Жертвы умоляют хакеров вернуть данные

19.05.2015 | 00:58 Экономика

Cоздатели TeslaCrypt заработали более $76000 в течение двух месяцев, ведя переговоры с жертвами

Бесстыдство вымогателей не знает границ. После шифрования файлов пользователей и требования выкупа за расшифровку, они притворяются сервис-провайдерами, предлагающими техническую поддержку и скидки для «клиентов».

Исследователи из FireEye недавно проанализировали сообщения из wbsite, созданные создателями программы-вымогателя TeslaCrypt для взаимодействия со своими жертвами. Сообщения предоставляют редкую возможность увидеть действия этих злоумышленников и понять — какие проблемы они создают.

Это истории отчаяния: отец, который изо всех сил пытается выжить «в этом дорогом мире» и у которого были украдены фотографии его ребенка; сотрудник компании, бизнес файлы которого были зашифрованы вредоносной программой, и теперь он боится потерять свою работу; бизнес по уборке, созданный горничными, которые не могут позволить себе заплатить выкуп; человек, у которого нет денег и он теперь не может даже подать свои налоговые декларации из-за вредоносной программы; некоммерческая организация, которая собирает деньги для лечения рака крови, и сейчас просит вернуть данные.

Другие сообщения отражают раздражение людей, которые не имеют технических навыков для получения биткоинов. TeslaCrypt требует выкуп в размере $550 при оплате в криптовалюте Bitcoin или $1000, если платить с карты PayPal My Cash.

В некоторых случаях злоумышленники согласились снизить цену, скорее всего, не потому, что они сопереживали жертвам, а потому, что мелкие платежи лучше, чем отсутствие платежей.

Когда кто-то сказал, что может позволить себе заплатить только $100, нападавшие ответили, что минимально возможная цена составляет $250. Тем не менее, в другом случае они предложили восстановить чьи-то файлы за $150.

Некоторые люди платили, но все равно не смогли восстановить все свои файлы, как свидетельствуют сообщения. Например, у кого-то был компьютер с двумя программами-вымогателями. Расшифровка файлов, пострадавших от TeslaCrypt не помогла, потому что файлы уже были зашифрованы с помощью другой программы. В другом случае кто-то жаловался, что может расшифровать только файлы, расположенные на диске «C:».

По иронии, нападавшие советовали некоторым заплатившим жертвам сделать резервные копии своих зашифрованных файлов, прежде чем пытаться расшифровать их с помощью предлагаемого инструмента. «Чтобы избежать потери данных», написали они.

Это подчеркивает важность наличия плана резервного копирования данных. Нужно регулярно создавать резервные копии файлов на носителях, которые не всегда подключены к компьютеру, и которые могут быть доступны только после дополнительной аутентификации. Иначе, в случае инфекции программой-вымогателем, резервные копии могут также стать зашифрованными.

Исследователи FireEye обнаружили и отследили 1231 Bitcoin адресов, используемых бандой TeslaCrypt с февраля по апрель. TeslaCrypt генерирует уникальный Bitcoin адрес, на который должен быть оплачен выкуп за каждую инфекцию. Это означает, что каждый из 1231 адресов представляет одну жертву.

После анализа транзакций с этих адресов, исследователи FireEye считают, что 163 жертвы, или 13% заплатили выкуп в Bitcoin. Еще 20 жертв заплатили картами PayPal My Cash. Транзакции показали, что банда TeslaCrypt заработала $76522 с 7 февраля по 28 апреля 2015 года.

Для сравнения, другая программа-вымогатель Cryptolocker заработала $3 млн для своих создателей за девять месяцев работы до мая 2014 года, а еще одна программа, под названием Cryptowall — более $1 млн в течение шести месяцев в 2014 году.

Хорошая новость заключается в том, что исследователи из Cisco Systems недавно разработали инструмент, который способен расшифровать файлы, пострадавшие от некоторых версий TeslaCrypt, без выплаты выкупа.