ru
Назад к списку

Вирусы, вымогающие биткоины

12 Февраль 2018 21:00, UTC
Андрей СЕМЕНОВ, Денис ГОНЧАРЕНКО
Вирус. Раньше это слово не пугало продвинутого пользователя компьютера. Винлокеры, черви, трояны не представляли особой опасности. Они могли быть обнаружены и вылечены большинством антивирусов. По мере погружения всего мира в криптовалютную лихорадку в 2017 и 2018 годах, на арену вышли новые игроки – мошенники, у которых на вооружении вирус, вымогающий биткоин. Перед ними пасуют даже спецслужбы. Частные и корпоративные компьютеры переживают волну вирусных атак, вымогающих биткоины, лайткоины и другие “монеты”.

“Что ты такое?”

Криптовирус представляет собой зашифрованный файл, который может попасть на компьютер через электронную почту, непроверенным файлом из интернета или иным способом. Спустя некоторое время он открывает злоумышленнику удаленный доступ к вашему компьютеру. Далее преступник вручную запускает шифрование с произвольным ключом. В шифровании используются алгоритмы высочайшей стойкости, из тех, что используются военными: Blowfish либо AES. Ключ шифрования генерируется случайным образом, и знает его только злоумышленник. Способов справиться с вирусом на данный момент не существует. Остается лишь два выхода: платить мошенникам за разблокировку или переустанавливать систему, позабыв о потерянных файлах.

Шифруются под вирусы файлы с такими расширениями, как *.jpg, *.xls, *.doc и даже базы 1С. То есть все, что может хранить ценные данные.

Изучим анамнез, или “Вирусная история”

Одной из первых попыток вирусных атак стал запуск в Сеть трояна под кодовым названием AIDS в 1989 году. При попадании на компьютер пользователя этого вируса блокировались данные с требованием перечислить определенную сумму денег для разблокировки. Троян до сих пор носит звание первого вымогателя биткоина, хотя вышел задолго до его появления. Что интересно, для тестирования программы были выбраны участники медицинской конференции. Слушатели просто получали AIDS троян на дискетах, после их запуска благополучно “поселяли вирус” на своих компьютерах.

Archievus

В течение последующих пятнадцати лет злоумышленники не проявляли особенной активности. Но уже в 2006 году вновь вернулись к работе. Пока биткоин был в стадии проектирования, в лаборатории поставщиков антивирусов попал на изучение продукт Archievus. Активность трояна выражалась в ассиметричном шифровании данных, которые располагались в папке “Мои документы”. Пользователю, фактически потерявшему доступ к собственным файлам, предлагалось оплатить “услуги доступа” путем ввода данных на специальных сайтах. Естественно, действия человека, попавшего в беду, сопровождались переводами средств в пользу третьих лиц.

Reveton

Следующее десятилетие в области вирусной активности было ознаменовано появлением вируса Reveton. Зловредная программа, попав на жесткий диск компьютера, начинала блокировать исполнительные файлы, нарушать работу системы. Даже опытный пользователь не мог ничего поделать. Чтобы разблокировать свой компьютер, опять нужно было платить. Отмечается, что первые действия особенных троянов не вызывали волнений в рядах пользователей. Когда мощности персональных компьютеров при помощи таких программ использовались для добычи биткоинов в фоновом режиме, большинство жаловалось лишь на потерю производительности. После того как свободная эмиссия криптовалюты стала усложняться, злоумышленники решили сравнить общий объем торгов на биржах с необорачиваемыми средствами. Оказалось, что есть куда расти. Многие пользователи попросту хранили растущие в цене биткоины на персональных кошельках.

WCrypt

В мае 2017 года по миру прокатилась новая волна цифровых атак. Один из первых вредителей получил название WannaCry, или WannaCrypt. Подцепить вирус успели пользователи Индии, Украины, Тайваня и России. В течение одного дня вредоносная программа заразила около 200 000 компьютеров.

