-вымогателей» . Аваст . Проверено 4 декабря 2016 г.
- ^ «Мобильные программы-вымогатели используют прыжки, блокируя доступ к телефонам» . ПКМир . IDG Consumer & SMB. 30 июня 2016 года . Проверено 4 декабря 2016 г.
- ^ «Кибератака: Европол заявляет, что она была беспрецедентной по масштабу» . Новости Би-би-си . 13 мая 2017 года . Проверено 13 мая 2017 г.
- ^ « Беспрецедентная» кибератака затронула 200 000 человек как минимум в 150 странах, и угроза возрастает» . CNBC. 14 мая 2017 года. Архивировано из оригинала 15 мая 2017 года . Проверено 16 мая 2017 г.
- ^ «Настоящая жертва программы-вымогателя: ваш местный магазин на углу» . CNET . Проверено 22 мая 2017 г.
- ^ Марш, Сара (12 мая 2017 г.). «Трасты Национальной службы здравоохранения, пораженные вредоносным ПО – полный список» . Хранитель . Проверено 12 мая 2017 г.
- ^ «Honda останавливает автомобильный завод в Японии после того, как вирус WannaCry попал в компьютерную сеть» . Рейтер . 21 июня 2017 года . Проверено 21 июня 2017 г.
- ^ «Последние новости: МВД России подверглось кибератаке» . ВТХР .
- ^ Скотт, Пол Мозур, Марк; Гоэл, Винду (19 мая 2017 г.). «Жертвы называют хакеров блефом, поскольку срок защиты от программ-вымогателей приближается» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 22 мая 2017 г.
{{cite news}}
: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Константин, Лукиан. «Программа-вымогатель Petya теперь доставляет двойную проблему» . Сетевой Мир . Проверено 27 июня 2017 г.
- ^ «Статистика программ-вымогателей за 2018 год | Детектив безопасности» . Детектив безопасности . 23 октября 2018 г. Проверено 20 ноября 2018 г.
- ^ «Массовая вспышка вируса-вымогателя во вторник на самом деле была чем-то гораздо худшим» . Арс Техника . 28 июня 2017 г. Проверено 28 июня 2017 г.
- ^ «Кибератака была связана с данными, а не с деньгами, — говорят эксперты» . Новости Би-би-си . 29 июня 2017 года . Проверено 29 июня 2017 г.
- ^ « Программа-вымогатель Bad Rabbit поражает Украину и Россию» . Би-би-си . 24 октября 2017 года . Проверено 24 октября 2017 г.
- ^ Херн, Алекс (25 октября 2017 г.). «Плохой кролик: программа-вымогатель, отсылающая к «Игре престолов», попала в Европу» . Theguardian.com . Проверено 25 октября 2017 г.
- ^ Jump up to: Перейти обратно: а б с Ларсон, Селена (25 октября 2017 г.). «Новая атака вируса-вымогателя поражает Россию и распространяется по всему миру» . CNN . Проверено 25 октября 2017 г.
- ^ «BadRabbit: детальный обзор новой версии Petya/NotPetya» . Лаборатория Малваребайтс . 24 октября 2017 года . Проверено 31 июля 2019 г.
- ^ Палмер, Дэнни. «Плохой кролик: десять вещей, которые вам нужно знать о последней вспышке программ-вымогателей» . ЗДНет . Проверено 31 июля 2019 г.
- ^ Кэмерон, Делл (24 октября 2017 г.). « Программа-вымогатель «Плохой кролик» поражает Россию и Украину» . Гизмодо . Проверено 24 октября 2017 г.
- ^ Палмер, Дэнни (24 октября 2017 г.). «Вирус-вымогатель Bad Rabbit: распространяется новый вариант Petya, предупреждают исследователи» . ЗДНет . Проверено 24 октября 2017 г.
- ^ Рашид, Фахмида Ю. (19 апреля 2016 г.). «Обновите JBoss сейчас, чтобы предотвратить атаки программ-вымогателей SamSam» . Инфомир . ИДГ . Проверено 23 июля 2018 г.
- ^ Jump up to: Перейти обратно: а б Кроу, Джонатан (март 2018 г.). «Город Атланта пострадал от программы-вымогателя SamSam: 5 важных вещей, которые нужно знать» . Баркли против вредоносного ПО . Barkley Protects, Inc. Архивировано из оригинала 18 июля 2018 года . Проверено 18 июля 2018 г.
- ^ Федеральное бюро расследований , Разыскивается ФБР: субъекты SamSam (PDF) , Министерство юстиции США , получено 5 октября 2019 г.
- ^ «Двум иранцам предъявлено обвинение в использовании программ-вымогателей для вымогательства денег у больниц, муниципалитетов и государственных учреждений, что привело к убыткам на сумму более 30 миллионов долларов» (пресс-релиз). Министерство юстиции США. 28 ноября 2018 года . Проверено 11 декабря 2018 г.
- ^ Уиттакер, Зак. «Мы поговорили с мошенниками из службы технической поддержки Windows. Вот почему не следует этого делать» . ЗДНет . Проверено 6 ноября 2019 г.
