Фабиан известен тем, что уничтожает программы-вымогатели – вирусы, которые криминальные группировки рассылают с целью вымогания денег. Из-за этого ему приходится вести уединённый образ жизни, и всегда на один шаг опережать киберпреступников. По окончанию нашего интервью он переехал в неизвестное мне место.
Для фотографа из британского Йоркшира ситуация была катастрофической. Поздно ночью он наносил финальные штрихи на свой последний набор свадебных фотографий, которые нужно было отправить радостным клиентам-молодожёнам. А затем на экране компьютера всё поменялось. Не только папка с изображениями, но и вся работа, вся почта и все чеки исчезли.
Школьная учительница из Техаса (США) осознала всю серьёзность положения только после того, как вспомнила, что хранилось у неё на компьютере. Подробный долгосрочный финансовый план образования. На него ушли месяцы работы и куча сил, и из-за одного клика мышкой теперь всё это контролировали хакеры.
Менеджер высшего звена одной крупной корпорации из Гонконга покрылся холодным потом. Он слышал о подобных компьютерных вирусах и о том, насколько они могут быть опасными. Но он никогда не думал, что его обманут, заставив кликнуть не по той ссылке. Прочитав требование о выкупе, он запаниковал. Из-за этой ситуации он мог потерять работу.
Программа-вымогатель [ransomware] – особенно неприятная разновидность компьютерных вирусов. Вместо того, чтобы красть данные или деньги у жертв, такой вирус перехватывает управление компьютером и шифрует все документы, изображения, видеофайлы и почту. Затем выдаётся требование о выкупе. Иногда оно записано в заметке, оставленной на рабочем столе, иногда оно внезапно появляется на экране.
И в таких случаях всегда есть выход. Оплатите хакеру несколько сотен – а иногда и тысяч – долларов, и тогда он восстановит твои файлы.
Всех упомянутых выше жертв настиг вирус-вымогатель какого-либо рода. Однако менеджер из Гонконга не потерял свою работу, а фотограф с учительницей смогли восстановить то, что сделали. Никому не пришлось платить денег, и когда они вернули свои жизни в нормальное русло, все они отправили электронные письма с благодарностью одному и тому же человеку.
Этот человек посвятил свою жизнь, испытывая при этом серьёзные проблемы, помощи жертвам программ-вымогателей по всему миру. Он тщательно скрывает свою личность для самозащиты, поскольку на каждое получаемое им сообщение с благодарностью приходится и сообщение с оскорблениями от ненавидящих его киберпреступников.
Вообще они настолько сильно его ненавидят, что даже оставляют персональные угрозы в коде собственных вирусов.
Для нетренированного человека код компьютерного вируса представляет собой мешанину из букв, цифр и символов. Но для Фабиана Возара, каждая строчка – чёткая инструкция. Он знает и понимает каждую цифру и каждую точку так же, как пианист понимал бы страницу с нотами.
Около года назад, разглядывая код новейшего вируса-вымогателя в поисках подсказок, которые помогут его взломать, он внезапно замер. Прямо из кода на него смотрели зелёные буквы, складывающиеся в ругательство, адресованное к нему лично. По имени.
«Я был шокирован, но в то же время испытывал настоящую гордость, — сказал Фабиан. – Даже немного зазнайства. Врать не буду, это было приятно. Было ясно, что программист был взбешён. Они потратили время и силы на написание сообщения, зная, что я его увижу, и ясно, что я их начал доставать. Отличная мотивация – знать, что моя работа раздражает некоторые особенно неприятные группировки киберпреступников».
Фабиан показывает мне другие сообщения. Мне требуется некоторое время на то, чтобы увидеть их во время прокрутки бесконечных строк кода. Когда я обнаруживаю одно из них, оно выделяется, словно маяк в море нечитаемых символов.
Почти все из них нецензурные, оскорбительные и угрожающие. Часто упоминается мама Фабиана и описания половых актов. Многие содержат вызовы и насмешки в его адрес. Один вирус даже назывался Fabiansomware, в попытке заставить жертв поверить, что за ним стоит Фабиан.
Но некоторые больше похожи на просьбы, как вот это, найденное им несколько месяцев назад:
«Фабиан, пожалуйста, не взламывай меня! Это моя последняя попытка. Если ты взломаешь эту версию, я начну принимать героин!»
«Они пытались вызвать у меня чувство вины. Но, естественно, я взломал их вирус и выложил расшифровщик, — сказал он. – И, что неудивительно, это их не остановило, и они выложили очередную версию».
Фабиан хранит все найденные сообщения. У него набралась уже большая коллекция, и это ещё одна мотивация, заставляющая его посвящать себя своей работе, и даже чрезмерно увлекаться ею.
С момента, когда вы попадаете в дом Фабиана, вы понимаете, как эта преданность проявляется в его жизни. В его непритязательном доме на окраине Лондона нет никаких украшений. Никаких картин или фотографий на стенах. Никаких ламп или растений. Полки пустуют, за исключением коллекции игр от Nintendo и книг по программированию.
