Инструкции по оплате выкупа от криптовымогателя «Пила» (Jigsaw)
Нападение на компанию с требованием выкупа по-прежнему остаётся популярным видом заработка в хакерской среде. Раньше было принято устраивать DDoS-атаку и предлагать услуги по защите от DDoS (или «независмый консалтинг»), но это был довольно опасный способ. Ведь приходилось вступать в личный контакт с жертвой, которая наверняка что-то подозревала. Неспроста ведь человек предлагает свои услуги сразу после начала DDoS.
Теперь же появились способы вымогательства, которые не предполагают никакого личного контакта. С оплатой за биткоины риски почти исчезли. И самое главное, что компании послушно платят в большинстве случаев.
Согласно новому исследованию IBM, 70% компаний, ставших жертвами программ-криптовымогателей (ransomware), действительно платят мошенникам.
Обычно такие факты не афишируются. Владельцам бизнеса стыдно признаться, что у них не было резервных копий или те тоже оказались зашифрованы. Что уровень информационной безопасности на фирме такой слабый, что сотрудники лазят по порносайтам и соцсетям в рабочее время. В общем, признание в оплате выкупа — это расписка в непрофессионализме. Поэтому большинство предпочитают молчать. Но опрос IBM был организован на условиях анонимности, так что показал более объективное положение дел.
Первая программа-криптовымогатель была обнаружена в 1989 году, с тех пор они изредка проявляли себя, но в 2016 году зафиксирован гигантский всплеск популярности таких зловредов. По данным IBM X-Force, доля файлов-криптовымогателей в приложениях к спаму с начала года выросла с 0,6% почти до 40%, а в течение года однажды достигала даже 60%.
Программы действуют просто. После установки на компьютер они сканируют файловую систему и находят все носители с документами, совпадающими с маской для шифрования. Постепенно эти документы шифруются, а по окончании процесса все оригинальные копии файлов удаляются.
Кроме шифрования файлов, программа может инфицировать загрузочный сектор диска (MBR), как это делал криптовымогатель Petya.
Затем компании обычно предлагают оплатить небольшую сумму (обычно 1 биткоин), чтобы получить ключ для расшифровки файлов. Для бизнеса эта сумма действительно небольшая, и многие без колебаний платят её, чтобы снова продолжить работу.
Впрочем, в последнее время фиксируются варианты зловредов, специально нацеленных на юридических лиц, которые требуют выплаты четырёх- и пятизначных сумм, а в некоторых случаях — даже миллионы долларов. Известны случаи, когда жертвы действительно выплачивали крупные суммы.
Судя по нынешним тенденциям, специалисты IBM ожидают ещё большего распространения криптовымогателей. В конце концов, с такой угрозой может столкнуться каждая компания, в которой ценные данные хранятся локально и не налажен процесс качественного резервного копирования.
По оценке ФБР, только за три месяца 2016 года американские компании выплатили вымогателям (не будем называть, из каких стран) более $209 млн! Такими темпами суммы выкупа могут перевалить за миллиард долларов в год.
Проведённое исследование IBM выявило, что большинство потенциальных жертв атаки по-прежнему не имеют понятия, что такое криптовымогатели. Только 31% пользователей что-то слышали о криптовымогателях. Неосведомлённость об угрозе, несомненно, на руку злоумышленникам.
Самая интересная часть исследования IBM — это изучение вопроса, насколько готовы граждане США и коммерческие компании платить выкуп, чтобы восстановить доступ к своим файлам. Вот здесь ещё одна хорошая новость для вымогаталей. Американцы в большинстве своём готовы и будут платить. Изучим, кто именно будет платить и за какую информацию.
Медицинские записи и личные фотографии — не слишком прибыльная цель. Менее половины пользователей готовы заплатить, чтобы вернуть их. Исключение составляют финансовые данные (эффективность рассылки зловреда 54%).
Родители больше всего ценят цифровые фотографии (эффективность 55%). Для других категорий пользователей ценность этого актива ниже (заплатят только 39%).
Тинейджеры (миллениалы) ценят свои цифровые файлы более высоко, чем люди старшего поколения. В среднем, каждый второй готов заплатить выкуп до $100, чтобы вернуть различные типы данных.
Разумеется, количество платежей напрямую зависит от суммы выкупа. Небольшую сумму до $100 готов платить каждый второй, а вот сумму в $1000 заплатит не каждый. С точки зрения преступника важно найти математический оптимум с максимизацией валового дохода. Может, будет эффективнее заразить одного богача, чем тысячу «нищебродов».
