В наши дни, когда пенсионеры в метро виртуозно орудуют планшетами, а дети, не умея писать на бумаге, вбивают тексты на клавиатуре, превосходя по скорострельности автомат Калашникова, похоже, пора и нам уделить некоторое внимание теме IT. Тем более, если эта тема пересекается с темой мошенничества. Кроме того, у нас есть повод – недавно мы столкнулись с весьма опасным вирусом, который может в доли секунды превращает ценные файлы в кучу бесполезного хлама.
В огромном количестве электронной почты, с которым приходится иметь дело знакомому бухгалтеру, это письмо ничем не выделялось. Обычное сообщение от партнёра, с вложенным заархивированным стандартным бухгалтерским документом. То есть, рассылка тематическая: если вы врач – вам может прийти сообщение о новых лекарствах, если вы строитель – предложение посетить семинар по новым технологиям заливных полов, и так далее. Даже маска адреса почты будет содержать заветные слова. А в тексте ее зацепили призывы проверить оплату жизненно важного счёта от поставщика 1С бухгалтерии. В любом случае, письмо может не вызвать у вас никаких подозрений. Набитой рукой, пятидесятый раз за день, знакомая отрыла архивную папку ZIP, увидела какое-то невероятно длинное имя документа и “открыл” этот файл, дважды кликнув на нём курсором. Это действие оказалось роковым.
Благодаря неплохой мощности нового компьютера, разрушающее действие вируса распространилось моментально. Печальное сходство с онкологией – чем сильнее организм заболевшего, тем быстрее распространяются метастазы. Все тексты и таблицы Microsoft Office, все изображения JPG, все PDF-файлы, все базы 1C и вся музыка в формате MP3 были очень качественно зашифрованы (RSA код) и к ним было добавлено расширение .vault. Выбраны форматы, которые представляют наибольшую ценность для владельца компьютера, будь это домашняя машина или рабочая.
Ситуация просто катастрофическая. Под угрозой оказался даже сам следующий выход номера! С какого-то момента бухгалтер перестал делать резервные копии, так как объемы стали слишком большие, да и просто давно ничего не происходило. В результате всей этой роковой цепи событий почти все жизненно необходимые для организации документы оказались фактически потеряны.
А длинное имя файла, как вы догадались, было призвано помочь злоумышленникам скрыть от пользователя расширение файла - его просто не было видно в окне, как его не раздвигай. В другой ситуации расширение можно было бы увидеть, каким бы длинным не было имя файла, но бухгалтер в спешке просто выполнил привычный набор движений мышкой. Конечно, расширение было .exe, или, полностью, Executive – исполняемый файл, запускающий какую-либо последовательность операций на машине. Многие знают, что такие файлы опасны, так же как и файлы с расширением .js (javascript), и не станут запускать их, если не уверены в их безвредности.
Не поддаётся расшифровке
Безуспешно перепробовав несколько способов вернуть нужные файлы, было решено обратиться к профессионалам. Знакомые в отделе «К» МВД подсказали, что лидером в борьбе с таким типом вирусов является Dr.Web. Раньше можно было загрузить на сайт Dr.Web поражённый файл, чтобы они попробовали его дешифровать, но теперь такая услуга стала доступной только купившим антивирус – желающих стало слишком много. Безрезультатно опробовали разные варианты бесплатных разархиваторов, которые пытались прямо на нашем компьютере вскрыть код методом подбора (брутфорс). Мы решили купить, тем более что он бы нам не помешал в дальнейшем, так как стало ясно, что наш предыдущий антивирус не смог защитить компьютер. После покупки мы, радостно потирая руки, загрузили зашифрованный файл на сайт, но на следующий день получили ответ, что, к сожалению, мол, “без содействия со стороны автора/хозяина троянца – вольного или невольного (арест соотв. людей правоохранительными органами) расшифровка не представляется практически возможной”. Посоветовали написать заявление в полицию.
