Логотип Эхо
На главную
Логотип Эхо
Новости
Передачи
Мнения
Документы
Персоны
Встречи Эха
Архив Эха Москвы
VPN от Эха
Поддержать
Купить мерч «Эха»:
Заказать
Поддержать
На главную

Вирус-вымогатель keybtc - Сергей Ложкин, Артем Бардиж, Андрей Брызгин - Точка - 2014-08-18

18.08.2014
Вирус-вымогатель keybtc - Сергей Ложкин, Артем Бардиж, Андрей Брызгин - Точка - 2014-08-18 Скачать

А. ПЛЮЩЕВ: Московское время 21 час 7 минут. Добрый вечер, вас приветствуют Александр Плющев, Сергей Оселедько.

С. ОСЕЛЕДЬКО: Добрый вечер.

А. ПЛЮЩЕВ: Значит, сегодня у нас необычная программа, ни одного гостя в студии. Я, честно говоря, даже не помню на своем веку, чтобы такое было, чтобы что-нибудь такое происходило у нас. Ты помнишь такое? С. ОСЕЛЕДЬКО: У меня вообще здесь не такой длинный опыт, поэтому…

А. ПЛЮЩЕВ: Не такая длинная карьера на «Эхе». Вот я не помню, честно говоря. Но будут по телефону гости. И объясню, прежде всего, почему. Потому что, ну, тема наша связана с человеком, который сейчас находится в Екатеринбурге, мы пытаемся с ним установить соединение по Скайпу. Вот. Значит, пойдет речь у нас о вирусе-вымогателе под названием keybtc, он на прошедшей неделе так основательно поураганил, я бы так сказал. Конечно, был большой соблазн на самом деле посвятить передачу… как это теперь называется? Информационный суверенитет. Я подумал, что мы подождем развития этой идеи несколько, пока обозначены только общие ее черты.

С. ОСЕЛЕДЬКО: Сейчас Дума выйдет с каникул – останется недолго.

А. ПЛЮЩЕВ: Да, все информационные суверенитеты будут. Я прошу нашего звукорежиссера Наталью Кузьмину вывести вот этот микрофончик, по которому будет у нас Артем говорить. Артем, ты с нами, скажи?

А. БАРДИЖ: Добрый вечер всем.

А. ПЛЮЩЕВ: Отлично, прекрасно просто. Итак, Артем Бардиж, блогер, он мой коллега, пишет в свой блог, в мой блог apps.plushev.com это тоже попадает. И там на минувшей неделе появилась история о том, как его сотрудницы, я так понимаю, принесли в офис вирус. И дальше рассказывай ты: что там было, что за вирус, что за сотрудницы, какой ущерб был нанесен – рассказывай, пожалуйста.

А. БАРДИЖ: Ну, смотрите. Тут на самом деле история довольно банальна. На компьютер нашей технической поддержки пришло письмо, в котором говорилось о счетах-фактурах. А так как я работаю в компании, где такая переписка между клиентами и офисом, в принципе, возможно, то подозрений это письмо абсолютно не вызвало. И также это письмо переслали еще в офис менеджеру, который тоже его и открыл. А вот на утро мы обнаружили, что все рабочие файлы (то есть, это вот word-овские файлы, Excel, JPEG, всевозможные презентации), их больше невозможно открыть, они зашифрованы. Еще плюс вирус успел добраться до документов на сервере, но его там, в принципе, довольно быстро остановили, особого вреда он там не нанес.

И вот на утро стало интересно, как такое вообще могло произойти, почему штатный антивирус не справился на двух машина, а, собственно, скачанный файл нанес такие повреждения. Оказалось, что в самом письме даже нет прикрепленного файла, а просто есть замаскированная ссылка, ведущая просто на сайт с вирусом. И наш антивирус ее не признал опасной. Плюс в письме была отметка о проверке этого файла антивирусом Avast, что, конечно, было обманом – это просто, знаете, такая приписка снизу, просто подпись к письму.

В целом, вот избавиться от вируса проблем никаких не составило, а вот дешифровать обратно файлы оказалось просто невозможным. То есть, дешифратора просто в природе не существовало на тот день. Не знаю, наверное, на этот день еще тоже. И только, получается, единственный вариант – это можно написать на почту именно мошенникам.

И там, кстати, у них на почте тоже все устроено довольно технологично. У них полностью автоматическая система, на которую ты просто присылаешь, грубо говоря, свои файлы, они даже расшифровывают, обратно дешифруют три бесплатно файла – и выставляют счет в биткоинах. И, как уже потом выяснилось, там для разных компаний абсолютно разные суммы. То есть, какой-то компании это стоит тысячу рублей, какой-то – десять тысяч, а какой-то – пятнадцать.

И вот в тот момент, когда стало понятно, что это не рядовые мошенники, а достаточно сильная команда и прямо такая отстроенная система, появилась идея взять у них интервью. В принципе, найти контакт оказалось довольно легко, они есть на каждой зараженной машине. Правда, мошенники не используют привычные нам с вами мессенджеры: Контакт, Фейсбук…

А. ПЛЮЩЕВ: WhatsApp.

А. БАРДИЖ: Нет, этого ничего нету. Общение происходит, есть такой мессенджер, называется BitMessage. Там нет привычной почты, 40-значный номер, и через этот мессенджер невозможно вычислить собеседника, где он находится, то есть, он такой по принципу P2P как бы сети идет. Как Tor работает, грубо говоря. И, собственно говоря, я туда написал, и они согласились дать интервью, и его можно почитать, в принципе, в APPS-блоге, как я понимаю.

А. ПЛЮЩЕВ: Да, мы сегодня дадим фрагмент этого интервью обязательно, чуть попозже. Единственно, что я хотел у тебя, несколько уточнений чтобы ты дал нам. Во-первых, значит, какой урон был, в результате, нанесен и каким образом все-таки? Ну, ты же не платил ничего, денег не платил.

А. БАРДИЖ: Все верно, я не платил денег. Это связано с тем, что, в принципе, у нас все важные документы лежат на сервере, а у сотрудников, грубо говоря, вынесены какие-то не совсем важные документы на Рабочий стол. Они, в принципе, все были зашифрованы, но оригинальные важные документы, они были на сервере. Вирус успел добраться до сервера, но там очень много файлов, и он, нам просто повезло, он начал не с самых важных папок. То есть, он добрался там до трех папок, начал там все шифровать, а потом ему уже туда доступ обрубили. Нам просто повезло.

