Программа-вымогатель.

Программа-вымогатель шифрует файлы, базы данных, виртуальные машины или целые тома хранилищ и выводит сообщение с требованием выкупа в криптовалюте за ключ дешифрования. Современные операторы, как правило, применяют двойное вымогательство: перед шифрованием похищают данные и угрожают опубликовать их на сайтах утечек, если жертва не заплатит. Первоначальный доступ обычно получают через фишинг, открытые порталы RDP/VPN, уязвимости ПО или скомпрометированные учётные данные.

Реальные кампании демонстрируют этот сценарий. WannaCry (май 2017) распространялся по сетям подобно червю, используя эксплойт EternalBlue в SMB. Инцидент с Colonial Pipeline (май 2021) — вызванный аффилиатами DarkSide, проникшими через утёкший пароль VPN без MFA, — остановил поставки топлива на восточном побережье США. Несколькими неделями позже REvil использовала уязвимость нулевого дня в ПО управления Kaseya VSA (CVE-2021-30116), чтобы распространить вымогатель на 800–1500 предприятий в рамках одной атаки на цепочку поставок, после чего потребовала 70 миллионов долларов за универсальный дешифратор.

flowchart LR
  A[Первоначальный доступ<br/>фишинг / RDP / VPN] --> B[Разведка и повышение привилегий]
  B --> C[Эксфильтрация данных]
  C --> D[Массовое шифрование]
  D --> E[Записка о выкупе + угроза публикации]
  E --> F{Жертва платит?}
  F -->|Да| G[Дешифратор возможно предоставлен]
  F -->|Нет| H[Данные опубликованы / системы потеряны]

Эффективная защита включает офлайн- и неизменяемые резервные копии, EDR/XDR, MFA для всего удалённого доступа, быстрое обновление, сегментацию сети, учётные записи с минимальными привилегиями и отработанный план реагирования на инциденты. Оплата не гарантирует восстановление и может финансировать новые атаки.