13 ноября 2015

Платить или не платить, или Когда кибервымогатели сильнее ФБР

Бизнес

Представитель ФБР в своем выступлении на Бостонском ​​саммите по кибербезопасности 2015 года дал по поводу программ-вымогателей совет, который San Francisco Chronicle назвала «тревожным»: он сказал, что жертвам некоторых штаммов вымогателей рекомендуется заплатить мошенникам.

Действительно, Джозеф Бонаволонта, замглавы бостонского отдела ФБР, отвечающего за компьютерную безопасность и противодействие кибершпионажу, выступил с докладом о программах-вымогателях, в котором отметил, что некоторые разновидности, а именно CryptoLocker и CryptoWall, так трудно взломать, что уплата выкупа «почти наверняка обойдётся дешевле», чем наём каких-либо специалистов для восстановления поражённых компьютеров.

«Честно говоря, мы часто советуем заплатить выкуп», — сказал Бонаволонта.

Честность

Что ж, подобные речи из уст представителя правоохранительных органов действительно вызывают беспокойство, так как они показывают, что ФБР мало что способно поделать с самой программой-вымогателем. В лучшем случае, ФБР или другие органы правопорядка однажды поймают авторов очередной «крипто-штуки». К тому времени жертвы вымогателей либо уже сделают этих негодяев богатыми, либо расстанутся со своими скомпрометированными файлами.

Между тем, мало что можно поделать с шифратором-вымогателем, который использует сильное асимметричного шифрование, если частные ключи недоступны по какой-либо причине: математически требуется гигантская вычислительная мощность для того, чтобы взломать 2048-битный ключ RSA, который использует, например, CryptoWall 3 (по некоторым оценкам, у стандартного современного настольного ПК на взлом уйдёт чуть более 6,4 квадриллиона лет, а это дольше, чем существует, по словам учёных, сама Вселенная).

Таким образом, агент ФБР просто признал горький факт: если не принять меры предосторожности, жертвы могут оказаться не в состоянии восстановить свои данные любым иным способом, кроме выплаты затребованного выкупа.

Хотя, опять же, действительно обескураживает, когда слышишь нечто подобное от представителя профильного отдела ФБР.

С начала 2014 года по июнь 2015 г., по данным ФБР, жертвы CryptoWall потеряли более $18 млн. Согласно другим подсчётам, программы вредоносного семейства CryptoWall были использованы для вымогательства, в общей сложности, $325 млн. у десятков тысяч потерпевших по всему миру.

wide

Меры предосторожности, говорите?

Да, есть единственный верный способ — предупреждать потери от вредоносной деятельности. Это регулярное резервное копирование файлов в «холодильник» (т.е. в оффлайновый диск хранения, отключённый от питания и лишённый всяких вычислительных возможностей). Если имеются такие резервные копии, вымогателей ждёт холодный приём.

Шифрование файлов занимает время и требует вычислительной мощности. Ничего подобного в автономном резервном хранилище не предусмотрено, поэтому шифрования не случится, а это означает, что существует возможность восстановления данных. Даже если вредоносные файлы туда проникнут, их легко обнаружить и своевременно удалить.

См. наши предыдущие публикации о программах-вымогателях [1,2]

Хорошие новости

Криптоугрозы могут быть чрезвычайно разрушительными, но, к счастью, не все они неотвратимы.

Специалисты «Лаборатории Касперского» совместно с полицией Нидерландов добавили дополнительно 14 031 ключ для дешифровки в хранилище noransom.kaspersky.com, что позволяет всем пользователям, пострадавшим от программ-вымогателей CoinVault и Bitcryptor, восстановить свои закодированные данные, разумеется, не платя ни единого биткойна выкупа преступникам. Bitcryptor является следующей версией вредоносной программы от тех же авторов с практически тем же кодом.

CoinVault был уничтожен в начале осени, поэтому с этими ключами в свободном доступе его песенка фактически спета. Двое были арестованы по подозрению в причастности к организации атак программ-вымогателей, мы рассказывали об этом в конце сентября.

История CoinVault — со счастливым концом, но так бывает не всегда. Есть масса более скрытных и затейливых кампаний программного вымогательства, которые не так просто ликвидировать.

Рекомендации «Лаборатории Касперского» на этот счёт, вероятно, знакомы многим, но они всё так же истинны:

  • Поддерживайте свои антивредоносные/защитные решения в актуальном состоянии;
  • Решения безопасности должны обладать функциями поведенческого анализа для выявления уязвимостей нулевого дня и совершенно новых вредоносных штаммов;
  • Регулярно обновляйте всё особо уязвимое программное обеспечение (Java, Flash, Office и т.д.) и держите его под неусыпным контролем;
  • Educate employees (the main target) on phishing, on launching suspicious files, and on other threats associated (and not necessarily associated) with encrypting ransomware.
  • Просвящайте сотрудников (они — главные мишени) насчёт фишинга, запуска подозрительных файлов, прочих угроз, связанных (и необязательно связанных) с шифраторами-вымогателями;
  • Всегда сохраняйте резервную копию данных.