Трояны-шифровальщики портят нервы не только бизнесу. В последнее время они выводят из строя всё, до чего получалось дотянуться, в том числе механизмы запирания дверей в отелях, расписания поездов и медицинское оборудование.

Шифровальщик - это больно, обидно и дорого. Это известно всем. Но что это такое на самом деле и откуда вообще к нам пришло?

Повесть временных лет

За десятки лет до нынешнего рассвета шифровальщики уже терзали компьютеры как в Европе и США, так и у наших соотечественников. Речь о легендарном OneHalf. Полиморфный загрузочный стелс-вирус, распространяющийся в основном через дискеты, звучит скорее как название продвинутого оружия, а не программы из девяностых.

OneHalf действовал очень хитро. Заразив систему, он при каждом включении компьютера шифровал немного данных, а потом перехватывал обращения к зашифрованным данным и на лету их расшифровывал. Жертва очень долго не понимала, что что-то вообще происходит. А к моменту, когда вирус зашифровывал половину диска и выдавал своё знаменитое приветствие при загрузке, отделаться малой кровью уже не получалось. То есть если вирус просто удалить, то с ним уйдёт и возможность работать с зашифрованными данными. 

Дикие времена - никто даже не просил выкуп! Вредительство шло исключительно от нелюбви к людям.

Как это было

Игорь Данилов, первым научивший свой антивирус (Web, прообраз Dr.Web) лечить этот вирус (и не просто лечить, а ещё и расшифровывать данные), рассказывал в интервью такую историю:

… звонит и говорит: жутко интересные вирусы, ты смотри, шифруют диски. Я вернулся домой, взялся за них и выпустил лечение для вируса без расшифровки... Думал — кому это надо, а мне отдельную подпрограмму расшифровки писать... А меж тем вирус распространялся, пошел на Украину, и мне по Фидо пошли фидбэки. Когда их количество превысило некоторую критическую массу, Лозинский сказал мне: давай уже пиши расшифровку. Я сделал отдельную подпрограмму лечения. Сначала она ничего не выводила, кроме предупреждения «Идет расшифровка диска». Но оказалось, народ начал паниковать из-за того, что компьютер в это время активно “шуршал” диском, и пользователи начали жать на кнопки, выключать и перезагружать компьютер. В итоге мы с Севкой (Всеволод Лутовинов) сделали версию, которая выводила проценты и надпись о том, что расшифровка может занять длительное время.

С OneHalf была еще одна интересная история. Продается, значит, мой антивирус. Вяло продается, помню, шесть рублей он стоил. И вдруг смотрю — один за одним подходят курсанты в военной форме и, ни слова не говоря, один за другим его покупают. Я спрашиваю: что случилось? Оказалось, что они учились в Можайке и One Half зашифровал все их дипломы. Они расшифровали диски пиратской версией Web’a и вот — дали себе зарок купить лицензию, вернуть долг.

 ^{Посмотреть, как это прибавляло седых волос, можно тут} 

На смену злобным одиночкам

Сейчас шифровальщиков тысячи, и они давно поставлены на поток, как и остальные вредоносные программы. Чёрный бизнес на чёрном рынке делит обязанности. Кто-то саму программу делает, кто-то ею спамит, а кто-то постоянно перекриптовывает в надежде опередить на пару часов свежий детект антивирусов. Время злобных одиночек ушло - надо деньги зарабатывать. Если в процессе зарабатывания денег социально значимые объекты вроде больниц оказываются отброшены в каменный век -  что же: лес рубят, щепки летят.

Расшифровать повреждённые данные самостоятельно чаще всего невозможно. Даже с помощью вымогателей и после выплаты выкупа это зачастую не получается. Кривые руки программистов никуда не делись только из-за того, что программы, которые они пишут, - вредоносные. То расшифровщик не сработает, то файлы случайно зашифруются несколько раз, то электронную почту для связи заблокируют. Большой простор для косяка. 

Специалисты тоже справляются редко - хорошо если в 1 случае из 10,  автор шифровальщика может допустить ошибку в своей математике или её реализации. 

Масла в огонь подливают некоторые антивирусные компании. Например, когда появился первый шифровальщик под Linux, он был очень криво и косо реализован - данные можно было расшифровать без особых проблем, чем специалисты и пользовались. Но некоторые исследователи вместо этого подробно расписали, в чём конкретно вирусописатели ошиблись. И продолжали это делать до появления нормально работающей четвёртой версии, расшифровать данные после которой уже было нельзя.
 

Всем по заслугам

Бороться с шифровальщиками, разумеется, можно. Вредоносные компьютерные программы появились не вчера, так что против них давно уже готов целый арсенал. В этой битве меча и щита, как всегда бывают ситуации, когда "меч" вырывается вперёд. Но и разработчики "щитов" не спят - защитные решения постоянно умнеют и стараются ловить врагов превентивно. 

Впрочем, человеческий фактор умеет из лучшего микроскопа сделать не очень удобный молоток, так что надеяться на одну лишь технику будет наивно,  а иногда - преступно. Вероятно, пример WannaCry уже всем надоел - но ведь он зверствовал на сотнях тысяч компьютеров за счёт запатченной ещё за месяц до этого уязвимости! Просто не все потрудились патч поставить. 

Бороться надо также и с их авторами. Если кто-то до сих пор считает, что в интернетах и компьютерах царит "дикий запад" и шалости типа шифровальщиков не интересуют никого, кроме жертв, злодеев, исследователей и журналистов, то для этих людей настало время откровения. В тех же США и Европе компьютерные преступления - самые настоящие преступления, за которые сажают в самую настоящую тюрьму. У нас, в общем-то, тоже, обратимся к УК.

Статья 159.6. Мошенничество в сфере компьютерной информации

Статья 165. Причинение имущественного ущерба путем обмана или злоупотребления доверием

Статья 272. Неправомерный доступ к компьютерной информации

Статья 273. Создание, использование и распространение вредоносных компьютерных программ

Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Всё это - статьи, за которые теоретически можно привлечь преступников к ответственности. На практике дела, конечно, обстоят несколько печальнее. Но в целом сообщать в полицию нужно всегда и в любом случае киберпреступления - ведь каждый преступник оставляет за собой следы, так что всегда есть шанс бороться с этим злом. Но - без формального процессуального повода никто преступников искать не будет.