Что такое дарксайд: Darkside — official site

ТЕРРИ ГРОСС, ХОЗЯИН:

Это СВЕЖИЙ ВОЗДУХ.Я Терри Гросс. Атаки программ-вымогателей нарушили подачу газа и поставку мяса всего за последние несколько недель после того, как Colonial Pipeline и JBS, мясоперерабатывающая компания, взяли в заложники свои компьютерные системы с целью выкупа. Подобные атаки с использованием программ-вымогателей были совершены на многие компании, большие и маленькие, а также на больницы, полицию и города. Мой гость получил представление о том, как действует новое поколение злоумышленников.

Майкл Швирц — репортер-расследователь The New York Times, получивший доступ к секретным сообщениям от киберпреступной операции DarkSide, которая атаковала Colonial Pipeline.Эти сообщения давали то, что он назвал необычным взглядом на внутреннюю деятельность русскоязычной банды, ставшей лицом глобальной киберпреступности. После этого DarkSide ежемесячно собирала выкуп на миллионы долларов. Их разоблачили как нападавших на Colonial Pipeline, они погасли.

Schwirtz также сообщил о компании, которая атаковала JBS, которая называется REvil — R-E-V-I-L. Считается, что эти киберпреступники и многие другие действуют из России.Швирц работал в российском бюро The New York Times с 2006 по 2012 год. В прошлом году он был ведущим репортером в команде, получившей Пулитцеровскую премию за серию статей об операциях российской разведки по всему миру. Мы записали наше интервью вчера утром.

Михаэль Швирц, добро пожаловать в «СВЕЖИЙ ВОЗДУХ». Вы узнали о том, как работают программы-вымогатели. Начнем с того, что, как вы узнали, видит жертва на экране, когда DarkSide захватывает компьютерную систему.

МАЙКЛ ШВИРЦ: Верно. Когда программа-вымогатель загружается в компьютерную систему жертвы, первое, что они видят, — это записка с требованием выкупа. Вверху написано: добро пожаловать в DarkSide. И он содержит список инструкций о том, как жертва может разблокировать свои данные. У них нет доступа к своим данным. И что им нужно сделать, так это то, что они будут полагаться на DarkSide, заплатив выкуп, чтобы предоставить им ключ, который позволит им вернуть эти файлы. И письмо написано очень формально, по-деловому, с очень тонкими угрозами.Их предупреждают — жертв предупреждают, чтобы они не пытались самостоятельно вмешиваться в их компьютерные системы, стараться не получать доступ к своим данным самостоятельно, потому что это может привести к полной потере данных. И поэтому им поручено немедленно связаться с представителем DarkSide, чтобы начать переговоры о выкупе.

GROSS: И это не только блокирует доступ жертв к компьютерным системам. Хакеры могут украсть конфиденциальные данные.

SCHWIRTZ: Верно. И это в основном для того, чтобы оказать дополнительное давление на бизнес.Жертва не только рискует потерять доступ к важным компьютерным файлам, которые могут быть необходимы для повседневного ведения бизнеса, но и хакеры будут угрожать распространить эту информацию в общественное достояние для использования конкурентами для использования другими хакерами для проведения дополнительных атак на компанию. И поэтому им действительно очень трудно действовать очень, очень быстро, чтобы прояснить это — жертвы.

GROSS: Теперь выкуп выплачивается криптовалютой, такой как биткойн.Большинство людей не знают, как использовать Биткойн. Так что у DarkSide действительно есть служба поддержки, чтобы помочь жертвам заплатить выкуп.

SCHWIRTZ: Верно. Это действительно удобный интерфейс. Есть такая же служба поддержки, как и любая другая …

GROSS: Отлично (смех).

SCHWIRTZ: … Знаешь, когда у тебя пропадает интернет, ты связываешься со своим интернет-провайдером. А иногда бывает и поболтать. Это очень похожий сервис. И цель этих хакеров — сделать это как можно проще, чтобы люди были более склонны просто заплатить выкуп, убрать его с дороги и вернуться к делу, а не вести настоящую борьбу, чтобы попытаться получить их данные обратно, что не привело бы к их оплате.

GROSS: DarkSide — это киберпреступная банда, но она создана как бизнес с аффилированными лицами. Какие есть аффилиаты?

SCHWIRTZ: DarkSide занимается созданием программ-вымогателей. Таким образом, они создают программу, которая загружается в компьютерную систему жертвы, которая блокирует их данные. Но в основном они заключают контракты с этими аффилированными лицами, которые являются другими хакерами. И это люди, которые фактически несут ответственность за проникновение в компьютерные службы жертвы.И то, что они делают, в основном работают по подписке. Вы, как партнер, можете подписаться на службы DarkSide, и в этом случае вы получите доступ к их вредоносному ПО, их программам-вымогателям для использования за плату, которая работает по скользящей шкале в зависимости от размера выкупа.

GROSS: Какая модель прибыли для DarkSide и для аффилированного лица, с которым она работает? Например, Colonial Pipeline было приказано заплатить 4,5 миллиона долларов, чтобы снова получить доступ к своей компьютерной системе. Colonial Pipeline заплатила 4 доллара.5 миллионов. Как это делится между DarkSide и аффилированным лицом, которое на самом деле взломало?

SCHWIRTZ: Значит, DarkSide идет навстречу. И так, как это работало с DarkSide, который, как мне сказали, довольно щедрый, если бы выкуп, который был в конечном итоге получен, составлял менее 500000 долларов, DarkSide взял бы около 25%. И эта сумма снизилась примерно до 10% для выкупа более 5 миллионов долларов. Таким образом, DarkSide взял бы около 10% выкупа, уплаченного Colonial Pipeline за свою атаку, а оставшаяся часть перешла бы аффилированному лицу, которым является — организация или физическое лицо, которые фактически проникли в компьютерные системы и заразили компьютерные системы компании вредоносным ПО. программа-вымогатель.

GROSS: Так конкурируют ли эти разные группы программ-вымогателей друг с другом? Рекламируются ли они аффилированным лицам, которые хотят работать с группой, у которой действительно есть необходимое им вредоносное ПО?

SCHWIRTZ: Да, потому что это симбиотические отношения с этими филиалами. Вы знаете, они могут работать — DarkSide может работать с десятками аффилированных лиц, которые работают круглосуточно, пытаясь найти уязвимости в различных компаниях и внедрить вредоносное ПО. И им просто нужно сидеть сложа руки и ждать, пока эти атаки увенчаются успехом.Но они рекламируют. Существуют темные веб-форумы, ряд очень, очень крупных и известных русскоязычных темных веб-форумов, которые существуют отчасти для того, чтобы служить рекламными платформами для этих групп, а не только разработчиков программ-вымогателей, рекламирующих на этих платформах, аффилированных лиц. также рекламируют свои услуги. Таким образом, эти форумы служат своего рода смазкой для этой операции, позволяя этим группам взаимодействовать друг с другом и формировать партнерские отношения.