С коммерческих компаний можно собрать гораздо больше денег. В опросе IBM участвовали представители 600 компаний с разным количеством сотрудников, как малый бизнес, так и представители крупных компаний. Результаты опроса оказались слегка неожиданными. Оказалось, что 46% опрошенных фирм уже сталкивались с криптовымогателями, а 70% из них реально заплатили выкуп.
20% заплатили более $40 000
25% заплатили от $20 000 до 40 000
11% заплатили от $10 000 до 20 000
То есть в данном случае бизнес-модель не просто теоретическая, а уже опробована в деле и подтверждена.
Учитывая такую высокую эффективность этого вида мошенничества, можно ожидать широкого распространения криптовымогателей в ближайшее время, особенно в богатых странах. Соответственно, это должно привести к росту курса биткоина из-за увеличения спроса на криптовалюту. Будем считать, что это самоисполняющееся пророчество.
Комментарии (56)
migelle74
15.12.2016 21:50В итоге массовое распространение шифровальщиков убьет биткоин. Его тупо запретят повсеместно.
AndrewRo
15.12.2016 22:02+2Вы думаете, это сильно помешает злоумышленникам требовать выкуп в биткоинах?
SHVV
15.12.2016 23:56Требовать они могут что угодно, хоть «десять миллионов долларов и вертолёт». Но если легально биткойн купить будет нельзя, то и процент заплативших выкуп сильно упадёт. Поскольку не думаю, что у большинства жертв были биткойны на момент заражения.
herr_kaizer
16.12.2016 00:14Ну будут через офшоры и серых посредников деньги требовать. Не решит это никаких проблем.
SHVV
16.12.2016 00:43Конечно, проблему это не решит. Раньше локеры и без биткойна неплохо жили. Но вот популярность уменьшить вполне сможет. Не всякий школьник, недавно освоивший скрипт е-мейл рассылки, будет заморачиваться со сложными способами требования денег, да и не всякая жертва тоже.
А крупные мошенники, нацеленные на бизнес, вряд ли сильно пострадают.
Labunsky
16.12.2016 09:36+1заморачиваться со сложными способами требования денег
Что, какие-нибудь QIWI, Яндекс.Деньги, WebMoney и их аналоги внезапно стали СЛОЖНЕЕ биткоина?SHVV
16.12.2016 11:11В комменте выше предлагали оффшоры. А QIWI, WebMoney, положить денег на мобильный, действительно были популярны пару лет назад. Но, кажется, та волна спала. С чего бы вдруг? Может они не обеспечивают достаточной анонимности?
Labunsky
16.12.2016 14:13А биткоин у нас с каких-то пор обеспечивает анонимность? Уж если брать процесс перевода в валюту — анонимности не будет еще меньше, чем у банковской карты киви, выпущенной по купленой симке и оформленной на бомжа у ближайшей мусорки (или просто на васю пупкнина)
Vilgelm
17.12.2016 04:29Можно через микшер пропустить или выменять в DASH и обратно, в итоге получаем чистыми. В случае с QIWI нужно надежного дропа, например.
Labunsky
17.12.2016 14:19Чистыми что получаем? Криптовалюту?
Я имел ввиду ее вывод в реальную валюту (доллары, юани и пр.). Ни local bitcoins, ни биржи с таким функционалом анонимным вам остаться не дадут (последние еще и скан паспорта попросят, даже для мелких операций). Да и после перевода в валюту появляются те же проблемы, что и у всяких киви были изначальноVilgelm
17.12.2016 16:38Получаем отмытую криптовалюту, потом ее уже спокойно можно будет вывести в фиат даже через аккаунт верифицированный на себя (даже если каким-то образом тебя и отследят, то доказать что-то будет крайне затруднительно, особенно если отмывали через DASH). Поэтому проблем как раз не будет, разве что обосновать откуда деньги взялись, но отследить от точки А (продажа чего-то запрещенного) до точки B (вывод в фиат) очень сложно, если у продавца есть хотя бы толика разума.
Ну и не все биржи требуют скан паспорта, хотя бы те же btc-e.com не требуют (даже номер телефона не спрашивают).Labunsky
17.12.2016 19:04разве что обосновать откуда деньги взялись
Сами же и написали, почему не вариант. Ваш банк первым же заинтересуется, откуда у вас большие (ради маленьких криптолокерами не занимаются) суммы, да еще и без подписей «ZARPLATA», а потом подтянутся и другие ребята.
