Почему эпидемия троянцев-вымогателей касается каждого

Спецпроекты Угрозы

Проблема программ-вымогателей далека от разрешения. Последние инциденты масштабного заражения шифровальщиками CoinVault, CryptoLocker и другими говорят о том, что киберпреступники все чаще используют этот вид вредоносного ПО. К сожалению, исследования «Лаборатории Касперского» показывают, что только 37% компаний относятся к программам-вымогателям как к серьезной угрозе.

Эксперт Лаборатории Касперского рассказывает о шифровальщиках

Эксперт по кибербезопасности «Лаборатории Касперского» Андрей Пожогин рассказывает о программах-вымогателях, о том, как осуществляется заражение систем, какие могут быть последствия оплаты выкупа и что корпоративные и частные пользователи могут предпринять для защиты.

1. Что такое программа-вымогатель?

Программа-вымогатель, она же программа-шифровальщик, — цифровой инструмент для шантажа. Киберпреступники используют специализированное ПО, чтобы заблокировать доступ к системе, данным на ПК или учетной записи пользователя до тех пор, пока жертва не заплатит выкуп. К программам-вымогателям можно отнести такие решения, как CryptoLocker, CryptoWall, TorLocker, CoinVault, TeslaCrypt и CTB-Locker.

2. Кто становится жертвой программ-вымогателей?

Обычные пользователи, а также бизнес от малого до крупного — все могут пострадать от программ-вымогателей. Для киберпреступников все равны: их задача — заразить как можно большее число систем, чтобы получить максимальную прибыль.

3. Как осуществляется атака с помощью программ-вымогателей?

Типичный метод следующий: жертва получает e-mail с приложенным исполняемым файлом, архивом или же картинкой. Открыв вложение, пользователь устанавливает вредоносное ПО в своей системе. Вымогатель может попасть в систему после посещения зараженного веб-сайта. Достаточно по незнанию запустить небезопасный скрипт, например, нажав на ссылку или попытавшись скачать файл, и программа получит доступ к вам на устройство.

Киберпреступники учатся разрабатывать все более незаметные версии вредоносного ПО. В момент заражения системы визуально ничего не меняется — вымогатель тихонько шифрует данные в фоновом режиме. По окончании процесса жертве демонстрируют диалоговое окно. Оно информирует жертву о том, что ценные данные зашифрованы, и обещает вернуть их обратно после уплаты выкупа.

В этот момент уже невозможно спасти украденные файлы с помощью средств кибербезопасности. Стоимость выкупа может быть разной, но мы сталкивались с ценниками в несколько сотен, а иногда и тысяч долларов.

4. Можете привести пример атаки, осуществленной с помощью программы-вымогателя?

Примером может послужить программа TorLocker. Этот вымогатель начинает заражение системы, расшифровывая собственный код с помощью стойкого алгоритма AES с 256-битным ключом. Первые четыре байта в этом ключе являются уникальным идентификатором, дописываемым в конце каждого из зашифрованных файлов. После шифровальщик копирует себя во временную папку и создает ключ в реестре для автозапуска свежесозданной копии. Затем происходит следующее:

  1. Вымогатель находит и принудительно завершает системные процессы, которые могли бы помочь пользователю контролировать ситуацию.
  2. Удаляет все точки восстановления системы.
  3. Шифрует все документы, видео- и аудиозаписи, изображения, архивы, базы данных, резервные копии, ключи шифрования виртуальных машин, сертификаты и другие файлы на жестких и сетевых дисках.
  4. Запускает диалоговое окно, которое требует уплаты выкупа в обмен на дешифровку данных.

TorLocker заражает каждую систему уникальным образом. Поэтому, обнаружив один ключ, вы не сможете использовать его в других системах. Киберпреступники выделяют жертвам определенный срок на сбор денег — обычно 72 часа. Если жертва не успевает уплатить выкуп, то данные (если быть точным, ключ, которым они зашифрованы) удаляют — после этого восстановить их невозможно. Переслать деньги обычно можно разными способами, в том числе с помощью биткойнов и других сторонних платежных сервисов.

5. Какова основная цель киберпреступников, заражающих систему вирусом-шифровальщиком?

В первую очередь их интересуют деньги — выкуп, который они требуют у жертвы. По нашим наблюдениям, средняя стоимость такой атаки обходится довольно дорого, так как часто шифровальщики атакуют интеллектуальную собственность компаний.

6. Насколько распространены вымогатели для мобильных устройств?

Приложения для шифрования файлов на мобильных устройствах встречаются все чаще. Киберпреступники стремятся монетизировать свои мобильные разработки и набираются опыта в воровстве и вымогательстве денег у пользователей гаджетов. Согласно отчету по киберугрозам «Лаборатории Касперского» за первый квартал 2015 года, 23% новых вредоносных программ было создано именно для похищения и вымогательства денег.

