562

Вопреки рискам и угрозам: история анонимного программиста, который посвятил жизнь борьбе с вирусами-вымогателями

Всё свободное время немец Фабиан уделяет войне с интернет-злоумышленниками. И наживает себе опасных врагов.

Вопреки рискам и угрозам: история анонимного программиста, который посвятил жизнь борьбе с вирусами-вымогателями Tjournal, BBC, Информационная безопасность, Вирус, Программист, Notpetya, Wannacry, Хакеры, Длиннопост

Уведомление вируса-вымогателя WannaCry на компьютере корейского подразделения по кибербезопасности


Весной и летом 2017 года сотни учреждений по всему миру, включая российские и украинские, столкнулись с заражением вирусами WannaCry и NotPetya. Эти программы заблокировали работу тысяч компьютеров, потребовав перечислить выкуп в криптовалюте за разблокировку. Под угрозой оказалось бесконечное число компьютерных данных, и суммарно от действий вирусов пострадало больше 500 тысяч устройств.


Общими усилиями активистов из разных стран с WannyCry и NotPetya совладали, но менее известные вирусы-вымогатели продолжают успешно атаковать частные, корпоративные и муниципальные компьютеры. Среди тех, кто им противостоит — уроженец восточной Германии Фабиан. В попытках бесплатно помочь людям вернуть данные он проводит за компьютером большую часть жизни, а угрозы вынудили его покинуть родину и перебраться в Великобританию. Историю программиста рассказало издание Би-би-си.


Одинокая жизнь в четырёх стенах


«Ваши файлы зашифрованы» — сложно найти человека, который хотя бы однажды не столкнулся с подобным уведомлением. Вирус блокирует доступ к зараженному устройству, пугая жертву тем, что если она не заплатит выкуп, все данные на компьютере сотрутся.


Стоимость разблокировки назначали злоумышленники — в России она составляла в среднем от 400 до 2000 рублей, но когда компьютеры по всему миру парализовал WannaCry, для всех стран была фиксированная цена — 300 долларов в биткоинах. Фабиан занимается борьбой с такими вирусами и заработал дурную славу среди авторов программ-вымогателей.


В начале 2018 года немец нашёл этому убедительное подтверждение — копаясь в коде очередного вируса, он обнаружил, что кто-то вывел его имя зелёными символами.

«Врать не буду, это было впечатляюще. Очевидно, что кодер очень разозлился. Он потратил время на написание этого сообщения, зная, что я наверняка его увижу [в коде], и значит, я правда их достал», — рассказал Фабиан Би-би-си.

Такие немые обращения он получает более-менее регулярно, и часто они не обходятся без мата, угроз или оскорблений матери Фабиана. Однажды кто-то назвал файл шифровальщика в честь мужчины — как полагает программист, чтобы выдать его за автора программы.


Как-то раз злоумышленник обратился к немцу через код, прося не взламывать его шифровальщик. В противном случае автор сообщения обещал «подсесть на героин». Фабиан не придал этому значения, всё равно взломав программу, но сделал скриншот обращения. Так он поступает со всеми сообщениями-угрозами, складируя их в весьма увесистую папку на компьютере. Но если в цифровом мире Фабиан заслужил репутацию борца со злоумышленниками, то в реальной жизни держится в тени.


Репортёр Би-би-си описал Фабиана как молодого полноватого мужчину, который 98% своей жизни проводит дома. Немец живёт на окраине Лондона, и при входе в его жильё сразу бросается в глаза отсутствие декоративной мебели. Рамки для фотографий, картины, лампы или растения — всего этого у Фабиана нет. Его книжные полки пусты, если не считать коллекции видеоигр Nintendo и нескольких руководств по кодингу. Среди немногочисленных вещей программиста есть и настольная игра о хакерах — Фабиан сказал, что он весьма неплох в ней, хотя пока он играл только в одиночку.

