В данной статье мы попытаемся разобраться в проблеме вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Увы, приходится признать, что данная проблема все чаще возникает перед множеством компаний и частных лиц по всему миру. Статья будет состоять из двух частей, я планирую во всех деталях рассмотреть функциональность данного вредоносного программного обеспечения, пути его распространения и методы противодействия, а также постараюсь дать основные рекомендации на случай заражения незащищенных систем.

С чего все начиналось

В начале 2000-х годов произошло зарождение нового направления киберпреступности, связанного с шантажом пользователей. Методы основывались на запугивании и вымогательстве у пользователя денежных средств путем блокирования рабочего стола (см. экран 1) с помощью вредоносных программ, либо всплывающей страницы HTML во весь экран браузера. В обоих случаях пользователю сообщалось о том, что его компьютер заблокирован и для продолжения нормальной работы необходимо отправить платное сообщение SMS на короткий номер (см. экран 2).

 

Пример блокировки рабочего стола
Экран 1. Пример блокировки рабочего стола

 

Блокировка браузера
Экран 2. Блокировка браузера

Оба приема привели к появлению новых терминов в области борьбы с вредоносными программами.

Компьютерный блокировщик, или блокировщик экрана, Computer locker/Screen locker. Взлом осуществлялся вредоносным кодом JavaScript, не представлял опасности для опытного пользователя и нейтрализовывался путем исправления системного реестра и очистки папки автозагрузки.

Веб-блокировщик, Web blocker. Это вредоносная программа, которая частично либо полностью ограничивала работу браузера. Проблема решалась путем простого закрытия браузера.

Однако уже в мае 2005 года был обнаружен первый в мире вымогатель, использующий собственный симметричный алгоритм шифрования, ставший известным как Gpcode.am. Этот алгоритм легко подвергался расшифровке при условии, что удавалось найти пару «шифрованный файл — нешифрованный файл». Но в конце ноября 2010 года появилась новая модификация Gpcode.ax, в которой применялось сильное шифрование (алгоритмы RSA-1024 и AES-256), что сделало восстановление зашифрованных файлов практически невозможным.

Новый метод вымогательства с применением шифрования получил наименование «шифровальщик» или crypto-ransomware. Он начал превалировать над другими известными методами шантажа, фактически положив конец развитию простых блокировщиков компьютеров.

Просто цифры

Начиная с 2013 года эксперты «Лаборато­рии Касперского» отмечают резкий рост количества заражений этим типом вредоносных программ среди компаний, что свидетельствует о смене приоритетов у кибермошенников в сторону бизнеса, это логично с точки зрения потенциальной величины выкупа.

С апреля 2014 года по март 2015-го наиболее активно распространялись следующие шифровальщики: CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura и Shade. Все вместе они атаковали 101 568 пользователей по всему миру, то есть 77,48% всех пользователей, подвергшихся атакам с применением шифровальщиков-вымогателей за данный период.

За год ситуация значительно изменилась. TeslaCrypt, а также CTB-Locker, Scatter и Cryakl были ответственны за атаки на 79,21% всех пользователей, столкнувшихся с шифровальщиками-вымогателями.

Общее число пользователей, пострадавших от программ-вымогателей за 12 месяцев с апреля 2015 по март 2016 года, выросло на 17,7% по сравнению с периодом с апреля 2014-го по март 2015 года — с 1 967 784 до 2 315 931 пользователей по всему миру.

Отношение пользователей, хотя бы раз столкнувшихся с программами-вымогателями, к общему числу пользователей, встречавшихся с вредоносными программами, выросло на 0,7% — с 3,63% в 2014-2015 годах до 4,34% в 2015-2016 годах.

Отношение числа пользователей, столкнувшихся с шифровальщиками-вымогателями, к числу всех пользователей, встречавшихся с программами-вымогателями, значительно выросло — на 25%, с 6,6% в 2014-2015 годах до 31,6% в 2015-2016 годах.

Число пользователей, атакованных с помощью шифровальщиков, выросло в 5,5 раза, с 131 111 в 2014-2015 годах до 718 536 в 2015-2016 годах.

Число пользователей, атакованных с применением блокировщиков экрана, уменьшилось на 13,03%, с 1 836 673 в 2014-2015 годах до 1 597 395 в 2015-2016 годах.

