Новый вирус от хакеров

Ссылки по теме

Популярное

INFOX.SG

Станислав Романов, агент российского хоккеиста Вячеслава Войнова, рассказал, где его клиент может продолжить карьеру.

В Таганском районе Москвы отреставрировали усадьбу XIX века. Здание расположено на Гончарной улице и имеет статус выявленного объекта культурного наследия.

Чемпионат мира по хоккею 2021 года пройдёт по ранее запланированному графику в Минске и Риге.

В Саратовской области возбудили уголовное дело о халатности после заражения коронавирусной инфекцией 30 сотрудников и пациентов Черкасского психоневрологического интерната.

Актёр театра и кино, народный артист России Владимир Симонов в разговоре с RT поделился воспоминаниями о старейшем актёре Театра им. Вахтангова, заслуженном артисте РСФСР Евгении Фёдорове.

Председатель Государственной думы России Вячеслав Володин поздравил россиян с 1 Мая.

В Белоруссии число случаев заражения коронавирусной инфекцией COVID-19 за сутки возросло на 890 человек, до 14 917.

Депутат Госдумы и заслуженный мастер спорта России Светлана Журова призвала не делать поспешных выводов из заявления Всемирного антидопингового агентства (WADA) об обнаружении 57 подозрительных случаев в ходе проверки проб российских спортсменов.

Бывший главный тренер сборной России по футболу Борис Игнатьев высказал мнение, что не стоит спешить с принятием решения о досрочном завершении сезона Футбольной национальной лиги (ФНЛ), прерванного из-за пандемии коронавируса.

Старейший актёр Театра им. Вахтангова, заслуженный артист РСФСР Евгений Фёдоров скончался в возрасте 96 лет, сообщили в пресс-службе учреждения культуры.

Чемпионка мира и Европы 2015 года по фигурному катанию Елизавета Туктамышева рассказала о своих планах по выпуску собственной линии одежды.

В Саратовской области в городе Маркс один человек погиб и пятеро пострадали, предположительно, в результате отравления угарным газом.

Чемпионка мира и Европы 2015 года по фигурному катанию Елизавета Туктамышева рассказала о своих планах на следующий сезон.

МЧС России из-за эпидемии коронавирусной инфекции сократило на 70% число плановых проверок пожарной безопасности объектов малого и среднего бизнеса, сообщает ТАСС со ссылкой на пресс-службу ведомства.

Почётный президент Российского футбольного союза (РФС) Вячеслав Колосков высказал мнение, что для принятия решения по завершению или возобновлению сезона Российской премьер-лиги (РПЛ) есть достаточно времени.

Бывший футболист сборной России Алексей Смертин написал письмо 20-летнему себе в свой юбилей.

Почётный президент Российского футбольного союза (РФС) Вячеслав Колосков высказал мнение о возможном досрочном завершении сезона Футбольной национальной лиги (ФНЛ).

Большинство российских граждан планируют провести майские праздники дома либо на даче, соблюдая режим самоизоляции из-за коронавируса. Об этом свидетельствуют результаты опроса сайта стопкоронавирус.рф.

В Сырдарьинской области Узбекистана эвакуировали жителей населённого пункта Кургантепа из-за прорыва одного из участков дамбы Сардобинского водохранилища. Об этом сообщает МЧС республики.

Российская прыгунья в длину Дарья Клишина рассказала, планирует ли она возвращаться в Россию из США, где проживает в настоящий момент.

В самопровозглашённой Донецкой народной республике подтвердили 100 случаев заражения коронавирусной инфекцией.

Вице-премьер правительства Крыма Павел Королёв скончался утром 1 мая в возрасте 60 лет, сообщил глава региона Сергей Аксёнов.

Глава города Буйнакск в Дагестане Исламудин Нургудаев заявил, что у него подтвердили коронавирусную инфекцию COVID-19.

Пресс-служба Континентальной хоккейной лиги (КХЛ) опубликовала список игроков, получивших статус неограниченно свободных агентов.

В Москве за сутки подтвердили 3561 случай заражения коронавирусной инфекцией COVID-19. При этом почти 84% новых заразившихся моложе 65 лет.

Наибольшее число новых случаев заражения коронавирусной инфекцией за сутки зафиксировано в Москве (3561), Московской области (797) и Санкт-Петербурге (349), уточнил оперативный штаб по борьбе с распространением вируса.

