«Помогите, зашифровались файлы». Как противостоять троянцам-вымогателям

 АРТЕМ СЕМЕНЧЕНКО, вирусный аналитик «Лаборатории Касперского». Специализация: анализ вредоносных программ, в том числе тех, которые шифруют пользовательские данные

«Помогите, зашифровались файлы»
Как противостоять троянцам-вымогателям

Учитывая актуальность угрозы, думаем, читателям «Системного администратора» будет интересно узнать больше о проблемах шифровальщиков, о том, как с ними можно бороться и что делать, если файлы уже зашифрованы

Проблема шифровальщиков

Что такое «шифровальщики»?

«Шифровальщики» – это общепринятый сленг. Официально такие программы относятся «Лабораторией Касперского» к классу Trojan-Ransom, т.е. к программам, которые требуют у пользователя выкуп. А чтобы появилась возможность требовать выкуп, они обычно зашифровывают файлы пользователя.

Стандартный «джентльменский набор» шифруемых файлов любого «уважающего себя» шифровальщика включает:

• файлы офисных форматов;
• картинки;
• файлы баз данных (в России шифровальщики особенно любят зашифровывать базы 1С);
• а также файлы архивов и бэкапов.

Что особенно неприятно, шифровальщики стараются зашифровать данные на сетевых дисках. А некоторые, особо «ушлые» экземпляры шифровальщиков также ищут «расшаренные» папки в сетевом окружении и пытаются подключиться к ним, чтобы зашифровать данные и там.

Кто является объектом атаки?

Атакуют и частных лиц, и организации. Вторые представляют для злоумышленников более «лакомый кусок», т.к. шифрование рабочих документов на общей сетевой папке обычно парализует нормальную работу в организации. Время простоя организации – это деньги. Дешевле заплатить. Поэтому злоумышленники атакуют организации чаще и денег с них требуют больше. Но душещипательные истории про зашифрованный семейный фотоархив или дипломную работу тоже встречаются.

Как шифровальщики попадают на компьютер жертвы?

Основной канал распространения этого вида вредоносного кода не сильно отличается от остальных – через вложения в электронной почте. Чтобы заставить жертву запустить вложение, используются приемы социальной инженерии, которые регулярно обновляются и подстраиваются под значимые общественные события.

Год назад у злоумышленников были популярны письма «из арбитражного суда» или «уведомление о результатах налоговой проверки». Сейчас много писем якобы от другой организации с просьбой уточнить детали контрактов за прошлые годы, т.к. от них налоговая требует, а свои данные они потеряли. Подробности, как всегда, во вложении или по ссылке. Ну а там, понятное дело, исполняемый файл формата scr, js, cmd.

Также любимым приемом злоумышленников стало использование официальной символики судов и налоговой службы или упоминание «успокоительных» слов в названиях вложений: «Проверено», «checked», «Kaspersky», «OK» и т.д.

Как происходит коммуникация жертвы и злоумышленников?

После блокировки файлов шифровальщик оставляет на компьютере жертвы послание от злоумышленников с требованием выкупа и описанием того, как с ними можно связаться.

Также любимым занятием шифровальщиков является смена обоев рабочего стола. При этом психологический тон сообщений может сильно разниться: например, послание может быть написано так, чтобы как можно больше запугатьжертву и парализовать ее волю.

Другой путь, к которому прибегают злоумышленники, состоит в том, чтобы попытаться разрядить обстановку, сдобрив свое сообщение толикой черного юмора. Вот примеры креативных экземпляров этого «творчества» (см. рис. 1-3).

Рисунок 1. Пример креативного послания злоумышленников. Trojan-Ransom.Win32.Aura	Рисунок 2. Пример креативного послания злоумышленников. Trojan-Ransom.Win32.Cryakl	Рисунок 3. Пример креативного послания злоумышленников. Trojan-Ransom.Win32.Rector

После того как жертва выходит на связь со злоумышленником, начинается процесс переговоров. Особенность процесса в том, что пользователь совершенно закономерно не доверяет вымогателям. Чтобы повысить это доверие, киберпреступники прибегают к следующему трюку: они предлагают расшифровать несколько файлов пользователя бесплатно, просто чтобы доказать, что они могут это сделать.