Вопреки рискам и угрозам: история анонимного программиста, который посвятил жизнь борьбе с вирусами-вымогателями Tjournal, BBC, Информационная безопасность, Вирус, Программист, Notpetya, Wannacry, Хакеры, Длиннопост

Уведомление о необходимости выключить компьютер из-за атаки WannaCry на офисном компьютере, май 2017 года


По какой-то причине своим рабочим офисом программист избрал самую маленькую комнату, закрыв окна шторами. Еду ему привозит курьер, так что он редко покидает жилище. «Я один из тех людей, что не пойдут на улицу, если это не необходимо», — рассказывает мужчина. Он числится сотрудником компании по кибербезопасности Emsisoft, работа в которой обеспечивает его заработком.


Программы по борьбе с вирусами-вымогателями Фабиан распространяет бесплатно с разрешения своего работодателя. Для восстановления файлов жертвы лишь скачивают нужные данные следуют инструкциям, после чего получают обратно доступ к устройству. Отчасти именно простота использования программ-дешифраторов привела к тому, что Фабиана невзлюбили объединённые группы злоумышленников.


Немец сравнивает программирование с писательством, поясняя, что автора кода всегда можно отличить по стилю написания. Таким образом он подмечает, сколько раз сталкивается с той или иной группировкой. Есть и другой способ отслеживания активности злоумышленников. Достаточно взглянуть на адреса биткоин-кошельков, на которые они просят перевести выкуп, чтобы понять, новая эта банда или нет.


По словам киберспециалиста, однажды он «сильно достал» группу злоумышленников, которая за три месяца заработала на вирусе около 250 тысяч долларов, но потом вмешался Фабиан и выпустил дешифратор. «Мы никогда наверняка не знаем, с кем связались, но, на мой взгляд, за последние несколько лет я расстроил или выбесил по меньшей мере 100 различных кибер-группировок», — рассказывает мужчина.


«Гонка вооружений»


Вирусы-вымогатели — один из самых удобных инструментов для интернет-злоумышленников. Получив контроль над данными жертвы, им не нужно искать покупателя информации и торговаться с ним о цене. Вместо этого они за фиксированную сумму возвращают человеку его же данные, не переживая за свою безопасность. Безвозвратная потеря данных — это внушительный рычаг давления, и многие люди принимают условия злоумышленников.


Частные лица не хотят потерять памятные фотографии, руководство крупных фирм опасается за корпоративные данные и не хочет разочаровать акционеров, а власти прикидывают, что выкуп злоумышленникам обойдётся дешевле замены техники за счёт налогоплательщиков. В марте 2019 года руководство округа Джексон в штате Джорджия после блокировки ряда компьютеров вирусом-вымогателям выплатило злоумышленникам 400 тысяч долларов выкупа.

Власти не видели другого выхода — программа парализовала все муниципальные устройства вплоть до компьютера шерифа, где он вёл статистику преступлений. Официальные представители пояснили, что восстановление системы с нуля (вероятно, у них не было резервной копии) обошлось бы округу гораздо дороже.

После выплаты неизвестные прислали ключ-дешифратор, который вернул доступ к системе. Предположительно, авторами вируса выступила хакерская группировка из восточной Европы или России.


Поимка подобных группировок — это сложная и многоуровневая задача, которой не всегда готова заниматься полиция. В декабре 2017 года в Румынии арестовали пять человек по подозрению в распространении вирусов-шифровальщиков CTB-Locker и Cerber. Но их розыск закончился успехом только благодаря совместной работе ФБР и Национального криминального агентства Великобритании, а также румынских и голландских следователей.


Для такой слаженной работы требуется много ресурсов, которые власти не всегда готовы выделять. Как итог — вирусы-шифровальщики продолжают терроризировать интернет. По оценке компании Emsisoft, в которой работает Фабиан, программы такого типа атакуют новые устройства каждые две секунды.


За два месяца 2019 года фирма предотвратила миллионы заражений, а ведь в мире подобных организаций гораздо больше. Но недостаточно, чтобы полностью обезопасить людей. Не смогли эти фирмы предугадать и удары WannaCry и NotPetya. Кибер-атака последнего считается одной из самых разрушительных в истории — общая сумма ущерба от него превысила 10 миллиардов долларов. Такая оценка связана с тем, что даже в случае выплаты выкупа NotPetya намеренно стирал все данные.