В России в течение суток зафиксировано 96 летальных случаев среди пациентов с коронавирусной инфекцией COVID-19. Об этом информирует оперативный штаб по борьбе с коронавирусом.

В России за сутки выявили 7933 случая заражения коронавирусной инфекцией COVID-19 в 85 регионах. Общее число заражённых в стране возросло до 114 431, сообщил оперативный штаб по борьбе с распространением вируса.

Росздравнадзор зарегистрировал тест на определение антител к коронавирусной инфекции COVID-19, разработанный при участии НМИЦ гематологии Минздрава России и Института молекулярной биологии им. В.А. Энгельгардта РАН.

Драфт Национальной баскетбольной ассоциации (НБА) 2020 года из-за пандемии коронавируса будет перенесён на конец лета — начало осени.

Пресс-секретарь президента России Дмитрий Песков назвал ерундой сообщения СМИ о том, что Михаил Мишустин, заразившийся коронавирусом, после выздоровления якобы может не вернуться на пост премьер-министра.

В Москве в среду, 29 апреля, привлекли к ответственности более 2,5 тыс. больных коронавирусом и ОРВИ и проживающих с ними граждан, нарушивших обязательную самоизоляцию.

Первый заместитель председателя комитета Совфеда по социальной политике Валерий Рязанский в беседе с RT оценил идею предоставить семьям на грани развода бесплатные услуги психолога.

В рамках проекта RT #ПочтаПобеды пришло письмо из Франции, адресованное ветерану Екатерине Дёминой.

В Москве за сутки от коронавирусной инфекции COVID-19 выздоровел 631 заболевший. Общее число вылечившихся увеличилось до 5766 жителей, заявила заместитель мэра столицы по вопросам социального развития Анастасия Ракова.

Жительница деревни Бузланово городского округа Красногорск в Подмосковье сообщила в правоохранительные органы о том, что её домработница похитила у неё 3 млн рублей и $47 тыс. (около 3,4 млн рублей по текущему курсу). Об этом RT сообщили источники в правоохранительных органах.

Национальная баскетбольная ассоциация (НБА) рекомендовала клубам не проверять бессимптомных игроков и персонал на наличие коронавируса.

Правительство России выделило 500 млн рублей на дополнительные выплаты российским гражданам, которые не имеют возможности вернуться на родину на фоне пандемии коронавируса.

Генеральный директор Российского антидопингового агентства (РУСАДА) Юрий Ганус прокомментировал результаты исследования Всемирным антидопинговым агентством (WADA) базы данных московской антидопинговой лаборатории (LIMS).

Глава Роспотребнадзора Анна Попова выделила три основных критерия, от которых зависит начало этапа снятия ограничений в стране, введённых из-за распространения коронавирусной инфекции COVID-19.

Генеральный директор Российского антидопингового агентства (РУСАДА) Юрий Ганус рассказал, когда Всемирное антидопинговое агентство (WADA) может вернуть аккредитацию московской лаборатории.

ГИБДД сообщила, что количество ДТП в России с участием нетрезвых водителей с начала 2020 года увеличилось почти на 15%. Об этом информирует ТАСС.

Из-за коронавируса хакеры стали еще опаснее и атакуют людей по всему миру. Как от них защититься?

Фото: Marzio Toniolo / Reuters

Воздействие страхом

Мошенники приспосабливаются к современным реалиям намного быстрее большинства россиян: пользуясь обстоятельствами, они принялись массово рассылать фальшивые штрафы от имени МВД. Эксперты компании Group-IB сообщили, что 10 апреля злоумышленники распространили через СМС-сообщения и мессенджеры уведомления о штрафах. В послании к адресатам обращались персонально, указывая имя, фамилию и отчество, — а далее уточняли, что получатель обязан оплатить взыскание за нарушение режима самоизоляции. В противном случае авторы сообщения угрожали возбудить уголовное дело. Если жертва перезванивала по указанному номеру, — звонок переадресовывался в справочную службу Министерства внутренних дел.

Освоили киберпреступники и новые виды атак. В конце марта стало известно о хакерах, которые, подобрав пароль к роутеру, изменяют настройки DNS. Ни о чем не подозревающий юзер, заходя в сеть, автоматически попадает на страницу фейкового информационного приложения о COVID-19, якобы разработанного Всемирной организацией здравоохранения. Поддельный ВОЗ настаивает на том, что пользователю необходима программа под названием COVID-19 Inform App, — однако вместо нее он загружает вредоносный троян Oski, который захватит все данные банковских карт, пароли и куки. Позднее полученная информация будет использоваться преступниками для кражи средств, захвата страниц и фишинга.

