Камбулов Д.А., Акулов А.А.
Донской государственный технический университет
АНАЛИЗ КРИПТОГРАФИЧЕСКИХ ВИРУСОВ И МЕТОДЫ ЗАЩИТЫ ОТ ВИРУСОВ-ШИФРОВАЛЬЩИКОВ
Аннотация
В данной статье рассмотрены популярные криптографические вирусы, которые при заражении персонального компьютера пользователя, зашифровывают данные и требуют денежного вознаграждения за расшифровку. Также рассмотрены вопросы организации превентивных мер защиты информации пользователей от вирусов шифровальщиков на примере получившего известность вируса Wannacry.
Ключевые слова: информационная безопасность, защита информации, криптографические вирусы, Wannacry, вирусы
Keywords: information security, information security, cryptographic viruses, Wannacry, viruses
Сегодня информационные технологии играют важнейшую роль в нашей жизни. Каждый день мы используем интернет и компьютер для различных целей: компьютерные игры, учеба, работа, времяпровождение в социальных сетях. Глобальная сеть Интернет открывает множество возможностей в получение практически любой информации, но также он является распространителем вредоносного программного обеспечения (ПО). Такие программы устанавливаются без согласия пользователей и могут вызывать ряд неприятных последствий, таких как снижение производительности компьютера, кража конфиденциальной информации, удаление данных или даже воздействие на работу аппаратных средств вычислительной машины. Для защиты информации используют различные средства информационной безопасности. Поскольку средства по защите информации с каждым днем развивают и усовершенствуются, киберприступникам приходится придумывать все более сложные способы проникновения в системы пользователей с целью хищения персональных данных.
На сегодняшний день популярным «оружием» киберприступника считаются «вирусы — шифровальщики», или по другому их еще называют – криптографические вирусы (Trojan.Encoder). Согласно всемирной классификации вредоносных программ, они относятся к классу «троянских коней». Принцип работы данного рода вирусов заключается в шифровании всех файлов на внешних и внутренних жёстких дисках с целью шантажа пользователя и получения выкупа за восстановление доступа. Так как вся информация после шифрования превращается в набор нулей и единиц, то есть представляют собой бесполезный набор информации, который невозможно открыть ни одной программой.
Данные вирусы распространяются так же, как и любые другие вредоносные ПО. Отличительной чертой шифровальщиков является более сложные алгоритмы их написания. Пути распространения вируса-шифровальщика становятся все сложнее, начиная с обычного спама и заканчивая установкой под видом обновления официального ПО.
Вирусы-шифровальщики появились не так давно, а именно в 1989 году в США. Датой отсчета принято считать создание первого троянского — вируса AIDS Trojan, который умел распространяться через гибкие магнитные диски и производил искажение данных, находящихся на компьютере. Для их восстановления необходимо было отправить 189 долларов на почтовый ящик в Панаме. С тех пор в сфере информационных технологий, появилось множество подобных вирусов, например, CryptoWall, Reveton, Fusob, Petya, WannaCry и т.д.
В 2016 году была обнаружена активизация шифровальщиков, отголоски которой заметны до сих пор. Некоторые вирусы шифруют данные особыми алгоритмами, на расшифровку которых могут уйти годы. WannaCry в 2017 году атаковал многие частные компании, университеты и государственные организации в более чем 150 стран мира. На сегодняшний день, он остаётся самым масштабным случаем заражения вирусом-шифровальщиком, всего от его действия пострадало около 2 миллионов пользователей, а общий ущерб превысил 1 миллиард долларов.
Принимая во внимание вышеперечисленные моменты, остро встают вопросы анализа и систематизации вариантов защиты компьютерной информации от воздействия вирусов-шифровальщиков.
