Ransomware. Реальный кибер-рекет и спекуляции вокруг него

киберрэкетШантаж и рэкет (вымогательство) — один из сравнительно молодых видов мошенничества в Интернете. По большому счету это серьезная проблема современного Интернета, где действительно встречаются захват web-ресурсов (например, «рейдерство» — захват с целью использования, или «пиратство» — захват с целью уничтожения или продажи), похищение информации, атаки DDoS (отказ в обслуживании) и следующий за всем этим рэкет.

Наиболее частые варианты сценариев — это захват web-сайта, уничтожение всех данных, а затем — предложение владельцу заплатить за резервную копию и «спокойную жизнь» в дальнейшем. Возможна также организация атаки DDoS на электронный магазин или обменный пункт и предложение владельцу ресурса остановить атаку за определенную сумму. Встречается также кодирование злоумышленниками каких-то важных данных (хранимых на сервере или пересылаемых по e-mail), с последующим требованием от потенциальной жертвы, не позаботившейся о своевременном резервном копировании, выкупа за ключи и доступ к закодированной информации…

Как правило, реальное вымогательство комбинируют с техническими (программными, скриптовыми) методами воздействия на компьютер жертвы. Компьютерные программы (это можно считать разновидностью вирусов), с помощью которых производят блокировку информации с целью получения выкупа, называют Ransomware (Ransom — выкуп; ware — слово, обозначающее товары или изделия, в частном случае — программное обеспечение).

Например, вирусы-шифровщики. Самый скандальный случай имел место в июне 2008-го года, когда «Лаборатория Касперского» сообщила о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса, оказавшегося намного более устойчивой, по сравнению с рядом предшественников, получила название Virus.Win32.Gpcode.ak. Вирус шифровал пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. Расшифровать подобный код пока никому не удавалось (во всяком случае на момент написания данных слов). К названиям зашифрованных файлов вирус добавлял подпись ._CRYPT и оставлял в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщалось о проведенном шифровании и предлагалось купить у преступника дешифратор.

Жертве такой вирусной атаки без помощи специалистов не обойтись. Обнаружив закодированные файлы и сообщение с требованием выкупа на своем компьютере, следует обратиться к экспертам антивирусной лаборатории, используя другой компьютер с выходом в интернет, и сообщить о точной дате и времени заражения, а также о последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

вирус вымогательВ последнее время немалое распространение в сети получили «вирусы-вымогатели» намного более мелкого масштаба. Обычно они либо начинают подгружать на компьютер неприличную рекламу (кому приятно созерцать подобное на мониторе, особенно если это происходит на рабочем компьютере, в офисе), либо блокируют доступ к каким-то данным, а то и вообще вход в систему, и требуют выкуп (в нашем регионе — обычно отправку платной смс, или оплату через анонимного посредника) для решения этой проблемы. Например, это может выглядеть как на иллюстрации слева. При включении компьютера появляется примерно вот такая заставка, которая либо занимает весь экран и полностью блокирует управление компьюетром, либо занимает значительную часть экрана, и, находясь постоянно на виду, не дает возможности нормально работать.

Иногда (как в рассмотренном примере) это вымогательство маскируется под борьбу с пиратством со стороны Microsoft, или даже местных правоохранительных органов. Бывает и так, что выкуп требуется «открытым текстом», хотя в последнее время такое случается все реже.

В подавляющем большинстве случаев отправка СМС (или любая другая оплата) проблему не решает. Решить эту проблему можно исключительно техническими средствами (антивирусное и специализированное программное обеспечение для борьбы с AdwareSpyware). Потому что даже если предположить, что злоумышленник получил полный доступ к нашей операционной системе и имеет возможность ее дистанционно блокировать и разблокировать (что, само по себе, маловероятно, но даже если бы это было так), то эту проблему нужно все равно решать глобально, ибо нет никаких гарантий, что аппетит злоумышленника не будет расти, и вслед за первым выкупом не потребуется второй, третий и т.д. Впрочем, надо заметить еще раз, что, как правило, подобные вирусы умеют только блокировать систему или часть информации, а еще чаще речь идет даже не о серьезной блокировке, но об имитации блокировки, или о поверхностной блокировке, с которой справится любой специалист по компьютерной технике и даже простой пользователь со средним опытом. То же самое касается и подгрузки на монитор навязчивой рекламы: злоумышленник не имеет возможности остановить это, он просто банально блефует.

