Вопросы и ответы

История троянцев-вымогателей

1989: Джозеф Попп пишет первого известного шифровальщика – датируемый 1989 годом троянец AIDS (известный так же как «PCCyborg»)
2005: В мае троянцы-вымогатели появляются в общественном доступе в Интернете
2006: К середине 2006 года такие троянцы как Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, и MayArchive начинают использовать более сложные схемы шифрования RSA с более сложными ключами
2011: Появляется троянец-вымогатель, имитирующий уведомление о необходимости активации Windows
2013: Появляется троянец-вымогатель, основанный на наборе эксплойтов Stamp.EK; появляется первый вымогатель, специально созданный для MacOSX. Сумма выкупов, собранная CryptoLocker в последние четыре месяца года, составляет около 5 миллионов долларов
2015: Разнообразные троянцы-вымогатели на разных платформах наносят жертвам огромный ущерб

Виды троянцев-вымогателей

  • Шифровальщики

Шифруют личные файлы и папки (документы, электронные таблицы, изображения и видеоролики).

Оригиналы зашифрованных файлов удаляются. Как правило, пользователь обнаруживает на компьютере текст с инструкциями по оплате (требованиями выкупа) в той же папке, где были ставшие недоступными файлы.

Возможно, вы обнаружите проблему, только попытавшись открыть один из таких файлов.

Некоторые, но не все разновидности шифровальщиков так же блокируют доступ к устройству:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Блокировщики — WinLocker

Блокировщики — WinLocker

Демонстрируют полноэкранное изображение, которое блокирует все остальные окна.

Не шифруют личные файлы.

Polyransom2

  • Трояны-вымогатели, заражающие MBR

Master Boot Record, MBR – это часть жесткого диска компьютера, которая обеспечивает загрузку операционной системы.

Трояны-вымогатели, заражающие MBR, изменяют главную загрузочную запись таким образом, что нормальный процесс загрузки операционной системы становится невозможен.

Вместо этого на экран выводится требование выкупа.

Master-Boot.jpg

  • Трояны-вымогатели, шифрующие веб-серверы

Заражают веб-серверы и шифруют часть находящихся на них файлов.

Для развертывания троянцев-вымогателей на веб-серверах киберпреступники зачастую используют известные уязвимости в системах управления контентом.

Ransomware encrypting web servers

  • Трояны-вымогатели для мобильных устройств (Android)

Заражение мобильных устройств (прежде всего Android) возможно через drive-by загрузку вредоносного ПО.

Возможно так же заражение через фальшивые приложения, выдаваемые за популярные сервисы, такие какas Adobe Flash или антивирусные продукты.

Mobile Ransomware

Платить ли мне выкуп в случае атаки?

Платить выкуп не рекомендуется никогда, поскольку это не гарантирует решения проблемы. К тому же, что-то может пойти не так совершенно случайно. Например, вредоносное ПО может содержать ошибки, из-за которых зашифрованные данные будет невозможно восстановить даже при наличии правильного ключа.

Кроме того, оплата выкупа показывает киберпреступникам, что троянцы-вымогатели работают. В результате злоумышленники продолжают свою деятельность и ищут новые способы заражения пользователей, что приводит росту доходов киберпреступников.

Как происходит заражение троянцами-вымогателями?

Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда. Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы.

Жертва не сразу поймет, что заражена. Вначале зловред действует незаметно,в фоновом режиме, пока не будет запущен и реализован механизм шифрования данных. После того как все файлы на зараженном устройстве зашифрованы, появляется диалоговое окно, в котором пользователю сообщается, что данные заблокированы и предъявляется требование выплаты выкупа для доступа к ним. К этому времени уже слишком поздно пытаться сохранить данные с помощью мер безопасности.

Дополнительную информацию можно получить из следующего видео:

Кто может стать жертвой троянцев-вымогателей?

Любой пользователь и любая компания может стать жертвой троянцев-вымогателей. Киберпреступники не действуют избирательно – они зачастую стремятся поразить как можно больше пользователей, чтобы получить максимальный доход.

Растет ли число атак троянцев-вымогателей на компании?

Да, поскольку киберпреступники знают, что шансы получить выкуп от компании выше: как правило, заблокированные данные являются конфиденциальными и важными для непрерывности бизнес-процессов. Кроме того, иногда дешевле заплатить выкуп, чем восстанавливать данные резервных копий.

Почему так трудно найти единое решение для защиты от троянцев-вымогателей?

Число троянцев-вымогателей растет – сейчас активно действует более 50 семейств. К тому же, этот вид вредоносного ПО быстро развивается. Каждый новый образец троянца совершенствует процесс шифрования и добавляет новых функций. Это невозможно просто игнорировать!

Одна из причин того, что единое решение так трудно найти, – тот факт, что шифрование само по себе не является вредоносным. Шифрование – полезная возможность, которую используют многие легитимные программы.