Пока мошенники общаются с жертвами напрямую, многие хакеры пошли войной на интернет-платформы, хранящие огромные объемы различных данных о сотнях миллионов человек, — от реквизитов карт до паспортных данных и домашних адресов. Нынешние реалии возлагают большую ответственность на сами сервисы: когда почти весь мир переместился в сеть, они не могут обмануть доверие пришедших к ним пользователей. Резкий рост активности юзеров стал для них не только поводом для дальнейшего развития, но и мощнейшим тестом на современность и безопасность. К сожалению, справились не все.

Старый враг

Наиболее востребованным весной 2020 года оказался сегмент видеосвязи, и особенно — продуктов, позволяющих организовывать конференции. Так, к примеру, объем видеозвонков, совершенных в Microsoft Teams, только в марте увеличился на 1000 процентов по сравнению с предыдущими ежемесячными показателями. Многократным ростом могут также похвастаться Skype и Zoom. При таком наплыве пользователей немало преступников вспомнили о старом добром оружии, которое не успело себя показать в прежние времена.

В марте в десятке самых активных опасных программ в России оказался вирус Pykspa, который распространяется через сообщения в Skype. Червь может получить личную информацию пользователей и данные об их контактах. По данным экспертов из компании Check Point Software Technologies, он заставляет приложение рассылать всем адресатам фишинговое сообщение с ссылкой, перейдя по которой новые жертвы скачают Pykspa на свои личные устройства. Под угрозой оказались миллионы пользователей Skype: по состоянию на конец 2019 года мессенджер входил в топ наиболее популярных сервисов среди россиян, уступая лишь WhatsApp, Telegram и Viber.

Фото: Loren Elliott / Reuters

В последний раз широкая хакерская кампания с использованием этого червя произошла пять лет назад — в 2015-м году. Современную активность вируса можно объяснить лишь новым витком популярности программ для проведения конференций и видеозвонков. Сейчас такие массовые атаки скорее направлены на домашних, а не на корпоративных пользователей, но положение дел может измениться в любой момент. Тем более, что число переходящих на удаленку россиян постоянно растет, — только за несколько недель рекомендованной самоизоляции число работающих дистанционно россиян возросло на 14 процентов.

Крупные сервисы нередко становятся объектами атак. Однако существуют и такие, которые оказались небезопасными и без участия преступников: они оказались не готовы к огромному потоку новых пользователей и не успели вовремя отреагировать. Хакерам осталось лишь эксплуатировать существующие уязвимости.

По ту сторону экрана

Наибольший интерес пользователей всего мира сейчас вызывает сервис Zoom. Его прорыв на рынке нынешней весной кажется почти фантастическим: согласно отчету международной консалтинговой компании IDC (International Data Corporation), число новых пользователей, использующих приложение во всем мире в марте 2020 года, превысило годовой прирост юзеров в 2019-м. Если в декабре ежедневная аудитория программы едва перешагнула порог в 10 миллионов пользователей, то сейчас эта цифра возросла в 20 раз. В марте капитализация Zoom Video Communications выросла за неделю почти вполовину: тогда весь мир, покинув офисы, принялся проводить совещания удаленно.

С этим связана комическая история: в этот период инвесторы случайно в несколько раз подняли цену акций малоизвестного китайского производителя оборудования Zoom Technologies — более чем на 500 процентов. Это произошло потому, что во время биржевых торгов они перепутали краткие биржевые обозначения двух компаний (Zoom для видеоконференций имеет тикер ZM, а китайская компания со штатом всего в 10 человек — Zoom) и купили не те акции. Год назад произошло то же самое: когда Zoom Video Communications вышла на биржу, инвесторы накупили акций Zoom Technologies, подняв их в цене на 47 тысяч процентов.

Фото: Kevin Lamarque / Reuters

Первое время перешедшие на удаленную работу сотрудники радовались сложившимся обстоятельствам: вести дела дистанционно казалось несложным. Многих восхищали заново открытые функции: к примеру, в Zoom можно было записать конференцию, чтобы позднее всегда иметь ее под рукой, — на устройстве или в облаке. Программа автоматически присваивала шаблонные названия сохраненным файлам. Аналитики прогнозировали продолжение стремительного роста сервиса, однако на пути восхождения встали проблемы с безопасностью данных.