WannaCry по своему действию относится к классу троянов. Результатом внедрения программы в файловую среду становится блокирование доступа к данным владельца PC. Например, пользователь хочет открыть какой-нибудь из рабочих документов, который предстояло закончить сегодня. Ничего не получается, вирус просит биткоины, требуя оплатить доступ к файлу. Средний размер платы за снятие действий трояна варьируется от 300 до 600 долларов в эквиваленте биткоина. Гарантий избавления от вирусной активности никто не дает, и как удалить этот bitcoin вирус, пока что мало кто знает.

Kirk

Несмотря на то что биткоин на сегодня – самая дорогая криптовалюта, злоумышленники не гнушаются требовать деньги в другом виде. Так, вирусная активность трояна Kirk, блокирующего запуск пользовательских файлов, направлена на получение криптовалюты Monero.

Цель оправдывает средства

Современные вирусы кроме эффективного сценария работы имеют строго целевую направленность. Во времена, когда реклама стала таргетированной, также и “вредители” ищут своих жертв на специализированных ресурсах. Мошенник вычисляет людей, которые могут быть владельцами криптовалют: участники пулов, игроки на бирже. Устанавливаются возможности контакта с жертвой: электронная почта, страницы в социальных сетях, часто посещаемые сайты. Это могут быть сайты с кранами сатоши, инвестиционные площадки, биржи, хайп-проекты и многое другое. Через них вирус попадает на компьютер (шифруются файлы, блокируется операционная система). Вуаля, начинается вымогание криптовалюты или живых денег.

Bitcoin вирус – как найти, как защитить себя?

Во-первых, не стоит давать свое согласие на установку программного обеспечения, происхождение которого на вашем компьютере вызывает у вас сомнение. Во-вторых, при использовании криптовалютных площадок следите за тем, чтобы в сведениях о сайте отображалось “защищенное соединение” в виде регистра https. Это дает уверенность в посещаемом сайте и исключает возможность попадания на “фишинг” (кражу данных при вводе). С недавнего времени поисковики Yandex и Google проверяют наличие протокола https, для высокой поисковой выдачи сайтов. В-третьих, лучше всего использовать платные версии антивирусного софта, поскольку бесплатные программы по большей части предназначены для сбора статистики и пробного отражения хакерских атак. Как говорится, тестируете вы, а вместе с вами тестирует лаборатория.

“Гигиена” в Сети

Для большего спокойствия необходимо помнить и о ряде профилактических мер: сделать резервную копию всех важных файлов с компьютера на внешний жесткий диск, облачное хранилище или флешку. Все электронные письма с подозрительных адресатов не стоит открывать, а лучше немедленно удалить. Не стоит отвечать на сообщения от незнакомых пользователей в социальных сетях, переходить по ссылкам на внешние ресурсы или скачивать файлы.

Промышленные решения

Поскольку требование перечислить криптовалюту основывается на анонимности злоумышленника, сервисы безопасности не могли остаться в стороне. Так был разработан алгоритм Elliptic, впоследствии ставший программным комплексом. Используя его, можно осуществлять мониторинг оборота биткоинов. На сегодня корпорация, владеющая продуктом, активно сотрудничает с правоохранительными органами и финансовыми организациями. В круг клиентов комплекса активно входят биржи, торгующие криптовалютами.

Что делать, если попался? Как удалить биткоин-вирус?

При получении требования выплатить деньги не следует идти на поводу у мошенников. Компьютер всегда можно починить, а вот деньги вряд ли уже кто-то вернет. Даже при наличии специальных программных комплексов работа по поиску злоумышленников ведется по фактам совершенных правонарушений. Со стороны процесс перечисления денег может выглядеть как услуга за разблокировку файлов. А кто сказал, что те, кто требуют денежных переводов, заразили компьютер?

Сегодня слово остается за государственными структурами, которые пока не решаются стать регуляторами рынка криптовалют. Правда, в этом случае придется разрушить одну из главных основ биткоина – анонимность транзакций в системе. А это, в свою очередь, может привести к падению интереса к проекту со стороны пользователей.

И помните: главной гарантией защиты от любых посягательств на ваш капитал всегда будет простая человеческая внимательность.