GROSS: Итак, у вас есть доступ к панели управления DarkSide.Объясните, что такое информационная панель для людей, которые не знают, и что вы на ней видели.

SCHWIRTZ: Итак, панель инструментов — это своего рода интерфейс, который используется как самими разработчиками DarkSide, так и аффилированными лицами. Итак, я получил доступ к партнерской панели. И оттуда вы можете получить доступ к новостям о последних взломах от DarkSide. Вы можете получать новости о прибыли. На нем был тикер, который был настроен для подсчета поступающей прибыли, чтобы вы могли следить за финансовыми успехами группы.И он также предоставил, как мы уже говорили, функцию технической поддержки, где вы можете войти в чат с представителем службы поддержки из DarkSide, если вы являетесь партнером и у вас возникли какие-либо проблемы.

GROSS: Какие идеи о работе дала вам панель управления?

SCHWIRTZ: Я считаю, что больше всего поразило то, насколько это приземленно. Это было похоже на проникновение в компьютерные системы любой другой компании. Это было … там была лента новостей.Были пресс-релизы, в которых говорилось о последних услугах, предлагаемых филиалам. Один из последних пресс-релизов был о новостной службе, в которой DarkSide будет запускать проект по предложению DDoS-атак — распределенных атак типа «отказ в обслуживании» — против компьютерных систем жертв, что является способом перегрузки компьютерных систем жертвы мошенническими методами. Запросы. И это был еще один способ прикрутить гайки к жертвам, которые, возможно, не захотят раскошелиться на выкуп. И это — я имею в виду, это было самое поразительное в этом.Это велось как обычный бизнес. И, вы знаете, мы смогли взглянуть на то, как этот бизнес велся и как он развивался, возвращаясь к архивам и просматривая пресс-релизы, просматривая сообщения компании, возвращаясь к моменту создания группы, которая происходила вокруг Август прошлого года.

GROSS: вы связываетесь с сотрудником службы поддержки клиентов. Это звучит так законно. Так что же было за общение?

SCHWIRTZ: После того, как я потратил некоторое время на изучение панели инструментов, я решил, что собираюсь обратиться в офис поддержки клиентов DarkSide.А сделать это очень просто. Это интерфейс, похожий на тот, к которому все привыкли при разговоре со службой поддержки. В правом нижнем углу экрана есть небольшая кнопка с надписью «чат». Я открыл окно и просто написал «привет» по-русски, чтобы посмотреть, смогу ли я получить какой-нибудь ответ. И действительно, примерно через пять или десять минут кто-то подошел к линии, сказал, что они были там, и спросил, что мне нужно. И в этот момент я представился репортером The New York Times, как мы и обязаны делать в соответствии с нашими правилами.И через несколько минут меня выгнали с сайта, а аккаунт закрыли.

GROSS: Это был тот ответ, которого вы ожидали, когда представились?

SCHWIRTZ: Было. Это было. У меня была небольшая надежда, что я смогу общаться с кем-нибудь из DarkSide еще немного. Но это определенно была реакция, которой я ожидал.

GROSS: Многие репортеры просто вошли бы под вымышленными именами, так сказать, под прикрытием.Каковы правила The New York Times по этому поводу?

SCHWIRTZ: С этической точки зрения нам не разрешено действовать под прикрытием. И, как правило, я всегда сначала представляюсь репортером Times, чтобы никто не питал иллюзий относительно того, кто я и чего хочу. Итак, работая под прикрытием и притворяясь аффилированным лицом — в данном случае мы использовали учетную запись аффилированного лица по имени Woris. Так что это была реальная учетная запись фактического аффилированного лица, которое в прошлом контактировало и участвовало в атаках с DarkSide.Поэтому я хотел прояснить, что я не был этим человеком, Ворисом, и что я был кем-то новым. А с этической точки зрения — это политика Times.

ГРОСС: Что ж, нам нужно сделать здесь небольшой перерыв, а затем мы поговорим еще немного и продолжим с того места, где мы остановились. Если вы только присоединяетесь к нам, мой гость — журналист-расследователь New York Times Майкл Швирц. Мы сейчас вернемся. Это СВЕЖИЙ ВОЗДУХ.

(ЗВУК МЭТТА УЛЕРИ «ДАЛИ ДОКАЗАТЕЛЬСТВО»)

БРУТТО: Это СВЕЖИЙ ВОЗДУХ.Вернемся к моему интервью с журналистом-расследователем New York Times Майклом Швирцем об атаках программ-вымогателей и о том, как действуют злоумышленники. Он получил доступ к секретным сообщениям от киберпреступной операции DarkSide, которая атаковала Colonial Pipeline. Он также написал о том, как работает REvil. Это кибергруппа, стоящая за атакой программ-вымогателей на JBS, гигантскую мясоперерабатывающую компанию.

Итак, вам удалось не только на мгновение поговорить (смех) с кем-нибудь из службы поддержки, но и получить доступ к некоторым секретным сообщениям от DarkSide.Что это были за сообщения?

SCHWIRTZ: Верно. Что ж, общение, по сути, сохранялось в системе чата на панели управления. Таким образом, этот человек, Ворис, был аффилированным лицом, общался, вероятно, примерно с февраля со службой поддержки клиентов DarkSide, потому что у аффилированного лица возникли проблемы с тем, чтобы заставить жертву заплатить. И поэтому я смог в основном отследить процесс атаки и процесс выдавливания жертвы из … почти с самого начала, следя за этими чатами и с помощью своего рода зеркальных отображений того, к чему мы привыкли.Обычно мы получаем, что жертва объясняет нам, как эти атаки были осуществлены с их точки зрения. Так что было очень, очень интересно наблюдать, как одна из этих атак и переговоры — последующие переговоры, которые произошли по поводу выкупа, разыгрывались с точки зрения хакеров, которые были вовлечены в атаку.

И жертва, которой в данном случае является небольшая американская издательская компания, которая имеет дело в основном с клиентами в начальном образовании, жертва немного подралась.А филиал Ворис обсуждал с DarkSide, как оказать дополнительное давление, чтобы эта жертва заплатила. И речь шла не о маленькой сумме денег. Это небольшая компания, но они выбрали выкуп в размере 1,75 миллиона долларов. И поэтому эта компания, похоже, отказалась платить такую ​​сумму денег, чтобы вернуть свои системы в рабочее состояние, и оказывала сопротивление. И чат состоит из этих двух людей или, возможно, групп, которые в основном вырабатывают стратегию давления на них, чтобы заставить их заплатить.