Вопреки рискам и угрозам: история анонимного программиста, который посвятил жизнь борьбе с вирусами-вымогателями Tjournal, BBC, Информационная безопасность, Вирус, Программист, Notpetya, Wannacry, Хакеры, Длиннопост

Банкомат во время кибератаки NotPetya, июль 2017 года


Больше всего от действий злоумышленников досталось датской компании Maersk, специализирующейся на грузовых перевозках. Почти вся работа фирмы оказалась парализована, и её частично восстановили лишь 10 дней спустя. Предположительно, распространители NotPetya действовали по политическим мотивам с целью навредить Украине, но официальной версии о возможных заказчиках атаки нет.


«Это вполне себе гонка вооружений. Они выпускают новый вирус-вымогатель, я нахожу уязвимость и на её основе пишу программу-дешифратор, чтобы люди восстановили свои данные», — рассказывает Фабиан. Порой такие битвы затягивались на месяцы: злоумышленники распространяли новую версию вируса, а программист снова находил дыру в коде. По словам Фабиана, иногда неизвестные находят проблему в программе и устраняют её, но часто авторы вирусов не видят лазейку, которую использует немец.


У такой гонки есть последствия — часто в пылу противостояния программист забывает о самых простых вещах вроде употребления еды и воды, а также уходе за собой. Среди его заваленного стола лежат две коробки с таблетками, которые он принимает ежедневно из-за проблем со здоровьем.


«У меня избыточный вес и проблемы с кровяным давлением, поэтому я пользуюсь лекарствами. Помимо этого я страдаю гипертиреозом (синдром, вызывающий повышение содержания гормонов — прим. TJ)», — рассказывает Фабиан. Программист согласен, что причина его физического состояния заключается в работе и образе жизни, потому подумывает завести щенка. С ним он хотя бы будет выходить на улицу, чтобы прогуляться. Вдобавок, порой ему не хватает компании.


Мужчина тщательно поддерживает свою анонимность, но каким-то образом злоумышленники всё равно узнали об его избыточном весе. И доходчиво сообщили ему об этом.

В одном из сообщений для программиста, скрытого в коде вируса, говорилось: «Фабиан, кончай лопать чизбургеры, толстяк».

Мужчина неоднократно сталкивался с оскорблениями, но на это не мог не обратить внимания. Само сообщение его не задело, но оно показало, что злоумышленникам что-то известно о Фабиане. До этого момента даже его начальник и коллеги не знали, где конкретно он жил в восточной Германии, но его «врагам» всё-таки удалось обнаружить детали его жизни.


Фабиан испугался. В попытке найти источник утечки он досконально изучил свои профили в соцсетях и на форумах, проверяя, оставлял ли он когда-либо фотографии самого себя. Так от наткнулся на свой давний твит, где упомянул кетогенную диету (низкоуглеводная диета с высоким содержанием жиров и умеренным содержанием белков — прим. TJ).


После этого программист отовсюду удалил свою дату рождения и попытался свести к минимуму информацию о себе в интернете. Тогда же он решил уехать из Германии, где, по его словам, легко определить местонахождения человека с минимумом информации под рукой.

Было очень страшно. Не думаю, что они убили бы меня, но эти парни очень опасны. Я знаю, сколько денег они зарабатывают, и им ничего бы не стоило заплатить 10-20 тысяч какому-нибудь чуваку, чтобы он пришёл ко мне домой и выбил из меня весь дух. Я как можно скорее перебрался в Великобританию. Здесь можно спрятаться, сохранять анонимность.


Исполнение детской мечты


Никто из коллег Фабиана до сих пор не знает, где он живёт в Великобритании. Он согласился поговорить с репортёром Би-би-си только потому, что вскоре покинет свой нынешний дом и переберётся в другое место. Как признал мужчина, частые переезды, жизненные ограничения и узкий круг друзей — это часть той жертвы, которую он принёс ради своего ремесла. В конце концов, он стремился к нему всю жизнь.