Многие учёные в своих научных работах публикуют материалы анализа, исследования и формирования мер по защите от всевозможных кибер-угроз. При выработке механизмов защиты главная роль отводится автоматизированным средствам. Так, вопросы статистического анализа вредоносных программ с использованием инструментов нейронных сетей рассматриваются в работе авторов Hiran V. Nath и Babu M. Mehtre. В 2016 году исследователи MattiasWeckstén, Jan Frick, Andreas Sjöström и Eric Järpe в своей статье «Новый метод восстановления данных после заражения вирусом-вымогателем» проанализировали четыре разновидности вирусов и установили, что объектом атаки в первую очередь становятся исполняемые файлы восстановления системы, чтобы предотвратить восстановление после заражения персонального компьютера. Авторы предложили простой способ восстановления доступа к информации, заключающийся в переименовании инструментов резервного восстановления системы с помощью специального скрипта, таким образом заражённые системы были восстановлены. В 2015 году учёные Amin Kharraz, William Robertson, Davide Balzarotti, Leyla Bilge и Engin Kirda разработали автоматизированный механизм борьбы с вирусами-шифровальщиками под названием HELDROID . Он представляет собой быстрый и эффективный способ распознавания известных и перспективных вирусов, основанный на поиске типовых «строительных модулей» необходимых для написания программы-вируса. Атака вируса Wannacry в мае 2017 года стала крупнейшей из всех, когдалибо исполненных на данный момент. В результате в числе пострадавших оказались такие крупные компании и государственные учреждения как FedEx, Nissan, железнодорожные компании в Германии, МВД и РЖД в России, оператор связи Telefonica в Испании, национальная служба здравоохранения в Великобритании, крупнейшие вузы и колледжи в Китае.
Принцип действия вируса Wannacry состоит в шифровании пользовательских файлов определённых типов по алгоритму AES-128, при этом критические для дальнейшего функционирования системы файлы остаются нетронутыми. Далее программа выводит на экран окно с требованием перевести определённую сумму в биткойнах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров.
Организация превентивных мер организационной и технической защиты имеет важнейшее значение для защиты данных от рассматриваемых типов вирусов (таблица 1).
Использование вышеуказанных мер защиты может помочь предотвратить попытки заражения системы компьютера, а если заражение уже произошло — восстановить зашифрованные данные. Стоит отметить, что заражённый исполняемый файл вируса может быть получен через различные источники, основные из которых электронная почта, контекстная реклама, всплывающие окна веб-сайтов. Вирусы-шифровальщики могут ограничивать доступ к информации пользователя несколькими способами. К ним относят следующие три типа: использование блокировки рабочего экрана (Lock-Screen), имитация работы реального антивируса (лжеантивирус, Scareware) и непосредственно сплошное шифрование данных пользователя. Таким образом, в данной статье рассмотрены вопросы анализа функционирования вирусов-шифровальщиков, на примере вируса Wannacry приведены последствия глобальной атаки в мае 2017 года. Отмечена необходимость соблюдения ряда правил для защиты пользовательских данных от воздействия вирусов. Стоит отметить, что чаще всего вирусы шифровальщики распространяются с использованием скрытых функций вебсайтов и как вредоносные вложения в электронную почту. По результатам анализа принципов работы и способов распространения вирусов шифровальщиков сформирован комплекс превентивных мер по предотвращению и уменьшению последствий заражения.
Литература
- Вирусы–шифровальщик. Режим доступа: http://infostart.ru/public/310891 (Дата обращения: 01.06.2019)
- Kharraz A., Robertson W., Balzarotti D., Bilge L., Kirda E., ”Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks””. In: Almgren M., Gulisano V., Maggi F. (eds) Detection of Intrusions and Malware, and Vulnerability Assessment. DIMVA. Lecture Notes in Computer Science, vol 9148. Springer, Cham, 2015.
- Информационный портал АО «Лаборатория Kасперского» – [Электронный ресурс]. – URL: https://blog.kaspersky.ru/satana-ransomware/12442/ (дата обращения 1.06.2019).
- Интернет-публикация «Трояны-шифровальщики», 2016. URL: https://www.antimalware.ru/Trojan_Encoder# (дата обращения 1.06.2019).