А. ПЛЮЩЕВ: Правильно ли я понимаю, что те системы безопасности, которые стояли у вас – кстати, какие? – они пропустили вирус? Ну, в смысле, ведь каждое почтовое письмо, если у тебя стоит антивирус, каждое письмо – почтовое, да – оно проверяется антивирусом, и он тебе говорит: вирусов нет. Или говорит: ну-ка помести-ка его in vault.

А. БАРДИЖ: Смотри, как бы все верно, только отчасти. Во-первых, в этом письме нету вложения. То есть, сама ссылка скачать файл – это просто ссылка в письме, и она как бы с виду выглядит абсолютно точно, как будто к письму прикреплен файл. То есть, антивирусная программа в ней вируса не распознает, потому что там ничего нету. Там просто, грубо говоря, ссылка на какой-то там, ну, вот на какой-то западный сайт, не знаю, (неразб.).com.

У нас стоял антивирус Avast. Соответственно, при переходе по этой ссылке из письма он ничего не обнаружил, а ты как бы ничего не видишь, то есть, у тебя просто открывается в браузере белое окошечко, как будто страница не загрузилась – и все. И с этого момента на твоем компьютере уже находится этот троян.

А. ПЛЮЩЕВ: Тут вопросы тебе приходит. Кстати, действительно, друзья, присоединяйтесь: +7-985-970-45-45 и твиттер-аккаунт @vyzvon тоже. Вот у тебя Игорь из Питера, предприниматель, спрашивает: «Да, это круто. А как они вышли именно на вашу фирму? У них есть какая-то база?»

А. БАРДИЖ: Тут, наверное, вопрос не такой простой. Мне кажется, что они начинают достаточно просто. покупается какая-то база емэйловская, и по ней идет, соответственно, уже рассылка, а потом уже троян начинает из почтовой программы уже выдергивать емейлы наших контрагентов и уже отсылать им письма. И, соответственно, эта сеть разрастается довольно быстро.

А. ПЛЮЩЕВ: У Ани замечательный здесь вопрос: «Скажите русским языком, что нельзя было открывать?» Значит, смотри, давай обязательно уточним, что же… это же сотрудница была, да?

А. БАРДИЖ: Да, все верно.

А. ПЛЮЩЕВ: Секретарь, я не знаю, кто. Значит, давай уточним, что именно заставило ее кликнуть по ссылке, что там было написано, еще раз скажи.

А. БАРДИЖ: Именно в нашей ссылке было написано: уважаемые партнеры, нужно переделать счета-фактуры.

А. ПЛЮЩЕВ: Надо сказать, что у каждой компании, которая ведет коммерческую деятельность, вот Сергей Оселедько из компании Notamedia не даст соврать, они каждый день сталкиваются со счетами-фактурами.

С. ОСЕЛЕДЬКО: Это гипнотизируют, да, менеджеров.

А. БАРДИЖ: Потому это письмо не вызвало никакой…

А. ПЛЮЩЕВ: Никаких подозрений. Оно выглядело как письмо, отправленное с неизвестного адреса, или оно маскировалось под какой-то известный вам?

А. БАРДИЖ: В нашем случае от неизвестного адреса. Но так как в нашу компанию таких писем приходит достаточно много, то нет никаких подозрений. Хотя впоследствии, я вот в интервью у этих мошенников спрашивал, они говорили, что они даже умудрялись зашифровывать письма от директора, я уж не помню. Например: в субботу состоится собрание. И, соответственно, отсылается сотрудникам как-то внутри как будто. И сотрудники, соответственно, у них тоже это не вызывает никаких подозрений, в том числе они даже могут отключить антивирус, если при переходе на эту ссылку антивирусник будет ругаться, потому что, видимо, от директора потом получить нагоняй несколько страшнее. Ситуации разные у всех.

С. ОСЕЛЕДЬКО: Артем, у меня такой вопрос: а что, собственно, было по той ссылке, на которую кликнула ваша сотрудница? Это была какая-то программа, которая была потом запущена на компьютере клиентском? Или что? Или это был какой-то скрипт? Вопрос касается, на каких платформах эта штука может вредить, и как в этом случае ведет себя стандартное ПО? То есть, на самом деле, например, на Маке, по умолчанию, без предупреждения нельзя загрузить никакую программу из интернета. Что там происходило именно?

А. БАРДИЖ: Смотри, начну с конца. Под Mac этот вирус не работает, то есть, он сделан только под платформу Windows. У тебя в письме просто написано, то есть, скачать файл. Вот он с виду выглядит, как будто он прикреплен к письму. То есть, ты нажимаешь, и у тебя как бы в браузере открывается, грубо говоря, обычная страница, только она не грузится. Все, с этого момент, то есть, он каким-то образом сам запускается и он появляется у тебя уже в системе.

А. ПЛЮЩЕВ: Понятно. Так, здесь вопросы, которые нам задают, часть из них мы зададим специалистам по безопасности. У нас после Артема и после того, как мы послушаем часть интервью, которое Артем взял (мы его тут реконструировали с Андреем Позняковым), у нас еще будут (я просто анонсирую гостей): Сергей Ложкин, эксперт Лаборатории Касперского, и Андрей Брызгин, эксперт Group-IB, по телефону они будут. Вот мы им адресуем ваши вопросы, которые мы с Артемом, например, мы не компетентны ответить на них. Типа, там, есть ли какая-нибудь программа, которая может засечь активность по зашифровке файлов? Все спросим, не беспокойтесь.

С. ОСЕЛЕДЬКО: Да. Артем, такой еще вопрос: вы обошлись без восстановления зашифрованных файлов или вы все-таки из каких-то их бэкапов взяли? Почему платить-то не стали, я не понял.

А. БАРДИЖ: Нам повезло, вот я говорю, то есть, на двух компьютерах, грубо говоря, в офисе он успел съесть файлы те, которые были на сервере, ну, грубо говоря, в бэкапе, так это назовем. И он успел немножко подпортить файлов на сервере на самом, но файлы были абсолютно не важны нам. Нам повезло, он начал с очень старых и не нужных нам папок.