У него есть одна настольная игра под названием Hacker: The Cyber Security Logic Game, и он говорит, что хорошо в ней поднаторел, хотя всегда играет в неё в одиночку. Короче говоря, его дом нельзя назвать уютным, но этот жизнерадостный молодой уроженец Германии от этого не страдает. Он признаёт, что 98% времени проводит дома, работая из кабинета на втором этаже.
«Я из тех людей, которые не выходят из дома без уважительной причины, — говорит он. – Мне не особенно нравится выходить из дома без необходимости. Почти все покупки я делаю через интернет, и мне всё доставляют. Я не люблю хранить много вещей, и большую часть времени провожу за работой».
Как ни странно, под офис Фабиан оборудовал самую маленькую комнату в доме. Именно там, за закрытыми шторами, он проводит большую часть жизни, набирая базу благодарных поклонников и опасных врагов-ненавистников со всего мира.
Он удалённо работает на компанию, занимающуюся кибербезопасностью, и часто по нескольку часов подряд работает совместно с коллегами из разных стран мира.
Когда он «входит в зону», внешний мир становится ещё менее важным, и всё его существо концентрируется на коде на экране. Однажды он проснулся со следами от кнопок на лице, заснув после 35-часовой непрерывной работы.
И всё это делается ради создания программ-антивымогателей, которые он и его компания обычно раздают бесплатно. Жертвы скачивают инструмент для конкретного вируса, следуют инструкциям и получают назад файлы. Понятно, откуда у него столько мстительных врагов среди киберпреступников.
«Никогда нельзя быть уверенным, с кем столкнёшься, но я думаю, что разозлил или расстроил порядка 100 различных группировок киберпреступников за несколько последних лет, — говорит Фабиан. – Код – он как текст повести. Можно узнать стиль. Можно понять, что имеешь дело с одними и теми же людьми. А также довольно легко отследить деньги. Изучая биткоин-кошельки, на которые преступники требуют переводить деньги, можно увидеть, кто отвечает за какой вариант программы-вымогателя и сколько они зарабатывают». Он говорит, что одна группа, «которую он сильно разозлил», заработала порядка $250 000 за три месяца перед тем, как он обнаружил их вирус и остановил его.
Программы-вымогатели – один из наиболее доходных способов делать деньги для киберпреступников. Красть данные можно, но на них нужно найти покупателя. А в этих атаках жертва и есть покупатель. У людей редко бывают резервные копии ценных семейных фото, поэтому они, скорее всего, заплатят пару сотен баксов, чтобы их сохранить.
Организации часто платят, не привлекая к делу правоохранительные органы, и не расстраивая акционеров. В некоторых случаях местные правоохранительные органы выплачивают деньги, оценив стоимость замены их систем на деньги налогоплательщиков. В марте чиновники из округа Джексон, шт. Джорджия (США), заплатили преступникам $400 000, чтобы избавиться от вируса-вымогателя и восстановить доступ к своей IT-инфраструктуре. Сообщается, что по их оценкам, замена компьютерной сети обошлась бы в миллионы.
Наиболее успешные кибергруппировки похожи на мафию, имеют особую структуру и разделение труда. Есть кодеры, пишущие вирусы, специалисты по отмыванию денег, защита и боссы, выбирающие жертв, а иногда вкладывающие деньги в более серьёзные преступные предприятия.
И поймать этих преступников чрезвычайно сложно. Одна из наиболее плодотворных группировок, занимавшихся вымоганием, и ответственная за два основных семейства подобных вирусов — CTB-Locker и Cerber – по оценкам, заработала порядка $27 млн, и годами не попадалась полиции. Чтобы закрыть её, пришлось объединить усилия американского ФБР, британского NCA и следователей из Румынии и Нидерландов. В декабре 2017 года в Румынии арестовали пять человек.
По данным компании Emsisoft, на которую работает Фабиан, каждые две секунды атаке подвергается очередной компьютер. Сеть компании за последние 60 дней сумела предотвратить 2 584 105 заражений – и это лишь одна антивирусная компания из десятков, существующих по всему миру.
Некоторые из наиболее разрушительных кибератак последних лет осуществлялись с помощью программ-вымогателей. В мае 2017 года сотни британских госпиталей погрузились в хаос из-за того, что вирус WannaCry распространялся по сети медицинских учреждений, как лесной пожар. Около 70 000 устройств — включая компьютеры, МРТ-сканеры, холодильники для хранения крови и оборудование операционных – отключились из-за вируса, который шифровал все данные и требовал оплату в биткоинах для их расшифровки. Докторам и медсёстрам пришлось возвращаться к практике ручной записи, а тысячи приёмов и операций были отменены или отложены. Во всём мире этот вирус поразил 300 000 компьютеров в 150 странах, сильнее всего — на Украине, в России, Тайване и Индии. Эксперты достаточно быстро обвинили в этой атаке, ущерб от которой обошёлся в сотни миллионов долларов, Северную Корею.
