Валерий Роутеров, блогер
Многие привыкли представлять хакеров эдакими робин-гудами новой цифровой эры. Возможно это отчасти верное представление, учитывая что хактивисты сейчас играют заметную и важную роль в информационных войнах, в российско-украинской в особенности. Осуществляя как прямой взлом почтовых или социальных аккаунтов представителей врага и отдельных сайтов сайтов так и тонкие информационно-психологические операции.
Но есть еще одна категория «хакеров» – люди которые просто делают бизнес и воруют чужие деньги. Воруют данные банковских счетов, пластиковых карт, персональную информацию… А с недавних пор и шифруют эту информацию непосредственно на компьютере жертвы, требуя немалый выкуп за расшифровку.
Общий доход «даркнета», или темной стороны интернета, исчисляется миллиардами долларов. Львиная часть этих денег зарабатывается «специалистами» из стран СНГ и Украины в частности. Не так давно появился и стремительно развивается новый вид такого «темного» бизнеса – вымогательство денег за расшифровку, ранее зашифрованных злоумышленниками, данных.
Под шифровальщиками (криптолокерами) зачастую подразумевают вредоносные программы, которые с помощью различных алгоритмов шифрования, блокируют доступ пользователей к собственным файлам на компьютере. Эти алгоритмы стойкие к расшифровке что фактически делает невозможным самостоятельное восстановления данных.
Причем эти данные: документы, видео, фото, музыка, электронные таблицы и базы данных. По сути – наиболее ценная для пользователя информация, потеряв которую – он может потерять многое: рабочие базы данных, архив семейных фото и видео, или к-примеру почти готовую кандидатскую диссертацию.
В большинстве случаев вирус распространяется посредством электронной почты, маскируясь под обычные письма: акты выполненных работ и счета от контрагентов, уведомления из налоговой, письма от банков и авиакомпаний. Скачивая и открывая такой вложенный файл, пользователь, сам того не понимая, запускает вредоносный код, который в «тихом режиме» последовательно шифрует файлы с нужным расширением, а также удаляет исходные экземпляры (теневые копии) методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных утилит).
После полного шифрования – пользователь получает сообщение о том что все файлы зашифрованы стойким к расшифровке алгоритмом и для того чтобы получить ключ расшифровки – следует оплатить N-ую сумму авторам вируса. Стиоимость вариируеться от 50$ до нескольких тысяч долларов. Оплата, в большинстве случаев, производится
посредством анонимной криптовалюты Bitcoin. Это исключает идентификацию и поимку злоумышленников. Вся коммуникация с авторами вирусов происходит в анонимной сети Tor либо-же посредством электронной почты.
Индустрия шифровальщиков файлов, как отдельный теневой бизнес, начала зарождаться в 2010-2012 годах и сейчас достигла угрожающих масштабов. Последние полтора-два года антивирусные лаборатории фиксируют всплеск этого типа вирусов.
К примеру, только за две недели в марте 2016 года вирус Locky зашифровал медицинские данные Пресвитерианского медицинского центра в округе Голливуд, штат Калифорния и электронные карты пациентов Методистского госпиталя в Хендерсоне, штат Кентукки. Калифорнийский медицинский центр был вынужден заплатить взломщикам около 17 тысяч $, чтобы вернуть свои файлы. В больнице долгое время отсутствовал доступ к историям болезней, рентгеновским снимкам и данным МРТ пациентов. Все эти данные были зашифрованы.
В ноябре 2016 хакеры взломали транспортную систему Сан-Франицско и зашифровали все файлы. В частности пострадала система приема оплаты и контроля проезда оператора общественного транспорта города и округа Сан-Франциско (Muni). Злоумышленники требовали выкуп в 73000$. Мерия города тогда позволила пасажирам несколько дней пользоватся общественным транспортом бесплатно – поскольку не могла оперативно устранить проблему и заново «поднять» систему оплаты.
И это лишь единичные примеры. Их, на самом деле, десятки.
В январе 2017 года в свет выходит шифровальщик Spora – один из наиболее технологичных и инновационных вирусов из семейства шифровальщиков.
По сути – это продуманный с точки зрения маркетинга и PR продукт, с штатом обслуживания в десятки человек.
Механизм заражения – все тот же: вложения в электронной почте. А дальше начинается интересное:
Как только процесс шифрования на компьютере жертвы окончен, Spora добавляет .KEY-файл и сообщение с требованием денежного выкупа на рабочий стол. Сообщение содержит не только подробные инструкции, но и уникальный ID код жертвы в формате CCCXX-XXXXX-XXXXX-XXXXX-XXXXX или CCXXX-XXXXX-XXXXX-XXXXX-XXXXX, где CCC и CC – это код страны, а X – буквы и цифры.
После авторизации (посредством ID) и синхронизации на специальном сайте в сети TOR, пользователю становятся доступны различные опции, каждая из которых комплектуется развернутым всплывающим описанием.
По словам некоторых экспертов по кибер-безопасности — этот сайт сделан качественнее, чем веб-сайты некоторых университетов.
Операторы шифровальщика предлагают своим жертвам не только обычную расшифровку данных, на сайте можно найти следующие опции: расшифровка всех файлов (79$), покупка иммунитета против будущих инфекций Spora ($50), восстановление одного конкретного файла ($30), восстановление двух случайных файлов (бесплатно).
Основываясь на данных .KEY-файла сайт шифровальщика отображает разные цены для разных категорий пользователей. Все зависит от того, как много данных было на компьютере жертвы и насколько критичной была зашифрованная информация. Так, если обычного пользователя попросят заплатить от $79, то компании полная расшифровка данных обойдется от $280. Так-же операторы вымогателя предлагают 10% скидку компаниям, в которых от инфекции пострадало более 200 устройств.
Интересно так-же то что пользователи могут получить 10% на расшифровку своих файлов оставив 3-5 отзывов на 1000 и больше символов на профильных антивирусных форумах и площадках по кибер-безопасности. Таким образом хакеры в каком-то смысле рекламируют «услугу расшифровки файлов», убеждая пользователей не опасаться и платить им деньги за восстановление данных.
Пример рекламного поста пользователя зараженного вирусом Spora.
Поддержка у шифровальщика работает на уровне, которому могут позавидовать многие крупные интернет-компании. По сути для жертвы разработан полнофункциональная админ-панель, где он может общаться с операторами шифровальщика, восстанавливать часть файлов, так же предусмотрен чат где общаются такие же жертвы по несчастью.
В данном случае это продуманный PR, так как вежливость в общении с пользователями нужна лишь для того, чтобы на них заработать.
Есть все предпосылки заявить, что «ноги» у Spora растут из России или экс-СНГ. Первые версии данного вируса были русскоязычными и только после трехнедельной «обкатки» на русскоговорящем рынке – злоумышленники начали кампанию по заражению устройств пользователей в Европе и США.
Индустрия шифровальщиков будет развиваться и дальше и антивирусные лаборатории не успевают реагировать на все новые версии вирусов и ухищрения хакеров. С повсеместным проникновением интернета и массовым появлением устройств которые подключаются к Всемирной сети – хакерами будут разрабатываться и шифровальщики\блокировщики под конкретные устройства.
По мнению специалистов британского Национального центра кибербезопасности, в будущем такая технология, блокирующая гаджет до уплаты выкупа, будет применяться с возрастающей частотой в отношении телефонов, цифровых фоторамок, фитнес-трекеров и «умных» телевизоров.
Мы же можем посоветовать не открывать подозрительные файлы в письмах и не устанавливать программное обеспечение с ненадежных ресурсов на какие-либо устройства.