В конце марта и начале апреля исследователи в области кибербезопасности указали на ряд уязвимостей, которые позволили злоумышленникам украсть информацию о входе пользователя в систему, получить доступ к сообщениям, а также взять под контроль камеры и микрофоны собеседников. Тысячи записей видеозвонков попали в открытый доступ — как рабочие корпоративные конференции, так и частные разговоры. Журналисты издания The Washington Post пообщались с несколькими людьми, чьи разговоры были слиты в сеть, и ни один из них не знал, как это произошло. Предполагалось, что по шаблонным названиям автоматически сохраняющихся разговоров их можно было вручную найти в хранилищах. В похожей ситуации оказалась и безопасность текущих разговоров: ранее сотрудники компании Check Point выяснили, что любой человек мог дистанционно подключиться к случайной конференции, подобрав номер, который сервис ей присвоил. Из-за этого позднее были введены подключения по паролю.

Но и на этом претензии к сервису не заканчиваются. Эксперты считают, что Zoom навязывает свое приложение пользователям, вынуждая их скачивать программу, а в случае с загрузкой на macOS и вовсе ведет себя как опасная программа — требует, чтобы юзер ввел пароль для получения администраторских прав.

Перечитай, пересмотри

В конце марта британский исследователь Мэтью Хики заявил, что нашел уязвимость в приложении Zoom, которая позволяет с легкостью украсть данные пользователя Windows с помощью URL-ссылки: при попытке юзера перейти по ссылке в чате система выдает зашифрованную информацию о нем, — но ее нетрудно взломать. Буквально на следующий день его коллега Патрик Уордл из Objective-See сообщил, что любой преступник может отредактировать установщик Zoom для macOS таким образом, что сможет не только незаметно записывать все беседы, но и получит доступ ко всей информации, включая камеру и микрофон устройства. Через некоторое время сотрудники сервиса исправили эти уязвимости.

Однако позднее эксперты обнаружили базы учетных записей Zoom в продаже в даркнете: к 13 апреля на хакерских форумах продавалось или раздавалось бесплатно уже более полумиллиона пар логин-пароль вместе с персональными данными юзеров. Специалисты из компании Group-IB сообщили, что ряд продаваемых в сети аккаунтов принадлежит пользователям с почтовым адресом в доменной зоне ru. Предполагается, что полученные данные могут быть использованы для зумбомбинга или как база для новых серьезных киберпреступлений (к примеру, получив логин и пароль от Zoom, преступники могут использовать их для получения контроля над учетными записями в других сервисах и похитить деньги со счета жертвы). Известно, что сенат США, министерство иностранных дел Германии, власти государства Тайвань, а также корпорация SpaceX отказались от использования Zoom, так как сочли его недостаточно безопасным.

По словам эксперта Positive Technologies Евгения Гнедина, если утекла база с личными данными пользователей, — то ее скорее всего уже не удастся вернуть; однако если есть подозрения, что организация тайно раскрывает ваши персональные данные или попросту не защищает их, то каждый вправе обратиться в надзорные органы (Роскомнадзор) с просьбой провести проверку. Компаниям, хранящим данные россиян за рубежом, может грозить штраф: к примеру, в феврале текущего года по решению суда на компании Twitter и Facebook были наложены штрафы в размере четырех миллионов рублей каждый. Федеральный закон о локализации данных вступил в силу почти пять лет назад, и все компании, обрабатывающие персональную информацию российских граждан, обязаны его соблюдать. Сам пользователь, чьи данные были скомпрометированы, также может подать в суд.

Основными причинами утечек пользовательских данных чаще всего становятся превышение полномочий сотрудниками-инсайдерами, обладающими доступом к такой информации, и недостаточно надежная защита данных — уязвимости или ошибки конфигурации. Утечки стали одним из ключевых трендов рынка кибербезопасности в 2019 году, и это связано в том числе с подходом злоумышленников — киберпреступники начали объединять собранные в течение последних лет данные в единый массив для торговли на теневом рынке более полными цифровыми досье. Рецепта, как избежать утечек, нет — однако важно сообщить о произошедшем клиентам компании и предупредить их о возможных рисках, помочь противостоять мошенникам. Это не только спасет пользователей, но поможет сохранить репутацию.

