Русская Википедия:CryptoLocker

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Шаблон:Вредоносная программа

Атака программы-вымогателя CryptoLocker — кибератака с использованием программы-вымогателя CryptoLocker, которая произошла в период с 5 сентября 2013 года по конец мая 2014 года. В результате атаки была использована троянская программа, заражающая компьютеры под управлением операционной системы Microsoft Windows[1], и, как предполагается, данная программа была впервые размещена в Интернете 5 сентября 2013 года[2]. Троян распространялся через заражённые вложения электронной почты, заражённые сайты и через существующий на компьютере пользователя ботнет. При заражении компьютера вредоносная программа шифрует определённые типы файлов, хранящихся на локальных и подключённых сетевых дисках, используя криптосистему с открытым ключом RSA, причём закрытый ключ хранится только на серверах управления вредоносной программой. Затем вредоносное ПО отображает сообщение, которое предлагает расшифровать данные, если платёж (через биткойны или предоплаченный кассовый ваучер) производится в указанный срок, и пользователю будет угрожать удаление закрытого ключа в случае истечения срока. Если этот срок не соблюдается, вредоносное ПО предлагает расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносного ПО, за значительно более высокую цену в биткойнах, при этом нет никакой гарантии, что оплата приведёт к расшифровке контента.

Хотя сам CryptoLocker может быть легко удален, затронутые файлы оставались зашифрованными таким образом, который исследователи считали невозможным для расшифровки. Многие считают, что выкуп не должен быть оплачен, но при этом не предлагается никакого способа восстановить файлы; другие утверждают, что выплата выкупа является единственным способом восстановления файлов, которые не были сохранены посредством резервного копирования. Некоторые жертвы утверждали, что выплата выкупа не всегда ведет к расшифровке файлов.

CryptoLocker был изолирован в конце мая 2014 года в результате Шаблон:Нп5, и в это же время также был захвачен ботнет Gameover ZeuS, который использовался для распространения вредоносного ПО. Во время операции фирма безопасности, участвующая в этом процессе, получила базу данных закрытых ключей, используемых CryptoLocker, которая, в свою очередь, использовалась для создания онлайн-инструмента для восстановления ключей и файлов без выплаты выкупа. Считается, что операторы CryptoLocker успешно получили, в общей сложности, около 3 миллионов долларов от жертв трояна. Другие экземпляры нижеприведённых шифровательных программ-вымогателей использовали имя (или варианты) CryptoLocker, но в остальном они не связаны между собой.

Работа

CryptoLocker обычно распространяется как приложение к якобы безобидному сообщению электронной почты, которое выглядит как отправление из легальной компании[3]. Почтовый файл, прикреплённый к сообщению электронной почты, содержит исполняемый файл с именем файла и значком, замаскированным под файл PDF: используя, таким образом, преимущества поведения Windows по умолчанию для скрытия расширения из имен файлов, чтобы скрыть реальное расширение — .EXE. CryptoLocker также распространялся с использованием трояна и ботнета Gameover ZeuS[4][5][6].

При первом запуске полезная нагрузка трояна устанавливается в папку профиля пользователя и добавляет ключ в реестр, который заставляет его запускаться при запуске компьютера. Затем он пытается связаться с одним из нескольких назначенных командных и управляющих серверов; после подключения сервер генерирует пару 2048 битных ключей RSA и отправляет открытый ключ на заражённый компьютер[1][5]. Сервера могут быть локальными прокси и проходить через другие сервера, часто перемещаться в разных странах, чтобы затруднить их отслеживание[7][8].

Затем полезная нагрузка шифрует файлы на локальных жёстких дисках и подключённых сетевых дисках с открытым ключом и регистрирует каждый файл, зашифровывая их в раздел реестра. Процесс шифрует только файлы данных с определёнными расширениями, включая Microsoft Office, OpenDocument и другие документы, изображения, а также файлы AutoCAD[6]. Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы были зашифрованы, и требует оплаты в размере 400 долларов США или евро через анонимный предоплаченный кассовый ваучер (например, MoneyPak или Шаблон:Нп5) или эквивалентную сумму в биткойне (BTC) в течение 72 или 100 часов (начиная с 2 BTC, цена выкупа была скорректирована операторами до 0,3 BTC, чтобы отразить колебательное значение биткойна)[9], или же закрытый ключ на сервере будет уничтожен, и «никто и никогда не сможет восстановить файлы»[1][5]. Оплата выкупа позволяет пользователю загрузить программу дешифрования, которая предварительно загружена с помощью закрытого ключа пользователя[5]. Некоторые инфицированные жертвы утверждают, что они платили злоумышленникам, но их файлы не были расшифрованы[3].

В ноябре 2013 года операторы CryptoLocker запустили онлайн-службу, которая позволяет пользователям расшифровывать свои файлы без программы CryptoLocker и приобретать ключ дешифрования по истечении крайнего срока; процесс включал в себя загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока служба найдёт соответствие; сайт утверждал, что ключ будет найдён в течение 24 часов. После обнаружения пользователь может заплатить за ключ онлайн, но если 72-часовой крайний срок прошёл, стоимость увеличивалась до 10 биткойнов[10][11].

Удаление и восстановление файлов

2 июня 2014 года Министерство юстиции США официально объявило, что в предыдущие выходные, в ходе Шаблон:Нп5 — консорциум, в который входят: группа правоохранительных органов (включая ФБР и Интерпол), поставщики программного обеспечения безопасности и несколько университетов — был захвачен ботнет Gameover ZeuS, который использовался для распространения CryptoLocker и других вредоносных программ. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богачёву за его предполагаемую причастность к ботнету[4][12][13].

