Российская компания вместо лечения зашифрованных вирусом файлов платит злоумышленникам


    Источник: Naked Security — Sophos

    Компаний, работающих в сфере информационной безопасности сейчас много. Технологии совершенствуются, а значит, злоумышленники получают все больше инструментов для работы. Им противостоят специалисты по информационной безопасности. Правда, не все из них действуют одинакового профессионально.

    К примеру, недавно в сети появилась информация о компании, которая позиционирует себя, как последний шанс для жертв программ-криптовымогателей. Эта компания заявляет, что она в состоянии расшифровать пострадавшие файлы, спасая, таким образом, бизнес и репутацию жертвы.

    Но в этом случае все не так однозначно. Как оказалось, компания, которая называется Dr. Shifro, не расшифровывает файлы. Вместо этого она платит злоумышленникам, а заказчикам предоставляет расшифрованные файлы, утверждая, что ее специалисты все смогли расшифровать.

    Но это не совсем правда — дело в том, что Dr. Shifro просто берет с заказчиков в 2-3 раза больше денег, чем просят злоумышленники, и работает с последними. Как только файлы пострадавшей стороны расшифрованы, Dr. Shifro заявляет, что это ее заслуга.

    В одном из случаев компания запросила $2,5 тысячи за услугу расшифровки файлов, заблокированных ransomware. Оказалось, что сами злоумышленники просят за это же $1500. Таким образом, компания взяла за услуги посредничества $1000, заплатив остальное киберпреступникам.

    Часто владельцы пострадавшего бизнеса готовы заплатить и больше решение проблемы с зашифрованными файлами. Компании зачастую не хотят связываться с киберпреступниками, поэтому готовы много платить тем, кто способен решить проблему.

    Но, как оказалось, компания Dr. Shifro и не думает заниматься самостоятельной расшифровкой. Она предпочитает договариваться со злоумышленниками, получая за это неплохую прибыль со стороны киберпреступников.

    По расчетам, компания за время своей деятельности получила около $300 000 прибыли. В среднем решение одного инцидента обходится клиентам организации в $3000 (в биткоин-эквиваленте). Но точный расчет провести нельзя, поскольку неясно, все ли клиенты получают одинаковый прайс на услуги.

    Общая рекомендация специалистов по информационной безопасности — не платить киберпреступникам, которые распространяют ПО-криптовымогатель. Справедливо считается, что если выплачивать злоумышленникам «выкуп», то они будут работать еще активнее. Поэтому многие жертвы вирусов-криптовымогателей обращаются к сторонним компаниям, обещающим расшифровать файлы. В этом случае некоторые жертвы готовы платить больше «белым» хакерам, чем выплачивать выкуп злоумышленникам.

    Тем не менее, шанс на расшифровку файлов, которые закодированы при помощи серьезной технологии, невелик. Так что можно предположить, что Dr. Shifro далеко не единственная компания, которая просто договаривается с шантажистами.

    Ну а последние и не собираются прекращать свою деятельность. Недавно новый вид криптовымогателя поразил более 100 тыс. компьютеров в Китае. Правда, мошенники требовали за ключ расшифровки небольшую сумму — всего $16. Обычно это сотни, если не тысячи долларов США. Насколько можно понять, новая разновидность ransomware рассчитана исключительно на китайских пользователей — в других странах случаев заражения этим вирусом пока нет.

    Распространяется зловред в качестве «приятного» дополнения к темам для местных форумов и мессенджеров. Но чаще всего пользователи из Китая заражаются этим вирусом при установке ПО «Account Operation V3.1», это приложение, которое позволяет управлять одновременно несколькими аккаунтами в QQ. Возможно, что вирус скрывается в модуле EasyLanguage. Исследователи говорят, что вирус не только шифрует файлы, но и ворует доступы пользователей к различным социальным сетям и мессенджерам, а также цифровым кошелькам и хостингу.