Недавнее исследование компании Datto показало, что атаки программного обеспечения вирусов-вымогателей обходятся небольшим и средним компаниям в США в 75 млрд долл. в год, что показывает средний ущерб в 8500 долл. в час. Кроме того:

  • 95% опрошенных отметили, что атаки вирусов-вымогателей случаются все чаще;
  • 63% респондентов заявили, что атаки вирусов-вымогателей привели к угрожающему простою для бизнеса;
  • сумма выкупа в среднем составила от 500 до 2000 долл.;
  • вместе с тем 10% опрошенных заявили о сумме более 5000 долл.;
  • 7% сообщили, что выплата денежных средств не привела к расшифровке данных;
  • 40% сообщили о более чем 6 атаках в течение года, а 31% заявили о многократных атаках в течение одного дня.

Согласно сообщениям ФБР, нападения вирусов-вымогателей только за первые три месяца 2016 года принесли злоумышленниками минимум 200 млн долл. Таким образом, вполне вероятно, что к концу года их прибыль составит более 1 млрд долл. США.

Здесь важно понимать, что для бизнеса чаще всего последствия заражения шифровальщиком не ограничиваются только единовременной выплатой суммы, которую требуют киберпреступники. Сумма ущерба включает в себя и прибыль, потерянную в результате полной или частичной остановки операций (внутренних бизнес-процессов, финансовых транзакций), стоимость потерянных ценных данных (финансовых и проектных документов, баз данных о клиентах и партнерах и т. д.) и расходы на восстановление репутации. На размер ущерба также напрямую влияют недочеты в профилактической работе персонала по информационным технологиям: нерегулярно обновляемое программное обеспечение, плохо администрируемые системы, огромное количество устаревших или отсутствующих резервных копий, использование ненадежных паролей и т. д.

Согласно исследованиям сайта Malwarebytes, за период с июня 2015-го по июнь 2016 года почти 40% компаний было атаковано вирусами-вымогателями. Заражения распространялись множеством способов, включая направленные мошеннические атаки, вредоносную рекламу и т. д.

Если же посмотреть на Россию, то, по данным «Лаборатории Касперского», за прошедший год программами-шифровальщиками было атаковано 38% российских компаний среднего и малого бизнеса (исследование «Информационная безопасность бизнеса» проведено «Лабораторией Касперского» совместно с компанией B2B International весной 2016 года, в опросе приняли участие более 4000 ИТ-специалистов из 25 стран по всему миру, включая Россию). При этом 12% организаций, ставших жертвами этой киберугрозы, так и не сумели восстановить доступ к значительной части ценных данных. А еще 12% заплатили киберпреступникам выкуп, несмотря на то что это не гарантирует возвращение файлов.

Появление вирусов-вымогателей и IoT

Интернет вещей, или IoT, направление относительно новое, однако уже не первый раз эксперты говорят о вымогателях для устройств класса IoT. Еще в прошлом году специалисты компании Symantec на конференции BlackHat представляли исследование вируса-вымогателя для IoT (http://www.csoonline.com/article/2960787/cyber-attacks-espionage/report-iot-is-the-next-frontier-for-ransomware.html). Увы, надо признать, что вирусам-вымогателям для IoT не уделяют достаточно внимания. В свою очередь это может привести к недооценке и катастрофическим последствиями, а не только к финансовым потерям.

Причина проста. Вирусы-вымогатели для области IoT воспринимаются так же, как и традиционные вредоносные программы для блокировки доступа к файлам. Однако есть два важных отличия.

Принцип работы вирусов-вымога­телей заключается в том, что, когда ваш компьютер, ноутбук или смартфон подверглись атаке вируса-вымогателя, ваши файлы шифруются, и единственное, что может вам помочь, — закрытый ключ, который находится в руках злоумышленников и за который вам необходимо заплатить (если у вас нет резервной копии своих файлов). И большинство компаний предпочитают платить.

В случае IoT это чаще всего неприменимо. Ведь большинство данных устройств IoT хранится в «облаке», таким образом, даже если они станут зашифрованными, владельцу нет смысла платить выкуп. Это означает, что злоумышленнику не интересно шифровать данные, он вынужден будет создать вирус-вымогатель, который будет не шифровать данные, а просто блокировать доступ к устройству. И лечение здесь будет тоже достаточно тривиальным: сброс в заводские настройки и установка новых исправлений и прошивок. Это, естественно, сделать гораздо проще, чем на компьютере.

