Как вылечить вирус вымогатель

«Расшифруем файлы», «восстановим базу 1С», «удалим вирус-вымогатель» – такими объявлениями кишит Яндекс, откликаясь на запросы пользователей, ставших жертвами хакеров. Стоит только вбить в поисковик: «вирус вымогатель удалить». Так и DarkNet заполнен предложениями о покупке вредоносных шифровальщиков – цена вопроса всего несколько сотен долларов, а нажива может быть куда больше.

А недавно интернет всколыхнула новость о появлении нового вируса-вымогателя Djvu. Зловредное ПО буквально в несколько шагов подчиняет себе зараженный компьютер и усыпляет бдительность пользователя, маскируясь под обновление системы Windows. И вот уже работа машины заблокирована, а на мониторе высвечивается месседж хакеров с требованием выкупа за разблокировку с издевательским предложением: заплатите быстро – сделаем скидку. Способа вернуть себе данные без помощи хакеров пока не найдено, гласит сообщение о коварном «дежавю». Но экспертов в области кибербезопасности эта новость не шокировала и не удивила. Да и не новость это для них. Вирусов‑шифровальщиков сотни тысяч, и Djvu – лишь очередная модернизация вредоносного ПО (ВПО) определенного семейства. Специально для «Профиля» эксперты составили топ‑5 этих семейств и рассказали, как действуют кибервымогатели и как с ними бороться.

Ощущение дежавю

Djvu относится к семейству вирусов‑шифровальщиков STOP. Первые сообщения о новом ВПО появились еще в середине декабря прошлого года. Сам по себе «дежавю» неуникален, отмечают все опрошенные «Профилем» эксперты. Интересны отличительные особенности семейства, но они известны давно. Эти троянцы не только шифруют данные, но еще и маскируют свои действия под легальное ПО, отвлекая внимание жертвы, не давая искать помощь через различные интернет-ресурсы.

Примерно так действовала троянская программа DNS Changer, заразившая 4 млн машин в 2011 году, приводит пример директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies Алексей Новиков. А вирус Conficker еще 10 лет назад атаковал десятки миллионов компьютеров, отключая службу обновления и сервис Windows Defender.

«Вирус распространяется вместе с программой, предназначенной для взлома ПО (так называемый crack), и с рекламными расширениями для браузеров», – пояснил эксперт.

В целом о программах-вымогателях стало известно еще в конце 80‑х прошлого века, когда появился вирус AIDS (или PC Cyborg), рассказали в специализирующейся на предотвращении кибератак компании Group-IB. Вирус скрывал каталоги, шифровал файлы и требовал $200 за «продление лицензии». Самым распространенным считается CryptoLocker, который заразил более четверти миллиона компьютеров в странах Евросоюза начиная с 2013 года. А в мае 2017 года шифровальщик WannaCry атаковал 200 тыс. компьютеров в 150 странах мира. Ущерб оценили в $1 млрд. Но и это мало кого научило делать резервные копии данных, сетуют эксперты.

Самые разные модификации вирусов‑шифровальщиков встречаются сотнями каждый день, отмечает заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. «Не было недели, чтобы к нам не обращались два-три атакованных вымогателями клиента, – говорит он и констатирует: – Вирусы-вымогатели – это настоящий бич». Еще в 2016 году компания зафиксировала, что число атак вымогателей по сравнению с предыдущим годом увеличилось в 100 раз. А по статистике «Лаборатории Касперского», в третьем квартале прошлого года продукты только этой компании «защитили более 250 тысяч уникальных пользователей от троянцев‑шифровальщиков».

По данным Positive Technologies, в прошлом году средняя доля заражений шифровальщиками от всех видов кибератак составляла 12% в квартал. Вести подсчет вирусов бессмысленно, считает Сергей Никитин, – самые разные модификации вирусов‑шифровальщиков встречаются сотнями каждый день, они эволюционируют и совершенствуются, чтобы обходить антивирусные движки.

