29.10.2015

ФБР рекомендует откупаться от вымогателей. Так ли глуп этот совет?

На прошедшем на днях в Миннеаполисе Cyber Security Summit 2015 заместитель руководителя регионального подразделения ФБР по борьбе с киберпреступностью Джозеф Бонаволонта заявил, что они не всегда способны бороться с современными криптолокерами (мошенническим ПО, ransomware) и поэтому они предлагают пользователям соглашаться на выплату запрошенной вымогателями суммы.

Выступление представителя ФБР
Интересная позиция органа, призванного бороться с киберпреступностью. Однако не такая уж она и нелогичная. ФБР одно, а киберпреступников много. Они еще и маркетинговые исследования проводят на тему "Каков порог, выше которого жертва не будет готова платить, а обратится в правоохранительные органы". Мы такое обнаружили в первом полугодии текущего года.


На "Коде информационной безопасности", рассказывая про эту проблемы (презентация тут), я спросил у аудитории, кто готов обращаться в отечественные правоохранительные органы по данной теме, если столкнется с вымогателем. Леса рук не наблюдалось :-( Хорошо, если 1-2% слушателей подняли руки. О чем это говорит? Об эффективности наших правоохранителей? Об эффективности судов? О доверии к ним?

Леса рук не наблюдается

Масла в огонь подлили коллеги из "Доктор Веб" (аналогичную сентенцию высказывали и в Лаборатории Касперского), которые подтвердили, что они не всегда могут (да по сути и не обязаны) найти способ борьбы с криптолокерами. Ведь если файлы зашифрованы и автор вредоносного ПО не напортачил в коде, ни расшифровать файл, не дешифровать его без ключа не получится. Противостояние брони и снаряда... и не в пользу брони, в отличие от других направлений ИБ :-(

Выступление "Доктор Веб" на #codeIB
Отсюда вопрос. Если пользователи пренебрегают правилами личной кибергигиены, если антивирусные компании не всегда могут помочь своим клиента, если правоохранительные органы не в состоянии вернуть зашифрованные данные гражданам, то может быть представитель ФБР не так уж и не прав? Ведь мне, как рядовому пользователю, не важна поимка преступника, в чем заинтересован следователь ОВД. Мне не важен приговор, что важно судье. Мне не важна скорость лечения или рейтинг "100% вылечивание" как антивирусной компании. Мне нужно вернуть данные и все! И если с меня просят не так уж и много денег, то может проще заплатить и через пару часов уже получить ключ для расшифрования?

С другой стороны и ключ шифрования я могу не получить, и деньги потерять. Да, они могут быть небольшими (маркетинговые исследования киберпреступники ведь не зря проводят), но все-таки это деньги. Да и стимулирует киберпреступников такая безоговорочная выплата на дальнейшие подвиги. Получается, что ты сам из своего кармана оплачиваешь разработку вредоносного ПО, более совершенного, чем предыдущие его разновидности...

Вот и выбирай при такой дилемме. И рецептов тут единых нет. Каждый выбирает для себя... 

6 коммент.:

Дмитрий Гр комментирует...

прям даже не знаю. не ужели у кого-то на практике были случаи, когда заплатили и данные получилось восстановить? прям фантастика какая-то!

Валерий Беспомощнов комментирует...

С другой стороны, пользователь, заплатив за расшифровку ~5т.р., хоть таким путем "оценит" стоимость своих файлов и возможно даже потратив чуть меньшую сумму купит себе нормальный антивирус и начнет устанавливать обновления безопасности. Да, это не панацея от шифровальщиков, но 90% ПК, которые прошли через мои руки с зашифрованными файлами были без антивируса, с отключенными автоматическими обновлениями.

Алексей Новиков комментирует...

Слышал разные истории: кто-то просто отдал деньги и ничего взамен не получил, кто-то заплатил и все расшифровал. Видимо и у злоумышленников сервис бывает разный.
Помимо того, что мошенник может просто кинуть, возможен случай, когда у него все поставлено на поток, и он при желании ничего не сможет расшифровать, т.к. ключ у него не сохранился, и он даже не знает каким именно ключом были зашифрованы файлы.
Но уж если человек решил отдать деньги, думаю было бы неплохо устроить небольшой тест-драйв - отправить мошеннику один файл с просьбой расшифровать его. По крайней мере будет понятнее, готов ли злоумышленник выполнить свои обязательства на 100%, или нет.

Александр Ширманов комментирует...

Не дешевле ли купить продукт резервного копирования или поставить вовсе бесплатный? :)

Алексей Лукацкий комментирует...

Или не заплатит ибо человеку свойственно не извлекать уроки из своих ошибок

Dorofeev комментирует...

Из своего опыта могу сказать, что:

1) Три раза, три разные компании попадались на вирус-шифратор. И все три раза ничего не оставалось, как только купить. Причем в третий раз это сделали сразу, а в первые два потратили много сил на проверку разных вариантов, способов и так далее.
2) В процессе беседы удавалось даже скинуть ценник на дешифрацию:)
3) Никаких уроков не вынесли из этих случаев.