За последние два года 35 различных штаммов шифровальщиков позволили своим создателям заработать 25 миллионов долларов. Самым прибыльным зловредом оказался Locky.

Таковы результаты исследования, обнародованного на конференции Black Hat экспертами Google и учеными Политехнического института Нью-Йоркского университета (NYU Tandom School of Engineering). Уникальность этого исследования заключается в том, что оно построено на изучении блокчейнов и платежей в биткойнах. Результаты позволили ученым достаточно точно нарисовать экосистему шифровальщиков-вымогателей и выявить зловреды, заработавшие больше всего. В тройке лидеров кроме Locky, создатели которого получили от жертв 7,8 миллионов долларов, также Cerber и CryptXXX, «заработавшие» 6,9 и 1,9 миллиона долларов.

«Вредоносы-вымогатели никуда не денутся, так что нам еще долго придется иметь с ними дело», говорит Кайли МакРобертс, главный стратег команды безопасного браузинга Google.
По результатам исследования, две последние нашумевшие атаки с применением шифровальщиков (WannaCry и NotPetya), денег практически не заработали. «Petya, NotPetya, или как там его еще называли, никогда не зарабатывал денег, потому что он был вайпером, а вовсе не вымогателем», — говорит МакРобертс.

Locky же ответственен за 28% от тех 25 миллионов, которые жертвы перевели злоумышленникам с начала 2016 года.

По словам Луки Инвеницци, еще одного исследователя из Google, секрет этого вымогателя заключается в том, что его авторы тщательно развивают и отлаживают поддерживающий шифровальщика ботнет. Благодаря этому, Locky распространяется гораздо быстрее и охватывает гораздо больше жертв, чем его конкуренты.

Исследователи также считают, что имеет смысл пристально следить за шифровальщиком Spora. Он выделяется из основной массы вымогателей тем, что в нем используются достаточно продвинутые механизмы «пользовательской поддержки». В частности, он позволяет жертвам общаться с вымогателями через чат (на случай если возникнут сложности с оплатой выкупа), а также предлагает услугу иммунитета от повторных заражений.

По словам Google, авторы таких зловредов как CyptoLocker, Locky и Cerber значительно улучшили свои разработки, внедрив в них механизмы уклонения от обнаружения за счет автоматического изменения кода. В 2017 году исследователи нашли 23 000 уникальных варианта Cerber и 6 000 вариантов Locky. По словам исследователя Элая Бёрштейна (тоже из Google), это ключевая технология, позволяющая обходить антивирусную защиту.

По прогнозам Google в ближайшем будущем развитие получит тренд вымогатель-как-сервис (ransomware-as-a-service), а кроме того следует ожидать новых уничтожителей данных, замаскированных под шифровальщиков.

Категории: Аналитика, Вредоносные программы