Однако в подобном предложении может быть подвох. Создатели одной из версий червя Scatter предлагали жертве бесплатно расшифровать два файла. Для этого им требовались два зашифрованных файла и маленький служебный файл, генерируемый при шифровании.

Фокус был в том, что в этом дополнительном файле, помимо нужного ключа, содержались найденные пароли от почтовых аккаунтов и биткоин-кошельков. Но и это еще не все. В этом файле также содержался полный лог шифрования сименем компьютера, путем всех зашифрованных файлов и их размером. То есть злоумышленники могли получить полное представление о жертве:

• имена зашифрованных файлов и их размер;
• есть ли среди зашифрованных файлов базы данных;
• удалось ли зашифровать также и файлы резервных копий;
• пострадало ли частное лицо, или это организация.

Эта информация помогала злоумышленникам «не продешевить» и назначать максимальный размер выкупа в особо болезненных ситуациях.

По некоторым данным, со временем злоумышленники полностью автоматизировали процесс и стали автоматически анализировать такие логи, назначать сумму выкупа, проверять оплату и высылать дешифратор. Если учесть, что червь также распространялся сам, то злоумышленникам оставалось только поддерживать серверы и смотреть, как пополняются их биткоин-кошельки.

Справедливости ради, легкость наживы и повышенная анонимность киберпреступлений должна компенсироваться суровостью наказания. Поэтому мы с нетерпением ждем приговора для арестованного недавно подозреваемого ввымогательстве c использованием трояна-шифровальщика. Однако торжествовать явно еще рано. Счет преступных групп, которые занимаются этим, идет на десятки.

Что делать, если файлы уже зашифровались

Несколько базовых советов:

Совет 1. Если ситуация возникла недавно (минуты, часы), то лучше выключить машину как можно быстрее – тем самым вы, возможно, спасете файлы, которые еще не успел зашифровать вредонос.

Совет 2. Следующим шагом я бы создал резервную копию образа жесткого диска пострадавшей машины, при этом не загружая операционную систему пострадавшего компьютера. В этой ситуации пригодится так называемый Boot-CD илизагрузочные флешки с программами для резервного копирования, например, Acronis или NORTON Ghost.

Резервная копия зашифрованных файлов вам пригодится для экспериментов по самостоятельной расшифровке (без обращения к злоумышленникам) или же с использованием инструментов, выкупленных у злоумышленника (такназываемые программы-дешифровщики). Резервная копия образа жесткого диска будет полезна в случае, если ключ шифрования зависел от полного имени файла (подробнее об этом ниже). В этом случае можно будет проводить эксперименты по дешифровке на «живой» машине, имея при этом возможность «откатить» состояние машины на момент создания резервной копии.

Совет 3. Если в вашей организации установлены системы контроля сетевого трафика с функцией его сохранения (пускай и частичного), то я рекомендую предпринять меры для того, чтобы обезопасить трафик, сохраненный запредполагаемое время шифрования файлов. Дело в том, что достаточно много шифровальщиков передают или получают ключ шифрования по сети – как это делает Cryakl. В зависимости от модификации этот вредонос отсылает выбранный ключ для шифрования на сервер злоумышленников либо по протоколу SMTP, либо по протоколу HTTP. При этом в большинстве модификаций ключ передается прямо в открытом виде. Если трафик с пакетами, содержащими ключ, удастся сохранить, то возможна расшифровка файлов без обращения к злоумышленникам.

Совет 4. Следующим шагом разумно найти и обезвредить тело вредоноса, сохранив его в надежном месте в архиве с паролем. Пароль на архиве важен, т.к. в этом случае антивирусный продукт не удалит его автоматически, как только «научится» детектировать данную вредоносную программу.

Если у вас нет навыков поиска вредоносных программ, попробуйте поискать подозрительные файлы с помощью бесплатных лечащих утилит от антивирусных компаний. У «Лаборатории Касперского» такая тоже есть: http://www.kaspersky.ru/antivirus-removal-tool.

