Трояны-вымогатели: чума 2016 года

Человечеству с незапамятных времен известно шифрование. А шантаж, наверное, известен со времен еще более древних. Пару десятков лет назад эти методы объединили и обратили против большого количества людей. Случилось это в 1989 году, когда биолог, доктор Джозеф Л. Попп, создал первого трояна-вымогателя.

Происхождение вымогателей

Доктор Попп написал вредоносный код и распространил его на конференции, посвященной СПИДу, которую проводила Всемирная организация здравоохранения. Зловред распространялся на дискетах с наклейкой «Вводная информация о СПИДе» с отдельно напечатанным предупреждением о том, что программное обеспечение на носителях может повредить компьютеры.

Но кто читает инструкции? Около 20 тысяч дискет, распространенных Поппом, люди вставили в свои компьютеры. Их системы оказались заблокированы, а на экране появилось требование выкупа — около $189, которые нужно было отправить обычной почтой в Панаму. Звучит знакомо, не правда ли?

Современные трояны-вымогатели

Сегодня киберпреступники используют метод Поппа без каких-либо значительных изменений. Конечно, на замену обычной почте пришли Tor и I2P вместе с биткойнами — так преступникам легче скрываться от властей, но основная идея осталась прежней. Почему эта схема оказалась такой живучей?

Во многом благодаря непосредственной монетизации. В среднем преступники требуют выкуп в размере $300, так что разговоры о многомиллионных прибылях звучат немного надуманно, тем не менее такая схема доказала свою живучесть и работоспособность.

Рано или поздно пользователь сталкивается со сложным вопросом: заплатить выкуп или потерять файлы? К сожалению, многие решают заплатить — и тем самым финансируют дальнейшую деятельность мошенников. Мы рекомендуем не переводить им ни гроша и по возможности восстанавливать файлы бесплатно — например, с помощью утилит, опубликованных на сайте No More Ransom.

Каждый день мы обнаруживаем все больше и больше троянов-вымогателей, но дело даже не в количестве, дело в качестве. В Сети есть не так много семейств зловредов с действительно качественным кодом и полноценной поддержкой, но встречаются и по-настоящему опасные экземпляры. Да-да, Locky и Cerber, я о вас говорю. И этих зловредов более чем достаточно, чтобы у специалистов по безопасности не было возможности расслабиться.

С запуском вредоносной кампании способен справиться даже один преступник, но чаще всего мошенники специализируются на чем-то конкретном, так что командная работа приносит больше прибыли. Поэтому киберпреступники объединяются: пока одни занимаются техподдержкой и подсказывают жертвам, где можно купить биткойны для уплаты выкупа, другие разрабатывают обновления для вредоносных программ и ищут новые способы обмануть исследователей. Вымогательство — почти как настоящая работа, только незаконная.

В последние годы распространение троянов-вымогателей превратилось в мощную бизнес-модель. Этому поспособствовало то, что одни преступники стали сдавать свои программы в аренду другим. Появилось такое явление, как «вымогатель-как-услуга». Чтобы написать какой-нибудь троян, больших навыков программирования не нужно. Но создание по-настоящему опасной программы для вымогательства с нуля гораздо сложнее: важно правильно реализовать шифрование, иначе специалисты по безопасности быстро создадут дешифратор для вашего трояна-вымогателя (что мы при каждом удобном случае и делаем).

Поэтому новичкам проще взять трояна в аренду и платить его создателям отчисления от прибыли. К сожалению, такая практика сейчас просто-таки процветает.

Как развивались вымогатели

За все время своего существования трояны-вымогатели сильно эволюционировали: от экспериментальных программ, основанных на использовании сторонних инструментов (вроде WinRAR или GPG), до мощных зловредов, созданных с помощью кода из Microsoft Developer Network. Это говорит о том, что их создатели пытаются поднять ставки.

Кроме того, сейчас в Интернете несложно найти действительно проработанных троянов, умеющих удалять теневые копии файлов, шифровать данные в облаке (например, на Dropbox) или на подключенных внешних либо сетевых носителях (например, на флешках).

Тренды

Если судить по самым новым видам вымогателей, обнаруженным в Бразилии, то трояны продолжают развиваться, но скорее с помощью ребрендинга, чем за счет разработки новых возможностей. Зачем писать собственный код, если можно взять готовый? Даже ребенок без каких-либо знаний может приобрести вредоносный комплект, в котором будет находиться все для запуска собственной кампании, вплоть до тематического оформления. Если брендинг будет удачным, о вымогателе напишут СМИ, и тогда преступники получат не только деньги, но и «славу».

Абсолютно ничем не выдающиеся вымогатели уже не раз попадали на страницы новостных лент просто потому, что использовали логотипы популярных ТВ-шоу, картинки с персонажами кино или как-то обыгрывали шутки о политиках. Однако по-настоящему осторожные преступники избегают такого брендинга. Все, что они присылают своим жертвам, — это адрес электронной почты для связи и номер биткойн-кошелька для уплаты выкупа.

Большинство разработчиков троянов-вымогателей по-прежнему предпочитают оплату в биткойнах. Некоторые выбирают более экзотические способы — например, с помощью ваучеров PaySafeCard. Выкуп могут запросить и в местной валюте, если преступники действуют в пределах конкретного региона или если вымогательством занимаются новички.

Потрудиться сейчас ради победы в будущем

Постепенно подход к проблеме троянов-вымогателей в мире меняется — от разгребания последствий их деятельности к их исследованию и предотвращению их появления. Но пока мы в самом начале этого пути. Только надежная статистика и весомые доказательства помогут нам справиться с проблемой. К сожалению, далеко не все жертвы троянов-вымогателей делятся информацией о произошедшем. Другие сообщают об инциденте, но разным организациям, так что общей картины нет ни у кого. Поэтому нам приходится собирать информацию из разных источников, что осложняет задачу.

Как показывает практика, сотрудничество правоохранительных органов и компаний, занимающихся информационной безопасностью, позволяет поймать преступников, которые промышляют вымогательством. Например, проект No More Ransom — это совместная инициатива, направленная на то, чтобы помочь жертвам восстановить файлы без уплаты выкупа.

Хорошие новости: наш проект по борьбе с шифровальщиками-вымогателями нашел союзников еще в 13 странах https://t.co/yTrvX9K7MP pic.twitter.com/iqBpw3hl3B

— Kaspersky Lab (@Kaspersky_ru) October 17, 2016

Недавно эту инициативу поддержали еще 13 стран. Чем больше союзников мы найдем, тем эффективнее будем справляться с проблемой. Каждая отдельная организация лишь частично представляет себе устройство экосистемы вымогателей, поэтому совместная работа позволяет нам узнать больше. Но это только часть дела.

Что касается пользователей, то чем больше они знают об угрозе, тем в большей безопасности они будут. Так что мы написали подробное руководство по защите от троянов-вымогателей — и крайне рекомендуем всем читателям ознакомиться с ним.