Вирусы-шифровальщики. Мифы и реальность. Заключение.

История о «великой» конторе, которая «умеет ломать» современные алгоритмы шифрования.

Как мы с вами заметили из предыдущей заметки «Как же удаётся расшифровать зашифрованные данные?», восстановить зашифрованные данные после атак вирусов-шифровальщиков, является крайне сложной задачей и зачастую нет возможности восстановить данные. Исключения бывают только с базами 1С и Mssql. Это связанно в основном с тем, что шифровальщики не шифруют большие файлы целиком. Таким образом, есть технические возможности восстановить базы данных 1С и Mssql. Однако, с обычными файлами так не работает. Итак, как же есть компании и исполнители, которые умеют расшифровывать данные, когда никто в мире этого не может сделать?

Вирусы-шифровальщики, представляют достаточно серьёзную угрозу, уже в течении не одного года. Из предыдущих статей, мы с вами познакомились с некоторыми программами-вымогателями, которые, используя алгоритмы шифрования блокируют пользовательские данные. Угроза в современных вирусах-шифровальщиков заключается в том, что они используют стойкие алгоритмы шифрования и всячески повреждают теневые и резервные копии. При этом, ключи для расшифровки, зачастую хранятся на серверах злоумышленников, а связь между заражёнными устройствами и управляющими серверами, осуществляется по защищённым каналам связи с использованием современных методов шифрования. Таким образом, как мы обсуждали раннее, единственный способ получить данные без выплаты выкупа злоумышленникам, это найти уязвимые места в самом шифраторе, понять принцип его работы, оценить нанесённый урон, провести анализ затронутых данных и уже исходя из этого, выработать алгоритм дальнейших действий. Не стоит забывать и то, что есть такие вирусы-шифровальщики, которые не предполагают восстановление/расшифровку данных в своём алгоритме работы. То есть, их цель – нанесение массового ущерба. Стоит вспомнить вирус-шифровальщик Petya (также известен как Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye). Либо, стоит вспомнить нашумевший вирус-шифратор WannaCry (также известен как WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor). Примечательно, что алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован был с ошибкой. Это делало выплату выкупа злоумышленникам WannaCry бессмысленным, поскольку индивидуальные ключи в любом случае не могли быть присланы, а файлы так и останутся зашифрованными. Как и писал раннее, шифраторы зачастую уничтожают теневые копии и перезаписывают данные на заражённых устройствах. Одна из особенностей вирусов-шифровальщиков заключается в том, что подобные вредоносные программы могут запускаться в системе даже без прав администратора. 

Как упоминал раннее в данной статье, хотел бы предостеречь людей от контор/исполнителей, которые позиционируют себя специалистами по расшифровке данных, а на самом деле, являются частью мошеннических схем злоумышленников или в лучшем случае, посредниками между злоумышленниками и пострадавшими от вирусов-шифровальщиков. На написание данной статьи, меня подтолкнуло постоянное непонимание обращающихся ко мне пострадавших от шифраторов, которые рассчитывают, что им смогут со сто процентной гарантией восстановить данные. Со своей стороны, хочу поднять данный вопрос и уберечь здравомыслящих людей от ошибок и неправильных действий. 

Нередко бывают ситуации, когда невозможно помочь в расшифровке файлов и тогда, часто можно услышать в ответ такие слова:  

• «А вот в той конторе, умеют расшифровывать. Мне даже в течении часа, прислали уже всю расшифрованную базу данных. А почему вы говорите, что не можете помочь?».
•  «Я имею опыт с шифраторами уже не первый год. Вот как-то мне расшифровали данные, но они были частично повреждены после расшифровки. Так вот там декодеры мне потом всё поправили. Там был штат декодеров-специалистов».
•  «Плохой вы спец, раз другие специалисты могут расшифровать наши данные после шифратора, а вы нет».
• «Всё что зашифровано шифраторами, можно расшифровать. Просто антивирусные компании не хотят этим заниматься, так как должны делать это бесплатно. Вот и невыгодно им это, поэтому они и придумывают отговорки, что якобы нельзя расшифровать данные».

Множество подобных высказываний, указывает на то, что многие пострадавшие от вирусов-шифровальщиков, не понимают основных механизмов работы вируса-шифровальщика. Чтобы разобраться в данном вопросе, давайте смоделируем с вами следующую ситуацию. Вы, читаете данную статью, потому что ваши файлы, пострадали от вируса-шифровальщика. Данные очень важные для вас, это – семейный альбом за всю жизнь, база данных, номера телефонов… Есть два основных варианта, как можно поступить.

1. Файлы очень важны, и вы готовы восстановить их любой ценой и способом.
2. Файлы очень важны. Однако, вы не намерены платить злоумышленникам выкуп и готовы восстановить любым доступным способом свои данные.

