Вирус-вымогатель WannaCryptor выманил у пользователей по всему миру десятки тысяч долларов. РБК выяснил, могут ли пострадавшие от вирусных атак вернуть свои деньги и как обезопасить себя от потерь в будущем.

В начале мая тысячи компьютеров по всему миру заразил новый вирус WannaCryptor (пользователи прозвали его WannaCry — «Хочу плакать»). Он угрожал серверам ряда компаний и государственных учреждений, а также операционным системам физических лиц. По данным социального сайта Reddit, по состоянию на 16 мая 2017 года создатели компьютерного вируса WannaCryptor получили от своих жертв почти $67 тыс.

Как отмечают профильные эксперты, опрошенные РБК, WannaCryptor относится к типу вирусов-шифраторов. Он не крадет средства, а создает условия, при которых клиент сам отдает (или не отдает) злоумышленнику деньги. «Вирус шифрует файлы на компьютере пользователя и далее вымогает средства за их расшифровку, — рассказывает замруководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин. — Далее люди покупают биткоины, переводят их адресату, после чего невозможно установить, кто эти деньги получит».

Вирусы-вымогатели

По словам ведущего аналитика отдела развития «Доктор Веб» Вячеслава Медведева, как правило, подобные вредоносные программы запускаются самими пользователями (с флешек или ссылок в письмах, сайтах). Пользуясь тем, что пользователи работают под административными правами и не ограничивают возможность установки нового ПО, эти программы шифруют файлы на локальном компьютере и сети. «Известны псевдошифровальщики — имитирующие шифрование и удаляющие данные или шифрующие без возможности расшифровки, — рассказывает Медведев. — Поэтому платить за это крайне не рекомендуется».

Представители компаний — разработчиков антивирусов обращают внимание на то, что в специальных вирусных лабораториях они могут расшифровать файлы. «Однако надо понимать, что расшифровка возможна только в некоторых случаях, — предупреждает руководитель поддержки продаж ESET Russia Виталий Земских. — Если файлы обработаны с применением сложных алгоритмов шифрования (WannaCryptor использует гибридный алгоритм RSA+AES), то расшифровка с большой долей вероятности невозможна». А руководитель сектора информационной безопасности компании AT Consulting Антон Карданов обращает внимание на то, что удаленные исходные файлы можно также попытаться восстановить при помощи бесплатной утилиты Recuva.

Если пользователь все же заплатил деньги за разблокировку, вернуть эти средства невозможно, считают опрошенные РБК эксперты. «В случае с вирусом WannaCryptor точно никто ничего не вернет, — комментирует директор департамента информационных технологий СДМ-банка Олег Илюхин. — В этой схеме человек сам подтверждает, что он перечислил деньги». Разработчики антивирусных программ здесь также ответственности не несут. «Антивирус не может отвечать за действия пользователей, самостоятельно запускающих троянские программы и не устанавливающих обновления, — говорит Вячеслав Медведев из «Доктор Веб». — Типичными ошибками, приводящими к пропуску вредоносных программ, являются отключение антивируса, запрет проверки им работающих программ, отказ от обновлений, использование древних версий и т.д.».

Медведев замечает, что ни один антивирус не может даже теоретически знать все вредоносные программы в момент их проникновения. «Если система имеет уязвимость, то антивирус тут не спасет, — соглашается Сергей Никитин. — Компании могут оперативно отслеживать все появляющиеся вирусы, но всегда есть некий временной зазор между появлением вируса и попаданием его в базы».

Юристы также считают, что в компанию, выпустившую антивирус, обращаться не имеет никакого смысла. «Между пользователем и разработчиком по факту и установки, и использования антивирусного ПО не возникает обязательств, предусматривающих компенсацию убытков, полученных в связи с мошенническими действиями третьих лиц», — говорит член адвокатской палаты Москвы Елена Лузанова. Кроме того, антивирусные компании указывают в лицензионном соглашении, что не несут никакой ответственности за возможную неэффективность.

Судиться со злоумышленниками также бесполезно. «По факту переводы совершаются в адрес счетов, открытых по всему миру на подставных физических и юридических лиц, — рассуждает Лузанова. — Найти злоумышленников будет крайне сложно». По словам исполнительного директора юридической компании HEADS Consulting Никиты Куликова, в случае если преступников найдут и будут судить в иностранном государстве, возможно, правоохранительные органы РФ пошлют такого рода запрос в службу безопасности той страны, где преступника будут судить. Однако в таком случае шансы получить компенсацию становятся еще более призрачными, считает он.

