Недолік "налагодження" програм-вимагачів

Програми-вимагачі – лихо безпеки сучасного цифрового світу – стає все небезпечнішим. Ми навчання користувачів тому, що робити, але важко бути попереду вбивчого шифрування, рясно посипаного навколо шарів заплутаних цифрових треків, які приховують вчинки поганих хлопців і ваші файли. Тим часом мито ховає бізнес і зв’язує руки законодавцям, які благають рішення. Але якщо ми розкриємо ключі до програм-вимагачів, хіба ми не допоможемо поганим хлопцям зробити це краще наступного разу?

Раніше цього місяця в digital майстерня у центрі Чеської Республіки розробники дешифрувальників програм-вимагачів поділилися з присутніми, як вони зламали частину коду та повернули дані користувачів. Завдяки ретельному аналізу вони інколи знаходили помилки в реалізації чи операціях поганих хлопців, що дозволяло їм скасувати процес шифрування та відновити зашифровані файли.

Але коли хороші хлопці оголошують про інструмент для громадськості, шахраї швидко переналаштовують свої вироби за допомогою тактики, яка є «повністю незламною», що не дозволяє дослідникам зламати наступну партію файлів. По суті, дослідники налагоджують товари шахраїв для них у недоброчесному циклі.

Тому ми не виправляємо це, ми переслідуємо це, реагуємо на це, зафарбовуємо пошкодження. Але будь-який успіх може бути тимчасовим, оскільки відновлення після основної руйнації залишається неможливим для малих підприємств, які відчували, що довелося платити, щоб залишитися в бізнесі.

Уряди – попри всі їхні добрі наміри – також реагують. Вони можуть рекомендувати, допомагати в процесі реагування на інциденти і, можливо, надіслати свою підтримку, але це також є реактивним і мало комфорту для щойно зруйнованого бізнесу.

Тому вони переходять на відстеження фінансів. Але погані хлопці зазвичай добре вміють ховатися – вони можуть дозволити собі всі хороші інструменти, заплативши великі гроші, які щойно вкрали. І, відверто кажучи, вони можуть знати більше, ніж багато урядовців. Це схоже на гонитву за гоночним автомобілем Формули-1 на досить швидкому коні.

У будь-якому випадку дослідники повинні бути не тільки бета-тестерами для поганих хлопців.

Ви не можете просто виявити інструменти кіберзлочинців і заблокувати їх, оскільки вони можуть використовувати стандартні системні інструменти, які використовуються для повсякденної роботи вашого комп’ютера; вони можуть навіть поставлятися як частина операційної системи. Інструменти з відкритим кодом — це клей, який утримує всю систему разом, але також може бути клеєм, який тримає разом процес шифрування програм-вимагачів, який блокує систему.

Отже, вам залишається визначити, як діяли злочинці. Мати в руках молоток у механічній майстерні непогано, поки не замахнешся на вікно, щоб розбити його. Так само виявлення підозрілої дії може виявити початок атаки. Але зробити це на швидкості нових варіантів атаки складно.

Тут, у Європі, докладають значних зусиль щодо зібрання урядів різних країн для обміну інформацією про тенденції програм-вимагачів, але групи, які керують цим, безпосередньо не належать до правоохоронних органів; вони можуть лише сподіватися, що правоохоронні юрисдикції діятимуть швидко. Але це відбувається не зі швидкістю шкідливих програм.

Хмара безсумнівно допомогла, оскільки рішення безпеки можуть використовувати її для виведення найсвіжіших сценаріїв перед атакою, які ваш комп’ютер має запустити, щоб зупинити атаку.

І це скорочує термін служби ефективних інструментів і методів програм-вимагачів, тому вони не заробляють багато грошей. Зловмисникам розробка хорошого програмного забезпечення-вимагача коштує грошей, і вони хочуть окупитися. Якщо їхні корисні навантаження працюють лише один або два рази, це не приносить грошей. Якщо це не приносить прибутку, вони підуть робити щось інше, що приносить прибуток, і, можливо, організації зможуть повернутися до бізнесу.

Створіть резервну копію диска

Одна професійна порада від конференції: створіть резервну копію зашифрованих даних, якщо вас вразить програмне забезпечення-вимагач. Якщо врешті-решт буде випущено дешифрувальник, у вас все ще буде шанс відновити втрачені файли в майбутньому. Не те, щоб це вам зараз допомогло.

Звісно, ​​найкращий час для резервного копіювання – коли вас не вимагають програми-вимагачі, але почати ніколи не пізно. Хоча на даний момент йому більше десяти років, посібник WeLiveSecurity з Основи резервного копіювання досі надає практичну інформацію надає практичну інформацію про те, як підійти до проблеми та розробити рішення, яке буде працювати для вашого дому чи малого бізнесу.

ESET проти програм-вимагачів

Якщо вам цікаво, як ESET розробляє дешифрувальники програм-вимагачів, ми використовуємо змішаний підхід: ми хочемо захистити людей від програм-вимагачів (які ми часто класифікуємо як зловмисне програмне забезпечення Diskcoder або Filecoder), а також надаємо способи відновлення даних. У той же час ми не хочемо попереджати злочинні угруповання, які стоять за цим лихом, про те, що ми зробили технологічний еквівалент відкривання їхніх замкнених дверей за допомогою набору цифрових відмичок.

У деяких випадках дешифратор може бути опублікований і доступний для громадськості через статтю бази знань ESET Автономні інструменти видалення шкідливих програм. На момент публікації ми маємо близько півдюжини інструментів дешифрування, які зараз доступні. Інші подібні інструменти доступні на веб-сайт ініціативи No More Ransom, асоційованим партнером якого ESET є з 2018 року. Однак в інших випадках ми пишемо дешифратори, але не публікуємо інформацію про них.

Критерії, за якими потрібно повідомляти про випуск дешифратора, відрізняються для кожної частини програми-вимагача. Ці рішення ґрунтуються на ретельному оцінюванні багатьох факторів, наприклад, наскільки плідним є програмне забезпечення-вимагач, його серйозність, як швидко автори програмного забезпечення-вимагача виправляють помилки кодування та недоліки у своєму програмному забезпеченні тощо.

Навіть коли сторони звертаються до ESET, щоб отримати допомогу з розшифруванням своїх даних, конкретна інформація про те, як було виконано розшифровку, не розголошується, щоб розшифровка працювала якомога довше. Ми вважаємо, що це забезпечує найкращий компроміс між захистом клієнтів від програм-вимагачів і водночас можливістю допомогти з розшифровкою файлів-вимагачів протягом якомога довшого періоду часу. Коли зловмисники дізнаються про наявність дірок у шифруванні, вони можуть їх виправити, і може пройти багато часу, перш ніж можна буде знайти інші недоліки, які дозволять відновити дані без вимагання власника.

Робота з програмами-вимагачами, як їх операторами, так і самим кодом програм-вимагачів, є складним процесом, і часто це гра в шахи, яка може тривати тижнями, місяцями чи навіть роками, поки хороші хлопці борються з поганими хлопцями. ESET намагається принести максимум користі, тобто допомогти якомога більшій кількості людей протягом якомога довшого часу. Це також означає, що якщо ви зіткнетеся з системою, ураженою програмним забезпеченням-вимагачем, не втрачайте надії, все ще є зовнішній шанс, що ESET зможе допомогти вам повернути ваші дані.

Програмне забезпечення-вимагач може бути проблемою, яка не зникне найближчим часом, але ESET готова захистити вас від неї. Однак запобігти цьому набагато краще, ніж вилікувати його.