Šią studiją atliko tyrėjai iš bendrovių „Google“ bei „Chainalysis“ ir Kalifornijos universiteto San Diege bei Niujorko universiteto Tandono inžinerijos mokyklos. Išanalizavę sumokėtų pinigų srautus ir jų judėjimą, mokslininkai sudarė aiškesnį „ransomware“ virusų ir jų kūrėjų „ekosistemos“ paveikslą.
Pastaruoju metu išpirkos reikalaujantys virusai tapo tikra internetine epidemija. Jų veikimo principas labai paprastas – patekęs į kompiuterį, kenkėjas užšifruoja laikmenose esančius duomenis, o savo kūrėjui išsiunčia kodą–raktą, be kurio šių duomenų neįmanoma „atrakinti“. Nieko neįtariantis vartotojas staiga supranta, kad nebegali pasiekti savo kompiuteryje saugomos informacijos. Ekrane pasirodo pranešimas, kur ir kam reikėtų sumokėti pinigus (skaitmeninės valiutos bitkoinų pavidalu), norint atgauti savo duomenis. Per pastaruosius kelerius metus nuo įvairių šio tipo virusų nukentėjo daugybė vartotojų – daugelis su skausmu prisimena vien šiemet „WannaCry“ bei „Petya“ kenkėjų padarytą žalą.
Tyrimo metu mokslininkai stebėjo 34 skirtingas išpirko reikalaujančių virusų „šeimas“, tarp kurių kelios stambiausios savo kūrėjams ir naudotojams atnešė nemažą pelną. Studijos rezultatai rodo, kad viena tokių kenkėjų „padermė“, pavadinta „Locky“ ir internete pradėjusi plisti 2016-ųjų pradžioje, tapo visos epidemijos pradžios tašku. Iki šiandien „Locky“ virusas bei įvairios jo atmainos palengvino nukentėjusiųjų kišenes daugiau nei septyniais milijonais JAV dolerių.
Esminė „Locky“ savybė, lėmusi tokį sėkmingą jo plitimą – šifravimo bei išpirkos mokėjimo sistemą sukūrę kibernetiniai nusikaltėliai neužsiėmė kenkėjo platinimu, ką atliko kitos šešėlinės grupuotės, daug geriau išmanančios savo amatą. Kiekviena grupė atliko tą vaidmenį, kurį išmanė geriausiai.
„Locky“ kuriantys ir tobulinantys žmonės bei šį virusą platinantys asmenys – tai dvi skirtingos grupės. Kūrėjai fokusavosi tik ties viruso tobulinimu ir jo palaikymu. O kenkėjas plito kitų įsilaužėlių sukurtais apkrėstų kompiuterių tinklais – „botnetais“. Kiekviena komanda darė darbą, kurį išmanė geriausiai“, – sako profesorius Damonas McCoy‘us iš Niujorko universiteto.
Nuo „Locky“ neatsiliko ir kitos kenkėjų rūšys – pavyzdžiui, „Cerber“ bei „CryptXXX“ atvejais naudotos panašios taktikos, todėl šiedu virusai nusikaltėliams sunešė atitinkamai apie 6,9 mln. bei 1,9 mln. dolerių. Svarbu pažymėti, kad šios sumos atspindi, kiek pinigų iš viso sumokėjo nukentėję nuo šių virusų žmonės ir verslai, o kokią dalį šių pinigų gavo virusus sukūrę žmonės – nėra aišku.
Matyt, programišių pajamos buvo neblogos, nes jie kuria vis efektyvesnes virusų apsaugas nuo antivirusinių programų. Įprastai, kai tokia „apsaugininkė“ identifikuoja tam tikrą kenkėją, ji automatiškai pradeda ieškoti panašių programinio kodo elementų – viruso „parašo“, kad surastų ir sunaikintų visus pasislėpusius užkrato elementus. Tačiau modernių „ransomware“ virusų kūrėjai įskiepijo juose gebėjimą keisti pačius save – antivirusinėms programoms pagauti tokius mutuojančius virusus ypač sudėtinga. Štai pavyzdžiui, „Cerber“ išpirkos reikalaujantis kenkėjas per mėnesį sukūrė tūkstančius skirtingų savo mutacijų, todėl sugebėjo apgauti daugumą antivirusinių programų, ieškančių konkretaus viruso „parašo“.