Спроси эксперта: Йорнт ван дер Виль рассказывает о троянах-вымогателях

Йорнт ван дер Виль – эксперт из GReAT, нашей глобальной команды исследователей и аналитиков, а также наш ведущий специалист по шифрованию и троянам-вымогателям. Он живет в Нидерландах, работает в «Лаборатории Касперского» уже два года.

В соцсетях мы предложили подписчикам задать Йорнту вопросы — все, что они хотели бы узнать о шифровании и троянах-вымогателях. Идея, похоже, понравилась читателям — вопросов накопилось столько, что мы были вынуждены разбить ответы на две части. Сегодня мы публикуем ответы Йорнта на вопросы о троянах-вымогателях, а в следующий раз — о шифровании. Итак, начнем.

Как вы думаете, станут ли трояны-вымогатели еще более серьезной угрозой и превзойдут ли другое вредоносное ПО вроде классических вирусов и обычных троянов?

Да, конечно. Одновременно появляется все больше разных зловредов и растет число атак. Эта угроза становится все опаснее с каждым днем. Во многом такие темпы роста связаны с тем, что трояны-вымогатели приносят своим создателям легкие деньги. Преступники кого-то заражают, жертва платит выкуп и получает ключи для дешифровки файлов. Мошенники почти не вступают в прямой контакт с жертвой, в отличие от авторов тех же банковских троянов, которые часто вынуждены общаться с жертвами в чате.

Как мне защититься от троянов-вымогателей?

• Всегда устанавливайте самые свежие обновления для вашего программного обеспечения.

• Не переходите по подозрительным ссылкам и не открывайте вложения, которые приходят вам в подозрительных электронных сообщениях.

• Включите расширения файлов в Windows. Тогда вы сможете отличить опасный platezh.pdf.exe от безопасного platezh.pdf.

• Не забывайте обновлять свой антивирус и убедитесь, что в настройках сканирования включены эвристические правила.

• На крайний случай всегда делайте бэкапы. Храните их в офлайн-хранилище (например, на внешнем жестком диске) или же в облаке с неограниченным контролем версий. Последнее — важный момент, поскольку, если ваши файлы окажутся зашифрованными, в таком виде они и синхронизируются с облаком. И только при наличии предыдущей версии вы сможете их восстановить.

Как защитить свои ценные файлы от программ-вымогателей: https://t.co/hVvSBaX3fJ pic.twitter.com/KqX2P9Kfcv

— Kaspersky Lab (@Kaspersky_ru) December 23, 2015

Кто больше рискует пострадать от троянов-вымогателей — обычные пользователи или компании?

Шифровальщики находят жертв везде. Иногда преступники охотятся за конкретными компаниями, но чаще всего мы обнаруживаем массовые спам-рассылки, нацеленные попросту на всех. Большие компании чаще всего отказываются платить выкуп и восстанавливают данные из резервных копий. В некоторых случаях мелкие компании охотнее переводят деньги, так как восстановить данные из бэкапа может оказаться дороже, чем заплатить выкуп.

В каких случаях можно расшифровать файлы, зашифрованные трояном-вымогателем?

Это можно сделать, если:

• Преступники пожалели о своем решении и опубликовали ключи или «мастер-ключ», как это произошло в случае TeslaCrypt.

• Правоохранительные органы конфисковали у преступников сервер с ключами и обнародовали их. Так, в прошлом году мы создали утилиту для жертв CoinVault на базе файлов, полученных у полиции Нидерландов.

• Преступники допустили ошибку при создании зловреда. Так было найдено лекарство от вымогателя «Петя» и шифровальщика CryptXXX. К сожалению, я не могу рассказать вам, какую именно ошибку совершили мошенники, а то они усвоят урок и не повторят таких ошибок в будущем. На самом деле реализовать качественное шифрование сложно. Если вы хотите более подробно разобраться в этом вопросе, обратите внимание на упражнения по криптографии от Matasano Security.

Иногда файлы можно вернуть, заплатив выкуп, но никаких гарантий нет. Кроме того, каждый такой платеж поддерживает бизнес преступников и побуждает их заражать системы других людей.

В инструкции по расшифровке файлов CryptXXX вы сказали, что для работы утилите нужны оба файла — незашифрованный оригинал и его зашифрованная версия. Зачем тогда вообще нужна утилита? Если бы у меня сохранились оригинальные файлы, ваше ПО мне было бы не нужно…

Хороший вопрос. Спасибо, что вы его задали. В будущем нам нужно будет подробнее все объяснять. Троян-вымогатель шифрует все ваши файлы с помощью одного и того же ключа. Допустим, у вас пострадали 1000 файлов, но при этом где-то сохранилась оригинальная версия хотя бы одного из них (например, вы отправляли кому-то картинку по электронной почте). В этом случае наша утилита сможет извлечь ключ шифрования с помощью этого самого одного файла. И тогда мы расшифруем оставшиеся 999. Тем не менее нам все-таки нужен этот один-единственный файл — без него ничего бы не вышло.

Внимание! Мы сделали дешифратор для бяки под именем #CryptXXX. Не дадим вымогателям шансов: https://t.co/pyDwXi9aEQ pic.twitter.com/pmBuaaxzPN

— Kaspersky Lab (@Kaspersky_ru) April 25, 2016

Шифровальщики — это единственный вид троянов-вымогателей?

