Перейти к содержанию

Почему не надо платить выкуп вымогателям | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Иногда читаешь какую-нибудь статью про то, что делать в случае атаки шифровальщика, и натыкаешься на «подумайте о том, чтобы заплатить выкуп». Я в такой момент делаю пару глубоких вдохов и статью закрываю — от греха подальше. Потому что платить вымогателям не надо, и не только потому, что они не то чтобы честным трудом зарабатывают. Видимо, пора бы мне высказаться, почему.

Во-первых, вы спонсируете разработку зловредов

Кибернегодяи, злоумышленники, вымогатели, банда киберпреступников — чувствуете, какой оттенок у всех слов? Когда вы платите этим ребятам выкуп, вы даете им деньги на то, чтобы продолжать заниматься тем, чем они занимаются, — портить жизнь ни в чем не повинным людям. Получается замкнутый цикл: они вас пошифровали, вы им заплатили, они пошифровали еще больше народу.

В сущности, есть два способа отучить их этим заниматься: можно их всех переловить, и мы в этом периодически помогаем, а можно сделать эту деятельность невыгодной — тогда, глядишь, они наконец найдут себе нормальную работу. Видимо, они просто не слышали о том, что программистам вообще-то неплохо платят.

И невыгодной эта деятельность станет в том случае, если жертвы перестанут платить. Вот вам и аргумент. Хорошо, вы можете возразить: «Это все хорошо, и вообще я за мир во всем мире, но у меня тут данные пошифровало, и мне бы со своими проблемами разобраться». И все равно платить киберзлодеям не надо! Слушайте дальше.

Во-вторых, данные могут и не вернуть

Договоренности со злоумышленниками всегда писаны вилами по воде — на то он и злоумышленник, что нарушает законы и договоренности. Так что тот факт, что вы ему заплатили, совсем не обязательно приведет к тому, что он позволит вам расшифровать файлы.

Вспомнить тот же ExPetr/NotPetya: поскольку уникальный идентификатор пользователя там генерировался полностью рандомно, расшифровать файлы было просто невозможно. Этой возможности не было даже у самих злоумышленников. Сколько ни плати — ничего не выйдет. И ExPetr/NotPetya — не единственный такой случай. Злоумышленники нередко допускают ошибки в коде. И если иногда эти ошибки позволяют нам создать дешифратор, то в других случаях они, наоборот, не позволяют его сделать даже самим злоумышленникам.

Недавно вот был случай, когда эксперт по кибербезопасности публично просил группу киберпреступников поправить ошибку в их трояне-вымогателе, а то файлы портились безвозвратно. И смех и грех. В общем, когда вы решаете заплатить выкуп, никаких гарантий, что вы сможете вернуть файлы, нет. Мягко говоря.

В-третьих, шантажировать вас могут не один раз

Уже был такой случай: кибернегодяи пошифовали некую организацию, та заплатила аж 6,5 миллиона долларов выкупа, а потом спустя две недели те же злоумышленники пошифровали ее еще раз и заставили платить выкуп повторно.

Хорошо, тут дело было в том, что за две недели организация не успела залатать дыру, через которую преступники пролезли в первый раз. Но бывает и так, что мошенники, пошифровавшие и укравшие данные, просто решают потребовать выкуп еще раз — просто так, без основания. Потому что могут — потому что они стащили ваши данные, не удалили их, когда вы заплатили в первый раз (и ведь вы об этом никак не узнаете), и могут шантажировать вас еще сколько угодно раз.

А могут просто продать ваши данные конкурентам, несмотря на то, что вы заплатили — и даже не единожды. И получается, что либо организация должна заплатить еще раз, либо она вообще просто так выкинула на ветер кругленькую сумму, потому как опять оказалась в той же ситуации, в которой была.

Единственный выход — не платить даже в первый раз. А если заплатите во второй — нет гарантии, что не придут требовать выкуп в третий, раз уж из вас получается такой стабильный источник дохода.

А что ж тогда делать-то?

Если злодеям не платить, то чего делать-то? Файлы-то пошифрованы, украдены, кибернегодяи грозят все опубликовать. Жуть что творится. Делать вот что:

Искать дешифратор. Он либо уже есть вот тут или вот тут, либо его пока еще нет, но он может появиться позже. Мы стараемся их регулярно выпускать и обновлять — по мере того, как изучаем зловредов и ловим злоумышленников.

