Переговоры с хакерами

Антон Разумов, Check Point, об общении с кибервымогателями

Переговоры с хакерами
Мнение 24 июля 2015 •  runet

Переговоры с хакерами

Антон Разумов, Check Point, об общении с кибервымогателями

24 июля 2015 👁 3009
Антон Разумов

Антон Разумов

Антон Разумов, руководитель группы консультантов Check Point Software Technologies, рассказал theRunet об опыте общения с создателями вредоносного ПО:

Для многих людей все, что происходит в сети, до сих пор находится за гранью реальности. По их мнению, виртуальное — значит, неопасное. Однако правда состоит в том, что стать жертвой в кибепространстве зачастую намного легче, чем в жизни.

Сообщения о новых кибератаках, уязвимостях, хакерских группировках появляются почти ежедневно. И здесь угрозы на любой вкус — от известных вирусов и ботнетов до изощренных вредоносных программ, способных за очень короткое время нанести многомилионный ущерб мировым корпорациям, как было, например, с Sony Pictures или американской страховой компанией Anthem.

Кому-то может показаться, что такие угрозы опасны только для корпоративного сектора, а простые пользователи не представляют интереса для хакеров. Однако существует класс атак, который может привести к существенным финансовым потерям любого владельца ПК. Это так называемые программы-вымогатели, или ransomware. Они позволяют злоумышленникам блокировать компьютер или шифровать данные пользователей, а затем требовать выкуп за разблокировку.

Для достижения своих целей кибервымогатели используют троянские программы. Вредоносное ПО может попасть на компьютер жертвы несколькими способами: через спам-рассылку, зараженный сайт или приложения. Наиболее распространены два типа вымогательства. Первый тип — это блокирующее ПО или «lock-screen ransomware», которое блокирует экран пользователя баннером с требованием выкупа. Часто злоумышленники используют на баннерах символику правоохранительных органов и сообщения о том, что на компьютере обнаружен незаконный контент (например, детская порнография), и пользователю необходимо заплатить штраф.

Второй тип — это шифрующее ПО или «File encryption ransomware». Используя так называемые крипторы, хакеры зашифровывают все файлы на компьютере пользователя и после оплаты обещают предоставить ключи для расшифровки. Одним из самых громких примеров ransomware стал CryptoLocker. В 2013 году это вредоносное ПО атаковало более миллиона компьютеров по всему миру. После запуска на компьютере жертвы Cryptolocker начинает работать в фоновом режиме и шифровать данные незаметно от пользователя. Затем программа сообщает владельцу ПК, что его файлы были «взяты в заложники», и требует выкуп в размере от 300 до 3 000 долларов США.

В начале июня 2015 года стало
известно о новом громком кибервымогателе — Troldesh, разработанном российскими
хакерами. Troldesh,  он же Encoder.858, или Shade, относится к программам-крипторам,
шифрующим файлы с расширением «xtbl», и
распространяется через спам-рассылку.

Помимо страны происхождения Troldesh имеет еще одну
интересную особенность. Обычно хакеры избегают любого персонализированного
контакта с жертвами, и все общение ограничивается баннером с требованием о
выкупе и строчкой для ввода данных банковской карты. В случае с Troldesh злоумышленники
предлагают жертвам коммуникацию через электронную почту.

Моя коллега Наталья Колесова,
специалист Check
Point, решила исследовать
работу этого кибервымогателя и лично пообщаться со злоумышленниками.

После запуска вредоносного кода
на компьютере Натальи появилось следующее сообщение:

А все файлы приобрели такой
вид:

В README[number].txt файле оказалась
инструкция, согласно которой необходимо было отправить код на один из двух
почтовых ящиков на gmail.

После отправки кода коллега в
течение нескольких минут получила ответ:

«Стоимость
расшифровки файлов составляет 250 Евро. Вышлите нам 1 зашифрованный файл, и мы
расшифруем его в качестве доказательства возможности расшифровки.

В
течение 5 минут – 1 часа после оплаты мы отправим вам программу и ключ, который
поможет вернуть ваши файлы в то состояние, в котором они были до шифрования».

Вероятнее всего, это был
автоматически сгенерированный ответ, поэтому Наталья продолжила переписку,
чтобы втянуть хакеров в живой разговор. Она написала, что ей нужны гарантии
расшифровки файлов после оплаты, и что 250 Евро — это слишком большие деньги,
так как она из России, и это ее месячный оклад.

Ответ, несомненно, был от
живого человека:

Спустя неделю Наталья решила
возобновить переписку и добиться снижения стоимости:

Как известно, самое уязвимое
звено в любой цепи — это человек, и хакеры здесь не являются исключением. Возможно,
если Наталья продолжила переписку, ей бы удалось снизить стоимость еще больше.

Но все-таки лучше не надеяться
на возможность договориться со злоумышленниками, а вовсе избегать  общения с ними. Если в ваш компьютер проникло
подобное вредоносное ПО, и вы стали жертвой вымогательства, лучше сразу
обращаться за помощью к специалистам. Иногда есть возможность вылечить
компьютер с помощью антивирусных программ, однако зачастую решение проблемы
требует серьезной экспертизы.

Чтобы не стать жертвой ransomware, следует соблюдать простые
правила информационной безопасности, актуальные как для пользователей, так и
для организаций:

·     
Всегда обновлять антивирусные программы и
операционные системы;

·     
Не открывать сообщения от незнакомых адресатов;

·     
Не загружать неизвестное или подозрительное ПО.

А главное, всегда быть начеку и
заботиться о вопросах безопасности в виртуальной среде не меньше, чем в
реальной жизни.

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.

Теги: , , ,
Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.