Второе отличие вирусов-вымога­тели для IoT — перспективы получения выкупа для атакующего. Разработчики вирусов-вымогателей всегда надеются получить максимум денег при наименьших усилиях. И тут злоумышленника может ждать разочарование. Многообразие устройств IoT сделает создание вымогателей достаточно большой проблемой. Да и как сообщить пользователю, что его устройство класса IoT заблокировано? Ведь многие такие устройства не имеют собственного экрана.

Но проблема эта серьезна, если вы оказываетесь в тех условиях, когда от надежности устройства класса IoT зависит ваше здоровье или даже жизнь. Представьте заблокированный на трассе автомобиль. Или включившуюся в ваше отсутствие систему отопления, что может привести к пожару.

В случае расширяющегося промышленного использования устройств IoT последствия могут быть еще серьезнее. Вообразите взлом системы управления электропитанием в больнице. А у вас не 2-3 дня, а 30-40 минут для принятия решения, иначе жизнь больных будет под угрозой.

Так что, как видите, использование вирусов-вымогателей на устройствах IoT значительно отличается от их вмешательства в работу компьютеров, но не менее опасно. Это только вопрос времени, когда злоумышленники решат, что создание таких вредителей стоит усилий.

Пути распространения Ransomware

Вредоносная программа класса «шифровальщик» имеет аналогичные с другими вредоносными программами пути распространения. Приведем основные из них.

Атака типа «управляемая загрузка» (drive by load)

В код страниц скомпрометированного сайта внедряется сценарий с кодом вредоносной программы, осуществляющий перенаправление браузера посетителя на посторонний ресурс, содержащий набор программ использования изъянов. В случае успешного проникновения за счет использования существующих уязвимостей в программах на системе посетителя, на его компьютере без его ведома будет автоматически установлена и запущена вредоносная программа.

Атака типа «слабое место» (watering hole)

Киберпреступники изучают поведение сотрудников интересующей их организации, чтобы узнать, какие интернет-ресурсы те чаще всего посещают. Затем они заражают веб-сайт, пользующийся у сотрудников популярностью, желательно такой, который принадлежит доверенной организации и служит ценным источником информации. В классическом варианте атаки применяется программа использования известной уязвимости. Когда сотрудник открывает страницу привычного сайта, его компьютер подвергается заражению.

Баннерная рекламная сеть (Malvertising)

Часто бывает, что на первый взгляд безобидная система баннерной рекламы становится мощным инструментом распространения вредоносной программы. Например, в 2010 году в баннерных сетях таких крупных компаний, как Google и Microsoft, был обнаружен целый ряд наборов вредоносных программ, эксплуатирующих сразу более 7 уязвимостей.

Электронная почта (Spear-phishing)

Это направленная форма мошенничества: человеку в организации-мишени отправляется электронное письмо, вызывающее доверие к отправителю, в расчете на то, что получатель откроет ссылку или приложение, которые запустят исполняемый код. В качестве примера можно привести шифровальщика Petya, ориентированного на корпоративных пользователей. В рассылаемых письмах содержится резюме соискателя рабочего места.

Социальные сети

Прекрасный инструмент для проведения как целевого заражения, так и массового за счет опубликования ссылки на инфицированный ресурс, содержащий любой из доступных злоумышленникам инструмент проникновения (Exploit, Dropper, Downloader, и т. д.).

Удаленный рабочий стол Remote Desktop Protocol (RDP)

Все еще нередки случаи, когда порт TCP 3389 открыт для доступа снаружи для технических целей. Например, при обслуживании сторонней организацией программы «1C-Бухгалтерия», либо для нужд администрирования, что приводит в конечном итоге к плачевным последствиям. Дело в том, что за портами удаленного доступа постоянно ведется охота. Хакерами регулярно сканируются публичные сети и выполняется подбор паролей к целевым хостам. Далее злоумышленник вручную выполняет шифрование, предварительно отключив все протоколирующие и восстановительные механизмы системы (журналирование, создание теневых копий файлов).