Объявление о сдаче трояна-вымогателя в аренду

Киберкриминальная эволюция

Кибервымогательство активно развивается по всему миру. В России рост этого вида атак специалисты Group-IB зафиксировали с весны прошлого года. Косвенно растущая популярность шантажа подтверждается исследованиями DarkNet, анализ криминальных услуг которого в прошлом году сделали эксперты Positive Technologies. Согласно этому исследованию, 12% всех объявлений о продаже ВПО приходится на долю шифровальщиков. Средняя стоимость вируса всего $270. «Какой-нибудь Kit может стоить $3–5 тыс., но есть и дороже, – приводит пример Сергей Никитин. – Точно так же в DarkNet продается куча учетных записей к различным серверам, логины, пароли и т. д. Часто злодеи выкупают эти базы и просто начинают по ним ходить и шифровать все подряд, а потом смотреть, кто заплатит».

При этом хакерский рынок «услуг» совершенствуется, стремясь увеличить свой доход. Так, в последнее время в DarkNet начала распространяться специальная «партнерская программа» от разработчиков шифровальщиков, рассказывает Алексей Новиков. Продавец передает покупателю персонифицированный файл шифровальщика и ссылку для доступа в личный кабинет. В этом кабинете отображается статистика по зараженным узлам и осуществленным выплатам. Задача покупателя – распространить троян.

«Когда жертва атак с использованием данного экземпляра трояна оплачивает выкуп, продавец перечисляет выплату распространителю за вычетом своей доли», – объясняет эксперт. Именно так распространяются шифровальщики GandCrab, Tantalus, Aleta, Princess, Rapid, Scarab, Sphinx, Lovecraft, Onyonlock и другие. «Получивший в прошлом году широкое распространение шифровальщик GandСrab только за апрель–май 2018 года принес злоумышленникам свыше $700 000», – привел пример заработка злоумышленников эксперт.

Стандартную схему заражения вирусом-вымогателем описал Сергей Никитин. Пользователи получают почтовую рассылку, открывают вложения, письма заражаются вирусом, который похищает логины и пароли из оперативной памяти и распространяется на другие компьютеры. Такая цепочка действий ВПО приводит к тому, что в компании может быть зашифрована, например, база 1С и работа встанет, объясняет эксперт. «Бывает, что злодеи сначала изучают инфраструктуру своей жертвы, – продолжает он. – Например, если обнаружат сервер резервных копий, то запросят за его дешифровку одну цену выкупа (ведь с помощью резервных копий можно восстановить все остальное), малозначительный компьютер будет, соответственно, и стоить куда меньше».

Появились и специфические атаки. Часто злоумышленники подбирают пароли к удаленному рабочему столу, который оставили системные администраторы для собственного удобства. После чего эти пароли попадают в Darknet, где их может купить кто угодно. В значительном числе случаев заражение происходило путем предварительной компрометации серверов и рабочих станций, добавляет Алексей Новиков. «Сервера чаще всего шифровали, так как они подключались к интернету напрямую, а на рабочие станции вирус попадал через фишинговые рассылки», – говорит он. Напомним, что фишинг – один из распространенных видов кибермошенничества, когда под видом легальных официальных сайтов распространяются хакерские подделки.

Кроме того, специалисты отмечают, что в последнее время произошел качественный сдвиг в пользу распространения атак подобного рода. «Вирусы-шифровальщики стали использовать асимметричное стойкое шифрование (алгоритм RSA, например, – всеми проверенный, его точно не взломать), – говорит Сергей Никитин. – Кроме того, часть этих вирусов стала получать функционал «червей». Они похищают логины и пароли и с их помощью пытаются зашифровать и другие компьютеры в Сети».

