В этом году исполняется 12 лет с начала первой атаки троянцем-вымогателем. Компания «Доктор Веб» описала основные вехи развития этой угрозы и рассказала, как избежать заражения шифровальщиком.
Первый случая заражения троянцем семейства Trojan.Encoder произошел в 2005 году, и с 2006 года троянцы-вымогатели стали одной из самых опасных сетевых угроз. Заражение шифровальщиком может обернуться огромными потерями — денег, интеллектуальной собственности, репутации — для каждого, кто видит на экране своего компьютера или мобильного устройства требование о выкупе и понимает, что все его файлы превратились в бесполезный мусор. Это настоящий кибертерроризм
Сейчас о вредоносных программах семейства Trojan.Encoder наслышаны многие, некоторые и вовсе столкнулись с шифровальщиками на собственном опыте. И речь идет не только и не столько о троянце WannaCry, наделавшем много шума по всему миру в мае 2017 года, сколько о тысячах других троянцев, портящих данные и нервы миллионам людей. Первый вирусный инцидент с троянцами семейства Trojan. Encoder был зафиксирован в мае 2005 года, но простой алгоритм шифрования не сделал его особо эффективным — поврежденные троянцем файлы без особого труда лечились антивирусной программой. Не вызвал он особого ажиотажа и в среде злоумышленников — до лета 2007 года в вирусной базе Dr.Web было менее 10 записей для энкодеров.
Вплоть до 2009 года появление различных вариаций было, скорее, «пробой пера» злоумышленников, постоянно находившихся в поиске новых методов атак на ПК и сети. В самом деле, создать серьезный шифровальщик, результаты деятельности которого не будут дешифроваться «на лету» или за очень короткий срок — задача нетривиальная. А для вирусописателей-одиночек, на которых до недавнего времени держался мир вредоносного ПО — просто непосильная. Ведь троянец-шифровальщик кодирует файлы, а значит, именно навыки криптографии нужны его создателю в первую очередь. Также стоит отметить ключевое отличие троянцев от компьютерных вирусов. Первые — самостоятельные приложения, а не «паразиты», цепляющиеся к файлам. Это определяет и ключевой момент в поведении антивируса и пользователя в отношении троянца. В то время как от вируса зараженный файл можно избавить, получив «чистую» версию оригинала, троянца вылечить невозможно, ибо он сам по себе является вредоносным файлом. Даже если это легитимное приложение с «теневым» функционалом, оно все равно цельное, устранить его негативный эффект можно только полным удалением.
Киберпреступники используют для атаки энкодером либо собственноручно написанных троянцев, либо «доработанного» под свои нужны уже существующего шифровальщика, либо покупают на черном рынке готовую к распространению версию, которую достаточно настроить под свои реквизиты и выпустить в сеть. Сейчас можно и вовсе купить доступ к «вредоносному облаку» с настроенной админ-панелью по принципу SAAS. Вариантов много, но, как показывает практика, самые удачные для злоумышленников атаки проводились именно с помощью новых уникальных троянцев с продуманной стратегией распространения. А значит — это был результат работы целой группы квалифицированных специалистов, направивших свои знания отнюдь не на благое дело.
Злоумышленники достаточно долго не могли «распробовать» шифровальщиков как инструмент вымогательства денег у домашних и корпоративных пользователей, но когда вошли во вкус, процесс пошел живее. С 2012 года число выявляемых шифровальщиков начало довольно быстро расти. Одновременно с этим стали совершенствоваться и методы использования различных алгоритмов шифрования. Наиболее популярные энкодеры того времени — Trojan.Encoder.94102 и их модификации. В первом случае данные шифровались относительно простым симметричным алгоритмом, а вот 102-й не кодировал, а, скорее, ломал данные, отчего полноценная расшифровка оказывалась невозможна.
Но если в 2012 году связанные с шифровальщиками инциденты были просто «одной из угроз», то уже в 2013 году стало ясно, что «за шифровальщиками будущее» — столь быстрым стал рост числа новых модификаций.