С. ОСЕЛЕДЬКО: Понятно.

А. БАРДИЖ: И, соответственно, мы решили не платить. Но я знаю людей, и, в принципе, и в APPS-блоге достаточно много комментариев, где люди платят, потому что у них нету выбора. То есть, некоторые люди прямо писали, что было зашифровано сто тысяч файлов, то есть, мы дизайнерская компания, были зашифрованы абсолютно все работы, которые были накоплены за многие годы, и, соответственно, бэкапов нет, и как дальше работать – непонятно. То есть, люди платят по 10, по 15 тысяч...

А. ПЛЮЩЕВ: У тебя тут твой тезка из Ростова спрашивает: какая операционная система, какой, ну, видимо, мэйл-агент и какой браузер?

А. БАРДИЖ: Все очень просто. Два компьютера, которые стоят в офисе, на одном стоял Windows XP, на другом стояла Семерка. Браузер и там, и там – это Хром. Почта вебовская, через Gmail. Сам сервер построен на Линуксе, то есть, туда невозможно, грубо говоря, занести вирус, но так как все компьютеры подключены к нему через сетевые диски, то есть, он туда, соответственно, может пробраться через любой включенный компьютер.

А. ПЛЮЩЕВ: Ну да. Мне кажется, что тут имеет… конечно, Артему из Ростова виднее, но мне кажется, тут имеет смысл только вопрос «какая операционная система», и все. Потому что от браузера и от чего-либо другого мало что зависит, прямо скажем. Спрашивают: «Вылечиться можно или только переустановка?» - Сергей из Кронштадта. Я так понимаю, переустановка ничему не помогает: ты файлы потеряешь просто, и все.

А. БАРДИЖ: Тут все немного сложнее. Получается, что излечить компьютер от вируса, чтобы он дальше не заражал файлы, возможно, то есть, в принципе, как я сейчас понимаю, с этим справляется на текущий момент любая антивирусная программа. Но дешифровать файлы обратно – это сделать невозможно. То есть, дешифратора нету. Вот тут я все-таки с удовольствием дождусь специалистов из Лаборатории Касперского, мне интересно, за какое время они смогут подобрать ключ. Он же там построен по 1024-битной системе.

А. ПЛЮЩЕВ: Слушай, а ты оставайся с нами на связи, если ты никуда не торопишься...

А. БАРДИЖ: Нет, я с удовольствием послушаю.

А. ПЛЮЩЕВ: … ты сам сможешь задавать вопросы, да. Значит, перейдем, собственно, к самому интервью. Я, единственное, что у Артема хочу спросить: как ты с ними связывался, как это выглядело, вообще насколько охотно они отозвались на просьбу об интервью? Ну, и так далее. Расскажи вот немножко о картинке, об антураже вот этого твоего общения со злоумышленниками вот этими.

А. БАРДИЖ: Хорошо. Смотри, есть специальная программа, называется BitMessage. Я, соответственно, нашел их контакты в этой программе и написал им обычное письмо, что я хочу у них взять интервью, мне просто интересно, как у них все работает. Я ждал ответа порядка двух часов. Я еще подумал, что в этот момент шел футбол, и они мне как раз ответили после окончания матча нашей российской Премьер-Лиги. Я еще подумал: наверное, они где-то живут либо в Москве, либо, по-моему, они играли, с Уфой что ли был матч, я уж не помню. Они ответили, что они, в принципе, согласны, никаких проблем нет. Я написал, что, ну, значит, я буду писать вопросы? Они говорят: да. И они отвечали очень коротко, то есть, буквально, знаешь, так односложно. Да, мы готовы. Да, пишите. И потом уже, соответственно, я вот написал порядка 30 вопросов, и они в течение 3-4 часов потом оптом мне прислали ответы все.

А. ПЛЮЩЕВ: На некоторые вопросы ответа не было, надо сказать.

А. БАРДИЖ: Да. И я причем… это было в интервью, то есть, я сказал, что я буду задавать вопросы, и на те вопросы, на которые вы не будете отвечать, то есть, я буду ставить «нет ответа». Они сказали: да, хорошо, нас это полностью устраивает.

А. ПЛЮЩЕВ: Вот еще один вопрос тебе Илья задает: «Касперский же в каждом интервью говорит, что нужно использовать платный антивирус». Ну, я бы на его месте говорил именно так тоже, конечно, безусловно. «Почему же у вас Avast?» - спрашивает Илья.

А. БАРДИЖ: Ну, сейчас уже стоит не Avast.

А. ПЛЮЩЕВ: (смеется)

А. БАРДИЖ: Сейчас стоит как раз таки Касперский. Но тут как бы дело не в этом. Я не знаю, ты будешь читать вот эту часть интервью, где они отвечают на этот вопрос, что может спасти…

А. ПЛЮЩЕВ: Да-да, там есть, там есть ответ на этот вопрос.

А. БАРДИЖ: Там есть прямо, за сколько они реагируют. И, как я понимаю, в ближайшее время они будут выпускать новую версию этого трояна. И получается, что вот в какой-то вот период, сутки-двое, никакая антивирусная программа от этого спасать не будет.

А. ПЛЮЩЕВ: Хорошо, тогда давайте послушаем кусок интервью. Это львиная доля на самом деле интервью. Полностью его почитать можно у Артема на сайте. Скажи адрес, пожалуйста.

А. БАРДИЖ: device-box.com. Но, по-моему, проще зайти на apps.plushev.com.

А. ПЛЮЩЕВ: Ну, как угодно, да, и на моем блоге тоже это интервью есть. Мы для слушателей реконструировали это интервью, чтобы вы послушать могли, а не только почитать, вот прямо сейчас. Андрей Позняков задает вопросы за Артема Бардижа, а я озвучиваю злоумышленника. Вот так. Поехали.

(звучит запись)

- Как мне вас называть?

- Как угодно. Господа злоумышленники. Вы.

- Что такое keybtc?

- Для восстановления данных по факту нужны две составляющие. BitCoin и Private.key. «Получи ключ за btc». После оплаты ключи отправляются. Иногда с задержкой, так как есть фактор загрузки работы робота-автоответчика.

- Правильно ли называть этот вирус bat.encoder.23? Это ваша разработка или вы ее где-то позаимствовали?