Кроме того, при ручном проникновении хакеры часто прибегают к помощи утилиты Mimikatz, позволяющей при необходимости повысить привилегии доступа для запуска шифровальщика с административными правами. Mimikatz — инструмент для перехвата паролей открытых сессий в Windows, реализующий набор функций Windows Credential Editor. Он способен извлекать аутентификационные данные зарегистрировашегося в системе пользователя в открытом виде.

Теперь перечислим распространенные средства доставки шифровальщика и их отличия.

Загрузчик (downloader). Принцип работы загрузчика заключается в загрузке тела шифровальщика с определенного веб-сайта. Благодаря ему злоумышленники решают сразу несколько задач: сокращение размера вложения, например электронной почты. Это легкий метод обновления тела шифровальщика, достаточно заменить его на обновленный на сайте, откуда его забирают распространяемые загрузчики.

Dropper. Принцип работы заключается в расшифровке из собственного тела шифровальщика и его инициализация в системе жертвы. Наличие шифрования направлено на усложнение обнаружения средствами обеспечения безопасности.

Существует распространенное заблуждение о том, что запуск шифровальщика возможен только в случае некорректных действий пользователя, а именно наличия прав доступа администратора в момент запуска вредоносной программы (к примеру, игнорируется предупреждение UAC), либо разрешения на использование макросов в открытом документе Word.

На самом деле все не так просто. Ситуация изменилась с появлением комбинированных шифровальщиков в 2016 году. Принцип их работы таков, что на момент инициализации основного шифровальщика запрашивается доступ к правам администратора; в случае бдительности пользователя и получения отказа запускается запасной шифровальщик, осуществляющий шифрование файлов на уровне прав пользователя.

Наглядный пример был обнаружен в марте 2016 года. Шифровальщик со звучным именем Petya работает в паре с шифровальщиком Mischa, используемым как резервный вариант на случай проблем с правами администратора. Petya полностью лишает пользователя доступа к жесткому диску, изменяет главную запись загрузки, master boot record, шифрует главную таблицу файлов, master file table (MFT), и не работает без прав администратора. Mischa способен работать без прав администратора, шифрует множество различных файлов, в том числе и *.exe, игнорирует папку Windows и папки, содержащие файлы браузеров.

Чаще всего в момент запуска шифровальщик может обладать следующим набором заранее заданных функций:

  • определение локальной версии операционной системы и раскладки клавиатуры — необходимо для адаптации вывода сообщения на языке пользователя либо для того, чтобы избежать заражения в определенных странах;
  • определение географического расположения системы по адресу IP; некоторые шифровальщики нацелены на заражение систем только в определенных странах.

Кроме того, некоторые виды шифровальщиков используют соединение с командным центром для получения ключа шифрования и прочих дополнительных функций.

Например, шифровальщик Crypto­wall использует командный центр для получения ключа шифрования, а также может выполнять целый ряд дополнительных команд, одной из которых является команда для загрузки и выполнения файла. Кроме того, он обладает возможностью загрузки автоматической программы для рассылки самого себя различным адресатам, полученным от командного центра. А вот шифровальщик TeslaCrypt не всегда использует командный центр и только для передачи статистики о количестве заражений.

Техники обхода средств обнаружения

Киберпреступники непрерывно совершенствуют техники обхода стандартных средств защиты. Прежде чем перечислить основные из них, хочу обратить ваше внимание на общую структуру файла вредоносной программы. Дело в том, что зачастую современные исполняемые файлы упакованы (сжаты) специальной программой, упаковщиком. В обычной жизни он служит инструментом для сокращения размера исполняемого файла и применяет алгоритмы сжатия без потерь (например, семейство алгоритмов LZ* или алгоритм Хаффмана). В результате работы упаковщика тело программы сжимается и прикрепляется к миниатюрному модулю-загрузчику, способному восстановить и запустить программу.

Среди создателей вредоносных программ упаковщик также популярен, но уже не в целях сокращения размера исполняемого файла, а для обхода детектирующих механизмов. Вирусный упаковщик направлен на решение задач противодействия автоматическому обнаружению и усложнение реверса кода файла. Применяемые для этого способы включают: вызов различных API, направленных на обман эмулятора; многоуровневое шифрование для сокрытия кода; инжектирование (внедрение) в легитимный процесс расшифрованного тела программы для обхода стандартных средств защиты. Встречаются случаи, когда упаковщик создает собственную копию процесса, после чего инжектирует в размеченную область его памяти шифровальщик.

