7 February
Как эксперты по безопасности разгадывают программы-вымогатели
Хакеры используют программы-вымогатели, чтобы атаковать каждую отрасль, взимая как можно больше денег за возврат доступа к файлам жертвы. Это прибыльный бизнес. За первые шесть месяцев 2023 года банды программ-вымогателей украли у своих целей 449 миллионов долларов, хотя большинство правительств не рекомендуют платить выкуп. Специалисты по безопасности все чаще объединяются с правоохранительными органами, чтобы предоставить бесплатные инструменты расшифровки, освобождая заблокированные файлы и устраняя у жертв искушение заплатить больше.Есть несколько основных способов, с помощью которых расшифровщики программ-вымогателей создают инструменты: обратный инжиниринг ошибок, работа с правоохранительными органами и сбор общедоступных ключей шифрования. Продолжительность процесса варьируется в зависимости от сложности кода, но обычно для него требуется информация о зашифрованных файлах, незашифрованных версиях файлов и информация о сервере от хакерской группы. «Просто иметь зашифрованный выходной файл обычно бесполезно. Вам нужен сам образец, исполняемый файл», — сказал Якуб Крустек, директор по исследованиям вредоносного ПО в антивирусном бизнесе Avast. Это непросто, но когда это работает, это приносит дивиденды пострадавшим жертвам.
Во-первых, нам нужно понять, как работает шифрование. В качестве очень простого примера предположим, что фрагмент данных мог начинаться как понятное предложение, но после шифрования выглядит как «J qsfgfs dbut up epht». Если мы знаем, что одно из незашифрованных слов в «J qsfgfs dbut up epht» должно быть «кошки», мы можем начать определять, какой шаблон был применен к исходному тексту для получения зашифрованного результата. В данном случае это просто стандартный английский алфавит, в котором каждая буква сдвинута на одну позицию вперед: A становится B, B становится C, а фраза «Я предпочитаю кошек собакам» становится бессмысленной строкой выше. Это гораздо сложнее для тех видов шифрования, которые используют банды вымогателей, но принцип остается тем же. Схема шифрования также известна как «ключ», и, вычислив ключ, исследователи могут создать инструмент, который сможет расшифровать файлы.
Некоторые формы шифрования, такие как расширенный стандарт шифрования с ключами длиной 128, 192 или 256 бит, практически не поддаются взлому. На самом продвинутом уровне биты незашифрованных данных «открытого текста», разделенные на фрагменты, называемые «блоками», проходят 14 раундов преобразования, а затем выводятся в зашифрованной — или «зашифрованной» — форме. «У нас пока нет технологии квантовых вычислений, которая могла бы взломать технологию шифрования», — сказал Джон Клэй, вице-президент по анализу угроз компании Trend Micro, занимающейся разработкой программного обеспечения для обеспечения безопасности. Но, к счастью для жертв, хакеры не всегда используют надежные методы, такие как AES, для шифрования файлов.