CryptoLocker (CryptoLocker)

Перейти к навигации Перейти к поиску
CryptoLocker
Тип троянская программа, Ransomware
Год появления 5 сентября 2013 года
Описание Symantec

Атака программы-вымогателя CryptoLocker — кибератака с использованием программы-вымогателя CryptoLocker, которая произошла в период с 5 сентября 2013 года по конец мая 2014 года. В результате атаки была использована троянская программа, заражающая компьютеры под управлением операционной системы Microsoft Windows[1], и, как предполагается, данная программа была впервые размещена в Интернете 5 сентября 2013 года[2]. Троян распространялся через заражённые вложения электронной почты, заражённые сайты и через существующий на компьютере пользователя ботнет. При заражении компьютера вредоносная программа шифрует определённые типы файлов, хранящихся на локальных и подключённых сетевых дисках, используя криптосистему с открытым ключом RSA, причём закрытый ключ хранится только на серверах управления вредоносной программой. Затем вредоносное ПО отображает сообщение, которое предлагает расшифровать данные, если платёж (через биткойны или предоплаченный кассовый ваучер) производится в указанный срок, и пользователю будет угрожать удаление закрытого ключа в случае истечения срока. Если этот срок не соблюдается, вредоносное ПО предлагает расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносного ПО, за значительно более высокую цену в биткойнах, при этом нет никакой гарантии, что оплата приведёт к расшифровке контента.

Хотя сам CryptoLocker может быть легко удален, затронутые файлы оставались зашифрованными таким образом, который исследователи считали невозможным для расшифровки. Многие считают, что выкуп не должен быть оплачен, но при этом не предлагается никакого способа восстановить файлы; другие утверждают, что выплата выкупа является единственным способом восстановления файлов, которые не были сохранены посредством резервного копирования. Некоторые жертвы утверждали, что выплата выкупа не всегда ведет к расшифровке файлов.

CryptoLocker был изолирован в конце мая 2014 года в результате операции «Tovar»[англ.], и в это же время также был захвачен ботнет Gameover ZeuS, который использовался для распространения вредоносного ПО. Во время операции фирма безопасности, участвующая в этом процессе, получила базу данных закрытых ключей, используемых CryptoLocker, которая, в свою очередь, использовалась для создания онлайн-инструмента для восстановления ключей и файлов без выплаты выкупа. Считается, что операторы CryptoLocker успешно получили, в общей сложности, около 3 миллионов долларов от жертв трояна. Другие экземпляры нижеприведённых шифровательных программ-вымогателей использовали имя (или варианты) CryptoLocker, но в остальном они не связаны между собой.

CryptoLocker обычно распространяется как приложение к якобы безобидному сообщению электронной почты, которое выглядит как отправление из легальной компании[3]. Почтовый файл, прикреплённый к сообщению электронной почты, содержит исполняемый файл с именем файла и значком, замаскированным под файл PDF: используя, таким образом, преимущества поведения Windows по умолчанию для скрытия расширения из имен файлов, чтобы скрыть реальное расширение — .EXE. CryptoLocker также распространялся с использованием трояна и ботнета Gameover ZeuS[4][5][6].

При первом запуске полезная нагрузка трояна устанавливается в папку профиля пользователя и добавляет ключ в реестр, который заставляет его запускаться при запуске компьютера. Затем он пытается связаться с одним из нескольких назначенных командных и управляющих серверов; после подключения сервер генерирует пару 2048 битных ключей RSA и отправляет открытый ключ на заражённый компьютер[1][5]. Сервера могут быть локальными прокси и проходить через другие сервера, часто перемещаться в разных странах, чтобы затруднить их отслеживание[7][8].

