Вирус-шифровальщик едва окупается

Petya может оказаться убыточным
Хактивисты не требуют денег, они хотят лишь привлечь внимание
Хактивисты не требуют денег, они хотят лишь привлечь внимание / Сергей Коньков / ТАСС

Как бизнес-проект вирус-шифровальщик пока что не сложился. С начала атаки вируса-вымогателя во вторник, 27 июня, к 19.30 среды он сумел заработать лишь около $10 100, следует из данных его биткоин-кошелька. Выкуп ему заплатили 45 раз, при этом на счете создателя скопилось 3,99 единицы криптовалюты биткоин (BTC), который, по данным Coinmarketcap, вчера вечером стоил $2533.

Стандартная цена готового шифровальщика в теневом интернете – $5000–10 000, рассказывает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Но точная стоимость атаки известна лишь самим киберпреступникам, указывает он. По мнению руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, разработка вируса вряд ли обошлась дороже $10 000, а могла и вовсе ничего не стоить.

10 советов от экспертов: как не стать жертвой вируса-вымогателя

1 И домашним, и корпоративным пользователям нужно обновлять системы безопасности (включая антивирус) и операционную систему вместе с появлением их новых версий.
2 Создавайте резервные копии данных. Они позволят восстановить файлы, а зараженный жесткий диск можно будет просто отформатировать.
3 Не открывайте подозрительные письма и предупредите об опасности своих сотрудников. Часть заражений случались из-за писем в отделы кадров украинских компаний – сотрудники получали якобы резюме от соискателей. На самом деле при открытии они запускали заражение. Вредоносный контент могут содержать любые вложения – doc, docx, xls, xlsx, rtf. Сотрудникам нужны регулярные тренинги по безопасности и регулярные проверки. Причем на тренингах нужно демонстрировать практические примеры методов социальной инженерии.
4 Недостатки систем защиты нужно выявлять регулярными аудитами систем безопасности и тестированием на проникновение. Заказать эту услугу можно у профильных компаний.
5 Нельзя скачивать никакое программное обеспечение из непроверенных или подозрительных источников.
6 Если компания может без ущерба для бизнеса перейти на менее популярную ОС, нужно это сделать. Две последних волны шифровальщиков (WannaCry и модификация Petya) нацелены на популярные Windows-системы. По данным аналитического сервиса Netmarketshare, в мае они были установлены на 91,64% компьютеров в мире. Киберпреступники ориентированы на извлечение максимальной выгоды. Но в долгосрочной перспективе, если популярность Windows пойдет на спад, это спровоцирует всплеск появления вирусов под Mac и другие ОС.
7 Не вставляйте в компьютер неизвестные флешки.
8 Если шифровальщик проник в какую-то часть сети, быстро ее изолируйте. Если компьютер уже начал шифроваться, то нужно его сразу выключить.
9 В случае заражения экстренно поменяйте все пароли привилегированных пользователей и отберите права администраторов у всех, кому они не нужны. Также пока все компьютеры сети не получат обновлений, не подключайте к ней ноутбуки.
10 Не платите выкуп: это лишь спонсирование киберпреступников, и не факт, что они вышлют ключи дешифрования.
Советы давали Acronis, «Доктор Веб», CheckPoint, Positive Technologies, Group-IB

В атаке не использовались принципиально новые технологии – всё собрано из доступных модулей, уверен представитель Acronis (разработчик систем резервного копирования). У этой компании другая оценка: атака могла стоить около $80 000. Опытный руководитель сделал бы такой проект за квартал, считает представитель Acronis. Для сбора комплекта потребовались бы два старших системных разработчика под Windows: один – для реализации самого шифровальщика, другой – для реализации части, отвечающей за распространение. Не обошлось и без подкованного специалиста по информационной безопасности. Также были нужны специалист по разработке и поддержке серверной инфраструктуры, а также тестировщик для отладки решения и поиска ошибок, полагает представитель Acronis.

У киберпреступников могло быть две возможных мотивации, рассуждает Наместников. Первая – желание заработать, и все бы получилось, если бы заражение было меньших масштабов. Когда оно вышло из-под контроля, компании начали общаться между собой и предупреждать друг друга, подключились компании по защите информации, продолжает Наместников. А когда заражения проходят скрытно, клиенты начинают платить.

С такой же вероятностью киберпреступники хотели лишь навредить, а запрошенные ими деньги – всего лишь бонус, продолжает Наместников. Но он обращает внимание, что никто из хактивистов (так называется этот тип киберпреступников) не взял на себя ответственность за акцию, а это нетипично. Атака не похожа ни на один из известных Group-IB типов хактивизма, не согласен Никитин. Хактивисты не требуют денег, они хотят лишь привлечь внимание.

Но представитель Acronis не советует оценивать ущерб от атаки вымогателя такого уровня, как Petya или WannaCry, по результатам двух дней: преступники продолжают собирать деньги. Распространившийся по всему миру 12 мая WannaCry к утру 16 мая собрал $66 000, а к 25 мая – уже $126 742.

Как защититься от вируса-шифровальщика