Логичнее тогда уж просто хранить тратить их криптовалютой (уже много где принимают, к счастью), не сгорит никуда. Даже не отмывая, никто интересоваться особо и не будет.
Вообще, идеальный вариант — перевести в USD-T: и доллары, и проблем никаких. Разве что я не знаю, как у них там с интеграцией пока что.
P.S. btc-e скорее как раз не биржа, а средство по отмыву, лучше пользоваться чем-нибудь более легальным, вроде cexVilgelm
17.12.2016 19:25Если выводить не в банк, а в офшорные ЭПС типа AdvCash и налить с их же карт (которые эмитированы банком в Гибралтаре), то вопросов возникнуть не должно по идее.
Btc-e нормальное средство для обмена и вывода, не знаю как там с большими суммами, но с маленькими все нормально: быстро, относительно недорого, можно выводить в офшорные ЭПС. Если надо мелочь и сразу в наши ЭПС (Qiwi), то можно через Yobit. Никаких сканов и прочего не требуется.
Да, еще можно обойтись без бирж, просто заводить биткоины на WMX, а оттуда на карты с cards.webmoney.ru, они тоже офшорные.Labunsky
17.12.2016 20:42офшорные ЭПС типа AdvCash
оттуда на карты с cards.webmoney.ru
А еще у Qiwi есть карты свои тоже. Собственно, я это с самого начала и предлагал, биткоин тут какой-то оверхед, плюс куча мороки :)Vilgelm
17.12.2016 20:56Qiwi не оффшор, понадобятся кошельки на левые данные и карты тоже. В случае с btc фиат можно выводить на свои данные, просто через офшорные ЭПС. Мороки и там, и там хватает, но биткоин в итоге получается анонимнее.
Labunsky
18.12.2016 00:51Qiwi Bank зарегистрирован на кипре (все валютые операции через него), им же принадлежит около 100% акций АО Qiwi ;)
vmir88
15.12.2016 22:34+1Даа, пофиг, что биткоин используется, в основном, для покупки наркотиков и прочей нелегальщины. Шифровальщики — вот что по-настоящему омрачит репутацию битка.
Ipeacocks
15.12.2016 23:24+1Через Интернет тоже пиратят 90% контента. Нужно запретить Интернет?
Можно еще и шифрование запретить, чтоб не было таких вирусов. И вообще законопослушным людям нечего скрывать.
GreyhoundWeltall
16.12.2016 08:34Я уверен, что львиная доля изнасилований делается при помощи мужского полового органа! Требую принудительной кастрации всех мужиков, ведь это снизит количество изнасилований!
Вот такая логика получилась у Вас.AFakeman
16.12.2016 09:19+1Все-таки логика чуть другая: «большинство использований мужского полового органа приходится на изнасилования».
vmir88
16.12.2016 20:48Во-первых, я отвечал на комментарий, в котором говорилось, что использование битка в шифровальщиках якобы «убъёт биткоин». Это по меньшей мере глупое заявление, так как биткоин уже заработал себе нехилую репутацию самого анонимного платёжного средства, следовательно, самого недоступного для правоохранительных органов.
Меня удивляет, почему Вы (и не только) в моём комментарии увидили именно призыв запретить биткоин, а не просто акцентирование внимания на том, что биток как минимум подозрителен для государства.
Я уверен, что у Вас вызовет подозрение, например, если продавец в магазине потребует от вас оплатить товар мелкими немеченными купюрами.
Merkat0r
15.12.2016 22:51+1Да, скажу крамольное — но биткоин это как раз то, что и помогает всяким шифровальщикам и вообще черному рынку.
ИМХО — это и есть канонический случай *хорошими делами вымощена дорога в ад* ибо есть вот кучка, она действительно очень маленькая, людей которые хотят на самом деле революцию в финансах, свободные валюты и т.д.
Но, они всеже живут немного в розоватом мире, а есть остальной реальный мир где на них, в принципе, всем насрать — *спасибо пацаны шо сделали, атдуши* сказал вася нарик и пошел делать\забирать очередную закладку.
Да, именно так — вот сходу сами подумайте, что легко купить в любой точке мира за битки. Ничего легального. Точка. 99% использования — черный рынок и легкий не отслеживаемый перевод денег из точки А в Б. Реально, на них проще и быстрее купить наркоты и пару УЗИ в 2 клика чем заказать пиццу… Эх, чую суицид :(
Deadwind01
16.12.2016 01:161.запретить пользоваться bitcoin легально/препятствовать распространению
2.bitcoin начинают пользоваться нелегально
3.объем продаж наркоты и тд начинает в порядки превышать доставку пиццы от энтузиастов
??? удивляться, что им пользуются 99% в нелегальных целях.
