Вирус-шифровальщик (Ransomware)

12 января, 2026, 14:38

Вирус-шифровальщик (Ransomware, Программа-вымогатель) — это разновидность вредоносного программного обеспечения, которая после проникновения на устройство жертвы шифрует файлы пользователя (документы, фото, базы данных) с использованием криптостойких алгоритмов, делая их недоступными. Для расшифровки данных злоумышленники требуют от жертвы выплатить выкуп (ransom), обычно в криптовалюте, угрожая в случае отказа уничтожить ключ шифрования или опубликовать конфиденциальные данные.

Возможности и ключевые характеристики вирусов-шифровальщиков:

  • Шифрование данных: Использование симметричных (AES) и асимметричных (RSA) алгоритмов шифрования для блокировки файлов. Часто ключ шифрования дополнительно защищается открытым ключом атакующего, что делает самостоятельную расшифрову невозможной.
  • Эксплуатация векторов заражения: Проникновение через фишинговые письма с вредоносными вложениями, эксплуатацию уязвимостей в ПО (например, через RDP), загрузку с скомпрометированных сайтов или использование троянов-дропперов.
  • Латеральное перемещение по сети: Многие современные шифровальщики (например, Ryuk, Conti) способны распространяться по корпоративной сети, заражая и шифруя данные на множестве компьютеров и серверов, включая резервные копии.
  • Модели давления для получения выкупа:
    • Угроза безвозвратного удаления ключа шифрования.
    • Двойной шантаж (Double Extortion): Перед шифрованием данные похищаются, и злоумышленники угрожают их опубликовать, даже если восстановлены из резервных копий.
    • Тройной шантаж (Triple Extortion): Добавляются угрозы DDoS-атак на инфраструктуру жертвы или рассылка украденных данных ее клиентам и партнерам.
  • Специализация и RaaS-модель: Многие семейства шифровальщиков работают по модели Ransomware-as-a-Service (RaaS), где разработчики предоставляют платформу «аффилиатам», которые проводят атаки и делятся прибылью.

Вирусы-шифровальщики представляют собой одну из самых разрушительных финансово мотивированных киберугроз. Защита строится на комплексном подходе: регулярное обучение сотрудников, актуальные и изолированные резервные копии (по правилу 3-2-1)своевременный патчинг, использование EDR-решений для обнаружения подозрительной активности, сегментация сети и строгий контроль доступа по RDP. Ключевая рекомендация правоохранительных органов и экспертов — не платить выкуп, так как это не гарантирует восстановления данных и финансирует дальнейшую преступную деятельность.

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Упоминания