Затем полезная нагрузка шифрует файлы на локальных жёстких дисках и подключённых сетевых дисках с открытым ключом и регистрирует каждый файл, зашифровывая их в раздел реестра. Процесс шифрует только файлы данных с определёнными расширениями, включая Microsoft Office, OpenDocument и другие документы, изображения, а также файлы AutoCAD[6]. Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы были зашифрованы, и требует оплаты в размере 400 долларов США или евро через анонимный предоплаченный кассовый ваучер (например, MoneyPak или Ukash[англ.]) или эквивалентную сумму в биткойне (BTC) в течение 72 или 100 часов (начиная с 2 BTC, цена выкупа была скорректирована операторами до 0,3 BTC, чтобы отразить колебательное значение биткойна)[9], или же закрытый ключ на сервере будет уничтожен, и «никто и никогда не сможет восстановить файлы»[1][5]. Оплата выкупа позволяет пользователю загрузить программу дешифрования, которая предварительно загружена с помощью закрытого ключа пользователя[5]. Некоторые инфицированные жертвы утверждают, что они платили злоумышленникам, но их файлы не были расшифрованы[3].

В ноябре 2013 года операторы CryptoLocker запустили онлайн-службу, которая позволяет пользователям расшифровывать свои файлы без программы CryptoLocker и приобретать ключ дешифрования по истечении крайнего срока; процесс включал в себя загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока служба найдёт соответствие; сайт утверждал, что ключ будет найдён в течение 24 часов. После обнаружения пользователь может заплатить за ключ онлайн, но если 72-часовой крайний срок прошёл, стоимость увеличивалась до 10 биткойнов[10][11].

Удаление и восстановление файлов

[править | править код]

2 июня 2014 года Министерство юстиции США официально объявило, что в предыдущие выходные, в ходе операции «Tovar»[англ.] — консорциум, в который входят: группа правоохранительных органов (включая ФБР и Интерпол), поставщики программного обеспечения безопасности и несколько университетов — был захвачен ботнет Gameover ZeuS, который использовался для распространения CryptoLocker и других вредоносных программ. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богачёву за его предполагаемую причастность к ботнету[4][12][13].

В рамках этой операции нидерландская фирма Fox-IT смогла получить базу данных секретных ключей, используемых CryptoLocker. В августе 2014 года Fox-IT и другая компания, FireEye, представили онлайн-сервис, который позволяет пользователям с заражёнными компьютерами извлекать свой секретный ключ, загружая образец файла, а затем получая инструмент дешифрования[14][15].

Уменьшение последствий

[править | править код]

Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может вообще не обнаружить CryptoLocker во время выполнения шифрования или после её завершения, особенно если распространена новая версия, неизвестная защитному программному обеспечению. Если атака подозревается или обнаруживается на ранних стадиях, трояну требуется больше времени для шифрования: немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения лишь ограничит его повреждение данных[16][17]. Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности для блокирования полезной нагрузки CryptoLocker[1][5][6][8][17].

Из-за характера работы CryptoLocker некоторые эксперты неохотно предположили, что выплата выкупа — единственный способ восстановить файлы из CryptoLocker в отсутствие текущих резервных копий (автономные резервные копии, сделанные до того, как произошло заражение, недоступные с заражённых компьютеров, не могут быть атакованы CryptoLocker)[3], из-за длины ключа, используемого CryptoLocker, эксперты считали практически невозможным использовать брутфорс для получения ключа, необходимого для дешифрования файлов без выплаты выкупа; аналогичный троянец 2008 года Gpcode.AK использовал 1024-битный ключ, который считался достаточно длинным, что вычислить ключ его было невозможно, без возможности согласованных и распределённых усилий, или обнаружить брешь, который можно было бы использовать для дешифровки[5][11][18][19]. Аналитик Sophos по безопасности Пол Даклин (англ. Paul Ducklin) предположил, что онлайн-служба дешифрования CryptoLocker включает в себя атаку словаря против собственного шифрования, используя свою базу данных ключей, объясняя требование ждать до 24 часов, чтобы получить результат[11].

Выплаченные выкупы

[править | править код]

В декабре 2013 года сайт ZDNet отследил четыре адреса биткойнов, размещённых пользователями, компьютеры которых были заражены CryptoLocker, в попытке оценить затраты операторов. Эти четыре адреса показали динамику в 41 928 BTC с 15 октября по 18 декабря: около 27 млн $ долларов США на то время[9].