- Многократно был опубликован его открытый код, любой может его под себя отредактировать. Господа злоумышленники специально код не прячут, так как для правоохранительных органов будет гораздо сложнее найти начальную точку отправления зловреда.

- Объясните обывателям, что делает вирус? На собственном опыте могу сказать, что он изменил все документы (Word, Excel) на 2-х компьютерах, точнее поменял расширение и как-то зашифровал их. Теперь их невозможно открыть.

- Исходя из детальной инструкции, которую получают наши «клиенты», цитирую:

1.3. Проведем параллель работы вируса-шифровальщика на примере материального предмета (то есть, вашего файла). Вирус берет Ваш чемодан с документами. Используя 1024 битный ключ, выполняет его шифрование (это не кладет его под замок-оболочку, нет). Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных. Вы сможете из пыли собрать чемодан с документами? Нет. Восстановить данные можно, имея только специальный ключ. Взломать/подобрать/восстановить данный ключ невозможно. Представьте себе архиватор WinRar или 7-zip. Архивируя данные под пароль, Вы используете симметричный ключ. Им шифруете данные, им же и дешифруете их. Ассиметричное шифрование основано на принципе Публичного ключа и Приватного ключа. Зашифровывается одним, дешифровывается другим. На этом построен весь принцип работы. Главный Приватный ключ находится только у нас, а на подбор его не хватит человечеству времени. К тому же, он 2048 битный. Итого мы имеем нулевые шансы на восстановление данных без приватной части ключа.

- Интересна работа антивирусов. Avast пропустил ваш вирус, читатели так же пишут, что и NOD 32 поступает так же. А вот dr.web и Kaspersky заблокировал ссылку. Это случайность, или какие-то антивирусы лучше работают?

- На самом деле, на момент начала распространения шифровальщика keybtc не обнаруживали его ни Kaspersky, ни Dr. Web. Скрипты с открытым кодом легко поддаются обфусцированию. По факту через часов 15-20 начинаются понемногу реакции, но, скажем честно, это никак не влияет на количество «установок», так как пользователи если и имеют антивирус, чаще всего он даже не активирован, даже в компаниях. А бывают случаи, когда письмо «от директора по поводу изменения распорядка рабочего дня» заставляет отключить антивирус.

- Это ваша первая «разработка» или вы давно этим занимаетесь?

- Да, это наша первая разработка.. Да, занимаемся этим давно ;-)

- Когда вы запустили в сеть bat.encoder.23?

- Подобная информация есть в антивирусных лабораториях. Конец июля.

- Мне интересно, сколько времени вы потратили на все это? Ведь вы подготовились очень хорошо, чувствуется, что делали не на коленке.

- Основное время занимает грамотное составления писем, формирование адресатов, обход анти-спам фильтров. А обходятся все на ура. Яндекс пишет – «почта без спама». Как раз на Яндекс заходит лучше всего, труднее всего доставляется на mail.ru (не то что в спам падают, у них даже от легитимных адресатов письма часто не доходят. Почитайте об антиспаме mail.ru на Хабре). Вопрос не в сложности кода, а в его применимости в конкретной ситуации. В основном мы используем доверенные утилиты для меньшего обнаружения антивирусами. Так сложнее бороться с зловредом.

- А у вас есть данные, сколько компьютеров вы заразили?

- Конечно, у нас подключена подробная статистика с графиками. Статистика формируется при работе вируса на компьютере жертвы. Статистика позволяет проводить анализ. Статистика касается как установок, так и прочитавших/открывших вложения на разную тематику. Затем происходит анализ результатов, начинаем понимать, какой рынок на что лучше реагирует. Иногда автораспространение вируса выходит за пределы целевой аудитории, на программном уровне это регулируется.

- Меня поразило, что за дешифровку вы не берете деньги с тех людей, кто не в состоянии вам заплатить. Почему?

- Есть свои взгляды и принципы. Вирус в основном нацелен на компании, а не на частных людей. Глупо полагать, что во всем полностью виноват сотрудник. Виноват отдел или СЕО, так как не уделили должного внимания информационной безопасности. Ты можешь быть отличным бухгалтером, но не знать даже основ информационной безопасности – это нормально. Прискорбно читать, когда сотрудника увольняют за то, что он открыл письмо от их же зараженного клиента о просьбе выслать ему счет-фактуру. Платить должна компания, в любом случае.

- Кстати, о ценах. По сети гуляют разные суммы. Одни пишут, что вы высылаете дешифратор за 1000 рублей, другие – что за 150$. У вас фиксированная ставка, или решается в индивидуальном порядке?

- Нет, подобных сумм в 1000 рублей или 150 долларов никогда не было. Цену формирует робот. Он анализирует компьютер пострадавшего, в зависимости от этого выставляется стоимость. Стоимость формируется по 17-ти разным факторам. Уникальные случаи проверяются человеком. Цена не берется с потолка – это точно.

- Бывают ли сбои, что люди платят, а в ответ ничего не получают?

- Ведем базу данных. Нет, не бывает подобных случаев. Вполне логично полагать, учитывая большое количество зараженных машин, большой объем проделанной работы, автоматизированная система будет отправлять ключи. Если бывают некие казусы, мы сами заинтересованы в их решении. Обычно казусы обсуждаются в BitMSG. Вполне логично полагать, что если 1 человек, заплативший 200 рублей за дешифровку, всему интернету расскажет, что мы обманщики. Поэтому это не в наших интересах. Человек в любом случае получает после оплаты ключ и необходимое ПО, а если не получит – он вправе рассказать это всей сети Интернет. Абсолютно согласны. Мы никак не реагируем на остального рода угрозы.

-Если я правильно понимаю, можно не платить вам, достаточно дождаться дешифратора от антивирусной компании? Если они его сделают, конечно.

- Некие товарищи опубликовали в открытый доступ те самые приватные ключи для дешифрования KEY.PRIVATE от почт paycrypt и еще каких-то. Это предоставило отличную возможность антивирусным лабораториям (таким, как Dr Web и Kaspersky) подзаработать на лицензиях при обращении в техподдержку. У keybtc подобных планов (отправка приватной части) нет и не будет.

- Есть ли какой-то способ обезопасить свои компьютеры от вас? Работает ли вирус на Mac, например?