Что нужно делать в такой ситуации?

  • Если компьютер не заблокирован полностью и доступны какие-то опции меню, то нужно попытаться запустить антивирусный пакет или хотя бы специализированные утилиты для уничтожения вредоносного программного обеспечения. Такие программы, как AdAware или Spybot-SD желательно держать под рукой (на флешке или на CD). Чаще всего они в таких ситуациях помогают.
  • Если компьютер полностью заблокирован, то можно попытаться сначала запустить его в безопасном (safemode) режиме и затем, находясь в режиме safemode, попытаться воспользоваться утилитами для удаления AdWare и SpyWare- программ.

Если это не получается, то лучше обратиться к специалистам, или просто переустановить операционную систему, если имеется возможность сделать это безболезненно (то есть без потери важных данных). На сайтах многих антивирусных лабораторий сейчас имеются специальные разделы для борьбы с такими вирусами-вымогателями. Не будем приводить здесь конкретные страницы, — они могут меняться со временем, но, как говорится, Google вам в помощь. Разумеется, для поиска придется воспользоваться другим компьютером. Попросите кого-то из друзей вам помочь…

Подобные проблемы — печальная реальность современного Интернета, и их причина в техническом несовершенстве системы защиты компьютера (антивирусный пакет — межсетевой экран — продуманная на все случаи жизни система регулярного и надежного резервирования важных данных). И все это, конечно, очень важно. Но существуют и другие аспекты этой проблемы, и это — аспекты психологические. Например, спекуляции на этой угрозе. Как это выглядит?

Если Вы владелец сайта (особенно коммерческой направленности), обменного пункта или Интернет-магазина, то возможно Вы уже получали в почту что-то подобное. Ну а если нет, то не исключено, что все это у Вас еще впереди…

пример кибер-рекетаПриведем пару примеров. Оцените, например, вот такой «перл изящной словесности» (иллюстрации слева, кликните для увеличения; орфография и синтаксис, как Вы понимаете, сохранены).

Что же делать, если Вы попали в поле зрения таких «крутых парней»? Прежде всего: успокоиться и попытаться взглянуть на вещи со стороны. Понятно, что Вам очень дорог Ваш сайт (магазин, обменный пункт, просто личная страничка…), и Вы, конечно же, склонны драматизировать ситуацию. И все же попробуйте отложить принятие решения хотя бы на несколько часов (в идеале — до следующего утра), и тогда уже оценить реальную степень угрозы, — хотя бы на основании количества ошибок в полученном письме…

Вам не показалось утром, на свежую голову, что Вы имеете дело с малолетними неучами, которые не в состоянии реализовать свои угрозы, по причине своей беспросветной тупости и необразованности? А с кем еще Вы можете иметь дело? Едва ли Ваша скромная персона может претендовать на внимание со стороны серьезных профессионалов (их услуги слишком дорого стоят!)… ну конечно, если Вы не администратор личного сайта президента РФ :-).

практическая иллюстрация кибер-рекетаЗаметим, между прочим, что вариантов вымогательства может быть довольно много: с Вас, при известной наглости, могут потребовать деньги за все что угодно: за неразглашение конфиденциальной информации (у кого из нас нет «скелета в шкафу» — какой-то маленькой личной тайны, и неважно при этом, что никто этой Вашей тайны в действительности не знает: главное хорошенько напугать потенциальную жертву!), за отказ от поползновений на Ваши электронные счета (оооо, если бы они действительно могли это реализовать… стали бы они Вас пугать…), да хоть за «не включение» Вашего адреса в спаммерскую базу данных (встречаются на практике и такие курьезные случаи).