Искать вредоносные программы, не загружая операционную систему, можно с помощью специальных «антивирусных» Boot-CD. «Лаборатория Касперского» предлагает для этих целей Kaspersky Rescue Disk: http://support.kaspersky.ru/viruses/rescuedisk.

Важная деталь при таком автоматизированном поиске – это действие, выполняемое утилитой при обнаружении вредоноса. По умолчанию во многих утилитах выставлен режим «удалять». Его стоит изменить на «оповещать» или «брать вкарантин», чтобы тело вредоносной программы не было удалено безвозвратно.

Вредоносный файл может также содержаться в письме от злоумышленников (если атака была произведена через email) – такое письмо лучше также сохранить в архиве с паролем.

Если обнаруженный вами подозрительный файл не детектируется нашими продуктами, то отправьте его нам: вы можете воспользоваться личным кабинетом https://my.kaspersky.com или прислать подозреваемый файл в архиве с паролем «virus» на наш адрес: newvirus@kaspersky.com. В теме письма обязательно укажите, что это потенциальный шифровальщик. Борьба с шифровальщиками является для нас приоритетом, и такие письма мы стараемся обрабатывать как можно быстрее.

Совет 5. Важно! Даже если тело вредоносной программы обнаружено не будет (многие из них самоудаляются), настоятельно рекомендуется изменить пароли, сохраненные на компьютере или вводимые пользователем за предполагаемое время атаки. Некоторые шифровальщики обладают «побочным» функционалом в виде сбора паролей от кошельков для электронных денег, почтовых аккаунтов или аккаунтов социальных сетей. Также некоторые шифровальщики устанавливаются посредством других вредоносных программ, так называемых Backdoor, из-за которых могут оказаться скомпрометированы и данные, необходимые для доступа к системам ДБО, в том числе и сертификаты на флешке/дискете.

Совет 6. Следующим шагом было бы разумно поискать возможные копии важных файлов. Наличие пары файлов зашифрованный/расшифрованный повышает вероятность самостоятельной (без помощи злоумышленников) расшифровки остальных файлов. Однако полагаться на такое развитие событий не стоит, шансы на самостоятельную расшифровку очень малы. Тем не менее попытаться стоит. Вот некоторые места, где могут находиться копии важных файлов:

• в электронной почте, если документы пересылались кому-то;
• на съемных носителях или в сетевых папках;
• в «Предыдущих версиях файлов и папок», которые сохраняет Windows как часть точки восстановления. По умолчанию такое сохранение включено на системном разделе. Подробнее здесь: http://windows.microsoft.com/ru-ru/windows/previous-versions-files-faq#1TC=windows-7.

Совет 7. Следующим логичным шагом является самостоятельная попытка дешифровки. Для этого вам необходимо скачать специальные утилиты – дешифровщики. Несколько из них можно найти по слову «Decryptor» в названии утилиты на сайте «Лаборатории Касперского»: http://support.kaspersky.ru/viruses/utility.

Как понять, какой шифровальщик и каким алгоритмом зашифровал файл, если тела шифровальщика обнаружить не удалось? Злоумышленник должен так зашифровать файлы, чтобы потом иметь возможность расшифровать их обратно. Обычно для этого внутри тела зашифрованного файла (в начале или конце файла чаще всего) помещается некоторая метка. Но в подавляющем большинстве случаев к названию файла просто дописывается метка-идентификатор, ирасширение файла изменяется. По этому расширению специалист может опознать семейство шифровальщиков и понять используемый алгоритм шифрования. Можно поискать информацию о расширении через поисковые системы. Скорее всего вы найдете сведения о семействе шифровальщиков и даже ссылки на утилиты, способные расшифровать файлы. Если нужную утилиту сходу обнаружить не удалось, придется их пробовать одну за другой.

Наиболее надежным методом является запуск дешифрующих утилит именно на пострадавшей машине, с которой было проведено минимальное количество операций. Вот здесь и пригодится образ диска пострадавшей машины, снятый сразу после обнаружения шифрования файлов.

Совет 8. Если утилиты для автоматической дешифровки вам не помогли, то стоит обратиться в службу поддержки антивирусной компании того продукта, который установлен у вас.

