Обратная сторона криптографии - трояны-вымогатели
Криптография неотделимо связана с безопасностью информации. Прикладное значение этой науки нельзя переоценить, так как потребность человека ограничивать доступ к информации так же естественна, как и потребность эту информацию распространять. Современный цифровой мир твердо опирается на законы криптографии: методы обеспечения защиты информации по определению немыслимы без соответствующих знаний.
Трояны-шифровальщики — частный пример того, как заложенные в криптографии идеи нашли свое применение и у киберпреступников. Кратко расскажем, почему стоит избегать трояна-шифровальщика, и напомним о несложных правилах, которые позволят уберечь компьютер от таких атак.
Троянов-шифровальщиков часто называют цифровой чумой XXI века. Массовые заражения компьютеров шифровальщиками начались в середине нулевых, хотя сама концепция таких атак была сформулирована гораздо раньше — в 90-е. Первые атаки были достаточно примитивны: вирусы шифровали меняли только названия файлов и каталогов, либо же злоумышленники использовали некриптостойкие алгоритмы шифрования, которые позволяли впоследствии восстановить измененные файлы. Но идея вымогательства и шантажа легла в основу таких атак.
С развитием технологий — совершенствованием алгоритмов шифрования, созданием анонимных сетей типа Tor, распространением криптовалют и ростом процессорных мощностей — развитие получили и атаки шифровальщиков. Вирусописатели стали использовать заимствованный код, отвечающий за шифрование данных, при этом изменилась и сама схема шифрования. Ключ дешифровки стал уникальным для каждой жертвы, таким образом с его помощью нельзя было расшифровать файлы, зашифрованные другой копией трояна. Алгоритмы шифрования, такие как RSA, AES и их разновидности обладают достаточной криптостойкостью, чтобы расшифровать файлы без ключа дешифровки или ошибки в коде трояна было невозможно.
Атаки шифровальщиков стали настоящей эпидемией в прошлом десятилетии, при этом множество злоумышленников сфокусировались на более крупных целях — компаниях и предприятиях. Перспектива необратимой потери информации на корпоративных компьютерах может быть фатальна для бизнеса, поэтому аппетиты злоумышленников росли в геометрической прогрессии. Так, средний выкуп за восстановление файлов обычного пользователя мог оцениваться в 300-500$, а для организаций — сотни тысяч и даже миллионы долларов в зависимости от масштабов компании-жертвы.
Что делает атаки шифровальщиков столь опасными? В первую очередь, перспектива полной потери измененных данных. Жертва как правило не осознает ценность своей цифровой информации до тех пор, пока не столкнется с последствиями такой атаки. Фотографии, видео, заметки и записи, собранные коллекции — все это для большинства из нас представляет очень высокую эмоциональную ценность, порой не выражаемую в денежном эквиваленте. Злоумышленники прекрасно это понимают, поэтому умело играют на чувствах жертвы. Для компаний, как было сказано выше, потеря информации может обернуться многомиллионными издержками, репутационными потерями или вовсе крахом бизнеса. Во-вторых, злоумышленники зачастую шантажируют жертв (обычно крупные компании) обнародованием украденной информации. При этом доподлинно неизвестно, были ли файлы украдены и зашифрованы, либо же только зашифрованы. Неизвестность, внезапность, ощущение, что все козыри на стороне злоумышленников — все это оказывает серьезное давление на жертву таких атак.
Эффективность и прибыльность атак шифровальщиков на крупные компании привела к распространению Ransomware-As-A-Service («вымогательство как услуга»). Вирусописатели продают так называемым операторам готовые наборы ПО для атак на различные цели, при этом получая комиссию от вырученной прибыли.
Одним из последних трендов в мире шифровальщиков является использование вирусописателями утилиты BitLocker, встроенной в современные ОС Windows. Такой подход позволяет минимизировать риск детектирования вредоносной активности антивирусом, так как BitLocker определяется как легитимная программа. Как правило, сценарий заражения следующий: злоумышленник получает доступ к RDP-сессии жертвы и доставляет полезную нагрузку, позволяющую запустить BitLocker с нужными параметрами, после чего шифрует логические диски жертвы.
Стоит отдельно отметить, что все специалисты по компьютерной безопасности категорически не рекомендуют идти на поводу у преступников и платить выкуп за якобы восстановление файлов. Во-первых, что бы ни обещали злоумышленники, нет никаких гарантий, что после оплаты жертва получит ключ дешифровки. Во-вторых, уплата выкупа спонсирует команды вирусописателей и мотивирует их на продолжение преступной деятельности.
Как же обезопасить себя от атак вымогателей? В первую очередь, проблемы не существовало бы в принципе, если бы у каждой цели преступников были актуальные и работоспособные бэкапы. Стоит заметить, что многие трояны-шифровальщики могут зашифровать и бэкапы, если в момент атаки они будут находиться в зоне досягаемости. Поэтому накопитель с резервными копиями должен быть надежно защищен и изолирован в тот момент, когда копирование не происходит. Во-вторых, следует своевременно устанавливать обновления для используемых на компьютере программ, в особенности это касается ОС, программ сетевого оборудования и, конечно же, антивирусного ПО. Многие шифровальщики в качестве вектора атаки используют известные и по каким-то причинам незакрытые уязвимости для заражения устройств. Своевременное обновление ПО позволяет минимизировать эти риски. И, конечно же, следует использовать надежное комплексное антивирусное решение, обладающее механизмами не сигнатурного, поведенческого анализа, которое успешно противостоит различным видам шифровальщиков и блокирует попытки исполнения неавторизованного вредоносного кода.
Рекомендуем:
-
Соблюдайте основные правила цифровой гигиены;
-
Регулярно создавайте резервные копии;.
-
Своевременно обновляйте ОС, программные продукты и антивирус;
-
Максимально обезопасьте RDP-сессии. Используйте VPN и двухфакторную аутентификацию и ограничьте доступ к корпоративным ресурсам извне. Тем самым вы сократите потенциальные точки входа для атак злоумышленников;
-
Не отключайте его компоненты защиты антивируса без необходимости;
-
Используйте комплексное антивирусное решение, позволяющее детектировать вредоносную активность на основе поведенческого анализа;
-
Если заражение все же произошло, и ваши файлы оказались зашифрованы, не рекомендуем платить злоумышленникам выкуп. Обратитесь за помощью в техническую поддержку антивирусного решения, которым вы пользуетесь, — есть вероятность, что ключ дешифровки вашей копии трояна уже находится в открытом доступе.
-
от 1 499 ₽ Выбрать лицензию
Dr.Web Security Space 12 — максимальная защита Dr.Web для Windows, Android, macOS, Linux. Обеспечивает надёжную броню для сетевого доступа, защищая систему от вирусов, руткитов, почтовых червей, хакерских утилит, спама, фишинга, заражённых веб-страниц.
-
Антивирусы для дома Антивирус Dr.Web Security Space (для Android) для защиты мобильного устройства и SmartTVВ наличии13от 490 ₽ Выбрать лицензию
Защита мобильных устройств от всех типов вредоносных программ для хищений денег и информации, от шифровальщиков-вымогателей, опасного веб-контента, нежелательных звонков и СМС (на ОС Android).
-
от 1 650 ₽ Выбрать лицензию
Dr.Web Комплект для малого и среднего бизнеса входят все продукты Dr.Web Enterprise Security Suite.
-
Антивирусы для организаций Dr.Web «Малый бизнес» сертифицированный ФСТЭК России (сертификат №3509)В наличии0от 9 900 ₽ Выбрать лицензию
Экономичная, централизованно управляемая комплексная защита enterprise-класса средствами отечественного антивируса Dr.Web Enterprise Security Suite, сертифицированного ФСТЭК России, для компьютерной инфраструктуры малых предприятий.
-
1 090 ₽ Выбрать лицензию
Антивирус для дополнительной защиты домашнего компьютера (с установленным антивирусом другого производителя).
-
Защита информации Антивирус Dr.Web Server Security Suite для защиты серверов с централизованным управлениемВ наличии06 500 ₽ Выбрать лицензию
Защита файловых серверов и серверов приложений Windows, macOS и UNIX, в том числе терминальных и виртуальных серверов.