Родившись в бедной семье в бывшей ГДР, он впервые увидел компьютер в семь лет у отца на работе. Впечатления от устройства захватили мальчика, поэтому следующие три года он копил деньги на собственный компьютер, собирая и продавая перерабатываемые бутылки и банки на улице.


Прошло немного времени после того, как десятилетний мальчик купил компьютер, когда устройство атаковал теперь уже малоизвестный вирус TEQUILA-B. Но вместо того, чтобы отчаяться, Фабиан восхитился тем, как программа нарушила работоспособность компьютера. Он пошёл в библиотеку и прочитал несколько книг о компьютерных вирусах, после чего написал свою первую антивирусную программу.


К 14 годам среди друзей и знакомых он заработал славу «того парня, что разбирается в компьютерах», помогая менее опытным ровесникам и старшим. В том числе благодаря этой подработке семья скопила деньги на переезд в более благополучный район. Четыре года спустя юношу взяли в компанию по кибербезопасности Emsisoft, где за годы он заработал репутацию лучшего специалиста по вирусам-вымогателям.


Фабиан наверняка мог бы прославиться, посещая публичные лекции и выпуская книги на тему своего ремесла. Но вместо этого предпочёл тихую жизнь в тени. Он описывает свою зарплату как «очень хорошую», но, так как почти не выходит из дома, тратить деньги ему особо некуда.

Я почти ничего не трачу, нет. Люблю играть в онлайновые настольные игры, но это не стоит больших денег. Большую часть средств я посылаю сестре, которая воспитывает маленькую дочку. Мне приятно осознавать, что у неё есть всё, что ей нужно.

Фабиан

программист, специалист по вирусам-вымогателям

Источник: https://tjournal.ru/stories/90968-vopreki-riskam-i-ugrozam-i...
https://www.bbc.co.uk/news/resources/idt-sh/hated_and_hunted...

Найдены возможные дубликаты

+39

ТС в этой фразе " Я знаю, сколько денег они зарабатывают, и им ничего бы не стоило заплатить 10-20 тысяч какому-нибудь чуваку, чтобы он пришёл ко мне домой и выбил из меня весь дух." Вы забыли одно слово в оригинале было "русскому чуваку" - "it would be literally nothing for them to drop 10 or 20,000 for like some Russian dude to turn up to my house and beat the living hell out of me"

раскрыть ветку 2
+8

Постеснялся бедняга, "Some russian Putin's agent", побоялся, что после этого ему не жить

раскрыть ветку 1
0
Он в Борнмуте живет
+16
Зелёный, блядь, шрифт в коде шифровальщика. Это должны быть хакеры уровня Морфеуса или выше.
раскрыть ветку 3
+11

Только зелёный шрифт, красная звезда и волочившийся в коде парашют выдавал след руских хакеров.

+2

Возможно имелось ввиду использование особенностей ассемблерных редакторов.

0

мониторы в основном такие раньше были

Иллюстрация к комментарию
Иллюстрация к комментарию
+48
Для человека в тени этот слишком много пиздит. Есть слишком много разработчиков, программами который все пользуются и о которых никто не знает ни имени, ни фамилии, ни страны проживания, этот же чот запизделся.
раскрыть ветку 2
+24

В статье несколько раз упоминается фирма в которой он работает, и чисто случайно она занимается кибер безопасностью, в Твиттере (Fabian wosar) у него написано что он руководитель исследований в этой фирме, так что похоже на ненавязчивую рекламу, ну ещё в оригинале статье есть мимишный раздел , опущенный в русской версии, как художник из Би-Би-Си сделала ему аватар, чтобы он не раскрывал его черты, и как он счастлив его использовать зная что тайна его личности сохранена, при том что на сайте его компании есть вполне себе подробный рисунок его головы, который уже видели его "поклонники", так как уже есть версия с пририсованным хмммм детородным органом , и опять же голова вполне себе пухлощекая так что поклонникам совсем не нужно было искать давнишний твит о диете

+5

Деза. И пусть коварные русские хакеры ищут толстяка, у которого есть племянница.

