Компьютерра - Журнал «Компьютерра» № 19 от 22 мая 2007 года
В тех же ситуациях, когда «забывчивость» компьютерных систем не удается объяснить естественными причинами, прибегают к более радикальным мерам. Яркой иллюстрацией чему стал грандиозный скандал с откровениями некой Деборы Пэлфри, «мадам столичного округа Колумбия», многие годы содержавшей VIP-службу эскорта и массажа (попросту говоря, публичный дом) для оказания сексуальных услуг политической элите Вашингтона. Когда из учетных записей Мадам стало известно, что среди ее постоянных клиентов, регулярно заказывавших на дом «девушек-массажисток», был и столь заметный деятель, как Рэндал Тобиас (Randall Tobias), занимавший высокие посты заместителя госсекретаря и главы USAID, правительственного Агентства по иностранному развитию, то без каких-либо объяснений последовала спешная отставка чиновника. А уже два дня спустя новое руководство USAID и Госдепартамент разослали сотрудникам инструкцию-циркуляр с требованием «срочно забыть все». То есть изъять все изображения бывшего босса, упоминания и ссылки на него на веб-сайтах, на стенах в приемных, в печатных публикациях, брошюрах, бюллетенях, PowerPoint-презентациях и тому подобных документах. Учитывая то, сколь высокий пост занимал Тобиас, можно вообразить, какой объем работы добавила сотрудникам госаппарата новая директива руководства.
Если в США государство озабочено тем, чтобы научить компьютеры и чиновников «все забывать», то в Германии сейчас налицо другая тенденция – попытаться максимально восстановить почти утраченные материалы недавней истории. Гигантский архив службы безопасности ГДР, в народе известной как «Штази», из-за стремительного развала государства не был уничтожен – поставленные на это дело люди успели лишь изорвать бумаги на множество клочков и рассовать их в шестнадцать с лишним тысяч мешков. О конкурсе на лучшую программу для восстановления архива Штази на страницах «КТ» рассказывалось в 2003 году (#504—505). Теперь же выигравший конкурс Фраунгоферовский институт в Берлине взялся восстановить первую партию из четырехсот мешков. На пилотный проект отведено два года. Дальше работа пойдет быстрее, а в целом предстоит восстановить около 45 млн. листов, каждый из которых разорван на фрагменты числом от 8 до 30. В Германии, похоже, не хотят забывать свою историю.
Забывчивость действительно свойственна всем людям. Однако опыт показывает, что стать достойным человеком можно лишь при условии, если помнить свои ошибки и уметь нести за них ответственность. То же самое, очевидно, относится и к обществу в целом.
АНАЛИЗЫ: Криптовымогатели
Автор: Родион Насакин
Казалось бы, в сфере вредоносного софта уже трудно изобрести что-нибудь оригинальное. Мир вирусов, червей, троянцев, шпионского ПО и adware многолик и разнообразен. Однако в 2005 году вирусописателям вновь удалось удивить антивирусные компании и свои жертвы, выпустив первые образцы своих «работ» совершенно нового жанра.
Приложения, за которыми закрепилось название ransomware (от англ. ransom – выкуп), проникнув на компьютер, лишали пользователя доступа к его данным и начинали требовать выкуп. Поначалу речь шла о единичных экспериментальных разработках маргиналов от программирования. Но годом позже ransomware стали штамповать в промышленных масштабах и привлекли пристальное внимание специалистов по информационной безопасности и прессы.
Технология шантажаШкольники-дилетанты
Уже есть первые анекдотичные примеры недоработок среди ransomware. Например, троянец Schoolboys, авторы которого в файле, содержащем их требования, написали сумму выкупа, но забыли упомянуть реквизиты, по которым нужно перевести деньги
Принцип работы ransomware довольно прост, так что относительно позднее появление этого бедствия даже удивляет. На машину жертвы такая программа может попасть любым троянским способом: в виде исполняемого файла по e-mail, атакой с сайта через дыры ПО, всплывающие баннеры, скачиваемые бесплатные приложения, вроде заставок экрана и т. п., но ее дальнейшие действия отличаются от действий предшественниц. Вместо того чтобы собрать все любопытные данные владельца компьютера, установить бота-зомби или наплодить рекламных приложений, зловредная софтина ищет на винчестере файлы с заданными расширениями и зашифровывает их.
Таким образом, у пользователя остается полностью работоспособный компьютер, только вот открыть, например, незаконченную статью в Word не удастся. Впрочем, это еще мелочи, хотя и обидные. Чтобы жертва стала более сговорчивой, зашифровать могут не только документы и письма, но и ехе-файлы. К тому же на жестком диске зачастую хранится и более важная, а главное, ценная информация, за доступ к которой не жалко отдать весомую сумму. Особенно если злоумышленник использует стойкий криптоалгоритм шифрования, взломать который затруднительно или вообще практически невозможно. Поначалу, пока заражение компьютеров ransomware случалось раз в несколько месяцев, преступники использовали слабые шифры, взломать которые можно было прямым перебором. Сейчас таких дилетантских поделок остается все меньше и меньше.