Поговорить с тем вендором, у кого покупали защиту. Во-первых, узнать, как так вышло, что вас пошифровало, а во-вторых, попросить помочь с расшифровкой. Может и получиться, да и вендор заинтересован в том, чтобы помочь, вы ему не чужие.

А в идеале: защищаться лучше и ловить заразу раньше, чем она натворит дел. И не платить. Если никто им платить не будет, глядишь, повыведутся наконец — и всему миру будет дышаться чуточку легче.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Приложения «Лаборатории Касперского» больше недоступны в Google Play: почему и что делать? | Блог Касперского
      От KL FC Bot
      По решению компании Google наши приложения для защиты устройств на базе Android в настоящее время недоступны в официальном магазине приложений Google Play.
      Это решение Google основано на недавнем запрете правительства США на распространение и продажу продуктов «Лаборатории Касперского» в Соединенных Штатах после 29 сентября 2024 года. Хотя эти ограничения и не имеют юридической силы за пределами США, Google в одностороннем порядке удалил все наши продукты из Google Play, лишив пользователей своего магазина приложений во всем мире доступа к нашим лидирующим защитным решениям для Android.
      Мы считаем, что Google избыточно трактует решение Министерства торговли США, ограничительные меры которого никак не запрещают продажу и распространение продуктов и услуг Kaspersky за пределами США. Мы обсуждаем данную ситуацию со всеми вовлеченными сторонами.
      Что будет с уже установленными из Google Play приложениями?
      Все наши приложения, установленные из Google Play на Android-устройства, продолжат нормально работать. Все платные подписки и функции приложений остаются активными, базы угроз продолжат обновляться, поскольку управление лицензиями и обновлениями вирусных баз происходит через нашу собственную облачную инфраструктуру. Однако обновить сами приложения или переустановить их непосредственно из Google Play не получится.
      Как теперь установить или обновить приложения Kaspersky для Android?
      Чтобы ваши Android-устройства не остались без защиты, мы рекомендуем загрузить или обновить наши Android-приложения из других мобильных сторов крупных производителей смартфонов, например Galaxy Store от Samsung, Huawei AppGallery, Xiaomi GetApps и других, или из официального российского магазина приложений RuStore. Опытные пользователи могут установить приложения «Лаборатории Касперского» самостоятельно с помощью APK-файлов, доступных на нашем сайте.
      На официальной странице нашей технической поддержки есть подробная статья с актуальными ссылками на все магазины приложений, в которых мы представлены, и на прямое скачивание APK-файлов, плюс инструкции по установке и активации наших приложений из APK-файлов.
      Все актуальные версии наших продуктов сохраняют полную работоспособность, поддерживают самые свежие операционные системы (в том числе Android 15) и продолжают защищать пользователей от современных киберугроз.
      View the full article
    • KL FC Bot
      Как защититься от слежки через stalkerware и AirTag | Блог Касперского
      От KL FC Bot
      Следить за вами теперь могут не только спецслужбы или миллионеры, нанявшие частных детективов. Слежка так проста и дешева, что ей пользуются и ревнивые супруги, и автомобильные угонщики, и даже избыточно подозрительные работодатели. Им не нужно выглядывать из-за угла, прятаться в магазинах и даже приближаться к жертве. Для слежки прекрасно подойдут смартфон и один из маячков-трекеров, работающих по Bluetooth, — например, Apple AirTag, Samsung Smart Tag или Chipolo. Согласно одному из исков к Apple, этот способ шпионажа используется в самых разных преступлениях — от слежки за бывшими до подготовки убийств.
      К счастью для всех нас, защита существует! В рамках кампании «Лаборатории Касперского» по противодействию сталкингу мы расскажем, как за вами могут следить и что с этим делать.
      Слежка онлайн и офлайн
      Слежку за жертвой обычно реализуют одним из двух способов.
      Способ первый, чисто программный. На смартфон жертвы устанавливается коммерческое приложение для слежки — мы называем эту категорию stalkerware или spouseware. Часто такие приложения рекламируются как «приложения родительского контроля», но от легитимного родительского контроля они отличаются скрытностью — после установки деятельность приложения никак не анонсируется. Чаще всего приложение вообще незаметно на устройстве, но иногда оно маскируется подо что-то невинное, будь то мессенджер, игра или приложение-фотоальбом. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять атакующему переписки со смартфона и другую конфиденциальную информацию, включать звукозапись с микрофона.
      Главным недостатком stalkerware для атакующего является усложненная установка — для нее нужно заполучить разблокированный смартфон жертвы на некоторое время. Поэтому во многих случаях, особенно когда сталкингом занимается бывший партнер или автоугонщик, в ход идет второй способ.
      Способ второй, с беспроводным маячком. Жертве подкидывают следящее устройство. В машине его могут засунуть в любое малозаметное место — например, за номерной знак — а человеку трекер подкладывают в сумку или другие личные вещи.
       
