В последнее время программы-криптовымогатели (ransomware) всё чаще заражают государственные компьютеры, иногда даже парализуя работу городских служб, как это было в нескольких американских городах. В таких условиях ФБР пошло навстречу городским властям (и вымогателям), немного ослабив свою жёсткую позицию по оплате требований.
Бюро опубликовало обновлённую версию руководства с указаниями, как компаниям обрабатывать требования вымогателей. Там же есть раздел, обсуждающий возможность оплаты хакерам за расшифровку данных.
Если вкратце, ФБР по-прежнему считает, что компании не должны уступать требованиям хакеров и платить за расшифровку своих данных, но сейчас оно признаёт, что такой вариант тоже допустим.
«Выплата выкупа поощряет преступников нацеливаться на другие организации и повышает привлекательность и прибыльность этого занятия для других преступников, — говорится в руководстве. — Однако ФБР понимает, что когда бизнес сталкивается с невозможностью функционировать, руководители будут оценивать все варианты защиты своих акционеров, сотрудников и клиентов».
Общий совет для компаний, когда они сталкиваются с вымогательством, — никогда не платить выкуп. ФБР подчёркивает, что это поощряет злоумышленников. Более того, исследования показывают, что в большинстве случаев компания даже не получит свои данные обратно. Однако сейчас Бюро всё-таки сдалось и допустило возможность, что в некоторых случаях компании может быть лучше заплатить.
Во-первых, отмечают эксперты, идея о том, что оплата будет стимулировать атаки, на данный момент довольно устарела. После нескольких лет успешных атак, киберпреступники прекрасно знают, что этим способом можно заработать, даже если большинство жертв отказываются платить. Рынок уже прошёл тот рубеж, на котором мошенники отказываются заниматься своим «бизнесом», потому что жертвы не платят — и они остались здесь.
В некоторых случаях компаниям рекомендуется, по крайней мере, поддерживать идею требования выкупа, но только в крайнем случае — и делать это через консультанта или специалиста по безопасности, способного проверить, что ключи расшифровки работают, а все вредоносные программы тщательно вычищены с компьютеров.
Похоже, эти идеи достигли ФБР. Теперь оно говорит, что, хотя по-прежнему не поддерживает такие выплаты, но понимает, что в некоторых случаях жертва предпочтёт удовлетворить требование хакеров. И в любом случае ФБР хочет, чтобы жертвы сообщили об инциденте.
«Независимо от того, решили ли вы или ваша организация заплатить выкуп, ФБР настоятельно призывает вас сообщать о случаях вымогательства в правоохранительные органы, — сказано в руководстве. — Это даёт следователям важную информацию, необходимую для отслеживания вымогателей, привлечения их к ответственности в соответствии с законодательством США и предотвращения будущих атак».
Другими словами, платить выкуп не рекомендуется, но если вы решите это сделать, то не последует никаких санкций со стороны федералов.
Программы-криптовымогатели — это троянские программы, предназначенные для вымогания денег у жертвы. Часто они требуют плату за отмену изменений, которые были произведены в компьютере. Такие изменения могут включать:
- шифрование данных на диске, так что пользователь больше не может получить доступ к своим файлам;
- блокирование доступа к устройству.
На сайте «Лаборатории Касперского» объясняется, что программы-вымогатели чаще всего проникают на компьютеры с помощью фишинга или путём размещения на веб-сайте.
После установки троянец либо шифрует информацию на компьютере, либо блокирует нормальную работу компьютера, выводя на экран сообщение с требованием выплаты некоторой суммы за расшифровку файлов и восстановление работы системы. В большинстве случаев сообщение с требованием перевода денег появляется, когда пользователь перезапускает компьютер после того, как произойдет заражение.
Сообщения с требованием выкупа и способы вымогания денег в разных регионах могут быть разными. Например, поддельные сообщения о наличии нелицензионных приложений и поддельные сообщения о нелегальном контенте (сообщение якобы правоохранительных органов об обнаружении на компьютере контента, содержащего детскую порнографию, или другого нелегального контента). Такое сообщение сопровождается требованием уплаты штрафа.
В некоторых случаях устранить программу-вымогательно можно самостоятельно с помощью бесплатных дешифраторов. Например, на сайте антивирусной компании Avast доступны дешифроторы для следующих программ:
- Alcatraz Locker
- Apocalypse
- BadBlock
- Bart
- Crypt888
- CryptoMix (автономная версия)
- CrySiS
- Globe
- HiddenTear
- Jigsaw
- Legion
- NoobCrypt
- Stampado
- SZFLocker
- TeslaCrypt