Ешё один вариант программы-вымогателя, Not Petya, в ответе за то, что часто называют самой разрушительной кибератакой за всё время. Считается, что ущерб от неё составил порядка $10 млрд, $300 млн из которых потеряла одна компания.
Заражение началось в июне 2017 года. Оно пошло от вполне безобидной бухгалтерской программы, популярной среди украинских компаний, и распространилось по стране, шифруя компьютеры в энергетических компаниях, транспортных сетях, аэропортах и банках. Затем вирус быстро начал шифровать компьютеры Германии, Франции, Италии, Польши и Британии.
Циничная жестокость вируса Not Petya заключалась в том, что, хотя он выглядел и вёл себя, как программа-вымогатель, на самом деле, даже если заплатить выкуп (а многие платили), файлы восстановить уже не удавалось.
Больше всего пострадала компания Maersk, крупнейшая фирма в мире, занимающаяся логистикой и контейнеровозами. Бизнес почти остановился, и за десять дней, которые потребовались на то, чтобы восстановить тысячи связанных в сети компьютеров, стоимость таких товаров, как бананы, резко скакнула, когда полки магазинов начали пустеть.
Некоторые считают, что атака была политическим актом против Украины, но никто достоверно не знает, кто за ней стоял. «Это, по сути, гонка вооружений,- говорит Фабиан. – Они выпускают новый вирус-вымогатель, я нахожу недостаток в его коде и создаю инструмент для расшифровки, помогающий вернуть людям файлы. Затем преступники выпускают новую версию, надеясь, что я её не взломаю. Иногда они разбираются в том, что сделали не так, и исправляют программу, но чаще всего они не видят недостатков в своём коде. Один раз эта игра в туда-сюда с одной кибергруппой продолжалась шесть-семь месяцев. И страсти накалялись, в то время как они всё сильнее злились на меня».
Фабиан признаёт, что, увлекшись гонкой вооружений с анонимными преступниками, становится сложно выполнять такие простые действия, как вовремя есть, пить, и следить за собой.
Среди бардака из книг по программированию и документов на его столе я замечаю две коробочки с таблетками. Контейнеры с метками для каждого дня недели говорят о проблемах со здоровьем, появившихся, по его признанию, из-за его образа жизни.
«У меня очень много лишнего веса, проблемы с давлением, поэтому я принимаю лекарства. Также у меня проблемы из-за гиперфункции щитовидной железы, — говорит он. – Это всё из-за моей работы и образа жизни. Я раздумываю над тем, чтобы завести щенка, чтобы мне приходилось покидать дом для прогулок. Да и компания бы мне пригодилась».
Именно сообщение, касающееся его лишнего веса, побудило его бежать из Германии и обосноваться в Британии. Примерно год назад он наткнулся на скрытое сообщение, которое, в отличие от многих, было пугающе личным:
«Фабиан, завязывай с чизбургерами, ты жирный!»
Такое он проигнорировать не смог. Не потому, что это его обидело, но потому, что демонстрировало, что киберпреступникам что-то известно о нём. До этого момента он хранил всё, кроме своего имени, в строжайшем секрете. Даже его босс и сотрудники не знали, где именно в своём родном городе жил он в восточной Германии, а теперь, судя по всему, преступники подбирались к нему всё ближе.
«Фабиан, кончай жрать гамбургеры, чувак, серьёзно»
«Это меня по-настоящему проняло. Не из-за веса – я очевидно вешу много — но потому, что я понял, что люди выслеживают меня в интернете», — говорит он. Фабиан описывал это время, как период страха. Он очистил учётные записи в соцсетях и веб-форумы от всех фотографий или ссылок на его внешность. Он обнаружил, что много лет назад в каком-то твите упоминал кетодиету. «Тогда я отовсюду удалил свой день рождения и прочее такое, чтобы не выдавать много информации, — говорит он. – Я помню, как думал о необходимости уехать из Германии, где можно легко найти человека по обрывкам информации».
«Это было очень страшно. Не думаю, что они убили бы меня, но эти ребята весьма опасны. Я знаю, сколько они зарабатывают, и для них ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти. Я переехал в Британию так быстро, как только сумел. Здесь можно спрятаться, нет никакой регистрации и всего такого, и можно жить анонимно».
Фабиан до сих пор не сообщил своим коллегам, где в Британии он живёт. Он согласился, чтобы я приехал к нему, только потому, что собирался переезжать в другое место, и не стал говорить мне, куда. Он понимает, что постоянные переезды и ограничения своей жизни и круга друзей являются частью тех жертв, на которые он идёт для своего хобби, превратившегося в профессию.
Впервые он обнаружил страсть к компьютерам в семь лет, когда игрался на рабочем компьютере отца. Его семья из восточной Германии была бедной, и исполнение его мечты зависело только от него самого. Три года он копил деньги на свой первый компьютер, собирая и сдавая бутылки и банки.