PROFIT
GreyhoundWeltall
16.12.2016 08:40Вы только представьте, сколько всякой всячины можно купить за нал!
Никакого суицида, просто посудите сами: для легализации чего-то нужны законы (так или иначе), а любая бюрократическая машина двигается медленно (некоторые — просто чуть медленнее других). Нелегалам же волокита с законами, бумагой и нормативно-правовыми условиями банально не нужна — они сразу «на коне», от сюда — использование битка для «черных» задач.
Принципиально он не сильно лучше нала в этом вопросе: и то и другое отмывается, вполне анонимно и тд и тп. Просто сейчас (и ближайшие много лет) он не будет так сильно распространен, и этому надо способствовать — тогда и «теневая» купля-продажа уйдет на мелкие позиции.AFakeman
16.12.2016 10:41Нал в больших количествах достаточно сложно перемещать/вывозить из страны. Пусть это и не совсем из жизни пример, но вспомните, как перевозили деньги в «Волке с Уолл-Стрит». Биткоин же неотслеживаемо гуляет, где хочет.
GreyhoundWeltall
16.12.2016 11:04А разве нал сначала не «отмывается»? До перемещения, конечно.
А отмытый нал можно и на электронный счет положить.
Биткойн может гулять сколько хочет — ведь все равно для потребительских услуг — он пока малоприменим (мало кто продаст машину с оплатой битками, к примеру), и его по сути так же «выводят» в более общепринятые валюты. Даже условный сутенер, продавший контейнер шлюх в турцию за битки, все равно пойдет покупать шубу в той валюте, которую примут.AFakeman
16.12.2016 12:45Собственно, еще одна трудность с налом.
Что пока что биткоин малоприменим — согласен, полученные деньги тоже сейчас надо отмывать, но в перспективе, которую пророчат его адепты это уже не будет нужно, так как его будут и так везде принимать.GreyhoundWeltall
16.12.2016 14:47Биткойн по-прежнему не выгоден тем, кто хочет получать «навар» с криминала и его «крышевания». Поэтому я — пока что — в успех не верю. Хотя и считаю, что инициатива — хорошая, идея — неплохая, запрещать — не надо и тд.
Кстати про отмывание — оно требуется только для крупных покупок. Обычно крупные суммы нала и вообще крупные транзакты вызывают вопросы.
Vilgelm
17.12.2016 04:32До биткоинов это были QIWI и Яндекс кошельки зареганные на сканы (иногда даже и Webmoney, но с ним сложнее). Да и сейчас используется примерно в половине случаев, т.к. биткоин не любой наркоман осилит.
Если есть спрос, то будет и предложение, и платежные средства.
За битки, кстати, можно купить что-нибудь в newegg.com и это единственный способ купить там что-то без американской карты (использование которой сразу дает +10% к цене, не важно виртуалка это с плати.ру или какая-нибудь полноценная карта).
SHVV
16.12.2016 00:06Запрещать-то вряд ли запретят.
Меня больше интересует, откуда такой вывод в статье, что благодаря криптовымагателям курс биткойна должен вырасти? Наверняка эти мошенники в основном не в биткойнах будут деньги тратить, а в реальной валюте, просто потому что пока на неё можно себе куда больше всего позволить купить, чем на криптовалюту. Так что баланс спроса и предложения на биткойн вымогатели скорее всего сильно не нарушат, а значит расти курсу не с чего.
ZeStas
16.12.2016 10:40+1Запрещать его никто не будет. Наоборот, легализуют и поставят под контроль. Простая последовательность:
1) Легализуем биткоин. Разрешаем биржам им торговать, а магазинам — принимать в качестве оплаты. Но с условием, что при этом используется версия блокчейна, заверенная государством.
2) Крупные игроки, которых относительно легко вычислить будут вынуждены с этим согласиться. Большинство пользователей последуют за ними. Мелкие нелегальные форки давим вычислительной мощью, которой у государства всяко больше чем у трех с половиной анонимусов.
