Троянская война - «Новости Банков»

8-02-2016, 09:01

У вас есть шанс выиграть войну с троянцами

Вредоносные программы-вымогатели, блокирующие компьютер и шифрующие данные пользователя, становятся все опаснее и требуют от своих жертв все больших сумм. Банки.ру разбирался в разновидностях троянцев-вымогателей и в том, как от них защититься.

ФБР против контрафакта

Выглядит это так: только что вы беззаботно листали интернет-сайты, а теперь ваш экран заполнен угрозами и требованиями уплаты выкупа за ваши файлы и за возможность работы с компьютером. Сделать ничего не получается – никакие иконки и меню недоступны, после перезагрузки компьютер показывает вам все ту же картинку вместо рабочего стола.

Это работа троянца-вымогателя, представителя самого, пожалуй, быстро развивающегося семейства вредоносных программ. Такие программы очень привлекают злоумышленников из-за простоты бизнес-модели. Если вредоносное программное обеспечение других видов дает владельцу возможность продать некую услугу (например, DDoS-атаку на какой-либо интернет-ресурс) или товар (краденые данные), то вымогатели напрямую приносят деньги, без лишних операций. Развитие платежных систем сделало сбор выкупа быстрым и безопасным делом.

Тактика вымогателей основана на неосведомленности пользователя в вопросах информационной безопасности. Текст на странице вымогателя призван запугать жертву. Троянец нахально обвиняет пользователя компьютера в использовании контрафактного программного обеспечения или даже в просмотре и хранении детской порнографии. Также для устрашения владелец троянца ставит на видное место эмблему серьезного силового агентства – например, ФБР.

«Подцепить» такого троянца можно несколькими способами, тут они не сильно отличаются от любого другого вредоносного программного обеспечения. Опишем наиболее распространенные.

Эксплуатация уязвимостей браузера. Уязвимости в популярных веб-браузерах – очень ликвидный товар на черном рынке, их продают за десятки и сотни тысяч долларов. Получив описание уязвимости, хакер пишет программку-эксплойт, предназначенную для заражения компьютера-жертвы через уязвимость.

Эксплойты для разных уязвимостей разных браузеров объединяются в наборы (эксплойт-киты), которые размещаются на различных сайтах. Это могут быть взломанные популярные сайты или специально созданные сайты, на которых жертвы заманиваются через поисковые системы или баннерные сети. Если ваш компьютер не защищен надежным антивирусным пакетом класса Internet Security, для заражения достаточно зайти на такой сайт или на сайт с баннером, ведущим на зараженный сайт.

Вредоносный спам. Злоумышленники рассылают миллионы писем, текст которых призван заинтересовать большинство получателей. Письмо может быть похоже на какое-либо официальное уведомление, например, от суда или от налоговой инспекции, претендовать на личную переписку или даже обещать интимные фотографии, отправленные жертве якобы по ошибке. Во всех случаях от получателя требуется открыть приложенный файл, нередко заархивированный.

Запущенный файл, а это в большинстве случаев загрузочный троянец, сразу же полезет в Интернет, скачает оттуда вредоносную программу и запустит ее. Этого более чем достаточно для заражения.

Целевая атака. Многие современные вымогатели – дорогие и совершенные хакерские инструменты, и по мелочам их владельцы не размениваются. Целями становятся организации, и их заражение подготавливается очень тщательно: специально под цель составляются фишинговые письма, заражаются сайты, часто посещаемые сотрудниками целевой компании, подкупаются низовые сотрудники.

Блокирует, но не вредит

Еще несколько лет назад, когда вымогатели были примитивными блокировщиками, заражение таким троянцем ничем, кроме траты времени, не грозило. Троянец завершал процесс рабочего стола, закрывал весь экран своей страницей и прописывал себя в автозагрузку. Помимо обычных угроз уголовного преследования, блокировщики могли пугать и удалением всего содержимого жесткого диска через несколько часов или дней и отсылкой якобы найденного детского порно в полицию.

Эти троянцы требовали со своих жертв относительно скромные суммы – от 500 рублей до 100 долларов. Деньги обычно нужно было заплатить, отправив СМС-сообщение на короткий номер (код для разблокировки отправлялся обратной СМС) или же напрямую пополнив указанный мобильный номер через терминал (код якобы содержался на чеке терминала). Иногда платить надо было на электронный кошелек. В большинстве случаев жертва никакого кода не получала, да и платить было не за что. Справиться с этим зверем не составляло труда – достаточно загрузить Windows в безопасном режиме и вычистить троянца из автозагрузки. Правда, наиболее хитроумные перезаписывали своими копиями некоторые системные файлы, что несколько затрудняло восстановление.

Такого рода вымогатели встречаются и сейчас, хотя с технической точки зрения давно уже устарели. Им на смену пришли новые троянцы, не просто блокирующие компьютер, но посягающие на данные, принадлежащие жертве.

Семейство шифровальщиков

Более современные вымогатели-шифровальщики представляют собой очень серьезную угрозу, так как при заражении шифруют часть файлов, расположенных на жестком диске компьютера жертвы. В случае личного ПК под ударом могут оказаться папки с рабочими документами или, например, личный фотоархив. Если же атакована организация, компьютер главного бухгалтера может стать очень ценной добычей, за которую компания заплатит солидный выкуп.

Шифровальщики уже обходятся без запугивания и ложных угроз. В их арсенале угроза настоящая – жертва лишается ценных файлов. Удаление шифровальщика с компьютера уже не помогает, файлы остаются зашифрованными.

Вопрос выкупа также обставлен более серьезно: и денег просят больше, и методы оплаты более безопасные для злоумышленников – например, многие современные троянцы предписывают платить выкуп в криптовалюте на указанный кошелек. При должной осторожности злоумышленников проследить маршрут денег от этого кошелька практически невозможно. Пересылка жертве ключа для расшифровки файлов, если таковая предусмотрена, производится через анонимную сеть Tor.

Современные шифровальщики куда чаще присылают ключ для разблокировки компьютера и файлов, нежели их предки-блокировщики, хоть и не всегда. Это можно объяснить как усовершенствованием методов злоумышленников – ключ пересылается вполне безопасно, без «засвечивания» источника, – так и общим развитием рынка шифрорэкета. Чтобы заплатить выкуп в 200 и более долларов, жертва должна быть уверена, что это ей поможет, и хакеры стремятся внушить ей эту уверенность.

Каждая жертва вымогателя-шифровальщика должна отдавать себе отчет, что, выплачивая выкуп, она инвестирует в индустрию шифрорэкета и добавляет проблем другим пользователям, а в будущем и себе. Кроме того, в некоторых случаях можно восстановить свои файлы бесплатно.

Шифровальщики не пройдут

Есть несколько методов защиты от вымогателей. Перечислим их в порядке возрастания надежности.

Утилиты для удаления троянцев-вымогателей и расшифровки диска. Многие компании, работающие в сфере информационной безопасности, уделяют много внимания шифровымогателям, анализируя каждый попавший в их руки образец, пытаясь взломать алгоритм шифрования. Если это удается, компания создает и выкладывает в открытый доступ генератор ключей дешифрования или утилиту для расшифровки содержимого диска. У всех крупных антивирусных вендоров на их сайте можно найти такую бесплатную программу.

Увы, далеко не для каждого шифровальщика есть такая утилита. Кроме того, они не универсальны и помогают против определенных версий. Поэтому, «подцепив» троянца-вымогателя, следует хорошенько порыскать в Интернете, чтобы определить, какой же все-таки зловред вам попался, и найти подходящую утилиту. При этом некоторые вымогатели тщательно подделывают свою блокировочную страницу под страницы вымогателей других семейств, дабы запутать жертву и затруднить удаление и расшифровку.

Защитное программное обеспечение класса Internet Security. Лучший способ защититься от атак из Интернета – использовать специализированное ПО. Никакой шифровальщик не доберется до ваших файлов, если не сможет заразить компьютер. Полной гарантии, конечно, защитные пакеты не дают, но шансы пострадать снижаются очень сильно, даже если в вашем браузере или в операционной системе имеются известные хакерам уязвимости.

Своевременное резервное копирование. Как гласит знаменитая пословица, есть два типа людей: те, которые делают резервные копии, и которые еще не делают. И правда, это практически панацея от всех угроз файлам. Главное, копировать важные файлы достаточно часто и правильно (то есть безопасно) хранить их. Тогда, что бы ни случилось c вашим компьютером или операционной системой, файлы не пострадают.

Михаил ДЬЯКОВ,

У вас есть шанс выиграть войну с троянцами Вредоносные программы-вымогатели, блокирующие компьютер и шифрующие данные пользователя, становятся все опаснее и требуют от своих жертв все больших сумм. Банки.ру разбирался в разновидностях троянцев-вымогателей и в том, как от них защититься. ФБР против контрафакта Выглядит это так: только что вы беззаботно листали интернет-сайты, а теперь ваш экран заполнен угрозами и требованиями уплаты выкупа за ваши файлы и за возможность работы с компьютером. Сделать ничего не получается – никакие иконки и меню недоступны, после перезагрузки компьютер показывает вам все ту же картинку вместо рабочего стола. Это работа троянца-вымогателя, представителя самого, пожалуй, быстро развивающегося семейства вредоносных программ. Такие программы очень привлекают злоумышленников из-за простоты бизнес-модели. Если вредоносное программное обеспечение других видов дает владельцу возможность продать некую услугу (например, DDoS-атаку на какой-либо интернет-ресурс) или товар (краденые данные), то вымогатели напрямую приносят деньги, без лишних операций. Развитие платежных систем сделало сбор выкупа быстрым и безопасным делом. Тактика вымогателей основана на неосведомленности пользователя в вопросах информационной безопасности. Текст на странице вымогателя призван запугать жертву. Троянец нахально обвиняет пользователя компьютера в использовании контрафактного программного обеспечения или даже в просмотре и хранении детской порнографии. Также для устрашения владелец троянца ставит на видное место эмблему серьезного силового агентства – например, ФБР. «Подцепить» такого троянца можно несколькими способами, тут они не сильно отличаются от любого другого вредоносного программного обеспечения. Опишем наиболее распространенные. Эксплуатация уязвимостей браузера. Уязвимости в популярных веб-браузерах – очень ликвидный товар на черном рынке, их продают за десятки и сотни тысяч долларов. Получив описание уязвимости, хакер пишет программку-эксплойт, предназначенную для заражения компьютера-жертвы через уязвимость. Эксплойты для разных уязвимостей разных браузеров объединяются в наборы (эксплойт-киты), которые размещаются на различных сайтах. Это могут быть взломанные популярные сайты или специально созданные сайты, на которых жертвы заманиваются через поисковые системы или баннерные сети. Если ваш компьютер не защищен надежным антивирусным пакетом класса Internet Security, для заражения достаточно зайти на такой сайт или на сайт с баннером, ведущим на зараженный сайт. Вредоносный спам. Злоумышленники рассылают миллионы писем, текст которых призван заинтересовать большинство получателей. Письмо может быть похоже на какое-либо официальное уведомление, например, от суда или от налоговой инспекции, претендовать на личную переписку или даже обещать интимные фотографии, отправленные жертве якобы по ошибке. Во всех случаях от получателя требуется открыть приложенный файл, нередко заархивированный. Запущенный файл, а это в большинстве случаев загрузочный троянец, сразу же полезет в Интернет, скачает оттуда вредоносную программу и запустит ее. Этого более чем достаточно для заражения. Целевая атака. Многие современные вымогатели – дорогие и совершенные хакерские инструменты, и по мелочам их владельцы не размениваются. Целями становятся организации, и их заражение подготавливается очень тщательно: специально под цель составляются фишинговые письма, заражаются сайты, часто посещаемые сотрудниками целевой компании, подкупаются низовые сотрудники. Блокирует, но не вредит Еще несколько лет назад, когда вымогатели были примитивными блокировщиками, заражение таким троянцем ничем, кроме траты времени, не грозило. Троянец завершал процесс рабочего стола, закрывал весь экран своей страницей и прописывал себя в автозагрузку. Помимо обычных угроз уголовного преследования, блокировщики могли пугать и удалением всего содержимого жесткого диска через несколько часов или дней и отсылкой якобы найденного детского порно в полицию. Эти троянцы требовали со своих жертв относительно скромные суммы – от 500 рублей до 100 долларов. Деньги обычно нужно было заплатить, отправив СМС-сообщение на короткий номер (код для разблокировки отправлялся обратной СМС) или же напрямую пополнив указанный мобильный номер через терминал (код якобы содержался на чеке терминала). Иногда платить надо было на электронный кошелек. В большинстве случаев жертва никакого кода не получала, да и платить было не за что. Справиться с этим зверем не составляло труда – достаточно загрузить Windows в безопасном режиме и вычистить троянца из автозагрузки. Правда, наиболее хитроумные перезаписывали своими копиями некоторые системные файлы, что несколько затрудняло восстановление. Такого рода вымогатели встречаются и сейчас, хотя с технической точки зрения давно уже устарели. Им на смену пришли новые троянцы, не просто блокирующие компьютер, но посягающие на данные, принадлежащие жертве. Семейство шифровальщиков Более современные вымогатели-шифровальщики представляют собой очень серьезную угрозу, так как при заражении шифруют часть файлов, расположенных на жестком диске компьютера жертвы. В случае личного ПК под ударом могут оказаться папки с рабочими документами или, например, личный фотоархив. Если же атакована организация, компьютер главного бухгалтера может стать очень ценной добычей, за которую компания заплатит солидный выкуп. Шифровальщики уже обходятся без запугивания и ложных угроз. В их арсенале угроза настоящая – жертва лишается ценных файлов. Удаление шифровальщика с компьютера уже не помогает, файлы остаются зашифрованными. Вопрос выкупа также обставлен более серьезно: и денег просят больше, и методы оплаты более безопасные для злоумышленников – например, многие современные троянцы предписывают платить выкуп в криптовалюте на указанный кошелек. При должной осторожности злоумышленников проследить маршрут денег от этого кошелька практически невозможно. Пересылка жертве ключа для расшифровки файлов, если таковая предусмотрена, производится через анонимную сеть Tor. Современные шифровальщики куда чаще присылают ключ для разблокировки компьютера и файлов, нежели их предки-блокировщики, хоть и не всегда. Это можно объяснить как усовершенствованием методов злоумышленников – ключ пересылается вполне безопасно, без «засвечивания» источника, – так и общим развитием рынка шифрорэкета. Чтобы заплатить выкуп в 200 и более долларов, жертва должна быть уверена, что это ей поможет, и хакеры стремятся внушить ей эту уверенность. Каждая жертва вымогателя-шифровальщика должна отдавать себе отчет, что, выплачивая выкуп, она инвестирует в индустрию шифрорэкета и добавляет проблем другим пользователям, а в будущем и себе. Кроме того, в некоторых случаях можно восстановить свои файлы бесплатно. Шифровальщики не пройдут Есть несколько методов защиты от вымогателей. Перечислим их в порядке возрастания надежности. Утилиты для удаления троянцев-вымогателей и расшифровки диска. Многие компании, работающие в сфере информационной безопасности, уделяют много внимания шифровымогателям, анализируя каждый попавший в их руки образец, пытаясь взломать алгоритм шифрования. Если это удается, компания создает и выкладывает в открытый доступ генератор ключей дешифрования или утилиту для расшифровки содержимого диска. У всех крупных антивирусных вендоров на их сайте можно найти такую бесплатную программу. Увы, далеко не для каждого шифровальщика есть такая утилита. Кроме того, они не универсальны и помогают против определенных версий. Поэтому, «подцепив» троянца-вымогателя, следует хорошенько порыскать в Интернете, чтобы определить, какой же все-таки зловред вам попался, и найти подходящую утилиту. При этом некоторые вымогатели тщательно подделывают свою блокировочную страницу под страницы вымогателей других семейств, дабы запутать жертву и затруднить удаление и расшифровку. Защитное программное обеспечение класса Internet Security. Лучший способ защититься от атак из Интернета – использовать специализированное ПО. Никакой шифровальщик не доберется до ваших файлов, если не сможет заразить компьютер. Полной гарантии, конечно, защитные пакеты не дают, но шансы пострадать снижаются очень сильно, даже если в вашем браузере или в операционной системе имеются известные хакерам уязвимости. Своевременное резервное копирование. Как гласит знаменитая пословица, есть два типа людей: те, которые делают резервные копии, и которые еще не делают. И правда, это практически панацея от всех угроз файлам. Главное, копировать важные файлы достаточно часто и правильно (то есть безопасно) хранить их. Тогда, что бы ни случилось c вашим компьютером или операционной системой, файлы не пострадают. Михаил ДЬЯКОВ,