- ^ «Осеннее обновление Windows 10 Creators: поддержка syskey.exe прекращена» . gHacks . 26 июня 2017 года . Проверено 6 ноября 2019 г.
- ^ «Утилита Syskey.exe больше не поддерживается в Windows 10, Windows Server 2016 и Windows Server 2019» . Майкрософт . Проверено 6 ноября 2019 г.
- ^ «Российская группа программ-вымогателей REvil исчезает после атаки на предприятия в США» . Независимый . 13 июля 2021 г.
- ^ «Мощная банда вирусов-вымогателей внезапно исчезает из Интернета. Момент примечательный» . Новости Эн-Би-Си . 14 июля 2021 г.
- ^ «McAfee ATR анализирует Sodinokibi, также известную как REvil, программа-вымогатель как услуга — все звезды» . 2 октября 2019 г.
- ^ «Байден говорит Путину, что Россия должна бороться с киберпреступниками» . АП НОВОСТИ . 9 июля 2021 г.
- ^ Сэнгер, Дэвид Э. (13 июля 2021 г.). «Самая агрессивная в России группа вымогателей исчезла. Непонятно, кто их вывел из строя» . Нью-Йорк Таймс . Архивировано из оригинала 28 декабря 2021 года.
- ^ Брайан Фунг; Закари Коэн; Женевские пески (13 июля 2021 г.). «Группа программ-вымогателей, атаковавшая поставщика мяса, загадочным образом исчезла из Интернета» . CNN Бизнес .
- ^ Каннелл, Джошуа (8 октября 2013 г.). «Программа-вымогатель Cryptolocker: что вам нужно знать, последнее обновление: 02.06.2014» . вредоносные байты Распакованные . Архивировано из оригинала 30 сентября 2021 года . Проверено 19 октября 2013 г.
- ^ Лейден, Джош. «Дьявольская программа-вымогатель CryptoLocker: что бы вы ни делали, не ПЛАТИТЕ» . Регистр . Архивировано из оригинала 13 августа 2021 года . Проверено 18 октября 2013 г.
- ^ «Растет количество заражений криптоблоками; CERT США предупреждает» . Неделя Безопасности . 19 ноября 2013 г. Архивировано из оригинала 27 мая 2021 г. . Проверено 18 января 2014 г.
- ^ Метин, Озер. «Применение уменьшения поверхности атаки» . Комодо Кибербезопасность . Архивировано из оригинала 5 октября 2021 года . Проверено 27 августа 2020 г.
- ^ «Обзор возможностей уменьшения поверхности атаки» . Майкрософт . Архивировано из оригинала 18 ноября 2021 года . Проверено 6 февраля 2020 г. .
- ^ «Запатентованная Comodo «Виртуализация API ядра» — под капотом» . Комодо Кибербезопасность . Архивировано из оригинала 4 октября 2021 года . Проверено 27 августа 2020 г.
- ^ « Вспышка программы-вымогателя Petya приобрела глобальный характер» . krebsonsecurity.com . Кребс о безопасности. 28 июня 2017 г. Проверено 29 июня 2017 г.
- ^ «Как защититься от вредоносной программы Petya» . CNET . Проверено 29 июня 2017 г.
- ^ «Атака программы-вымогателя Petya: что следует делать, чтобы ваша безопасность не была поставлена под угрозу» . Экономические времена . 29 июня 2017 года . Проверено 29 июня 2017 г.
- ^ «Распространяется новая атака программы-вымогателя Petya: что делать» . Путеводитель Тома. 27 июня 2017 года . Проверено 29 июня 2017 г.
- ^ «Индия больше всего пострадала от Petya в Азиатско-Тихоокеанском регионе, 7-е место в мире: Symantec» . Экономические времена . 29 июня 2017 года . Проверено 29 июня 2017 г.
- ^ «TRA дает советы по защите от новейших программ-вымогателей Petya | The National» . 29 июня 2017 года . Проверено 29 июня 2017 г.
- ^ «Распространение программы-вымогателя Petya с помощью эксплойта EternalBlue «Блог исследования угроз» . Огненный Глаз. Архивировано из оригинала 13 февраля 2021 года . Проверено 29 июня 2017 г.
- ^ Jump up to: Перейти обратно: а б Чанг, Яо-Чунг (2012). Киберпреступность в регионе Большого Китая: меры регулирования и предотвращение преступности в районе Тайваньского пролива . Издательство Эдварда Элгара. ISBN 9780857936684 . Проверено 30 июня 2017 г.
- ^ «Инфекционный контроль на ваших компьютерах: защита от киберпреступности — Блог управления практикой врачей общей практики» . Блог по управлению практикой врачей общей практики . 18 мая 2017 года . Проверено 30 июня 2017 г.
- ^ Пайпер, DLA (2021). «Агентство по кибербезопасности и безопасности инфраструктуры опубликовало руководство относительно программ-вымогателей» . Журнал интернет-права . 25 (1): 1–17 . Проверено 3 декабря 2023 г.
- ^ «Как включить защиту от программ-вымогателей в Windows 10» . WindowsLoop . 8 мая 2018 года . Проверено 19 декабря 2018 г.
