Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Почему не надо платить выкуп вымогателям | Блог Касперского
Если после атаки шифровальщика у вас требуют выкуп, платить не надо. И вот почему.
Иногда читаешь какую-нибудь статью про то, что делать в случае атаки шифровальщика, и натыкаешься на «подумайте о том, чтобы заплатить выкуп». Я в такой момент делаю пару глубоких вдохов и статью закрываю — от греха подальше. Потому что платить вымогателям не надо, и не только потому, что они не то чтобы честным трудом зарабатывают. Видимо, пора бы мне высказаться, почему.
Во-первых, вы спонсируете разработку зловредов
Кибернегодяи, злоумышленники, вымогатели, банда киберпреступников — чувствуете, какой оттенок у всех слов? Когда вы платите этим ребятам выкуп, вы даете им деньги на то, чтобы продолжать заниматься тем, чем они занимаются, — портить жизнь ни в чем не повинным людям. Получается замкнутый цикл: они вас пошифровали, вы им заплатили, они пошифровали еще больше народу.
В сущности, есть два способа отучить их этим заниматься: можно их всех переловить, и мы в этом периодически помогаем, а можно сделать эту деятельность невыгодной — тогда, глядишь, они наконец найдут себе нормальную работу. Видимо, они просто не слышали о том, что программистам вообще-то неплохо платят.
И невыгодной эта деятельность станет в том случае, если жертвы перестанут платить. Вот вам и аргумент. Хорошо, вы можете возразить: «Это все хорошо, и вообще я за мир во всем мире, но у меня тут данные пошифровало, и мне бы со своими проблемами разобраться». И все равно платить киберзлодеям не надо! Слушайте дальше.
Во-вторых, данные могут и не вернуть
Договоренности со злоумышленниками всегда писаны вилами по воде — на то он и злоумышленник, что нарушает законы и договоренности. Так что тот факт, что вы ему заплатили, совсем не обязательно приведет к тому, что он позволит вам расшифровать файлы.
Вспомнить тот же ExPetr/NotPetya: поскольку уникальный идентификатор пользователя там генерировался полностью рандомно, расшифровать файлы было просто невозможно. Этой возможности не было даже у самих злоумышленников. Сколько ни плати — ничего не выйдет. И ExPetr/NotPetya — не единственный такой случай. Злоумышленники нередко допускают ошибки в коде. И если иногда эти ошибки позволяют нам создать дешифратор, то в других случаях они, наоборот, не позволяют его сделать даже самим злоумышленникам.
Недавно вот был случай, когда эксперт по кибербезопасности публично просил группу киберпреступников поправить ошибку в их трояне-вымогателе, а то файлы портились безвозвратно. И смех и грех. В общем, когда вы решаете заплатить выкуп, никаких гарантий, что вы сможете вернуть файлы, нет. Мягко говоря.
В-третьих, шантажировать вас могут не один раз
Уже был такой случай: кибернегодяи пошифовали некую организацию, та заплатила аж 6,5 миллиона долларов выкупа, а потом спустя две недели те же злоумышленники пошифровали ее еще раз и заставили платить выкуп повторно.
Хорошо, тут дело было в том, что за две недели организация не успела залатать дыру, через которую преступники пролезли в первый раз. Но бывает и так, что мошенники, пошифровавшие и укравшие данные, просто решают потребовать выкуп еще раз — просто так, без основания. Потому что могут — потому что они стащили ваши данные, не удалили их, когда вы заплатили в первый раз (и ведь вы об этом никак не узнаете), и могут шантажировать вас еще сколько угодно раз.
А могут просто продать ваши данные конкурентам, несмотря на то, что вы заплатили — и даже не единожды. И получается, что либо организация должна заплатить еще раз, либо она вообще просто так выкинула на ветер кругленькую сумму, потому как опять оказалась в той же ситуации, в которой была.
Единственный выход — не платить даже в первый раз. А если заплатите во второй — нет гарантии, что не придут требовать выкуп в третий, раз уж из вас получается такой стабильный источник дохода.
А что ж тогда делать-то?
Если злодеям не платить, то чего делать-то? Файлы-то пошифрованы, украдены, кибернегодяи грозят все опубликовать. Жуть что творится. Делать вот что:
Искать дешифратор. Он либо уже есть вот тут или вот тут, либо его пока еще нет, но он может появиться позже. Мы стараемся их регулярно выпускать и обновлять — по мере того, как изучаем зловредов и ловим злоумышленников.
Поговорить с тем вендором, у кого покупали защиту. Во-первых, узнать, как так вышло, что вас пошифровало, а во-вторых, попросить помочь с расшифровкой. Может и получиться, да и вендор заинтересован в том, чтобы помочь, вы ему не чужие.
А в идеале: защищаться лучше и ловить заразу раньше, чем она натворит дел. И не платить. Если никто им платить не будет, глядишь, повыведутся наконец — и всему миру будет дышаться чуточку легче.
Источник: Лаборатория Касперского
03.03.2021