GROSS: Итак, мы говорим не о большой корпоративной издательской компании. Это была семейная компания. А для этой компании 1,7 миллиона — это много. Так что же им угрожали?

SCHWIRTZ: Они придумали ряд угроз, и мне неясно, сколько из них было реализовано. Были — одна из самых ранних угроз, которые они обсуждали, по сути, была попытка шантажа компании. Они угрожали — потому что, как мы уже упоминали, они получили контроль над конфиденциальной информацией.Это информация о клиентах, которые в основном учатся в начальной школе. И в какой-то момент они решили пригрозить распространить информацию о клиентах в даркнете. И они добавили, что эта информация может быть использована педофилами для создания поддельных удостоверений личности, которые позволят им входить в школы и угрожать детям. Я думаю, что это была фантастическая идея с их стороны, но она показывает, какой у них был образ мышления. Они были готовы к такому виду угроз, чтобы попытаться заставить эту компанию заплатить.

ГРОСС: В одном из разговоров между DarkSide и Ворисом Ворис смеялся над угрозой педофилов. И Ворис, кем бы он ни был — или кем бы ни была написана группа, я до глубины души смеялся над утечкой удостоверений личности, которые, возможно, использовались педофилами для входа в школу. Я не думал, что это их так сильно напугает.

SCHWIRTZ: Верно. И я думаю, эта компания, знаете ли, не зря, действительно была напугана тем, что некоторая конфиденциальная информация о клиентах выйдет наружу.Возможно, это могло быть для них угрозой. Но кроме того, это было бы большой угрозой для их бизнеса, если бы обнаружилось, что они потеряли контроль над информацией и позволили скомпрометировать личность людей, верно? Никто не хочет, знаете ли, представлять, что их личная информация плавает на каком-то темном веб-сайте, вы знаете, готовая быть схвачена киберпреступником и использована неизвестно для чего.

GROSS: занимается ли DarkSide и партнером, с которым он работает, атакой программ-вымогателей, сотрудничают ли они в определении того, какими должны быть угрозы и как они должны быть выражены жертве?

SCHWIRTZ: Есть.В нескольких точках чата становится ясно, что именно Ворис пишет сообщения, которые они хотят отправить жертвам. Поэтому они пишут письмо, которое должно быть адресовано клиентам этой компании, которая отказывается платить. А затем письмо передается в DarkSide. И DarkSide фактически ведет прямые переговоры с компанией. Поэтому, когда компания общается с хакерами, взломавшими ее систему, она общается с DarkSide. Но Ворис находится за кулисами, в основном, тренирует DarkSide в том, что сказать.

GROSS: Так как же издательство, чья компьютерная система оказалась в заложниках у Woris и DarkSide, как компания справилась с этим? Я знаю, что компания вела переговоры. С кем они ведут переговоры? А что вы знаете о том, как проходили переговоры?

SCHWIRTZ: Они вели переговоры напрямую с DarkSide. Итак, как я объяснил ранее, они получили бы это письмо, записку о выкупе, дающую им инструкции о том, как связаться с DarkSide и начать эти переговоры.Похоже, именно это они и сделали. Переговоры велись в основном через электронную почту и специализированный чат, вероятно, похожий на тот, который я видел на панели инструментов, панель DarkSide для аффилированных лиц. И они общались с кем-то, кто использовал очень, очень плохой английский. И …

ГРОСС: Потому что они русскоязычные, киберганды.

SCHWIRTZ: Они русскоязычные. Мне интересно, что лучше англоговорящих людей нельзя было использовать для этой цели.Но если вы посмотрите на некоторые из коммуникаций между переговорщиками DarkSide и компанией, вы увидите, что уровень владения английским языком довольно низок. И, как вы знаете, эта компания вела переговоры с DarkSide в течение нескольких недель, а может быть, и нескольких месяцев до этого — переговоры были прерваны во время взлома Colonial Pipeline, и в этот момент DarkSide пришлось бороться со всеми проблемами, которые возникли после массового взлома. международная реакция на это нападение.

GROSS: Итак, в течение месяцев переговоров эта издательская компания была заблокирована из своей собственной системы? И если да, то как он функционировал? Возможно, вы не знаете ответа на этот вопрос.

SCHWIRTZ: Согласно компании — и я с ними общался — они на какое-то время были лишены доступа к своей информации. И это нанесло серьезный ущерб их бизнесу. Они не стали бы вдаваться в денежные убытки, которые они понесли в результате этого. Но, по их мнению, это было довольно разрушительно. И они очень усердно работали, чтобы сохранить свои системы в сети, но при этом избегали платить очень и очень высокую цену. Они также обратились в ФБР.И ФБР тоже начало расследование. То, чего я не знаю — я знаю, что выкуп так и не был уплачен. Я не знаю, что случилось с информацией компании, потому что DarkSide, как сообщалось, замолчал, по крайней мере, если не исчез полностью. Так что судьба жертв, которые еще не отразили свои атаки, я думаю, немного неясна.

GROSS: Как вы думаете, издательская компания долго вела переговоры о том, чтобы задержаться, чтобы ФБР могло продолжить расследование, кто стоял за атакой?

SCHWIRTZ: Были некоторые признаки того, что это так.И я не знаю — я не осведомлен о деталях федерального расследования этого дела. Но да, есть некоторые признаки того, что компания в основном пыталась держать DarkSide на связи, пока ФБР проводило расследование. И, как было обнаружено в почти ежедневных обновлениях об атаке на Colonial Pipeline, похоже, что ФБР расследовало DarkSide почти с момента его создания. И он получил много реального понимания того, как работает компания.

ГРОСС: Давайте сделаем здесь небольшой перерыв, а потом поговорим еще.Если вы только присоединяетесь к нам, мой гость — журналист-расследователь New York Times Майкл Швирц. Мы поговорим подробнее об атаках программ-вымогателей и о злоумышленниках после небольшого перерыва. Я Терри Гросс. А это СВЕЖИЙ ВОЗДУХ.