- Резервные копии, облачные хранилища, антивирусы, минимальное ознакомление работников, правильная конфигурация оборудования. Нет, вирус не работает с Mac. Оболочка Windows есть оболочка для вирусов.

- У вас есть что сказать простым людям?

- Убеждать и агитировать к спонсорству нашего бизнеса никто не будет. Вопрос заключается в принятии решения для конкретной особи. Вы должны установить баланс между затраченными усилиями на информацию, соответственно её ценности, и заплаченными средствами. Возможно, стоит просто всю информацию восстановить путем повторной работы, хотя при этом можно потерять много нервов и времени (соответственно, тех же денег). Иногда стоит принимать свои недочеты и ошибки в работе, нежели полностью сбрасывать вину на остальных. Также стоит понимать, что не нужно ждать от нас некоей лояльности в работе (из-за этого интервью). Все проходят один и тот же процесс. Работает система.

А. ПЛЮЩЕВ: Ну вот, это был фрагмент интервью, которое Артем Бардиж, который с нами остается на линии, взял у злоумышленников. Не знаю, один это человек или много и где они находятся, совершенно невозможно установить. К нам присоединяется эксперт Лаборатории Касперского Сергей Ложкин. Сергей, добрый вечер.

С. ЛОЖКИН: Добрый вечер.

А. ПЛЮЩЕВ: Ну, во-первых, здесь пишут, пока шло интервью, например, очень разные данные у людей. Одни пишут: у меня Avast среагировал четко. Другие пишут, что у нас стоял Касперский, он тоже не детектировал и пропускал. Действительно ли антивирус, в том числе и ваш, может не детектировать подобные письма, ну, в силу того, что у них нет вложения, как сказал Артем у нас перед этим интервью?

С. ЛОЖКИН: Вы знаете, на самом деле, как мы всегда об этом говорим, стопроцентной защиты ни один антивирус, ни платный, ни бесплатный, вам не даст. То есть, 98-99% защитить можно. Но как бы это постоянная борьба щита и меча, да? Киберпреступники, они постоянно выдумывают новые способы какие-то, скажем так, (неразб.), зашифровать, чтобы внедрить вот вредонос в компьютер жертвы. И точно так же мы постоянно придумываем новые способы, как сделать наше антивирусное программное обеспечение более совершенным. Поэтому, это идет постоянная борьба. И, безусловно, что-то у них получается, но все-таки мы тоже стараемся действовать на опережение, и подобные инциденты по мере возможности предотвращать.

А. ПЛЮЩЕВ: Сергей, а вам об этом вирусе, об этой группе злоумышленников когда стало известно?

С. ЛОЖКИН: Вы знаете, в принципе, это стало известно вот… ну, скажем так, всю информацию я вам открыть не могу, потому что все-таки это идет определенная работа, периодически у нас как бы вот такие вот действия, направленные на все-таки получение информации, они тоже происходят. В принципе, это произошло, ну, я бы не сказал, что достаточно давно. Вот. Поэтому как-то так.

А. ПЛЮЩЕВ: Понятно. Тут нам пишут, что на местном технофоруме тема про эту фигню появилась 11 июля. Сейчас она, очевидно, выплеснулась. Артем Бардиж что-то хотел спросить у вас, Сергей, мы подключаем вновь Артема. Артем?

А. БАРДИЖ: Да, давайте. На самом деле у меня было множество вопросов, но…

А. ПЛЮЩЕВ: Давай-давай, задавай все множество.

А. БАРДИЖ: … я не слышу, что…

А. ПЛЮЩЕВ: А, понятно. Хорошо.

А. БАРДИЖ: Я просто послушаю через Сетевизор.

А. ПЛЮЩЕВ: Да. Но ты спроси, а мы, в случае чего, вежливо тебе скажем, что уже об этом рассказали. Ничего, не стесняйся.

А. БАРДИЖ: У меня были также вот вопросы про даты, про процент, знают ли они, сколько всего было компьютеров уже заражено…

А. ПЛЮЩЕВ: Да, это интересный вопрос. Есть ли какая-то статистика по этому поводу, и не секретная ли она тоже?

С. ЛОЖКИН: Ну, вы знаете, статистика, безусловно, есть, то есть, цифры мы постоянно говорим. Я точную информацию вам сказать, к сожалению, не готов, вот дословное количество компьютеров, зараженных именно группировкой, именно конкретным, скажем так, вредоносом. Ну, процент достаточно, так скажем, немаленький.

А. ПЛЮЩЕВ: Процент от чего, прошу прощения, Сергей?

С. ЛОЖКИН: Именно зараженных компьютеров.

А. ПЛЮЩЕВ: Ну, честно сказать, не очень понял, но хорошо, тем не менее. Скажите, пожалуйста, чем может помочь антивирус? Вот, значит, уже после того, как заражение произошло. Есть ли какая-то… ну, например, здесь спрашивают: «Можно ли руками деактивировать и уничтожить keybtc?» - спрашивает Виталий из Екатеринбурга. Руками или с помощью антивируса, неважно.

С. ЛОЖКИН: Да, руками, безусловно, можно уничтожить абсолютно, практически абсолютно любой вредонос, особенно, особенно, я повторю, если это делает специалист. То есть, человек, который полностью разбирается в том, как функционирует вредоносное ПО, в том, как работает конкретная операционная система, вручную это сделать вполне возможно на низком уровне и так далее.

Что касается конкретного антивирусного программного обеспечения. Во-первых, сейчас работает только комплексный подход. То есть, недостаточно иметь, да их практически уже таких не осталось, да, вот как будто просто антивирус. То есть, там работает сигнатурный анализ, там работает эвристика. Нет, такой подход уже не работает. Сейчас должен быть комплекс. То есть, это обязательно firewall, это обязательно технологии, которые, скажем так, обеспечивают вашу безопасность при серфинге, да? Это технологии, типа, например, того же Safe Money, когда человек работает, например, со своим банковским счетом, с какой-то онлайн платежной системой, и включается технология, которая занимается обеспечением безопасности подобной процедуры. Вот.