Троянец-шифровальщик не имеет механизмов распространения. Более того, даже попав на компьютер, он не в состоянии активизироваться самостоятельно. По сути, энкодер представляет собой обычную программу, которая начинает работать, только когда пользователь сам запустил ее на выполнение или запустил скрипт-загрузчик, который и установит троянца. В 90% случаев заражения сами пользователи активировали троянца у себя на ПК. Все остальное — это более или менее резонансные эпидемии, организованные гибридными троянцами, в состав которых входили сетевые черви и прочие дополнительные компоненты, позволяющие организовать автоматическое распространение и запуск шифровальщика.
Как именно троянец может попасть на ПК и почему у пользователя может возникнуть желание запустить его?
Почта
При отсутствии эффективного спам-фильтра в почту будет сыпаться немыслимое количество самых разнообразных спамовых писем. Да, большая часть из них будет просто неуместной и навязчивой рекламой, но некоторые могут оказаться весьма «интересными». Сообщения о сборах на лечение больных детей, к которым приложены «подтверждающие медицинские документы», уведомления из налоговой инспекции и Ростелекома с требованиями оплатить налог, прочитать приложенную повестку в суд или срочно оплатить приложенный счет за услуги связи — самые частые уловки злоумышленников. Что интересно, зачастую в поле «От» у этих писем стоят реальные адреса налоговой инспекции или действующих сотрудников Ростелекома — это означает, что рассылка ведется со взломанных аккаунтов без ведома их владельцев. Изначальный «кредит доверия» этим компаниям вкупе с низкой осведомленностью подавляющего большинства офисных сотрудников о киберугрозах делает такие атаки весьма эффективными.
Вредоносные сайты
Тут есть два варианта. В первом случае пользователь, скачивая приложения или другие файлы с фишинговых, взломанных или просто никем не контролируемых ресурсов (файлообменники, торренты и т. д.), сам запускает их, даже не подозревая, что вместе с полезным материалом получил вредоносный «довесок». Второй вариант развития событий еще хуже — достаточно бывает просто зайти на зараженный сайт, чтобы запустившийся скрипт загрузил на ПК троянца и активизировал его. К счастью, это возможно только при совершенно «небезопасных» настройках браузера и операционной системы. К несчастью, именно такие настройки и имеет большинство пользователей
Сменные носители информации
Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в интернет. Если сменный носитель заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.
Эти три пути являются основными и составляют те самые 90% «собственноручных» заражений. Остальные 10% приходятся на уже упомянутые эпидемии, а также различные диверсии и саботаж, удаленную установку и запуск троянцев.
Во времена Второй мировой войны неким эталоном криптографии считалась немецкая шифровальная машина «Энигма», на долгие годы ставшая нарицательным именованием для мощного кодирования. Но технологии не стоят на месте, и нынешние алгоритмы шифрования — куда более сложные, чем раньше. Их достаточно много, но в энкодерах чаще всего применяется только ключевое шифрование симметричного и несимметричного типов. Первые имеют битность 1024 или 2048 бит, вторые — 128 или 256 бит. Наиболее распространены варианты с ассиметричным 256-битным шифрованием, ибо они являются самыми устойчивыми к взлому. Словом, есть много полезных в плане информационной безопасности алгоритмов защиты данных (для чего изначально шифрование и разрабатывалось), но как топором можно рубить не только дрова, но и соседей, так и технологии шифрования не остались в стороне от внимания киберпреступников.
С учетом сверхвысокой сложности взлома высокобитных шифров ситуация складывается так, что практически всегда появление возможности расшифровки данных связано либо с успешным получением хотя бы одного ключа, либо с криворукостью разработчиков троянца. В первом случае, хоть злоумышленники и предлагают выкупать ключи, зачастую все необходимое уже содержится в самом шифровальщике. Главное, чтобы с ним поработал квалифицированный специалист по дешифровке. Причем важно не только извлечь этот ключ, чтобы расшифровать данные на конкретном зашифрованном ПК, нужно еще понять его структуру и на ее основе написать специальную утилиту — генератор ключей дешифрования, который сможет подобрать нужный ключ для любого компьютера, пострадавшего от данного троянца. Когда же речь идет о некорректной работе самого троянца, то здесь варианты могут разниться — от неправильного использования алгоритма шифрования, что в итоге может привести к длине шифра 64 бита, а то и меньше, до полного пропуска шифрования — тогда файл всего лишь меняет расширение.
