10 февраля 2017

Как No More Ransom девушку спас

Безопасность Угрозы

Когда одним погожим днем в мае 2016 года девушка по имени Марион из Германии включила свой домашний компьютер, она еще не знала, что ее ждет.

Она сразу же почувствовала что-то неладное: компьютер загружался в странном режиме, попасть на рабочий стол не получалось. Не помогла даже перезагрузка. А затем на экране появилось сообщение с требованием выкупа. Марион не могла припомнить ничего, что могло бы привести к заражению: в прошлый раз за компьютером ни она, ни члены ее семьи не почувствовали ничего подозрительного.

Но, как бы то ни было, проблема теперь была перед ее глазами:

CryptXXX v3 требование выкупа

Расцвет вымогателей

За последние несколько лет вымогательское ПО превратилось в серьезную проблему, и пока нет никаких причин думать, что что-то изменится в лучшую сторону. Все мы знаем, как важно своевременно делать резервные копии, знаем, что нельзя открывать подозрительные письма, что нужно пользоваться надежным антивирусом. Но и на старуху бывает проруха, и в один прекрасный момент любой из нас может обнаружить себя в ситуации, когда все данные на компьютере, сетевых дисках или съемных накопителях оказались зашифрованы зловредом.

Единственный способ защитить компьютер на 100% — это полностью изолировать его от Сети и избавить от CD-привода, USB-портов и практически всего остального, но в сегодняшних реалиях это невозможно. Поэтому каждый должен оценить риски и найти идеальный для себя баланс между удобством, безопасностью и приватностью.

Если вы стали жертвой вымогателя, то у вас есть и другие варианты выбора кроме «платить» или «не платить».

Вырвать данные из лап злоумышленников сегодня может быть сложнее, чем прежде. Киберпреступники постоянно совершенствуют свои программы, закрывая дыры, которыми компании вроде «Лаборатории Касперского» могли воспользоваться для создания универсальных инструментов расшифровки файлов. Количество сложных вымогательских программ постоянно растет, а расшифровка нередко требует индивидуального ключа, который можно получить только от злоумышленников.

Как вернуть свои данные

Словом, день у Марион не задался. Она выключила компьютер и обратилась за помощью к коллегам-айтишникам. Те собрали все доступные данные об атаке: сообщение с требованием выкупа, зашифрованные файлы на диске и даже некоторые изображения и PDF-файлы до и после шифрования. Коллеги Марион испробовали все доступные средства, пытаясь расшифровать файлы, но безуспешно.

Как No More Ransom девушку спас

К тому времени Марион наконец полностью осознала, что же случилось с ее компьютером. На жестком диске хранился аккуратно рассортированный по папкам семейный фотоархив более чем за 10 лет. Большая его часть оказалась зашифрованной.

У Марион не было резервных копий, но она точно знала, что не собирается уступать требованиям злоумышленников и платить выкуп.

Марион попробовала связаться со всеми, у кого могли быть копии фотографий. Кто-то откликнулся — так ей удалось вернуть часть архива. Но многие фотографии были потеряны.

По наводке коллег Марион поискала варианты решения в Интернете, но не нашла. Затем она обратилась к друзьям за помощью. В отчаянии она опубликовала на Facebook пост с просьбой о помощи и даже предложила награду в 500 евро тому, кто поможет ей вернуть файлы, не уплачивая выкуп.

(Перевод: Хотя многие пытались мне помочь, мои файлы все еще зашифрованы. Скорее всего, меня атаковал самый новый вариант вируса. Но я не теряю надежду и предлагаю вознаграждение в 500 евро тому, кто поможет мне расшифровать мои файлы.)

(Перевод: Хотя многие пытались мне помочь, мои файлы все еще зашифрованы. Скорее всего, меня атаковал самый новый вариант вируса. Но я не теряю надежду и предлагаю вознаграждение в 500 евро тому, кто поможет мне расшифровать мои файлы.)

На ее просьбу откликнулись 20 человек, но и они ничего не смогли сделать.

В борьбу вступает No More Ransom

На этом этапе к решению проблемы подключился я. Мой бывший одноклассник увидел пост Марион, вспомнил, что я работаю в команде аналитиков GReAT в «Лаборатории Касперского», и отметил меня в публикации.

Я связался с Марион, и она предоставила мне всю имеющуюся информацию. Я поискал дешифратор, но из тех, что у меня были, ни один не подходил именно для того варианта зловреда, который атаковал Марион.

Я попросил помощи у наших специалистов по вымогателям. Они быстро подтвердили, что компьютер Марион заражен третьей версией шифровальщика CryptXXX, для которого пока нет дешифратора. Я вернулся к Марион, чтобы сообщить плохую новость, но при этом посоветовал ей не сдаваться и не платить выкуп. «Лаборатория Касперского» совместно с правоохранительными органами и другими партнерами ведет постоянную борьбу с создателями шифровальщиков, создавая дешифраторы или изымая ключи шифрования с командных серверов преступников.

Так работает проект No More Ransom. Летом 2016 года Европол, «Лаборатория Касперского» и Intel Security запустили портал NoMoreRansom.org, благодаря которому жертвы атак могут бесплатно восстановить свои файлы и таким образом сделать жизнь злоумышленников сложнее. Сейчас в проекте участвуют уже 40 партнеров.

20 декабря мы наконец добавили дешифратор для CryptXXX V3 на страницу No More Ransom. Воспользоваться им можно бесплатно, как и другими дешифраторами на сайте.

Я вспомнил о ситуации Марион и связался с ней на Facebook. Через несколько дней она ответила мне, сказав, что смогла восстановить все зашифрованные файлы (от награды я, конечно же, отказался)!

Урок на будущее

Я спросил Марион о том, какие выводы она сделала для себя из этой ситуации.

Она сказала, что теперь регулярно делает резервные копии и хранит их на внешних накопителях; она более осторожна в Интернете и всегда своевременно устанавливает программные обновления и патчи. Кроме того, она больше никого не допускает к своему компьютеру.

Мораль этой истории в том, что мы сами должны оценивать риски для себя. В конце концов, следить за безопасностью своего ПК, Сети, персональных данных — ваша непосредственная задача. Но если вам не повезло, то помните, что у вас всегда больше вариантов для выбора, нежели просто «платить» или «не платить». Первое, что стоит сделать, — это проверить NoMoreRansom.org на предмет наличия нужного вам дешифратора. Даже если его там нет, не отчаивайтесь и не платите преступникам — просто подождите еще немного.

Марион — одна из многих, кому помог проект No More Ransom, на котором уже доступны семь дешифраторов. Свои файлы смогли спасти уже 5 тысяч пользователей, сэкономив в общей сложности более $1,5 млн.

nomoreransom.org