♦ автоматически генерирует по определенному алгоритму ключ шифрования, либо получает его с принадлежащего злоумышленникам удаленного сервера;
♦ осуществляет поиск на дисках зараженного компьютера файлов, удовлетворяющих заданным вирусописателями критериям;
♦ шифрует все удовлетворяющие условиями файлы;
♦ создает и сохраняет на диске документы с перечислением действий для последующей расшифровки файлов и условиями выкупа.
После того как файлы оказываются зашифрованными, троянцы-энкодеры, в зависимости от версии, могут изменить фон рабочего стола атакованного компьютера на графическое изображение с указанием дальнейших инструкций для своей жертвы. Требуемая злоумышленниками сумма может варьироваться от десятков до нескольких тысяч долларов. В целях конспирации некоторые модификации шифровальщиков размещают свои управляющие серверы в анонимной сети TOR, что значительно затрудняет их идентификацию и последующую расшифровку данных.
На сегодняшний день наиболее эффективным методом противодействия троянцам-энкодерам является использование современного антивирусного ПО, обладающего механизмами превентивной защиты, и своевременное резервное копирование всей актуальной информации на независимые носители, хранящиеся отдельно от основного компьютера пользователя – в качестве таковых могут, в том числе, выступать отключаемые облачные хранилища».
Энкодеры действительно представляют серьезнейшую угрозу в современном мире компьютерных технологий, однако с правовой точки зрения их создатели и распространители подлежат преследованию в порядке статей, существующих в рамках уголовного права. Это обычные преступники, и потому вопрос противозаконного использования криптографических технологий и алгоритмов лежит вне гражданского поля, к которому как раз-таки имеет непосредственное отношение криптоанархизм как социальное явление.
Эти понятия не пересекаются в идеологическом плане, как бы ни пыталась доказать нам обратное Деннинг:
«Криптоанархия – это международная угроза, распространение которой стимулируется развитием систем коммуникаций, в том числе телефонии и Интернета. Чтобы бороться с этой угрозой, необходим интернациональный подход к обеспечению безопасности международных трансграничных коммуникаций и надзор государства за деятельностью преступников и террористов в рамках их юрисдикции. Чтобы избежать ситуации, когда использование криптографии не позволит правоохранительным органам во всем мире бороться с преступностью и терроризмом, необходимо сотрудничество правительств разных стран. Результатом такого сотрудничества будет не ограничение коммуникаций и использования инструментов криптографии, как утверждает Мэй, а ответственное использование этих инструментов, не ведущее к общественным беспорядкам. Информационные каналы требуют не менее ответственного отношения, чем магистрали, соединяющие различные штаты».
Ключевое понятие здесь – «ответственное отношение к инструментам криптографии», и с этим посылом Деннинг невозможно не согласиться. Безусловно, ответственное отношение к таким потенциально опасным вещам, как химическое и ядерное оружие, хранилища боеприпасов или сильная криптография могут защитить человечество от множества проблем, которые неизбежно возникнут, если подобные инструменты попадут в руки преступников или террористов.
Валентин Холмогоров о киберпреступности
Раз уж благодаря Дороти Деннинг мы заговорили о киберпреступности, нельзя не обратиться к мнению об этом явлении профессиональных экспертов, одним из которых является публицист, писатель и аналитик антивирусной компании Валентин Холмогоров. В своем романе «Бумажное Небо», посвященном становлению хакерского движения в России 90-х, он озвучивает целый ряд суждений об этом явлении, облекая их в художественную литературную форму. В частности, в этом произведении есть такие строки:
«Седые предания гласят, что люди, населявшие некогда нашу планету, измыслили для себя совершенно иную, непривычную нам модель мироздания. Она была проще и в то же время гораздо сложнее. В их наполненной чудесами вселенной обитали демоны и лешие, ведьмы и оборотни, а каждый камень, каждое дерево в лесу представлялись естественным воплощением незримого духа, обитавшего где-то за границей материального мира. Однако бесстрастное и безжалостное колесо цивилизации в конечном итоге втоптало мифологию в глубокую колею научного мировоззрения, заточив осколки объективной реальности в тесные клетки менделеевской таблицы. Человечество, добровольно променявшее пентаграммы на инстаграмы, не оставило в своей системе ценностей места неизведанному.
И все же волшебство существует, только отныне оно обитает совсем не там, где ищут его многочисленные оккультисты и эзотерики. Оно не витает в горних сферах невидимым эфиром, не сосредоточено в философском камне и не скрыто меж пыльных страниц древних гримуаров. Оно течет по проводам. Лицезреть события, происходящие в эту минуту на другом краю Земли, одним движением руки останавливать целые фабрики, погружать во тьму города, поворачивать вспять денежные потоки и менять судьбы людей – это ли не истинная магия нового тысячелетия? «Кто владеет информацией, тот владеет миром», – гласит затертая до дыр цитата, вложенная историками в уста известного банкира и финансиста. И все-таки Ротшильд был прав – но и не прав одновременно. Сегодняшним миром по-настоящему владеет тот, кто способен информацией управлять».
Действительно, управление информацией, а если говорить еще конкретнее – возможность получения к ней неограниченного доступа – одно из ключевых конкурентных преимуществ, которые имеют профессиональные хакеры по сравнению с прочими представителями IT-индустрии. Информационный ресурс в XXI столетии становится едва ли не более ценным, чем золото и миллиардные накопления на банковских счетах, ведь владея определенной информацией эти миллиарды можно украсть. В своей книге «PRO Вирусы» Холмогоров пишет:
«Некоторая часть населения «подпольного Интернета» представлена собственно вирусописателями, один из источников заработка которых – создание вредоносного ПО. Собственно, сами создатели вирусов нередко дают возможность заработать другой категории специалистов, которую можно условно назвать впаривателями, путем привлечения их к участию в партнерских программах. В этом случае наблюдается своеобразный симбиоз между двумя различными группами киберпреступников: создатели троянцев весьма охотно «покупают загрузки», то есть оплачивают другим специалистам факты инфицирования пользовательских компьютеров их творениями. Те же, кто продает загрузки, то есть, собственно, получает деньги за каждый факт заражения, обычно владеют своей действующей бот-сетью или распространяют вредоносное ПО через собственные сайты, используя методы социальной инженерии, различные системы управления трафиком (TDS), списки взломанных ресурсов или уязвимости популярных браузеров (а чаще и то, и другое, и третье).
Чем же выгодны покупки «загрузок»? Таким образом, как правило, создаются бот-сети, услуги которых также можно успешно монетизировать, рассылая спам или устраивая за соответствующее вознаграждение DDoS-атаки[17] на неугодные серверы. Кроме того, создателям, скажем, банковских троянцев не нужно заботиться о том, как их вредоносная программа попадет на целевой компьютер – они просто покупают у впаривателей или ботоводов некоторое количество загрузок либо спам-рассылку, а потом изучают полученный «улов». Например, известны случаи, когда разработчики троянца-шифровальщика не просто предлагали всем желающим приобрести созданный ими энкодер «в аренду», но создавали для него автоматизированный управляющий сервер, на котором жертвы шифровальщика могли авторизоваться при помощи автоматически генерируемого троянцем ключа, дешифровать один пробный файл и оплатить выкуп, процент от которого тут же перечислялся распространителю этой вредоносной программы. Таким «сервисом» не могут похвастаться даже некоторые серьезные коммерческие компании!
Отдельную категорию платных (и весьма востребованных) услуг на подпольном киберрынке составляет так называемое криптование. Что это такое? Давайте разбираться. Принцип работы большинства антивирусных программ состоит в том, что для каждой выявленной угрозы создается уникальная сигнатура, которая помещается в вирусные базы. При последующем сканировании вредоносные файлы безошибочно определяются по этой самой сигнатуре и успешно удаляются, либо помещаются в карантин. С целью обхода защиты вирусописатели применяют метод переупаковки вредоносных программ с использованием различных упаковщиков исполняемых файлов, нередко нанизывая слои таких «оберток» друг на друга по принципу матрешки: в результате вредоносный файл становится не похож сам на себя, и антивирусная программа «не признает» его за угрозу. Такой троянец не будет распознаваться антивирусным ПО ровно до тех пор, пока его образец не попадет в вирусную лабораторию и соответствующая сигнатура не будет добавлена в базу.
К тому же толковый «крипт» несколько затрудняет анализ угрозы: в дизассемблере грамотно упакованный троянец выглядит, как запутанный набор инструкций. Не то чтобы распутать такой клубок невозможно, просто занимает это гораздо больше времени… Вот почему услуга по «навешиванию» на вредоносную программу «криптов» весьма востребована. Впрочем, это совершенно не спасает вирусописателей от системы эвристического анализа угроз, так что с появлением подобных технологий ситуация стала понемногу меняться в лучшую сторону: хоть криптуй, хоть не криптуй, все равно получишь… детект. Разумеется, в сети активно продаются и сами троянцы-боты (под заказ их могут перекомпилировать, «зашив» в ресурсы ссылки на требуемые управляющие серверы), и даже исходники некоторых вредоносных программ – их можно приобрести по цене от двух до пяти тысяч долларов.