ТОП-10 Вирусов шифровальщиков

Ранее мы писали о том, что такое вирусы-шифровальщики, их принцип действия и разновидности. В этой статье мы более подробно остановимся на некоторых вирусах, их распространенности и опасности для пользователей.

По данным ряда аналитических компаний в 2022 году, 457 млн долларов было заплачено жертвами программ-вымогателей за расшифровку данных и возвращение украденной информации. Скорее всего это не итоговая сумма, так как не все криптокошельки были установлены. За первое полугодие 2023 года этот показатель составляет уже 500 млн долларов. За период с января по сентябрь 2023 года только в России общая сумма выкупа превысила 37 млн руб., что на 75% больше по сравнению с прошлым годом.

Программы-вымогатели уже много лет являются большой угрозой для крупнейших компаний мира и отдельных пользователей. Совсем недавно американское подразделение китайского банка ICBC подверглось атаке вируса-вымогателя. Вредоносная программа парализовала работу компьютерной системы и потребовала выкуп за разблокировку ИТ-инфраструктуры.

На сегодняшний день существует огромное количество вирусов-шифровальщиков, работающих по всему миру. Разберем наиболее известные из них.

Топ-10 вирусов-шифровальщиков:

LockBit

Создан в 2019 году. В июне 2022 года группа разработчиков выпустила LockBit 3.0 (он же LockBit Black). Именно это вирус некоторые эксперты сейчас подозревают в организации атаки на китайский банк ICBC.

Ссылки на страницы вируса в даркнете:

• LockBit_3.0;

• LockBit_3.0_2.

Распространяется этот вирус, как и многие другие, путем фишинговых сайтов, вложений электронной почты, смс-сообщений. После того как злоумышленник вручную заражает один хост, он может обнаружить другие доступные хосты, подключить их к зараженному и с помощью скрипта распространить вирус. Далее действия совершаются и повторяются без какого-либо вмешательства человека. Вирус отключает защиту ПК, а также другие элементы инфраструктуры способные восстановить доступ к системе.

Только за третий квартал 2023 года известно о 252 атаках с помощью вируса LockBit. В среднем требуемая сумма выкупа составляет примерно 230 тыс. долларов.

Изучение одного из адресов сбора средств, используемых вирусом-вымогателем LockBit, 16PuDNU6U3VeJnnneQ6ikesDMKq6AakW3z позволило установить, что средства выводились в том числе на централизованные биржи, обменные сервисы, дарк-маркет Hydra, пропускались через миксеры. Со схемой связей можно ознакомиться по ссылке.

BlackCat/ALPHV

Этот вирус-шифровальщик был создан в 2021 году. Страница вируса в даркнете доступна по ссылке.

BlackCat шифрует данные бизнес-пользователей и корпоративных сетей с помощью комбинации алгоритмов AES-128 и RSA-2048. Иногда BlackCat используют тактику множественного вымогательства, включая распределенные атаки типа DDoS.

В случаях, когда жертва отказывается выполнять требования о выкупе и связанные с ними угрозы, BlackCat публикует данные, украденные во время взлома, на своем сайте утечки данных. Только за сентябрь 2023 года известно о 47 атаках, произведенных вирусом BlackCat, а сумма выкупа с жертв может достигать $4.5 млн.

Clop

Впервые этот вирус-шифровальщик был замечен в феврале 2019 года. Clop group фокусирует свои усилия в основном на крупных организациях.

Clop может распространяться с помощью вложений нежелательной почты, троянов, URL-адресов, взломов, незащищенных подключений по протоколу удаленного рабочего стола (RDP) и других методов. Для шифрования данных вирус использует уязвимости CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 и CVE-2021-27104, CVE-2022-31199 в устройстве передачи файлов Accellion (FTA).

Средняя сумма выкупа за расшифровку данных составляет около $1.7 млн. В общей сложности Clop получила более $500 млн выкупов в криптовалюте.

Black Basta

Этот вирус впервые появился в феврале 2022 года. Он существует в двух версиях, для Windows и Linux, причем последняя нацелена в первую очередь на шифрование образов виртуальных машин ESXi. Black Basta использует тактику двойного вымогательства – не только шифрует файлы жертвы и требует выкуп за расшифровку, но также похищает данные и угрожает опубликовать их, если выкуп не будет уплачен.

Как только программа-вымогатель заражает систему, обои дисплея меняются на сообщение, в котором говорится, что сеть зашифрована группой Black Basta, а дальнейшие инструкции содержатся в файле readme.txt. Black Basta перезапускает систему в безопасном режиме с подключением к сети, и вскоре все файлы в системе шифруются и переименовываются с расширением «.basta».

Злоумышленники в среднем требуют со своих жертв выкуп порядка $2 млн, в том числе и в биткоинах.

Karakurt

Создан в 2021 году. В отличие от традиционных атак программ-вымогателей, которые шифруют файлы и требуют плату за расшифровку, Karakurt использует другой подход, схожий с Black Basta: вместо шифрования данных они извлекают конфиденциальную информацию у своих жертв и используют ее в качестве рычага для вымогательства.

При первоначальном взломе Karakurt использует украденные учетные данные, в частности, уязвимости в сервисах протокола удаленного рабочего стола (RDP) или виртуальной частной сети (VPN). Чтобы установить постоянное присутствие в сети жертвы и установить контроль над ее системами, Karakurt использует инструмент под названием Cobalt Strike. Чтобы облегчить разведку сети и идентификацию потенциальных целей, Karakurt использует Angry IP Scanner, который позволяет им сканировать сеть, выявлять уязвимые узлы и собирать информацию о потенциальных точках входа для дальнейшего использования.

После кражи данных злоумышленники требуют выкуп в размере от $25 тыс. до $13 млн в биткоинах.

WannaCry

Вирус-шифровальщик WannaCry был создан в мае 2017 года и стал одним из самых известных кибератак последних лет.

После заражения компьютера, вирус начинал шифровать файлы и добавлять к ним расширение .WCRY. Затем он показывал пользователю сообщение с требованием выкупа в размере $300 в биткоинах за расшифровку данных. Вот один из адресов владельцев вируса, на который они принимали оплату – 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94.

Изучение путей вывода средств позволило установить, что средства выводились на централизованные биржи Changelly и Poloniex. С графом связей можно ознакомиться по ссылке.

Через какое-то время злоумышленники подняли ценник за расшифровку уже до $600 в биткоинах. Если в течение трех дней денег не поступало, жертва получала сообщение о том, что ее файлы будут безвозвратно удалены.

Ущерб от WannaCry оценивается в миллиарды долларов. Вирус атаковал компьютерные системы более чем в 150 странах мира, затронув около 230 тысяч компьютеров.

Petya

Вирус известен также под названиями Trojan.Ransom.Petya, Petya Ransomware, PetrWrap, NotPetya, ExPetr. Впервые этот вирус был обнаружен в марте 2016 года. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»).

Petya шифрует Master File Table, или главную таблицу файлов. Эта таблица является еще одной скрытой частью жесткого диска компьютера: она содержит данные о том, как расположены все файлы и папки пользователя.

Вот некоторые известные адреса владельцев вируса Petya:

• 13gpBcs4gY8P7ak2r7StMrvTp9evxkEe7w;

• 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf;

• 1Ftixp78FjTWFi3ssJjBw5NqKf5ZPQjXBb;

• 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX.

Изучение путей вывода средств указанных адресов позволило установить, что в большинстве случаев средства выводились через биржу BTC-E и HTX. Граф связей.

Хакеры требовали выкуп за расшифровку файлов около $300-400 в биткоинах, но даже после оплаты выкупа жертвы не получали свои данные обратно.

Ryuk

Вирус был создан в 2018 году. Когда Ryuk заражает компьютер, он начинает сканировать жесткий диск в поисках файлов, которые можно зашифровать. Затем он использует алгоритм шифрования AES-256 для зашифровки этих файлов и добавляет расширение ".ryk" к каждому зашифрованному файлу.

После того, как все файлы на компьютере жертвы были зашифрованы, Ryuk создает файл с требованиями выкупа, который содержит инструкции о том, как связаться с злоумышленниками и оплатить выкуп. Чаще всего, требования выкупа составляют несколько тысяч долларов в биткоинах. Общий ущерб оценивается более чем в $640 тыс. bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg – один из адресов хакеров-владельцев вируса. С графом связей можно ознакомиться по ссылке.

Если жертва отказывается платить выкуп, то злоумышленники могут начать удалять зашифрованные файлы или угрожать опубликовать конфиденциальную информацию.

GandCrab

Этот вирус был впервые обнаружен в январе 2018 года. Он работает как Ransomware-As-A-Service, позволяя любому желающему использовать эту программу, купив доступ к панели управления.

Его принцип действия заключается в следующем: жертва открывает зараженный файл, полученный через вредоносные веб-сайты, вредоносные вложения в электронных письмах и уязвимости в удаленном доступе к компьютерам. Далее GandCrab собирает данные о пользователе, наличии антивирусных драйверов и останавливает все процессы, в которых задействованы файлы, которые он хочет зашифровать. После завершения шифрования GandCrab создает файлы с расширением ".GDCB" или ".CRAB" и добавляет их к зашифрованным файлам.

Жертвами этого вируса-шифровальщика стали более 50 000 пользователей по всему миру. По оценкам экспертов, за период с начала своей деятельности в январе 2018 года до момента своего закрытия в июне 2019 года, GandCrab заработал примерно $2 миллиарда на выкупах.

Bad Rabbit

Этот вирус-шифровальщик был обнаружен в 2017 году. Одной из особенностей Bad Rabbit является то, что он не использовал эксплойты, распространение происходило через фальшивые обновления Adobe Flash. Когда пользователь пытается установить этот поддельный Flash Player, он вместо этого загружает на свой компьютер вирус-вымогатель. Фальшивые обновления были подписаны сертификатами, имитирующими сертификаты Symantec.

Bad Rabbit начинает шифровать файлы на компьютере пользователя, используя алгоритмы AES-128-CBC и RSA-2048. За расшифровку файлов хакеры требовали заплатить 0,05 биткойна. На выкуп хакеры давали 48 часов — после истечения этого срока сумма увеличивалась.

Bad Rabbit указывали 2 адреса BTC-кошельков, на которые они получали платежи:

• 1GxXGMoz7HAVwRDZd7ezkKipY4DHLUqzmM;

• 17GhezAiRhgB8DGArZXBkrZBFTGCC9SQ2Z.

Средства с указанных адресов до сих пор не выведены.

Последние 5 упомянутых вирусов уже не осуществляют свою деятельность, однако на их место приходят все новые и новые вредоносные программы. LockBit, BlackCat, Clop, Black Basta, Karakurt и многие другие зловреды все еще заражают устройства по всему миру и зарабатывают на этом огромные суммы. О том, как обезопасить себя от подобных вирусов, можете узнать из нашей статьи.

Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками, Вы можете сообщить на сайте в разделе «Сообщение о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.