Банковские трояны

Шансы вернуть свои деньги выше, если пользователь столкнулся с другим типом вирусов, известным как банковские трояны. Они воруют пароли и логины к платежным системам у своих «жертв», а также отслеживают и модифицируют платежную информацию — во время ее формирования или во время передачи. «Банковские трояны существуют давно, они направлены на то, чтобы получить данные, необходимые для хищения денежных средств, — рассказывает Сергей Никитин. — Это логин, пароль и одноразовый пароль, который приходит по СМС». Такие вирусы создаются как под компьютеры, так и под смартфоны.

Согласно закону «О национальной платежной системе», банк должен возместить сумму операции, совершенной без согласия клиента, если не докажет, что пострадавший сам нарушил правила использования платежного средства. «После несанкционированного списания средств нужно немедленно обратиться в банк, сообщить о проблеме и заблокировать карту, — советует Виталий Земских. — Сразу после этого в ближайшем отделении своего банка нужно написать заявление о несогласии с транзакцией и возврате средств». Далее банк обязан провести внутреннее расследование инцидента и, если клиент окажется прав, вернуть деньги.

Представитель пресс-службы Тинькофф Банка рассказал РБК, что кредитная организация обычно компенсирует клиенту убытки от мошеннических действий. Это происходит, если банк может однозначно установить причастность вируса к оспариваемым операциям и если клиент при этом не сообщал злоумышленникам реквизиты карты, одноразовые пароли и другие идентификационные данные. Однако Олег Илюхин обращает внимание на то, что обычно такие случаи связаны с отсутствием системы защиты на компьютере клиента. «Часто выясняется, что у клиента не установлена антивирусная программа или не обновляется операционная система», — рассказывает он.

В случае официального отказа банка возместить потери Виталий Земских советует идти в полицию с заявлением о совершении мошеннических действий, а также в прокуратуру и суд. Правда, партнер коллегии адвокатов «Барщевский и партнеры» Павел Хлюстов отмечает, что сложившаяся судебная практика исходит из того, что банк не несет ответственности за незаконное списание денежных средств клиента, если при совершении соответствующей операции злоумышленники использовали достоверные логин и пароль.

При этом если клиент потерял средства из-за хакерской атаки на сам банк, а не на свой компьютер, то ситуация будет более оптимистичной. В этом случае банк будет обязан компенсировать всю сумму, списанную со счета. «Возражения банка о том, что списание денежных средств было вызвано преступными действиями лиц, не имеющих отношения к банку, не имеют правового значения, — говорит Хлюстов. — Банк как профессиональный участник рынка должен отвечать перед клиентом вне зависимости от того, чьи действия привели к незаконному списанию денежных средств».

Как защитить свой кошелек

Опрошенные РБК эксперты единодушны во мнении, что гораздо эффективнее заранее принять меры защиты от вирусов. Прежде всего, важно использовать актуальную операционную систему, для которой выходят обновления безопасности. «Откажитесь от использования версий Microsoft Windows, которые уже не поддерживаются производителем, — советует Виталий Земских. — До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003».

Важно обновлять все программы, которые владелец устройства использует на операционной системе: это и браузер, и плагины, и все прикладные программы. Кроме того, необходимо своевременно обновлять антивирусную программу.

Сергей Никитин отмечает, что желательно также работать на компьютере не с правами администратора, а с правами пользователя. Это сильно снижает вероятность какого-то автоматического заражения. Вячеслав Медведев из «Доктор Веб» советует отключить все неиспользуемые сервисы в операционной системе, а также делать резервные копии данных и не хранить их на том же компьютере, где находятся эти файлы, — трояны успешно удаляют копии. «Если мы говорим о смартфонах, то ставить приложения можно только из официального магазина приложений. Второй момент: смартфон должен иметь актуальную версию андроида начиная от версии 6.0 и новее», — заключает Никитин.

WannaCry

Глобальная кибератака с использованием вируса WannaCryptor (WannaCry) началась 12 мая. По данным Европола, к настоящему моменту вирус-вымогатель заразил более 200 тыс. компьютеров в 150 странах.

WannaCry шифрует файлы пользователя, после чего их становится невозможно использовать, и требует от пострадавших выкуп за расшифровку. Жертвам вирусной атаки предлагается перечислить на указанные счета определенные суммы в биткоинах. В пересчете на доллары США размер выкупа обычно равен сумме в диапазоне от $200 до 600.

В России под атаку хакеров попали в том числе компьютеры государственных учреждений, включая РЖД, Минздрав, Сбербанк, МЧС и МВД, а также компании «МегаФон». Кроме того, как заявил 16 мая глава Совета безопасности РФ Николай Патрушев, в число наиболее пострадавших регионов от массовой кибератаки попал Татарстан.

Согласно данным социального сайта Reddit, в настоящее время создатели вируса-вымогателя WannaCry уже получили от своих жертв более $67 тыс. Также эксперты аудиторско-консалтинговой компании PwC зафиксировали более 300 новых штаммов вируса WannaCry, что говорит о сохранении риска новых атак.

Екатерина Аликина