Недостатки «отладки» программ-вымогателей

Программы-вымогатели — бич безопасности современного цифрового мира — становятся все более опасными. Были обучение пользователей тому, что делать, но трудно оставаться впереди убийственного шифрования, щедро разбросанного по слоям запутанных цифровых следов, которые скрывают деяния плохих парней и ваши файлы. Между тем, пошлины хоронят предприятия и связывают руки законодателям, умоляющим о решении. Но если мы откроем ключи к программам-вымогателям, разве мы не поможем плохим парням сделать это лучше в следующий раз?

Ранее в этом месяце в цифровом семинар в самом сердце Чешской Республики разработчики дешифраторов программ-вымогателей поделились с посетителями тем, как они взломали часть кода и вернули данные пользователей. Благодаря тщательному анализу они иногда находили ошибки в реализациях или операциях злоумышленников, что позволяло им отменить процесс шифрования и восстановить зашифрованные файлы.

Но когда хорошие парни объявляют об инструменте общественности, мошенники быстро перенастраивают свои программы с помощью тактики, которая «более неуязвима для взлома», не позволяя исследователям взломать следующую партию файлов. По сути, исследователи отлаживают продукты мошенников для них в неблаготворном цикле.

Так что мы не чиним его, мы преследуем его, реагируя на него, закрашивая повреждения. Но любой успех может быть временным, поскольку восстановление после масштабных разрушений остается невозможным для малых предприятий, которые чувствовали, что они пришлось заплатить, чтобы остаться в бизнесе.

Правительства – при всех их благих намерениях – также реагируют. Они могут порекомендовать, помочь в процессе реагирования на инциденты и, возможно, отправить свою поддержку, но это также реактивно и мало утешает только что выпотрошенный бизнес.

Поэтому они переходят на отслеживание финансов. Но плохие парни обычно хорошо умеют прятаться — они могут позволить себе все хорошие инструменты, заплатив большие деньги, которые они только что украли. И, откровенно говоря, они могут знать больше, чем многие правительственные деятели. Это все равно, что гоняться за гоночной машиной F1 на достаточно быстрой лошади.

В любом случае, исследователи должны быть больше, чем бета-тестерами для плохих парней.

Вы не можете просто обнаружить инструменты киберпреступников и заблокировать их, так как они могут использовать стандартные системные инструменты, используемые для повседневной работы вашего компьютера; они могут даже поставляться как часть операционной системы. Инструменты с открытым исходным кодом — это клей, который скрепляет всю систему, но также может быть и связующим звеном, который скрепляет процесс шифрования программ-вымогателей, который блокирует систему.

Итак, вам остается определить, как действуют преступники. Иметь молоток в руке в мастерской неплохо, пока вы не замахнетесь на окно, чтобы разбить его. Точно так же обнаружение подозрительного действия может обнаружить начало атаки. Но делать это со скоростью новых вариантов атаки сложно.

Здесь, в Европе, предпринимаются значительные усилия по созыву правительств разных стран для обмена информацией о тенденциях в области программ-вымогателей, но группы, возглавляющие это, не являются непосредственно правоохранительными органами; они могут только надеяться, что правоохранительные органы будут действовать быстро. Но это не происходит со скоростью вредоносных программ.

Облако определенно помогло, так как решения по обеспечению безопасности могут использовать его для выдвижения самых последних сценариев перед атакой, которые должен запустить ваш компьютер, чтобы остановить атаку.

И это сокращает срок службы эффективных инструментов и методов программ-вымогателей, поэтому они не приносят много денег. Для плохих парней разработка хороших программ-вымогателей стоит денег, и они хотят окупаемости. Если их полезная нагрузка работает только один или два раза, это не окупается. Если это не окупится, они займутся чем-нибудь другим, и, возможно, организации смогут вернуться к работе.

Резервное копирование диска

Один профессиональный совет с конференции: создайте резервную копию зашифрованных данных, если вы подверглись атаке программы-вымогателя. В случае, если расшифровщик в конечном итоге будет выпущен, у вас все еще может быть шанс восстановить потерянные файлы в будущем. Не то, чтобы это помогло вам прямо сейчас.

Лучшее время для резервного копирования, конечно, когда вас не вымогают программы-вымогатели, но никогда не поздно начать. Хотя на данный момент ему уже более десяти лет, руководство WeLiveSecurity по Основы резервного копирования по-прежнему предоставляет практическую информацию предоставляет практическую информацию о том, как подойти к проблеме и разработать решение, подходящее для вашего дома или малого бизнеса.

ESET против программ-вымогателей

Если вам интересно, какова позиция ESET в создании расшифровщиков программ-вымогателей, мы используем смешанный подход: мы действительно хотим защитить людей от программ-вымогателей (которые мы часто классифицируем как вредоносное ПО Diskcoder или Filecoder), а также предоставить способы восстановления данных. В то же время мы не хотим предупреждать преступные группировки, стоящие за этим бедствием, о том, что мы сделали технологический эквивалент открытия их запертых дверей с помощью набора цифровых отмычек.

В некоторых случаях дешифратор может быть опубликован и доступен для общественности через статью базы знаний ESET. Автономные инструменты для удаления вредоносных программ. На момент публикации у нас есть около полдюжины инструментов для расшифровки. Другие подобные инструменты доступны на сайт инициативы No More Ransom, ассоциированным партнером которого ESET является с 2018 года. Однако в других случаях мы пишем дешифраторы, но не публикуем информацию о них в открытом доступе.

Критерии объявления о выпуске расшифровщика различаются для каждой программы-вымогателя. Эти решения основаны на тщательной оценке многих факторов, таких как распространенность программы-вымогателя, ее серьезность, скорость, с которой авторы программы-вымогателя исправляют кодовые ошибки и недостатки в своем собственном программном обеспечении и т. д.

Даже когда стороны обращаются в ESET за помощью в расшифровке своих данных, конкретная информация о том, как была выполнена расшифровка, не публикуется публично, чтобы расшифровка работала как можно дольше. Мы считаем, что это обеспечивает наилучший компромисс между защитой клиентов от программ-вымогателей и возможностью расшифровки файлов, зараженных программами-вымогателями, в течение как можно более длительного периода времени. Как только преступники узнают, что в их шифровании есть дыры, они могут их исправить, и может пройти много времени, прежде чем будут обнаружены другие недостатки, которые позволят восстановить данные без вымогательства их владельца.

Работа с программами-вымогателями, как с их операторами, так и с самим кодом программ-вымогателей, — сложный процесс, и часто это игра в шахматы, которая может занять недели, месяцы или даже годы, пока хорошие парни сражаются с плохими парнями. ESET считает, что пытается сделать максимальное количество добра, что означает помощь как можно большему количеству людей в течение как можно более длительного времени. Это также означает, что если вы столкнетесь с системой, пораженной программой-вымогателем, не теряйте надежды, все еще есть внешний шанс, что ESET сможет помочь вам вернуть ваши данные.

Программа-вымогатель может быть проблемой, которая не исчезнет в ближайшее время, но ESET готова защитить вас от нее. Тем не менее, предотвратить это в первую очередь все же намного лучше, чем лечить.