Антон Разумов, руководитель группы консультантов Check Point Software Technologies, рассказал theRunet об опыте общения с создателями вредоносного ПО:
Для многих людей все, что происходит в сети, до сих пор находится за гранью реальности. По их мнению, виртуальное — значит, неопасное. Однако правда состоит в том, что стать жертвой в кибепространстве зачастую намного легче, чем в жизни.
Сообщения о новых кибератаках, уязвимостях, хакерских группировках появляются почти ежедневно. И здесь угрозы на любой вкус — от известных вирусов и ботнетов до изощренных вредоносных программ, способных за очень короткое время нанести многомилионный ущерб мировым корпорациям, как было, например, с Sony Pictures или американской страховой компанией Anthem.
Кому-то может показаться, что такие угрозы опасны только для корпоративного сектора, а простые пользователи не представляют интереса для хакеров. Однако существует класс атак, который может привести к существенным финансовым потерям любого владельца ПК. Это так называемые программы-вымогатели, или ransomware. Они позволяют злоумышленникам блокировать компьютер или шифровать данные пользователей, а затем требовать выкуп за разблокировку.
Для достижения своих целей кибервымогатели используют троянские программы. Вредоносное ПО может попасть на компьютер жертвы несколькими способами: через спам-рассылку, зараженный сайт или приложения. Наиболее распространены два типа вымогательства. Первый тип — это блокирующее ПО или «lock-screen ransomware», которое блокирует экран пользователя баннером с требованием выкупа. Часто злоумышленники используют на баннерах символику правоохранительных органов и сообщения о том, что на компьютере обнаружен незаконный контент (например, детская порнография), и пользователю необходимо заплатить штраф.
Второй тип — это шифрующее ПО или «File encryption ransomware». Используя так называемые крипторы, хакеры зашифровывают все файлы на компьютере пользователя и после оплаты обещают предоставить ключи для расшифровки. Одним из самых громких примеров ransomware стал CryptoLocker. В 2013 году это вредоносное ПО атаковало более миллиона компьютеров по всему миру. После запуска на компьютере жертвы Cryptolocker начинает работать в фоновом режиме и шифровать данные незаметно от пользователя. Затем программа сообщает владельцу ПК, что его файлы были «взяты в заложники», и требует выкуп в размере от 300 до 3 000 долларов США.
В начале июня 2015 года стало
известно о новом громком кибервымогателе — Troldesh, разработанном российскими
хакерами. Troldesh, он же Encoder.858, или Shade, относится к программам-крипторам,
шифрующим файлы с расширением «xtbl», и
распространяется через спам-рассылку.
Помимо страны происхождения Troldesh имеет еще одну
интересную особенность. Обычно хакеры избегают любого персонализированного
контакта с жертвами, и все общение ограничивается баннером с требованием о
выкупе и строчкой для ввода данных банковской карты. В случае с Troldesh злоумышленники
предлагают жертвам коммуникацию через электронную почту.
Моя коллега Наталья Колесова,
специалист Check
Point, решила исследовать
работу этого кибервымогателя и лично пообщаться со злоумышленниками.
После запуска вредоносного кода
на компьютере Натальи появилось следующее сообщение:
А все файлы приобрели такой
вид:
В README[number].txt файле оказалась
инструкция, согласно которой необходимо было отправить код на один из двух
почтовых ящиков на gmail.
После отправки кода коллега в
течение нескольких минут получила ответ:
«Стоимость
расшифровки файлов составляет 250 Евро. Вышлите нам 1 зашифрованный файл, и мы
расшифруем его в качестве доказательства возможности расшифровки.
В
течение 5 минут – 1 часа после оплаты мы отправим вам программу и ключ, который
поможет вернуть ваши файлы в то состояние, в котором они были до шифрования».
Вероятнее всего, это был
автоматически сгенерированный ответ, поэтому Наталья продолжила переписку,
чтобы втянуть хакеров в живой разговор. Она написала, что ей нужны гарантии
расшифровки файлов после оплаты, и что 250 Евро — это слишком большие деньги,
так как она из России, и это ее месячный оклад.
Ответ, несомненно, был от
живого человека:
Спустя неделю Наталья решила
возобновить переписку и добиться снижения стоимости:
Как известно, самое уязвимое
звено в любой цепи — это человек, и хакеры здесь не являются исключением. Возможно,
если Наталья продолжила переписку, ей бы удалось снизить стоимость еще больше.
Но все-таки лучше не надеяться
на возможность договориться со злоумышленниками, а вовсе избегать общения с ними. Если в ваш компьютер проникло
подобное вредоносное ПО, и вы стали жертвой вымогательства, лучше сразу
обращаться за помощью к специалистам. Иногда есть возможность вылечить
компьютер с помощью антивирусных программ, однако зачастую решение проблемы
требует серьезной экспертизы.
Чтобы не стать жертвой ransomware, следует соблюдать простые
правила информационной безопасности, актуальные как для пользователей, так и
для организаций:
·
Всегда обновлять антивирусные программы и
операционные системы;
·
Не открывать сообщения от незнакомых адресатов;
·
Не загружать неизвестное или подозрительное ПО.
А главное, всегда быть начеку и
заботиться о вопросах безопасности в виртуальной среде не меньше, чем в
реальной жизни.