4 марта, 2021
Выкуп кибервымогателям: совсем не платить иль не платить ничего?
Иногда узнаёшь какие-нибудь новости про то, что ещё какая-то большая компания стала жертвой очередного шифровальщика, и что их вынудили заплатить выкуп, или читаешь комментарии, где натыкаешься на советы типа «подумайте о том, чтобы заплатить выкуп». В такие моменты мне становится немного не по себе, потому что платить вымогателям категорически не следует — и не только потому, что они не то чтобы честным трудом зарабатывают. Видимо, пора в очередной раз высказаться, почему.
Во-первых, вы спонсируете киберпреступность.
«Кибернегодяи», «злоумышленники», «вымогатели», «банда киберпреступников» — чувствуете, какой оттенок у всех этих слов? Когда вы платите этим людям, вы стимулируете дальнейшую разработку зловредов-шифровальщиков. Вы даёте деньги на то, чтобы они совершенствовали свои технологии, делали их более злодейскими, чтобы они продолжали заниматься тем, чем они занимаются, — портить жизнь остальным людям и стопорить работу разных организаций (внимание! – включая медицинские).
Получается замкнутый цикл: они вас пошифровали, вы им заплатили, они пошифровали ещё больше народу. И так дальше по порочному кругу.
В сущности, есть два способа отучить их этим заниматься:
1) Всех их переловить, и мы в этом периодически помогаем, но – увы! – популяция кибер-преступников продолжает расти;
2) Сделать эту деятельность невыгодной — тогда, глядишь, они наконец найдут себе другую, нормальную работу, не наносящую ущерб остальным и не попадающую по статьи Уголовного кодекса. // Видимо, они просто не слышали о том, что программистам вообще-то неплохо платят.
И невыгодной эта деятельность станет в том случае, если жертвы перестанут платить. Вот вам и аргумент. Хорошо, вы можете возразить: «Это все хорошо, и вообще я за мир во всём мире, но у меня тут данные пошифровало, и мне бы со своими проблемами разобраться». И всё равно платить киберзлодеям не надо! Тогда слушайте дальше.
Во-вторых, данные могут и не вернуть
Договоренности со злоумышленниками всегда писаны вилами по воде — на то он и злоумышленник, что нарушает законы и договоренности. Так что тот факт, что вы ему заплатили, совсем не обязательно приведёт к тому, что он позволит расшифровать файлы.
Вспомнить тот же ExPetr/NotPetya: поскольку уникальный идентификатор пользователя там генерировался полностью рандомно, расшифровать файлы в принципе было невозможно. Этой возможности не было даже у самих злоумышленников. Сколько ни плати — ничего не выйдет. И ExPetr/NotPetya — не единственный такой случай. Злоумышленники нередко допускают ошибки в коде. И если иногда эти ошибки позволяют нам создать дешифратор, то в других случаях они, наоборот, не позволяют его сделать даже самим злоумышленникам.
Недавно вот был случай, когда эксперт по кибербезопасности публично просил группу киберпреступников поправить ошибку в их трояне-вымогателе, а то файлы портились безвозвратно. И смех и грех. В общем, когда вы решаете заплатить выкуп, никаких гарантий, что вы сможете вернуть файлы, нет. Мягко говоря.
В-третьих, шантажировать вас могут не один раз
Уже был такой случай: кибернегодяи пошифовали некую организацию, та заплатила аж 6,5 миллиона долларов выкупа, а потом спустя две недели те же злоумышленники пошифровали её ещё раз и заставили платить выкуп повторно.
Хорошо, тут дело было в том, что за две недели организация не успела залатать дыру, через которую преступники пролезли в первый раз. Но бывает и так, что мошенники, пошифровавшие и укравшие данные, просто решают потребовать выкуп ещё раз — просто так, без основания. Потому что могут — потому что они стащили ваши данные, не удалили их, когда вы заплатили в первый раз (и ведь вы об этом никак не узнаете), и могут шантажировать ещё сколько угодно раз.
А могут просто продать ваши данные конкурентам, несмотря на то, что вы заплатили — и даже не единожды. И получается, что либо организация должна заплатить ещё раз, либо она вообще просто так выкинула на ветер кругленькую сумму, потому как опять оказалась в той же ситуации, в которой была.
Единственный выход — не платить даже в первый раз. А если заплатите во второй — нет гарантии, что не придут требовать выкуп в третий, раз уж из вас получается такой стабильный источник дохода.
А что ж тогда делать-то?
Если злодеям не платить, то чего делать-то? Файлы-то пошифрованы, украдены, кибернегодяи грозят все опубликовать. Жуть что творится. Делать вот что:
Искать дешифратор. Он либо уже есть вот тут или вот тут, либо его пока ещё нет, но он может появиться позже. Мы стараемся их регулярно выпускать и обновлять — по мере того, как изучаем зловредов и ловим злоумышленников.
Поговорить с тем вендором, у кого покупали защиту. Во-первых, узнать, как так вышло, что вас пошифровало, а во-вторых, попросить помочь с расшифровкой. Может и получиться, да и вендор заинтересован в том, чтобы помочь, вы ему не чужие.
И, конечно, задуматься о смене вендора. Несмотря на внешний лоск и кажущееся однообразие защитных решений «не все стиральные порошки одинаковы» (c). Увы, сегодня одни разработчики массово навешивают развесистую клюкву и продают пустышки под видом супер-мега-искусственного интеллекта, другие тихой сапой заимствуют детект у коллег по индустрии. Ни те, ни другие не спасут от будущих кибератак, поскольку не способны предложить работающую проактивную защиту, основанную на фундаментальном технологическом развитии.
А в идеале: защищаться лучше, бэкапиться по-умному, и ловить заразу раньше, чем она натворит дел. И ни в коем случае не платить. Если никто им платить не будет, глядишь, повыведутся наконец — и всему миру будет дышаться чуточку легче.