По опросам исследователей из Кентского университета[англ.], 41 % из тех, кто утверждал, что были жертвами, сказали, что они решили выплатить выкуп: доля выплативших выкуп оказалась намного больше, чем ожидалось. По оценкам Symantec, 3 % жертв заплатили и, по оценкам Dell SecureWorks, примерно 0,4 % жертв заплатили[20]. После закрытия ботнета, который использовался для распространения CryptoLocker, было подсчитано, что около 1,3 % инфицированных заплатили выкуп; многие из них смогли восстановить файлы с помощью резервного копирования, а другие, как полагают, потеряли огромное количество данных. Тем не менее, считается, что операторам трояна удалось получить в общей сложности около 3 миллионов долларов[15].

Успех CryptoLocker породил ряд несвязанных и аналогично названных троянских программ-вымогателей (Ransomware), работающих по существу таким же образом[21][22][23][24], включая некоторые, которые называют себя как «CryptoLocker», но, согласно исследователям безопасности, не связаны с оригинальным CryptoLocker[21][25][26].

В сентябре 2014 года клоны, такие как CryptoWall и TorrentLocker (чья полезная нагрузка идентифицирует себя как «CryptoLocker», но названа для использования раздела реестра с именем «BitTorrent Application»)[27], начал распространяться в Австралии. Программа-вымогатель использует заражённые электронные письма, предположительно отправленные правительственными ведомствами (например, почта Австралии, чтобы указать неудачную доставку посылок) в качестве полезной нагрузки. Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут следить за ссылками, этот вариант был разработан, чтобы потребовать от пользователей посещения веб-страницы и ввода кода CAPTCHA до фактической загрузки. Symantec определил, что эти новые варианты, которые он идентифицировал как «CryptoLocker.F», не были связаны с оригиналом[24][26][28][29].

Примечания

[править | править код]
  1. 1 2 3 4 Dan Goodin. You’re infected — if you want to see your data again, pay us $300 in Bitcoins. Ransomware comes of age with unbreakable crypto, anonymous payments (англ.). Ars Technica (18 октября 2013). Дата обращения: 1 июня 2017. Архивировано 23 октября 2013 года.
  2. Leo Kelion. Cryptolocker ransomware has 'infected about 250,000 PCs' (англ.). BBC (24 декабря 2013). Дата обращения: 1 июня 2017. Архивировано 22 марта 2019 года.
  3. 1 2 3 Ryan Naraine. Cryptolocker Infections on the Rise; US-CERT Issues Warning (англ.). SecurityWeek (19 ноября 2013). Дата обращения: 1 июня 2017. Архивировано 10 июня 2016 года.
  4. 1 2 Brian Krebs. ‘Operation Tovar’ Targets ‘Gameover’ ZeuS Botnet, CryptoLocker Scourge (англ.). Krebs on Security (2 июня 2014). Дата обращения: 1 июня 2017. Архивировано 4 июня 2014 года.
  5. 1 2 3 4 5 6 Lawrence Abrams. CryptoLocker Ransomware Information Guide and FAQ (англ.). Bleeping Computer (14 октября 2013). Дата обращения: 1 июня 2017. Архивировано 31 мая 2017 года.
  6. 1 2 3 Jonathan Hassell. Cryptolocker: How to avoid getting infected and what to do if you are (англ.). Computerworld (25 октября 2013). Дата обращения: 1 июня 2017. Архивировано 11 июня 2017 года.
  7. Paul Ducklin. Destructive malware “CryptoLocker” on the loose – here’s what to do (англ.). Naked Security (12 октября 2013). Дата обращения: 1 июня 2017. Архивировано 22 октября 2013 года.
  8. 1 2 Donna Ferguson. CryptoLocker attacks that hold your computer to ransom (англ.). The Guardian (19 октября 2013). Дата обращения: 1 июня 2017. Архивировано 5 марта 2017 года.
  9. 1 2 Violet Blue. CryptoLocker’s crimewave: A trail of millions in laundered Bitcoin (англ.). ZDNet (22 декабря 2013). Дата обращения: 1 июня 2017. Архивировано 17 мая 2017 года.
  10. Ms. Smith. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service (англ.). Network World (4 ноября 2013). Дата обращения: 1 июня 2017. Архивировано 15 апреля 2017 года.
  11. 1 2 3 Lucian Constantin. CryptoLocker creators try to extort even more money from victims with new service (англ.). PC World (4 ноября 2013). Дата обращения: 1 июня 2017. Архивировано 30 апреля 2017 года.
  12. Darlene Storm. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet (англ.). Computerworld (2 июня 2014). Дата обращения: 1 июня 2017. Архивировано 18 мая 2017 года.
  13. U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator (англ.). Министерство юстиции США (2 июня 2014). Дата обращения: 1 июня 2017. Архивировано 1 июня 2017 года.
  14. Brian Krebs. New Site Recovers Files Locked by Cryptolocker Ransomware (англ.). Krebs on Security (6 августа 2014). Дата обращения: 1 июня 2017. Архивировано 7 июня 2017 года.
  15. 1 2 Mark Ward. Cryptolocker victims to get files back for free (англ.). BBC (6 августа 2014). Дата обращения: 1 июня 2017. Архивировано 23 мая 2017 года.
  16. Joshua Cannell. Cryptolocker Ransomware: What You Need To Know (англ.). Malwarebytes (8 октября 2013). Дата обращения: 1 июня 2017. Архивировано 30 сентября 2021 года.
  17. 1 2 John Leyden. Fiendish CryptoLocker ransomware: Whatever you do, don’t PAY (англ.). The Register (18 октября 2013). Дата обращения: 1 июня 2017. Архивировано 18 октября 2013 года.
  18. Ryan Naraine. Blackmail ransomware returns with 1024-bit encryption key (англ.). ZDNet (6 июня 2008). Дата обращения: 1 июня 2017. Архивировано 17 ноября 2016 года.
  19. Robert Lemos. Ransomware resisting crypto cracking efforts (англ.). SecurityFocus (13 июня 2008). Дата обращения: 1 июня 2017. Архивировано 3 марта 2016 года.
  20. Julio Hernandez-Castro, Eerke Boiten и Magali Barnoux. Results of online survey by Interdisciplinary Research Centre in Cyber Security at the University of Kent in Canterbury (англ.). Кентский университет. Дата обращения: 1 июня 2017. Архивировано из оригинала 24 августа 2017 года.
  21. 1 2 Abigail Pichel. New CryptoLocker Spreads via Removable Drives (англ.). Trend Micro (25 декабря 2013). Дата обращения: 1 июня 2017. Архивировано 4 ноября 2016 года.
  22. Jeremy Kirk. CryptoDefense ransomware leaves decryption key accessible (англ.). Computerworld (1 апреля 2014). Дата обращения: 1 июня 2017. Архивировано 18 сентября 2017 года.
  23. Iain Thomson. Your files held hostage by CryptoDefense? Don’t pay up! The decryption key is on your hard drive (англ.). The Register (3 апреля 2014). Дата обращения: 1 июня 2017. Архивировано 26 декабря 2016 года.
  24. 1 2 Patrick Budmar. Australia specifically targeted by Cryptolocker: Symantec. Security vendor finds the latest variant of the cryptomalware (англ.). ARNnet (3 октября 2014). Дата обращения: 1 июня 2017. Архивировано 16 июня 2018 года.
  25. Robert Lipovsky. Cryptolocker 2.0 – new version, or copycat? (англ.). WeLiveSecurity (19 декабря 2013). Дата обращения: 1 июня 2017. Архивировано 2 июня 2017 года.
  26. 1 2 Australians increasingly hit by global tide of cryptomalware (англ.). Symantec (26 сентября 2014). Дата обращения: 1 июня 2017. Архивировано из оригинала 16 июня 2018 года.
  27. Marc-Etienne M. Léveillé. TorrentLocker now targets UK with Royal Mail phishing (англ.). WeLiveSecurity (4 сентября 2014). Дата обращения: 1 июня 2017. Архивировано 7 ноября 2017 года.
  28. Adam Turner. Scammers use Australia Post to mask email attacks (англ.). The Sydney Morning Herald (15 октября 2014). Дата обращения: 1 июня 2017. Архивировано 8 ноября 2017 года.
  29. Steve Ragan. Ransomware attack knocks TV station off air (англ.). CSO Online (7 октября 2014). Дата обращения: 1 июня 2017. Архивировано 7 ноября 2017 года.