Винт или кошелёк: чем объяснить беспрецедентный всплеск вирусов-вымогателей Евгений Золотов
Винт или кошелёк: чем объяснить беспрецедентный всплеск вирусов-вымогателей
Евгений Золотов
Опубликовано 15 января 2014
Состязание между вирусописателями и антивирусной индустрией обычно идёт на равных, но в последние месяцы случился заметный перекос в пользу первых. Всю осень и начало зимы в мире бушевала эпидемия вируса-вымогателя CryptoLocker, а сейчас эксперты предупреждают, что даже этот — сам по себе беспрецедентный — всплеск компьютерной заразы может померкнуть на фоне нового, который обрушится на наши головы в наступившем году. И это не все плохие новости. Пожалуй, хуже всего то, что «удача», улыбнувшаяся авторам CryptoLocker, неслучайна. Есть минимум одно объективное обстоятельство, играющее злоумышленникам на руку. И противопоставить ему ленивому среднестатистическому пользователю в общем-то нечего.
Говорят, новое — хорошо забытое старое, и CryptoLocker не исключение. Специалисты определяют эту и ей подобные программы как ransomware (от английского ransom — выкуп): класс вредоносного софта, известный уже минимум четверть века. Схема проста как три копейки. Попав на компьютер, вирус шифрует всё подряд или часть файлов обратимым алгоритмом (либо как-то ещё ограничивает доступ к хранящейся на машине информации), после чего выдвигает требование о выкупе: скажем, триста долларов в течение двух суток или можете навсегда о файлах забыть! И хорошо, если «в заложники» попали сейвы игрушек или коллекция порно. Но с тем же успехом жертвами могут стать (и становятся) компании, госпитали, правоохранительные органы. Кстати, чтобы жертва не вздумала обратиться за помощью, её обычно припугивают — намекая, что на персоналке обнаружено что-нибудь компрометирующее (вроде детской порнографии). Всё. Профит.
Это динамика подтверждённых случаев заражения ransomware на начало прошлого года по данным Intel Security (в прошлом McAfee). Даже без CryptoLocker впечатляет.
Согласно устоявшейся легенде, первые случаи заражения такими вирусами были отмечены ещё в конце 80-х годов. Тогда вирус AIDS, распространявшийся через почтовые интернет-конференции под видом информационного буклета про СПИД, прописывался в AUTOEXEC.BAT и спустя какое-то количество перезагрузок устраивал на винчестере (обратимый) хаос и требовал двести долларов выкупа. Эта цифра вообще обладает какой-то мистической привлекательностью для авторов ransomware: просить меньше они, видимо, считают недостойным, а больше — стесняются.
К счастью для пострадавших, шифрование оказалось ерундовым и вернуть документы можно было своими силами, запустив «лечилку». Но лиха беда начало. Вместе со всем компьютерным миром вирусописаки открыли для себя стойкое крипто, и ко второй половине нулевых снятие шифра без обращения к авторам вирусов-вымогателей стало невозможным. Заразился — плати или прощайся с данными. Правда, и не факт, что после выплаты файлы дешифруют.
Традиционно ransomware составляло лишь незначительную долю в общей массе цифровой заразы, но в последние два года ситуация неожиданно изменилась. Антивирусные вендоры (McAfee, Symantec) констатируют резкое увеличение популярности вымогательского софта, с ростом зафиксированных случаев заражения в разы год к году. А своеобразной кульминацией стал уже знакомый вам CryptoLocker.
На компьютер он попадает древним как мир способом (аттач к электронному письму; хотя один из вариантов уже умеет инфицировать флешки), а попав, генерирует уникальную пару 2048-битных RSA-ключей, которые и использует для шифрования выбранных файлов (документы всех сортов на локальных и сетевых накопителях). Необходимый для расшифровки ключик переправляется к авторам вируса — и они готовы представить его за разумное вознаграждение. Что-то вроде трёх сотен долларов в первые трое суток и значительно больше впоследствии.
Конечно, платит не каждый, но это и не обязательно. По оценкам Dell и Symantec, раскошеливаются от полпроцента до трёх подхвативших инфекцию пользователей, но, принимая во внимание беспрецедентно большое число заражений (порядка четверти миллиона, хоть и это, как вы понимаете, цифра ориентировочная), на хлеб с маслом и икрой авторам вируса хватает.
Но что же случилось, как объяснить неожиданный всплеск популярности вирусов-вымогателей? Причина на поверхности: появился простой инструмент, способный гарантировать анонимность денежных переводов. Криптовалюта! Ведь как было до недавних пор? Чтобы перечислить деньги, приходилось прибегать к банковскому переводу, платным СМС, звонкам на премиальную линию. Установить личность преступников здесь тривиально. Однако новая волна ransomware эксплуатирует криптовалюту — прежде всего Bitcoin. Тут уже не нужны никакие привязки к офлайну, деньги можно собирать быстро и абсолютно анонимно. Вот так авторы CryptoLocker и насобирали (по разным оценкам) от нескольких тысяч до сорока тысяч BTC, что по текущему курсу близко к сорока миллионам долларов США. А ведь даже намёка на то, кто стоит за этой аферой, у правоохранительных органов нет. Кое-кто уже называет такую схему идеальным преступлением.
Выплаты авторам Cryptolocker (по версии Dell Secureworks).
Справедливости ради стоит отметить, что эксперты усматривают и другие вероятные причины всплеска ransomware. Например, появление криминальных сервисов по незаметной дистанционной установке программного обеспечения на инфицированные персоналки. Но этот довод только укрепляет криптовалютный аргумент. И специалисты со страхом ждут начала продаж на чёрном рынке PowerLocker — фактически конструктора, с помощью которого каждый желающий сможет по-быстрому сваять собственный вирус-вымогатель.
Противостоять ransomware можно, но значительно сложнее, нежели обычным вирусам. Да, тот же CryptoLocker распознаётся всеми популярными антивирусными программами, но что проку от удаления его с компьютера, если документы уже зашифрованы? А работать вирусы-вымогатели обычно начинают сразу же после заражения, так что времени на обновление антивирусных баз не остаётся — и каждый новый образчик такой заразы неизбежно собирает свою чёрную дань.
Эффективнее всего профилактика. Стоит помнить базовые правила цифровой гигиены — и прежде всего регулярно делать резервные копии: это минимизирует ущерб, даже если никакие другие защитные меры не предпринимались. На предприятии необходимы проверенные средства обнаружения проникновений и оперативная изоляция инфицированных узлов от сети. Но спецы по компьютерной безопасности призывают ещё и помнить об общем благе: заплатите выкуп — профинансируете эволюцию ransomware. А значит — ни копейки, ни битцента мошенникам! Или вымогательство быстро станет обязательной частью функционала каждого компьютерного вируса.
Впрочем, к тому всё и идёт...
В статье использована иллюстрация Keith Hall.
К оглавлению