Первые вредоносные шифровальщики использовали симметричный алгоритм шифрования, в котором файлы кодировались и раскодировались одним и тем же ключом. Компании, работающие в сфере информационной безопасности, как правило, были способны помочь расшифровать эти данные. Со временем киберпреступники перешли на асимметричные алгоритмы шифрования, в которых используется два ключа: данные шифруются открытым ключом, а для их расшифровки необходим закрытый ключ.

Троянец CryptoLocker – один из самых известных вымогателей. Он использует асимметричный алгоритм шифрования. После заражении компьютера он связывается с командным сервером и загружает открытый ключ. При этом закрытый ключ доступен только преступникам, создавшим CryptoLocker. Как правило, жертве дается не более 72 часов на оплату выкупа, после чего соответствующий закрытый ключ безвозвратно уничтожается; при этом расшифровать файлы без ключа невозможно.

Это означает, что основное внимание должно уделяться превентивным мерам. В состав большинства антивирусных продуктов входит компонент, позволяющий обнаружить шифровальщиков на ранних этапах заражения. Проверьте, работает ли этот функционал в вашем антивирусном продукте или если нет обязательно включите его.

Каковы шансы на то, что проект сможет помочь жертве шифровальщиков вернуть доступ к своим файлам?

Проект «No More Ransom» только начал действовать, но мы постоянно сотрудничаем с различными антивирусными компаниями и правоохранительными органами, чтобы найти как можно больше ключей для максимально возможного числа троянцев-шифровальщиков. Если у вас есть информация, которая, по вашему мнению, может помочь проекту, пожалуйста, поделитесь ей с нами.

Что такое Крипто-шериф и как мне его использовать?

Крипто-шериф – это инструмент, цель которого – определить тип шифровальщика на вашем устройстве. Это даст нам возможность проверить, есть ли у нас утилита для расшифровки. Следующее видео объясняет, как работает этот инструмент:

Я уверен, что использую правильную утилиту для расшифровки файлов – почему же она не работает?

Такое возможно. Иногда в нашем распоряжении есть только часть ключей, поэтому мы просим вас регулярно сверяться с нашим сайтом.

В каких случаях возможно расшифровать файлы, зашифрованные троянцем-вымогателем?

Это возможно в следующих случаях:

  • Создатели вредоносного ПО допустили ошибку реализации, что позволило взломать код. Так было, например, с троянцами-вымогателями Petya и CryptXXX.
  • Создатели вредоносного ПО раскаялись в содеянном и опубликовали ключи или мастер-ключ, как в случае TeslaCrypt.
  • Правоохранительные органы конфисковали сервер, на котором хранились ключи, и передали ключи антивирусным компаниям. В качестве примера можно привести CoinVault.


Случается, что оплата выкупа помогает вернуть файлы, однако нет никаких гарантий что если вы заплатите, то ваши файлы будут расшифрованы. Кроме того, этим вы поддержите бизнес-модель преступников, что сделает вас в какой-то мере ответственным за заражение компьютеров все большего числа пользователей троянцами-вымогателями.

Почему вы решили организовать инициативу ‘No More Ransom’?

Не секрет, что в последние годы троянцы-вымогатели, шифрующие данные на компьютерах жертв, стали огромной проблемой кибербезопасности. Они получили такое широкое распространение, что это вполне можно назвать эпидемией. Число пользователей, атакованных вымогателями, стремительно растет. Только в период с апреля 2015 года по март 2016 года были заражены компьютеры 718.000 пользователей. Это в 5.5 раз больше в сравнении с тем же периодом 2014-2015 годов.

Полиция не способна самостоятельно справиться с киберпреступностью и, в частности, троянцами-вымогателями. Эксперты по безопасности также не могут эффективно противостоять этим угрозам без поддержки со стороны правоохранительных органов. Эта борьба требует совместных усилий всех этих организаций. Вместе мы сделаем все возможное, чтобы разрушить созданные преступниками схемы обогащения и вернуть файлы их законным владельцам без выплаты последними значительных денежных сумм.

Есть ли в моей стране подобные инициативы?

‘No More Ransom’ международная инициатива, которая показывает ценность государственно-частного партнерства в деле борьбы с киберпреступностью. Это сотрудничество выходит за рамки государственных границ. Главная цель проекта – делиться знаниями и информировать пользователей по всему миру о том, как не допустить атак троянцев-вымогателей. Мы убеждены, что со временем сможем помочь пользователям во всем мире свести на нет ущерб, нанесенный троянцами-вымогателями. Возвращая людям доступ к их системам и данным, мы показываем им, что они могут себя защитить и не награждать преступников, выплачивая им выкуп.

На данном – начальном – этапе на портале доступно пять декрипторов/утилит по расшифровке различных типов вредоносного ПО. Все перечисленные на сайте инструменты дешифрования бесплатны и работают одинаково хорошо для всех жертв, – в какой бы точке земного шара эти пользователи ни находились.