В современном мире кибербезопасности программы-вымогатели, или ransomware, остаются одной из самых серьёзных угроз информационным системам. Они идут в ногу с развитием технологий и зачастую демонстрируют высокую сложность и изощрённость. Однако существует интересный феномен, который не только представляет собой любопытный факт для специалистов по безопасности, но и может служить необычной превентивной мерой в защите от некоторых видов вредоносного ПО. Речь идёт о том, что многие программные вымогатели прекращают своё действие или вовсе не запускаются при обнаружении в системе компьютера русской клавиатурной раскладки или других языков, связанных со странами бывшего СССР. Корни этой особенности уходит в политику и практику отдельных криминальных группировок, которые занимаются разработкой и распространением вредоносных программ, особенно в странах СНГ.
Программы с вредоносным кодом, например, такие как DarkSide и REvil (ранее известная как GandCrab), внедрили в свои продукты специальную проверку системных настроек на наличие языков и раскладок клавиатур стран постсоветского пространства и отказ запуска в случае их обнаружения. Данный механизм позволяет защищать территории с преимущественно русскоязычным населением от поражения их же собственными же киберпреступниками. Идея проста: криминальные организации фактически не хотят создавать жертв среди населения и организаций собственной страны, таким образом сводя к минимуму риски быть замеченными и привлеченными к ответственности отечественными правоохранительными органами. Особенностью российской правовой системы является тот факт, что дела о компьютерных преступлениях, совершённые в пределах страны, обычно не возбуждаются без официальных жалоб от пострадавших. Это создаёт своеобразную «зону нерушимости» для отечественных хакеров, при условии, что их действия не затрагивают местных пользователей.
Отсюда следует вывод, что установка на компьютер русской клавиатуры, а иногда и языка системы, способна запрограммированным ограничением вредоносных программ определить принадлежность пользователя к «защищённой» зоне и приостановить или так и не начать выполнение вредоносного кода. Это своего рода «автоматический иммунитет» или «вирусная вакцина», не предлагающая стопроцентную защиту, но учитывающая реальные геополитические обстоятельства и особенности криминальной среду.С технической стороны, подобная проверка реализуется через аналитику системных реестров, настроек языковой локализации и используемых раскладок. Вредоносное ПО при запуске анализирует эти параметры и в случае выявления русского или другого языка из списка запрещённых — прекращает свою деятельность. При этом речь идёт не только о языковом интерфейсе, но и о виртуальных клавиатурах, которые устанавливаются на компьютере.
Некоторые эксперты советуют сознательно добавить языки стран СНГ в систему, чтобы использовать данный факт как дополнительный щит, хотя и с оговоркой, что это далеко не панацея и не защитит от всех типов атак.Некоторые специалисты также разработали специальные скрипты для добавления в системный реестр Windows записей, имитирующих наличие русской клавиатурной раскладки, без необходимости фактической загрузки языковых пакетов, что облегчает процесс. Это может быть особенно актуально для организаций, стремящихся минимизировать риски заражения от программ российских или союзных им территорий злоумышленников. Однако стоит отметить, что не все версии вредоносного ПО продолжают использовать подобные проверки. Например, одна из последних версий DarkSide, исследованная компанией Mandiant, уже не осуществляла проверку языковых настроек, что свидетельствует о том, что данный метод защиты постепенно теряет эффективность.
Кроме того, существует определённый риск, связанный с постоянным появлением новых модификаций программ-вымогателей и иных вредоносных инструментов, которые могут полностью игнорировать любые подобные проверки, либо применить более точные средства определения географического расположения пользователя, например, по IP-адресу, таймзоне, локализации иных системных элементов или даже по поведению пользователя. Тем не менее, метод добавления русской клавиатуры по-прежнему является одной из доступных бесплатных мер защиты, которая может в краткосрочной перспективе вызывать определённые трудности у операторов вредоносных группировок.Важно понимать, что эффективная защита от программ-вымогателей требует комплексного подхода. Установка русской клавиатуры — лишь элемент большой цепочки мер, включающей регулярное обновление программного обеспечения, использование надежных антивирусных решений, ограничение прав пользователей и внедрение политик кибербезопасности. Помимо технических мер, крайне важно формировать у сотрудников сознание осторожности при работе с электронной почтой, ссылками и файлами из неизвестных источников, поскольку зачастую именно человеческий фактор становится слабым звеном.
![Debugging–-The Nine Indispensable Rules (2002) [pdf]](/images/1434006F-6CB0-4020-B492-41AF3B487FF8)
![DevSecOps: Metrics, Gauges, Counters and Ratios (2016) [video]](/images/FCD087BE-C044-47B4-8849-FD00C4693E22)