Что такое шифрование

Можно ли поймать хакеров

Как защититься от взлома

Однако сейчас речь идет о вирусной атаке (вирус Wanna Decrypt0r 2.0), использующей уязвимости операционных систем Windows и протоколов передачи файлов по сети (SMB), из-за которых зараженными оказываются все компьютеры в рамках одной локальной сети. Антивирусы молчат, их разработчики пока не знают, что сказать, изучая ситуацию. Так что единственный способ защиты — это регулярное создание резервных копий важных файлов и хранение их на внешних жестких дисках, отключенных от сети. А еще можно пользоваться менее уязвимыми операционными системами — Linux или Mac OS.

Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также добавили обновление безопасности, которое обеспечивает дополнительную защиту против потенциальной атаки. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь.

пресс-секретарь Microsoft Russia

Как спасти файлы

Если файлы уже зашифрованы, а резервной копии нет, то, увы, придется платить. При этом нет гарантии, что хакеры не зашифруют вам их снова.

Что будет дальше

Чем больше людей пострадает от вируса, тем на самом деле лучше: это станет хорошим уроком кибербезопасности и напоминаем о необходимости постоянного резервного копирования данных. Ведь уничтожить их могут не только хакеры (еще 1000 и 1 способом), но можно и физически утратить носитель, на котором они хранятся, и тогда винить во всем можно будет только себя. И вы и рады будете заплатить и 300, и 600 долларов за труды всей своей жизни, да будет некому.

Но это тоже немного слоупочных новостей. Просто, наверное, хакеры на таких маленьких конторках научились делать всё правильно и грамотно и пошли бомбить крупные фирмы.

А теперь я думаю сколько из бюджета годами пилили на "компьютерную безопасность"

Граждане Эстонии очень любят посещать таллинский зоопарк.

Они могут часами стоять у вольера с мишками-коалами, и пристально наблюдать за повадками этих шустрых зверьков.

Я уже напугался, думал опять!))

@moderator, да приди же на помощь!

о, эстонские аналитики в эфире, надо послушать.

Записки ведущего #46 Баста, карапузики, кончилися танцы

Привет всем моим подписчикам и Пикабутянам! Я пишу о праздниках и около праздничной суете.

В стране бушует вирус, и эта тема коснулась нашей братии на 146%. Сейчас я приоткрою завесу тайны о настроениях за кулисами организаторов и ведущих торжеств.

Для начала о моей ситуации на апрель:
👉 10.04 Юбилей
👉 11. 04 Свадьба
👉 12.04 Квиз в ресторане
Всё полетело к чертям.
100% Отмены.

👉 18.04 Свадьба
👉 25.04 Свадьба
👉 30.04 Свадьба
Под бооольшим вопросом.

Все чаты ведущих и организаторов переполнены паникой. Коллеги обсуждают как сохранить свои мероприятия. Обсуждают тему возврата или невозврата предоплат.

Прекрасно понимаю, что долгое ожидание торжества со стороны невест, и финансовая нестабильность со стороны подрядчиков побуждает людей на не самые светлые поступки :

Но дело даже не в том, чтобы отгулять долгожданное событие или получить гонорар. Суть в том, что в угоду своих желаний, не стоит отправляться в общественные места пренебрегая опастностью заражения себя и близких.

Вчера вечером я принял решение, что на свои торжества в апреле я не поеду и либо предложу провести свои мероприятия коллегам, либо верну предоплату.

У меня двое детей и если заражусь, то мы с супругой поедем на 21 день во взрослый карантин, а дети (7, 5 лет и грудничёк 6ти месяцев) в детский стационар. Так себе перспектива.

Интернет переполнен видео где вместо того, чтобы сидеть по домам-люди жарят шашлык, а другие делают про первых видеообзоры и гуляют в центре города. Сколько из них уже стало потенциальными носителями?

Я вас очень прошу- не гуляйте на торжествах, как минимум в ближайший месяц. Оградите себя и своих близких. Всё это через несколько месяцев обязательно закончится и тогда хоть неделю веселитесь. Тем более, по окончании всей этой истории праздник вам выйдет значительно дешевле 😁

Не давайте вирусу повода и всё будет лучше.

Радость от мимолётного торжества может нивелироваться последствиями, о которых (возможно) придётся Горько пожалеть.

Когда ты в Китае и очень не хочешь заболеть новый вирусом!