+37

"«Ваши файлы зашифрованы» — сложно найти человека, который хотя бы однажды не столкнулся с подобным уведомлением"

Ну я не видел, наверное потому что я не открываю аттачменты к письмам типа "Бухгалтерский отчет 2019.exe" "налоговый возврат.exe" и "жесткие негры с хуями 49.5см отъебали малолетних школьниц.exe".

Я конечно не зарекаюсь, но все же большинство "жертв" сами себе злобные Буратины. А то что меня смогут каким-нибудь извращенным Spectre хакнуть, ну да, вероятность есть.

раскрыть ветку 3
+7

чувак) они проникали не только через ехе шники... если бы все было так просто

раскрыть ветку 2
0

Так это же, не спорю, но те кто в 2018-ом использовал SMB v1 - тоже сами себе злобные буратины. Ну да, удобно, 146% сетевых устройств видят друг-друга, нахуй патчить и переходить на вторую-третью версию.

раскрыть ветку 1
+12
Красавчик паренёк )
раскрыть ветку 3
+24

Я бы на месте европейских спецслужб включил парня в программу защиты свидетелей и приставил куратора. Деваху какую-нить для конспирации.

раскрыть ветку 2
+4
Ультраамериканцы)
раскрыть ветку 1
+11

На этой цитате

<<Достаточно взглянуть на адреса биткоин-кошельков, на которые они просят перевести выкуп, чтобы понять, новая эта банда или нет.>>я понял что читаю очередной ванильный высер.

Любой немного знакомый с Биткойн юзер,

знает что адреса можно генерировать.

Сомневаюсь что люди которые пишут эти программы вирусы не знают об этом.

раскрыть ветку 3
-1

Однако можно понять, что банда не новая, если кошелёк такой уже был засвечен.

раскрыть ветку 2
+6
О боже. Да у каждого кошелька Биткоина - можно генерировать неограниченное количество адресов
раскрыть ветку 1
+9

А мне вот что непонятно. Даже если тупо так:

1. Генерится ключ, отсылается на сервер, далее находится только в оперативной памяти.

2. Данные шифруются, ключ из оперативки удаляется

3. Показываем сообщение о том, что данные зашифрованы (уже после завершения процесса)


Каким образом это можно дешифровать? Либо вымогатели используют некриптостойкие шифры, вроде бы тот же AES-256 недырявый и "рекомендован", либо криво пишут софт, где ключ, таки, остаётся в системе.

раскрыть ветку 4
+7
Дыры есть везде, плюс имея шифровальщик и большой объем зашифрованной информации и исходной, то ключ можно вычислить. В общем народ который пишет вымогатели тоже не особо продвинутый, так как легально можно заработать больше. А так это обычно студенты.
Мне понравилось два момента это выделение в коде зелёным и его фамилия наоборот )))
раскрыть ветку 1
+4

Да, врятли) И первое и второе) куча криптостойких опенсоур библиотек - не думаю что там колхозят с нуля систему шифрования) Вобщем имхо странный такой  суперматематик)

-1

Если я правильно помню, используется асимметричное шифрование, т.е. для выполнения расшифровки требуется совершенно другой ключ, который в принципе не мог фигурировать в системе в процессе шифрования. Как именно их взламывают точно не скажу, предполагаю что ищут особенности в алгоритме генерации ключа для шифрования чтобы было возможно получить ключ для выполнения обратной операции. Скорее всего используются уже готовые пары ключей (от жертв, что заплатили и которые смогли перехватить отправленный на сервер ключ) для облегчения поиска.

раскрыть ветку 1
+1

Вряд ли. Обычно просят, в запросе на закидывание денег, некий идентификатор, который остается после шифрования в том же текстовом файле. Т.о. используется уникальный ключ для каждого шифрования. Расшифровать это без ключа не реально, никак.

Т.о. парень если и помогал в расшифровке, то только достаточно банальных шифраторов, которые использовали один ключ. Таких было, конечно, не мало, но злодеи достаточно быстро поняли, что применять одинаковые ключи не в их интересах.

+11

Похоже на сказку. Антивирусных лабораторий в мире хватает, сервисов по удалению вирусов тоже. А вот чтобы проводить реверс-инженеринг тела вируса для восстановлению данных - это нужно быть вообще фанатиком.

