Лов­цы на до­ве­рии

По­сле по­яв­ле­ния ви­ру­са Bad Rabbit cпе­ци­а­ли­сты про­гно­зи­ру­ют но­вые ата­ки

Novaya Gazeta - - ТЕМЫ НЕДЕЛИ - Под­го­то­ви­ла Та­тья­на ВАСИЛЬЧУК, «Но­вая»

Ви­рус-шиф­ро­валь­щик Bad Rabbit толь­ко за два дня за­ра­бо­тал на вы­мо­га­тель­стве у поль­зо­ва­те­лей бо­лее 10 ты­сяч дол­ла­ров США. Боль­ше все­го по­стра­да­ли ком­пью­те­ры в Рос­сии и Укра­ине, та­к­же бы­ли за­фик­си­ро­ва­ны слу­чаи взло­мов в Тур­ции и Германии. Ви­рус ра­бо­та­ет не по прин­ци­пу уяз­ви­мо­сти ком­пью­тер­ной си­сте­мы, он ло­вит поль­зо­ва­те­лей на до­вер­чи­во­сти. В 2017 го­ду уже бы­ло две гром­ких ис­то­рии с ви­ру­са­ми: WannaCry и Petya. Осо­бен­ность Bad Rabbit в том, что он осо­бен­но «лю­бит» кор­по­ра­тив­ные се­ти (а не лич­ные). По­это­му в Рос­сии, по дан­ным прес­сы, он уже успел по­ра­зить сайт ин­фор­ма­ци­он­но­го агент­ства «Ин­тер­факс», пе­тер­бург­ско­го из­да­ния «Фон­тан­ка», а та­к­же по­пы­тал­ся взло­мать сай­ты бан­ков. На Укра­ине ха­ке­ры до­бра­лись до се­ти Ки­ев­ско­го мет­ро­по­ли­те­на и меж­ду­на­род­но­го аэро­пор­та Одес­сы. Об особенностях Bad Rabbit и о том, нуж­но ли опа­сать­ся но­вых атак, «Но­вой» рас­ска­зал за­ме­сти­тель ру­ко­во­ди­те­ля ла­бо­ра­то­рии по ком­пью­тер­ной кри­ми­на­ли­сти­ке Group-IB Сер­гей НИКИТИН.

О том, как мож­но за­ра­зить ком­пью­тер ви­ру­сом

— Вы про­смат­ри­ва­е­те сайт и вдруг ви­ди­те всплы­ва­ю­щее ок­но, ко­то­рое пред­ла­га­ет вам уста­но­вить но­вую вер­сию уста­рев­ше­го на ва­шем ком­пью­те­ре Flash Player. Вы за­пус­ка­е­те ска­чи­ва­ние это­го пле­е­ра, по­сле че­го ваш ком­пью­тер шиф­ру­ет­ся ви­ру­сом и он на­чи­на­ет вы­мо­гать день­ги. На нем по­яв­ля­ет­ся чер­ный экран с тре­бо­ва­ни­ем вы­ку­па в 0,05 бит­кой­на — это по­чти 300 дол­ла­ров. Почему это ча­ще про­ис­хо­дит не на до­маш­них устрой­ствах? С ком­пью­те­ра, ко­то­рый на­хо­дит­ся в кор­по­ра­тив­ной се­ти, лег­че по­хи­тить из опе­ра­тив­ной па­мя­ти ло­ги­ны и па­ро­ли не его од­но­го, а всех ком­пью­те­ров се­ти. И ис­поль­зуя эти ло­ги­ны и па­ро­ли, ес­ли хва­та­ет прав, мож­но по це­поч­ке за­ра­жать каж­дый сле­ду­ю­щий ком­пью­тер в се­ти.

О том, как бан­ки от­би­ли ата­ку, а СМИ — нет

— Бан­ки уже до­ста­точ­но дав­но на­хо­дят­ся под ви­рус­ны­ми ата­ка­ми, ча­сто весь­ма успеш­ны­ми. Они при­вык­ли от­ра­жать та­кие угро­зы. В боль­шин­стве бан­ков за­пре­ще­но ска­чи­вать что-ли­бо на ком­пью­те­ры. Мы за­фик­си­ро­ва­ли, что в бан­ках поль­зо­ва­те­ли та­к­же пы­та­лись ска­чать об­нов­ле­ние Flash Player, од­на­ко у них не по­лу­чи­лось. Их оста­но­ви­ли те же «пе­соч­ни­цы» (ре­жим ра­бо­ты опе­ра­ци­он­ной си­сте­мы, ко­то­рый бло­ки­ру­ет ата­ку на са­мом ран­нем эта­пе). На­при­мер, на­ша «пе­соч­ни­ца» от­сле­ди­ла в час дня в сре­ду пер­вые по­пыт­ки ска­чи­ва­ния в бан­ках, ко­то­рые мы об­слу­жи­ва­ем. Су­дя по все­му, что ка­са­ет­ся СМИ, ра­бот­ни­ки, ко­то­рые са­ми чи­та­ют свой сайт (про­ве­ря­ют верст­ку, на­при­мер, или про­смат­ри­ва­ют ма­те­ри­а­лы кол­лег), си­де­ли на сайте и уви­де­ли всплы­ва­ю­щее ок­но — ска­ча­ли, за­пу­сти­ли и са­ми за­ра­зи­лись. То есть ес­ли ваш ре­сурс взло­ман, ок­но мо­жет всплыть в лю­бой мо­мент, по­ка вы что-то на сайте чи­та­е­те. Это мо­жет быть лю­бой поль­зо­ва­тель в лю­бой точ­ке ми­ра, в боль­шин­стве слу­ча­ев сей­час это рус­ско­языч­ные и укра­и­но­языч­ные сай­ты.

Об от­ли­чи­ях от дру­гих ви­ру­сов это­го го­да — WannaCry и Petya

— Здесь все-та­ки от поль­зо­ва­те­ля тре­бу­ют­ся ак­тив­ные дей­ствия. Ты дол­жен сам зай­ти на сайт об­нов­ле­ния, сам под­твер­дить за­груз­ку. У WannaCry и Petya бы­ла си­ту­а­ция на уяз­ви­мость, до­ста­точ­но бы­ло про­сто вый­ти в ин­тер­нет, и вы за­ра­жа­лись. Меж­ду Petya и Bad Rabbit раз­ли­чие в том, что са­мо шиф­ро­ва­ние дру­гое. Но мы на­шли и у Petya, и у Bad Rabbit очень ха­рак­тер­ные сов­па­да­ю­щие участ­ки ко­да, ко­то­рые прямо нас на­тал­ки­ва­ют на мысль, что ли­бо у этих ви­ру­сов один ав­тор, ли­бо это ка­кой-то под­ра­жа­тель.

О про­гно­зе на «уни­что­же­ние» ви­ру­са

— Са­ма ата­ка силь­но про­ще, неже­ли у про­шлых ви­ру­сов, и уже вче­ра но­чью прак­ти­че­ски все ком­па­нии ста­ли вно­сить в свои си­сте­мы стоп-ли­сты. Тем не ме­нее по­ка ни от од­но­го за­ра­жен­но­го кли­ен­та не при­хо­ди­ло опо­ве­ще­ние, что бы­ла сде­ла­на успеш­ная раз­бло­ки­ров­ка. То есть тех­ни­че­ски вро­де весь ин­стру­мен­та­рий, что­бы рас­шиф­ро­вать, есть. Под­твер­дить, что, за­пла­тив вы­куп, мож­но по­лу­чить се­бе на­зад обез­вре­жен­ный ком­пью­тер, мы до сих пор не мо­жем. Глав­ное, к че­му нуж­но быть го­то­вым: та­кие ата­ки бу­дут по­вто­рять­ся. Учи­ты­вая, что до сих пор лю­ди от­кры­ва­ют и ве­дут­ся на всплы­ва­ю­щие ок­на. Это как лак­му­со­вая бу­маж­ка, ко­то­рая по­ка­зы­ва­ет, что у нас поль­зо­ва­те­лей лег­ко об­ма­нуть и за­ста­вить на­жать на нуж­ную ха­ке­рам ссыл­ку.

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.