Компьютерра - Журнал «Компьютерра» № 19 от 22 мая 2007 года

Принцип работы ransomware довольно прост, так что относительно позднее появление этого бедствия даже удивляет. На машину жертвы такая программа может попасть любым троянским способом: в виде исполняемого файла по e-mail, атакой с сайта через дыры ПО, всплывающие баннеры, скачиваемые бесплатные приложения, вроде заставок экрана и т. п., но ее дальнейшие действия отличаются от действий предшественниц. Вместо того чтобы собрать все любопытные данные владельца компьютера, установить бота-зомби или наплодить рекламных приложений, зловредная софтина ищет на винчестере файлы с заданными расширениями и зашифровывает их.

Таким образом, у пользователя остается полностью работоспособный компьютер, только вот открыть, например, незаконченную статью в Word не удастся. Впрочем, это еще мелочи, хотя и обидные. Чтобы жертва стала более сговорчивой, зашифровать могут не только документы и письма, но и ехе-файлы. К тому же на жестком диске зачастую хранится и более важная, а главное, ценная информация, за доступ к которой не жалко отдать весомую сумму. Особенно если злоумышленник использует стойкий криптоалгоритм шифрования, взломать который затруднительно или вообще практически невозможно. Поначалу, пока заражение компьютеров ransomware случалось раз в несколько месяцев, преступники использовали слабые шифры, взломать которые можно было прямым перебором. Сейчас таких дилетантских поделок остается все меньше и меньше.

Вместе со сложностью шифров растут и суммы, которые требуют злоумышленники, а атаки все чаще становятся целевыми. Хакеров интересуют компьютеры финансовых учреждений и конкретных лиц. Хотя случаев с шифрованием данных рядовых пользователей тоже хватает. Интересно, что советы экспертов для жертв таких программ в чем-то напоминают указания полиции относительно киднеппинга. Вкратце, пользователям рекомендуют прикинуть, насколько серьезными могут быть потери, если доступ не удастся восстановить, и если речь идет о весомом ущербе, то советуют по возможности затянуть переговоры со злоумышленником, например, торгуясь по e-mail. Параллельно нужно обратиться в одну из антивирусных лабораторий за анализом ситуации и разработкой решения. Правда, в полицию (и тем более милицию) звонить, наверное, необязательно. Особенно если речь идет о менее значительном происшествии, чем, скажем, парализованная работа банка. История пока не знает ни одного случая задержания и тем более осуждения автора ransomware.

Справедливости ради отметим, что если при киднеппинге велик шанс не получить живого родственника даже после уплаты выкупа, то разработчики ransomware пока всегда держали слово и, получив деньги, восстанавливали данные. Другое дело, что развитию этого криминального бизнеса во многом способствуют сами пользователи, которые зачастую готовы пожертвовать (обычно небольшой) суммой, нежели обращаться в антивирусные компании и правоохранительные органы. Хотя в организации онлайн-вымогательства есть то же уязвимое место, что в офлайне, – контакт при передаче денег.

Возможно, отсутствие юридической практики привлечения к ответственности авторов ransomware объясняется тем, что большинство таких программ создано в России и странах СНГ и рассчитано «на внутреннее пользование», что выражалось как в языке, на котором писались требования выкупа, так и в запрашиваемой валюте. Так что более опытные в расследовании киберпреступлений западные «органы» просто не успели всерьез озаботиться проблемой. Заражения ransomware в США, Великобритании, Германии и ряде других стран начали фиксироваться где-то во втором полугодии 2006-го.

Преступление без наказания

История пока не знает ни одного случая задержания и тем более осуждения автора ransomware. Писатели всех троянов-вымогателей находятся на свободе.

Первыми представителями семейства ransomware, получившими довольно широкое распространение, стали Archiveus, Troj.Ransom.A, Cryzip, Krotten, MayArchive и несколько модификаций Gpcode. Первый троянец закрывает доступ к папке «Мои документы». По данным антивирусных компаний, его автор был не самым выдающимся программистом и разместил пароль доступа в исходниках программы. В Symantec советуют для расшифровки ввести пароль «mf2lro8sw03ufvnsq034jfowr18f3cszc-20vmw» к файлу EncryptedFiles als и «kw9fjwfielaifuw-1u3fw3brue2180w3hfse2» к Demo als. Необычность этого софта заключается еще и в том, что его автор не требует выкупа. Пользователь получает сообщение, в котором говорится, что злоумышленнику не нужны деньги и он лишь хочет видеть его своим клиентом. Далее жертва получает подробные инструкции по восстановлению доступа к папкам. Но прежде чем данные будут воостановлены, потерпевшему следует приобрести на определенную сумму товаров в онлайн-аптеке. Кажется, усилиями таких горе-коммерсантов в понятие «агрессивный маркетинг» вскоре будет вкладываться несколько иной смысл.