    Стоит отметить, что наибольшее распространение криптовымогатели получили в Китае. В других странах активность этого типа вирусов сошла на нет. По мнению специалистов, в частности, из компании Velvet Threat, ransomware разных видов заразило в Китае около 2 млн компьютеров.
    Поделиться публикацией

    Комментарии 62

      +6
      Так платят клиенты за результат, который получают? Или там в договорах обязательство делать исключительно собственными силами, не передавай на субподряд третьим лицам?

      Ну и в целом, если компания нашла способ платить за расшифровку не нарушая законы, а клиенты найти не могут или не хотят связываться с теми же биткоинами, засоряя отчётность сомнительными операциями, то вполне справедливая цена за ноу-хау или взятие на себя рисков сомнительных операций.
        +23
        Так платят клиенты за результат, который получают? Или там в договорах обязательство делать исключительно собственными силами, не передавай на субподряд третьим лицам?

        Тебе не придётся обманывать клиентов, если твои специалисты сами же пишут эти вирусы :)

          0
          а какие законы нарушает оплата за расшифровку?
            +6
            это по грани преступного сговора происходит… ну и это считай пособничество террористам…
              0
              Если террористы взяли сотрудников компании в заложники и требуют выкупа, то его уплату сложно подвести под пособничество террористам. В правовом либеральном государстве.
                +1

                Ну если абстрактный ОМОН за деньги пообещает провести спецоперацию и освободить заложников, а сам просто подеребанит с ними эти деньги, то именно этим и будет считаться.

                  +2

                  это частный омон. не казенный. так что договариваются как хотят, и чем гарантированней результат и бескровней — тем лучше.

                    0
                    Очевидно, что ни один абстрактный омон не будет обещать делать то, чего делать заведомо не будет.

                    Вам пообещали расшифровать — расшифровали.
                      0
                      В смысле заложников не освободит? Насколько я знаю, даже официальные правоохранительные органы практикуют схемы, когда выкуп реально оплачивается из средств того, кто его требует (когда из-за отсутствия средств у органов, когда из-за подозрений, что злоумышленники могут мониторить движения средств плательщика или самих органов), а потом проводится попытки задержания или хотя бы установления реальных получателей. Не всегда удачные. И никто не обвиняет ни органы, ни плательщика в пособничестве пока нет подозрений о сговоре.
                        –1
                        Да, вот только люди знают, что платят выкуп. А не делают вид, что проводят спецоперацию, а на самом деле платят выкуп
                          0
                          То есть они вообще сознательно финансируют террористов, а не введены в заблуждение органами? :)
                  0
                  Это зависит от того, как были обоснованы документально (и как осуществлялись «физически») многомиллионные переводы неизвестным лицам.

                  Но нарушения точно есть, по бухгалтерии у них должны быть большие пробелы — злоумышленники бумаг за переведенные деньги не дают.
                    0
                    Еще с помощью таких вот компаний по расшифровке вполне легально могут отмываться деньги, даже если компания-посредник будет с нулевой маржой работать. Ведь появляется же и легальный договор на работу и подписанные акты после предъявления расшифрованных файлов.
                    0
                    как проведете через бухгалтерию покупку биткоинов для расшифровки — расскажете :)
                    0

                    Почему же они честно не говорят, чем занимаются?

                      0
                      Честно говорят — расшифровывают. А каким способом — ноу-хау :)
                        0
                        Потому что у клиента возникают «моральные страдания», клиент готов заплатить за решение своей проблемы опытным специалистам, но не готов злоумышленникам. До кучи злоумышленникам надо платить в каких то биткоинах, платить без гарантий результата, а специалистам можно платить по факту и безналу.
                        0
                        >если компания нашла способ платить за расшифровку не нарушая законы

                        Интересно, как это сделка с преступниками, фактически являющаяся изначальной целью преступников, может быть не нарушающей закон?
                          0
                          Выплата выкупа за заложников какие законы нарушает?
                            0
                            Выкуп за заложников — только часть масштабной операции, предусматривающей выявление и обезвреживание преступников, и такая выплата осуществляется с разрешения силовиков. А не связанная с правоохранительными органами и не действующая в рамках мероприятий по выявлению и обезвреживанию похитителей группа лиц, специализирующаяся на выплатах выкупа с получением процента за услуги — пособники преступников и, вероятно, участники преступного сговора.
                        +2
                        Так-то похоже на отмывку…
                          +4
                          Но, как оказалось, компания Dr. Shifro и не думает заниматься самостоятельной расшифровкой. Она предпочитает договариваться со злоумышленниками, получая за это неплохую прибыль со стороны киберпреступников.