В 2010-ом году были зафиксированы (и даже описаны в блогах и на форумах) забавные случаи «бескорыстного шантажа», когда получателю письма (как правило — владельцу сайта или домена) под угрозой «публичного разоблачения его противоправных действий» (путем публикации якобы собранного компромата) настойчиво предлагалось перейти на «абузоустойчивый» хостинг, или опубликовать на своем сайте какие-то материалы (рекламные ссылки), к которым сам инициатор спамовой рассылки отношения не имел. Целью такого действия было «сведение счетов» или компрометация вполне добропорядочных интернет-ресурсов, к которым злоумышленники имели «свои претензии», или которые они собирались впоследствии также шантажировать. Расчет прост: возмущенный шантажом получатель спамовой рассылки начинает предпринимать активные меры против предполагаемого обидчика, засыпая его гневными письмами, или жалуясь на него в разные инстанции. Объект атаки вынужден терять массу времени и сил на «разруливание» ситуации.

Однако, что же все-таки делать?

Во-первых, выясните — откуда получено письмо. Если оно пришло со спамом, то основное правило звучит банально: не подтверждайте реальности своего адреса спаммеру, то есть просто проигнорируйте это послание, как будто его никогда и не было.

Большинство спаммеров пользуется «купленными и перекупленными» базами данных, и все они прекрасно осознают, что как минимум 30% адресов являются «мертвыми» уже в момент их приобретения (они на них и не рассчитывают). Поэтому любой ответ на спам (если этот ответ будет получен, конечно) повышает Ваш «рейтинг» в спамовых рассылках. Не нужно делать спаммерам таких подарков…

Если письмо было все же адресным (что в таких случаях бывает чаще), то можете на него и ответить: «включите дурака», потяните время, оцените, как говорится, «серьезность намерений» — может быть Вас просто разыграли, или же кто-то рассчитывал на легкую наживу, — то есть на то, что Вы сразу же, испугавшись, переведете требуемую сумму… а вступать с Вами в реальные дискуссии и рисковать возможно никто и не собирался.

В 99% случаев Вы будете смеяться над своими опасениями уже на второй день, поскольку Вам раскроется истинный «интеллектуальный уровень» злоумышленников, как правило, с трудом представляющих себе механизм реализации собственных угроз… Да и реальные последствия (то есть какой-либо ущерб) от таких угроз, даже в случае их исполнения, как правило, при трезвом анализе, окажется намного ниже затребованной суммы, особенно если вы серьезно подходите к проблемам резервирования данных.

Кстати, о резервировании. Это, конечно, большая тема, достойная отдельной заметки, а то и серии статей, но пару слов, на уровне ликбеза:

  • Если вы — владелец web-сайта, на котором используются базы данных, то ежедневное резервирование баз должно стать вашей «железной привычкой». Один из лучших скриптов для резервирования баз — SyPex Dumper. Пользуюсь сам и рекомендую всем. На сайте разработчика можно всегда скачать как свежую версию программы, так и подробнейшие инструкции по ее применению. На момент написания этих слов, данный пакет скриптов был абсолютно бесплатным.
  • Для еженедельного автоматического резервирования наиболее важных папок с информацией на локальном компьютере лучше всего использовать специальные утилиты. Я предпочитаю программу GoodSync, которая не раз выручала меня в подобных ситуациях. Ее основные достоинства — возможность полной автоматизации и хорошая техническая поддержка (в том числе регулярные, практически ежемесячные обновления версии). Под полной автоматизацией предполагается, что этот процесс можно поручить таймеру и просто про него забыть. Соответственно, в случае каких-то проблем, — в том числе и проблем с посягательством мошенников и шантажистов на личные данные, — пользователю всегда доступна относительно свежая копия всех данных. Данная программа может использоваться бесплатно (на момента написания данных слов, с некоторыми ограничениями, но вполне приемлемо для личного использования), либо ее можно перевести в Pro-версию, заплатив символическую сумму, и тогда она становится более удобной и функциональной. Разумеется, можно использовать и любые другие утилиты для резервного копирования, на GoodSync, как говорится, «свет клином не сошелся», но важно проводить регулярное резервирование всех своих важных данных, хотя бы в ручном режиме.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.