- Интересные случаи, с которыми чаще всего сталкиваюсь я, - это шифрование каких-то организаций. Хочется понять, как действовал злоумышленник, чтобы зашифровать компанию и потребовать выкуп.
Для такой экспертизы, говорит Андрей Крылович, нужно изучать компьютер на базе системных событий, смотреть реестр: что происходило, в какой момент вредитель подключился, каким образом это сделал, что использовал для взлома системы. На компьютере стоит какое-то ПО, и у каждой программе есть своя уязвимость. Для того чтобы взломать ПК, подбирают так называемые инъекции.
- Конкретно я в том числе занимаюсь поиском информации, каким образом он [вредитель] закрепляется, какие следы после себя оставляет.
Чаще всего злоумышленники пользуются VPN. Но, если он перестает работать, могут оставить и реальные координаты.
- В самом начале он [вредитель] занимается разведкой системы - проверяет, куда можно зайти. Далее изучает, с помощью чего может проникнуть в систему. А затем уже устанавливает вредоносные программы.
Чтобы до последнего не было заметно, что с компьютером что-то неладно, вредитель скрывает следы в диспетчере задач, все окна. Рядовой пользователь ничего не заметит. Но, если на работе есть отдел информационной безопасности, специалисты могут отследить проблему. Решения бывают разные: отключить "зараженный" компьютер либо работать со взломанной системой и проверять, что будет происходить дальше.
- Чаще всего ставят вопрос: с помощью какого программного обеспечения взломано? Мы ищем это ПО, способ проникновения в систему. Каким образом? В какое время? Что делал? На компьютере почти всегда остаются следы. Случаи, когда вообще ничего нет, крайне редкие. Так что обычно можно посмотреть часть информации из общего алгоритма взлома - разведка, закрепление, шифрование: каким образом зашифровывал.
Чаще всего то, что преступление совершено, обнаруживают, например, так: главный бухгалтер включает на рабочем месте компьютер, пытается запустить бухгалтерию, а она не запускается. Пытается открыть документы - те тоже не открываются. Начинает смотреть, что произошло, и оказывается, в файлах изменено расширение - первый признак, что компьютер зашифрован.
- Шифруются вообще все популярные расширения файлов: документы, картинки, видео. При шифровании тех же баз данных уже не будет возможности работать с бухгалтерией или другими программами, необходимыми для работы.
Большая часть информации о действиях пользователя хранится на компьютере. То есть удаленный файл можно восстановить и даже посмотреть, в какое время это было сделано.
| Подготовлено по видео БЕЛТА, скриншот видео, фото из открытых интернет-источников.
Читайте также:
"Вроде каждый день слышу о мошенниках". Рассказ белоруса, который неудачно купил обувь
Как защитить ребенка от интернет-преступлений? Понятная методичка для родителей
За год только в Минске украли больше Br5 млн. Как понять, что вам звонит мошенник?