Спасение рядовых файлов: совсем не как в кино

Бизнес

Программы-шифровальщики — относительно новая, зато чрезвычайно гнусная угроза, приобрётшая едва ли не характер эпидемии с 2013 года. Несмотря на мощный отпор со стороны поставщиков защитных решений и правоохранительных органов, шифровальщики никуда не сгинули и развиваются быстрыми темпами, становясь всё более серьёзной проблемой и для конечных пользователей, и для предприятий. Что же с ней делать?

Всё началось в 2013 году

Шифрующие вредоносные программы не доставляли больших проблем до второй половины 2013 года, пока не появился теперь уже пресловутый Cryptolocker. Он сразу стал головной болью всех без исключения: программа распространилась быстро, атакованные системы были почти беззащитны, так как не все антивирусные продукты могли его обнаружить, и ИТ-специалистам понадобилось время на то, чтобы разобраться, как бороться с этой заразой.

«…Босс компании чуть ли не игнорировал меня, когда я забил тревогу — он думал, что я сею панику. Думаю, что потом он пожалел об этом, ведь мы потеряли кучу файлов. Не знаю, заплатили ли они выкуп, но веселого мало, вы же понимаете…», — так рассказывал нам о своем первом знакомстве с шифратором консультирующий системный администратор, пожелавший остаться неизвестным.

К сожалению, преступникам удалось компании «взять на испуг», который быстро был преобразован в прибыль. Злоумышленники думали, что сорвали джекпот даже притом, что не так много людей на самом деле платили за расшифровку.

Так Cryptolocker и все его разновидности стали множиться как кролики и эволюционировать как зерги из известной видеоигры — Cryptolocker 2.0, CryptoWall, ACCDFISA, задействованная под Tor вредоносная программа Onion, Xorist, Scatter и т.д.

На Securelist есть большая статья (на англ.) обо всех типах шифровальщиков – своеобразный справочник, описывающий виды и вариации шифрующих программ-вымогателей, развившихся из ранних форм до современных и продвинутых.

Вредность в развитии

Первые шифровальщики были относительно просты, хотя и эффективны. IT-специалист, с которым мы беседовали, рассказывает:

«Наш техдиректор дизассемблировал один такой шифровальщик. Он вообще не похож на вредоносные программы, просто, понимаете, такой VB-скрипт, который запускает шифрование. Однажды нам удалось вытащить файл с ключом шифрования из системы, прежде чем он уплыл, и восстановить все. Но единственный верный способ остановить его — отключить питание серверов при первом подозрении. Хардкор, конечно, зато это работает. Кроме того, если у вас нет резервных копий, то вам не позавидуешь».

Однако после замечательной операции Tovar, в результате которой был демонтирован ботнет GameOver ZeuS вместе с инфраструктурой Cryptolocker, киберпреступники решили, что их вредоносным инструментам требуется дополнительный уровень безопасности, и задействовали сети Tor, чтобы скрыть свою систему контроля и управления. Это подняло проблему на совершенно новый уровень для специалистов ИТ-безопасности и правоохранительных органов.

Saving Private Files: a no-movie

Цель — человек

Программы-вымогатели в ряду прочих угроз слегка выделяет тот факт, что их основной целью является не компьютерная система, а человек-оператор. По сути, большинство антивирусных компаний уже интегрировали современные средства борьбы с шифровальщиками-вымогателями в свои решения, но что может поделать защитная программа, если ее отключили?

«Во время… исследований мы часто сталкиваемся со случаями шифрования файлов в организациях, происшедших по причине того, что сотрудники компаний работали с выключенной антивирусной программой. И это не единичные случаи, наша служба техподдержки встречает подобное несколько раз в неделю»,писал на Securelist в начале года эксперт «Лаборатории Касперского» Артем Семенченко.

Он также указал, что основанием для такого рода беспечности являются … соображения безопасности. Похоже как парадокс, но на самом деле отнюдь нет.

