пРи|||лиТЕ БNТкоиh NЛN МbI БYDЕМ пРиCbIлАТb пО 1 БайТу Ва|||иХ ДАННЫХ

Трояны-шифровальщики портят нервы не только бизнесу. В последнее время они выводят из строя всё, до чего получалось дотянуться, в том числе механизмы запирания дверей в отелях, расписания поездов и медицинское оборудование.

Шифровальщик - это больно, обидно и дорого. Это известно всем. Но что это такое на самом деле и откуда вообще к нам пришло?

Повесть временных лет

За десятки лет до нынешнего рассвета шифровальщики уже терзали компьютеры как в Европе и США, так и у наших соотечественников. Речь о легендарном OneHalf. Полиморфный загрузочный стелс-вирус, распространяющийся в основном через дискеты, звучит скорее как название продвинутого оружия, а не программы из девяностых.shantaz

 

OneHalf действовал очень хитро. Заразив систему, он при каждом включении компьютера шифровал немного данных, а потом перехватывал обращения к зашифрованным данным и на лету их расшифровывал. Жертва очень долго не понимала, что что-то вообще происходит. А к моменту, когда вирус зашифровывал половину диска и выдавал своё знаменитое приветствие при загрузке, отделаться малой кровью уже не получалось. То есть если вирус просто удалить, то с ним уйдёт и возможность работать с зашифрованными данными. 

Дикие времена - никто даже не просил выкуп! Вредительство шло исключительно от нелюбви к людям.

Как это было

Игорь Данилов, первым научивший свой антивирус (Web, прообраз Dr.Web) лечить этот вирус (и не просто лечить, а ещё и расшифровывать данные), рассказывал в интервью такую историю:

… звонит и говорит: жутко интересные вирусы, ты смотри, шифруют диски. Я вернулся домой, взялся за них и выпустил лечение для вируса без расшифровки... Думал — кому это надо, а мне отдельную подпрограмму расшифровки писать... А меж тем вирус распространялся, пошел на Украину, и мне по Фидо пошли фидбэки. Когда их количество превысило некоторую критическую массу, Лозинский сказал мне: давай уже пиши расшифровку. Я сделал отдельную подпрограмму лечения. Сначала она ничего не выводила, кроме предупреждения «Идет расшифровка диска». Но оказалось, народ начал паниковать из-за того, что компьютер в это время активно “шуршал” диском, и пользователи начали жать на кнопки, выключать и перезагружать компьютер. В итоге мы с Севкой (Всеволод Лутовинов) сделали версию, которая выводила проценты и надпись о том, что расшифровка может занять длительное время.

shantaz

С OneHalf была еще одна интересная история. Продается, значит, мой антивирус. Вяло продается, помню, шесть рублей он стоил. И вдруг смотрю — один за одним подходят курсанты в военной форме и, ни слова не говоря, один за другим его покупают. Я спрашиваю: что случилось? Оказалось, что они учились в Можайке и One Half зашифровал все их дипломы. Они расшифровали диски пиратской версией Web’a и вот — дали себе зарок купить лицензию, вернуть долг.

 Посмотреть, как это прибавляло седых волос, можно тут 


На смену злобным одиночкам

Сейчас шифровальщиков тысячи, и они давно поставлены на поток, как и остальные вредоносные программы. Чёрный бизнес на чёрном рынке делит обязанности. Кто-то саму программу делает, кто-то ею спамит, а кто-то постоянно перекриптовывает в надежде опередить на пару часов свежий детект антивирусов. Время злобных одиночек ушло - надо деньги зарабатывать. Если в процессе зарабатывания денег социально значимые объекты вроде больниц оказываются отброшены в каменный век -  что же: лес рубят, щепки летят.

shantaz

Расшифровать повреждённые данные самостоятельно чаще всего невозможно. Даже с помощью вымогателей и после выплаты выкупа это зачастую не получается. Кривые руки программистов никуда не делись только из-за того, что программы, которые они пишут, - вредоносные. То расшифровщик не сработает, то файлы случайно зашифруются несколько раз, то электронную почту для связи заблокируют. Большой простор для косяка. 

Специалисты тоже справляются редко - хорошо если в 1 случае из 10,  автор шифровальщика может допустить ошибку в своей математике или её реализации. 

Масла в огонь подливают некоторые антивирусные компании. Например, когда появился первый шифровальщик под Linux, он был очень криво и косо реализован - данные можно было расшифровать без особых проблем, чем специалисты и пользовались. Но некоторые исследователи вместо этого подробно расписали, в чём конкретно вирусописатели ошиблись. И продолжали это делать до появления нормально работающей четвёртой версии, расшифровать данные после которой уже было нельзя.
 

Всем по заслугам

Бороться с шифровальщиками, разумеется, можно. Вредоносные компьютерные программы появились не вчера, так что против них давно уже готов целый арсенал. В этой битве меча и щита, как всегда бывают ситуации, когда "меч" вырывается вперёд. Но и разработчики "щитов" не спят - защитные решения постоянно умнеют и стараются ловить врагов превентивно. 

Впрочем, человеческий фактор умеет из лучшего микроскопа сделать не очень удобный молоток, так что надеяться на одну лишь технику будет наивно,  а иногда - преступно. Вероятно, пример WannaCry уже всем надоел - но ведь он зверствовал на сотнях тысяч компьютеров за счёт запатченной ещё за месяц до этого уязвимости! Просто не все потрудились патч поставить. 

Бороться надо также и с их авторами. Если кто-то до сих пор считает, что в интернетах и компьютерах царит "дикий запад" и шалости типа шифровальщиков не интересуют никого, кроме жертв, злодеев, исследователей и журналистов, то для этих людей настало время откровения. В тех же США и Европе компьютерные преступления - самые настоящие преступления, за которые сажают в самую настоящую тюрьму. У нас, в общем-то, тоже, обратимся к УК.

Статья 159.6. Мошенничество в сфере компьютерной информации

Статья 165. Причинение имущественного ущерба путем обмана или злоупотребления доверием

Статья 272. Неправомерный доступ к компьютерной информации

Статья 273. Создание, использование и распространение вредоносных компьютерных программ

Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей


Всё это - статьи, за которые теоретически можно привлечь преступников к ответственности. На практике дела, конечно, обстоят несколько печальнее. Но в целом сообщать в полицию нужно всегда и в любом случае киберпреступления - ведь каждый преступник оставляет за собой следы, так что всегда есть шанс бороться с этим злом. Но - без формального процессуального повода никто преступников искать не будет.


23 июля 2018г. / Индустрия 4.0
57 | Обсудить в   
Еще по теме
ПоROBOщение трудящихся

ПоROBOщение трудящихся

Роботизация может лишить работы более половины наших экономически активных соотечественников. Об этом говорят последние данные. Пора ли нам насторожиться? Есть ли способ побороться за свое рабочее место?

74
Инфобезопасность в компании: виновные и ответственные

Инфобезопасность в компании: виновные и ответственные

Когда очередной шифровальщик потрошит чей-то личный компьютер, единственное, что может полиция - получить заявление от пострадавшего. Мало кто это делает, потому что результаты обычно очевидны. И всё-таки, это дело принципа.

49
Не убийцы, а партнеры: как выживают ИТ-компании в цифровом мире

Не убийцы, а партнеры: как выживают ИТ-компании в цифровом мире

Кэптивные ИТ-компании крупных корпораций — «Сбербанк-Технологии», «Лукойл-Информ», ИТСК и др. — породили новые рынки для традиционных ИТ-компаний. Чтобы заработать на нем, участникам открытого рынка придется освоить новые механизмы взаимодействия с холдингами и организациями.

65