CryptoLocker

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
CryptoLocker
Тип троянская программа, Ransomware
Год появления 5 сентября 2013 года
Описание Symantec

Атака программы-вымогателя CryptoLockerкибератака с использованием программы-вымогателя CryptoLocker, которая произошла в период с 5 сентября 2013 года по конец мая 2014 года. В результате атаки была использована троянская программа, заражающая компьютеры под управлением операционной системы Microsoft Windows[1], и, как предполагается, данная программа была впервые размещена в Интернете 5 сентября 2013 года[2]. Троян распространялся через заражённые вложения электронной почты, заражённые сайты и через существующий на компьютере пользователя ботнет. При заражении компьютера вредоносная программа шифрует определённые типы файлов, хранящихся на локальных и подключённых сетевых дисках, используя криптосистему с открытым ключом RSA, причём закрытый ключ хранится только на серверах управления вредоносной программой. Затем вредоносное ПО отображает сообщение, которое предлагает расшифровать данные, если платёж (через биткойны или предоплаченный кассовый ваучер) производится в указанный срок, и пользователю будет угрожать удаление закрытого ключа в случае истечения срока. Если этот срок не соблюдается, вредоносное ПО предлагает расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносного ПО, за значительно более высокую цену в биткойнах, при этом нет никакой гарантии, что оплата приведёт к расшифровке контента.

Хотя сам CryptoLocker может быть легко удален, затронутые файлы оставались зашифрованными таким образом, который исследователи считали невозможным для расшифровки. Многие считают, что выкуп не должен быть оплачен, но при этом не предлагается никакого способа восстановить файлы; другие утверждают, что выплата выкупа является единственным способом восстановления файлов, которые не были сохранены посредством резервного копирования. Некоторые жертвы утверждали, что выплата выкупа не всегда ведет к расшифровке файлов.

CryptoLocker был изолирован в конце мая 2014 года в результате операции «Tovar»[en], и в это же время также был захвачен ботнет Gameover ZeuS[en], который использовался для распространения вредоносного ПО. Во время операции фирма безопасности, участвующая в этом процессе, получила базу данных секретных ключей, используемых CryptoLocker, которая, в свою очередь, использовалась для создания онлайн-инструмента для восстановления ключей и файлов без выплаты выкупа. Считается, что операторы CryptoLocker успешно получили, в общей сложности, около 3 миллионов долларов от жертв трояна. Другие экземпляры нижеприведённых шифровательных программ-вымогателей использовали имя (или варианты) CryptoLocker, но в остальном они не связаны между собой.

Работа[править | править код]

CryptoLocker обычно распространяется как приложение к якобы безобидному сообщению электронной почты, которое выглядит как отправление из легальной компании[3]. Почтовый файл, прикреплённый к сообщению электронной почты, содержит исполняемый файл с именем файла и значком, замаскированным под файл PDF: используя, таким образом, преимущества поведения Windows по умолчанию для скрытия расширения из имен файлов, чтобы скрыть реальное расширение - .EXE. CryptoLocker также распространялся с использованием трояна и ботнета Gameover ZeuS[4][5][6].

При первом запуске полезная нагрузка трояна устанавливается в папку профиля пользователя и добавляет ключ в реестр, который заставляет его запускаться при запуске компьютера. Затем он пытается связаться с одним из нескольких назначенных командных и управляющих серверов; после подключения сервер генерирует пару 2048 битных ключей RSA и отправляет открытый ключ на заражённый компьютер[1][5]. Сервера могут быть локальными прокси и проходить через другие сервера, часто перемещаться в разных странах, чтобы затруднить их отслеживание[7][8].

Затем полезная нагрузка шифрует файлы на локальных жёстких дисках и подключённых сетевых дисках с открытым ключом и регистрирует каждый файл, зашифровывая их в раздел реестра. Процесс шифрует только файлы данных с определёнными расширениями, включая Microsoft Office, OpenDocument и другие документы, изображения, а также файлы AutoCAD[6]. Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы были зашифрованы, и требует оплаты в размере 400 долларов США или евро через анонимный предоплаченный кассовый ваучер (например, MoneyPak или Ukash[en]) или эквивалентную сумму в биткойне (BTC) в течение 72 или 100 часов (начиная с 2 BTC, цена выкупа была скорректирована операторами до 0,3 BTC, чтобы отразить колебательное значение биткойна)[9], или же закрытый ключ на сервере будет уничтожен, и «никто и никогда не сможет восстановить файлы»[1][5]. Оплата выкупа позволяет пользователю загрузить программу дешифрования, которая предварительно загружена с помощью закрытого ключа пользователя[5]. Некоторые инфицированные жертвы утверждают, что они платили злоумышленникам, но их файлы не были расшифрованы[3].

В ноябре 2013 года операторы CryptoLocker запустили онлайн-службу, которая позволяет пользователям расшифровывать свои файлы без программы CryptoLocker и приобретать ключ дешифрования по истечении крайнего срока; процесс включал в себя загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока служба найдёт соответствие; сайт утверждал, что ключ будет найдён в течение 24 часов. После обнаружения пользователь может заплатить за ключ онлайн, но если 72-часовой крайний срок прошёл, стоимость увеличивалась до 10 биткойнов[10] [11].

