Вирусы-шифровальщики. Мифы и реальность. Заключение.

История о «великой» конторе, которая «умеет ломать» современные алгоритмы шифрования.

Вирусы-шифровальщики, представляют достаточно серьёзную угрозу, уже в течении не одного года. Из предыдущих статей, мы с вами познакомились с некоторыми программами-вымогателями, которые, используя алгоритмы шифрования блокируют пользовательские данные. Угроза в современных вирусах-шифровальщиков заключается в том, что они используют стойкие алгоритмы шифрования и всячески повреждают теневые и резервные копии. При этом, ключи для расшифровки, зачастую хранятся на серверах злоумышленников, а связь между заражёнными устройствами и управляющими серверами, осуществляется по защищённым каналам связи с использованием современных методов шифрования. Таким образом, как мы обсуждали раннее, единственный способ получить данные без выплаты выкупа злоумышленникам, это найти уязвимые места в самом шифраторе, понять принцип его работы, оценить нанесённый урон, провести анализ затронутых данных и уже исходя из этого, выработать алгоритм дальнейших действий. Не стоит забывать и то, что есть такие вирусы-шифровальщики, которые не предполагают восстановление/расшифровку данных в своём алгоритме работы. То есть, их цель – нанесение массового ущерба. Стоит вспомнить вирус-шифровальщик Petya (также известен как Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye). Либо, стоит вспомнить нашумевший вирус-шифратор WannaCry (также известен как WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor). Примечательно, что алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован был с ошибкой. Это делало выплату выкупа злоумышленникам WannaCry бессмысленным, поскольку индивидуальные ключи в любом случае не могли быть присланы, а файлы так и останутся зашифрованными. Как и писал раннее, шифраторы зачастую уничтожают теневые копии и перезаписывают данные на заражённых устройствах. Одна из особенностей вирусов-шифровальщиков заключается в том, что подобные вредоносные программы могут запускаться в системе даже без прав администратора.

Как упоминал раннее, в данной статье, хотел бы предостеречь людей от контор/исполнителей, которые позиционируют себя специалистами по расшифровке данных, а на самом деле, являются частью мошеннических схем злоумышленников или в лучшем случае, посредниками между злоумышленниками и пострадавшими от вирусов-шифровальщиков. На написание данной статьи, меня подтолкнуло постоянное непонимание обращающихся ко мне пострадавших от шифраторов, которые рассчитывают, что им смогут со сто процентной гарантией восстановить данные. Со своей стороны, хочу поднять данный вопрос и уберечь здравомыслящих людей от ошибок и неправильных действий.

Нередко бывают ситуации, когда невозможно помочь клиенту в расшифровке файлов и тогда, часто слышу в ответ такие слова:  

  • «А вот в той конторе, умеют расшифровывать. Мне даже в течении часа, прислали уже всю расшифрованную базу данных. А почему вы говорите, что не можете помочь?».
  •  «Я имею опыт с шифраторами уже не первый год. Вот как-то мне расшифровали данные, но они были частично повреждены после расшифровки. Так вот там декодеры мне потом всё поправили. Там был штат декодеров-специалистов».
  •  «Плохой вы спец, раз другие специалисты могут расшифровать наши данные после шифратора, а вы нет».
  • «Всё что зашифровано шифраторами, можно расшифровать. Просто антивирусные компании не хотят этим заниматься, так как должны делать это бесплатно. Вот и невыгодно им это, поэтому они и придумывают отговорки, что якобы нельзя расшифровать данные».

Множество подобных высказываний, указывает на то, что многие пострадавшие от вирусов-шифровальщиков, не понимают основных механизмов работы вируса-шифровальщика. Чтобы разобраться в данном вопросе, давайте смоделируем с вами следующую ситуацию. Вы, читаете данную статью, потому что ваши файлы, пострадали от вируса-шифровальщика. Данные очень важные для вас, это – семейный альбом за всю жизнь, база данных, номера телефонов… Есть два основных варианта, как можно поступить.

  1. Файлы очень важны, и вы готовы восстановить их любой ценой и способом.
  2. Файлы очень важны. Однако, вы не намерены платить злоумышленникам выкуп и готовы восстановить любым доступным способом свои данные.

В первом случае, скорее всего, вы попробуете сразу связаться со злоумышленниками, узнать у них цену и оплатив выкуп, получить свои файлы обратно… Однако, не всегда злоумышленники после выкупа, высылают дешифратор или ключ для расшифровки данных. Есть немало случаев как в моей практике, так и в Сети можно найти, когда злоумышленники после получения выкупа, требовали ещё денег и не высылали ключи/дешифраторы оплатившим выкуп.

