В прошедшие выходные, 26 и 27 ноября, желающие прокатиться на городском метро Сан-Франциско обнаружили, что им не нужно платить за проезд. Два дня все ездили бесплатно. И причина не в том, что в Калифорнии неожиданно наступил социализм, все гораздо прозаичнее: муниципальный метрополитен Сан-Франциско просто не смог продавать билеты из-за атаки трояна-вымогателя.
Некоторые интернет-СМИ пишут, что проблемы начались за несколько дней до «счастливых» выходных, как раз перед Днем благодарения. Тогда на экранах автоматов по продаже билетов и мониторов, показывающих расписание движения составов, появилось сообщение «You Hacked» (дословно это можно перевести как «Вас взломать»). Как обычно, сообщение троянов-вымогателей было составлено на плохом английском с грамматическими ошибками. Выяснилось, что метро подверглось атаке вымогателя Mamba — одного из вариантов HDDCryptor. У него получилось вывести из строя более 2 тысяч компьютеров городского метрополитена Сан-Франциско.
Mamba (или HDDLocker — давайте в рамках этого поста считать, что это одно и то же) — это вымогатель, который шифрует жесткий диск целиком и вносит изменения в главную загрузочную запись системы. Делается это для того, чтобы зараженный компьютер не мог загрузить операционную систему и вместо этого показывал пользователям сообщение с требованиями киберпреступников.
Создатели Mamba использовали находящиеся в открытом доступе легитимные утилиты в качестве отдельных частей своего трояна. В том числе за счет этого они смогли реализовать криптостойкий алгоритм шифрования. Так что способа без уплаты выкупа заполучить обратно файлы, зашифрованные Mamba, пока не придумали.
Mamba предлагает пострадавшим связаться с преступниками с помощью электронного адреса cryptom27@yandex.com. Журналист из издания San Francisco Examiner тоже написал на этот ящик, и ему удалось пообщаться со злоумышленниками. Преступники представились как некто Энди Саолис (Andy Saolis). По словам Саолиса, атака на метро Сан-Франциско не была целевой; троян заразил компьютеры метрополитена после того, как кто-то с привилегиями администратора скачал зараженный торрент.
Саолис также сообщил ресурсу The Examiner, что метро должно заплатить ему 100 биткойнов (около $73 тысяч), чтобы вернуть свои данные. Но похоже, что специалисты метрополитена справились без уплаты выкупа: уже в воскресенье автоматы по продаже билетов работали как обычно.
Уберполезный пост! Что такое трояны-вымогатели и шифровальщики, откуда они, чем грозят и как с ними бороться: https://t.co/mQZfXSEuiz pic.twitter.com/RlhAs9bdSx
— Kaspersky (@Kaspersky_ru) October 20, 2016
Команда исследователей «Лаборатории Касперского» следит за деятельностью группировки злоумышленников, ответственных за эту атаку. Похоже, что Mamba обычно используется, чтобы атаковать бизнес и организации: инцидент в метро Сан-Франциско далеко не первый на счету Mamba. Также оказывается, что 100 биткойнов — это довольно небольшая сумма выкупа по меркам киберпреступников. Обычно они требуют гораздо больше.
Итак, Mamba — это довольно опасный вымогатель. Как можно защитить себя и свою организацию от этого трояна?
1. Метро Сан-Франциско смогло вернуть свои компьютеры в рабочее состояние так быстро, потому что ИТ-команда в свое время озаботилась проблемой резервного копирования. И кстати, бэкапы в данном случае хранились не в сетевых папках, иначе Mamba смог бы зашифровать и их тоже.
Соответственно, вам тоже стоит делать резервные копии. Храните их или в облаке, или на внешних жестких дисках, но не на компьютере и не на сетевых устройствах.
2. Лучший способ избежать проблем с троянами-вымогателями — вообще не допустить заражения. Поэтому стоит использовать надежное антивирусное решение. Kaspersky Internet Security детектирует Mamba (а также HDDCryptor и прочих им подобных) как HEUR:Trojan.Win32.Generic и не дает им зашифровать ни единого файла.