Подобные упаковщики применяются при распространении практически всех вредоносных программ, в том числе шифровальщиков, среди которых Cryptowall, Teslacrypt, ctb-locker и многие другие.

Другим способом маскировки является применение легитимных инструментов для шифрования данных. Шифровальщик bat.Scatter имеет модульную структуру, состоящую из легитимных инструментов, в частности для шифрования использовалась программа gnupg — свободно распространяемая программа для шифрования информации (https://ru.wikipedia.org/wiki/GnuPG). А тело представляло собой исполняемый файл *.bat, загружающий утилиты из Интернета. Процесс такой работы не вызывал подозрений со стороны средств контроля безопасности.

Еще одним способом является инжектирование (внедрение) процесса. Техника динамического внедрения собственного кода в чужой процесс позволяет задействовать все привилегии легитимного процесса в своих целях. Данный метод позволяет обойти различные системы контроля безопасности, в том числе при механизме контроля приложений. Инжектирование применяется на уровне программных интерфейсов Windows API и выполняет следующие задачи:

  • определение дескриптора нужного процесса;
  • выделение области памяти в адресном пространстве целевого процесса;
  • запись кода и данных в эту область;
  • создание нового потока в виртуальном пространстве процесса.

Отдельно следует отметить наличие модуля обфускации кода, применяемого в самом теле шифровальщика, для дополнительного запутывания на уровне алгоритма при помощи специальных компиляторов для усложнения его анализа. Нередко обфускация применяется с частичным многоуровневым шифрованием кода. Непосредственно шифровальщик при этом способен определять среду выполнения (работает ли он в эмуляторе или в виртуальной среде).

Обфускация (от лат. obfuscare — затенять, затемнять и англ. obfuscate — делать неочевидным, запутанным, сбивать с толку), или запутывание кода, — это приведение исходного текста или исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции. Запутывание кода может осуществляться на уровне алгоритма, исходного текста и кода ассемблера. Для создания запутанного кода ассемблера могут использоваться специализированные компиляторы, задействующие неочевидные или недокументированные возможности среды исполнения программы. Существуют также специальные программы, производящие обфускацию, называемые обфускаторами (англ. obfuscator).

Типы шифрования

Существующие шифровальщики применяют различные схемы шифрования, или криптосхемы. Под криптосхемой мы понимаем схему взаимодействия криптографических алгоритмов для выполнения определенной задачи, в данном случае шифрования файлов. Рассмотрим применяемые виды шифрования.

  1. Самописные алгоритмы (симметричные), построенные на смеси арифметических операций XOR, ADD, SUB, MUL и т. д.
  2. Известные симметричные шифры (поточные RC4,) блочные (AES, BlowFish) и т. д.
  3. Асимметричная криптография (гибридная), когда файлы шифруются симметричным алгоритмом, а ключи ассиметричным.

Откуда берутся ключи? В процессе эволюции шифровальщики применяли различные способы хранения ключей и алгоритмы шифрования. Приведем примеры вариантов, где может содержаться ключ.

  1. Ключ содержится в теле шифровальщика. Например, зловред Xorist имеет встроенный ключ для симметричного алгоритма.
  2. Ключ генерируется троянцем при запуске на клиенте. Например, зловред Enigma генерирует ключ и шифрует его асимметричным алгоритмом RSA.
  3. Ключ запрашивается у командного сервера. Например, зловреды Cryptowall, Locky и другие запрашивают у командного центра ключ для асимметричного алгоритма, а Aura запрашивает ключ для симметричного шифра.

Сокрытие следов

Вдобавок к шифрованию данных, большая часть шифровальщиков прежде всего предпринимает действия по блокированию возможных путей восстановления информации. Для этого используется ряд команд, направленных на уничтожение теневых копий, находящихся на диске, типа vssadmin.exe delete shadows/all или wmic shadowcopy delete. Что касается сокрытия следов, то можно сказать, что данная мера непопулярна среди большинства известных шифровальщиков. Этот этап можно отнести к ручному заражению, когда хакеры выполняют целый ряд сценариев для получения необходимых привилегий в системе для запуска шифровальщика. Обычно в завершение работы происходит «зачистка» атакуемого хоста. Вот что подразумевается под зачисткой:

  • отключение ведения журналов событий в системе;
  • удаление всех журналов событий;
  • остановка служб, отвечающих за создание резервных и теневых копий на жестких дисках;
  • удаление резервных копий восстановления, а также теневых копий с жестких дисков.