Например, на одном из популярных и авторитетных форумов, наткнулся на одну из тем: 

Как видим на скриншоте, после оплаты выкупа, пользователь не получил свои данные.

Если глянуть на второй скрин, то видно, что злоумышленники зарегистрировались на данном форуме и сообщили, что якобы всё исправно, просто были проблемы с почтой. 

Только вот вопрос, если у них было всё хорошо, неужели они не контролируют процесс приёма выкупов и то, кому они выдают ключи/дешифраторы. То есть, они ведь сами должны были связаться с тем, кто выплатил им выкуп и не получил ключа/дешифратора. Верно?

Ради интереса, спросил у данного человека на форуме в личном сообщении, после данного сообщения, получил ли он дешифратор, после заявления вымогателей на форуме. Вот его ответы: 

Обрезав часть адреса электронной почты перед «собакой», мы получаем домен сайта. Ради интереса, попробовал открыть сайт. И вот, что увидел:

А вот так, выглядит настоящий сайт Яндекс.Почта:

Отличить трудно. Выдаёт только адрес и ошибка с сертификатом. Всё говорит о том, что сайт создан для «отвода глаз».

Возвращаясь к ответу в личном сообщении от одного пользователя форума, как видим, злоумышленники, получив выкуп, стали требовать ещё денег. Не хочу говорить, что все создатели и распространители вирусов-шифровальщиков не держат своего слова, однако стоит понимать, что это крайне рискованно, платить выкуп тем, кто уже совершил против вас преступление. Стоит ли давать им второй шанс? Необходимо помнить и о том, что, платя выкуп, вы негласно спонсируете детище злоумышленников и способствуете тому, что этот чёрный «бизнес», будет приносить им прибыль. Как следствие, они будут создавать новые и ещё более серьёзные угрозы, которые будут направлены против пользователей. По своей сути, платя выкуп, вы спонсируете войну против себя. Разумно ли это?*

*Согласен, бывают ситуации, когда у вас есть финансовые возможности оплатить выкуп и данные вам настолько необходимы, что вы готовы пойти на это шаг. Моей задачей, не является как-то вас отговорить от оплаты выкупа. И вам самим решать, как поступить в данной ситуации.

Если вы собираетесь идти по второму пути и твёрдо настроены не платить выкуп вымогателями, вы тоже можете столкнутся с проблемой. Одна из проблем, заключается в том, что при поиске способов расшифровки файлов, вы можете наткнутся в Сети на компании и отдельных исполнителей, которые будут гарантировать вам расшифровку файлов. Печально, однако, зачатую такие «горе» спецы после аванса, перестают выходить на связь или, что ещё ужаснее, шифруют повторно файлы потерпевших своим шифратором и начинают шантажировать своих жертв требуя выкуп. Хотя, попалась мне контора, которая предоставляет услуги по расшифровке файлов и не кидает своих клиентов на деньги. Данная контора «крутится» последнее время на «языке» у моих клиентов, которые обращаются ко мне за помощью. Меня смутили их завышенные цены на услуги. И поэтому, решил узнать принцип их работы. Ниже, на реальном примере этой конторы, покажу вам их алгоритм работы серой схемы по расшифровке файлов.  

Как выяснилось из небольшой переписки с данной конторой, они просто посредники между вами и злоумышленниками. Естественно, они об этом не говорят. Итак, всё по порядку.

Отправил письмо с несколькими зашифрованными файлами с вопросом, смогут ли они их расшифровать и сколько это будет стоить. Не сразу, а через несколько часов, получил вот такой ответ:

Ответ вроде, как ответ. Однако, если внимательно прочитать, можно увидеть, что они предлагают именно расшифровку файлов, а не восстановление файлов из теневых копий или посредством утилит для поиска и восстановления удалённых данных. «Плюс», они дают 100% гарантию расшифровки всех файлов.

А вот и «результат»: 

Во-первых, прислали только один расшифрованный файл, а не все три. А как вам сумма? Проблема в том, что это дороже, чем хотят злоумышленники за расшифровку файлов.

Вот, ответ от злоумышленников, которые предлагают 1000$ за все файлы.  