(ЗВУК ТРИО ДЖЕССИКИ УИЛЬЯМС «WEIRDO»)

БРУТТО: Это СВЕЖИЙ ВОЗДУХ. Я Терри Гросс. Вернемся к моему интервью с журналистом-расследователем New York Times Майклом Швирцем. Он писал об атаках программ-вымогателей и о том, как действуют злоумышленники.Он получил доступ к секретным сообщениям от киберпреступной операции DarkSide, которая атаковала Colonial Pipeline. Эти сообщения давали то, что он описывает как необычный взгляд на внутреннюю деятельность русскоязычной банды, ставшей лицом глобальной киберпреступности. Он также написал о том, как работает REvil — это пишется R-E-V-I-L. Это кибергруппа, стоящая за атакой программ-вымогателей на JBS, гигантскую мясоперерабатывающую компанию.

Давайте поговорим о взломе Colonial Pipeline.Colonial Pipeline заплатила выкуп. Генеральный директор говорит, что, по его мнению, в интересах страны обеспечить непрерывный поток нефти, потому что это трубопровод, по которому идет большая часть Восточного побережья. Так что они заплатили — и я думаю, они заплатили довольно быстро. Так была ли эта атака на Colonial Pipeline через филиал DarkSide?

SCHWIRTZ: Да. Вот как бы это сработало. Я не знаю, есть ли у нас много подробностей об аффилированном лице в этом случае, но, скорее всего, это был партнер, использующий вымогатель DarkSide таким же образом, как Woris как бы осуществил атаку на эту издательскую компанию, другой филиал мог бы совершили нападение на колониальный трубопровод.И DarkSide был бы прямым интерфейсом, ведущим переговоры с Colonial, чтобы их системы снова заработали.

GROSS: Вы хоть представляете, как проходили переговоры между филиалом и Colonial Pipeline?

SCHWIRTZ: Не знаю, но, похоже, это произошло очень и очень быстро. На этой неделе генеральный директор Colonial засвидетельствовал, что выкуп был выплачен еще до того, как с ФБР связались, чтобы проинформировать их об атаке вымогателя. Я считаю, что впервые мы узнали, что колониальный трубопровод стал жертвой нападения с целью выкупа, было 7 мая.А к 8 мая появились доказательства того, что деньги были переведены с Colonial на биткойн-счет, управляемый DarkSide. Так что, если и были какие-то переговоры, они происходили очень, очень быстро и привели к большой зарплате для DarkSide, по крайней мере, на начальном этапе.

GROSS: Вы знаете, власти часто предупреждают, что вы не должны платить злоумышленникам-вымогателям, потому что даже если вы заплатите, они все равно могут не освободить вашу компьютерную систему. Предлагают ли они какие-либо гарантии? Есть ли у DarkSide какая-то этика в отношении того, чтобы на самом деле выполнить свое слово, что, если вы заплатите выкуп, вы снова получите свою неповрежденную компьютерную систему?

SCHWIRTZ: Вся индустрия программ-вымогателей зависит от своего рода системы чести.И поэтому в интересах компаний-вымогателей платить. Если выяснится, что преступная группировка вымогателей блокирует компьютеры, собирает выкуп и отказывается платить, у жертв будет очень и очень мало стимулов отдавать кучу денег. В бизнесе программ-вымогателей все сосредоточено на том, чтобы жертвам было как можно проще передавать деньги. Знаете, если это станет труднее, чем есть на самом деле, жертвы будут вкладывать свое время и энергию в поиск способов избежать этого.

Эти компании-вымогатели хотят, чтобы вы делали, когда вы стали жертвой этих атак, производили вычисления в своей голове. Во сколько мне обойдутся длительные переговоры, чтобы избавиться от этого выкупа? Сколько мне будет стоить сопротивление? И разве для меня дешевле заплатить выкуп и продолжить свой бизнес? И я думаю, что для ряда компаний из-за того, как развивалась индустрия программ-вымогателей, ряд компаний подсчитали, что лучше просто заплатить и продолжать.Очевидно, тогда это подпитывает отрасль и позволяет ей продолжать расти.

GROSS: Насколько я понимаю, генеральный директор Colonial Pipeline не общался с ФБР до тех пор, пока не был выплачен выкуп, но ФБР в конце концов удалось совсем недавно получить доступ к кошельку Биткойн, который использовался Colonial Pipeline для оплаты программ-вымогателей. злоумышленник. Что вы знаете о том, как ФБР смогло это сделать и что это вообще означает? Большинство из нас на самом деле не понимают разговоров о криптовалюте, так что если вы можете объяснить, что произошло.

SCHWIRTZ: Верно. И это было действительно большое дело, потому что я думаю, что это первая или, по крайней мере, первая серьезная попытка ФБР по-настоящему разобраться в одной из этих, вы знаете, в основном виртуальных игр-вымогателей. И, похоже, произошло то, что ФБР, вскоре после создания DarkSide, примерно в августе 2020 года, начало расследование его финансов. И в основном, способ работы этих групп заключается в том, что они создают учетные записи в криптовалюте, которые позволяют легко переводить средства от жертвы к хакерам.И они открыли ряд таких счетов, на которые жертвы будут перечислять свои средства.

Итак, когда произошла эта атака на Colonial Pipeline, ФБР уже имело очень хорошее представление о том, где DarkSide хранил свои деньги, эти цифровые кошельки, как их называют, для биткойнов. И, похоже, произошло то, что ФБР фактически взломало один из этих кошельков, в котором хранились биткойны, которые были переведены от Colonial Pipeline Company, и забрало их обратно. И это составило — из-за цены, меняющейся цены в биткойнах, это было немного меньше, чем то, что заплатила компания, но, тем не менее, у хакеров было отобрано биткойн на сумму более 2 миллионов долларов, а это просто кое-что. чего мы никогда раньше не видели.

GROSS: Насколько я понимаю, филиал DarkSide не получил выплат, но DarkSide удалось сохранить свои деньги, потому что был взломан только кошелек филиала.

SCHWIRTZ: Похоже, что DarkSide удалось сохранить свои деньги, но это тоже неясно. Вскоре после атаки на Colonial Pipeline DarkSide подверглась, по его словам, угрозам, исходящим из Соединенных Штатов, своего рода неопределенному виду атаки со стороны Соединенных Штатов.И он публично объявил на своей общедоступной веб-странице, что его счета в биткойнах были истощены. И оставалось загадкой, действительно ли они опустошили счета Биткойн сами, чтобы скрыть свои активы, или это мог сделать кто-то другой.

В то время США заявили, что не проникли в аккаунты группы. Но кажется, что позже, буквально в последние несколько дней, ФБР смогло найти по крайней мере один кошелек, вероятно, принадлежащий аффилированному лицу, из которого оно извлекло эти средства.

ГРОСС: Позвольте мне снова вас представить. Если вы только присоединяетесь к нам, мой гость — журналист-расследователь New York Times Майкл Швирц. Мы поговорим подробнее об атаках программ-вымогателей после перерыва. Это СВЕЖИЙ ВОЗДУХ.

