Иногда узнаёшь какие-нибудь новости про то, что ещё какая-то большая компания стала жертвой очередного шифровальщика, и что их вынудили заплатить выкуп, или читаешь комментарии, где натыкаешься на советы типа "подумайте о том, чтобы заплатить выкуп". В такие моменты мне становится немного не по себе, потому что платить вымогателям категорически не следует - и не только потому, что они не то чтобы честным трудом зарабатывают. Видимо, пора в очередной раз высказаться, почему.
Во-первых, вы спонсируете киберпреступность.
"Кибернегодяи", "злоумышленники", "вымогатели", "банда киберпреступников" - чувствуете, какой оттенок у всех этих слов? Когда вы платите этим людям, вы стимулируете дальнейшую разработку зловредов-шифровальщиков. Вы даёте деньги на то, чтобы они совершенствовали свои технологии, делали их более злодейскими, чтобы они продолжали заниматься тем, чем они занимаются, - портить жизнь остальным людям и стопорить работу разных организаций (внимание! - включая
медицинские).
Получается замкнутый цикл: они вас пошифровали, вы им заплатили, они пошифровали ещё больше народу. И так дальше по порочному кругу.
В сущности, есть два способа отучить их этим заниматься:
1) Всех их переловить, и мы в этом периодически помогаем, но - увы! - популяция кибер-преступников продолжает расти;
2) Сделать эту деятельность невыгодной - тогда, глядишь, они наконец найдут себе другую, нормальную работу, не наносящую ущерб остальным и не попадающую по статьи Уголовного кодекса. // Видимо, они просто не слышали о том, что программистам вообще-то неплохо платят.
И невыгодной эта деятельность станет в том случае, если жертвы перестанут платить. Вот вам и аргумент. Хорошо, вы можете возразить: "Это все хорошо, и вообще я за мир во всём мире, но у меня тут данные пошифровало, и мне бы со своими проблемами разобраться". И всё равно платить киберзлодеям не надо! Тогда слушайте дальше.
Во-вторых, данные могут и не вернуть
Договоренности со злоумышленниками всегда писаны вилами по воде - на то он и злоумышленник, что нарушает законы и договоренности. Так что тот факт, что вы ему заплатили, совсем не обязательно приведёт к тому, что он позволит расшифровать файлы.
Вспомнить тот же
ExPetr/NotPetya: поскольку уникальный идентификатор пользователя там генерировался полностью рандомно, расшифровать файлы в принципе было невозможно. Этой возможности не было даже у самих злоумышленников. Сколько ни плати - ничего не выйдет. И ExPetr/NotPetya - не единственный такой случай. Злоумышленники нередко допускают ошибки в коде. И если иногда эти ошибки позволяют нам создать дешифратор, то в других случаях они, наоборот, не позволяют его сделать даже самим злоумышленникам.
Недавно вот был случай, когда эксперт по кибербезопасности
публично просил группу киберпреступников поправить ошибку в их трояне-вымогателе, а то файлы портились безвозвратно. И смех и грех. В общем, когда вы решаете заплатить выкуп, никаких гарантий, что вы сможете вернуть файлы, нет. Мягко говоря.
В-третьих, шантажировать вас могут не один раз
Уже
был такой случай: кибернегодяи пошифовали некую организацию, та заплатила аж 6,5 миллиона долларов выкупа, а потом спустя две недели те же злоумышленники пошифровали её ещё раз и заставили платить выкуп повторно.
Хорошо, тут дело было в том, что за две недели организация не успела залатать дыру, через которую преступники пролезли в первый раз. Но бывает и так, что мошенники, пошифровавшие и укравшие данные, просто решают потребовать выкуп ещё раз - просто так, без основания. Потому что могут - потому что они стащили ваши данные, не удалили их, когда вы заплатили в первый раз (и ведь вы об этом никак не узнаете), и могут шантажировать ещё сколько угодно раз.
А могут просто продать ваши данные конкурентам, несмотря на то, что вы заплатили - и даже не единожды. И получается, что либо организация должна заплатить ещё раз, либо она вообще просто так выкинула на ветер кругленькую сумму, потому как опять оказалась в той же ситуации, в которой была.
Единственный выход - не платить даже в первый раз. А если заплатите во второй - нет гарантии, что не придут требовать выкуп в третий, раз уж из вас получается такой стабильный источник дохода.
А что ж тогда делать-то?
Если злодеям не платить, то чего делать-то? Файлы-то пошифрованы, украдены, кибернегодяи грозят все опубликовать. Жуть что творится. Делать вот что:
Искать дешифратор. Он либо уже есть
вот тут или
вот тут, либо его пока ещё нет, но он может появиться позже. Мы стараемся их
регулярно выпускать и обновлять - по мере того, как изучаем зловредов и ловим злоумышленников.
Поговорить с тем вендором, у кого покупали защиту. Во-первых, узнать, как так вышло, что вас пошифровало, а во-вторых, попросить помочь с расшифровкой. Может и получиться, да и вендор заинтересован в том, чтобы помочь, вы ему не чужие.
И, конечно, задуматься о смене вендора. Несмотря на внешний лоск и кажущееся однообразие защитных решений "не все стиральные порошки одинаковы" (c). Увы, сегодня одни разработчики массово навешивают развесистую клюкву и продают
пустышки под видом
супер-мега-искусственного интеллекта, другие тихой сапой
заимствуют детект у коллег по индустрии. Ни те, ни другие не спасут от будущих кибератак, поскольку не способны предложить работающую проактивную защиту, основанную на фундаментальном технологическом развитии.
А в идеале:
защищаться лучше,
бэкапиться по-умному, и ловить заразу раньше, чем она натворит дел. И ни в коем случае не платить. Если никто им платить не будет, глядишь, повыведутся наконец - и всему миру будет дышаться чуточку легче.