Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Categories:

Выкуп кибервымогателям: совсем не платить иль не платить ничего?

Иногда узнаёшь какие-нибудь новости про то, что ещё какая-то большая компания стала жертвой очередного шифровальщика, и что их вынудили заплатить выкуп, или читаешь комментарии, где натыкаешься на советы типа "подумайте о том, чтобы заплатить выкуп". В такие моменты мне становится немного не по себе, потому что платить вымогателям категорически не следует - и не только потому, что они не то чтобы честным трудом зарабатывают. Видимо, пора в очередной раз высказаться, почему.

Во-первых, вы спонсируете киберпреступность.

to-pay-or-not-to-pay

"Кибернегодяи", "злоумышленники", "вымогатели", "банда киберпреступников" — чувствуете, какой оттенок у всех этих слов? Когда вы платите этим людям, вы стимулируете дальнейшую разработку зловредов-шифровальщиков. Вы даёте деньги на то, чтобы они совершенствовали свои технологии, делали их более злодейскими, чтобы они продолжали заниматься тем, чем они занимаются, — портить жизнь остальным людям и стопорить работу разных организаций (внимание! – включая медицинские).

Получается замкнутый цикл: они вас пошифровали, вы им заплатили, они пошифровали ещё больше народу. И так дальше по порочному кругу.

В сущности, есть два способа отучить их этим заниматься:

1) Всех их переловить, и мы в этом периодически помогаем, но – увы! – популяция кибер-преступников продолжает расти;
2) Сделать эту деятельность невыгодной — тогда, глядишь, они наконец найдут себе другую, нормальную работу, не наносящую ущерб остальным и не попадающую по статьи Уголовного кодекса. // Видимо, они просто не слышали о том, что программистам вообще-то неплохо платят.

И невыгодной эта деятельность станет в том случае, если жертвы перестанут платить. Вот вам и аргумент. Хорошо, вы можете возразить: "Это все хорошо, и вообще я за мир во всём мире, но у меня тут данные пошифровало, и мне бы со своими проблемами разобраться". И всё равно платить киберзлодеям не надо! Тогда слушайте дальше.

Во-вторых, данные могут и не вернуть

Договоренности со злоумышленниками всегда писаны вилами по воде — на то он и злоумышленник, что нарушает законы и договоренности. Так что тот факт, что вы ему заплатили, совсем не обязательно приведёт к тому, что он позволит расшифровать файлы.

Вспомнить тот же ExPetr/NotPetya: поскольку уникальный идентификатор пользователя там генерировался полностью рандомно, расшифровать файлы в принципе было невозможно. Этой возможности не было даже у самих злоумышленников. Сколько ни плати — ничего не выйдет. И ExPetr/NotPetya — не единственный такой случай. Злоумышленники нередко допускают ошибки в коде. И если иногда эти ошибки позволяют нам создать дешифратор, то в других случаях они, наоборот, не позволяют его сделать даже самим злоумышленникам.

Недавно вот был случай, когда эксперт по кибербезопасности публично просил группу киберпреступников поправить ошибку в их трояне-вымогателе, а то файлы портились безвозвратно. И смех и грех. В общем, когда вы решаете заплатить выкуп, никаких гарантий, что вы сможете вернуть файлы, нет. Мягко говоря.

В-третьих, шантажировать вас могут не один раз

Уже был такой случай: кибернегодяи пошифовали некую организацию, та заплатила аж 6,5 миллиона долларов выкупа, а потом спустя две недели те же злоумышленники пошифровали её ещё раз и заставили платить выкуп повторно.

Хорошо, тут дело было в том, что за две недели организация не успела залатать дыру, через которую преступники пролезли в первый раз. Но бывает и так, что мошенники, пошифровавшие и укравшие данные, просто решают потребовать выкуп ещё раз — просто так, без основания. Потому что могут — потому что они стащили ваши данные, не удалили их, когда вы заплатили в первый раз (и ведь вы об этом никак не узнаете), и могут шантажировать ещё сколько угодно раз.

А могут просто продать ваши данные конкурентам, несмотря на то, что вы заплатили — и даже не единожды. И получается, что либо организация должна заплатить ещё раз, либо она вообще просто так выкинула на ветер кругленькую сумму, потому как опять оказалась в той же ситуации, в которой была.

Единственный выход — не платить даже в первый раз. А если заплатите во второй — нет гарантии, что не придут требовать выкуп в третий, раз уж из вас получается такой стабильный источник дохода.

А что ж тогда делать-то?

Если злодеям не платить, то чего делать-то? Файлы-то пошифрованы, украдены, кибернегодяи грозят все опубликовать. Жуть что творится. Делать вот что:

Искать дешифратор. Он либо уже есть вот тут или вот тут, либо его пока ещё нет, но он может появиться позже. Мы стараемся их регулярно выпускать и обновлять — по мере того, как изучаем зловредов и ловим злоумышленников.

Поговорить с тем вендором, у кого покупали защиту. Во-первых, узнать, как так вышло, что вас пошифровало, а во-вторых, попросить помочь с расшифровкой. Может и получиться, да и вендор заинтересован в том, чтобы помочь, вы ему не чужие.

И, конечно, задуматься о смене вендора. Несмотря на внешний лоск и кажущееся однообразие защитных решений "не все стиральные порошки одинаковы" (c). Увы, сегодня одни разработчики массово навешивают развесистую клюкву и продают пустышки под видом супер-мега-искусственного интеллекта, другие тихой сапой заимствуют детект у коллег по индустрии. Ни те, ни другие не спасут от будущих кибератак, поскольку не способны предложить работающую проактивную защиту, основанную на фундаментальном технологическом развитии.

А в идеале: защищаться лучше, бэкапиться по-умному, и ловить заразу раньше, чем она натворит дел. И ни в коем случае не платить. Если никто им платить не будет, глядишь, повыведутся наконец — и всему миру будет дышаться чуточку легче.



Tags: cyber criminal, malware, technology
Subscribe

Posts from This Journal “malware” Tag

  • Рансомварное: шутки закончились.

    Сначала краткое изложение событий. 10 сентября ransomware-малвара DoppelPaymer шифрует 30 серверов больницы г.Дюссельдорфа из-за чего пропускная…

  • Королевство кривых зеркал.

    Неисповедимы пути вредоносного кода. Он как вездесущий газ заполняет собой пространство, проникая на компьютеры через любое доступное «отверстие…

  • Ай-да-карантин. Ситуация на 92 марта 2020 года.

    Мир уже третий, а где-то и в четвертый (в зависимости от географии) месяц сидит на карантине. Хочется съязвить что-то на тему «кто сидел на…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 17 comments

Posts from This Journal “malware” Tag

  • Рансомварное: шутки закончились.

    Сначала краткое изложение событий. 10 сентября ransomware-малвара DoppelPaymer шифрует 30 серверов больницы г.Дюссельдорфа из-за чего пропускная…

  • Королевство кривых зеркал.

    Неисповедимы пути вредоносного кода. Он как вездесущий газ заполняет собой пространство, проникая на компьютеры через любое доступное «отверстие…

  • Ай-да-карантин. Ситуация на 92 марта 2020 года.

    Мир уже третий, а где-то и в четвертый (в зависимости от географии) месяц сидит на карантине. Хочется съязвить что-то на тему «кто сидел на…