Вместе со сложностью шифров растут и суммы, которые требуют злоумышленники, а атаки все чаще становятся целевыми. Хакеров интересуют компьютеры финансовых учреждений и конкретных лиц. Хотя случаев с шифрованием данных рядовых пользователей тоже хватает. Интересно, что советы экспертов для жертв таких программ в чем-то напоминают указания полиции относительно киднеппинга. Вкратце, пользователям рекомендуют прикинуть, насколько серьезными могут быть потери, если доступ не удастся восстановить, и если речь идет о весомом ущербе, то советуют по возможности затянуть переговоры со злоумышленником, например, торгуясь по e-mail. Параллельно нужно обратиться в одну из антивирусных лабораторий за анализом ситуации и разработкой решения. Правда, в полицию (и тем более милицию) звонить, наверное, необязательно. Особенно если речь идет о менее значительном происшествии, чем, скажем, парализованная работа банка. История пока не знает ни одного случая задержания и тем более осуждения автора ransomware.
Справедливости ради отметим, что если при киднеппинге велик шанс не получить живого родственника даже после уплаты выкупа, то разработчики ransomware пока всегда держали слово и, получив деньги, восстанавливали данные. Другое дело, что развитию этого криминального бизнеса во многом способствуют сами пользователи, которые зачастую готовы пожертвовать (обычно небольшой) суммой, нежели обращаться в антивирусные компании и правоохранительные органы. Хотя в организации онлайн-вымогательства есть то же уязвимое место, что в офлайне, – контакт при передаче денег.
Возможно, отсутствие юридической практики привлечения к ответственности авторов ransomware объясняется тем, что большинство таких программ создано в России и странах СНГ и рассчитано «на внутреннее пользование», что выражалось как в языке, на котором писались требования выкупа, так и в запрашиваемой валюте. Так что более опытные в расследовании киберпреступлений западные «органы» просто не успели всерьез озаботиться проблемой. Заражения ransomware в США, Великобритании, Германии и ряде других стран начали фиксироваться где-то во втором полугодии 2006-го.
Веселая семейкаПреступление без наказания
История пока не знает ни одного случая задержания и тем более осуждения автора ransomware. Писатели всех троянов-вымогателей находятся на свободе.
Первыми представителями семейства ransomware, получившими довольно широкое распространение, стали Archiveus, Troj.Ransom.A, Cryzip, Krotten, MayArchive и несколько модификаций Gpcode. Первый троянец закрывает доступ к папке «Мои документы». По данным антивирусных компаний, его автор был не самым выдающимся программистом и разместил пароль доступа в исходниках программы. В Symantec советуют для расшифровки ввести пароль «mf2lro8sw03ufvnsq034jfowr18f3cszc-20vmw» к файлу EncryptedFiles als и «kw9fjwfielaifuw-1u3fw3brue2180w3hfse2» к Demo als. Необычность этого софта заключается еще и в том, что его автор не требует выкупа. Пользователь получает сообщение, в котором говорится, что злоумышленнику не нужны деньги и он лишь хочет видеть его своим клиентом. Далее жертва получает подробные инструкции по восстановлению доступа к папкам. Но прежде чем данные будут воостановлены, потерпевшему следует приобрести на определенную сумму товаров в онлайн-аптеке. Кажется, усилиями таких горе-коммерсантов в понятие «агрессивный маркетинг» вскоре будет вкладываться несколько иной смысл.
Troj.Ransom.A запомнился как первое приложение, которое помимо шифрования прибегает к угрозам, сообщая пользователю, что каждые полчаса с жесткого диска будет удаляться по одному файлу до тех пор, пока жертва не переведет деньги ($10,99).
Параллельно программа радовала пользователя порнографическими картинками, а при попытке закрыть соответствующий процесс нажатием Ctrl+Alt+Del бросала презрительно-насмешливые реплики. Преступник попался не жадный и довольствовался скромными 11 долларами, которые ему почему-то было удобнее получать не на аккаунт в одной из платежных онлайн-систем, а по Western Union. Обычно разработчики ransomware требуют несколько сотен баксов за «освобождение» данных. Кстати, автор Troj.Ransom.A – человек в каком-то смысле ответственный, и поскольку сам не уверен в том, что его вредоносный софт работает корректно, предлагает заплатившим жертвам связаться с ним по e-mail, если у них возникнут проблемы с удалением троянца.