Тут, вы можете возразить, ведь выше, приводил несколько скринов с форума, где эти же товарищи-злоумышленники, получив деньги, не выслали ключ/дешифратор. А как обстоит дело с данной конторой. Скажу так. По отзывам в Сети, можно увидеть, что они не бросают на деньги. Более того, у меня есть два человека, которые также подтвердили, что они не бросают на деньги и действительно высылают дешифратор. Соответственно, можно подумать, что отсюда и такая цена. За надёжность. Более того, «квантовые» компьютеры для взлома алгоритмов, дорого стоит обслуживать))).
Тогда, у меня встречный вопрос. Как должна отреагировать эта контора, если ей прямо напишут, что они берут больше чем злоумышленники?

А вот и ответ на этот вопрос от них: 

Да, со своей стороны «преуменьшил» по поводу оплаты у злоумышленников. Но, ответ меня удивил. Любая контора или исполнитель, в таких ситуациях, старается объяснить причину такой цены, чтобы избежать недоразумений. Более того, если они действительно занимаются расшифровкой файлов сами, какая им разница, сколько файлов расшифровать? Соответственно, цена расшифровки, может быть чуточку ниже. Хотя бы предложили бы скидку 5-10%.

Какой вывод напрашивается? Это – посредники. Схема проста. Они покупают дешифратор у злоумышленников и перепродают его вам. Как они не бросают на деньги? У них, есть предварительная договорённость со злоумышленниками. В данной ситуации, все в прибыли. Естественно, они не могут взять с вас часть суммы, даже если вам нужно расшифровать только десять файлов. Ведь им, придётся покупать для вас отдельный дешифратор по цене хотя бы 500-800$, с учётом всех договорённостей со злоумышленниками.

Однако на этом, мой интерес к ним не закончился. Снова пытаюсь сбить цену и получаю отказ. Тогда «соглашаюсь» на их услуги и невзначай интересуюсь, как это у всех не получается расшифровать эти файлы, а вот у них выходит?

Получаю ответ:

Честно, у меня нет больше слов. Понимаю, что данная статья, достаточно эмоциональна, однако, у меня не получается по-другому. Зачем говорить такой бред? Мне что, нужно поверить в то, что у данной конторы, хакеры-роботы и квантовые компьютеры ломают алгоритмы шифрования?

Примечательно, что что-то подобное, уже упоминалось ведущей антивирусной лабораторией.

Также, в поддержку данной статьи, привожу ссылки на форум (ссылка 1 и ссылка 2), где этот вопрос посредничества между вот такими конторами – обсуждается. Там, вы найдёте и фирмы, которые бросают клиентов на деньги.

Со своей стороны, намеренно не упоминал в данной статье название фирмы и не указывал никаких ссылок на неё в статье. У меня нет цели создать им плохой отзыв или наоборот положительный. Однако, если вы, пойдёте по второму пути и выберите такие вот фирмы, то, во-первых, остаётся шанс попасть на аферу и заплатив деньги, ничего не получить. А во-вторых, вы по-прежнему будете спонсировать злоумышленников. Просто, это сделаете вы не напрямую, а через компанию/исполнителя посредника.

Какой же выход из данной ситуации?
Обратится в антивирусную лабораторию своего антивируса. Также, вы можете получить бесплатную помощь на форуме Лаборатории Касперского. И там же, вам могут помочь в некоторых случаях, с расшифровкой файлов. Бесплатно. Также, рекомендую хорошо изучить свою проблему, понять основной механизм работы вирусов-шифровальщиков и узнать, что у вас за шифровальщик. Определить это можно здесь: ID Ransomware

Получить помощь на форуме.

Заключение.
Если не хотите тратить время на поиски решения или у вас нет возможности обратится в антивирусную лабораторию, можете обратится ко мне.
А как же мне удаётся расшифровывать файлы? Подробнее, можете узнать о моих услугах по расшифровки файлов, зашифрованных вирусами-шифровальщиками, ознакомившись с данной информацией

Не являюсь посредником. Предоставляю бесплатные консультации.
Оказываю качественные услуги по профилактике и защите от вирусов, потенциально нежелательных программ (ПНП). Комплексная защита от вирусов-шифровальщиков. Все вопросы, пожалуйста, уточняйте удобным способом, через раздел сайта "Контакты".

Форма подписки

Подписывайтесь на новостную рассылку полезных советов

Данная форма подписки, не используется для рассылки спама. Ваши данные, оставленные в форме подписки, не передаются третьим лицам.

Поделитесь этой страницей

© Все права защищены: 2014 – 2018;
pc103help - качественная компьютерная помощь!
Предоставляю услуги на территории СНГ.
Адаптивная (полная) версия сайта