Винт или кошелёк: чем объяснить беспрецедентный всплеск вирусов-вымогателей Евгений Золотов

Винт или кошелёк: чем объяснить беспрецедентный всплеск вирусов-вымогателей

Евгений Золотов

Опубликовано 15 января 2014

Состязание между вирусописателями и антивирусной индустрией обычно идёт на равных, но в последние месяцы случился заметный перекос в пользу первых. Всю осень и начало зимы в мире бушевала эпидемия вируса-вымогателя CryptoLocker, а сейчас эксперты предупреждают, что даже этот — сам по себе беспрецедентный — всплеск компьютерной заразы может померкнуть на фоне нового, который обрушится на наши головы в наступившем году. И это не все плохие новости. Пожалуй, хуже всего то, что «удача», улыбнувшаяся авторам CryptoLocker, неслучайна. Есть минимум одно объективное обстоятельство, играющее злоумышленникам на руку. И противопоставить ему ленивому среднестатистическому пользователю в общем-то нечего.

Говорят, новое — хорошо забытое старое, и CryptoLocker не исключение. Специалисты определяют эту и ей подобные программы как ransomware (от английского ransom — выкуп): класс вредоносного софта, известный уже минимум четверть века. Схема проста как три копейки. Попав на компьютер, вирус шифрует всё подряд или часть файлов обратимым алгоритмом (либо как-то ещё ограничивает доступ к хранящейся на машине информации), после чего выдвигает требование о выкупе: скажем, триста долларов в течение двух суток или можете навсегда о файлах забыть! И хорошо, если «в заложники» попали сейвы игрушек или коллекция порно. Но с тем же успехом жертвами могут стать (и становятся) компании, госпитали, правоохранительные органы. Кстати, чтобы жертва не вздумала обратиться за помощью, её обычно припугивают — намекая, что на персоналке обнаружено что-нибудь компрометирующее (вроде детской порнографии). Всё. Профит. 

_{Это динамика подтверждённых случаев заражения ransomware на начало прошлого года по данным Intel Security (в прошлом McAfee). Даже без CryptoLocker впечатляет.}

Согласно устоявшейся легенде, первые случаи заражения такими вирусами были отмечены ещё в конце 80-х годов. Тогда вирус AIDS, распространявшийся через почтовые интернет-конференции под видом информационного буклета про СПИД, прописывался в AUTOEXEC.BAT и спустя какое-то количество перезагрузок устраивал на винчестере (обратимый) хаос и требовал двести долларов выкупа. Эта цифра вообще обладает какой-то мистической привлекательностью для авторов ransomware: просить меньше они, видимо, считают недостойным, а больше — стесняются.

К счастью для пострадавших, шифрование оказалось ерундовым и вернуть документы можно было своими силами, запустив «лечилку». Но лиха беда начало. Вместе со всем компьютерным миром вирусописаки открыли для себя стойкое крипто, и ко второй половине нулевых снятие шифра без обращения к авторам вирусов-вымогателей стало невозможным. Заразился — плати или прощайся с данными. Правда, и не факт, что после выплаты файлы дешифруют.

Традиционно ransomware составляло лишь незначительную долю в общей массе цифровой заразы, но в последние два года ситуация неожиданно изменилась. Антивирусные вендоры (McAfee, Symantec) констатируют резкое увеличение популярности вымогательского софта, с ростом зафиксированных случаев заражения в разы год к году. А своеобразной кульминацией стал уже знакомый вам CryptoLocker.

На компьютер он попадает древним как мир способом (аттач к электронному письму; хотя один из вариантов уже умеет инфицировать флешки), а попав, генерирует уникальную пару 2048-битных RSA-ключей, которые и использует для шифрования выбранных файлов (документы всех сортов на локальных и сетевых накопителях). Необходимый для расшифровки ключик переправляется к авторам вируса — и они готовы представить его за разумное вознаграждение. Что-то вроде трёх сотен долларов в первые трое суток и значительно больше впоследствии.

Конечно, платит не каждый, но это и не обязательно. По оценкам Dell и Symantec, раскошеливаются от полпроцента до трёх подхвативших инфекцию пользователей, но, принимая во внимание беспрецедентно большое число заражений (порядка четверти миллиона, хоть и это, как вы понимаете, цифра ориентировочная), на хлеб с маслом и икрой авторам вируса хватает. 

Но что же случилось, как объяснить неожиданный всплеск популярности вирусов-вымогателей? Причина на поверхности: появился простой инструмент, способный гарантировать анонимность денежных переводов. Криптовалюта! Ведь как было до недавних пор? Чтобы перечислить деньги, приходилось прибегать к банковскому переводу, платным СМС, звонкам на премиальную линию. Установить личность преступников здесь тривиально. Однако новая волна ransomware эксплуатирует криптовалюту — прежде всего Bitcoin. Тут уже не нужны никакие привязки к офлайну, деньги можно собирать быстро и абсолютно анонимно. Вот так авторы CryptoLocker и насобирали (по разным оценкам) от нескольких тысяч до сорока тысяч BTC, что по текущему курсу близко к сорока миллионам долларов США. А ведь даже намёка на то, кто стоит за этой аферой, у правоохранительных органов нет. Кое-кто уже называет такую схему идеальным преступлением.

_{Выплаты авторам Cryptolocker (по версии Dell Secureworks).}

Справедливости ради стоит отметить, что эксперты усматривают и другие вероятные причины всплеска ransomware. Например, появление криминальных сервисов по незаметной дистанционной установке программного обеспечения на инфицированные персоналки. Но этот довод только укрепляет криптовалютный аргумент. И специалисты со страхом ждут начала продаж на чёрном рынке PowerLocker — фактически конструктора, с помощью которого каждый желающий сможет по-быстрому сваять собственный вирус-вымогатель. 

Противостоять ransomware можно, но значительно сложнее, нежели обычным вирусам. Да, тот же CryptoLocker распознаётся всеми популярными антивирусными программами, но что проку от удаления его с компьютера, если документы уже зашифрованы? А работать вирусы-вымогатели обычно начинают сразу же после заражения, так что времени на обновление антивирусных баз не остаётся — и каждый новый образчик такой заразы неизбежно собирает свою чёрную дань.

Эффективнее всего профилактика. Стоит помнить базовые правила цифровой гигиены — и прежде всего регулярно делать резервные копии: это минимизирует ущерб, даже если никакие другие защитные меры не предпринимались. На предприятии необходимы проверенные средства обнаружения проникновений и оперативная изоляция инфицированных узлов от сети. Но спецы по компьютерной безопасности призывают ещё и помнить об общем благе: заплатите выкуп — профинансируете эволюцию ransomware. А значит — ни копейки, ни битцента мошенникам! Или вымогательство быстро станет обязательной частью функционала каждого компьютерного вируса.

Впрочем, к тому всё и идёт...

В статье использована иллюстрация Keith Hall.

К оглавлению