В 10 лет он скопил достаточно денег, чтобы купить компьютер и начать экспериментировать с ним. Всё завертелось, когда он впервые наткнулся на компьютерный вирус. «Он назывался TEQUILA-B, он испортил всю мою систему, и ужасно заинтересовал меня. Я пошёл в библиотеку, и у них нашлись пара книг про компьютерные вирусы. Я увлёкся этим и написал собственную программу-антивирус».
К 14 годам он уже был известен в своём районе как эникейщик, и сумел скопить достаточно денег для того, чтобы помочь семье переехать в более хороший дом в хорошем районе. К 18, без какого бы то ни было формального образования он устроился в фирму Emsisoft, занимающуюся кибербезопасностью, где заработал свою репутацию и стал известным, как один из лучших экспертов по программам-вымогателям в индустрии.
С такими навыками и репутацией Фабиан мог бы стать одним из крупнейших имён в кибермире, но он избрал более скромное существование. Он очень хорошо зарабатывает, но, глядя на его дом и то, как он живёт, сложно понять, на что он тратит деньги. «А я особенно и не трачу их. Мне нравится играть в настольные игры в онлайне [так и написано – видимо, автор что-то перепутал / прим. перев.], но это стоит немного, — говорит он. – Я много денег отправил сестре, у которой маленькая дочка. Мне нравится следить за тем, чтобы у неё было всё необходимое».
Ему постоянно предлагают награды и вознаграждения, но он не любит их принимать. Но один подарок ему понравился – это был рисунок от одного благодарного художника, который попытался представить, как Фабиан может выглядеть. На нём изображён дородный мужчина в шапке, изображающей полярного медведя. Как ни странно, художнику удалось передать суть (и любовь к полярным медведям), даже без портретного сходства.
Этот рисунок он использует в качестве аватарки в интернете, радуясь тому, что получил её от человека, которому помог, и при этом зная, что её использовать безопасно.
Уходя от него после интервью, я чувствую себя польщённым тем, что был приглашён в его дом, и стал одним из немногих людей, которому доверили его местоположение, пусть и временно. Я пожелал ему удачи с переездом и с поисками компаньона-щенка, с которым он мог бы разделять свою странную жизнь.
Комментарии (100)
PowerfulPaw
29.03.2019 15:20Если он так успешно борется с вирусами, то логично было бы создать свою команду или комапнию(как я понял, сейчас он это делает в одиночку). Как говорится «гуртом і батька легше бити»
avia07
29.03.2019 15:37+1Ох уж эта бибиси! И охота вам эту ахинею переводить?
feyd12
29.03.2019 21:49+2Легкая и ненавязчивая реклама Emsisoft)) Кстати, я вот считаю, что все глобальные эпидемии последних лет сослужили хорошую службу в целом, выявив глобальный масштаб проблем и наплевательство крупных компаний на ИБ и своих клиентов, даже при выпущенных обновлениях безопасности.
teecat
29.03.2019 15:59Если интересно, то да. Письма нам с угрозами писали пару раз (уж не знаю какие они были программисты, но письмо было совершенно безграмотное). Сообщения нашим аналитикам тоже были — типа «как тебе такое Илон Маск?». Но в реальности случай нападения был один — и то почему-то не на центральный офис, а на офис партнеров
MacIn
29.03.2019 16:01Я почему-то думал, что вымогатели используют шифрование с открытым ключом — что там можно «взломать»? Разве только найти уязвимость в реализации алгоритма шифрования.
Я знаю, сколько они зарабатывают, и для них ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти.
Угу, russians are the scariest white people©. Клюква — она такая, бессмысленная и беспощадная.xfaetas
29.03.2019 17:49-1ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому
Скорее британский аналог условных российских таджиков. В России бы сказали «заплатить 10-20 тысяч какому-нибудь таджику».
MacIn
29.03.2019 21:01+1Британский аналог «таджиков», насколько мне известно — это поляки или литовцы.
Тут имено рашн мафиа стереотип. Петров и Васечкин и так далее.
arielf
29.03.2019 23:47У поляков и литовцев по крайней мере европейские паспорта
MacIn
30.03.2019 18:05И что? Это ж про трудовых мигрантов.
А так-то и у русского может быть европейский паспорт.
Петров и Боширов!
Петров и Васечкин
arkamax
29.03.2019 19:37+4Угу, russians are the scariest white people
Стереотипы про русских не всегда вредны, а иногда и полезны. На волне нытья в СМИ про русских хакеров у нас в компании нет вопросов, кому из сотрудников оплатить поездку на DEF CON 8=) Разумеется, смысл далеко не только в этом, но лучше, когда коллеги подтрунивают, вместо того, чтобы обижаться, что едут не они.
dartraiden
30.03.2019 14:49Я почему-то думал, что вымогатели используют шифрование с открытым ключом
Это если автор вымогателя умный. Чаще бывает вот так:
Исследователи установили, что вымогатель CryptoHost использует для генерации хеша SHA1 ID процессора, серийный номер материнской платы и серийный номер диска C:\. Данный хеш затем применяется для присвоения имен RAR-файлам, а также для создания пароля к архивам, наряду с именем пользователя, которое закреплено за жертвой в Windows.
