CryptoLocker - CryptoLocker

CryptoLocker
Классификациятроянский конь
ТипПрограммы-вымогатели
ПодтипКриптовирус
Изоляция2 июня 2014 г.
Операционные системы) затронутыйWindows

В Атака программ-вымогателей CryptoLocker был кибератака с использованием CryptoLocker программа-вымогатель это произошло с 5 сентября 2013 года до конца мая 2014 года. В атаке использовался троян это нацелено компьютеры Бег Майкрософт Виндоус,[1] и считалось, что сначала он был размещен в Интернет 5 сентября 2013 г.[2] Он распространялся через зараженные вложения электронной почты и через существующие Gameover ZeuS ботнет.[3] При активации вредоносная программа зашифрованный определенные типы файлов, хранящиеся на локальных и подключенных сетевых дисках с использованием RSA криптография с открытым ключом, при этом закрытый ключ хранится только на управляющих серверах вредоносной программы. Затем вредоносная программа отобразила сообщение, в котором предлагалось расшифровать данные, если платеж (через любой биткойн или предоплаченный денежный ваучер) был сделан в установленный срок, и он угрожал удалить закрытый ключ, если этот срок пройдет. Если крайний срок не соблюдался, вредоносная программа предлагала расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносной программы, по значительно более высокой цене в биткойнах. Не было никакой гарантии, что платеж освободит зашифрованный контент.

Хотя сам CryptoLocker был легко удален, затронутые файлы оставались зашифрованными таким образом, который исследователи считали невозможным взломать. Многие говорили, что выкуп не должен быть платным, но не предлагал никакого способа восстановления файлов; другие говорили, что уплата выкупа - единственный способ восстановить файлы, которые не были резервное копирование. Некоторые жертвы утверждали, что уплата выкупа не всегда приводила к расшифровке файлов.

CryptoLocker был изолирован в конце мая 2014 года через Операция Товар, который снял Gameover ZeuS ботнет которые использовались для распространения вредоносного ПО. Во время операции охранная фирма, участвовавшая в процессе, получила базу данных закрытых ключей, используемых CryptoLocker, которая, в свою очередь, была использована для создания онлайн-инструмента для восстановления ключей и файлов без уплаты выкупа. Считается, что операторы CryptoLocker успешно вымогали у жертв трояна в общей сложности около 3 миллионов долларов. Другие последовавшие за этим экземпляры программ-вымогателей на основе шифрования использовали имя «CryptoLocker» (или его варианты), но в остальном не связаны.

Операция

CryptoLocker обычно распространяется как вложение на, казалось бы, безобидный электронное письмо сообщение, которое, похоже, было отправлено законной компанией.[4] А ZIP файл прикрепленный к сообщению электронной почты, содержит исполняемый файл с именем файла и значком, замаскированным под PDF файл, используя поведение Windows по умолчанию, скрывающее расширение из имен файлов, чтобы замаскировать настоящее расширение .EXE. CryptoLocker также распространялся с использованием Gameover ZeuS троян и ботнет.[5][6][7]

При первом запуске полезная нагрузка устанавливается в Профиль пользователя папку и добавляет ключ в реестр это заставляет его запускаться при запуске. Затем он пытается связаться с одним из нескольких назначенных серверов управления и контроля; после подключения сервер генерирует 2048-битный ЮАР пару ключей и отправляет открытый ключ обратно на зараженный компьютер.[1][6] Сервер может быть локальным доверенное лицо и пройти через других, часто перемещаемых в разные страны, чтобы затруднить их отслеживание.[8][9]

Затем полезная нагрузка шифрует файлы на локальных жестких дисках и подключенные сетевые диски с открытым ключом и регистрирует каждый файл, зашифрованный в разделе реестра. Процесс шифрует только файлы данных с определенными расширения, включая Microsoft Office, OpenDocument, и другие документы, изображения и AutoCAD файлы.[7] Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы были зашифрованы, и требует оплаты в размере 400 доллар США или же Евро через анонимный предоплаченный денежный ваучер (т. е. MoneyPak или же Укаш ) или эквивалентную сумму в биткойн (BTC) в течение 72 или 100 часов (начиная с 2 BTC, цена выкупа была снижена операторами до 0,3 BTC, чтобы отразить колебания стоимости биткойна),[10] иначе закрытый ключ на сервере был бы уничтожен, и «никто и никогда [sic ] сможет восстанавливать файлы ".[1][6] Выплата выкупа позволяет пользователю загрузить программу дешифрования, в которую предварительно загружен закрытый ключ пользователя.[6] Некоторые зараженные жертвы утверждают, что заплатили злоумышленникам, но их файлы не были расшифрованы.[4]

В ноябре 2013 года операторы CryptoLocker запустили онлайн-сервис, который утверждал, что позволяет пользователям расшифровывать свои файлы без программы CryptoLocker и приобретать ключ дешифрования по истечении крайнего срока; процесс включал загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока служба найдет совпадение; сайт утверждал, что совпадение будет найдено в течение 24 часов. Найдя ключ, пользователь мог оплатить его онлайн; если истечет 72-часовой срок, стоимость увеличится до 10 биткойнов.[11][12]

Удаление и восстановление файлов

2 июня 2014 г. Министерство юстиции США официально объявили, что за прошедшие выходные Операция Товар - консорциум, представляющий собой группу правоохранительных органов (включая ФБР и Интерпол ), поставщики программного обеспечения для обеспечения безопасности и несколько университетов нарушили Gameover ZeuS ботнет который использовался для распространения CryptoLocker и другого вредоносного ПО. Министерство юстиции также публично издало обвинительный акт против российского хакера Евгения Богачева за его предполагаемое участие в ботнете.[5][13][14][15]

В рамках операции голландская охранная фирма Fox-IT смогла получить базу данных закрытых ключей, используемых CryptoLocker; В августе 2014 года Fox-IT и другая фирма FireEye представили онлайн-сервис, который позволяет зараженным пользователям получать свой закрытый ключ, загружая образец файла, а затем получать инструмент дешифрования.[16][17]

Смягчение

Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может не обнаруживать CryptoLocker вообще или только после того, как шифрование начнется или завершится, особенно если распространяется новая версия, неизвестная защитному программному обеспечению.[18] Если атака подозревается или обнаруживается на ранних стадиях, для шифрования требуется некоторое время; Немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения ограничило бы его повреждение данных.[19][20] Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности, чтобы заблокировать запуск полезной нагрузки CryptoLocker.[1][6][7][9][20]

Из-за характера работы CryptoLocker некоторые эксперты неохотно предположили, что уплата выкупа была единственным способом восстановить файлы из CryptoLocker при отсутствии текущих резервных копий (не в сети резервные копии, созданные до заражения и недоступные с зараженных компьютеров, не могут быть атакованы CryptoLocker).[4] Из-за длины ключа, используемого CryptoLocker, эксперты посчитали практически невозможным использовать атака грубой силой получить ключ, необходимый для расшифровки файлов без уплаты выкупа; аналогичный троян Gpcode.AK 2008 года использовал 1024-битный ключ, который считался достаточно большим, чтобы его невозможно было взломать без согласованной распределен усилия или обнаружение уязвимости, которая может быть использована для взлома шифрования.[6][12][21][22] Sophos аналитик безопасности Пол Даклин предположил, что онлайн-сервис дешифрования CryptoLocker задействовал словарная атака против собственного шифрования с использованием своей базы данных ключей, объясняя необходимость ожидания до 24 часов для получения результата.[12]

Деньги заплачены

В декабре 2013 г. ZDNet отследил четыре адреса биткойнов, отправленных пользователями, зараженными CryptoLocker, в попытке оценить выручку операторов. По четырем адресам в период с 15 октября по 18 декабря было перемещено 41928 BTC, что на тот момент составляло около 27 миллионов долларов США.[10]

В опросе исследователей Кентский университет 41% тех, кто назвал себя жертвами, заявили, что решили заплатить выкуп, что намного больше, чем ожидалось; Symantec подсчитала, что заплатили 3% жертв, а по оценке Dell SecureWorks - 0,4% жертв.[23] После отключения ботнета, который использовался для распространения CryptoLocker, было подсчитано, что около 1,3% зараженных заплатили выкуп; многим удалось восстановить файлы, для которых были созданы резервные копии, а другие, как полагают, потеряли огромные объемы данных. Тем не менее предполагалось, что операторы вымогали в общей сложности около 3 миллионов долларов.[17]

Клоны

Успех CryptoLocker породил ряд несвязанные и одноименные трояны-вымогатели, работающие практически одинаково,[24][25][26][27] включая те, которые называют себя «CryptoLocker», но, по мнению исследователей безопасности, не имеют отношения к исходному CryptoLocker.[28][29][27]

В сентябре 2014 года такие клоны, как CryptoWall и TorrentLocker (чья полезная нагрузка идентифицирует себя как "CryptoLocker", но названа в связи с использованием ключ реестра названный "Bit Torrent Заявление"),[30] начал распространяться в Австралии; программа-вымогатель использует зараженные электронные письма, якобы отправленные правительственными ведомствами (например, Почта Австралии для обозначения неудавшейся доставки посылки) в качестве полезной нагрузки. Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут переходить по ссылкам, этот вариант был разработан таким образом, чтобы пользователи должны были посетить веб-страницу и ввести CAPTCHA код до фактической загрузки полезной нагрузки. Symantec определил, что эти новые варианты, которые он идентифицировал как «CryptoLocker.F», не были привязаны к оригиналу.[28][24][31][32]

Смотрите также

Рекомендации

  1. ^ а б c d «Вы заражены - если вы хотите снова увидеть свои данные, заплатите нам 300 долларов в биткойнах». Ars Technica. 17 октября 2013 г.. Получено 23 октября 2013.
  2. ^ Келион, Лев (24 декабря 2013 г.). «Программа-вымогатель Cryptolocker 'заразила около 250 000 компьютеров'". BBC. Получено 24 декабря 2013.
  3. ^ «КриптоЛокер». Получено 14 сентября 2017.
  4. ^ а б c "Число заражений Cryptolocker растет; предупреждение US-CERT о проблемах". SecurityWeek. 19 ноября 2013 г.. Получено 18 января 2014.
  5. ^ а б Брайан Кребс (2 июня 2014 г.). "'Ботнет ZeuS, CryptoLocker Scourge, Операция Товар "Цели" Gameover ". Кребс о безопасности.
  6. ^ а б c d е ж Абрамс, Лоуренс. «Информационное руководство по программе-вымогателю CryptoLocker и часто задаваемые вопросы». Пищевой компьютер. Получено 25 октября 2013.
  7. ^ а б c «Cryptolocker: как избежать заражения и что делать, если вы заболели». Computerworld. 25 октября 2013 г.. Получено 25 октября 2013.
  8. ^ «Деструктивное вредоносное ПО« CryptoLocker »на свободе - вот что делать». Голая безопасность. Sophos. 12 октября 2013 г.. Получено 23 октября 2013.
  9. ^ а б Фергюсон, Донна (19 октября 2013 г.). «Атаки CryptoLocker, требующие выкупа за ваш компьютер». Хранитель. Получено 23 октября 2013.
  10. ^ а б Фиолетовый синий (22 декабря 2013 г.). «Криминальная волна CryptoLocker: след миллионов отмытых биткойнов». ZDNet. Получено 23 декабря 2013.
  11. ^ «Мошенники CryptoLocker взимают 10 биткойнов за услугу вторичного дешифрования». NetworkWorld. 4 ноября 2013 г.. Получено 5 ноября 2013.
  12. ^ а б c «Создатели CryptoLocker пытаются с помощью нового сервиса вымогать у жертв еще больше денег». Компьютерный мир. 4 ноября 2013 г.. Получено 5 ноября 2013.
  13. ^ "Wham bam: Global Operation Tovar взламывает вымогатель CryptoLocker и ботнет GameOver Zeus". Computerworld. IDG. Архивировано из оригинал 3 июля 2014 г.. Получено 18 августа 2014.
  14. ^ "США ведут многонациональные действия против ботнета" Gameover Zeus "и вымогателя" Cryptolocker ", обвиняет администратора ботнета". Justice.gov. Министерство юстиции США. Получено 18 августа 2014.
  15. ^ Графф, Гаррет М. (21 марта 2017 г.). «Охота на самого известного хакера в России». Проводной. ISSN  1059-1028. Получено 18 января 2020.
  16. ^ Кребс, Брайан. «Новый сайт восстанавливает файлы, заблокированные программой-вымогателем Cryptolocker». Кребс о безопасности. