CryptoLocker

редактировать
Вредоносное ПО
CryptoLocker
КлассификацияТроянский конь
ТипRansomware
ПодтипКриптовирус
Изоляция2 июня 2014 г.
Операционная система (-ы) затронутыWindows

Атака с программным обеспечением-вымогателем CryptoLocker была кибератакой с использованием программы-вымогателя CryptoLocker , которая произошла с 5 сентября 2013 года по конец мая 2014 года. В атаке использовался троян, нацеленный на компьютеры с Microsoft Windows и, как предполагалось, впервые был опубликован в Интернете 5 сентября 2013 года. Он распространялся через зараженные вложения электронной почты и через существующий ботнет Gameover ZeuS . При активации вредоносная программа зашифровывала определенные типы файлов, хранящихся на локальных и подключенных сетевых дисках, с использованием RSA криптографии с открытым ключом, при этом закрытый ключ сохранялся только на управляющих серверах вредоносной программы. Затем вредоносная программа отображала сообщение, в котором предлагалось расшифровать данные, если платеж (через биткойн или предоплаченный денежный ваучер) был произведен в установленный срок, и он пригрозил удалить закрытый ключ, если срок проходит. Если крайний срок не соблюдался, вредоносная программа предлагала расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносной программы, по значительно более высокой цене в биткойнах. Не было никакой гарантии, что платеж освободит зашифрованный контент.

Хотя сам CryptoLocker был легко удален, затронутые файлы оставались зашифрованными таким образом, который исследователи считали невозможным взломать. Многие говорили, что выкуп не следует платить, но не предлагали никакого способа восстановить файлы; другие заявили, что уплата выкупа была единственным способом восстановить файлы, для которых не было выполнено резервное копирование. Некоторые жертвы утверждали, что уплата выкупа не всегда приводила к расшифровке файлов.

CryptoLocker был изолирован в конце мая 2014 года с помощью Operation Tovar, в результате которой был отключен ботнет Gameover ZeuS , который использовался для распространения вредоносного ПО.. Во время операции охранная фирма, участвовавшая в процессе, получила базу данных закрытых ключей, используемых CryptoLocker, которая, в свою очередь, была использована для создания онлайн-инструмента для восстановления ключей и файлов без уплаты выкупа. Считается, что операторы CryptoLocker успешно вымогали у жертв трояна в общей сложности около 3 миллионов долларов. Другие последовавшие за этим экземпляры программ-вымогателей на основе шифрования использовали имя CryptoLocker (или его варианты), но в остальном не связаны.

Содержание

  • 1 Операция
    • 1.1 Удаление и восстановление файлов
  • 2 Снижение риска
  • 3 Заплаченные деньги
  • 4 Клоны
  • 5 См. Также
  • 6 Ссылки

Операция

CryptoLocker обычно распространяется в виде вложения в кажущееся безобидным электронное письмо, которое, по всей видимости, было отправлено законной компанией. ZIP-файл, прикрепленный к сообщению электронной почты, содержит исполняемый файл с именем файла и значком, замаскированным под файл PDF, что позволяет использовать стандартное поведение Windows, скрывающее расширение . из имен файлов, чтобы замаскировать настоящее расширение.EXE. CryptoLocker также распространялся с помощью трояна и ботнета Gameover ZeuS.

При первом запуске полезная нагрузка устанавливается в папку профиля пользователя, и добавляет ключ в реестр , который заставляет его запускаться при запуске. Затем он пытается связаться с одним из нескольких назначенных серверов управления и контроля; после подключения сервер генерирует пару ключей 2048-бит RSA и отправляет открытый ключ обратно на зараженный компьютер. Сервер может быть локальным прокси-сервером и проходить через других, часто перемещаемых в разные страны, чтобы затруднить их отслеживание.

Затем полезная нагрузка шифрует файлы на локальных жестких дисках и отображает сетевые диски с открытым ключом и регистрируют каждый файл, зашифрованный в разделе реестра. Процесс шифрует только файлы данных с определенными расширениями, включая Microsoft Office, OpenDocument и другие документы, изображения и файлы AutoCAD. Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы были зашифрованы, и требует уплаты 400 долларов США или евро посредством анонимного предоплаченного денежного ваучера (например, MoneyPak или Ukash ) или эквивалентную сумму в биткойнах (BTC) в течение 72 или 100 часов (начиная с 2 BTC, цена выкупа была снижена до 0,3 BTC на операторы, чтобы отразить колебания стоимости биткойна), иначе закрытый ключ на сервере будет уничтожен, и «никто и никогда [sic ] не сможет восстановить файлы». Выплата выкупа позволяет пользователю загрузить программу дешифрования, в которую предварительно загружен закрытый ключ пользователя. Некоторые зараженные жертвы утверждают, что они заплатили злоумышленникам, но их файлы не были расшифрованы.

В ноябре 2013 года операторы CryptoLocker запустили онлайн-сервис, который утверждал, что позволяет пользователям расшифровывать свои файлы без программы CryptoLocker и приобрести ключ дешифрования после истечения срока; процесс включал загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока служба найдет совпадение; сайт утверждал, что совпадение будет найдено в течение 24 часов. Найдя ключ, пользователь мог оплатить его онлайн; если истечет 72-часовой срок, стоимость увеличится до 10 биткойнов.

Удаление и восстановление файлов

2 июня 2014 г. Министерство юстиции США официально объявил, что в предыдущие выходные Операция Товар - консорциум, состоящий из группы правоохранительных органов (включая ФБР и Интерпол ), поставщиков программного обеспечения для обеспечения безопасности и несколько университетов нарушили работу ботнета Gameover ZeuS , который использовался для распространения CryptoLocker и другого вредоносного ПО. Министерство юстиции также публично предъявило обвинительный акт российскому хакеру Евгению Богучеву за его предполагаемое участие в ботнете.

В рамках операции голландская охранная фирма Fox-IT смогла получить базу закрытых ключей, используемых CryptoLocker; В августе 2014 года Fox-IT и другая фирма FireEye представили онлайн-сервис, который позволяет зараженным пользователям получать свой закрытый ключ, загружая образец файла, а затем получать инструмент дешифрования.

Меры по смягчению последствий

Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может не обнаруживать CryptoLocker вообще или только после того, как шифрование начнется или завершится, особенно если распространяется новая версия, неизвестная защитному программному обеспечению. Если атака подозревается или обнаруживается на ранних стадиях, для шифрования требуется некоторое время; Немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения ограничило бы его повреждение данных. Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности, чтобы заблокировать запуск полезной нагрузки CryptoLocker.

Из-за характера работы CryptoLocker некоторые эксперты неохотно предположили, что уплата выкупа была единственным способом восстановить файлы из CryptoLocker при отсутствии текущих резервных копий (автономные резервные копии, сделанные до заражения, которые недоступны с зараженных компьютеров, не могут быть атакованы CryptoLocker). Из-за длины ключа, используемого CryptoLocker, эксперты сочли практически невозможным использовать атаку грубой силой для получения ключа, необходимого для дешифрования файлов, без уплаты выкупа; аналогичный троян Gpcode.AK 2008 года использовал 1024-битный ключ, который считался достаточно большим, чтобы его невозможно было взломать с вычислительной точки зрения без согласованных распределенных усилий или обнаружения уязвимости, которая могла быть использована для взлома Аналитик по безопасности Sophos Пол Даклин предположил, что онлайн-служба дешифрования CryptoLocker использовала атаку по словарю на собственное шифрование с использованием своей базы данных ключей, объясняя необходимость ожидания до 24 часов, чтобы получить результат.

Деньги заплачены

В декабре 2013 года ZDNet отследила четыре адреса биткойнов, опубликованные пользователями, которые были заражены CryptoLocker, в попытке определить операторов сборы. По четырем адресам в период с 15 октября по 18 декабря было перемещено 41928 BTC, что на тот момент составляло около 27 миллионов долларов США.

Согласно опросу исследователей из Университета Кента, 41% из них заявившие, что они являются жертвами, заявили, что решили заплатить выкуп, намного превышающий ожидаемый; Symantec подсчитала, что заплатили 3% жертв, а по оценке Dell SecureWorks - 0,4% жертв. После отключения ботнета, который использовался для распространения CryptoLocker, было подсчитано, что около 1,3% зараженных заплатили выкуп; многим удалось восстановить файлы, для которых были созданы резервные копии, а другие, как полагают, потеряли огромные объемы данных. Тем не менее предполагалось, что операторы вымогали в общей сложности около 3 миллионов долларов.

Клоны

Успех CryptoLocker породил ряд несвязанных и одноименных троянских программ-вымогателей, работающих практически таким же образом, в том числе некоторые, которые называют себя «CryptoLocker», но, по мнению исследователей безопасности, не имеют отношения к исходному CryptoLocker.

В сентябре 2014 года появились следующие клоны, такие как CryptoWall и TorrentLocker (полезная нагрузка которого идентифицирует себя как «CryptoLocker», но названа из-за использования ключа реестра с именем «Bit Torrent Application»), начал распространяться в Австралии; программа-вымогатель использует зараженные электронные письма, якобы отправленные правительственными ведомствами (например, Australia Post, чтобы указать на неудачную доставку посылки) в качестве полезной нагрузки. Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут переходить по ссылкам, этот вариант был разработан таким образом, чтобы пользователи должны были посетить веб-страницу и ввести код CAPTCHA перед фактической загрузкой полезной нагрузки. Symantec определила, что эти новые варианты, которые он идентифицировал как «CryptoLocker.F», не были привязаны к оригиналу.

См. Также

Список литературы

.

Последняя правка сделана 2021-05-16 10:19:36
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте