Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Эта статья посвящена конкретной программе-вымогателю под названием CryptoLocker. Информацию о другом подобном программном обеспечении, некоторые из которых используют имя CryptoLocker, см. В разделе Программа-вымогатель § Шифрование программ-вымогателей .
CryptoLocker
Классификациятроянский конь
ТипПрограммы-вымогатели
ПодтипКриптовирус
Изоляция2 июня 2014 г.
Затронутые операционные системыWindows

Атака CryptoLocker вымогателей был кибератаки с использованием CryptoLocker вымогателей , которые произошли с 5 сентября 2013 года до конца мая 2014 года атаки использовали троян , что целевой компьютер под управлением Microsoft Windows , [1] и , как полагали , были сначала размещены в Интернете на 5 Сентябрь 2013 г. [2] Он распространялся через зараженные вложения электронной почты и через существующий ботнет Gameover ZeuS . [3] При активации вредоносная программа зашифровываетопределенные типы файлов, хранящиеся на локальных и подключенных сетевых дисках с использованием криптографии с открытым ключом RSA , при этом закрытый ключ хранится только на управляющих серверах вредоносной программы. Затем вредоносная программа отображала сообщение с предложением расшифровать данные, если платеж (через биткойн или предоплаченный денежный ваучер) был произведен в установленный срок, и пригрозила удалить закрытый ключ, если крайний срок пройдет. Если крайний срок не был соблюден, вредоносная программа предлагала расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносной программы, по значительно более высокой цене в биткойнах. Не было никакой гарантии, что платеж освободит зашифрованный контент.

Хотя сам CryptoLocker был легко удален, затронутые файлы оставались зашифрованными таким образом, который исследователи считали невозможным взломать. Многие говорили, что выкуп не нужно платить, но не предлагали никакого способа восстановить файлы; другие говорили, что уплата выкупа была единственным способом восстановить файлы, для которых не было выполнено резервное копирование . Некоторые жертвы утверждали, что уплата выкупа не всегда приводила к расшифровке файлов.

CryptoLocker был изолирован в конце мая 2014 года с помощью операции Tovar , в ходе которой был отключен ботнет Gameover ZeuS, который использовался для распространения вредоносного ПО. Во время операции охранная фирма, участвовавшая в процессе, получила базу данных закрытых ключей, используемых CryptoLocker, которая, в свою очередь, была использована для создания онлайн-инструмента для восстановления ключей и файлов без уплаты выкупа. Считается, что операторы CryptoLocker успешно вымогали у жертв трояна в общей сложности около 3 миллионов долларов. Другие последовавшие за этим экземпляры программ-вымогателей на основе шифрования использовали имя «CryptoLocker» (или его варианты), но в остальном не связаны.

Операция [ править ]

CryptoLocker обычно распространяется как вложение к, казалось бы, безобидному сообщению электронной почты , которое, по всей видимости, было отправлено законной компанией. [4] ZIP файл прилагается к сообщению электронной почты содержит исполняемый файл с именем файла и значком под видом PDF файл, воспользовавшись поведения по умолчанию Windows' сокрытия расширения от имен файлов , чтобы скрыть реальное расширение .EXE. CryptoLocker также распространялся с помощью трояна и ботнета Gameover ZeuS . [5] [6] [7]

При первом запуске полезная нагрузка устанавливается в папку профиля пользователя и добавляет в реестр ключ, который запускает ее при запуске. Затем он пытается связаться с одним из нескольких назначенных серверов управления и контроля; после подключения сервер генерирует 2048-битную пару ключей RSA и отправляет открытый ключ обратно на зараженный компьютер. [1] [6] Сервер может быть локальным прокси-сервером и проходить через других, часто перемещаемых в разные страны, чтобы затруднить их отслеживание. [8] [9]

Затем полезная нагрузка шифрует файлы на локальных жестких дисках и подключенных сетевых дисках с открытым ключом и регистрирует каждый зашифрованный файл в разделе реестра. Процесс шифрует только файлы данных с определенными расширениями , включая Microsoft Office , OpenDocument и другие документы, изображения и файлы AutoCAD . [7] Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы были зашифрованы, и требует оплаты 400 долларов США или евро с помощью анонимного предоплаченного денежного ваучера (например, MoneyPak или Ukash ) или эквивалентной суммы в биткойнах.(BTC) в течение 72 или 100 часов (начиная с 2 BTC, цена выкупа была скорректирована операторами до 0,3 BTC, чтобы отразить колеблющуюся стоимость биткойна) [10], иначе закрытый ключ на сервере будет уничтожен, и «никто и никогда [ sic ] не сможет восстановить файлы». [1] [6] Выплата выкупа позволяет пользователю загрузить программу дешифрования, в которую предварительно загружен закрытый ключ пользователя. [6] Некоторые зараженные жертвы утверждают, что они заплатили злоумышленникам, но их файлы не были расшифрованы. [4]

В ноябре 2013 года операторы CryptoLocker запустили онлайн-сервис, который утверждал, что позволяет пользователям расшифровывать свои файлы без программы CryptoLocker и приобретать ключ дешифрования после истечения крайнего срока; процесс включал загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока служба найдет совпадение; сайт утверждал, что совпадение будет найдено в течение 24 часов. Найдя ключ, пользователь мог оплатить его онлайн; если истечет 72-часовой срок, стоимость увеличится до 10 биткойнов. [11] [12]

Удаление и восстановление файлов [ править ]

2 июня 2014 года Министерство юстиции США официально объявило, что в предыдущие выходные операция «Товар» - консорциум, состоящий из группы правоохранительных органов (включая ФБР и Интерпол ), поставщиков программного обеспечения для обеспечения безопасности и нескольких университетов, нарушил работу GameOver ZeuS ботнет , который был использован для распространения CryptoLocker и других вредоносных программ. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богучеву за его предполагаемое участие в ботнете. [5] [13] [14] [15]

В рамках операции голландская охранная фирма Fox-IT смогла получить базу данных закрытых ключей, используемых CryptoLocker; В августе 2014 года Fox-IT и другая фирма FireEye представили онлайн-сервис, который позволяет инфицированным пользователям получать свой закрытый ключ, загружая образец файла, а затем получать инструмент дешифрования. [16] [17]

Смягчение [ править ]

Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может не обнаруживать CryptoLocker вообще или только после того, как шифрование начнется или завершится, особенно если распространяется новая версия, неизвестная защитному программному обеспечению. [18] Если атака подозревается или обнаруживается на ранней стадии, для шифрования требуется некоторое время; Немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения ограничило бы его повреждение данных. [19] [20] Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности, чтобы заблокировать запуск полезной нагрузки CryptoLocker. [1] [6] [7] [9] [20]

Из-за характера работы CryptoLocker некоторые эксперты неохотно предположили, что уплата выкупа была единственным способом восстановить файлы из CryptoLocker при отсутствии текущих резервных копий ( автономные резервные копии, сделанные до заражения, которые недоступны с зараженных компьютеров, не могут быть атакованы CryptoLocker) . [4] Из-за длины ключа, используемого CryptoLocker, эксперты сочли практически невозможным использовать грубую силу для получения ключа, необходимого для расшифровки файлов, без уплаты выкупа; аналогичный троян Gpcode.AK 2008 года использовал 1024-битный ключ, который считался достаточно большим, чтобы его невозможно было взломать без согласованного распределения.усилия или обнаружение уязвимости, которая может быть использована для взлома шифрования. [6] [12] [21] [22] Аналитик по безопасности Sophos Пол Даклин предположил, что онлайн-служба дешифрования CryptoLocker использовала словарную атаку на собственное шифрование с использованием своей базы данных ключей, объяснив требование ждать до 24 часов, чтобы получить результат. . [12]

Выплачены деньги [ править ]

В декабре 2013 года ZDNet отследила четыре адреса биткойнов, опубликованные пользователями, зараженными CryptoLocker, в попытке оценить выручку операторов. По четырем адресам в период с 15 октября по 18 декабря было перемещено 41928 BTC, что на тот момент составляло около 27 миллионов долларов США. [10]

В исследовании, проведенном исследователями Кентского университета , 41% тех, кто назвал себя жертвами, заявили, что они решили заплатить выкуп, что намного больше, чем ожидалось; Symantec подсчитала, что заплатили 3% жертв, а по оценке Dell SecureWorks - 0,4% жертв. [23] После закрытия ботнета, который использовался для распространения CryptoLocker, было подсчитано, что около 1,3% зараженных заплатили выкуп; многим удалось восстановить файлы, для которых были созданы резервные копии, а другие, как полагают, потеряли огромные объемы данных. Тем не менее предполагалось, что операторы вымогали около 3 миллионов долларов. [17]

Клоны [ править ]

Успех CryptoLocker привел к появлению ряда несвязанных троянов-вымогателей с одинаковыми названиями, работающих по существу одинаковым образом [24] [25] [26] [27], в том числе некоторых, которые называют себя «CryptoLocker», но, согласно требованиям безопасности, исследователи, не имеющие отношения к оригинальному CryptoLocker. [28] [29] [27]

В сентябре 2014 г. в Австралии [30] начали распространяться новые клоны, такие как CryptoWall и TorrentLocker (чья полезная нагрузка идентифицирует себя как «CryptoLocker», но названа так из-за использования ключа реестра « Bit Torrent Application») [30] ; программа-вымогатель использует зараженные электронные письма, якобы отправленные правительственными ведомствами (например, Австралийской почтой, чтобы указать на неудачную доставку посылки) в качестве полезной нагрузки. Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут переходить по ссылкам, этот вариант был разработан таким образом, чтобы пользователи должны были посетить веб-страницу и ввести код CAPTCHA до фактической загрузки полезной нагрузки. Symantecопределил, что эти новые варианты, которые он идентифицировал как «CryptoLocker.F», не были привязаны к оригиналу. [28] [24] [31] [32]

См. Также [ править ]

  • Локки
  • PGPCoder
  • Хочу плакать
  • Петя

Ссылки [ править ]

  1. ^ a b c d «Вы заражены - если вы хотите снова увидеть свои данные, заплатите нам 300 долларов в биткойнах» . Ars Technica . 17 октября 2013 . Проверено 23 октября 2013 года .
  2. ^ Kelion, Лев (24 декабря 2013). «Программа-вымогатель Cryptolocker« заразила около 250 000 компьютеров » » . BBC . Проверено 24 декабря 2013 года .
  3. ^ «КриптоЛокер» . Проверено 14 сентября 2017 года .
  4. ^ a b c «Число заражений Cryptolocker растет; предупреждение US-CERT о проблемах» . SecurityWeek . 19 ноября 2013 . Проверено 18 января 2014 года .
  5. ^ a b Брайан Кребс (2 июня 2014 г.). " ' Операция Tovar' цель '' GameOver ZeuS ботнеты, CryptoLocker Плеть" . Кребс о безопасности.
  6. ^ a b c d e f Абрамс, Лоуренс. «Информационное руководство по программам-вымогателям CryptoLocker и часто задаваемые вопросы» . Пищевой компьютер . Проверено 25 октября 2013 года .
  7. ^ a b c «Cryptolocker: как избежать заражения и что делать, если это так» . Компьютерный мир . 25 октября 2013 . Проверено 25 октября 2013 года .
  8. ^ «Разрушительное вредоносное ПО« CryptoLocker »на свободе - вот что делать» . Обнаженная безопасность . Sophos. 12 октября 2013 . Проверено 23 октября 2013 года .
  9. ^ a b Фергюсон, Донна (19 октября 2013 г.). «CryptoLocker атакует ваш компьютер с целью выкупа» . Хранитель . Проверено 23 октября 2013 года .
  10. ^ a b Violet Blue (22 декабря 2013 г.). «Криминальная волна CryptoLocker: след миллионов отмытых биткойнов» . ZDNet . Проверено 23 декабря 2013 года .
  11. ^ «Мошенники CryptoLocker берут 10 биткойнов за услугу вторичного дешифрования» . NetworkWorld . 4 ноября 2013 . Проверено 5 ноября 2013 года .
  12. ^ a b c «Создатели CryptoLocker пытаются вымогать еще больше денег у жертв с помощью новой услуги» . Мир ПК . 4 ноября 2013 . Проверено 5 ноября 2013 года .
  13. ^ "Wham bam: Global Operation Tovar взламывает шифровальщик CryptoLocker и ботнет GameOver Zeus" . Компьютерный мир . IDG. Архивировано из оригинального 3 -го июля 2014 года . Проверено 18 августа 2014 .
  14. ^ "США возглавляют многонациональные действия против ботнета" Gameover Zeus "и вымогателя" Cryptolocker ", взимает с администратора ботнета" . Justice.gov . Министерство юстиции США . Проверено 18 августа 2014 .
  15. Graff, Garrett M. (21 марта 2017 г.). «Охота на самого известного хакера в России» . Проводной . ISSN 1059-1028 . Проверено 18 января 2020 года . 
  16. ^ Кребс, Брайан. «Новый сайт восстанавливает файлы, заблокированные программой-вымогателем Cryptolocker» . Кребс о безопасности . Проверено 18 августа 2014 .
  17. ^ a b «Жертвы Cryptolocker могут бесплатно вернуть файлы» . Новости BBC. 6 августа 2014 . Проверено 18 августа 2014 .
  18. Yuma Sun об атаке CryptoLocker : «... смог остаться незамеченным антивирусным программным обеспечением, используемым Yuma Sun, потому что это была вредоносная программа нулевого дня»
  19. ^ Cannell, Joshua (8 октября 2013). «Cryptolocker Ransomware: что вам нужно знать, последнее обновление - 02.06.2014» . Распакованные Malwarebytes . Проверено 19 октября 2013 года .
  20. ^ a b Лейден, Джош. «Дьявольская программа-вымогатель CryptoLocker: что бы вы ни делали, не ПЛАТИТЕ» . Реестр . Проверено 18 октября 2013 года .
  21. ^ Naraine, Райан (6 июня 2008). «Программа-шантажист возвращается с 1024-битным ключом шифрования» . ZDnet . Проверено 25 октября 2013 года .
  22. Лемос, Роберт (13 июня 2008 г.). «Программа-вымогатель, сопротивляющаяся попыткам взлома криптовалюты» . SecurityFocus . Проверено 25 октября 2013 года .
  23. ^ "Результаты онлайн-опроса Междисциплинарного исследовательского центра в области кибербезопасности в Кентском университете в Кентербери" (PDF) . kent.ac.uk . Кентский университет в Кентербери. Архивировано из оригинального (PDF) 8 марта 2014 года . Проверено 25 марта 2014 года .
  24. ^ a b «Австралия, специально предназначенная для Cryptolocker: Symantec» . ARNnet . 3 октября 2014 . Проверено 15 октября 2014 года .
  25. ^ «Программа-вымогатель CryptoDefense оставляет доступным ключ дешифрования» . Компьютерный мир . IDG. Апреля 2014 . Проверено 7 апреля 2014 года .
  26. Томсон, Иэн (3 апреля 2014 г.). «Ваши файлы были заложниками CryptoDefense? Не платите! Ключ дешифрования находится на вашем жестком диске» . Реестр . Проверено 6 апреля 2014 года .
  27. ^ a b «Новый CryptoLocker распространяется через съемные диски» . Trend Micro. 26 декабря 2013 . Проверено 18 января 2014 года .
  28. ^ a b «Австралийцы все больше поражаются глобальной волной шифровального ПО» . Symantec . Проверено 15 октября 2014 года .
  29. ^ "Cryptolocker 2.0 - новая версия или подражатель?" . WeLiveSecurity . ESET. 19 декабря 2013 . Проверено 18 января 2014 года .
  30. ^ "TorrentLocker теперь нацелен на Великобританию с помощью фишинга Royal Mail" . ESET. 4 сентября 2014 . Проверено 22 октября 2014 года .
  31. ^ «Мошенники используют почту Австралии для маскировки атак по электронной почте» . Сидней Морнинг Геральд . 15 октября 2014 . Проверено 15 октября 2014 года .
  32. ^ "Атака программ-вымогателей приводит к отключению телеканала" . ОГО . 7 октября 2014 . Проверено 15 октября 2014 года .