Кстати, наш бухгалтер пользуется почтой mail.ru, где все вложения проверяются антивирусом Kaspersky. Так вот, около этого вложения с вирусом обнадеживающе лучился красным значок антивируса Касперского с надписью “Проверено, вирусов нет!”. Неизвестно, чья в этом вина: mail.ru, что они не обновляют свой антивирус, или самой антивирусной компании, но факт остается фактом. Не все антивирусы всегда распознают этот тип вирусов. Во всяком случае, антивирус необходимо обновлять, иначе в нём нет почти никакого смысла. Впрочем, обновлять нужно и саму операционную систему. В итоге и Dr.Web не смог нам помочь с уже заархивированными файлами.
Сложное решение
Оценив, сколько времени и усилий ушло бы на создание утерянных документов заново, мы пришли к весьма неутешительным выводам. Тогда мы решились пойти на контакт с мошенниками. Кроме того, приходится признаться, на этот шаг нас подталкивало и простое журналистское любопытство. Узнать, как работает мошенническая схема и предупредить людей об опасности – это, в конце концов, наша работа.
Инструкция появлялась на мониторе при запуске инфицированного компьютера. Предлагалось установить браузер Tor (Тор), обеспечивающий, при определённых условиях, полную анонимность пользователя и не имеющий прямого отношения к мошенникам. Через Tor (Тор) нужно зайти на сайт злоумышленников, войти в личный кабинет, используя имеющийся у нас файл-ключ VAULT.KEY. Далее следовало оплатить услуги дешифрования через весьма сомнительную платёжную систему Bitcoin, главной особенностью которой является абсолютная необратимость сделок. В системе уже создан личный кошелёк для жертвы, на который нужно перечислять виртуальные монеты Bitcoin. Монеты можно купить или обменять на многочисленных виртуальных биржах или обменниках. Процесс довольно сложный, сопряженный с риском – мошенники объявляют сумму в долларах США, но курс биткойна к доллару постоянно колеблется, кроме того, курс разнится от обменника к обменнику. Пополнять надо постепенно, в итоге это занимает много времени. Есть возможность производить оплату поэтапно – процесс наглядно отображается на сайте, показан курс и оставшаяся сумма. В нашем случае сумма за услуги дешифровки была 274USD. Она рассчитывается, исходя из количества закодированных файлов, что говорит о том, что на машину был установлен ещё и Троян.
Есть возможность до оплаты восстановить четыре файла, чтобы убедиться, что они действительно могут дешифровать их. Но, что интересно, загруженные файлы проверяются негодяями вручную, оценивается важность документов и, если файл будет признан “слишком важным”, они могут отказаться его восстановить. Нам отказали в восстановлении нескольких файлов. Мы пытались вместо них загрузить другие, но заменить удалось не всё. В удобно встроенном чате нам ответили, что, мол, мы и так убедились в их способности восстанавливать документы – зачем нам ещё что-то восстанавливать (бесплатно).
На сайте даже имеется инфографика, наглядно и дружественно демонстрирующая, как восстановить данные. Особенно забавно выглядит последний пункт, предлагающий оставить отзыв в Интернете и даже возможность партнёрства. Похоже, что многие этой возможностью вовсю пользуются, судя по многочисленным предложениям дешифровать файлы VAULT по цене, намного превышающей “оригинальную” у самих исходных мошенников!
За период мытарств бухгалтер восстановила базу 1С, но оставшиеся файлы были все равно дороги ее сердцу. И восстановление их явно стоило больше времени, чем эти деньги. Забавно, что в отсутствии необходимости дешифровки 1С базы удалось получить скидку в 10%. Скидка в процессе пополнения правда уменьшалась. Хакеры поднимали цену. Потом после общения в чате немного понизили обратно. Это наводило на мысль о том, что после оплаты шантажисты не остановятся и попросят увеличить выкуп за файлы.
Мы совершенно не были уверены, что, перечислив деньги, мы действительно вернём наши документы. Но после завершения оплаты мы скачали утилиту с встроенным ключом, проверив её на вирусы всеми возможными способами, запустили, и действительно – все файлы были восстановлены. Однако нельзя гарантировать, что в других случаях всё пройдёт так же гладко. Лучше просто следовать простому правилу – не запускать исполняемые файлы, про которые вы ничего не знаете и регулярно сохранять важные файлы в бэкап.
Классная реклама VAULT - платите да обрящете!
Террористам на уступки не идут ни в одной стране.
Вы сами становитесь преступниками помогающими мошенникам!