«Улучшение защиты браузеров и операционных систем привело к тому, что теперь пользователи сталкиваются с угрозами вредоносных программ реже прежнего. В результате, некоторые из них беспечно отключают отдельные компоненты своих антивирусных продуктов или же вовсе их не используют», — писал Семенченко.

А преступникам только того и надо. Они рассчитывают на ошибки, такие как запуск исполняемых файлов в письмах из непроверенных источников или переход по сомнительным ссылкам. Наличие «продвинутых» систем защиты не освобождает пользователя от необходимости соблюдать политику безопасности и основные защитные правила.

В случае с программами-шифровальщиками запугивание застигнутых врасплох жертв является основным средством вымогательства. Они могли бы, вероятно, обойтись и без этого, но у программных вымогателей всегда повторяется та же история, когда выбранный мишенью пользователь или организация получает угрожающее письмо якобы из правоохранительных органов — полиции, следственных органов, даже судов и/или коллекторских агентств. Сочетание официальной эмблемы, пугающего заголовка с большим количеством заглавных букв вселяет дополнительный ужас. Этот завораживающий «коктейль» работает на удивление хорошо, вплоть до курьёзных случаев как в случае с одним человеком, которого так напугал шифровальщик, что он сдался полиции — и получил уголовное обвинение в преступлениях, которые и в самом деле совершал.

В большинстве случаев, однако, страдают невинные. И за пугающими картинками, заголовками и сообщениями либо скрывается типичное фишинговое письмо, имеющее целью инфицировать пользователя, либо уведомление от злоумышленников, которые требуют «свою долю» вашей прибыли после того, как файлы уже зашифрованы.

Что им надо?

Деньги, конечно. Всё это ради наживы. Нескольких десятков или пары сотен от конечных пользователей и впятеро больших сумм от юридических лиц (сообщалось о случае, когда злоумышленники требовали целых 5000 евро за расшифровку).

Как правило, чтобы скрыть контакты, используют Tor, а в целях дальнейшего обеспечения анонимности злоумышленники часто требуют плату в биткойнах, которую гораздо сложнее отследить, чем перевод в настоящей валюте.

От случая к случаю преступники получают свои деньги. В действительности, шансы восстановить зашифрованные файлы посредством дешифровки невелики. В вышеупомянутом документе Securelist приведены примеры шифровальщиков-вымогателей, которые можно сломать (Xorist, например, поддаётся довольно легко), но самые передовые, а значит, и наиболее широко распространённые шифровальщики используют асимметричное шифрование и порой даже более одной пары ключей. Не существует алгоритма для расшифровки файлов, зашифрованных RSA с длиной ключа 1024 бита, в приемлемые сроки. Когда речь идёт об одной паре ключей, получение (выкуп) личного ключа позволяет расшифровать файлы всех жертв той же модификации вредоносной програмы. Когда же в наличии много модификаций и несколько пар ключей, то лучше уж вам иметь план Б.

Спасение файлов: не всегда возможно, легче предотвращать

Этот план Б — на самом деле план А, и речь идёт о профилактике.

Прежде всего, обязательно резервное копирование, причём резервная копия файлов должна храниться «на холоде» (т.е. нужен носитель, не требующий питания). Шифровальщики могут пролезть во все отображённые диски, но им всё равно требуется питание, чтобы делать своё чёрное дело.

Антивирусные продукты следует всегда поддерживать в актуальном состоянии, при этом настоятельно рекомендуется обновлять базы данных вредоносных программ ещё до того, как утром работники начнут читать свою электронную почту.

Вдобавок, сотрудники (главная цель) должны быть обучены противодействию и осведомлены о фишинге, запуске подозрительных файлов и других угрозах, связанных (и необязательно связанных) с шифровальщиками-вымогателями.

Подвергнуться нападению шифратора легко, в то время как восстановление после атаки может стать очень проблематичным, если вообще будет возможно. Статья Securelist приводит ряд ссылок на антишифраторные утилиты, но они лишь помогают от определенных типов вымогателей.

Предотвращение шифрования файлов — намного лучший способ утереть носы преступникам.