                          Как это похоже на выбивание банковской задолжности (порой мифической) через коллекторов.

                            0
                            Ну в общем да, есть такая тема, что через них будто бы можно закрыть свой долг за 30-50%, так как банки продают плохие долги коллекторам за 10-15%. Но есть и другие точки зрения, в частности, что выплата коллекторам вообще ничего не меняет, в итоге оказывается что компания А не имела всех прав на долги, вот компания Б наоборот, все права имеет и за то что должник выплатил компании А не отвечает.
                              0
                              выплата коллекторам вообще ничего не меняет

                              Они же вне всякого контроля.

                            +1
                            Учитывая, что число тех, кто файлы расшифровывает без обращения к злоумышленникам, исчисляется единицами — не удивительно.
                              0
                              А такие вообще есть? Из практики «компьютерной скорой помощи», либо касперский или веб присылают ключик по подписке, либо злоумышленника удается уторговать. Расшифровка (если она возможна, а часто шифровальщик вовсе никуда не передает ключ) дело чудовищно ресурсоемкое, если вы не АНБ то и браться смысла нет.
                                –1
                                Есть, вы двоих уже упомянули
                              0
                              Открытие. Эта компания год-не год, но давно точно постоянно в рекламе mail.ru и иных ресурсов.
                              А если в поиске поискать расшифровку с гарантией, то сходу три подозрительных предложения. «не присылайте нам свои зашифрованные файлы, у нас иной метод расшифровки»
                                –18
                                Преступники обычно уничтожают все безвозвратно, а заявка на расшифровку это откровенное вранье. Любой алгоритм по шифрации подразумевает, механизм по расшифровке и его можно отследить.

                                  +4
                                  Любой алгоритм по шифрации подразумевает, механизм по расшифровке и его можно отследить.
                                  Зачем его отслеживать, алгоритм называется RSA.
                                    –6
                                    У RSA пропускная способность килобайт 10 в секунду, если что. Им шифруют ключи, а не файлы.
                                      +6
                                      «Ты не поверишь...» (tm)
                                        0
                                        > килобайт 10 в секунду

                                        Это на аппаратных брелках что ли?
                                        0
                                        Это если ключ передан на сервер и злоумышленник сохранил к нему доступ. Если же с этой частью возникла проблема (а некоторые «продвинутые» юзеры отключают странно работающий компьютер от сети), то проще расшифровывать биткоин кошельки. Иногда реверс-инженеринг зловреда позволяет облегчить подбор ключа, тогда другое дело.
                                          0
                                          Если ключ НЕ передан на сервер — тем лучше, значит, ничего не зашифровано. Не так ли?
                                            +1
                                            Это почему? Зашифровка сама по себе идет, ну нет соединения стучимся до посинения, вырубили питание — ключ пропал. Кстати, совет — если видите шифровку в самом разгаре, загоняйте в гибернацию, ключ лежит в памяти.
                                          0
                                          Неправильное понимание. Отслеживание в данном контексте, это следы воришки которые у него где то есть. Наличие же закрытого ключа вызовет большой вопрос у следователей и кроме уголовного дела, это человек получит кучу гражданских исков на многие миллионы.
                                          +2
                                          Отследить механизм (т.е. алгоритм) шифрования — вообще не проблема. Но это не решает задачу — для расшифровки нужно знать ещё и пароль. А пароль этот — хранится у авторов зловредной программы; и он такой большой, что подобрать его за разумное время просто нереально.
                                          +1
                                            +2
                                            шанс на расшифровку файлов, которые закодированы

                                            Старайтесь лучше. Шифрование и кодирование — это разные вещи.