Совет 9. Предположим худшее – антивирусные компании не смогли вам помочь с расшифровкой, увы. Перед вами встает выбор: платить или не платить злоумышленнику? Ответь на этот вопрос можете дать только вы. Только вы можете сопоставить ценность файлов и сумму выкупа.

Тут существует и моральная сторона вопроса. Заплатив злоумышленникам, вы мотивируете их на новые преступления. Этот вид киберкриминального бизнеса существует только потому, что находятся люди, которые платят выкуп. Если бы злоумышленники твердо знали, что у них нет шанса получить ни биткоина, этим продолжили бы заниматься только совсем клинически больные люди.

Если вы решили платить, помните, что остается шанс, что злоумышленник не сможет расшифровать ваши файлы. Поэтому разумной схемой является расшифровка тестовых файлов. Платить стоит только после того, как злоумышленник докажет, что он в состоянии расшифровать данные.

Полученный от злоумышленника дешифратор может содержать в себе вредоносный функционал. Поэтому его стоит запускать на виртуальной или тестовой машине. Если злоумышленник настаивает, что дешифратор нужно запускать именно на пострадавшей машине, то лучше поступить следующим образом. Отключить автозапуск со съемных носителей. Создать резервную копию образа диска пострадавшей машины. Отключить пострадавшую машину от Интернета. Запустить дешифратор злоумышленника. Скопировать расшифрованные файлы на съемный носитель. Восстановить состояние машины из сохраненного образа диска. Перенести расшифрованные файлы со сменного носителя обратно нарабочую машину (и только эти файлы). Отформатировать съемный носитель. Такой порядок действий позволит снизить вероятность того, что дешифратор злоумышленника сможет причинить вред, даже если там есть вредоносный функционал.

Если у вас есть дешифратор, полученный от зло­умышленника, пожалуйста, пришлите его нам (newvirus@kaspersky.com). Если используемый в нем ключ не уникален и был использован в атаках на других пользователей, то мы добавим этот ключ в одну из наших утилит.

Совет 10. Как бы ни закончилась эта история, рекомендую вам обратиться в полицию. Одной из причин, почему этот бизнес процветает в России, является безнаказанность. В данный момент шансы, что полиция поймает злоумышленников, крайне малы. Но, если ничего не делать, ничего в лучшую сторону и не изменится.

Рекомендации по повышению сохранности важных данных

Наши подробные рекомендации доступны здесь: http://support.kaspersky.ru/10952.

Здесь же коротко сформулирую три базовых принципа:

• Регулярное резервное копирование. Резервная копия должна находиться вне системы. Исходите из того, что шифровальщики охотятся за бэкапами и архивами и умеют шифровать файлы на сетевых папках, даже тех, которые неподключены как логический диск.
• Осведомленность пользователей о наличии угрозы. Расскажите пользователям об этой угрозе. Включите отображения расширений для зарегистрированных типов файлов. Научите пользователей отличать исполняемые расширения отнеисполняемых.
• Современное многомодульное обновленное антивирусное ПО надежного производителя.

Слово «современное» выделено неслучайно. Если вы используете продукты «Лаборатории Касперского» и у вас установлена НЕ самая последняя версия, проверьте: скорее всего вы можете бесплатно обновиться. И я рекомендую вам этосделать как можно скорее. Слово «многомодульное» означает то, что наилучшая защита обеспечивается, когда все защитные модули включены. В деле борьбы с шифровальщиками особенно важным является компонент System Watcher или «Мониторинг активности» в русской версии наших продуктов. Еще одна рекомендация – использовать Kaspersky Security Network (KSN). Данные о вредоносных программах получаются нашими продуктами через KSN значительно быстрее, чем через механизм обновления баз.

P.S. И еще кое-что. Мы проводим исследования, связанные с организациями, пострадавшими от шифровальщиков. Среди выявленных причин заражения: отключенные модули антивирусных продуктов, необновленные базы, а также работа пользователей с отключенным антивирусом или без антивируса вообще. Все эти неправильные конфигурации, связанные с безопасностью рабочих мест, в большинстве случаев имеют место быть в маленьких организациях или вмуниципальных учреждениях типа детского сада или школы.

Комментарии могут оставлять только зарегистрированные пользователи