Ключи к данным, зашифрованным Petya, удалось подобрать вот так. Фабиан, в свою очередь, написал утилиту, которая этот процесс автоматизирует и делает более простым для неискушённых пользователей.
egigd
29.03.2019 16:08Как-то странно: почему работает целая компания, но «наезжают» на него, а не руководство этой компании?.. Не будет его — наймут другого, да и всё.
GooFFu
29.03.2019 17:13+1а где в тексте сказано, что наезжают только на него одного? присылают каждому в зависимости от вовлеченности или известности
mkovalevskyi
29.03.2019 17:13видимо это такая немного не реклама, в стиле — на всю компанию есть только один кто все тащит, а все остальные чисто обслуживающий персонал )
Sabubu
29.03.2019 18:02Потому что так страшнее. Поменяют его на другого программиста — запугают и того, и никто больше не захочет этим заниматься.
roscomtheend
02.04.2019 12:24А как наехать на руководство? Прислать письмо с угрозами — найдут, пакет с какашками под дверь кинуть — камеры, а так угрозы максимально анонимны и эффективны (достаточно упомнять вес и он убегает, запугав себя русскими хакерами, могущими сломать не только сервер).
eagleivg
29.03.2019 16:12Классический пример хорошего человека — делает хорошо другим, даже если ему от этого плохо.
agarus
30.03.2019 20:57Из-за засвеченых фоток в интернете переезжать в другую страну… Чего-то я подозреваю, что у него может нормально так играть паранойка и тогда в принципе, ему разницы нет, что он делает — ему всё равно страшно и плохо.
chupasaurus
29.03.2019 17:03Про онлайн настолки — знакомтесь, Roll20.
s-kozlov
29.03.2019 19:11Да хоть банальный PokerStars.
mkovalevskyi
29.03.2019 19:18покер это не то что можно назвать «стоят не много» )
другой вопрос, как «скрывающийся» кадр, палит привселюдно хобби, которое как бы нехило так ограничивает круг поиска?..
GREK74
29.03.2019 21:09Возможно это сознательный слив.
mkovalevskyi
29.03.2019 22:54+2штрилиц знал что борман в курсе. но знал ли борман что штирлиц знает что борман в курсе? ;)
DaneSoul
30.03.2019 03:43+2Может как в анекдоте:
— Ты что дурак пин-код на банковской карточке писать?!
— Сам ты дурак. С чего ты решил что это верный пин-код?
Lorian_Grace
29.03.2019 20:26Ещё вариант — tabletop simulator, там можно играть именно в настолки, а не в НРИ.
NoRegrets
29.03.2019 17:16+14Уровень ПАФОСА 1000%, у меня все датчики вышли из строя.
uvelichitel
30.03.2019 13:16Это наверное что то детское, воспитательное. Злые дяди, добрые полярные мишки, школьная учительница из Техаса (США) наконец выходит замуж.)
MaximChistov
29.03.2019 17:33+12Так и не понял, как он может взломать программу, которая получает открытый ключ из командного центра, и вообще в другом месте, только после оплаты, шлет закрытый ключ… Вряд ли он взомал RSA)
MacIn
29.03.2019 18:18Скорее всего, речь про шифровалки, которые генерят оба ключа на месте, в зависимости от параметров системы (ID BIOS'а и т.д.). Тут да — можно посмотреть алгоритм генерации ключей и сделать расшифровку.
Только, сдается мне, немного осталось шифровальщикописателей, которые так делают.
theurs
30.03.2019 05:40Когда вы вообще в последний раз видели блокиратор или шифровальщик? По-моему они вымерли.
GarfieldX
30.03.2019 17:11Есть подозрение, что такой подход не особо практикуется, т.к. занятие не укладывается в рамки законодательства и компетентные органы могут сначала ухватиться за канал ведущий к этому центру, а потом и за тестикулы кого-нибудь из причастных. Потому вымогатель должен быть автономным, а какой-нибудь биткоин прекрасно обеспечивает анонимность получаемого выкупа.
tumikosha
31.03.2019 14:29>а какой-нибудь биткоин прекрасно обеспечивает анонимность получаемого выкупа.
Отнюдь, его кто-то только не анализирует
Vadim_IT
01.04.2019 11:49Квалификации авторов не хватает чтобы реализовать такое, иначе они бы не работали хакерами, а сидели бы в удобном офисе с хорошей зп которая была бы и не рисковая и деньги честные не сказать что особо много, но зп программистов в какой нибудь европе заметно выше чем у среднестатистического офисного планктона. Ну и о реализации вируса: нужно подумать уже и о сетевой анонимности, по таким сетевым следам поймано немало хакеров.