раскрыть ветку 2
+13

Я больше скажу. Тело вируса вообще может быть открытым. И ничего реверсить не придется. Нет ключа шифрования, нет данных (если все грамотно написано, конечно)

0
У меня сестра в двух мировых работала.
+3

На предприятии борюсь с возможностью заражения этим вирусом таким образом (бюджета то нет).

Все документы сотрудников хранятся на сервере в папке, что подключена как сетевой диск.

Доступ только у сотрудника и администратора.

Каждую ночь, все эти папки копируются на другой ПК, не самим сервером, а сервером бекапа.

Каждый день сервер бекапа их архивирует.

Если вдруг ПК клиента заражается, и папка на сервере шифруется, то вирус дальше не идет, а данные восстанавливаются из вчерашнего архива бекапа, а образ ПК клиента, переставляется на ПК.

В принципе потеря данных минимальна, максимум за 1 день.

раскрыть ветку 2
0

на ютубе Overbafer снимал ролик, если сменить букву C у диска, на любую другую, то в основном эти вирусы теряются и даже если повредится система, то данные остаются целыми

0

эта фигня шифрует только определенные данные, мы хватали ее, слава богу по сети она не особо распространяется

+10

>Предположительно, распространители NotPetya действовали по политическим мотивам с целью навредить Украине, но официальной версии о возможных заказчиках атаки нет.


Мимими, какие няшные эти хайли лайкли Би-Би-Си. Говёные балаболы, опасные враги. Сперва АНБ выпускает джинна из бутылки, а потом кругом русские хакеры. Как меня тошнит этот этой политоты -- не передать.

ещё комментарии
+1

В частном хозяйстве - это да, жестко, хозяина компа научить делать бэкапы без этого трудно. В корпоративе - за такое дело надо дрючить сисадминов.... У нас тоже товарищ с почты словил шифровальщика - зашифровало файлы на компе и на сетевой шаре - для сетевой шары делов было на 2 часа - восстановиться из штатного windows-бэкапа (делается каждодневно, потеря данных - полдня работы в среднем). Правда на компе самого товарища файло пострадало сильно....

P.S. - насчет "файлы в облако" - тут тоже осторожнее надо быть - ибо ни одно облако (если внимательно почитать условия) не гарантирует сохранность и доступность. И, кстати, не сильно гарантируется и конфиденциальность.

раскрыть ветку 1
+1

Гм.

Сисадминов дрючить, конечно, можно.

Но сперва нужно дать денег на реализацию надёжной инфраструктуры.

А то если денег на СРКВ не дают, то хоть обдрючься.

0

Коллеги помогите найти историю про то как чувак нашел уязвимость в роутере, не получил ответа о bounty bug и протестил её, и с ним связался оператор, и полиция и т.д. Интересует финиш истории

0

Года, может 3 назад, здесь с пикабу пошёл по ссылке глянуть на какие-то там жертвы Кампучиии или типа того. Выскакивает это окно. Точно содержание не помню, но вроде как за детский прон, который вы тут смотрите отмуслявьте нам баблосов. Я чёт прихуел малость. По итогу нихера ничего не зашифровалось. Перезагрузился и окно пропало. Но, винду тогда нахрен снёс. Кароч, какой-то криворукий кидис.

0

астра линукс надо было ставить!

раскрыть ветку 1
0
Смоленск например. И работать в закрытом режиме
-2

У меня на маке никогда небыло такой ху*ни

-2

Форматнуть не проще? А файлы нужные автоматически на облако закидывать. И не на одно.

-8

винды на игровом компе уже лет 10 без переустановки. только апгрейд до 10 был. ни разу ни одного вирусняка. (ну да, политиками прибито все (взял файл реестра из домена 2012 и слегка допилил), ну да, где попало не шарюсь, ну да, касперский присутствует (ну так, что бы был, паранойи ради))

раскрыть ветку 7
+10

Вы восхитительны!! Но текст не об этом.

ещё комментарии
ещё комментарии
Похожие посты
Возможно, вас заинтересуют другие посты по тегам: