Вопреки рискам и угрозам: история анонимного программиста, который посвятил жизнь борьбе с вирусами-вымогателями
Всё свободное время немец Фабиан уделяет войне с интернет-злоумышленниками. И наживает себе опасных врагов.
Уведомление вируса-вымогателя WannaCry на компьютере корейского подразделения по кибербезопасности
Весной и летом 2017 года сотни учреждений по всему миру, включая российские и украинские, столкнулись с заражением вирусами WannaCry и NotPetya. Эти программы заблокировали работу тысяч компьютеров, потребовав перечислить выкуп в криптовалюте за разблокировку. Под угрозой оказалось бесконечное число компьютерных данных, и суммарно от действий вирусов пострадало больше 500 тысяч устройств.
Общими усилиями активистов из разных стран с WannyCry и NotPetya совладали, но менее известные вирусы-вымогатели продолжают успешно атаковать частные, корпоративные и муниципальные компьютеры. Среди тех, кто им противостоит — уроженец восточной Германии Фабиан. В попытках бесплатно помочь людям вернуть данные он проводит за компьютером большую часть жизни, а угрозы вынудили его покинуть родину и перебраться в Великобританию. Историю программиста рассказало издание Би-би-си.
Одинокая жизнь в четырёх стенах
«Ваши файлы зашифрованы» — сложно найти человека, который хотя бы однажды не столкнулся с подобным уведомлением. Вирус блокирует доступ к зараженному устройству, пугая жертву тем, что если она не заплатит выкуп, все данные на компьютере сотрутся.
Стоимость разблокировки назначали злоумышленники — в России она составляла в среднем от 400 до 2000 рублей, но когда компьютеры по всему миру парализовал WannaCry, для всех стран была фиксированная цена — 300 долларов в биткоинах. Фабиан занимается борьбой с такими вирусами и заработал дурную славу среди авторов программ-вымогателей.
В начале 2018 года немец нашёл этому убедительное подтверждение — копаясь в коде очередного вируса, он обнаружил, что кто-то вывел его имя зелёными символами.
«Врать не буду, это было впечатляюще. Очевидно, что кодер очень разозлился. Он потратил время на написание этого сообщения, зная, что я наверняка его увижу [в коде], и значит, я правда их достал», — рассказал Фабиан Би-би-си.
Такие немые обращения он получает более-менее регулярно, и часто они не обходятся без мата, угроз или оскорблений матери Фабиана. Однажды кто-то назвал файл шифровальщика в честь мужчины — как полагает программист, чтобы выдать его за автора программы.
Как-то раз злоумышленник обратился к немцу через код, прося не взламывать его шифровальщик. В противном случае автор сообщения обещал «подсесть на героин». Фабиан не придал этому значения, всё равно взломав программу, но сделал скриншот обращения. Так он поступает со всеми сообщениями-угрозами, складируя их в весьма увесистую папку на компьютере. Но если в цифровом мире Фабиан заслужил репутацию борца со злоумышленниками, то в реальной жизни держится в тени.
Репортёр Би-би-си описал Фабиана как молодого полноватого мужчину, который 98% своей жизни проводит дома. Немец живёт на окраине Лондона, и при входе в его жильё сразу бросается в глаза отсутствие декоративной мебели. Рамки для фотографий, картины, лампы или растения — всего этого у Фабиана нет. Его книжные полки пусты, если не считать коллекции видеоигр Nintendo и нескольких руководств по кодингу. Среди немногочисленных вещей программиста есть и настольная игра о хакерах — Фабиан сказал, что он весьма неплох в ней, хотя пока он играл только в одиночку.
Уведомление о необходимости выключить компьютер из-за атаки WannaCry на офисном компьютере, май 2017 года
По какой-то причине своим рабочим офисом программист избрал самую маленькую комнату, закрыв окна шторами. Еду ему привозит курьер, так что он редко покидает жилище. «Я один из тех людей, что не пойдут на улицу, если это не необходимо», — рассказывает мужчина. Он числится сотрудником компании по кибербезопасности Emsisoft, работа в которой обеспечивает его заработком.
Программы по борьбе с вирусами-вымогателями Фабиан распространяет бесплатно с разрешения своего работодателя. Для восстановления файлов жертвы лишь скачивают нужные данные следуют инструкциям, после чего получают обратно доступ к устройству. Отчасти именно простота использования программ-дешифраторов привела к тому, что Фабиана невзлюбили объединённые группы злоумышленников.
Немец сравнивает программирование с писательством, поясняя, что автора кода всегда можно отличить по стилю написания. Таким образом он подмечает, сколько раз сталкивается с той или иной группировкой. Есть и другой способ отслеживания активности злоумышленников. Достаточно взглянуть на адреса биткоин-кошельков, на которые они просят перевести выкуп, чтобы понять, новая эта банда или нет.
По словам киберспециалиста, однажды он «сильно достал» группу злоумышленников, которая за три месяца заработала на вирусе около 250 тысяч долларов, но потом вмешался Фабиан и выпустил дешифратор. «Мы никогда наверняка не знаем, с кем связались, но, на мой взгляд, за последние несколько лет я расстроил или выбесил по меньшей мере 100 различных кибер-группировок», — рассказывает мужчина.
«Гонка вооружений»
Вирусы-вымогатели — один из самых удобных инструментов для интернет-злоумышленников. Получив контроль над данными жертвы, им не нужно искать покупателя информации и торговаться с ним о цене. Вместо этого они за фиксированную сумму возвращают человеку его же данные, не переживая за свою безопасность. Безвозвратная потеря данных — это внушительный рычаг давления, и многие люди принимают условия злоумышленников.
Частные лица не хотят потерять памятные фотографии, руководство крупных фирм опасается за корпоративные данные и не хочет разочаровать акционеров, а власти прикидывают, что выкуп злоумышленникам обойдётся дешевле замены техники за счёт налогоплательщиков. В марте 2019 года руководство округа Джексон в штате Джорджия после блокировки ряда компьютеров вирусом-вымогателям выплатило злоумышленникам 400 тысяч долларов выкупа.
Власти не видели другого выхода — программа парализовала все муниципальные устройства вплоть до компьютера шерифа, где он вёл статистику преступлений. Официальные представители пояснили, что восстановление системы с нуля (вероятно, у них не было резервной копии) обошлось бы округу гораздо дороже.
После выплаты неизвестные прислали ключ-дешифратор, который вернул доступ к системе. Предположительно, авторами вируса выступила хакерская группировка из восточной Европы или России.
Поимка подобных группировок — это сложная и многоуровневая задача, которой не всегда готова заниматься полиция. В декабре 2017 года в Румынии арестовали пять человек по подозрению в распространении вирусов-шифровальщиков CTB-Locker и Cerber. Но их розыск закончился успехом только благодаря совместной работе ФБР и Национального криминального агентства Великобритании, а также румынских и голландских следователей.
Для такой слаженной работы требуется много ресурсов, которые власти не всегда готовы выделять. Как итог — вирусы-шифровальщики продолжают терроризировать интернет. По оценке компании Emsisoft, в которой работает Фабиан, программы такого типа атакуют новые устройства каждые две секунды.
За два месяца 2019 года фирма предотвратила миллионы заражений, а ведь в мире подобных организаций гораздо больше. Но недостаточно, чтобы полностью обезопасить людей. Не смогли эти фирмы предугадать и удары WannaCry и NotPetya. Кибер-атака последнего считается одной из самых разрушительных в истории — общая сумма ущерба от него превысила 10 миллиардов долларов. Такая оценка связана с тем, что даже в случае выплаты выкупа NotPetya намеренно стирал все данные.
Банкомат во время кибератаки NotPetya, июль 2017 года
Больше всего от действий злоумышленников досталось датской компании Maersk, специализирующейся на грузовых перевозках. Почти вся работа фирмы оказалась парализована, и её частично восстановили лишь 10 дней спустя. Предположительно, распространители NotPetya действовали по политическим мотивам с целью навредить Украине, но официальной версии о возможных заказчиках атаки нет.
«Это вполне себе гонка вооружений. Они выпускают новый вирус-вымогатель, я нахожу уязвимость и на её основе пишу программу-дешифратор, чтобы люди восстановили свои данные», — рассказывает Фабиан. Порой такие битвы затягивались на месяцы: злоумышленники распространяли новую версию вируса, а программист снова находил дыру в коде. По словам Фабиана, иногда неизвестные находят проблему в программе и устраняют её, но часто авторы вирусов не видят лазейку, которую использует немец.
У такой гонки есть последствия — часто в пылу противостояния программист забывает о самых простых вещах вроде употребления еды и воды, а также уходе за собой. Среди его заваленного стола лежат две коробки с таблетками, которые он принимает ежедневно из-за проблем со здоровьем.
«У меня избыточный вес и проблемы с кровяным давлением, поэтому я пользуюсь лекарствами. Помимо этого я страдаю гипертиреозом (синдром, вызывающий повышение содержания гормонов — прим. TJ)», — рассказывает Фабиан. Программист согласен, что причина его физического состояния заключается в работе и образе жизни, потому подумывает завести щенка. С ним он хотя бы будет выходить на улицу, чтобы прогуляться. Вдобавок, порой ему не хватает компании.
Мужчина тщательно поддерживает свою анонимность, но каким-то образом злоумышленники всё равно узнали об его избыточном весе. И доходчиво сообщили ему об этом.
В одном из сообщений для программиста, скрытого в коде вируса, говорилось: «Фабиан, кончай лопать чизбургеры, толстяк».
Мужчина неоднократно сталкивался с оскорблениями, но на это не мог не обратить внимания. Само сообщение его не задело, но оно показало, что злоумышленникам что-то известно о Фабиане. До этого момента даже его начальник и коллеги не знали, где конкретно он жил в восточной Германии, но его «врагам» всё-таки удалось обнаружить детали его жизни.
Фабиан испугался. В попытке найти источник утечки он досконально изучил свои профили в соцсетях и на форумах, проверяя, оставлял ли он когда-либо фотографии самого себя. Так от наткнулся на свой давний твит, где упомянул кетогенную диету (низкоуглеводная диета с высоким содержанием жиров и умеренным содержанием белков — прим. TJ).
После этого программист отовсюду удалил свою дату рождения и попытался свести к минимуму информацию о себе в интернете. Тогда же он решил уехать из Германии, где, по его словам, легко определить местонахождения человека с минимумом информации под рукой.
Было очень страшно. Не думаю, что они убили бы меня, но эти парни очень опасны. Я знаю, сколько денег они зарабатывают, и им ничего бы не стоило заплатить 10-20 тысяч какому-нибудь чуваку, чтобы он пришёл ко мне домой и выбил из меня весь дух. Я как можно скорее перебрался в Великобританию. Здесь можно спрятаться, сохранять анонимность.
Исполнение детской мечты
Никто из коллег Фабиана до сих пор не знает, где он живёт в Великобритании. Он согласился поговорить с репортёром Би-би-си только потому, что вскоре покинет свой нынешний дом и переберётся в другое место. Как признал мужчина, частые переезды, жизненные ограничения и узкий круг друзей — это часть той жертвы, которую он принёс ради своего ремесла. В конце концов, он стремился к нему всю жизнь.
Родившись в бедной семье в бывшей ГДР, он впервые увидел компьютер в семь лет у отца на работе. Впечатления от устройства захватили мальчика, поэтому следующие три года он копил деньги на собственный компьютер, собирая и продавая перерабатываемые бутылки и банки на улице.
Прошло немного времени после того, как десятилетний мальчик купил компьютер, когда устройство атаковал теперь уже малоизвестный вирус TEQUILA-B. Но вместо того, чтобы отчаяться, Фабиан восхитился тем, как программа нарушила работоспособность компьютера. Он пошёл в библиотеку и прочитал несколько книг о компьютерных вирусах, после чего написал свою первую антивирусную программу.
К 14 годам среди друзей и знакомых он заработал славу «того парня, что разбирается в компьютерах», помогая менее опытным ровесникам и старшим. В том числе благодаря этой подработке семья скопила деньги на переезд в более благополучный район. Четыре года спустя юношу взяли в компанию по кибербезопасности Emsisoft, где за годы он заработал репутацию лучшего специалиста по вирусам-вымогателям.
Фабиан наверняка мог бы прославиться, посещая публичные лекции и выпуская книги на тему своего ремесла. Но вместо этого предпочёл тихую жизнь в тени. Он описывает свою зарплату как «очень хорошую», но, так как почти не выходит из дома, тратить деньги ему особо некуда.
Я почти ничего не трачу, нет. Люблю играть в онлайновые настольные игры, но это не стоит больших денег. Большую часть средств я посылаю сестре, которая воспитывает маленькую дочку. Мне приятно осознавать, что у неё есть всё, что ей нужно.
Фабиан
программист, специалист по вирусам-вымогателям
Президент Microsoft: за вирусом WannaCry стоит КНДР
Президент компании Microsoft Брэд Смит"с большой уверенностью" полагает, что за кибератаки с использованием вируса WannaCry, затронувшие более 200 тысяч пользователей в 150 странах мира в этом году, ответственна КНДР.
По его мнению, Северная Корея использовала "киберинструменты или оружие, украденное из Агентства национальной безопасности (АНБ) в США", — приводит слова Смита РИА Новости. Он также добавил, что за последние полгода кибератаки, осуществляемые отдельными государствами, участились и стали более серьезными.
Между тем заместитель постоянного представителя КНДР при ООН назвал заявления о связях Пхеньяна с мировой кибератакой смехотворными.
Северная Корея плохая, потому что распространила вирус, но при этом она глупая потому что сам вирус она украла у США. Ну а если фигурируют слова ""большая уверенность", то даже сомневаться не стоит. Само собой доказательства мы вам не покажем.
ФБР арестовало остановившего вирус WannaCry британского компьютерщика
ФБР США арестовало британского компьютерного исследователя Маркуса Хатчинса по обвинению в сговоре с целью рекламы и продажи вредоносной программы Kronos, использовавшейся для похищения информации о банковских онлайн-операциях и данных кредитных карт.
Хатчинс был задержан в Лас-Вегасе на этой неделе после участия в ежегодной хакерской конференции Def Con. Ему приписывают помощь в нейтрализации глобальной атаки WannaCry в этом году. При этом представитель правоохранительных органов заявил, что дело Хатчинса не связано с атакой WannaCry.
Распространение вируса-вымогателя WannaCry, поразившего десятки тысяч компьютеров по всему миру, удалось приостановить с помощью регистрации домена с длинным и бессмысленным названием iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
После того как в коде вируса обнаружили зашитое в коде вредоносной программы незарегистрированное доменное имя, на которое направлялись запросы. Хатчинс решил приобрести домен, что стоило ему менее 11 долларов, после чего распространение вируса прекратилось.
Вирус как детектор отношения работодателя к ИТ
На волне распространения вируса Petya.A. ИТшники Украины получили замечательную возможность составить список работодателей экономящих на ИТ и информационной безопасности.
Эпидемия WannaCry могла произойти из-за случайной утечки
Распространение WannaCry началось до того, как вредоносная программа была полностью завершена.
Ошибки в коде и реализации вымогательского ПО WannaCry, в мае нынешнего года заблокировавшего сотни тысяч компьютеров по всему миру, могут служить подтверждением теории о том, что авторы шифровальщика допустили утечку вредоносной программы, и ее распространение началось до того, как она была полностью завершена. Такой точки зрения придерживается эксперт в области кибербезопасности Джейк Уиллиамс (Jake Williams).
Во-первых, говорит Уиллиамс, разработчики использовали всего три Bitcoin-адреса для перевода денежных средств, тогда как обычно вымогательское ПО предусматривает свой уникальный адрес на каждый случай инфицирования для эффективного отслеживания оплат. По его словам, это аматорская ошибка, так как правоохранительные органы или ИБ-эксперты могут сравнительно легко отследить все транзакции.
Во-вторых, на пререлизную версию WannaCry указывает вшитый в код «домен-выключатель», предназначенный на тот случай, если вредонос понадобится остановить. Наличие подобного механизма вполне логично, однако удивляет отсутствие какого-либо шифрования, пояснил Уиллиамс. В прошлом другие вирусописатели шифровали канал связи с управляющим сервером, тем самым предотвращая регистрацию подобного домена правоохранителями и исследователями, что, собственно, и сделал эксперт Маркус Хатчинс (Marcus Hutchins), обнаруживший «аварийный» домен в коде WannaCry.
«Авторы вредоносного ПО, включая северокорейцев, знают об этом [шифрованиии]. Идея о том, что они реализуют домен-выключатель без этого... Это версия 0.0, которая никогда не должна была распространяться. Я на 100% уверен в этом», - подчеркнул Уиллиамс в интервью изданию Threatpost.
Напомним, ранее эксперты компаний Symantec и «Лаборатория Касперского» предположили, что к атакам WannaCry могут быть причастны участники хакерской группировки Lazarus, предположительно связанной с правительством КНДР.
WannaCry (также известна как WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) - вымогательское ПО, сетевой червь, ориентированное на компьютеры под управлением Microsoft Windows. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредонос сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нем уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код WannaCry.
Ошибки в коде WannaCry помогают бесплатно восстановить файлы
Исходный код вымогательского ПО WannaCry оказался довольно низкого качества.
Изучив исходный код вымогательского ПО WannaCry, ранее инфицировавшего сотни тысяч компьютеров по всему миру, специалисты компании «Лаборатория Касперского» обнаружили ряд ошибок, делающих возможным восстановление зашифрованных файлов с помощью общедоступных программных инструментов.
К примеру, ошибка в механизме обработки файлов только для чтения означает, что программа вообще не может шифровать подобные файлы. Вместо этого вредонос создает зашифрованные копии файлов, а оригинальные версии остаются нетронутыми. При этом они делаются скрытыми, но не удаляются, и получить доступ к ним можно, включив опцию отображения скрытых файлов.
В случае, если файлы расположены в «важных» папках («Рабочий стол» или «Мои документы»), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (разве что заплатить выкуп). «Неважные» файлы отправляются во временную папку %TEMP%\%d.WNCRYT и просто удаляются с диска без перезаписи. В таком случае их можно восстановить с помощью специальных программ.
«Мы уже наблюдали это раньше - разработчики вымогательского ПО часто допускают грубые ошибки, позволяющие исследователям в области кибербезопасности успешно восстановить файлы. WannaCry - по крайней мере первый и наиболее распространенный представитель данного семейства - как раз такое вредоносное ПО», - отметил эксперт «ЛК» Антон Иванов.
Напомним, о масштабной кампании с использованием вымогательского ПО WannaCry стало известно 12 мая нынешнего года. За несколько дней вредонос инфицировал более 400 тыс. компьютеров в свыше 150 странах мира. Как сообщалось ранее, наибольшее число атак пришлось на Россию, однако по данным компании Kryptos Logic, лидером по числу случаев заражения стал Китай, тогда как РФ оказалась на третьем месте после США.
WannaCry. Сколько зарабатывают хакеры и расшифруют ли они файлы после оплаты?
Вот и спал пик обсуждения вируса-шифровальщика WannaCry ( он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt...), но в посте о декрипторах задавались вопросы по поводу случаев оплаты (биткоинами) расшифровки файлов хакерам.
Сегодня вернулся на Пикабу и решил порыть интернет на предмет дохода создателей зловреда. Это оказалось проще простого и заработали хацкеры:
Total ransomed: $130,240.63. Last payment made at: May 25th, 1:01 PM
График с сайта https://www.elliptic.co/wannacry/
Онлайн транзакции поступающие на биткоин адреса злоумышленников можно отследить в твиттер-боте по адресу:
Ведется трансляция с обозревателя блоков blockchain.info, ниже ссылки на транзакции по трем биткоин-адресам создателей вируса:
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8is...
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6N...
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNX...
Расшифровка.
А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((
Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет :
"Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки."
https://habrahabr.ru/company/pentestit/blog/328606/#comment_...
Похоже что заплатив выкуп ничего не добьемся, так что... мы помним что делать чтобы обезопаситься:
http://pikabu.ru/story/poznakomimsya_s_wannacry_poblizhe_504...
http://pikabu.ru/story/ssyilki_na_obnovleniya_microsoft_ms17...