Поэтому, антивирус, он, конечно же, поможет, в том числе даже после заражения. Например, если по конкретному вредоносу нету данных в базе, то есть, первоначально, скажем так, он не видит, но обязательно специалистами, которые поддерживают, через какое-то определенное время, когда происходит анализ нового вредосносного ПО, эти данные будут в базу добавлены. Будут добавлены какие-то метки, скажем так, по какому принципу он работает, с какими серверами соединяется, какой протокол использует и так далее. Тем самым антивирус, он, в итоге, все равно поможет.

С. ОСЕЛЕДЬКО: Сергей, у меня парочка вопросов. Первый вопрос. Меня вот очень заинтересовала эта схема с вымоганием денег через такую криптовалюту, как биткоины. Это что-то новое на вашей практике или это уже имело место?

С. ЛОЖКИН: На самом деле эта технология, эта схема, она работает достаточно давно. Можно сказать, что практически с того момента, когда биткоины перестали быть такой какой-то криптовалютой гиков, специалистов, которые исключительно занимались криптографией на определенных форумах специализированных и так далее. Как только пошла какая-то, ну, большая часть, скажем так, интернет-населения стала об этом знать, соответственно, киберпреступники, они стали эту валюту использовать. И ее, конечно, преимущество для них заключается в том, что это анонимность. И те пользователи, которые раньше, например, только о биткоинах слышали где-то, сейчас это вполне легко, просто зайти в Гугл, набрать «биткоин», тут же скачать себе клиент, поставить на рабочий компьютер и домашний кошелек и, в принципе, заниматься покупкой биткоинов, переводом и так далее. Огромное количество бирж и так далее.

То есть, как только биткоин превратился в более-менее известную криптовалюту, в более-менее что-то такое массовое, киберпреступники полностью осознали преимущества получения вот этого ransom, как мы его называем, с помощью нее, потому что все, что происходит, какие транзакции с помощью биткоинов, отследить их, ну, очень и очень сложно.

С. ОСЕЛЕДЬКО: Тут у нас сегодня огромное количество смс приходит. И большинство людей все-таки не понимают, как все-таки вирус заражает компьютер. То есть, можно поподробнее вот этот процесс заражения описать? И как на бытовом уровне от него защититься?

С. ЛОЖКИН: На самом деле способов большое очень количество. Один из самых распространенных, которые используют как киберпреступники, как массово, так и…

С. ОСЕЛЕДЬКО: Тут вопрос именно про этот конкретный keybtc. То есть, тут просто очень много вопросов. Так что конкретно нельзя было делать пользователям?

С. ЛОЖКИН: В первую очередь, это все-таки был не один способ распространения на самом деле. И вот самый, который я говорю, самый распространенный, когда приходит вам заряженное письмо, то есть, именно письмо, в котором находится что-то, что, используя уязвимость в программном обеспечении прикладном, установленном у вас на компьютере, эксплуатирует в нем уязвимость, и происходит заражение. То есть, я могу рассказать, как это происходит.

Представьте, вы получили письмо. Оно может быть прислано с домена абсолютно легитимного. Может быть создан сайт абсолютно легитимный, который похож… Вот вы работаете в компании, занимаетесь каким-то видом определенной деятельности. Вам приходит письмо с домена компании, которая занимается какими-нибудь посредническими услугами – в общем, интересно для вас. Или симулируется действие какого-либо поставщика. Вот вам приходит абсолютно легитимное письмо на ваше имя либо на просто какого-то представителя организации, которое предлагает вам определенную услугу. Вам приходит прайс, вам приходит еще все что угодно. Представьте себе кадровую службу. В кадровую службу приходит резюме. То есть, это письмо, 100% оно будет открыто. После того, как это письмо открывается, если у вас на компьютере находится программное обеспечение прикладное, Adobe Acrobat, Microsoft Office, все что угодно, и если оно не пропатчено, то вы вирус получите.

А. ПЛЮЩЕВ: Спасибо большое, спасибо. Благодарю Сергея Ложкина, эксперта Лаборатории Касперского, который был с нами по телефону. Тут Илья отличный вопрос задает: «Почему не заразился сам почтовый сервис? Ведь они сканируют всю почту». Ну, сканировать – это же не значит в ссылку тыкать и так далее. Очень много вопросов.

Хорошо, сейчас зададим часть ваших вопросов еще эксперту Group-IB, Андрей Брызгин должен быть с нами по телефону. Кажется, он уже с нами по телефону. Андрей, добрый вечер. Алло. Да, здесь Александр Плющев, Сергей Оселедько. И по Скайау с нами Артем Бардиж из Екатеринбурга, собственно, тот человек, который сделал достоянием широкой гласности, я бы так сказал, всю эту историю. Значит, здесь много вопросов от пользователей. Ну, например. Каким образом можно обезопасить не столько компьютер отдельный, там, или какие действия пользователю нельзя делать, а вообще какова система безопасности для офиса может быть? Вот если ее можно описать так адаптированно для эфира, пожалуйста, Андрей.

А. БРЫЗГИН: Ну, какая может быть система безопасности для офиса? Зависит от офиса во многом. То есть, кто-то, какие-то организации готовы тратить серьезные деньги на безопасность, какие-то организации делать это не готовы. В принципе, сами злоумышленники в интервью, которое было прочитано в эфире, сказали, что лучшим спасением от энкодеров является бэкап системы. Вот. То есть, для юридического лица резервное копирование любой информации значимой – это стопроцентная необходимость. Не может быть фирмы, в которой бэкап не используется, потому что дело не только в вирусах, дело в том, что выходят из строя жесткие диски, могут быть какие-то некорректные действия со стороны пользователей. В принципе, аппаратные программные средства защиты очень неплохо описаны на специализированных форумах в интернете.

То, что волнует нашу компанию, то, о чем мы говорим постоянно – это неготовность пользователя к тому, что он может соприкоснуться с такого рода опасностями. То есть, первая аксиома для любой компании – это «предотвратить проще, чем устранять». Опять же, возвращаемся в данном случае к бэкапу: снимать резервную копию с системы раз в день – это значительно проще и дешевле, чем платить каждый раз, когда будут шифровать. Шифровать будут – это определенно, потому что система (неразб.) в последнее время она самоподдерживающаяся, суммы запрашиваются достаточно небольшие, поэтому люди не обращаются в полицию, к силовикам, к нам. И, соответственно, злоумышленники собирают достаточно большой урожай вот таких небольших сумм, из которых складывают свои миллионы.

