Обратная сторона криптографии - трояны-вымогатели

Трояны-шифровальщики — частный пример того, как заложенные в криптографии идеи нашли свое применение и у киберпреступников. Кратко расскажем, почему стоит избегать  трояна-шифровальщика, и напомним о несложных правилах, которые позволят уберечь компьютер от таких атак.

Троянов-шифровальщиков часто называют цифровой чумой XXI века. Массовые заражения компьютеров шифровальщиками начались в середине нулевых, хотя сама концепция таких атак была сформулирована гораздо раньше — в 90-е. Первые атаки были достаточно примитивны: вирусы шифровали меняли только названия файлов и каталогов, либо же злоумышленники использовали некриптостойкие алгоритмы шифрования, которые позволяли впоследствии восстановить измененные файлы. Но идея вымогательства и шантажа легла в основу таких атак.

С развитием технологий — совершенствованием алгоритмов шифрования, созданием анонимных сетей типа Tor, распространением криптовалют и ростом процессорных мощностей — развитие получили и атаки шифровальщиков. Вирусописатели стали использовать заимствованный код, отвечающий за шифрование данных, при этом изменилась и сама схема шифрования. Ключ дешифровки стал уникальным для каждой жертвы, таким образом с его помощью нельзя было расшифровать файлы, зашифрованные другой копией трояна. Алгоритмы шифрования, такие как RSA, AES и их разновидности обладают достаточной криптостойкостью, чтобы расшифровать файлы без ключа дешифровки или ошибки в коде трояна было невозможно.

Атаки шифровальщиков стали настоящей эпидемией в прошлом десятилетии, при этом множество злоумышленников сфокусировались на более крупных целях — компаниях и предприятиях. Перспектива необратимой потери информации на корпоративных компьютерах может быть фатальна для бизнеса, поэтому аппетиты злоумышленников росли в геометрической прогрессии. Так, средний выкуп за восстановление файлов обычного пользователя мог оцениваться в 300-500$, а для организаций — сотни тысяч и даже миллионы долларов в зависимости от масштабов компании-жертвы.

Что делает атаки шифровальщиков столь опасными? В первую очередь, перспектива полной потери измененных данных. Жертва как правило не осознает ценность своей цифровой информации до тех пор, пока не столкнется с последствиями такой атаки. Фотографии, видео, заметки и записи, собранные коллекции — все это для большинства из нас представляет очень высокую эмоциональную ценность, порой не выражаемую в денежном эквиваленте. Злоумышленники прекрасно это понимают, поэтому умело играют на чувствах жертвы. Для компаний, как было сказано выше, потеря информации может обернуться многомиллионными издержками, репутационными потерями или вовсе крахом бизнеса. Во-вторых, злоумышленники зачастую шантажируют жертв (обычно крупные компании) обнародованием украденной информации. При этом доподлинно неизвестно, были ли файлы украдены и зашифрованы, либо же только зашифрованы. Неизвестность, внезапность, ощущение, что все козыри на стороне злоумышленников — все это оказывает серьезное давление на жертву таких атак.

Эффективность и прибыльность атак шифровальщиков на крупные компании привела к распространению Ransomware-As-A-Service («вымогательство как услуга»). Вирусописатели продают так называемым операторам готовые наборы ПО для атак на различные цели, при этом получая комиссию от вырученной прибыли.

Одним из последних трендов в мире шифровальщиков является использование вирусописателями утилиты BitLocker, встроенной в современные ОС Windows. Такой подход позволяет минимизировать риск детектирования вредоносной активности антивирусом, так как BitLocker определяется как легитимная программа. Как правило, сценарий заражения следующий: злоумышленник получает доступ к RDP-сессии жертвы и доставляет полезную нагрузку, позволяющую запустить BitLocker с нужными параметрами, после чего шифрует логические диски жертвы.

Стоит отдельно отметить, что все специалисты по компьютерной безопасности категорически не рекомендуют идти на поводу у преступников и платить выкуп за якобы восстановление файлов. Во-первых, что бы ни обещали злоумышленники, нет никаких гарантий, что после оплаты жертва получит ключ дешифровки. Во-вторых, уплата выкупа спонсирует команды вирусописателей и мотивирует их на продолжение преступной деятельности.

Как же обезопасить себя от атак вымогателей? В первую очередь, проблемы не существовало бы в принципе, если бы у каждой цели преступников были актуальные и работоспособные бэкапы. Стоит заметить, что многие трояны-шифровальщики могут зашифровать и бэкапы, если в момент атаки они будут находиться в зоне досягаемости. Поэтому накопитель с резервными копиями должен быть надежно защищен и изолирован в тот момент, когда копирование не происходит. Во-вторых, следует своевременно устанавливать обновления для используемых на компьютере программ, в особенности это касается ОС, программ сетевого оборудования и, конечно же, антивирусного ПО. Многие шифровальщики в качестве вектора атаки используют известные и по каким-то причинам незакрытые уязвимости для заражения устройств. Своевременное обновление ПО позволяет минимизировать эти риски. И, конечно же, следует использовать надежное комплексное антивирусное решение, обладающее механизмами не сигнатурного, поведенческого анализа, которое успешно противостоит различным видам шифровальщиков и блокирует попытки исполнения неавторизованного вредоносного кода.

Рекомендуем:

1. Соблюдайте основные правила цифровой гигиены;

2. Регулярно создавайте резервные копии;.

3. Своевременно обновляйте ОС, программные продукты и антивирус;

4. Максимально обезопасьте RDP-сессии. Используйте VPN и двухфакторную аутентификацию и ограничьте доступ к корпоративным ресурсам извне. Тем самым вы сократите потенциальные точки входа для атак злоумышленников;

5. Не отключайте его компоненты защиты антивируса без необходимости;

6. Используйте комплексное антивирусное решение, позволяющее детектировать вредоносную активность на основе поведенческого анализа;

7. Если заражение все же произошло, и ваши файлы оказались зашифрованы, не рекомендуем платить злоумышленникам выкуп. Обратитесь за помощью в техническую поддержку антивирусного решения, которым вы пользуетесь, — есть вероятность, что ключ дешифровки вашей копии трояна уже находится в открытом доступе.