(ЗВУК МУЗЫКИ)

БРУТТО: Это СВЕЖИЙ ВОЗДУХ. Вернемся к моему интервью с журналистом-расследователем New York Times Майклом Швирцем об атаках программ-вымогателей и о том, как действуют злоумышленники. Он получил доступ к секретным сообщениям от киберпреступной операции DarkSide, которая атаковала Colonial Pipeline.

Итак, DarkSide потемнел. Что это значит, что DarkSide потемнел? Означает ли это, что они исчезают, или, может быть, они просто создают еще одну итерацию группы с, вы знаете, с другими — я даже не знаю языка — другими паролями или шифрованием или чем-то еще?

SCHWIRTZ: Я имею в виду, другое — я имею в виду, просто ребрендинг. Возможно, так оно и было. Сроки отключения неясны. Вскоре после того, как DarkSide был идентифицирован U.Правительство Южной Кореи как причастного к нападению на Колониальный трубопровод, сама группа объявила, что он закрывается. И это было через несколько дней после того, как они были объявлены в связи с этим нападением. Они объявили, что добровольно закрываются и что они будут работать как своего рода частный сервис, поэтому они не будут брать новых филиалов. Они продолжат работать со своими филиалами в каком-то обличье. И они объявили, что снимают всю свою инфраструктуру, их информационную панель и тому подобное.Но когда я вошел в панель управления, что было примерно через 10 дней после этого объявления, она все еще была открыта и активна, хотя было ясно, что счета были истощены или, по крайней мере, тикеры, которые показывали прибыль, которую они приносили с этих случайные атаки читаются нулем.

Итак, закрылись ли они и решили ли эти люди, что заработали достаточно денег и собираются уйти на пенсию, а затем найти другую работу, или они просто проводят ребрендинг и перегруппировку, неясно.Существуют некоторые свидетельства того, что DarkSide был всего лишь филиалом другой крупной хакерской группы, занимающейся вымогательством, REvil, которая затем переупаковала себя как разработчик программ-вымогателей примерно в августе прошлого года. Таким образом, эти группы проходят несколько итераций. Вы знаете, они все время отключаются и снова включаются. И поэтому неудивительно, что люди, стоящие за DarkSide, либо присоединились к другим группам, либо создали другую группу под другим именем и продолжали выполнять такую ​​работу.

GROSS: Как вы думаете, насколько большой победой ФБР на самом деле одержало победу над DarkSide в частности и над хакерами-вымогателями в целом?

SCHWIRTZ: Я думаю, что сейчас трудно сказать, но я думаю, будет интересно посмотреть, какова будет реакция на вмешательство ФБР и повторное получение части выкупа, который заплатила Colonial Pipeline.По сути, это сигнал о том, что нет той безнаказанности, о которой вы думали. Раньше, когда вы получали деньги, вы практически ничего не теряли. И это показывает, что, возможно, будут некоторые последствия, по крайней мере, если нацеливаться не на тот тип компании. Я не знаю, есть ли у ФБР ресурсы каждый раз, когда происходит атака, чтобы отыграть деньги и забрать деньги. Наверное, это большие усилия. И это, вы знаете, возможно — я не хочу сказать, что это полностью символично, но, возможно, вы знаете, что больший эффект будет символическим, если эти люди заметят, что есть случаи, когда они пересекают черту и их заработок может оказаться под угрозой.

GROSS: Итак, какое понимание того, какой случай перейдет черту? И есть ли у таких групп, как DarkSide или REvil, кодекс, запрещающий доступ?

SCHWIRTZ: Что было особенным в атаке Colonial Pipeline, так это то, что это была компания, которая участвовала в критически важной инфраструктуре. У этой компании были клиенты из Техаса в Нью-Йорк. И, закрывая трубопровод, что мы должны четко понимать, компания приняла решение закрыть трубопровод в административном порядке, потому что не могла гарантировать, что ее клиенты смогут оплачивать ее поставки.На самом деле DarkSide не остановила конвейер компании. Но, тем не менее, это вызвало огромные неудобства и стало настоящим тревожным сигналом для политиков, я думаю, в Вашингтоне и повсюду в отношении опасностей, которые представляют программы-вымогатели.

И это то, что очень не нравится операторам программ-вымогателей. Они хотят действовать в тени. Им не нужно много внимания. И уж точно они не хотят разжигать геополитический конфликт в результате своего бизнеса.Их работа, по их мнению, состоит в том, чтобы просто получить деньги и сделать это как можно быстрее, не вызывая суеты. Так что после взлома Colonial Pipeline в мире программ-вымогателей возникло несколько настоящих обвинений. Один из крупных форумов, на которых организована киберпреступность, один из крупнейших русскоязычных форумов объявил, что он запрещает любую деятельность программ-вымогателей на своем сайте. REvil, о котором мы упоминали, и некоторые другие группы подтвердили давние правила против атак на критически важную инфраструктуру, а также больницы и образовательные учреждения.

И я должен сказать, что у DarkSide тоже были эти правила. И неясно, может ли аффилированное лицо в этом случае, которое занялось Colonial Pipeline, просто немного обогнало свои лыжи и подумало, что, знаете ли, они могут атаковать компьютерные системы бизнес-стороны этой трубопроводной компании и избежать каких-то более серьезных разветвлений, которые произошло ли они просто не думали или просто стали слишком жадными. Но непонятно. Но в результате этого в мире программ-вымогателей произошла определенная перезагрузка.

GROSS: Одна из вещей — возможно, главное, что сделало возможными эти атаки программ-вымогателей, — это криптовалюта, цифровая валюта, такая как биткойн. И большинство из нас действительно не понимает, как это работает. Но можете ли вы немного объяснить, почему криптовалюта позволила этим атакам вымогателей процветать?

SCHWIRTZ: Одна из основных особенностей криптовалюты — это то, что вы можете быть анонимным. Вы ведь не передаете свою банковскую информацию? Вы переводите деньги в анонимный кошелек, по сути, цифровой кошелек или учетную запись, в которой хранится биткойн, который является такой же валютой, как и любая другая, например, фунты, доллары, иены.И его легко перенести из кошелька в кошелек. После того, как вы переведете свои доллары в биткойны, вы можете переводить их от стены к стене.

Итак, в прошлом большая часть киберпреступности вращалась вокруг банковских систем, верно? Вам нужно было найти способы заставить людей предоставить вам свои учетные данные для входа в банкинг — в этом случае вы могли бы опустошить их учетные записи. Но вы не могли просто слить их учетную запись и отправить ее на свою учетную запись, понимаете? Вам приходилось отмывать деньги через ряд счетов и, в некоторых случаях, использовать частных лиц, чтобы физически переправлять наличные через границу.

В наши дни у вас есть жертва — одна, вы знаете, программа-вымогатель в основном позволяет вам просто попросить у жертвы деньги. Вам не нужно обманывать их, чтобы они вам что-то дали. Вам просто нужно проникнуть в их системы и пригрозить уничтожить их бизнес. Но потом они просто передают вам деньги. Биткойн и другие криптовалюты сделали перевод этих денег очень и очень простым. Итак, вы просто переводите свои доллары в биткойны. А затем вы отправляете деньги со своей учетной записи на счет хакеров.И тогда транзакция завершена.

ГРОСС: Итак — вы знаете, мы говорили о DarkSide. Вы также изучили REvil, еще одну группу программ-вымогателей, которая работает с аффилированными лицами. Филиалы фактически взламывают группу и просят выкуп. Но они делают это с помощью REvil или DarkSide или кого бы то ни было, кто является создателем вредоносного ПО. Итак, можете ли вы сравнить REvil и DarkSide или сравнить атаку на JBS с атакой на Colonial Pipeline, чтобы показать, что общего у этих групп и в чем различия?

SCHWIRTZ: Я имею в виду, что это сложно сравнивать и противопоставлять.DarkSide, возможно, по мнению некоторых исследователей кибербезопасности, члены DarkSide, участники, создавшие DarkSide, возможно, были аффилированными лицами REvil. Таким образом, они, возможно, работали с программой-вымогателем REvil в какой-то момент, прежде чем они отправились самостоятельно и создали свой собственный продукт. То, что связывает их обоих вместе, и я думаю, наиболее важно, это то, что обе группы, похоже, действуют в основном внутри России. И я бы сделал это до некоторой степени, потому что некоторые из этих групп могут быть довольно большими.И они — из-за того, что работа ведется онлайн, люди могут работать в любой точке мира. Но, по крайней мере, ядро ​​операции находится в России и среди русскоязычных пользователей.

GROSS: Позвольте представить вас еще раз, если вы только присоединяетесь к нам. Мой гость — журналист-расследователь New York Times Майкл Швирц. Мы поговорим подробнее об атаках программ-вымогателей после перерыва. Это СВЕЖИЙ ВОЗДУХ.

(ЗВУК БАНДА БУДО «В ТУМАН»)

БРУТТО: Это СВЕЖИЙ ВОЗДУХ.Вернемся к моему интервью с журналистом-расследователем New York Times Майклом Швирцем об атаках программ-вымогателей и о том, как действуют злоумышленники. Итак, REvil и DarkSide базируются в России, как и многие другие киберпреступные банды. Почему Россия является таким центром киберпреступников?

SCHWIRTZ: Для этого есть ряд причин. Во-первых, вы знаете, что система образования, ориентированная на математику и естественные науки, очень и очень устойчива. Но во всем мире есть страны с устойчивой культурой информатики.И я думаю, что отличает Россию и делает ее оранжереей для этого вида деятельности — если использовать термин, который применил ко мне один исследователь кибербезопасности, — это то, что правительство в лучшем случае закрывает глаза на такого рода деятельность, а в худшем — -опыляет и использует эти группы как часть более широкой геополитической стратегии, направленной на подрыв западных стран.

GROSS: Как им это сходит с рук в России?

SCHWIRTZ: Есть простой ответ — есть простой и более сложный ответ.Простой ответ заключается в том, что российское правительство, по сути, заняло позицию, согласно которой, если ни один из этих лиц не атакует интересы России, то есть компании внутри России, то они не могут быть привлечены к ответственности по российским законам. В российском законодательстве, по мнению Кремля, по словам самого Владимира Путина, нет положения о судебном преследовании лиц за осуществление атак с целью выкупа против американских компаний. И так до тех пор, пока эти группы избегают атак на компании в России — а часто у этих групп будут правила, запрещающие атаки на компании не только в России, но и на территории бывшего Советского Союза в целом.Они могут делать это безнаказанно, что делает эту проблему очень пагубной, и ее трудно устранить, если вы подходите к ней с точки зрения правоохранительных органов.

GROSS: С таким количеством российских киберганг, атакующих компьютерные системы в Америке и других местах по всему миру, знаем ли мы, сотрудничает ли российская разведка с ними, помогает им каким-либо образом, и видит ли Путин в этом своего рода способ сгибания своих сил? мышцы без отпечатков пальцев?

SCHWIRTZ: Я думаю, что российское правительство и спецслужбы вовлечены разными способами.Я не думаю, что каждое нападение имеет отношение к российской разведке или правоохранительным органам. Но есть свидетельства того, что российские спецслужбы привлекают киберпреступников для ведения разведки. Вы знаете, это слишком хорошая возможность исследовать компьютерные системы ваших врагов, если у вас уже есть надежная индустрия людей, взламывающих системы.

То, что, кажется, иногда происходит, так это то, что разведывательные службы устанавливают отношения с этими киберпреступниками и спрашивают их, скажем, вы знаете, они заключат сделку, и скажут, вы знаете, допустим, мы позволим вам продолжить участвовать в подобных операциях и зарабатывать деньги.Но если вы столкнетесь с любыми компьютерными системами, которые могут нас заинтересовать, если вы взломаете какие-либо правительственные компьютерные системы, которые могут обладать данными, которые могут быть использованы в целях национальной безопасности, вы должны сообщить нам об этом.

Теперь разведывательные службы также чаще используют инфраструктуру кибербезопасности. Мы видели случаи — был один случай, произошедший несколько лет назад, когда оператор очень большого ботнета, представляющего собой сеть зараженных компьютеров, начал выполнять поиск, который, по всей видимости, указывал на поиск действенных разведданных.Были поиски информации о сделке по оружию между США и Турцией. Были поиски информации о ситуации, войне на Украине.

И это настолько сильно выходило за рамки обычных операций этой зараженной сети, которая, как правило, была сосредоточена на краже банковских учетных данных, что большинство исследователей безопасности и сотрудников разведки в Соединенных Штатах и ​​других странах предположили, что это были российские спецслужбы, которые в основном сотрудничали с зараженным сеть для сбора разведданных.

ГРОСС: Президент Байден встретится с Путиным на следующей неделе. Вы предполагаете, что в разговоре будет обсуждаться программа-вымогатель?