А. ПЛЮЩЕВ: Кстати, я, вот когда мы опубликовали это интервью, и у Артема, и у меня я читал там много комментариев и очень удивлялся. Много было комментариев, что вот, типа, мы там вчера заплатили. Или: делать было нечего, мы заплатили. Ну, в смысле, выхода другого не было, мы заплатили. И так далее. Я, конечно, сразу с моим конспирологическим сознанием тут же подумал, что это, собственно, злоумышленники и комментируют, рекламируя таким образом свои услуги. Но, судя по всему, все равно без заплативших не обходится ведь.

А. БРЫЗГИН: Определенно. Платят очень многие, потому что суммы не являются чем-то заоблачным. Ну, 10 тысяч – для организации это вполне приемлемая сумма.

А. ПЛЮЩЕВ: Каким образом получается, если у тебя нет биткоинов, то ты и заплатить не можешь? Или сейчас уже это не проблема? Ну, потому что я думаю, что многие компании, не знаю, пиломатериалы какие-нибудь, еще что-нибудь, они никогда даже слыхом не слыхивали о биткоинах.

С. ОСЕЛЕДЬКО: Они же пишут злоумышленникам на почту по Gmail. Видимо, им детально объяснить, что нужно сделать – никакой проблемы это не вызывает.

А. ПЛЮЩЕВ: Видимо, да.

А. БРЫЗГИН: В том-то и дело, что биткоины – дело наживное. А инструкции, я так понимаю, прилагаются более чем подробные.

А. ПЛЮЩЕВ: Тут Дмитрий, наш слушатель постоянный, спрашивает: «А есть ли управа на таких злоумышленников, или они, как ниндзя, неуловимы?» Вот это прямо вам вопрос, Group-IB.

А. БРЫЗГИН: Безусловно, управа есть. Нужно писать заявление и требовать разбирательства.

А. ПЛЮЩЕВ: Какова практика по таким делам? С другой стороны, из-за даже 10 тысяч, мне кажется, не очень хочется с нашей милицией, полицией связываться, тем более что результат не гарантирован. Или нет?

А. БРЫЗГИН: Вопрос сознания. Тут, как во многих других областях: если я знаю, что что-то сделаю я один, и больше никто этого не сделает, то, скорее всего, я не буду делать этого. Если я уверен, что таких сознательных людей, как я, тысяча, десять тысяч, я пойду напишу это заявление, буду ждать, когда наберется критическая масса. После этого, так или иначе, силовики будут вынуждены предпринять некоторые действия.

С. ОСЕЛЕДЬКО: Вопрос такой: а хоть какие-то посадки были по похожим делам, хотя бы раз?

А. БРЫЗГИН: Давайте проясним ситуацию. В данном случае Trojan.Encoder – это, ну, если для эфира допустимо такое выражение, это сетевое гопничество.

А. ПЛЮЩЕВ: Запросто! Говорите чаще.

А. БРЫЗГИН: То же самое, что в подворотне у вас отбирают телефон и продают вам его обратно за 5 тысяч рублей. Посадки были. С посадками пока сложно, но мы сдвигаем несколько ситуацию. То есть, вот в этом году ребята из Carberp заехали у нас на 5 и на 8 лет, два человека – это, в общем-то, прецедент. И я думаю, что чем дальше, тем больше будет посадок, поскольку информатизация глобальна, и если компьютер когда-то был экзотикой, то сейчас это рабочий инструмент.

А. ПЛЮЩЕВ: Тут задают вопрос, который, я думаю, вы поймете, а я вряд ли уже, моей квалификации сильно не хватает. Иррационал спрашивает: «Если работать в Shadow Defende, повлияет ли троян на файлы после перезагрузки?»

А. БРЫЗГИН: Не готов сразу ответить на этот вопрос, 100% да или 100% нет. Скажу так, что вирусы в последнее время… давайте тогда начну издалека. В этом году компания Symantec огласила свою новую позицию, новый взгляд на рынок. Symantec – это один из ведущих производителей антивирусного ПО. Так вот, компания сказала, что текущий подход к безопасности антивирусной, он себя изжил и антивирус как таковой мертв, нужно думать над другими подходами. С чем это связано? Связано, в первую очередь, с тем, что текущие вирусы не имеют четкой формы. То есть, присутствуют такие программы-крипторы как часть вирусного ядра, которые постоянно изменяют внешний вид вирусной программы. Поэтому то, от чего сегодня антивирус может защитить успешно, или какое-то другое средство, уже завтра может выполнять свои функции под совершенно другим видом. Поэтому первое, что следует понять в принципе про всю информационную безопасность: если кто-то обещает вам стопроцентную защиту от чего бы то ни было – вам нагло врут.

А. ПЛЮЩЕВ: Ну, кстати, представитель Лаборатории Касперского примерно то же самое и сказал, что стопроцентной защиты не существует, идет постоянное соревнование в этом смысле. Другое дело то, что, конечно же, не прозвучало насчет того, что антивирус уже мертв. «Получается, выход один, - пишет Сергей из Кронштадта, - нечего открывать ссылки в письмах». Так или нет?

А. БРЫЗГИН: Сергей очень правильно пишет. Письма нужно анализировать, прежде чем открывать ссылки в них. То есть, опять же, сегодня электронное письмо – это уже давно не событие, их валятся сотни, особенно в компаниях, и поэтому нужно соблюдать некоторую сетевую гигиену. Это касается как администраторов почтовых систем, которые не должны доверять пользователю. То есть, как бы хорошо мы ни обучили оператора компьютера, он все равно не будет специалистом в информационной безопасности. Поэтому на почтовике можно прописать политику, которая будет фильтровать письма с поддельными адресами, что часто используется при вирусных атаках, это как минимум. Тот же пользователь должен посмотреть, как выглядит письмо. То есть, хорошее письмо, которое приходит в компанию от другой компании, имеет подписи, имеет телефоны для обратной связи. И если внутри архив, ну, я бы не стал открывать такое письмо, а связался бы по телефону и уточнил, что же там от меня хотят.

С. ОСЕЛЕДЬКО: Андрей, у меня такой вопрос. Вот вы говорили о том, что от энкодеров помогает резервное копирование или синхронизация данных с облаком. Вот Илья здесь вопрос задает…

А. БРЫЗГИН: Про облако я еще не говорил.

С. ОСЕЛЕДЬКО: Да, тогда будем считать, что это я сказал. А вот в случае, если используется облачное хранилище, типа Гугл Драйва или Дропбокса, что произойдет после синхронизации локальной копии с облаком? Данные в облаке тоже зашифруются?

А. БРЫЗГИН: Да, естественно, они испортятся. Дело в том, что хороший бэкап – это бэкап на отчуждаемые носитель. Он подключен – данные скопированы – он отключен.

С. ОСЕЛЕДЬКО: А если используется облачное хранилище, где сохраняются предыдущие версии, можно откатиться, как в Time Machine на Маке, например – это помогает?

А. БРЫЗГИН: Ну, в таком случае, да, естественно.

А. ПЛЮЩЕВ: Есть ли такая программа, которая может засечь на компе активность по зашифровке файлов? Начинается зашифровка вирусом – и программы бы тут же отрубала комп совсем.

А. БРЫЗГИН: Есть множество советов по поводу таких программ. Лично я ни одной из них не пользовался, поэтому советовать ничего не могу.

С. ОСЕЛЕДЬКО: Тут Интернационал несколько раз уже упоминает такую штуку, как Bitdefender, анти криптолокер.

А. БРЫЗГИН: Да, да, да.

С. ОСЕЛЕДЬКО: Это помогает?

А. БРЫЗГИН: Возможно. Я думаю, что если бы не помогал совсем, то не получил бы распространения, в интернете бы о нем почти никто не знал. Ну, опять же, тут следует работать на опережение, и лучше, если это опережение будет под контролем самого человека. То есть, я бы не стал надеяться на какую-то утилиту, потому что знаю, что вчерашний вирус от сегодняшнего вируса может отличаться очень серьезно.

А. ПЛЮЩЕВ: Ну, вот Аня, несмотря на то, что ее вопрос, может быть, звучит несколько наивно, ставит хорошую проблему. Она пишет: «А социальная сеть защищена? А если я на «Эхе» открываю ссылки, там защищено?» Ну, ведь, как известно, можно скрипт подсадить на любую страницу, запросто совершенно, да? Точно так же и, наверное, можно… ну, как делают фишинговые страницы, да? Когда банковские сайты копируют и там данные карточки снимают. Таким же образом можно, наверное, и заставить пользователя, так или иначе, нажать на какую-то ссылку уже не в письме, а на какой-то странице, ведь правда?

А. БРЫЗГИН: Ну, непосредственно от скриптов наши социальные сети, соцсеть всея Руси в частности, защищены очень неплохо. Другое дело, что, да, действительно, могут быть ссылки на внешние ресурсы, могут быть документы пересылаемые, в том числе в архивах. В этом плане оно, да, не сильно отличается от почты.

С. ОСЕЛЕДЬКО: Андрей, у меня такой вопрос. Вот вы говорили о том, что нужно использовать резервные копии, нужно информировать сотрудников. А вот мне как руководителю что конкретно нужно сказать, какие наказы дать сотрудникам в офисе, чтобы уберечься? Ты говоришь, нужно анализировать письмо. А по каким критериям?

А. БРЫЗГИН: Ну, вы представляете, какие письма обычно приходят к вам в контору, с какой целью они приходят и от каких компаний. То есть, есть наверняка (неразб.), можно посмотреть в списке отправителей этого человека, эту компанию хотя бы в частности. Если стоит фильтрация на подмену адресов, то, опять же, такое письмо просто не дойдет. Но вообще, что касается обучения информационной безопасности, то здесь, опять же, оправданы, пожалуй, некоторые инвестиции. Нужно позвать людей, которые занимаются этим профессионально, именно обучением, и заплатить им за семинар на полдня – на день.

А. ПЛЮЩЕВ: Да, спасибо большое. Я единственное, что в конце хочу спросить еще Андрея Брызгина из Group-IB, поскольку этот вопрос не прозвучал: значит ли это, что если компания вдруг вот возьмет и перейдет с Windows на Mac, то она будет абсолютно защищена?

А. БРЫЗГИН: Нет, не значит. Дело в том, что, ну, на данный момент ситуация под Mac значительно лучше, чем ситуация под Windows, вирусов пишется мало, связано это как с распространенностью платформы, которая все еще меньше, чем Windows, так и с некоторыми характеристиками, которые присущи UNIX, платформе Mac в частности. Но я думаю, что в ближайшее время, считанные годы, ситуация несколько поменяется и вирусов под Макинтош прибавится. Но это, пожалуй, вопрос к Лаборатории Касперского, потому что мы анализируем строго определенный тип вирусов, и он сильно отличается от того, о чем мы говорим сегодня.

А. ПЛЮЩЕВ: Понятно. Ну, вот Ирина тут комментирует насчет вашего совета обращаться в полицию. «Написала заявление на Петровку, было подобное нападение. Пришел ответ, что раз материального ущерба не было, так и разбираться не будем. Я частное лицо – как мне можно было оценить материальный ущерб?» - говорит она. Ну, ок, время у нас, к сожалению, закончилось. Будем следить за развитием ситуации. Благодарю и Андрея Брызгина, который только что у нас был. Сергей Ложкин выходил к нам по телефону тоже из Лаборатории Касперского Артем Бардиж, блогер из Екатеринбурга. Мне кажется, он до сих пор еще у нас на связи. Нет, нету. Ну, и отлично. Артему тоже большое спасибо. Спасибо всем, кто слушал. Сергей Оселедько, Александр Плющев.

С. ОСЕЛЕДЬКО: Пока.

А. ПЛЮЩЕВ: Счастливо и пока, да.

Телеграм ЭХО / Новости
Телеграм ЭХО FM
Твиттер Эха
Фейсбук Эха
Ютуб Эха
TikTok Эха
Напишите нам
echo@echofm.online
Terms of Service
Privacy policy
Imprint
Купить мерч «Эха»:
Заказать

Боитесь пропустить интересное? Подпишитесь на рассылку «Эха»

Это еженедельный дайджест ключевых материалов сайта

© Radio Echo GmbH, 2024
RSS Atom Подписаться