Именно в использовании асимметричного шифрования и заключается самая главная проблема – расшифровать вирус самостоятельно, как правило, невозможно. При симметричном шифровании информации, объясняет эксперт, секретный ключ можно обнаружить. Асимметричное предполагает создание двух ключей – открытого и закрытого. С помощью первого, всем известного, происходит шифрование, а второй, для расшифровки, есть только у хакеров. Причем алгоритмы стойкого шифрования для блокировки данных злоумышленники берут из официальных библиотек. А алгоритмы для расшифровки хакеры пишут сами. Но поскольку спрос куда больше на программы-шифровальщики, то расшифровке уделяется куда меньше внимания, отлаживаются такие программы куда хуже и менее пристально.

Выкуп: платить или не платить?

А если расшифровать невозможно, то вымогателям придется платить? Выкуп устанавливается распространителями шифровальщика обычно самостоятельно и составляет $200–500, говорит Алексей Новиков. Но, как правило, выкуп просят в биткойнах. Например, за расшифровку вируса Petya, атаковавшего в 2017 году Украину и попутно задевшего ряд компаний в России, США, Индии и Австралии, злоумышленники требовали 100 биткойнов, что в то время составляло $250 тыс.

Эксперты единогласно заявляют: платить вымогателям не стоит, так как это означает спонсировать их «творческую» деятельность. А что делать, если зашифрован сервер с резервными копиями и восстановить данные уже невозможно? Но даже если пойти на поводу у шантажистов, никаких гарантий разблокировки нет, говорит Сергей Никитин. Вот самые распространенные сценарии. Преступники могут или повысить цену выкупа, или вовсе не выйти на связь со своей жертвой после оплаты, или оставить в системе «закладку», которая позволит спустя какое-то время повторить трюк с вымогательством. Часто бывает так, что после перечисления денег хакеры присылают программу-дешифратор, но она не работает. Происходит это именно потому, что в разработку расшифровки никто толком не вкладывается, это невыгодно.

Согласно исследованиям IBM, до 70% опрошенных американских компаний выплачивали выкуп, чтобы восстановить свои данные. Российские компании тоже так часто поступают, говорит Алексей Новиков. При этом чаще всего атакуют малый и средний бизнес. «Крупные компании могут себе позволить защитные решения класса «песочница», – объясняет эту тенденцию Сергей Никитин. Заражение происходит в основном через почтовые рассылки. И «песочница» сама открывает письма и вложения, смотрит, что произойдет, объясняет эксперт. Если начинается шифрование, то письмо просто не дойдет до получателя. Стоит такая «песочница» от 1 млн до 10 млн рублей. Понятно, что позволить ее себе может не каждый.

Но и для людей среднего достатка есть способы избежать кибершантажа. Если заражение уже произошло, то стоит попробовать подобрать нужную утилиту для расшифровки данных на специально созданном для этого бесплатном портале NoMoreRansom.org, советует антивирусный эксперт «Лаборатории Касперского» Орхан Мамедов. Кроме того, есть куча предложений от разных компаний по помощи в расшифровке данных и удалению вируса. Но это, предупреждает Сергей Никитин, обычные посредники, которые выходят на связь с преступниками и выторговывают у них скидку. В итоге жертва заплатит не 100%, а 90% от выкупа. В соучастии таких посредников не обвинишь, формально они действуют легально, заключая с пострадавшими договоры на оказание «консалтинговых услуг».

Самый надежный способ не допустить вымогательства – предотвратить его. Вот несколько рекомендаций от Орхана Мамедова: загружать ПО только из проверенных источников; не открывать подозрительные почтовые вложения; не переходить по сомнительным ссылкам, даже если вам их присылают знакомые; следить за обновлением ПО до последней версии; использовать надежные защитные решения; использовать сложные пароли для учетных записей; регулярно делать резервные копии важных данных и хранить их отдельно.

А еще можно застраховать себя от киберрисков, советует Алексей Новиков. «Покупка страхового полиса в данном случае может обойтись дешевле, чем выплаты вымогателям или расходы на восстановление инфраструктуры после массовой атаки шифровальщика», – рекомендует эксперт.