EobardThawne
29.03.2019 22:32+2Использует свое реальное имя и удивляется, что о нем узнали. Л — логика.
CHolfield
29.03.2019 23:33+2Я не понял, писатели вирусов — дебилы, или не знают об асимметричной криптографии? Почему не пошифровать все открытым 4096-бит ключем и отписать Фабиану в коде чтоб мазика побольше положил?
Упд: ясен пень я не первый подумал на эту тему)
selivanov_pavel
30.03.2019 02:37+1Тоже не понимаю этого момента. Асимметричное шифрование все шифровальщики освоили давным давно, поддавались извлечению вшитого ключа и расшифровке только некоторые из первых появившихся.
Скорее всего, статья — рекламный фейк.
Greenback
30.03.2019 16:35для каждого шифруемого компа должен быть уникальный ключ дешифровки. И шифровальщик должен работать автономно.
selivanov_pavel
30.03.2019 17:47Опять же тривиально реализуется. Генерируем уникальный ключ для компа, шифруем открытым ключом преступника, незашифрованный ключ удаляем. Чтобы расшифровать данные на компе, надо перевести преступнику XXX денег и отправить зашифрованный ключ, а он пришлёт утилиту расшифровки.
roscomtheend
02.04.2019 13:27Сдаётся мне, что имея подобные компетенции, вы зарабатываете на жизнь не созданием шифровальщиков. В этом и секрет, посмотрите уровнем пониже — половина изобретает собственный надёжный способ шифрования xor 55h, думая что они крутые и никто не догадается взломать их шифр.
dartraiden
30.03.2019 16:50Некоторые сих пор не используют ассиметричное шифрование. Лень, некомпетентность авторов, причин много.
Например, тот же «Петя» трёхлетней давности поддаётся расшифровке.
UnrealQW
30.03.2019 07:55А также непонятно почему хакер-миллионер продолжает гробить свое здоровье на окраине Лондона, а не пить мартини на Гаваях. Или он, работаю всю жизнь в ультра-эксклюзивном бизнесе, который позволяет людям спасти миллионы денег, все еще бедный? В чем цель такого напряжения?..
engine9
30.03.2019 10:38Например, герой статья может быть очень застенчивым человеком и не уметь «продавать» себя. К тому же описанный вами стереотип «успешности» весьма нереалистичный и тиражируется скорей в криминальных киношках и играх про наркобаронов.
GarfieldX
30.03.2019 17:18+2Это тоже своеобразный стереотип, что хорошо обеспеченный человек обязательно должен "соответствующе" отдыхать, т.е. на "широкую ногу". Обычно же реальность совершенно противоположна. Например, человек умеющий зарабатывать может совершенно не уметь тратить. С айтишниками же вообще все сложно, ведь специфика их увлечения и источника способностей делает из них интровертов, для которых разгульный отдых противоречит характеру.
amarao
30.03.2019 13:33Я ничего не понял. Товарищ научился ломать асимметричную криптографию медитацией над исходниками? Или вымогатели перестали нормальным шифрованием пользоваться?
Barafu_Albino_Cheetah
30.03.2019 15:04А был ли товарищ? По-моему, ахинея в одном ряду со школьниками, взломавшими Пентагон, и хакерами, которые украдут любой сайт по желанию.
GarfieldX
30.03.2019 17:06Может вымогатели особо не заморачиваются и творят лажу, которую можно вывернуть мехом внутрь, чем упомянутый персонаж и занимается.
sim3x
02.04.2019 00:150. Нормально применять крипту нужно уметь
1. Просто ассиметричное шифрование не спасает — нужна длинна ключа и правильный алгоритм
2. Ошибки в коде
3. «Место хранения» закрытого ключа можно вскрыть
4. Атака на самих вымагателей
5. Сигнатуры дял антивирусниковamarao
02.04.2019 11:39Первые три пункта решаются 5-минутной медитацией над параметрами командной строки gpg. Сигнатуры для антивирусников очень помогают расшифровать, да.
maikus
30.03.2019 14:59Он так боялся, что русские его порешат, что уехал из Германии в Великобританию. Новостей что ли не читает?? Общеизвестно же, что русские всех убивают (или здоровья лишают) именно в Великобритании, а в Германии таких случаев вроде бы и не отмечено.
safari2012
01.04.2019 17:15Как это? А 1945??
maikus
02.04.2019 11:02Ну да. Было. Но это же было задолго до появления всяческого ransomware. И вообще, они тогда первые начали.