Удаление и восстановление файлов[править | править код]

2 июня 2014 года Министерство юстиции США официально объявило, что в предыдущие выходные, в ходе операции «Tovar»[en] — консорциум, в который входят: группа правоохранительных органов (включая ФБР и Интерпол), поставщики программного обеспечения безопасности и несколько университетов — был захвачен ботнет Gameover ZeuS[en], который использовался для распространения CryptoLocker и других вредоносных программ. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богачёву за его предполагаемую причастность к ботнету[4][12][13].

В рамках этой операции нидерландская фирма Fox-IT смогла получить базу данных секретных ключей, используемых CryptoLocker. В августе 2014 года Fox-IT и другая компания, FireEye, представили онлайн-сервис, который позволяет пользователям с заражёнными компьютерами извлекать свой секретный ключ, загружая образец файла, а затем получая инструмент дешифрования[14][15].

Уменьшение последствий[править | править код]

Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может вообще не обнаружить CryptoLocker во время выполнения шифрования или после её завершения, особенно если распространена новая версия, неизвестная защитному программному обеспечению. Если атака подозревается или обнаруживается на ранних стадиях, трояну требуется больше времени для шифрования: немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения лишь ограничит его повреждение данных[16][17]. Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности для блокирования полезной нагрузки CryptoLocker[1][5][6][8][17].

Из-за характера работы CryptoLocker некоторые эксперты неохотно предположили, что выплата выкупа — единственный способ восстановить файлы из CryptoLocker в отсутствие текущих резервных копий (автономные резервные копии, сделанные до того, как произошло заражение, недоступные с заражённых компьютеров, не могут быть атакованы CryptoLocker)[3], из-за длины ключа, используемого CryptoLocker, эксперты считали практически невозможным использовать брутфорс для получения ключа, необходимого для дешифрования файлов без выплаты выкупа; аналогичный троянец 2008 года Gpcode.AK использовал 1024-битный ключ, который считался достаточно длинным, что вычислить ключ его было невозможно, без возможности согласованных и распределённых усилий, или обнаружить брешь, который можно было бы использовать для дешифровки[5][11][18][19]. Аналитик Sophos по безопасности Пол Даклин (англ. Paul Ducklin) предположил, что онлайн-служба дешифрования CryptoLocker включает в себя атаку словаря против собственного шифрования, используя свою базу данных ключей, объясняя требование ждать до 24 часов, чтобы получить результат[11].

Выплаченные выкупы[править | править код]

В декабре 2013 года сайт ZDNet отследил четыре адреса биткойнов, размещённых пользователями, компьютеры которых были заражены CryptoLocker, в попытке оценить затраты операторов. Эти четыре адреса показали динамику в 41 928 BTC с 15 октября по 18 декабря: около $27 млн. долларов США на то время[9].

По опросам исследователей из Кентского университета[en], 41% из тех, кто утверждал, что были жертвами, сказали, что они решили выплатить выкуп: доля выплативших выкуп оказалась намного больше, чем ожидалось. По оценкам Symantec, 3% жертв заплатили и, по оценкам Dell SecureWorks, примерно 0,4% жертв заплатили[20]. После закрытия ботнета, который использовался для распространения CryptoLocker, было подсчитано, что около 1,3% инфицированных заплатили выкуп; многие из них смогли восстановить файлы с помощью резервного копирования, а другие, как полагают, потеряли огромное количество данных. Тем не менее, считается, что операторам трояна удалось получить в общей сложности около 3 миллионов долларов[15].

Клоны[править | править код]

Успех CryptoLocker породил ряд несвязанных и аналогично названных троянских программ-вымогателей (Ransomware), работающих по существу таким же образом [21][22][23][24], включая некоторые, которые называют себя как «CryptoLocker», но, согласно исследователям безопасности, не связаны с оригинальным CryptoLocker[21][25][26].

В сентябре 2014 года клоны, такие как CryptoWall и TorrentLocker (чья полезная нагрузка идентифицирует себя как «CryptoLocker», но названа для использования раздела реестра с именем «BitTorrent Application»)[27], начал распространяться в Австралии. Программа-вымогатель использует заражённые электронные письма, предположительно отправленные правительственными ведомствами (например, почта Австралии, чтобы указать неудачную доставку посылок) в качестве полезной нагрузки. Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут следить за ссылками, этот вариант был разработан, чтобы потребовать от пользователей посещения веб-страницы и ввода кода CAPTCHA до фактической загрузки. Symantec определил, что эти новые варианты, которые он идентифицировал как «CryptoLocker.F», не были связаны с оригиналом[24][26][28][29].

Примечания[править | править код]

  1. 1 2 3 4 Dan Goodin. You’re infected — if you want to see your data again, pay us $300 in Bitcoins. Ransomware comes of age with unbreakable crypto, anonymous payments (англ.). Ars Technica (18 October 2013). Дата обращения 1 июня 2017.
  2. Leo Kelion. Cryptolocker ransomware has 'infected about 250,000 PCs' (англ.). BBC (24 December 2013). Дата обращения 1 июня 2017.
  3. 1 2 3 Ryan Naraine. Cryptolocker Infections on the Rise; US-CERT Issues Warning (англ.). SecurityWeek (19 November 2013). Дата обращения 1 июня 2017.
  4. 1 2 Brian Krebs. ‘Operation Tovar’ Targets ‘Gameover’ ZeuS Botnet, CryptoLocker Scourge (англ.). Krebs on Security (2 June 2014). Дата обращения 1 июня 2017.
  5. 1 2 3 4 5 6 Lawrence Abrams. CryptoLocker Ransomware Information Guide and FAQ (англ.). Bleeping Computer (14 October 2013). Дата обращения 1 июня 2017.
  6. 1 2 3 Jonathan Hassell. Cryptolocker: How to avoid getting infected and what to do if you are (англ.). Computerworld (25 October 2013). Дата обращения 1 июня 2017.
  7. Paul Ducklin. Destructive malware “CryptoLocker” on the loose – here’s what to do (англ.). Naked Security (12 October 2013). Дата обращения 1 июня 2017.
  8. 1 2 Donna Ferguson. CryptoLocker attacks that hold your computer to ransom (англ.). The Guardian (19 October 2013). Дата обращения 1 июня 2017.
  9. 1 2 Violet Blue. CryptoLocker’s crimewave: A trail of millions in laundered Bitcoin (англ.). ZDNet (22 December 2013). Дата обращения 1 июня 2017.
  10. Ms. Smith. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service (англ.). Network World (4 November 2013). Дата обращения 1 июня 2017.
  11. 1 2 3 Lucian Constantin. CryptoLocker creators try to extort even more money from victims with new service (англ.). PC World (4 November 2013). Дата обращения 1 июня 2017.
  12. Darlene Storm. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet (англ.). Computerworld (2 June 2014). Дата обращения 1 июня 2017.
  13. U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator (англ.). Министерство юстиции США (2 June 2014). Дата обращения 1 июня 2017.
  14. Brian Krebs. New Site Recovers Files Locked by Cryptolocker Ransomware (англ.). Krebs on Security (6 August 2014). Дата обращения 1 июня 2017.
  15. 1 2 Mark Ward. Cryptolocker victims to get files back for free (англ.). BBC (6 August 2014). Дата обращения 1 июня 2017.
  16. Joshua Cannell. Cryptolocker Ransomware: What You Need To Know (англ.). Malwarebytes (8 October 2013). Дата обращения 1 июня 2017.
  17. 1 2 John Leyden. Fiendish CryptoLocker ransomware: Whatever you do, don’t PAY (англ.). The Register (18 October 2013). Дата обращения 1 июня 2017.
  18. Ryan Naraine. Blackmail ransomware returns with 1024-bit encryption key (англ.). ZDNet (6 June 2008). Дата обращения 1 июня 2017.
  19. Robert Lemos. Ransomware resisting crypto cracking efforts (англ.). SecurityFocus (13 June 2008). Дата обращения 1 июня 2017.
  20. Julio Hernandez-Castro, Eerke Boiten и Magali Barnoux. Results of online survey by Interdisciplinary Research Centre in Cyber Security at the University of Kent in Canterbury (англ.) (недоступная ссылка). Кентский университет. Дата обращения 1 июня 2017. Архивировано 24 августа 2017 года.
  21. 1 2 Abigail Pichel. New CryptoLocker Spreads via Removable Drives (англ.). Trend Micro (25 December 2013). Дата обращения 1 июня 2017.
  22. Jeremy Kirk. CryptoDefense ransomware leaves decryption key accessible (англ.). Computerworld (1 April 2014). Дата обращения 1 июня 2017.
  23. Iain Thomson. Your files held hostage by CryptoDefense? Don’t pay up! The decryption key is on your hard drive (англ.). The Register (3 April 2014). Дата обращения 1 июня 2017.
  24. 1 2 Patrick Budmar. Australia specifically targeted by Cryptolocker: Symantec. Security vendor finds the latest variant of the cryptomalware (англ.). ARNnet (3 October 2014). Дата обращения 1 июня 2017.
  25. Robert Lipovsky. Cryptolocker 2.0 – new version, or copycat? (англ.). WeLiveSecurity (19 December 2013). Дата обращения 1 июня 2017.
  26. 1 2 Australians increasingly hit by global tide of cryptomalware (англ.). Symantec (26 September 2014). Дата обращения 1 июня 2017.
  27. Marc-Etienne M. Léveillé. TorrentLocker now targets UK with Royal Mail phishing (англ.). WeLiveSecurity (4 September 2014). Дата обращения 1 июня 2017.
  28. Adam Turner. Scammers use Australia Post to mask email attacks (англ.). The Sydney Morning Herald (15 October 2014). Дата обращения 1 июня 2017.
  29. Steve Ragan. Ransomware attack knocks TV station off air (англ.). CSO Online (7 October 2014). Дата обращения 1 июня 2017.

Ссылки[править | править код]