Как вскрывают пароли представители правоохранительных органов

Хакеры, мошенники, работники IT-безопасности, следственные органы и спецслужбы — все они при определенных обстоятельствах могут попытаться добраться до информации, защищенной с помощью паролей. И если инструменты, которыми пользуются хакеры и спецслужбы, в целом практически совпадают, то подход к задаче отличается кардинальным образом. За исключением единичных дел, на раскрытие которых могут быть брошены огромные силы, эксперт работает в рамках жестких ограничений как по ресурсам, так и по времени, которое он может потратить на взлом пароля. Какие подходы используют правоохранительные органы и чем они отличаются от работы хакеров — тема сегодняшнего материала.

Добрым словом и пистолетом

Да, ты не обязан свидетельствовать против самого себя и выдавать свои пароли. Этот принцип наглядно иллюстрируется очередным случаем. Подозреваемый в хранении детской порнографии сидит уже 27 месяцев за то, что отказывается сообщить пароли от зашифрованных дисков. Презумпция невиновности? Не, не слышали.

Что можно сделать за 45 минут? А за два дня?

В более серьезных случаях, когда конфискуется в том числе и компьютер подозреваемого, следствие может приложить и более серьезные усилия. Опять же, от страны, от тяжести преступления, от важности именно цифровых улик будет зависеть и количество ресурсов, которые можно затратить на взлом.

Как они это делают

Но вернемся к нашим двум дням для взлома. Что можно сделать за это время?

Насколько (бес)полезны стойкие пароли

Для начала — немного теории. Нет, мы не будем в очередной раз повторять мантру о длинных и сложных паролях и даже не будем советовать пользоваться паролехранилками. Просто рассмотрим две картинки:

Скорость перебора паролей с использованием видеокарты: вот BitLocker и RAR5

а вот Microsoft Office, Open Office и IBM Notes

Как видим, скорость перебора для томов BitLocker — всего 860 паролей в секунду при использовании аппаратного ускорителя на основе Nvidia GTS 1080 (к слову, это действительно быстро). Для документов Microsoft Office 2013 цифра повыше, 7100 паролей в секунду. Что это означает на практике? Примерно вот это:

Таким образом, на очень быстром компьютере с аппаратным ускорителем пароль, состоящий из пяти букв и цифр, будет взломан за день. Если в том же пятизначном пароле затешется хотя бы один специальный символ (знак препинания, #$%^ и подобное), ломать его придется уже две-три недели. Но пять знаков — мало! Средняя длина пароля сегодня — восемь символов, а это уже далеко за пределами вычислительных возможностей даже самых мощных кластеров в распоряжении полицейских.

Сколько у тебя паролей?

Я подсчитал: у меня 83 уникальных пароля. Насколько они на самом деле уникальны — разговор отдельный; пока просто запомним, что у меня их 83. А вот у среднего пользователя уникальных паролей гораздо меньше. По данным опросов, у среднего англоязычного пользователя 27 учетных записей в онлайновых сервисах. Способен ли такой пользователь запомнить 27 уникальных, криптографически сложных паролей? Статистически — не способен. Порядка 60% пользуются десятком паролей плюс их незначительными вариациями (password, password1, ну, так и быть, — Password1234, если сайт требует длинный и сложный пароль). Этим беззастенчиво пользуются спецслужбы.

В ней можно просто побродить по хранилищам паролей, а можно нажать Export, в результате чего за считаные секунды все доступные пароли будут извлечены из всех поддерживаемых источников и сохранены в текстовый файл (дубликаты удаляются). Вот этот-то текстовый файл и есть готовый словарь, который в дальнейшем используется для вскрытия паролей, которыми зашифрованы файлы с серьезной защитой.

Извлекаем пароли из браузеров и почтовых клиентов

Допустим, у нас есть файл P&L.docx, извлеченный с компьютера пользователя, и есть словарик из его паролей от нескольких десятков (или даже сотни) учетных записей. Попробуем воспользоваться паролями для расшифровки документа. С этим может помочь практически любая программа для перебора паролей, которая поддерживает формат документов MS Office 2013. Нам привычнее Elcomsoft Distributed Password Recovery.

Второй этап — используется тот же словарь, состоящий из паролей пользователя, но в конец каждого пароля дописываются цифры от 0 до 9999.