SCHWIRTZ: Это определенно поднимется в разговоре. Я думаю, что администрация Байдена это четко дала понять. Настоящий вопрос в том, что Соединенные Штаты могут с этим поделать. Соединенные Штаты ввели санкции против российских организаций за участие в кибератаках, проводимых российскими спецслужбами. И это были бы открытые атаки, вы знаете, предположительно, заказанные на самом высоком правительственном уровне, по сути, на правительственные компьютерные системы.И недавно на ум приходит атака SolarWinds, которая была недавно обнаружена.

Но эти атаки программ-вымогателей попадают в такую ​​странную область, где администрация Байдена и западные правительства в целом должны быть немного более изобретательными, потому что обычно это проблема правоохранительных органов. И если бы Россия была союзником, ФБР могло бы встретиться с ФСБ, которое является российской версией ФБР, и выработать план преследования этих групп. Но это невозможно сделать, когда российское правительство в лучшем случае закрывает глаза на эти группы, но часто защищает их.

GROSS: Итак, эти кибергруппы, эта программа-вымогатель, это похоже на преступную деятельность. Даже если российская разведка каким-то образом сотрудничает с ними, это не официально. И я не знаю, смогут ли США доказать, что российская разведка вообще с ними работает. Так может ли Байден использовать что-то вроде военного киберкомандования, чтобы преследовать злоумышленников, или это будет считаться ненадлежащим использованием военных, потому что это преступное действие?

SCHWIRTZ: Верно.Это своего рода серая зона, в которой мы находимся. Я думаю, что администрация довольно неохотно использует вооруженные силы, как вы сказали, для участия в том, что обычно считается проблемой правоохранительных органов. Я думаю, неудивительно, что именно ФБР участвовало в извлечении этих биткойнов из кошелька аффилированного лица DarkSide, а не какое-то другое юридическое лицо в правительстве США. Очень сложно задействовать армию США, даже в сфере киберпространства, против граждан страны, с которой у вас есть враждебные отношения или где-либо еще, верно?

Потенциал эскалации просто неизвестен.И я считаю, что администрация правильно действует осторожно. И просто не существует методики, как с этим справиться. И частично эта причина заключается в том, что, вы знаете, существует нечеткая грань между преступностью, чистой преступностью и, вы знаете, санкционируемыми российским правительством действиями, которые администрация и я думаю, все пытаются выяснить в этом мире киберпреступности.

ГРОСС: Что ж, Майкл Швирц, я хочу поблагодарить вас за то, что поговорили с нами.

SCHWIRTZ: Я очень ценю это.Это было честью. Спасибо.

ГРОСС: Майкл Швирц — журналист-расследователь The New York Times. Если вы хотите быть в курсе пропущенных вами интервью FRESH AIR, например интервью на этой неделе с Ритой Морено об этнических стереотипах и сексуальных домогательствах, с которыми она столкнулась в Голливуде, а также о ее бурных отношениях с Марлоном Брандо, посетите наш веб-сайт. Вы найдете множество интервью FRESH AIR.

(ЗВУК МУЗЫКИ)

GROSS: FRESH AIR — исполнительный продюсер Дэнни Миллер.Наш технический директор и инженер — Одри Бентам. Наши интервью и обзоры подготовлены и отредактированы Эми Салит, Филлис Майерс, Сэм Бригер, Лорен Крензель, Хайди Саман, Тереза ​​Мэдден, Энн Мари Балдонадо, Теа Чалонер, Сет Келли, Кайла Латтимор и Джо Вольфрам. Наш ассоциированный продюсер цифровых медиа — Молли Сиви-Неспер. Роберта Шоррок руководит шоу. Я Терри Гросс.

Авторские права © 2021 NPR. Все права защищены. Посетите страницы условий использования и разрешений на нашем веб-сайте www.npr.org для получения дополнительной информации.

стенограмм NPR создаются в срочном порядке Verb8tm, Inc., подрядчиком NPR, и производятся с использованием патентованного процесса транскрипции, разработанного NPR. Этот текст может быть не в окончательной форме и может быть обновлен или изменен в будущем. Точность и доступность могут отличаться. Авторитетной записью программирования NPR является аудиозапись.

Что такое программа-вымогатель DarkSide? Определение, характеристики и профилактика

DarkSide — это программа-вымогатель, которая начала атаковать организации по всему миру в августе 2020 года.Программа-вымогатель DarkSide, первоначально обнаруженная командой MalwareHunterTeam, описывается как вирус-вымогатель с высокой степенью риска, которым, по всей видимости, управляют бывшие партнеры других программ-вымогателей.

Заявив о себе в «пресс-релизе», как раскрывается в BleepingComputer, эта программа-вымогатель уже собрала платежи в миллионы долларов за свои кибератаки.

По данным Bleeping Computer, злоумышленники DarkSide заявили:

Мы новый продукт на рынке, но это не значит, что у нас нет опыта и мы пришли из ниоткуда.Мы получили прибыль в миллионы долларов, сотрудничая с другими известными крипто-локаторами. Мы создали DarkSide , потому что не нашли для себя идеального продукта. Теперь оно у нас есть.

Источник

Как работает программа-вымогатель DarkSide?

DarkSide Ransomware работает как программа-вымогатель как услуга (RaaS), в которой прибыль распределяется между ее владельцами и партнерами или аффилированными лицами, которые разрешают доступ компаниям и запускают программы-вымогатели.Банда программ-вымогателей DarkSide получает около 25% выкупа, а остальную часть получает аффилированное лицо, организовавшее нападение.

Подобно другим аналогичным угрозам, используемым в целевых кибератаках, DarkSide не только шифрует информацию пользователя, но и изымает данные с пораженных серверов.

Зашифрованные файлы могут иметь разные форматы, такие как аудиофайлы, видео, фотографии, архивы, офисные документы и т. Д. После этого затронутые файлы больше не могут использоваться. Более того, вирус меняет расширение этих файлов на.Темная сторона.

После этого создается специальный файл README.xxxxxxx.TXT, содержащий исчерпывающую информацию о том, что произошло, и о стоимости выкупа.

Таким образом, хакеры вынуждают пользователя заплатить запрошенный выкуп.

В примечании ниже указаны адреса, по которым жертвы могут связаться с преступниками, но они не указывают, сколько денег должны заплатить пользователи. Обычно это несколько сотен долларов. Не рекомендуется платить выкуп, так как вы не можете быть уверены, что впоследствии восстановите свои файлы.

Источник

Что отличает программу-вымогатель DarkSide от программ-вымогателей Maze или Clop, например, так это то, что DarkSide кажется каким-то образом моральным, разъясняя, что определенные домены не должны затрагиваться, в том числе правительственные, медицинские, некоммерческие и образовательные.

По их словам, перед проведением атаки на организацию они проверяют ее счета, чтобы убедиться, что предприятие может позволить себе заплатить выкуп, поскольку они не «хотят убить ваш бизнес».

Источник

По сути, DarkSide заявила, что пообещает расшифровать один тестовый файл, предоставить необходимую поддержку с расшифровкой после выплаты выкупа и удалить всю загруженную информацию из магазинов Dark Web.

Если жертвы не уплатят запрошенный выкуп, хакеры угрожают обнародовать все данные, хранить их не менее шести месяцев и сообщать СМИ, клиентам и партнерам об атаке.

Как можно заразиться программами-вымогателями DarkSide?

Основная цель заражения DarkSide — проникнуть в вашу компьютерную систему. Основная задача вируса-вымогателя заключается в том, чтобы маскироваться под настоящие документы в вашей компьютерной системе, чтобы убедиться, что вы можете запускать его вирусные файлы.

Такие документы могут быть доставлены вам по электронной почте, где они могут претендовать на роль уважаемых файлов, таких как документы в формате PDF, счета, счета-фактуры и т. Д.

Электронная почта — это первая точка входа в системы организации.

Heimdal ™ Предотвращение мошенничества с электронной почтой

— это система защиты почты нового уровня, которая защищает все ваши входящие и исходящие сообщения.

• Глубокое сканирование содержимого на предмет вложений и ссылок;
• Фишинг, целевой фишинг и атаки типа «злоумышленник в электронной почте»;
• Расширенные фильтры спама для защиты от изощренных атак;
• Система предотвращения мошенничества от компрометации деловой электронной почты;

Злоумышленники часто отправляют электронные письма, содержащие вредоносные ссылки или вложения на веб-сайты, пытаясь обманом заставить потенциальных жертв открыть вредоносный файл.После открытия начинается установка вредоносного ПО.

Примерами файлов, которые злоумышленники прикрепляют к своим электронным письмам, являются исполняемые файлы, такие как .exe, документы PDF, архивные файлы, такие как ZIP, RAR, файлы JavaScript, а также вредоносный Microsoft Office.

Жертв обычно обманом заставляют скомпрометировать свои устройства через одноранговые сети, такие как торрент-клиенты, сторонние загрузчики, установщики, веб-сайты с бесплатными программами для загрузки, веб-сайты с бесплатными файловыми хостингами и всевозможные подобные инструменты.Когда пользователи загружают и запускают вредоносные файлы, их компьютер мгновенно заражается.

Кроме того, вредоносные программы часто устанавливаются случайно через поддельные программы обновления программного обеспечения, которые используют ошибки или устаревшие уязвимости программного обеспечения, или они просто устанавливают вредоносные программы, а не обновления и исправления.

Удаление и расшифровка программ-вымогателей DarkSide

DarkSide — очень опасная вредоносная программа, созданная для шифрования таких файлов, как фотографии, аудио, видео, документы и т. Д., И делает невозможным доступ к ним.

После процесса шифрования он распространяет записку о выкупе в каждой папке вашего устройства, в которой утверждается, что расшифровка возможна только при использовании его службы восстановления данных.

Это тот момент, когда вам нужно немедленно удалить программу-вымогатель DarkSide и все связанные компоненты с ПК, а затем выполнить действия по восстановлению данных. Вот несколько методов удаления программ-вымогателей, которые могут быть полезны.

1. Удаление программы-вымогателя DarkSide с помощью «безопасного режима с поддержкой сети»

• Перезагрузите ПК и нажимайте «F8», пока не увидите окно «Дополнительные параметры загрузки».
• Из списка выберите «Безопасный режим с загрузкой сетевых драйверов»
• Войдите в свою учетную запись с помощью программы-вымогателя DarkSide
• Откройте свой интернет-браузер и загрузите подлинное антивирусное программное обеспечение.
• Обновите антивирусное программное обеспечение и запустит операцию «Полное сканирование» для удаления с вашего устройства всех программ, подключенных к программе-вымогателю DarkSide.

2. Удаление программы-вымогателя DarkSide с использованием безопасного режима с командной строкой и восстановления системы

• Перезагрузите компьютер и нажимайте «F8», пока не увидите меню «Дополнительные параметры Windows».
• Выберите вариант «Безопасный режим с командной строкой».
• Напишите команду «cd restore» в командной строке и нажмите «Enter» для ее выполнения
• Затем напишите «rstrui.exe »в командной строке и снова нажмите« Enter »
• Окно «Восстановление системы» появится после выполнения команды «rstrui.exe»
• Нажмите кнопку «Далее»
• Выберите «Точки восстановления» и нажмите «Далее».
• В диалоговом окне подтверждения нажмите «Да», чтобы начать процесс «Восстановление системы».

Следующим шагом после восстановления вашего компьютера до предыдущей даты является установка и сканирование вашего устройства с помощью надежного антивирусного программного обеспечения, чтобы убедиться, что вы удалили все оставшиеся вредоносные программы, связанные с программой-вымогателем DarkSide.

Если вы хотите попробовать расшифровать зашифрованные файлы самостоятельно, вы можете воспользоваться следующими вариантами. Имейте в виду, что они могут не работать.

• ShadowExplorer — бесплатная программа, позволяющая просматривать теневые копии, созданные самой Windows. Если теневые копии доступны в Windows, вы можете использовать Shadow Explorer для восстановления этих копий. Затем вы можете восстановить целые папки или файлы. Большинство продвинутых программ-вымогателей знакомы с теневыми копиями и удаляют их, поэтому велика вероятность, что это не сработает.
• Recuva — еще одна бесплатная программа, которая также может помочь вам восстановить потерянные файлы. И он может восстанавливать данные с любого перезаписываемого носителя, у вас есть карты памяти, внешние жесткие диски, USB-накопители и многое другое. Эта программа может не работать с более продвинутыми программами-вымогателями.

Также обратите внимание, что в Windows 10 вы получаете специальную характеристику под названием «Fall Creators Update», которая предоставляет функцию «Управляемый доступ к папкам», чтобы остановить любое шифрование файлов. Таким образом, любые файлы, хранящиеся в таких папках, как «Документы», «Изображения», «Музыка», «Видео» и т. Д., Будут защищены по умолчанию.

Как мы всегда говорим, лучший способ обезопасить себя от повреждений, связанных с заражением программ-вымогателями, — это регулярно обновлять резервные копии. Также рекомендуется использовать мощный инструмент защиты от вредоносных программ, чтобы получить защиту в режиме реального времени.

Если вам понравился этот пост, вам понравится наш информационный бюллетень.