В первом случае, скорее всего, вы попробуете сразу связаться со злоумышленниками, узнать у них цену и оплатив выкуп, получить свои файлы обратно… Однако, не всегда злоумышленники после выкупа, высылают дешифратор или ключ для расшифровки данных. Есть немало случаев как в моей практике, так и в Сети можно найти, когда злоумышленники после получения выкупа, требовали ещё денег и не высылали ключи/дешифраторы оплатившим выкуп. 

Например, на одном из популярных и авторитетных форумов, наткнулся на одну из тем: 

Как видим на скриншоте, после оплаты выкупа, пользователь не получил свои данные.

Если глянуть на второй скрин, то видно, что злоумышленники зарегистрировались на данном форуме и сообщили, что якобы всё исправно, просто были проблемы с почтой. 

Только вот вопрос, если у них было всё хорошо, неужели они не контролируют процесс приёма выкупов и то, кому они выдают ключи/дешифраторы. То есть, они ведь сами должны были связаться с тем, кто выплатил им выкуп и не получил ключа/дешифратора. Верно?

Ради интереса, спросил у данного человека на форуме в личном сообщении, после данного сообщения, получил ли он дешифратор, после заявления вымогателей на форуме. Вот его ответы: 

 

Обрезав часть адреса электронной почты перед «собакой», мы получаем домен сайта. Ради интереса, попробовал открыть сайт. И вот, что увидел:

 

А вот так, выглядит настоящий сайт Яндекс.Почта:

 

 

Отличить трудно. Выдаёт только адрес и ошибка с сертификатом. Всё говорит о том, что сайт создан для «отвода глаз». 

 

Возвращаясь к ответу в личном сообщении от одного пользователя форума, как видим, злоумышленники, получив выкуп, стали требовать ещё денег. Не хочу говорить, что все создатели и распространители вирусов-шифровальщиков не держат своего слова, однако стоит понимать, что это крайне рискованно, платить выкуп тем, кто уже совершил против вас преступление. Стоит ли давать им второй шанс? Необходимо помнить и о том, что, платя выкуп, вы негласно спонсируете детище злоумышленников и способствуете тому, что этот чёрный «бизнес», будет приносить им прибыль. Как следствие, они будут создавать новые и ещё более серьёзные угрозы, которые будут направлены против пользователей. По своей сути, платя выкуп, вы спонсируете войну против себя. Разумно ли это?*

*Согласен, бывают ситуации, когда у вас есть финансовые возможности оплатить выкуп и данные вам настолько необходимы, что вы готовы пойти на это шаг. Моей задачей, не является как-то вас отговорить от оплаты выкупа. И вам самим решать, как поступить в данной ситуации.

Если вы собираетесь идти по второму пути и твёрдо настроены не платить выкуп вымогателями, вы тоже можете столкнутся с проблемой. Одна из проблем, заключается в том, что при поиске способов расшифровки файлов, вы можете наткнутся в Сети на компании и отдельных исполнителей, которые будут гарантировать вам расшифровку файлов. Печально, однако, зачатую такие «горе» спецы после аванса, перестают выходить на связь или, что ещё ужаснее, шифруют повторно файлы потерпевших своим шифратором и начинают шантажировать своих жертв требуя выкуп. Хотя, попалась мне контора, которая предоставляет услуги по расшифровке файлов и не кидает своих клиентов на деньги. Данная контора «крутится» последнее время на «языке» у моих клиентов, которые обращаются ко мне за помощью. Меня смутили их завышенные цены на услуги. И поэтому, решил узнать принцип их работы. Ниже, на реальном примере этой конторы, покажу вам их алгоритм работы серой схемы по расшифровке файлов.  

Как выяснилось из небольшой переписки с данной конторой, они просто посредники между вами и злоумышленниками. Естественно, они об этом не говорят. Итак, всё по порядку.

Отправил письмо с несколькими зашифрованными файлами с вопросом, смогут ли они их расшифровать и сколько это будет стоить. Не сразу, а через несколько часов, получил вот такой ответ:

Ответ вроде, как ответ. Однако, если внимательно прочитать, можно увидеть, что они предлагают именно расшифровку файлов, а не восстановление файлов из теневых копий или посредством утилит для поиска и восстановления удалённых данных. «Плюс», они дают 100% гарантию расшифровки всех файлов. 

А вот и «результат»:

Во-первых, прислали только один расшифрованный файл, а не все три.*

*Это примечательный факт, так как последнее время, преступники распространяющие вирусы-шифровальщики, расшифровывают только по одному файлу в доказательство. И если исполнитель, который заявляет, что он умеет/может расшифровать ваши данные, то в чем проблема, выслать расшифровку на три файла?

А как вам сумма? Проблема в том, что это дороже, чем хотят злоумышленники за расшифровку файлов. 

Вот, ответ от злоумышленников, которые предлагают 1000$ за все файлы.  