      View the full article
    • KL FC Bot
      Обновление Kaspersky Password Manager | Блог Касперского
      От KL FC Bot
      Мы ежедневно трудимся, чтобы наши продукты и решения оставались одними из лучших — как по нашему собственному мнению, так и по версии независимых исследователей. Делаем это всесторонне: добавляем новые фичи, боремся с новыми вредоносными программами, облегчаем миграцию и всячески улучшаем пользовательский опыт.
      Сегодня расскажем о большом обновлении Kaspersky Password Manager для мобильных устройств, которое, уверены, сделает хранение и управление паролями, кодами двухфакторной аутентификации и шифрованными документами еще удобнее. Во всех магазинах приложений это обновление появится в течение ноября 2024 года. О продвинутой фильтрации, работе поиска, синхронизации и многом другом — в этом материале.
      Коротко о главном
      Мобильной версии нашего менеджера паролей в этом году исполняется 10 лет (а версии для компьютеров — и все 15), и за это время нам удалось собрать лучшие практики в одном приложении. Несколько последних лет мы проводили исследования, в которых изучали шаблоны поведения пользователей Kaspersky Password Manager, и на их основе глобально поменяли навигацию в мобильных версиях менеджера паролей.
      Что нового:
      Заменили боковое меню с основными функциями продукта на навигационную панель, теперь все функции распределены по разделам. Создали отдельный раздел для поиска внутри приложения и улучшили сценарии его работы. Сделали работу с избранными записями еще удобнее, теперь они закрепляются в самом верху списка записей. Создали и вывели кнопку раздела «Синхронизация» на видное место. Сгруппировали генератор, импорт и проверку паролей в отдельный раздел «Инструменты». Изменения доступны всем пользователям Kaspersky Password Manager для Android (версии приложения 9.2.106 и выше) и iOS (версии приложения 9.2.92 и выше).
       
      View the full article
    • KL FC Bot
      Как сделать, чтобы компанию снова не взломали | Блог Касперского
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • KL FC Bot
      В репозитории PyPI найдены пакеты с инфостилером | Блог Касперского
      От KL FC Bot
      Наши эксперты из Global Research and Analysis Team (GReAT) обнаружили два вредоносных пакета в The Python Package Index (PyPI), популярном репозитории софта для программирования на Python. Согласно описанию, пакеты представляли собой библиотеки для работы с популярными языковыми моделями. Однако, на самом деле они имитировали заявленную функциональность при помощи демоверсии ChatGPT, а основной их целью была установка зловреда JarkaStealer.
      Пакеты были доступны для скачивания больше года и, судя по статистике репозитория, за это время они были скачаны более 1700 раз пользователями из более чем 30 стран.
      Что за пакеты и для чего они использовались
      Вредоносные пакеты были загружены в репозиторий одним автором и отличались друг от друга только названием и описанием. Первый назывался gptplus и якобы позволял реализовать доступ к API GPT-4 Turbo от OpenAI; второй — claudeai-eng и, согласно описанию, по аналогии обещал доступ к API Claude AI от компании Anthropic PBC.

      В описаниях обоих пакетов были примеры использования, которые объясняли, как создавать чаты и посылать сообщения языковым моделям. Но в действительности операторы этой атаки встроили в код механизм взаимодействия с демо-прокси ChatGPT, чтобы убедить жертву в работоспособности пакета. А содержавшийся, тем временем, в пакетах файл __init__.py декодировал содержавшиеся внутри данные и скачивал из репозитория на GitHub файл JavaUpdater.jar. Если на машине жертвы не обнаруживалась Java, то он также скачивал и устанавливал среду выполнения для Java (JRE) из Dropbox. Сам jar-файл содержал зловред JarkaStealer, который использовался злоумышленниками для компрометации среды разработки и незаметной эксфильтрации похищенных данных.
       
      View the full article
×
×
  • Создать...