Говоря о шифровальщиках, мы обычно подразумеваем троянцев, «орудующих» на компьютерах, будь то обычный ПК или ноутбук. Но когда все поголовно ходят со смартфонами, было бы странно ожидать, что рано или поздно эпидемия троянцев не коснется и мобильных устройств. Преобладание на рынке мобильных ОС пользователей Android сделало их излюбленными жертвами вымогателей. Первый троянец-шифровальщик для Android появился еще в 2014 году и назывался SimpleLocker. Почти все мобильные энкодеры, разработанные после SimpleLocker, были не троянцами-шифровальщиками, а именно троянцами-блокировщиками — они блокировали экран устройства и выдавали сообщение о том, что все данные зашифрованы и для их восстановления нужно заплатить выкуп. При этом непосредственно шифрования файлов не происходило, и проблему решало устранение блокировки экрана.
Отсутствие активного развития «мобильных» шифровальщиков связано с тремя ключевыми факторами. Во-первых, объем критически важных данных на смартфонах обычно крайне мал, чтобы их ценность была сопоставима с суммой выкупа или со стоимостью самого устройства. В то же время цена данных на ПК может в сотни, а порой и в тысячи раз превышать стоимость «железа». Во-вторых, шифровальщики — одни из самых сложных в реализации троянцев. И, учитывая предыдущий пункт, просто нет смысла тратить на них время и силы, когда можно ограничиться блокировкой экрана и «страшной надписью» про шифрование. И в-третьих, архитектура Andorid построена таким образом, что зашифровать файлы пользователя там значительно сложнее, чем в Windows — это связано с большими программными ограничениями. Впрочем, недавно все же нашлись еще одни желающие поэкспериментировать — в середине октября 2017 года появился второй действующий Android-шифровальщик.
Если посмотреть на карту вспышек эпидемий того или иного шифровальщика, то чаще всего можно обнаружить, что происходят они не по всему миру, а на территории одного или нескольких государств, почти не задевая пользователей из других регионов. С чем связана такая избирательность? Как правило, точную географическую направленность атаки троянцев имеют по одной из следующих причин — злоумышленники хотят нанести вред инфраструктуре предприятий или государственных структур определенной страны либо создатели троянца сами проживают на территории, подвергающейся атаке, что облегчает им получение средств от своих сограждан. Также возможно, что создатели троянца живут в соседнем с жертвами государстве — «за руку схватят» с меньшей вероятностью, а получить деньги с соседей — не так и сложно. Еще один вариант: атакующие стремятся кого-либо скомпрометировать. В этом случае злоумышленники будут маскироваться таким образом, чтобы под подозрение попали их «коллеги» из другой страны или региона.
Но, как и любая эпидемия, держаться в строгих рамках распространение троянцев не может. Интернет границ не имеет, «дыры» в нем общие, люди между собой общаются, письмами-файлами обмениваются. Как следствие — вирусные инциденты могут произойти в любой точке мира. И даже самая целенаправленная атака лишь на 70–80% поразит запланированный регион или страну, в то время как все остальные случаи, возможно даже массовые, придутся на совершенно другие территории и пользователей. И зачастую жертвам из таких «нецелевых» регионов приходится хуже всего, ибо даже при желании заплатить выкуп они зачастую не могут этого сделать.
Казалось бы, как может быть связан финансовый рынок и мир киберпреступлений, в частности — злоумышленники, промышляющие разработкой и распространением энкодеров? Один пытается наполнить деньгами свои карманы, вторые — поглубже залезть в карманы первых, ничего общего! Но зависимость, к сожалению, присутствует. За 2017 год произошел резкий рост стоимости криптовалют, параллельно с ним начался «бум» майнинга, а криптовалюты стали одной из популярных «кухонных тем» даже для тех, кто от них далек. Многие увидели в криптовалютах шанс быстрого обогащения, и, разумеется, это привлекло на криптобиржи множество новых игроков со всего мира. Выкуп же за расшифровку данных почти всегда требуется в криптовалюте. И если запрошенные условные 5 биткойнов в начале года стоили бы жертве порядка 5000 долларов, то в начале осени подобный же запрос означал бы потерю почти 25 000 долларов. С 2017 года вымогатели почти всегда требуют выкуп в криптовалютах. Получается, что с ростом курсов криптовалют пропорционально растут и суммы выкупа.