                                              +1
                                              Да и сам перевод какой-то странный.
                                              +1
                                              Что делает такая компания, если злоумышленники ничего не расшифровывают, а только собирают деньги?
                                                +1
                                                Видимо работает только с теми авторами, кто реально расшифровывает. Это тоже объясняет высокую наценку: деньги клиенту возвращать придётся, скорее всего.
                                                  0
                                                  Ну логично предложить заскринить пару файлов, причем на свой вкус, а не те что предложат они. Далее рискуют наверное. Или как то поэтапно работают. Ну и если злоумышленники оказались совсем злоумышленниками, то клиенту говорят увы мол и ах, фокус не удался.
                                                  +1
                                                  В прошлом году сталкивался с директором небольшой конторки у которой NAS шифранули, вместе с файловой 1Ской. Говорит: «Есть контора, которая может дешифровать файлы, в инете нашел». На мое сомнение, что такое возможно в столь сжатые сроки, сказал что файл пробный даже расшифровали. Просят 25 килорублей.
                                                  Я написал злоумышленнику, он ответил что битков хочет, примерно в эквиваленте 15к рублей.
                                                  Тогда и стала понятна схема работы. На тот момент, необычно, на мой взгляд.

                                                  Результат не известен, но видимо директору, не связанному с ИТ технологиями и без своего ИТшника оказалось проще воспользоваться услугами конторы по дешифровке даже зная разницу в ценнике.

                                                  С другой стороны это идеальный метод обналичивания намайненной крипты. У тебя куча битков, и организуя такую контору по дешифровке, ты совершенно легально можешь вывести битки в фиат без комиссий, оформив это услугами. А дельта разницы — это то что ты отдаешь налогами государству.
                                                    0
                                                    На фоне тьмы контор, которые пилят бюджетные деньги, этот бизнес не кажется даже аморальным
                                                      0
                                                      Ну можно было бы более правдиво подойти: не говорить что сами расшифровывают, а лишь выступают опытным посредником. За весь гемморой с криптокошельками, переводами и взаимодействие с злоумышленником взять 10-15 килорублей за услуги. И даже здесь можно заработать проявив талант переговорщика и попросив скидку. Ценник вполне можно уронить и получить свой бонус. Плюс продать аудит инфобезопасности или подарить пдфку с основами того чего делать не нужно.

                                                      Доказательство возможности скидки из личного опыта:
                                                      Скидка!

                                                        0
                                                        Более правдиво подойти сильно увеличивает риски привлечения к ответственности за пособничество преступникам.
                                                    +2
                                                    Так вот как это работает =). А я голову ломал как же они в сжатые сроки подбирают rsa-ключи.
                                                      0
                                                      я что то не совсем понимаю — честно, без сарказма — ну вот случилось так, что поймал ты шифровальщика, злоумышленник тебе говорит, плати 1000 или твои данные умрут.
                                                      Ок, ты обращаешься к фирме, которая берется расшифровать. Там говорят, без проблем, расшифруем, это стоит 2500. И ты платишь им 2500 вместо того чтобы заплатить 1000…
                                                      Ну ладно, как бы из принципа не платить злоумышленникам?
                                                      Недавно был подобный случай у товарища, не в России, в Америке. Поймали на фирме такого шифровальщика, те запросили изначально 10 000. Начали с ними торговаться, параллельно обратившись в фирму по расшифровке. Последние через день-два сказали что увы, помочь ничем не могут, алгоритм им неизвестен.
                                                      Поскольку данные были критичны, заплатили, конечно не 10, кажется что то 2 или 3.
                                                      Наверно это не очень правильно, но как мне сказали, выхода не было. И да, если бы фирма сказала — мы расшифруем, но это будет не 3, а 5 или 6…
                                                        0
                                                        Не понятно из комментария, что вам не понятно. Зачем переплачивать фирме в таких случаях?
                                                          0
                                                          именно — ну если бы фирма предлагала расшифровать за меньшие деньги, ну пусть за такие же, но не в 1,5-2 раза больше же…
                                                            +1

                                                            Навскидку:


                                                            • фирма, скорее всего, даёт гарантии возврата денег, если расшифровка не удалась или вообще оплату по факту берёт
                                                            • фирме-жертве гораздо проще заплатить другой фирме через банк по договору (или хотя бы инвойсу) о восстановлении данных и отнести эти деньги на расходы, чем связываться с сомнительными методами оплаты, которые так любят злоумышленники, и естественно без документов, позволяющих отнести деньги на расходы — и хорошо если отмывание или ещё что не пришьют.
                                                              0
                                                              Все правильно и логично вы пишите, одно но:
                                                              жертва согласна платить, не важно кому, вымогателю или посреднику-фирме, только если данные критичны, причем жизненно для жертвы. Если данные не критичны, или их восстановление потребует меньших ресурсов, платить никто не будет.
                                                              Поэтому я не знаю, как поведет себя даже самая принципиальная жертва, если, с одной стороны, принятие решения ограничено по времени, и с другой стороны, фирма, предлагающая услуги, не гарантирует результата но гаранирует возрат денег в случае неудачи. Ну т.е. время может быть упущено, данные будут утеряны навсегда, и деньги, возвращенные фирмой, будут особо не важны уже…
                                                              Я не за то, что мол, давайте все платить вымогателям, ни в коем случае.
                                                              Мой девиз — много бекапов, хороших и разных! )
                                                              0
                                                              «Переговоров с террористами и вымогателями не ведём»
                                                          0
                                                          Ну в целом одни берут деньги за гарантию, ведь если они переведут мошеннику, а он нефига не сделает то им, все равно придется вернуть всё, так что они тоже рискуют и $1000 возможно не просто так а рассчитана исходя из этого.
                                                            0

                                                            Отминусовал: по-факту fud-перевод fud-заметки по fud-заявлению Check Point.


                                                            В сопричастных к теме кругах есть три общеизвестных факта:


                                                            1. Без ключей не расшифровать. Если конечно авторы шифровальщика где-то не налагали, что достаточно редко. А если случается то "дятлы Касперского" относительно быстро выпускают инструменты для расшифровки.
                                                            2. Для 80% платежеспособных пострадавших от шифровальщиков за восстановление, мягко говоря, удобнее официально заплатить посреднику. Причем маржа посредников определяется/ограничивается, прежде всего, конкуренцией среди этих посредников.
                                                            3. "Доктор ноль" (полный перевод греческого и арабского корней "Dr. Shifro") давным-давно известная контора, со специфичной, но ПОНЯТНОЙ бизнес-моделью. При желании таких можно найти еще десяток, начиная с упомянутой Сoveware.

                                                            Конечно, шифровальщикам платить не стоит. Однако, когда дело оборачивается потерей данных и репутации, приоритеты "внезапно" у пострадавших меняются. Поэтому всяческих "докторов нуль" можно упрекнуть только в том, что они не говорят об этом явно, сразу и в лоб. Хотя постойте, откуда же "недовольные клиенты" и кто-то в CheckPoint узнали об этом?


                                                            Получается, что Dr. Shifro плохие, из-за того что все-таки говорят что делают, а всякие Сoveware хорошие, потому что тупо не сознаются в очевидном? — Вот это лично меня и раздражает в данном случае.

                                                              +1
                                                              Вполне нормальный бизнес — многие не готовы связываться с вымогателями, перечислять какие-то биткойны на мутных ресурсах. Им гораздо удобнее перегнать деньги на расчетный счет, на основании договора.
                                                              Разумеется такие удобства стоят денег — какой смысл удивляться что это стоит дороже чем у злоумышленников?
                                                                0
                                                                Временный бизнес и очень рисковый. Стоит чуть общественности взволноваться на подобные фирмы, и всякие ФБР, ЦРУ, АНБ начнут гоняться за их сотрудниками по всему миру обвиняя в кибертерроризме или, в лучшем случае, в соучастии.
                                                                  0
                                                                  Не начнут; а если и начнут, то всё равно никого не догонят. Похоже, они давно уже разучились работать. По кр.мере, в сентябре 2001-го года — точно не умели.
                                                                    0
                                                                    Частенько слышу, как США или ловит или требует выдачи русских хакеров.
                                                                  +1
                                                                  граждане! храните ваши деньги файлы в бэкапах

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое