-
Борьба с шифровальщиками. Обращение в полицию (для жителей России).
Технический ресурс борьбы с шифровальщиками себя исчерпал. Утилиты для расшифровки не помогают, пользователи послушно платят авторам зловреда, вирусописательство превратилось в прибыльный процветающий бизнес. Злоумышленники активно используют социальную инженерию, присылают вирус под видом письма из прокуратуры или суда. Лучший способ решить проблему — устранить причину, мы же пока боремся с последствиями и проигрываем. Решить проблему под силу любому пострадавшему, нужно всего лишь обратиться в полицию. Если Вы представитель юридического лица или предприниматель, рекомендую обратиться за очной консультацией к адвокату, который будет защищать Ваши права (у Вас есть право на возмещение убытков, причиненных вирусом и возмещение упущенной выгоды).
Нежелание обращаться в полицию мотивированно страхом привлечения к ответственности за использование не лицензионного программного обеспечения. Статья 146 УК РФ предусматривает ответственность за незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере. Примечанием установлено, что деяния, предусмотренные настоящей статьей, признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают сто тысяч рублей, а в особо крупном размере - один миллион рублей. Основание уголовной ответственности - совершение деяния, содержащего все признаки состава преступления. То есть, стоимость не лицензионных программ, фильмов, музыки должна превышать 100 000 рублей. На практике привлекают тех, кто занимается сбытом. Когда Ваша коллекция музыки и фильмов зашифрована, проверить что лицензионное, а что нет — невозможно. Тем не менее, если Вы понимаете, что стоимость используемых не лицензионных объектов авторского права превышает 100 тыс. руб обращаться в полицию я не рекомендую, просто потому, что нервные клетки не восстанавливаются и нет ни чего хуже, чем находиться все время в состоянии страха и тревоги. Статья 7.12 КоАП РФ также предусматривает ответственность за нарушение авторских и смежных прав. Ввоз, продажа, сдача в прокат или иное незаконное использование экземпляров произведений или фонограмм в целях извлечения дохода в случаях, если экземпляры произведений или фонограмм являются контрафактными в соответствии с законодательством Российской Федерации об авторском праве и смежных правах либо на экземплярах произведений или фонограмм указана ложная информация об их изготовителях, о местах их производства, а также об обладателях авторских и смежных прав, а равно иное нарушение авторских и смежных прав в целях извлечения дохода. Здесь главный признак правонарушения — использование в целях излечения дохода. Если Вы просто пользуетесь, например ОС Windows для личных нужд, события правонарушения не будет. Гражданская ответственность наступает в случае, если автор программы обратиться в суд с иском лично к Вам и потребует выплатить ему компенсацию.
Необходимо также понимать, что расследование уголовного дела процесс не быстрый. Чудес не бывает. Если Вы не готовы к тому, что Ваш компьютер заберут на экспертизу, которая может продолжаться месяц или больше, Вас будут опрашивать, когда дело дойдет до суда Вас вызовут в суд на уголовный процесс — обращаться в полицию я Вам не рекомендую по причине описанной выше, нервные клетки не восстанавливаются.
Возникает вопрос, а зачем тогда это нужно? Полиция все равно не будет ловить вирусописателя, если обращусь только я один. Такое утверждение ошибочно. Во-первых если у антивирусной компании нет дешифратора, у Вас остается всего два варианта — заплатить или обратиться в полицию. Заплатив преступнику, Вы поощряете его на совершение новых преступлений, а самое главное нет ни какой гарантии что заплатив, Вы получите ключ на расшифровку. Во-вторых стереотип «нужно только мне, значит ни кто заниматься не будет» для полиции не работает. По каждому заявлению возбуждается уголовное дело, если потерпевших много, они живут в разных регионах, уголовные дела объединяются и создается следственная группа. Вас это не должно беспокоить.
Итак, на Вашем компьютере зашифрованы файлы. Вы видите окно с требованием перечислить деньги или связаться со злоумышленником по электронной почте. Ваша задача ни чего не трогать до приезда сотрудников полиции. Не нужно пытаться восстановить файлы, скачивать антивирусные программы и т.*д. Необходимо позвонить в полицию со стационарного телефона по номеру 02, а с мобильного 020 или 102. Назовите спокойно, без спешки свою Фамилию, Имя и Отчество, свой адрес и контактный телефон. Сообщите дежурному, что в отношении Вас было совершено преступление, неустановленное лицо против Вашей воли посредством вредоносного программного обеспечения зашифровало информацию на Вашем компьютере и требует деньги за расшифровку. Дежурный направит к Вам оперативно-следственную группу. По приезду оперативно-следственная группа возьмет у Вас объяснение, Вы расскажите как все произошло. Опросят тех, кто был рядом, например Ваших родственников. Под протокол Вы сделаете заявление о преступлении. С обязательным присутствием понятых будет проведен осмотр места происшествия с составлением протокола, также будет составлен протокол об изъятии компьютера, также в присутствии понятых. Дальше Вас могут попросить принять участие в оперативно-розыскных мероприятиях, то есть связаться со злоумышленником и получить у него реквизиты для перевода денег либо заплатить ему. Не исключено, что таким образом Вы сразу получите доступ к своим данным, копию которых Вам обязаны предоставить по Вашей просьбе.
Обратиться в полицию можно с письменным заявлением, но я не советую так делать, поскольку необходимо оперативно зафиксировать следы преступления. Также не следует отправлять заявление о преступлении в Управление «К» через интернет, так как расследование проводится по месту Вашего жительства, заявление перенаправят в ближайший к Вам отдел МВД, что приведет к потери времени (от недели до месяца).
Как видите, ни чего сложного нет. Я по роду своей деятельности сотрудничаю с правоохранительными органами и готов ответить на Ваши вопросы, но только для жителей России, о работе правоохранителей других стран мне ни чего не известно. Отвечаю в течении 24-х часов.
Копирование и распространение статьи с обязательным указанием ссылки на источник приветствуется.
Максим (C)
- - - Добавлено - - -
//На базе этой статьи в ближайшее время я подготовлю тему для раздела "Чаво", в ней останется только самое важное, непосредственные шаги для обращения.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вот ещё ссылка в тему http://habrahabr.ru/post/232545/
Прошу обратить внимание на фразу
В результате проведённой операции компаниям FireEye и Fox-IT удалось получить большое количество секретных ключей, которые использует CryptoLocker для зашифровки файлов. На вышеупомянутом сайте пользователи могут использовать эти ключи, чтобы «освободить» свои документы без выплаты вознаграждения вымогателям.
-
-
Сообщение от
Макcим
у Вас остается всего два варианта — заплатить или обратиться в полицию
На самом деле есть ещё и третий вариант...
Которым, по моим скромным наблюдениям, предпочитают пользоваться пострадавшие. Это переустановка Винды.
P.S. Я не заявляю, что это правильный путь. Но он существует
И я утверждаю, ибо неоднократно с подобным сталкивался, совсем не страх за использование нелицензионного ПО удерживает граждан от обращения. Последний пример - одно из наших местных муниципальных предприятий. То есть, с лицензионностью у них всё пучком. Они, может, и хотели бы чего-нибудь пропиратить, да там всё уже проплачено и поставлено
На моё ИМХО, удерживает пострадавших недоверие к самой структуре полиции и заранее предопределенный, по их мнению, результат. По этой причине, я бы всё-таки дополнил изначальную статью сведениями примерно такого характера:
- данные об успешных ОРМ, связанных с поиском и обнаружением преступников, специализирующихся на вымогании у граждан денег за разблокирование Виндовс, расшифровку пользовательских данных и т.п. (не надо процентов по сравнению с предыдущим периодом - это цифры ни о чем, не надо данных об обнаруженных педофилах и экстремистах, не надо данных о разоблаченных нарушителях авторских прав; мы говорим о вымогательстве, чем может похвастаться полиция в этом вопросе?)
- вероятность обнаружения злоумышленника в современных условиях (без предположений, как это будет, когда вступят в силу постановления правительства, касающиеся идентификации пользователей бесплатных Wi-Fi сетей, или, пойдем дальше, когда в РФ запретят использование несертифицированных шифрованных соединений и p2p-сетей)
- период расследования (сколько дней дается следственной группе на проведение мероприятий для принятия решения - передовать в прокуратуру или делать дело "темным")
- будет ли зашифрованный компьютер проходить как вещественное доказательство (то есть, будет ли язъят, к примеру, бухгалтерский компьютер организации до вынесения вердикта: приостановить или возбудить)
- наличие необходимых мощностей и квалифицированного персонала в самих правоохранительных органах в регионах России (смогут ли они увязать конкретного человека с неким доменом *.onion и почтой на aol? - это для примера, не больше...)
А упоминания в статье возможной кары за нелицензионное ПО, по-моему, только дает людям лишнюю пищу для размышлений... Если честно, лично меня только один человек спросил "А меня не накажут за пиратку?". Я ответил примерно так - в правоохранительные органы обратился гражданин Икс с заявлением о вымогательстве, а не компания Адоби с заявлением о воровстве; люди будут работать по тому заявлению, которое имеют.
-
На моё ИМХО, удерживает пострадавших недоверие к самой структуре полиции и заранее предопределенный, по их мнению, результат. По этой причине, я бы всё-таки дополнил изначальную статью сведениями примерно такого характера
Данные о которых вы говорите не могут быть разглашены. Некоторые методы ОРД не являются гласными и их результаты раскрываются только в рамках конкретного дела. Технически сейчас можно вычислить кого-угодно, это не является проблемой. Практики по таким делам нет, потому как люди не обращаются. Что касается недоверия... Сейчас ни кто ни кому не доверяет, для нашего времени это норма. Но если есть проблемы - их нужно решать, причем совместно.
А упоминания в статье возможной кары за нелицензионное ПО, по-моему, только дает людям лишнюю пищу для размышлений...
Я специально не стал указывать "кары", о них можно легко узнать если набрать в гугле номер статьи. Ни чего плохо в том, чтобы разъяснить условия наступления отвественности не вижу.
-
-
период расследования (сколько дней дается следственной группе на проведение мероприятий для принятия решения - передовать в прокуратуру или делать дело "темным")
Срок принятия решения - 30 дней с момента поступления заявления.
будет ли зашифрованный компьютер проходить как вещественное доказательство (то есть, будет ли язъят, к примеру, бухгалтерский компьютер организации до вынесения вердикта: приостановить или возбудить)
На экспертизу скорее всего заберут, доказательством может и будет, но это доказательство вернут владельцу до суда.
-
-
Junior Member
- Вес репутации
- 36
Добротная статья, но не удержусь, чтобы немного уточнить
> Утилиты для расшифровки не помогают
Не совсем так. Все зависит от умений троянописателей. Во многих случаях помогают, когда не помогают утилиты, то разработчики антивирусов помогают вытащить, хоть что-то.
Но возможность написания утилит расшифровки зависит от пользователей. Сейчас трояны перед выпуском к пользователям тестируются на антивирусах и потому зачастую и остаются ненайденными при проникновении. Соответственно мы можем написать утилиту расшифровки только после получения нами образцов работы трояна (а желательно и его самого). Нам нужно:
- 3-5 зашифрованных файлов (по возможности, разных типов и размеров: jpg, zip, doc, pdf и т. п.) и требования злоумышленников о перечислении денежных средств.
- Если троянец был получен по электронной почте (часто письма с такими троянцами имитируют письмо из банка с уведомлением о каких-то проблемах) и вы не удалили это письмо — сохраните письмо в eml-файл и прикрепите этот файл к комментарию в запросе.
(подробно на http://legal.drweb.com/encoder. Там же есть образец заявления в полицию кстати)
И еще две вещи.
- Зачастую на момент проникновения троян уже известен. Отсюда вывод - не забывайте обновляться
- в статье правильно отмечено, что необходимо зафиксировать место преступления. Вот только на местах нет специального оборудования для снятия образов (снимать нужно правильным для суда образом, обычные утилиты копирования не подойдут). Посему - всегда имейте в записной книжке адреса не только полиции, но и фирм, занимающихся экспертизой инцидентов ИБ (расследованием может заниматься только полиция)
-
Slava25, имеете какое-то отношение к работе вирлаба DrWeb?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
вирлаба-нет, но я действительно из доктор веба. надеюсь, что пост получился не слишком рекламный. к сожалению с темой как нужно бороться с шифровальщиками сталкиваюсь постоянно и постоянно же вижу, что люди заранее не готовятся к беде. поэтому такие статьи я приветствую двумя руками :-)
-
Тогда Вам ли не знать, что даже это
Сообщение от
Slava25
Соответственно мы можем написать утилиту расшифровки только после получения нами образцов работы трояна (а желательно и его самого)
не всегда реально
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
совершенно не спорю. я даже написал -"Не совсем так. Все зависит от умений троянописателей". тема расследования иб инцидентов очень интересна и многогранна. во многих случаях нужно уметь выбирать что нужно делать - зафиксировать место преступления или начать пытаться лечить, изменив его. это требует прописанной в компании процедуры дейсвий ибо не всегда все нужные люди на месте - и к сожалению такая процедура есть в компаниях далеко не всегда. а решать что делать нужно крайне быстро. для тех же банковских троянов время перевода денег в пределах страны - 1- 3 минуты и рекламной вставки псто :-) мы готовим очередную утилиту дешифровки для андроида - на них тоже появились шифровальшики - и как там фиксировать место преступления пока в мире не прописано
-
Junior Member
- Вес репутации
- 35
Сообщение от
Val_Ery
На самом деле есть ещё и третий вариант...
Которым, по моим скромным наблюдениям, предпочитают пользоваться пострадавшие. Это переустановка Винды.
После Переустановки винды файлы не будут зашифрованы?!)
-
Сообщение от
Bolshenog
После Переустановки винды файлы не будут зашифрованы?!)
Будут
Последний раз редактировалось Val_Ery; 12.10.2014 в 21:58.
-
Junior Member
- Вес репутации
- 35
-
Junior Member
- Вес репутации
- 37
Вот странно, конечно. Столько пострадавших, дело процветает, но противодействий никаких.
Мне вообще не понятно почему всякие Qiwi и операторов не привлекают к поимке. Стало быть всем это выгодно. И люди будут попадаться на уловки мошенников.
Сам сталкивался с 2-мя случаями шифрования файлов. Но скажу честно - там вина пользователей и руководства. Стоит ли говорить что мер защиты почти нет. Люди не понимают всей ответственности и потому позволяют на работе делать то же что и дома.
Как пример: пришел один сотрудник и говорит "У меня есть программа с ключом еще с прошлой работы. Мне надо ее поставить". На отказ он отреагировал очень болезненно, т.к. "дома я могу сам устанавливать" и т.п.
Печально все это.
-
Сообщение от
DimmKo
Сам сталкивался с 2-мя случаями шифрования файлов.
заявление они написали?
Сообщение от
DimmKo
Вот странно, конечно. Столько пострадавших, дело процветает, но противодействий никаких.
Мне вообще не понятно почему всякие Qiwi и операторов не привлекают к поимке. Стало быть всем это выгодно. И люди будут попадаться на уловки мошенников.
Для того чтобы наказать должны возбудить дело против них, а для того чтобы возбудили дело должны написать заявление.
-
-
Junior Member
- Вес репутации
- 37
Сообщение от
regist
заявление они написали?
Для того чтобы наказать должны возбудить дело против них, а для того чтобы возбудили дело должны написать заявление.
нет, конечно, по причинам описанным выше, т.е. этим никто не будет заниматься (в смысле полиции); сдавать комп - нет запасного. Это тоже самое что если украли мобильный - кто его будет искать....
-
Junior Member
- Вес репутации
- 45
вообще, все так назывемые авторы троянов шифровальщиков, и прочих зловредов (если не дураки конечно) используют так называемые выделенные сервера (dedicated server) и все свои зловредные исходники держат там, на серверах находящихся вне юрисдикции рф, и если предположить не вероятное, и такого вот распространителя поймают, доказать по нему что либо будет фактически не возможно так что мое большое имхо, вы тут зря сотрясаете воздух (виртуальное пространство в вашем случае) и баламутите народ на бесполезные действия.
-
все свои зловредные исходники держат там
Исходники доступны публично, зачем их хранить на выделенных серверах и что они доказывают?
На правах оффтопа расскажу историю. У моих родственников украли мотоцикл. Тупо ночью со двора. Они живут в селе, где все друг друга знают. Найти мотоцикл дело техники. Ездить на нем палевно, продать тоже не просто. В полицию обращаться не хотят. Не видят смысла. Если людям нравится быть жертвами, им ни чего не нужно, они ни кому и ни во что не верят, что я должен делать? Объяснять взрослым людям, что кража это преступление? Нравится быть жертвами - ищите тысячу причин, по которым ни чего делать не надо. Но тогда ни кого не просите о помощи.
-
-
Junior Member
- Вес репутации
- 37
Макcим, мне кажется что вы слишком категоричны.
Хотя бы потому, что жертвами никто не хочет быть, но есть вещи, которые не зависят от нас с вами.
Т.к. вы же не пойдете самостоятельно искать того, кто рассылает этого кодировщика.
Казалось бы, 21-й век, высокие технологии и т.п., но не могут вычислить тех, кто вот такие вещи делает.
Вспоминается когда на экране в Москве (точно не помню где) стали транслировать порно. Потом, якобы, нашли человека, который (если я правильно помню) из Челябинска подключился через сервера в Грозном к этому вот монитору.
Правда, ситуация иная в отличии заданной здесь темы, но всё-таки.
-
Junior Member
- Вес репутации
- 45
ну как бы если найдут эти самые исходники, на вашем hdd пусть даже те что лежат в публичном доступе, это причина привлечь вас к ответственности, а если комп чист как попка младенца, за что вас привлекать ?