Нет, встречаются также зловреды, которые блокируют компьютеры жертв. От них сравнительно легко избавиться, поэтому сейчас они не особо популярны. Если вы хотите побольше узнать о вымогателях-блокерах и способах защиты от них, обратите внимание на этот пост у нас на блоге.

Если судить по публикациям в международной прессе, борьба с вымогателями напоминает игру в кошки-мышки. Вы находите решение, преступники придумывают способы обойти его — и так каждый раз. Дела на самом деле обстоят так?

Не совсем. Наша технология «Мониторинг системы» следит за тем, как ведут себя запущенные процессы. Поэтому наш компонент способен засечь даже неизвестных ранее троянов-вымогателей. Да, очень редко попадаются экземпляры, которые ускользают от «Мониторинга системы». Тогда мы регистрируем новый поведенческий шаблон, и компонент учится противостоять новому типу атаки. Но — еще раз — это происходит крайне редко.

Преступники требуют выкуп в биткойнах, так как эту валюту сложно отследить. Это действительно так? Можно ли найти мошенников с помощью перевода?

На самом деле отследить перевод в биткойнах несложно: все платежи записываются в общедоступном журнале транзакций, блокчейне, на котором основан Bitcoin. Так уж устроена эта система: вы можете видеть любой перевод, но не знаете, кто именно его получает. Таким образом, правоохранительные органы могут отследить транзакцию до электронного кошелька, но не узнают, кому он принадлежит.

Наш эксперт Виталий @vkamluk Камлюк рассказывает, как Интерпол ловит киберпреступников: https://t.co/sYSkN7WB19 pic.twitter.com/nwrDOw6FP8

— Kaspersky Lab (@Kaspersky_ru) June 25, 2015

Дело усложнилось с появлением Bitcoin-миксеров — их создали специально для того, чтобы не дать посторонним отследить перевод. Представьте, что вы загружаете в систему несколько биткойнов, так же делают и какие-то другие люди, все эти биткойны много раз проходят через разные руки, а потом перемешиваются, и вам выдается та же сумма, но в совершенно других биткойнах.

К примеру, я пострадал от трояна-вымогателя и хочу отправить выкуп в биткойнах. Я перевожу деньги на счет преступника, и они попадают в миксер. Мой биткойн меняется местами с чужим биткойном, и так до тех пор, пока я не перестану понимать, за каким именно биткойном мне нужно следить. Как вы, вероятно, догадываетесь, запутаться легко.

В Google можно найти много исследований, посвященных этому вопросу. Практика показывает, что в некоторых случаях отследить платеж все-таки возможно. Если вкратце, то иногда специалистам удается понять, куда именно ушли деньги, но даже в этом случае правоохранительным органам нужно уговорить сервис обмена биткойнов выдать данные владельца кошелька.

Сколько лет ушло на то, чтобы обнаружить CoinVault и его создателей?

Все началось с того, что Барт из Panda Security написал в «Твиттере» о двух новых образцах CoinVault. Как оказалось, в руки коллегам попался не CoinVault, но родственное ему вредоносное ПО. Мы решили написать пост о том, как развивался этот зловред. Когда текст был окончен на 90%, мы отправили его в полицию Нидерландов.

Decrypting #CoinVault ransomware https://t.co/AmZli3XWT8
Joint operation NHTCU & Kaspersky @jorntvdw & @spontiroli https://t.co/7aQ16Sz9d0

— Dmitry Bestuzhev (@dimitribest) April 13, 2015

По ходу написания поста мы обнаружили двух возможных подозреваемых, о чем также сообщили в полицию. От твита Барта и до нашего открытия прошел месяц, но мы, конечно, занимались не одним только CoinVault и блог-постом. После публикации поста полиция Нидерландов еще где-то полгода вела это дело и тщательно собирала доказательства. В сентябре прошлого года мошенников наконец-то арестовали.

Сколько денег преступники зарабатывают на троянах-вымогателях?

Хороший вопрос, вот только точно ответить на него нельзя. О конкретных суммах можно говорить, только если нам удается отследить все переводы биткойнов на конкретный кошелек. Или если полиция конфискует командный сервер, который хранит информацию о платежах.
Но можно примерно прикинуть их возможный заработок. Представим, что преступники смогли заразить 250 тысяч человек (примерно так и бывает, когда речь о больших кампаниях). Даже если они просят всего $200 за ключ (хотя средняя цена — $400) и деньги им отправит хотя бы 1% жертв, они уже заработают где-то полмиллиона долларов.

Может ли зараженный компьютер распространить трояна-вымогателя по всей локальной сети, на устройства с той же операционной системой? А может, один и тот же троянец способен атаковать разные операционные системы?

Ответ на ваш первый вопрос — да. Если вымогатель обладает навыками компьютерного червя, то он может распространяться по сети, как, например, это делают ZCryptor и SamSam.

Что касается вашего второго вопроса — то снова да. Существуют вымогатели, целью которых являются веб-сервера. К примеру, вымогатель ищет сервер с уязвимой системой управления контентом (CMS), написанной на языке PHP. Сначала он заражает ПК на Windows с таким сервером, потом — на Linux, но тоже с PHP-сервером и так далее. В общем, да, это возможно, если зловред сделали кросс-платформенным.

В следующем посте мы опубликуем ответы Йорнта на вопросы о шифровании. Оставайтесь с нами!