Тут, вы можете возразить, ведь выше, приводил несколько скринов с форума, где эти же товарищи-злоумышленники, получив деньги, не выслали ключ/дешифратор. А как обстоит дело с данной конторой. Скажу так. По отзывам в Сети, можно увидеть, что они не бросают на деньги. Более того, у меня есть два человека, которые также подтвердили, что они не бросают на деньги и действительно высылают дешифратор. Соответственно, можно подумать, что отсюда и такая цена. За надёжность. Более того, «квантовые» компьютеры для взлома алгоритмов, дорого стоит обслуживать))).

Тогда, у меня встречный вопрос. Как должна отреагировать эта контора, если ей прямо напишут, что они берут больше чем злоумышленники?

А вот и ответ на этот вопрос от них: 

Да, со своей стороны «преуменьшил» по поводу оплаты у злоумышленников. Но, ответ меня удивил. Любая контора или исполнитель, в таких ситуациях, старается объяснить причину такой цены, чтобы избежать недоразумений. Более того, если они действительно занимаются расшифровкой файлов сами, какая им разница, сколько файлов расшифровать? Соответственно, цена расшифровки, может быть чуточку ниже. Хотя бы предложили бы скидку 5-10%.

Какой вывод напрашивается? Это – посредники. Схема проста. Они покупают дешифратор у злоумышленников и перепродают его вам. Как они не бросают на деньги? У них, есть предварительная договорённость со злоумышленниками. В данной ситуации, все в прибыли. Естественно, они не могут взять с вас часть суммы, даже если вам нужно расшифровать только десять файлов. Ведь им, придётся покупать для вас отдельный дешифратор по цене хотя бы 500-800$, с учётом всех договорённостей со злоумышленниками. 

Мне удалось узнать посредством очередного эксперимента, что с 2019 году, цены на выкуп дешифраторов возросла до 1500-2000$ для посредников. Соответственно, посредники сейчас не могут вам продать дешифратор дешевле. Отсюда часто и цена у посредников за расшифровку данных в 2000-3000$.

Однако на этом, мой интерес к ним не закончился. Снова пытаюсь сбить цену и получаю отказ. Тогда «соглашаюсь» на их услуги и невзначай интересуюсь, как это у всех не получается расшифровать эти файлы, а вот у них выходит?

Получаю ответ:

Честно, у меня нет больше слов. Понимаю, что данная статья, достаточно эмоциональна, однако, у меня не получается по-другому. Зачем говорить такой бред? Мне что, нужно поверить в то, что у данной конторы, хакеры-роботы и квантовые компьютеры ломают алгоритмы шифрования?

Примечательно, что что-то подобное, уже упоминалось ведущей антивирусной лабораторией.

Также, в поддержку данной статьи, привожу ссылки на форум (ссылка 1 и ссылка 2), где этот вопрос посредничества между вот такими конторами – обсуждается. Там, вы найдёте и фирмы, которые бросают клиентов на деньги. 

Со своей стороны, намеренно не упоминал в данной статье название фирмы и не указывал никаких ссылок на неё в статье. У меня нет цели создать им плохой отзыв или наоборот положительный. Однако, если вы, пойдёте по второму пути и выберите такие вот фирмы, то, во-первых, остаётся шанс попасть на аферу и заплатив деньги, ничего не получить. А во-вторых, вы по-прежнему будете спонсировать злоумышленников. Просто, это сделаете вы не напрямую, а через компанию/исполнителя посредника.

Есть дополнительная заметка по поводу данных «умельцев», на моем блоге, где раскрыл название данной компании и еще раз привел ряд сторонних доказательств того, что данная компания, намеренно вводит в заблуждение своих пользователей и просто ведет переговоры с преступниками, перепродавая ключи расшифровки пострадавшим.

Какой же выход из данной ситуации?
Обратится в антивирусную лабораторию своего антивируса. Также, вы можете получить бесплатную помощь на форуме Лаборатории Касперского. И там же, вам могут помочь в некоторых случаях, с расшифровкой файлов. Бесплатно. Также, рекомендую хорошо изучить свою проблему, понять основной механизм работы вирусов-шифровальщиков и узнать, что у вас за шифровальщик. Определить это можно здесь: ID Ransomware. 

Получить помощь на форуме.

Также, лучшая защита от шифровальщиков, это создание регулярных резервных копии и хранение их на стороннем сервере или жестком диске. Например, вы можете воспользоваться облачными решениями на базе Tucha.UA и обезопасить свои резервные копии данных от атак шифровальщиков.

Дополнительная информация по защите от шифровальщиков:

• Пять шагов для защиты от вирусов-шифровальщиков.
  
• Настройка RDP (защита от перебора паролей).
• Как защититься от всевозможных вирусов-шифровальщиков?
• Простой, эффективный и бесплатный способ защиты от вирусов-шифровальщиков.
• Защита главной загрузочной записи (MBR).
• Отключаем SMB в ОС Windows 7/10 и в Windows 2008 R2.