1c80
30.03.2019 20:07а где антивирусы этого Фабиана? я не смог найти. кто то пользовался реально? они действительно могут декодировать зашифрованные файлы?
axe_chita
30.03.2019 20:10Странный герой рассказа, вродебы безопасностью занимается, а личную инфу стал подчищать только когда подгорело. И почему стал её удалять, создавая а не отчетливый кильватерный след, а не забил противоречивыми фактами?
igorp1024
30.03.2019 20:57Перевод слишком правильный. :)
fabian lay of the cheeseburgers you are fat
«Фабиан, завязывай с чизбургерами, ты жирный!»Это должно звучать как-то вроде "фабиан кладка чизбургеры ты жирный", ибо "lay off"
fabian stop eat hamburgers, serious man
«Фабиан, кончай жрать гамбургеры, чувак, серьёзно»А это — "фабиан прекращать кушать чизбургеры, серьёзный человек", т.к. "eating" и "seriously"
Wesha
30.03.2019 22:05
«to lay off» — «отложить [в сторону]», «прекратить использовать». Язык подучите, прежде чем советовать.fabian lay of the cheeseburgers you are fat
Это должно звучать как-то вроде «фабиан кладка чизбургеры ты жирный»igorp1024
30.03.2019 22:20Язык подучите, прежде чем советовать.
Не стОит так бурно реагировать, просто чуть более внимательно посмотрите мой комментарий. :)
Wesha
30.03.2019 23:47И то правдаFloorZ
31.03.2019 08:52По поводу рассшифровки и прочего.
1 — шифровать надо по сгенерированному ключу на месте. Обычный Rand с сидом текущего времени и хэшем не пойдет (да и то, найдя точное время активации вируса — мы найдем сид) Т.к. по той или иной причине, антивирус может блокануть вирус, не дав ему отправить ключ расшифровки. А если их вирус будет безвозвратно уничтожать данные — им не будут слать деньги.
2 — вирус не всегда может отослать ключь злоумышленнику. Либо он ждёт подключение к сети. Либо создает хэш, на основании каких то констант пк. А по этому хэшу и какойто соли, которая известна только злоумышоеннику — генерирует ключь.
3 — задача злоумышоенника не уничтожить данные жертвы. Злоумышленник должен получить выгоду. По этому нету смысла создавать вирус, ключь к которому легко по ерять.
В идеальном сценарии:
- Вирус генерирует ключь, возможно юзая аппаратный шум.
- Шифрует
- отправляет ключ на сервер
- удаляет себя
Видите сколько точек отказал?
Плохой аппаратный генератор.
Отсутствие связи с сервером.
Удаляет себя раньше положенного.
Если мы сделаем принудитеное удаление, если нету связи — потеряем жертву.
Если мы не будем отправлять ключь пока нету связи и находится в режиме ожидания — в этот промежуток времени может случиться что угодно. Блокировка антивируса, перезагрузка пк, убийство процесса и т.д.
Если бы можно было просто шифрануть данные и уничтожить приватный ключь на пк и гарантированно доставить его на сервер — проблем бы не было.
- Вирус генерирует ключь, возможно юзая аппаратный шум.
1c80
31.03.2019 09:14А зачем так сложно? можно сначала отправить ключ, а потом уже шифровать, получив ответ сервера, что ключ принят и троян установлен.
судя по последнему случаю, в одной конторе, вообще сначала был установлен кейлогер,
который снял админский пароль, а потом уже шифранули все, в том числе и скл сервер,
на котором они предварительно остановили службу, такое не видел ещё.
хотя потом выяснилось, что предыдущему админу не заплатили, возможно это он и сделал.FloorZ
31.03.2019 09:47А если нет ответа от сервера? Например на шлюзе адреса блокируются? Тогда нужен гибридный подход.
Оффлайн и онлайн. В два раза больше работы в итоге.
А если шифрование прервалось на середине? Пользователь убил процесс или перезагрузился? В этом случае, ключь надо сразу уничтожить. Но тогда, как продолжить шифрование? А что с деньгами? — т.к. программа перезапустилась и вторая половина данных зашифрованно под другим ключем, как тогда поступать? Просить деньги за каждый ключ?
Нюансов на самом деле много)
Вопрос, сколько готовы потратить времени на разработу1c80
31.03.2019 14:52+1А если нет ответа от сервера? Например на шлюзе адреса блокируются?
тогда не запустится
А если шифрование прервалось на середине? Пользователь убил процесс или перезагрузился?
процесс как я смотрю потом спокойно продолжается, они видимо решили проблему, как продолжить
Gamliel_Fishkin
31.03.2019 10:55Погуглил. Примерно то же, что и здесь. «Тогда автор(ы) малвари сконцентрировались на улучшении кода, а также начали применять обфускацию, используя VMProtect. ‹…› Разработчик малвари тогда перешел на использование другого алгоритма». «Узнав о появлении дешифровщика, автор Radamant сразу же взялся за создание второй версии».
