Представьте, вы приходите на работу, включаете компьютер и… не можете запустить ни одну программу. О чем это может говорить и к кому стоит обращаться в такой ситуации? Рассказал заместитель начальника отдела компьютерных экспертиз управления Госкомитета судебных экспертиз Андрей Крылович.
— Интересные случаи, с которыми чаще всего сталкиваюсь я, — это шифрование каких-то организаций. Хочется понять, как действовал злоумышленник, чтобы зашифровать компанию и потребовать выкуп.Для такой экспертизы, говорит Андрей Крылович, нужно изучать компьютер на базе системных событий, смотреть реестр: что происходило, в какой момент вредитель подключился, каким образом это сделал, что использовал для взлома системы. На компьютере стоит какое-то ПО, и у каждой программе есть своя уязвимость. Для того чтобы взломать ПК, подбирают так называемые инъекции.
— Конкретно я в том числе занимаюсь поиском информации, каким образом он [вредитель] закрепляется, какие следы после себя оставляет.
Чаще всего злоумышленники пользуются VPN. Но, если он перестает работать, могут оставить и реальные координаты.
— В самом начале он [вредитель] занимается разведкой системы — проверяет, куда можно зайти. Далее изучает, с помощью чего может проникнуть в систему. А затем уже устанавливает вредоносные программы.
Чтобы до последнего не было заметно, что с компьютером что-то неладно, вредитель скрывает следы в диспетчере задач, все окна. Рядовой пользователь ничего не заметит. Но, если на работе есть отдел информационной безопасности, специалисты могут отследить проблему. Решения бывают разные: отключить «зараженный» компьютер либо работать со взломанной системой и проверять, что будет происходить дальше.
— Чаще всего ставят вопрос: с помощью какого программного обеспечения взломано? Мы ищем это ПО, способ проникновения в систему. Каким образом? В какое время? Что делал? На компьютере почти всегда остаются следы. Случаи, когда вообще ничего нет, крайне редкие. Так что обычно можно посмотреть часть информации из общего алгоритма взлома — разведка, закрепление, шифрование: каким образом зашифровывал.
Чаще всего то, что преступление совершено, обнаруживают, например, так: главный бухгалтер включает на рабочем месте компьютер, пытается запустить бухгалтерию, а она не запускается. Пытается открыть документы — те тоже не открываются. Начинает смотреть, что произошло, и оказывается, в файлах изменено расширение — первый признак, что компьютер зашифрован.
— Шифруются вообще все популярные расширения файлов: документы, картинки, видео. При шифровании тех же баз данных уже не будет возможности работать с бухгалтерией или другими программами, необходимыми для работы.
Большая часть информации о действиях пользователя хранится на компьютере. То есть удаленный файл можно восстановить и даже посмотреть, в какое время это было сделано.
| Подготовлено по видео БЕЛТА, скриншот видео, фото из открытых интернет-источников.