3) В случае вымогательства просто пишется заявление, кошелек блокируется, а все транзакции с него откатываются.
hidalgo007
15.12.2016 22:29Я в этом году ловил такую бяку. Особо не пострадал, ибо почти всё самое ценное бекаплю. Но какую-то текущую мелочь всё равно потерял, плюс время на переустановку и отладку системы. А вот облако мне не помогло, ибо и там все успело зашифроваться. А хранение версий файлов там только для платных подписчиков.
Может, всплеск активности шифровальщиков таки научит пользователей делать бекапы.SHVV
15.12.2016 23:41У меня Дропбокс откатил транзакцию с зашифрованными файлами и всё восстановил, после письма в техподдержку. Хотя аккаунт бесплатный.
Кстати, именно благодаря внезапно закрутившимся значкам синхронизации онлайн сервисов и заметил, что что-то пошло не так. Благо ничего серьёзного зашифровать не успел. Да ничего серьёзного там и не было.
И было это года 1.5 назад. Пролез через дырку в Яве.
Oplkill
16.12.2016 01:20Неужели так трудно нанять эникейщика, который бы переодически делал бекапы, если нет желания нанимать сис админа
Losted
16.12.2016 14:19Бэкапы условного эникейщика с большой долей вероятности также окажутся зашифрованными. Чтобы этого избежать нужно уже включать голову.
Oplkill
16.12.2016 15:42Это надо уже постараться, чтобы бэкапы зашифровались…
Нормальный эникейщик для бекапов будет использовать выделенный внешний жесткий диск, содержимое которого через некоторое время взбрасывается в изолированное от инета комп. Естественно на том компьютере будут включена защита от автозапуска, если вирус попал на жёсткий диск.
prostofilya
16.12.2016 06:5170% американских компаний платили выкуп после заражения
Оказалось, что 46% опрошенных фирм уже сталкивались с криптовымогателями, а 70% из них реально заплатили выкуп.
itvdonsk
16.12.2016 10:47В чем вы видите противоречие?
ilammy
16.12.2016 11:33Давайте я подскажу, как сделать ещё более броский заголовок: «Практически все согласившиеся американские компании платили выкуп после заражения».
prostofilya
16.12.2016 11:54В том, что 70% != 32,2 %.
itvdonsk
16.12.2016 12:00Почему вы включаете в 100% те компании которые не были заражены?
prostofilya
16.12.2016 14:31Потому что остальные 54% с криптовымогателями не сталкивались вообще. Как они могли им выплачивать, если они с ними не сталкивались?
itvdonsk
16.12.2016 14:38Как они могли получить «заражение» если они с ним не сталкивались?
70% американских компаний платили выкуп после заражения
Smolka
19.12.2016 07:26Пару дней назад к нам с почты, привязанной к офсайту нашей налоговой пришло письмо с js внурях.
Беспечность или криптооборотни в погонах? =)
RedVelvet
Если не смог найти нормального сисадмина который не плюет в потолок а позаботится о бэкапах и безопасности — ССЗБ.
susnake
Тут еще вопрос не в сисадмине, а в целом руководстве.
Будь ты хоть 6 пядей во лбу, но если на каждый твой запрос тебе отвечают «У нас кризис, денег нет.»/«В стране кризис, денег нет.», то тут ничего сделать нельзя.
Хотя когда прижмет и/или побегают с горящей жопой ора «ААА!!! Усе пропало!!! Спасайте-помогайте!», то сразу и кризисы проходят и деньги находят.
Incognito4pda
Вот, точь в точь описали нашу ситуацию на прошлой неделе. ))
susnake
Да у меня у самого такая ситуация была 2 года назад.
После того как словили, сразу и деньги на железо (не весть какое правда, но все же) для бэкапа откапались и антивирусную защиту приобрели. А сколько не ходил, не говорил, ответ один: «В стране кризис, денег нет, вы тут держитесь.»
Ipeacocks
У бизнеса нет денег, но почему-то у 20% людей 80% всех финансовых ресурсов. :)
3al
Сисадмин — это минимум $60к в год, заплатить за расшифровку может быть даже дешевле.
dmbarsukov
Сколько раз в год на количество сотрудников выгоднее заплатить? С учётом увеличивающегося количества вымогателей и способов их распространения?
icetinte
Это Американские реалии?
jedishat
… а потом заплатить ещё раз, когда внезапно твои финансовые данные уходят налево, и ещё раз, когда у тебя от твоих адресов спам начинает рассылаться, and so on, and so forth.
Впрочем, у многих действительно такая логика, к сожалению.
3al
Куда деваться? Сейчас же мнение «быть хакнутым — дешевле, чем IT-безопасность» давно не новость.