Большой соблазн — активировать их все, но практического смысла в этом немного. Имеет смысл изучить, как именно конкретный пользователь выбирает свои пароли и какие именно вариации он использует. Чаще всего это одна или две заглавных буквы (вариация case средней степени), одна или две цифры в произвольных местах пароля (вариация digit средней степени) и год, который чаще всего дописывается в конец пароля (вариация year средней степени). Впрочем, на данном этапе все-таки имеет смысл просмотреть пароли пользователя и учесть вариации, которые использует именно он.

На втором и третьем этапах обычно вскрывается каждый десятый пароль. Итоговая вероятность расшифровать документ у среднего пользователя — порядка 70%, причем время атаки ничтожное, а длина и сложность пароля не имеют ровно никакого значения.

Исключения из правила

Если у одного пользователя файлы и учетные записи защищены одними и теми же паролями, это вовсе не означает, что так везти будет каждый раз. Например, в одном случае подозреваемый хранил пароли в виде имен контактов в телефонной книге, а в другом сборник паролей совпадал с именами зашифрованных файлов. Еще один раз файлы были зашифрованы названиями мест отдыха подозреваемых. Инструментов для автоматизации всех подобных случаев просто не существует: даже имя файла следователю приходится сохранять в словарь вручную.

Длина не имеет значения

Если говорить о длине и сложности паролей, то большинство пользователей не привыкли себя утруждать. Впрочем, даже если бы почти все использовали пароли максимальной длины и сложности, это не повлияло бы на скорость атаки по словарям, составленным из утечек.

Если ты следишь за новостями, то, вероятно, слышал об утечках баз данных с паролями из Yahoo (три раза подряд!), LinkedIn, eBay, Twitter и Dropbox. Эти службы очень популярны; в общей сложности утекли данные десятков миллионов учетных записей. Хакеры проделали гигантскую работу, восстановив из хешей большую часть паролей, а Марк Бёрнетт собрал все утечки воедино, проанализировал ситуацию и сделал интереснейшие выводы. По данным Марка, в том, какие пароли выбирают англоязычные пользователи, прослеживаются четкие закономерности:

0,5% в качестве пароля используют слово password;

0,4% в качестве пароля используют последовательности password или 123456;

0,9% используют password, 123456 или 12345678;

1,6% используют пароль из десятки самых распространенных (top-10);

4,4% используют пароль из первой сотни (top-100);

9,7% используют пароль из top-500;

13,2% используют из top-1000;

30% используют из top-10000.

Дальше Марк не анализировал, но мы продолжили его последовательность, воспользовавшись списком из 10 миллионов самых популярных паролей. По нашим данным, пароли из этого списка использует всего 33% пользователей, а длительность атаки растет на три порядка.

Что нам дает эта информация? Вооружившись статистикой и словариком из

10 тысяч самых распространенных паролей, можно попробовать расшифровать файлы и документы пользователя даже в тех случаях, когда о самом пользователе ничего не известно (или просто не удалось получить доступ к компьютеру и извлечь его собственные пароли). Такая простейшая атака по списку из всего 10 тысяч паролей помогает следствию примерно в 30% случаев.

В первой части статьи мы воспользовались для атаки словарем, составленным из паролей самого пользователя (плюс небольшие мутации). Согласно статистике, такая атака работает примерно в 70% случаев. Второй метод — использование списка из top-10000 паролей из онлайновых утечек, что дает, снова согласно статистике, тридцатипроцентную вероятность успеха. 70 + 30 = 100? В данном случае — нет.

Разумеется, на перечисленных атаках процесс не останавливается. Подключаются собственные словари — как с популярными паролями, так и словари английского и национального языков. Как правило, используются вариации, здесь единого стандарта нет. В ряде случаев не брезгуют и старым добрым brute force: кластер из двадцати рабочих станций, каждая из которых укомплектована четырьмя GTX 1080, — это уже полмиллиона паролей в секунду для формата Office 2013, а для архивов в формате RAR5 и вовсе за два миллиона. С такими скоростями уже можно работать.

Разумеется, пароли к учетным записям, которые можно извлечь из компьютера подозреваемого, далеко не всегда помогут в расшифровке файлов и криптоконтейнеров. В таких случаях полиция не стесняется привлекать и другие методы. Так, в одном случае следователи столкнулись с зашифрованными данными на ноутбуках (системные накопители были зашифрованы с использованием BitLocker Device Protection совместно с модулем TPM2.0).