Злоумышленникам проще было бы создать что-то на основе исходников GnuPG, захардкодив свой открытый ключ — но они предпочитают уподобляться мухе, бьющейся об стекло рядом с открытой форточкой.
tumikosha
31.03.2019 14:34Нёрд и фатцель(жирный девственник). Очень популярная тема. Мол сильно страшный и не нравится женщинам. Нашел бы себе жену, так она бы его замотивировала на создание своей компании. А если бы хорошую жену, то она бы помогла компанию поднять, как Касперская.
Кстати, вроде все уже поняли, что мошенников ловят на расшифровке, поэтому никто ничего уже не расшифровывает. Просто шифруют и ждут денег.
Сильно не хватает линии противостояния феминисткам. Может они в Emsisoft-е директорами да маркетологами работают и беспощадно его эксплуатируют? ;0)1c80
31.03.2019 14:59+1нет, ключи они смотрю присылают, а то кто бы им платил.
другое дело, что некоторые из принципа не платят и заставляют сотрудников все восстанавливать и обычно без доплат, за то что те, чуть не ночами потом сидят
и все равно полностью восстановить не получается.
и ловить их я так понял никто особо не ловит, кому это надо, когда есть столько других более важных дел.
Поставьте пожалуйста плюсов кому не жалко, а то комментировать не удобно, раз в 5 минут толькоfeyd12
31.03.2019 21:59Плюсы тут не помогут, тут карму поднимать нужно. Такова наша с Вами скорбная юдоль))
1c80
31.03.2019 22:57Спасибо, тем кто поставил плюсы и тем кто хотел поставить и не смог тоже спасибо.
Ну мне карма не так важна, а вот удобство комментирования желательно,
я так заметил, что плюсы на это влияют.Gamliel_Fishkin
01.04.2019 06:38Если напишете что-нибудь достойное размещения на Хабре… в общем, многое зависит от Вас.
1c80
01.04.2019 14:50Ну не писать же, ради кармы, это как то не правильно.
а так да, есть пара мыслей, потом может соберусь.
Dioxin
01.04.2019 09:58холодильники для хранения крови и оборудование операционных – отключились из-за вируса, который шифровал все данные
1. Неужели холодильник на Винде?
2. А зачем холодильнику вообще инет-сеть?Wesha
01.04.2019 18:50Ну как, не понятно, что ли? Была кровь первой группы, проник в неё вирус и зашифровал, и теперь никто не знает, какой она группы ;)
faustxp
Ох уж эти стереотипы.
Минимум 25.
SLY_G Автор
Правильно, нечего демпинговать.
tuxi
Еще же надо медведю заплатить и балалайку купить :)
Capacitor10n
del
androidovshchik
На водку не забудь тоже)
arthi7471
Я ржал в голос с этой фразы. Ну поцчему нас всех считают убивцами? Что за бред! Мы даже по преступности среди стран где-то на стопицотом месте! Ох уж эти сказки, ох уж эти сказочники.
mkovalevskyi
66
или у вас более другие данные? ;)
Naves
Он же из восточной Германии, возможно местный фольклор со времён ГДР и Штази. Да и сейчас novichok на слуху.
VolodjaT
Ага, Прибалтика, Грузия, Украина, Сирия...
shm-vadim
Югославия, Ирак, Афганистан, Сирия… Но это все ничего.
Кстати, Прибалтика-то тут причем? В свое время отпустили, как миленьких. Сейчас в ЕС и НАТО входит.
engine9
Люди судят не по фактам, а по картинке. Медиавойны выигрываются в телевизоре.
Закат дирижаблестроения начался не после самой большой (по количеству жертв) катастрофы, а после того как в прессе появились фото пылающего зловещим адским пламенем «Гинденбурга».
MacIn
А что Прибалтика?
frkbvfnjh
Ну вообще то Русские — страшные люди! Вы вообще росли в 90-х? Когда уличная братва могла тебя забить до смерти просто потому, что вышел за хлебушком.
1c80
Ну Вы сгущаете краски, или перепутали со временами СССР, когда алкаши творили что вздумается.
В 90-е для достижения такого результата, надо было или попасть под раздачу или что то сделать, так как непонятно, кто там идёт за хлебушком и что там у него под плащом находится.
DarthVictor
Есть и положительные моменты. В Париже возле Сакре-Кёр ко мне пристал какой-то афропарижанин в попытках продать какую-ту херню со словами «Respect Africa» (не знаю почему по-английски). Я пытался от него отделаться отвечая по-французски, но он только больше злился. А потом моя жена обратилась ко мне по-русски и пацана как ветром сдуло.
Fly3110
У нас было примерно так же. Какой-то афро-француз в Париже нагрузил нас с супругой и дочкой статуэтками эйфелевой башни (под этой самой башней) и никак не отставал. Дело было давно, точно не помню, что мы сказали, но мы в шутку сказали что-то про то, что им займется «evil KGB» :) Он нам подарил одну статуэтку и испарился )
safari2012
Не там, где винтажная карусель, случайно? К нам там тоже приставали…
xleb0re3
это в фунтах. в долорях так и будет 25К. С- стабильность