Развитие шифровальщиков

Современный шантаж — это не только стойкое шифрование и широкий путь распространения, но также:

  • новый вид платежей, в котором котируется криптовалюта (биткоин);
  • автоматическое создание криптокошелька для получения выкупа;
  • использование сети Tor, которая обеспечивает злоумышленникам полную конфиденциальность;
  • использование служб Tor для Web, что позволяет осуществлять взаимодействие жертвы с личным кабинетом, расположенным в сети Tor;
  • защищенная система электронной почты, например служба Riseup.net;
  • защищенное общение через систему Bitmessage (https://ru.wikipedia.org/wiki/Bitmessage);
  • автоматическая классификация и оценка зашифрованных файлов для назначения размеров выкупа;
  • автоматическое выставление счета;
  • автоматическая выдача ключа шифрования при поступлении платежа от жертвы.

В последнее время все чаще встречаются комплекты, где к шифровальщику идет дополнительная полезная нагрузка в виде сети зараженных систем, или спам-бота, которая обычно применяется в целях собственного распространения. Существует также модуль Stealer для кражи паролей электронной почты, сохраненных браузером, служб RDP, VPN и т. д. В 2016 году ожидается увеличение разнообразия полезной нагрузки, в том числе целенаправленного действия.

Добавились новые атакуемые операционные системы: Apple Mac OSX; в 2016 году обнаружен первый действующий шифровальщик osx.keranger и мобильная платформа Android, в 2014 году появился AndroidOS. Kokri, шифрующий личные данные на смартфоне.

Известны случаи применения шифровальщика на заключительном этапе проведения целенаправленной атаки на крупные компании. Так, в 2011 году кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке, в ходе которой было зашифровано и парализовано более 80% персональных компьютеров корпорации.

В заключительной части атаки шифровальщик проводит психологическое воздействие на пользователя с целью шантажа и принуждения к выплате выкупа. Обычно таким воздействием является обратный таймер, информирующий о том, что объявленная цена будет увеличена по истечении определенного времени. Также встречаются шифровальщики, информирующие об удалении ключа по истечении заданного времени. Человек, столкнувшийся с шантажом, чаще всего вступает в контакт с хакером через личный кабинет по ссылке с основного окна предупреждения либо через электронную почту, указанную в файле «прочти меня». Практически всегда предоставляется возможность расшифровать от одного до нескольких файлов для проверки, таким образом злоумышленник демонстрирует свою возможность решить проблему после получения выкупа.

Пример взаимодействия со Scatter

Нажав кнопку входа в личный кабинет, мы автоматически при помощи службы Web to Tor попадаем на страницу регистрации, где жертву просят загрузить ключ vault.key, создаваемый шифровальщиком автоматически. Именно в этом файле находится статистика и определена важность зашифрованной информации (см. экран 3).

 

Связь с вымогателем
Экран 3. Связь с вымогателем

Добавив файл, мы попадаем в главное меню, где можем увидеть таймер обратного отсчета времени до повышения цены, оценку важности зашифрованной информации как Normal и ее стоимость 0,111 BTC, что в пересчете равняется примерно 60 долл. Здесь предоставляется возможность отправить злоумышленнику сообщение и ознакомиться с ответами на часто задаваемые вопросы (см. экран 4).

 

Окно связи с вымогателем
Экран 4. Окно связи с вымогателем

Как выглядит форма общения с мошенником, показано на экране 5. Пример текстового послания шифровальщика из файла «прочти_меня.txt» приведен на экране 6.

 

Форма общения с мошенником
Экран 5. Форма общения с мошенником

 

«Прочти меня»
Экран 6. «Прочти меня»

Как мы видим, современные темпы развития шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. О том, как это сделать, а также о способах борьбы с шифровальщиками речь пойдет во второй части статьи.