К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Как вирусы-вымогатели принимают платежи и почему они требуют «выкуп» в биткоинах?

Фото Сергея Конькова / ТАСС
Фото Сергея Конькова / ТАСС
Один из эффективных способов борьбы с вирусами, подобными WannaCry, — противодействие отмыванию денег в рамках блокчейн-транзакций и развитие соответствующих технологий

12 мая мир поразила эпидемия компьютерного вируса-шифровальщика WannaCry, также известного как WannaCrypt, WannaCry Decryptor, WCry и WCrypt. «Лаборатория Касперского» зафиксировала атаки в 74 странах мира, включая Россию, Украину, Тайвань и Индию. В общей сложности вирус за один день поразил более 200 тыс. компьютеров. При этом самое большое количество атак зафиксировано в России.

WannaCry представляет собой программу-троян, шифрующую файлы на зараженных компьютерах и блокирующую таким образом доступ к данным (подробнее о принципах его работы — в материале Forbes). Для того чтобы вновь получить возможность открывать свои файлы, пользователю необходимо отправить сумму в размере  $300-600  в криптовалюте биткоин на кошелек злоумышленников, стоящих за WannaCry. Никаких гарантий расшифровки и разблокировки файлов после оплаты, конечно, не существует. Но почему создатели вредоносного программного обеспечения вымогают у пользователей средства именно в криптоактивах? Прежде стоит сделать краткий экскурс в историю программ-вымогателей и эволюцию их методов приема средств от жертв.

Упомянутый в начале материала WannaCry относится к типу программ-вымогателей ransomware (подробнее о подобных типах киберугроз — в материале Forbes), существующих на рынке уже не первый десяток лет, задолго до появления биткоина, криптовалюты-пионера. Впервые этот вид вируса был зафиксирован в 1989 году — за 20 лет до биткоина. Тогда программа-зловред AIDS Trojan распространялась на дискетах в ходе медицинской конференции. Вирус шифровал все файлы на диске C компьютера и требовал отправить $189 на почтовый ящик в Панаме.

 

В 2006 году, за три года до появления биткоина широкое распространение получил новый вирус-вымогатель Archievus, впервые использовавший асимметричное шифрование. Вредоносная программа лишала пользователей доступа к папке «Мои Документы». Для разблокировки доступа Archievus предлагал приобрести пароль через специальные веб-сайты.

В 2008-2009 годах замаскированные под антивирусное ПО вирусы-вымогатели требовали $100 за «устранение» проблем в системе. Нашумевший в 2012 году троян Reveton заставлял пользователей платить за разблокировку их компьютера с помощью ваучера предоплаченного сервиса Ukash или Paysafecard.

 

Развивающийся сейчас мировой рынок криптовалют, объем которого, по данным на 16 мая, составил $55,5 млрд, создает для злоумышленников идеальную возможность принимать деньги на свой счет, сохраняя анонимность. Биткоин — первая, самая масштабная и наиболее распространенная на рынке, и в том числе, среди создателей вредоносных программ, криптовалютная платежная система. Популярность биткоина в нелегальных схемах, к которым относится разработка и распространение вредоносного ПО, в цифровом пространстве не случайна. В основе биткоина лежит распределенная база данных — блокчейн, контролируемая самими пользователями, при отсутствии центрального регулирующего органа. История транзакций прозрачна для всех пользователей сети, но кто именно стоит за тем или иным криптовалютным кошельком, в рамках самой системы биткоин определить невозможно.

Помимо биткоина злоумышленники используют также и другие криптовалюты — альткоины. Так, например, вирус-вымогатель Kirk, шифрующий около 625 типов различных файлов с помощью протокола RSA-4096, требует расплачиваться в криптовалюте Monero.

Несмотря на репутацию анонимного средства платежа, сложившуюся вокруг криптовалют, на рынке уже существуют решения, позволяющие отследить транзакции в пользу злоумышленников. Например, технологический комплекс Elliptic предназначен для мониторинга незаконного оборота биткоинов. Компания сотрудничает с финансовыми организациями и правоохранительными органами. Кроме того, известно, что Elliptic также сотрудничает с криптовалютными биржами, позволяя им соблюдать принцип KYC (know your customer) и идентифицировать своих контрагентов. Таким образом, стало возможным распознавание злоумышленников на этапе вывода средств в фиатную валюту через онлайн-биржу или обменник.

 

С помощью AML-решения Elliptic можно определить, с каким именно кошельком сотрудничает злоумышленник. Например, уже удалось выявить балансы трех биткоин-кошельков, связанных с WannaCry. Успевший дестабилизировать работу более двух сотен тысяч компьютеров вирус-вымогатель собрал, по данным на 16 мая, около $74 536.

Идентифицировать кошелек позволяет технология кластеризации адресов (address clustering), развиваемая в рамках тесного сотрудничества с сервис-провайдерами. Суть решения заключается в том, что каждому кластеру присвоена своя оценка риска (risk score), позволяющая определить вероятность связи того или иного кошелька с даркнетом. Благодаря технологии кластеризации адресов биткоин-сервисы, например Coinbase, Mycelium или Wirex, могут моментально идентифицировать перевод с высокой оценкой риска и заблокировать его. Такой подход позволяет оперативно выявить и задержать злоумышленников.

Каков бы ни был способ приема средств, эксперты в сфере информационной безопасности советуют не выплачивать выкуп ни при каких условиях, так как сохранность заблокированных файлов и возобновление доступа к ним злоумышленники никогда не гарантируют. Кроме того, выплачивая средства за разблокировку, пользователи поддерживают разработчиков вредоносного ПО, стимулируют их развивать существующие решения и создавать новые вирусы.

Рынок криптовалют разнообразен и степень анонимности зависит от проработки кода, заложенного создателями той или иной криптовалюты или блокчейн-платформы. Но развитие технологии кластеризации адресов говорит о том, что анонимность больше не служит бесспорным козырем в руках злоумышленников. Готовые решения для отслеживания биткоин-транзакций и сотрудничество с правоохранительными органами со временем сделают более прозрачными и операции с альткоинами. Возможно, уже в ближайшей перспективе, пока государства будут делать первые шаги в регулировании криптовалют, частные проекты естественным образом сформируют среду для контроля этого рынка. Противодействие отмыванию денег в рамках блокчейн-транзакций — достаточно новая технология, но в ее развитии заинтересованы все игроки рынка, потому что такой инструмент способствует улучшению репутации биткоина и снижению объема нелегальных операций по всему миру.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+