12 декабря 2014

Десять фактов о вымогательском ПО

Бизнес
  1. Придумано в 1980-е

Самым ранним примером вредоносов-вымогателей (ransomware) является троянец AIDS (он же PC Cyborg), написанный неким доктором Джозефом Поппом. В 1989 году он написал программу, которая зашифровывала имена на жёстком диске пользователя и требовала выплаты 189 долларов некоей PC Cyborg Corporation под предлогом «истекшего срока лицензии». Для шифрования использовалась, правда, симметричная криптография , и как только эксперты смогли проанализировать код зловреда и зашифрованные таблицы, обратить процесс (а заодно и вычислить автора) оказалось весьма просто. Сегодня троянцы-вымогатели используют ассиметричное шифрование – ошибок Поппа негодяи не повторяют.

  1. Оно шифрует данные или блокирует всю систему; и в любом случае требует выкупа

В целом вымогательское ПО делится на два типа – блокировщиков и шифровальщиков.

Шифровальщики представляют собой троянцев, которые, проникнув в систему, шифруют  любые данные, каковые могут представлять интерес для пользователя, — естественно, без его или её ведома. Эти данные могут включать фотографии, архивы, документы, базы данных и т.д.

Блокировщики тоже являются троянцами, иногда – производными от других «собратьев». Например, знаменитый Reveton основан на коде банковского троянца ZeuS.

Такие программы обычно полностью блокируют доступ к системе и требуют выкуп.

  1. Написано для множества платформ

Ransomware вошло в моду во второй половине 2000-х, моментально став проблемой для множества пользоватлей. Изначально жертвами становились, главным образом, пользователи Windows. Со временем, впрочем, вымогательское ПО распространилось и на другие платформы, включая iOS, Mac OS X и Android.

  1. Платить может быть бесполезно

Как и с «реальными» вымогателями, никаких гарантий того, что они выполнят свою часть «сделки», нет. Даже если жертва решает заплатить, это не значит, что она вернёт себе доступ к своим файлам. Лучше всего здесь всеми силами пытаться предотвратить заражение.

  1. Распространяется так же, как и другие зловреды

Методов распространения у вымогательского ПО много, но чаще всего его просто рассылают вместе со спамом; либо же оно самостоятельно распространяется по образу и подобию приснопамятных интернет-червей. Как правило, необходимо хоть какое-то «содействие» пользователя – проще говоря, он должен открыть вредоносный файл. Поэтому используются всякие отработанные приёмчики социальной инженерии – рассылка PDF-файлов, письма с заголовком «посмотрите на эту голую знаменитость». Как выясняется, пользователи до сих пор на это попадаются.

Ну, а, например, оригинальная версия всем ненавистного Cryptolocker’а распространялась при помощи ботнета Gameover ZeuS, разгромленного в этом году в ходе знаменитой «Операции Tovar». Нацелена она была на инфраструктуру самого ботнета, но в ходе операции обнаружилась также и база данных ключей шифрования, которой пользовался Cryptolocker. После этого был создан онлайновый сервис, через который пострадавшие могли получить ключ и дешифровать свои данные. Бесплатно, разумеется.

  1. Выводит фальшивые сообщения якобы от правоохранительных органов

Обычным способом запугивания пользователей является демонстрация ему сообщений, якобы присланных от правоохранительных органов: пользователя обвиняют в совершении каких-либо преступных действий и требуют «штраф» (почему-то обычно с использованием анонимных платёжных систем, что уже, вообще-то, весьма подозрительно).

Был, правда, любопытный случай, когда некий молодой человек, получивший уведомление якобы от ФБР с обвинением в хранении детской порнографии, сам сдался в полицию. Сдался, поскольку указанные изображения у него действительно хранились. В результате он был арестован. Так одно зло вытащило на свет другое.

Metropolitan_Police_ransomware_scam
  1. Сложность возрастает

В последние годы шифровальщики используют всё более сложные алгоритмы шифрования. В середине 2006 года ненавистный многим GPcode.AG использовал 660-битные публичные ключи RSA. Через два года длина ключей выросла до 1024 бит, что уже делало дешифрование возможным только с использованием распределённых вычислений – слишком большие мощности требовались.

Cryptolocker использовал уже 2048-битные ключи.

  1. Приносит миллионы

Вымогательское ПО, по-видимому, приносит своим операторам крупный куш, хотя точные данные, скажем так, в дефиците. Оценки количества пользователей, решивших выплатить требуемые суммы, тоже разнится довольно существенно.

В конце 2013 года ZDNet мониторил четыре адреса кошельков Bitcoin, связанных с операторами Cryptolocker, и обнаружил, что за три последних месяца года через них прошли 42 тысячи BTC (что на тот момент примерно равнялось 27 млн долларов). Различные исследования количества заплативших дают разные результаты: от 0,4% до 41% респондентов в ходе разных опросов признавались, что выплачивали выкуп. После того, как ботнет Gameover ZeuS был ликвидирован, выяснилось, что в целом примерно 1,3% его жертв решили откупиться. Не так много, но достаточно, чтобы злоумышленники продолжали пользоваться вредоносным ПО подобного рода. Новые разновидности ransomware возникают то и дело, некоторые, такие как Onion Trojan, оказываются оригинальными и очень опасными

  1. Берут по-крупному

В последнее время вымогатели требуют суммы в 300-400 долларов или евро, которые предлагается вносить через предоплаченные анонимные чеки (MoneyPak, Ukash) или через Bitcoin. Сроки выплат ограничены: если выкуп не поступит в течение заданного срока, публичный ключ стирается и расшифровка оказывается невозможной. Компаниям приходится платить куда больше указанной суммы.

  1. Резервное копирование — главное средство противодействия

Предотвратить заражение вымогательским ПО можно теми же способами, что и с любыми другими зловредами – надо вовремя обновлять уязвимые программные пакеты, блокировать или ограничивать несанкционированный доступ к важным данным и т.д. Но есть и ещё одна деталь: оффлайновое резервное копирование обеспечивает страховку от воздействия шифровальщиков, особенно если в хранилище зловред не попал. Впрочем, даже если и попал, это не так ужасно: для работы ему нужны вычислительные мощности, а без них он бессилен. Поэтому данные можно восстановить из резерва – и если шифровальщик затесался среди них, будет хоть немного времени, чтобы его обнаружить и ликвидировать.