Шифровальщик – вирус для вымогателей Как сберечь деньги и не потерять данные

Ransomware, Trojan.Encode и так далее представляют собой вредоносные программы, различными способами блокирующие доступ пользователя к его данным с целью вымогательства. Первый нашумевший случай массовой атаки такого вида произошел в 2013 году с вирусом CryptoLocker. Он поставил под угрозу до полумиллиона компьютеров за один год. Злоумышленникам удалось получить от пострадавших около $3 млн в биткоинах, пока одна из компаний в сфере безопасности не получила доступ к серверу, участвовавшему в атаке, и не обнародовала хранившиеся там ключи шифрования. Такой финансовый успех вдохновил многих и послужил катализатором начала «эпохи шифровальщиков».

Троянов-шифровальщиков с тех пор создано огромное множество, но для простоты их принято разделять на две разновидности: собственно «шифровальщики» (crypto ransomware) и «блокировщики» (locker ransomware). Первые шифруют пользовательские данные, вторые делают невозможной работу с компьютером в принципе, блокируя доступ к операционной системе. Обе разновидности оповещают владельца машины об успешной атаке и предлагают приобрести ключ для разблокировки/расшифровки, переведя деньги создателю вируса. Оплата, как правило, предлагается в криптовалюте, средняя сумма выкупа – около $300, но при атаке на корпоративные ресурсы могут требовать деньги буквально космические. По данным аналитиков Group-IB, самый крупный запрашиваемый выкуп составил $240 млн: рекордную сумму потребовали операторы шифровальщика Hive от немецкой сети магазинов электроники и бытовой техники MediaMarkt.

На сегодня трояны-вымогатели есть для всех систем ― для Windows, для Mac OS, для Linux и для Android. Разве что мобильные устройства Apple в силу закрытости системы iOS пока ни разу не страдали от ransomware.

Но как им удается атаковать пользователей?

Зашифруй это!

Заражение шифровальщиком происходит так же, как и любым другим трояном – через воздействие на пользователя. Наиболее частый путь – обычный фишинг.

Пользователь открывает вложение в почтовой рассылке или переходит по ссылке на сайт – и вирус уже на его устройстве. Антивирусные программы могут сработать, а могут и нет – в зависимости от того, известна ли им сигнатура конкретного зловреда. После активации трояна он начинает шифровать некоторые или все файлы пользователя, например, документы Word, PDF-файлы, изображения, базы данных и так далее. Шифровальщики также могут распространиться и на другие устройства, подключенные к локальной сети, иногда поражая целые организации.

Опасность шифровальщиков в том, что их работа чаще всего незаметна, она маскируется под фоновые процессы системы, и пользователь узнает о заражении только тогда, когда данные уже недоступны. В этот момент что-то делать уже поздно – к сожалению, удаление самого вируса (с этим обычно неплохо справляются антивирусные утилиты) не поможет вернуть доступ к зашифрованным файлам.

Большинство современных шифровальщиков используют стойкие криптоалгоритмы, так что расшифровка «в лоб» потребует годы вычислительной работы. На этом и основан интерес атакующего – если данные на локальной машине ценные и невосстановимые, то пользователь готов заплатить выкуп за расшифровку. Однако специалисты по безопасности настоятельно рекомендуют этого не делать. Во-первых, успешные атаки провоцируют вымогателей продолжать свою работу, во-вторых , согласно статистике Лаборатории Касперского, около 20% тех, кто все-таки заплатил, так и не получили ключей расшифровки. Зачем? Ведь деньги уже получены…

Более того, в последнее время нередки случаи, когда под ransomware маскируется деструктивное ПО, которое не шифрует, а уничтожает данные, так называемые «wiper-ы». Хотя оно является инструментом кибервойны, это не мешает создателям требовать деньги – навредят противнику и заодно заработают.

Самым известным примером такой атаки стал в 2017 году троян NotPetya, который сначала приняли за новый штамм коммерческого шифровальщика Petya, но оказалось, что это боевое ПО, единственной целью которого было уничтожение скомпрометированных данных.

Расшифруй это!

Если пользователь стал жертвой ransomware, это не обязательно приговор. Проще всего тем, кто получил троян-блокировщик: достаточно вытащить жесткий диск из пораженного устройства и вылечить систему, подключив его к другому компьютеру. В этом случае удается спасти по крайней мере пользовательские данные. Поэтому в последнее время распространители locker ransomware переориентировались на мобильные устройства, из которых извлечь накопители физически невозможно. Функционирование самих мобильных устройств восстановить несложно, достаточно «откатить» их на заводскую прошивку через процедуру hard reset, но данные при этом чаще всего теряются. (Правда, мало кто хранит ключевые данные на мобильных устройствах).

С crypto ransomware все сложнее – если файлы уже зашифрованы, остается надеяться, что вы не первая жертва, и для этого шифровальщика существует работающий инструмент дешифрования. Специалисты антивирусных компаний постоянно работают над этим. Например, «Лаборатория Касперского», Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить средства расшифровки. Все декрипторы бесплатны, но, к сожалению, создать инструменты дешифровки удается далеко не для всех шифровальщиков.

Если подобрать расшифровщик не удалось, то есть два варианта. (Платить вымогателям крайне не рекомендуется.) Первый – подождать, если данные не требуются немедленно. С ненулевой вероятностью «свежий» шифровальщик через какое-то время будет исследован, и под него появится декриптор. Второй – почистить компьютер, восстановить данные с резервной копии и жить дальше.

У вас же есть резервная копия данных, да?

Жить и не бояться

Единственный способ защититься от шифровальщика – регулярные бэкапы всех данных, которые вы боитесь потерять. Разумеется, пренебрегать элементарной «сетевой гигиеной» тоже не стоит – актуальный антивирус, регулярные обновления системы, привычка не открывать вложения в письмах, запрещать запуск макросов в документах, не переходить по подозрительным ссылкам и так далее. Но только резервные копии гарантируют, что в случае атаки шифровальщика вы потеряете лишь время на восстановление с бэкапа.