В рамках этой операции нидерландская фирма Fox-IT смогла получить базу данных секретных ключей, используемых CryptoLocker. В августе 2014 года Fox-IT и другая компания, FireEye, представили онлайн-сервис, который позволяет пользователям с заражёнными компьютерами извлекать свой секретный ключ, загружая образец файла, а затем получая инструмент дешифрования[14][15].

Уменьшение последствий

Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может вообще не обнаружить CryptoLocker во время выполнения шифрования или после её завершения, особенно если распространена новая версия, неизвестная защитному программному обеспечению. Если атака подозревается или обнаруживается на ранних стадиях, трояну требуется больше времени для шифрования: немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения лишь ограничит его повреждение данных[16][17]. Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности для блокирования полезной нагрузки CryptoLocker[1][5][6][8][17].

Из-за характера работы CryptoLocker некоторые эксперты неохотно предположили, что выплата выкупа — единственный способ восстановить файлы из CryptoLocker в отсутствие текущих резервных копий (автономные резервные копии, сделанные до того, как произошло заражение, недоступные с заражённых компьютеров, не могут быть атакованы CryptoLocker)[3], из-за длины ключа, используемого CryptoLocker, эксперты считали практически невозможным использовать брутфорс для получения ключа, необходимого для дешифрования файлов без выплаты выкупа; аналогичный троянец 2008 года Gpcode.AK использовал 1024-битный ключ, который считался достаточно длинным, что вычислить ключ его было невозможно, без возможности согласованных и распределённых усилий, или обнаружить брешь, который можно было бы использовать для дешифровки[5][11][18][19]. Аналитик Sophos по безопасности Пол Даклин (Шаблон:Lang-en) предположил, что онлайн-служба дешифрования CryptoLocker включает в себя атаку словаря против собственного шифрования, используя свою базу данных ключей, объясняя требование ждать до 24 часов, чтобы получить результат[11].

Выплаченные выкупы

В декабре 2013 года сайт ZDNet отследил четыре адреса биткойнов, размещённых пользователями, компьютеры которых были заражены CryptoLocker, в попытке оценить затраты операторов. Эти четыре адреса показали динамику в 41 928 BTC с 15 октября по 18 декабря: около $27 млн. долларов США на то время[9].

По опросам исследователей из Шаблон:Нп5, 41 % из тех, кто утверждал, что были жертвами, сказали, что они решили выплатить выкуп: доля выплативших выкуп оказалась намного больше, чем ожидалось. По оценкам Symantec, 3 % жертв заплатили и, по оценкам Dell SecureWorks, примерно 0,4 % жертв заплатили[20]. После закрытия ботнета, который использовался для распространения CryptoLocker, было подсчитано, что около 1,3 % инфицированных заплатили выкуп; многие из них смогли восстановить файлы с помощью резервного копирования, а другие, как полагают, потеряли огромное количество данных. Тем не менее, считается, что операторам трояна удалось получить в общей сложности около 3 миллионов долларов[15].

Клоны

Успех CryptoLocker породил ряд несвязанных и аналогично названных троянских программ-вымогателей (Ransomware), работающих по существу таким же образом[21][22][23][24], включая некоторые, которые называют себя как «CryptoLocker», но, согласно исследователям безопасности, не связаны с оригинальным CryptoLocker[21][25][26].

В сентябре 2014 года клоны, такие как CryptoWall и TorrentLocker (чья полезная нагрузка идентифицирует себя как «CryptoLocker», но названа для использования раздела реестра с именем «BitTorrent Application»)[27], начал распространяться в Австралии. Программа-вымогатель использует заражённые электронные письма, предположительно отправленные правительственными ведомствами (например, почта Австралии, чтобы указать неудачную доставку посылок) в качестве полезной нагрузки. Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут следить за ссылками, этот вариант был разработан, чтобы потребовать от пользователей посещения веб-страницы и ввода кода CAPTCHA до фактической загрузки. Symantec определил, что эти новые варианты, которые он идентифицировал как «CryptoLocker.F», не были связаны с оригиналом[24][26][28][29].

Примечания

Шаблон:Примечания

Шаблон:Хакерские атаки 2010-х

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. 1,0 1,1 1,2 1,3 Шаблон:Cite web
  2. Шаблон:Cite web
  3. 3,0 3,1 3,2 Шаблон:Cite web
  4. 4,0 4,1 Шаблон:Cite web
  5. 5,0 5,1 5,2 5,3 5,4 5,5 Шаблон:Cite web
  6. 6,0 6,1 6,2 Шаблон:Cite web
  7. Шаблон:Cite web
  8. 8,0 8,1 Шаблон:Cite web
  9. 9,0 9,1 Шаблон:Cite web
  10. Шаблон:Cite web
  11. 11,0 11,1 11,2 Шаблон:Cite web
  12. Шаблон:Cite web
  13. Шаблон:Cite web
  14. Шаблон:Cite web
  15. 15,0 15,1 Шаблон:Cite web
  16. Шаблон:Cite web
  17. 17,0 17,1 Шаблон:Cite web
  18. Шаблон:Cite web
  19. Шаблон:Cite web
  20. Шаблон:Cite web
  21. 21,0 21,1 Шаблон:Cite web
  22. Шаблон:Cite web
  23. Шаблон:Cite web
  24. 24,0 24,1 Шаблон:Cite web
  25. Шаблон:Cite web
  26. 26,0 26,1 Шаблон:Cite web
  27. Шаблон:Cite web
  28. Шаблон:Cite web
  29. Шаблон:Cite web
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:CryptoLocker&oldid=8622861