Сегмент троянов-вымогателей продемонстрировал самые высокие темпы роста среди всех других вредоносных решений для мобильных устройств. Количество обнаруженных образцов нового ПО в первом квартале 2015 года составило 1113 и на 65% увеличило нашу коллекцию мобильных вымогателей. Это очень опасный тренд, ведь вымогатели шантажируют пользователей, могут повредить персональные данные и заблокировать зараженные устройства.

7. Что делать пользователям зараженных систем?

К сожалению, часто после запуска программы-шифровальщика от пользователя уже практически ничего не зависит. По крайней мере, если в системе не установлены защитные решения и нет резервных копий. Однако в некоторых случаях специалисты способны помочь пользователям расшифровать их данные без уплаты выкупа.

Недавно «Лаборатория Касперского» договорилась о партнерстве с национальным подразделением по борьбе с киберпреступностью нидерландской полиции. Теперь мы вместе работаем над созданием хранилища ключей расшифровки и приложения для дешифровки данных для жертв программы-вымогателя CoinVault.

Я вынужден предупредить пострадавших, что неофициальное ПО из Интернета, которое якобы может расшифровать зараженные данные, может быть опасным. В лучшем случае оно окажется просто бесполезным, а в худшем — заразит систему дополнительным вирусом.

8. Стоит ли жертвам платить выкуп?

Многие жертвы готовы заплатить за возврат файлов. Согласно опросу Междисциплинарного исследовательского центра по кибербезопасности университета Кент, проведенному в феврале 2014 года, более 40% жертв шифровальщика CryptoLocker согласились платить. CryptoLocker заразил десятки тысяч устройств и принес своим создателям миллионы долларов прибыли. В отчете подразделения SecureWorks компании Dell говорится, что тот же шифровальщик каждые 100 дней поставляет преступникам до $30 млн.

Не всегда мудро платить выкуп, ведь нет гарантий, что вам вернут зараженные данные. Кроме того, даже если преступники соизволят пойти навстречу собственным жертвам, что-то может случиться в процессе дешифровки: например, даст о себе знать баг в самом шифровальщике, и данные невозможно будет расшифровать.

Чем чаще мы платим выкуп, тем яснее киберпреступники понимают, что шифровальщики — это отличный способ заработать. В результате киберпреступники продолжат разрабатывать новые программы-вымогатели для атак на компании или частных пользователей.

9. Как можно предотвратить атаку? Достаточно ли сделать резервную копию для защиты данных от киберпреступников?

Практически невозможно расшифровать данные, зашифрованные с помощью корректно внедрившегося и сильного криптографического решения. Поэтому лучше всего установить комплексную систему защиты и надежное решение для резервного копирования данных.

Некоторые виды вымогателей научились шифровать данные каждого обнаруженного бэкапа, в том числе и те, что хранятся на сетевых дисках. Вот почему так важно делать резервные копии с правами доступа только на чтение и запись, без возможностей удаления и полного доступа; такие файлы ни один вымогатель пока не умеет удалять.

«Лаборатория Касперского» также разработала модуль противодействия вымогателям, получивший название System Watcher. Это решение умеет хранить и защищать локальные копии файлов и отменять изменения, вносимые программами-шифровальщиками.

В результате последствия инфицирования автоматически исправляются, избавляя системных администраторов от необходимости восстанавливать данные из бэкапов и связанных с этим процессом простоев системы. Важно проследить, что решение безопасности установлено, а модуль работает на компьютерах пользователей вашей сети.

10. Как решения «Лаборатории Касперского» защищают от неизвестных угроз?

Наши решения используют Kaspersky Security Network (KSN), что позволяет им быстро реагировать в случае обнаружения подозрительного процесса, намного эффективнее традиционных методов защиты, не имеющих связи с облаком. Частью KSN стали более 60 млн волонтеров по всему миру. Это облачное решение безопасности обрабатывает свыше 600 тыс. запросов в секунду.

Пользователи решений «Лаборатории Касперского» по всей планете в режиме реального времени делятся с нами информацией об обнаруженных и удаленных угрозах. Эти данные и сопутствующая информация анализируются квалифицированной группой экспертов по безопасности, входящих в подразделение Global Research and Analysis Team. Основная цель работы этих специалистов — обнаружение и анализ новых киберугроз, а также прогнозирование их развития.

В наши дни угрозы становятся все изощреннее и опаснее. Опыт показывает, что большое количество корпоративных и частных пользователей помогает нам улучшать наши решения. К сожалению, некоторые используют устаревшие или ненадежные решения безопасности, неспособные обеспечить своих пользователей надлежащим уровнем защиты.

Конечно, важно выбрать лучшее из доступных решений безопасности. В прошлом году решения «Лаборатории Касперского» принимали участие в 93 независимых тестированиях, и среди всех разработчиков мы достигли лучших результатов. 66 раз «Лаборатория Касперского» вошла в топ-3 решений безопасности, а в 51 тесте мы заняли первое место. Обеспечение информационной безопасности в крови сотрудников нашей компании, и мы постоянно работаем над тем, чтобы сделать наши технологии еще более эффективными для лучшей защиты наших пользователей.