- ^ «Отражение атак CryptoLocker с помощью ZFS» . ixsystems.com . 27 августа 2015 г.
- ^ «Список бесплатных инструментов расшифровки программ-вымогателей для разблокировки файлов» . Thewindowsclub.com . Проверено 28 июля 2016 г.
- ^ «Emsisoft Decrypter для программ-вымогателей HydraCrypt и UmbreCrypt» . Thewindowsclub.com . 17 февраля 2016 года . Проверено 28 июля 2016 г.
- ^ «Инструменты удаления программ-вымогателей» . Проверено 19 сентября 2017 г.
- ^ Jump up to: Перейти обратно: а б с д и Рене Дадли; Джефф Као (15 мая 2019 г.). «Фирмы, занимающиеся коммерческой тайной, которые обещали высокотехнологичные решения для программ-вымогателей, почти всегда просто платят хакерам» .
- ^ «О проекте — Проект «Больше нет выкупа»» . Архивировано из оригинала 22 ноября 2021 года . Проверено 3 декабря 2021 г.
- ^ «Крипто-шериф — проект «Нет больше выкупа»» . Архивировано из оригинала 26 октября 2021 года . Проверено 3 декабря 2021 г.
- ^ Jump up to: Перейти обратно: а б с «Зейн Кайзер: Студент заключен в тюрьму за шантаж пользователей порно по всему миру» . Новости Би-би-си . 9 апреля 2019 г.
- ^ «Британский хакер Зейн Кайзер осужден за шантаж миллионов» . 9 апреля 2019 г.
- ^ Чимпану, Каталин. «Распространитель программы-вымогателя Reveton приговорен к шести годам тюремного заключения в Великобритании» . ЗДНет .
- ↑ «Как полиция поймала самого известного в Великобритании барона порно-вымогателей» , Мэтт Берджесс, Wired , 12 апреля 2019 г.]
- ^ «Англер от Lurk: почему печально известная группировка киберпреступников, укравшая миллионы, сдавала в аренду свой самый мощный инструмент» . США.kaspersky.com . 26 мая 2021 г.
- ^ Николс, Шон (15 августа 2018 г.). «Человек из Флориды отмывал деньги для программы-вымогателя Reveton. Затем Microsoft наняла его в Сан-Франциско» . Thereregister.com .
- ^ Филдс, Логан М. (25 февраля 2017 г.). «Отчет меньшинства – Неделя 7 – Половина пути» . Мировые новости.
- ^ Вэй, Ван (6 июня 2017 г.). «14-летний японский мальчик арестован за создание программы-вымогателя» . Хакерские новости.
- ^ Янг, Адам Л.; Юнг, Моти (2005). «Реализация криптовирусного вымогательства с использованием Crypto API Microsoft» (PDF) . Криптовирусологические лаборатории. Архивировано из оригинала (PDF) 24 июня 2016 года . Проверено 16 августа 2017 г.
Дальнейшее чтение [ править ]
- Янг, А.; Юнг, М. (2004). Вредоносная криптография: разоблачение криптовирусологии . Уайли. ISBN 978-0-7645-4975-5 .
- Руссинович , Марк (7 января 2013 г.). «Выслеживание и уничтожение программ-вымогателей» . Microsoft TechNet . Майкрософт.
- Симоните, Том (4 февраля 2015 г.). «Хранение данных в качестве заложника: идеальное интернет-преступление? Программы-вымогатели (Scareware)» . Обзор технологий Массачусетского технологического института . Архивировано из оригинала 27 ноября 2015 года . Проверено 5 февраля 2015 г.
- Брэд, Дункан (2 марта 2015 г.). «Эксплойт-наборы и CryptoWall 3.0» . Блог Rackspace! & NewsRoom. Архивировано из оригинала 24 сентября 2015 года . Проверено 15 апреля 2015 г.
- «Рост программ-вымогателей: ФБР и партнеры работают над борьбой с этой киберугрозой» . НОВОСТИ . Федеральное бюро расследований. 20 января 2015 г.
- Ян, Т.; Ян, Ю.; Цянь, К.; Ло, ДКП; Цянь Л. и Тао Л. (2015). 17-я Международная конференция IEEE по высокопроизводительным вычислениям и коммуникациям (2015 г.), 7-й Международный симпозиум IEEE по безопасности и защите киберпространства (2015 г.) и 12-я Международная конференция IEEE по встраиваемому программному обеспечению и системам (2015 г.) . Журнал IEEE Internet of Things, КОНФЕРЕНЦИЯ, АВГУСТ 2015 г., стр. 1338–1343. doi : 10.1109/HPCC-CSS-ICES.2015.39 . ISBN 978-1-4799-8937-9 . S2CID 5374328 .
- Рише, Жан-Лу (июль 2015 г.). «Вымогательство в Интернете: рост количества программ-вымогателей» (PDF) . Гарвардский университет.
- Лиска, Аллан (20 октября 2021 г.). «Программы-вымогатели – понять. Предотвратить. Восстановить» . Записанное будущее . АктуальныеТех Медиа.