«Лаборатория Касперского», Intel Security, Европол и полиция Нидерландов запустили совместный проект для борьбы с
программами-шифровальщиками (ramsomware) под названием No More
Ransom.
No More Ransom – портал, на котором пользователи могут получить информацию о шифровальщиках,
узнать, как защитить свою информацию, и что делать, если она уже оказалась
зашифрована злоумышленниками.
Портал состоит из нескольких разделов. Первый, «Криптошериф», дает возможность
проверить, можно ли расшифровать поврежденные вирусом файлы. Для этого
пользователям предлагают загрузить пару файлов и текст записки с
вымогательством (такие сообщения, с информацией о том, куда пересылать деньги,
обязательный элемент ransomware). Если нужный «ключ»
доступен, специалисты по кибербезопасности перешлют его пользователю.
Те посетители, которые уже знают тип вируса, могут скачать нужный
дешифратор самостоятельно. На сегодняшний день на сайте доступны четыре инструмента
для дешифровки, подходящие для нескольких широко распространенных вирусов.
Кроме того, на портале представлена информация о шифровальщиках и советы о
том, как защититься от него и предотвратить заражение.
<p>«Шифровальщики используют разнообразные шифры: это могут быть и самописные алгоритмы, и известные симметричные блочные или потоковые шифры, и асимметричные алгоритмы, и всевозможные комбинации вышеперечисленного. К каждому конкретному семейству шифровальщиков нужен свой подход. Мы анализируем образцы троянов, восстанавливаем их алгоритм и пытаемся найти в нем изъяны. </p>
<p>Иногда удается восстановить ключ, имея оригинальный и шифрованный файл (knownplaintext attack). В некоторых случаях к алгоритму применим метод тотального опробования (brute force) или его вариации. Бывает, троянец содержит один ключ и шифрует симметричным алгоритмом всех жертв, в этом случае ключ просто извлекается из тела зловреда. Можно рассчитывать и на правоохранительные органы, которые при содействии исследователей захватывают серверы злоумышленников и извлекают ключи оттуда»
Заражение вирусом-шифратором чаще всего происходит через спам-письмо с
вложением. Как правило, эти вложения носят совершенно невинные названия, вроде «Резюме».
Реже вирус распространяется инфекционным путем, от одного устройства к другому.
Если на компьютер установлен антивирус со свежими базами, вирус удаётся
распознать и удалить, а файлы – расшифровать, подбирая пароли к методам шифрования, используемым в конкретном вирусе.
Однако некоторые вирусы-шифровальщики работают
значительно более «надежно»: одни, как Trojan.Encoder.102, требуют дешифровки
длиной в недели, а то и месяцы, другие же (Trojan.Encoder.283) корректно расшифровать
и вовсе невозможно.
«Шифраторы распространяются при помощи фишинговых писем, вредоносных сайтов или в комплексных атаках. После загрузки и исполнения в зараженной системе программа (как следует из названия) шифрует файлы большинства распространенных форматов, включая .txt, .doc, .xls, .jpg, .mov, .avi и другие. Затем шифратор выводит на экран требование выкупа.
<p>После заражения пользователь теряет доступ к своим файлам. Оплата выкупа не гарантирует получения ключа для расшифровки. Большинство современных шифраторов (CryptoLocker и его модификации) используют алгоритм асимметричного шифрования RSA, что позволяет хранить ключ для расшифровки на удаленном сервере, а не в коде самой вредоносной программы»
Многие платят выкуп в надежде вернуть доступ к файлам, что отчасти объясняет популярность шифраторов в среде киберпреступников: это попросту выгодно. Тем не менее, значительная доля шифраторов не предусматривает отправку пользователю ключа для дешифровки, даже если он перевел им требуемую сумму. «Повторяю: оплата выкупа не гарантирует восстановления доступа к файлам», — подчеркивает Артем Баранов.
Пользователи, как правило, не делают защиту от шифровальщиков своим приоритетом, их больше беспокоит утечка паролей или других конфиденциальных данных. За последние два года количество жертв таких вирусов увеличилось в 5,5 раз, подсчитали аналитики «Лаборатории Касперского».
Инициатива по созданию портала хороша, но ничего революционного в ней нет, считает генеральный директор компании Zecurion Алексей Раевский. «Наличие утилит для расшифровки не гарантирует, что можно будет расшифровать данные в приемлемое время, поэтому не надо думать, что это будет какая-то панацея, — рассуждает он. — Но любой информационный ресурс на эту тему и любой повод поговорить о проблеме, возможно, увеличат число задумавшихся, и, возможно, принявших превентивные меры, а следовательно, уменьшит количество жертв».
Идея «Лаборатории Касперского» и Европола очень важна, так как портал станет единой точкой для решения проблем с шифрованием файлов на машинах пользователей, добавил ведущий консультант по информбезопасности системного интегратора «Инфосистемы Джет» Андрей Попов. «Может, она сейчас не включает все проблемы, но, тем не менее, это одна из первых попыток как-то объединить усилия по борьбе с вирусами-шифровальщиками», — отметил Попов. Если актуальность этого ресурса не упадет, то перечень инструментов и технологий использования борьбы с шифровальщиками будет только расти, прогнозирует эксперт.
Как же предотвратить заражение и спасти свои данные в том случае, если оно уже состоялось? Так как шифровальщики попадают на заражаемые устройства примерно так же, как и другие зловредные программы, общие рекомендации остаются те же, что и в случае с любыми вирусами.
Не стоит открывать письма от подозрительных отправителей, не посещать непроверенные веб-сайты (если очень надо, то хотя бы делать это с виртуальной машины, не имеющей доступа к файловой системе реальной машины или к файловым серверам в локальной сети). Рекаомендуется регулярно обновлять браузер, плагины (flash,pdf, java, silverlight и др.), иметь установленное защитное решение (антивирус) со всеми активированными модулями и обновленными базами. Это очень простые советы, но их соблюдение практически наверняка защищает от заражения.
Дополнительно против шифровальщиков огромное значение имеет своевременный бэкап и регулярное резервное копирование ценных данных, подчеркивают эксперты. Важно, чтобы резервные копии хранились на носителях, недоступных для записи все время, кроме момента непосредственно создания резервной копии. Если бэкап будет доступен для записи всегда, то троянец просто зашифрует его.
«Теперь непосредственно к вопросу: выполняют ли люди все эти предостережения? Как показывает практика, многие пользователи не делают этого. Бывали случаи, когда человек получает письмо, открывает приложение и не видит того «документа», речь о котором идет в тексте письма. Вместо того, чтобы насторожиться и обратиться к системному администратору, человек перенаправляет письмо своему коллеге – вдруг у него откроется? В результате заражается весь отдел.
<p>Безусловно, есть и случаи, когда пользователь бдителен. Иногда пользователи присылают нам на исследование образец шифровальщика, а в сопроводительном сообщении пишут: «получили подозрительный файл, не открывали, проверьте, пожалуйста». Или же пишет системный администратор: «вот новый образец троянца, сотрудник заразился, но мы восстановили все из бэкапа, расшифровка не требуется»»
Несмотря на предупреждения аналитиков о том, что перечислять деньги вымогателям нельзя, иногда это самый разумный выбор для пользователя, считает Андрей Попов.
«Когда вас заражают шифратором, есть не так много способов вернуть информацию. Один – попытаться найти лекарство. Второй – действительно, платить, и многие так и поступают. Мелкой компании гораздо проще заплатить злоумышленнику, чем пытаться восстановить данные. Для крупной компании – наоборот, потому что, во-первых, у них имеются и средства резервирования данных, и методики отлажены. У мелких компаний же меньшая централизация, данные обычно хранятся на рабочих местах пользователей, поэтому для них это будет более критично»