На днях пассажиры узкоколейной железной дороги Сан-Франциско получили возможность наблюдать надпись «Вы взломаны, ВСЕ данные зашифрованы» на экранах всех платежных терминалов транспортной компании San Francisco Municipal Transportation Agency (SFMTA). Некоторое время спустя руководство подтвердило факт взлома, заявив, что SFMTA ведет активное расследование инцидента.

«Мы сейчас работаем над решением этой проблемы. Ведется расследование, и мы не можем пока сообщить дополнительные детали», — заявил пресс-секретарь SFMTA. Как оказалось, надпись на экраны выводится зловредным программным обеспечением — криптовымогателем. В результате блокированы оказались не только платежные терминалы, но и большая часть компьютерной инфраструктуры компании. По этой причине оплату за проезд провести невозможно, и пассажирам разрешили на время урегулирования ситуации ездить бесплатно.

В воскресенье сотрудникам даже пришлось вспомнить опыт планирования маршрутов при помощи бумаги, ручки и телефонных переговоров диспетчеров станций. Обычно планирование маршрута проводится с использованием компьютерной техники, с автоматической рассылкой путеводных листов в электронном виде машинистам поездов. Сейчас расписание висит на станциях в виде бумажных планов.

Ответственность за кибератаку взял на себя некто Andy Saolis. Киберпреступник даже ответил на пару вопросов журналистов. Злоумышленник заявил, что это именно он и его группа стоят за кибератакой на транспортную компанию. Кроме того, он сказал, что атака была осуществлена исключительно ради денег, и ничего более. «Я надеюсь, это поможет компании улучшить безопасность своей ИТ-инфраструктуры, прежде, чем мы придем снова», — написал Saolis.

По словам злоумышленника, атака не была направлена исключительно на компьютерную сеть этой компании. На одном из торрент-трекеров размещался инфицированный файл, который и был загружен кем-то из сотрудников станции. После инициализирования файла зловред запустился и заразил всю сеть.

«Станция оказалась слабым звеном», — заявил злоумышленник. Он также добавил, что для разблокировки компьютерных систем станции необходима оплата в размере 100 биткоинов (это $73 000 по курсу). Пока что, как утверждают авторы атаки, представители компании с ними не связывались. «Возможно, они хотят получить тяжелый урок», — написал Saolis.

В то же время, сотрудникам станции удалось возобновить работоспособность некоторых систем. В компании работает около 6000 человек, и данные всех — под угрозой, поскольку вся информация о работниках хранится в общей базе данных зараженной системы.

По словам представителей пострадавшей от действий злоумышленников компании, большую часть данных удалось защитить от заражения, так что критически важная для работы информация находится не под ударом. Но вот операционные компьютеры блокированы криптовымогателем, поэтому рабочие процессы приходится осуществлять по старинке.

В любом случае, у компании осталось не так много времени, прежде, чем срок, отведенный зловредом на оплату, завершится, и тогда данные на затронутых атакой системах восстановить уже не удастся.

Несмотря на распространенность, бороться с ПО такого типа сложно. Проблема в том, что ключ шифрования, которым зашифрованы файлы пользователя, уходит на серверы злоумышленников. Без него получить свои данные в большинстве случаев не представляется возможным. Далеко не всегда специалистам по информационной безопасности удается найти «противоядие» для очередного ransomware. В итоге частным лицам и организациям приходится платить создателям зловредного ПО. Так случилось, например, с американской школой из Южной Каролины, США. Администрации школы пришлось заплатить $8500 разработчикам вируса-шифровальщика.

Взломщики делятся на тех, кто честно присылает жертве ключ ключ для расшифровки закодированных данных и тех, кто ничего не отсылает. Более того, бывают и случаи, когда мнимое ransomware ничего не шифрует, а просто удаляет файлы. Но при этом такое ПО требует у жертвы денег за восстановление данных, которые восстановить уже нельзя. Ranscam — зловред, который только притворяется криптовымогателем. ПО делает вид, что файлы зашифровываются, хотя на самом деле все, что пользователь видит на экране — командная строка со списком удаляемых файлов. Как только файлы удаляются, программа показывает всплывающее окно с требованием заплатить деньги для получения ключа шифрования.



Распространяются же криптовымогатели самыми разными способами — от рассылки по электронной почте до сайтов известных компаний. Например, сайт популярного производителя игрушек еще весной начал заражать своих посетителей ransomware. Как оказалось, сайт был взломан, и злоумышленники загрузили на сервера собственное ПО, встроив его в CMS Joomla, на которой и работает ресурс. В апреле похожая атака осуществлялась на сайты с IIS Web server от Microsoft. Только тогда использовались криптовымогатели CryptoWall или TeslaCrypt.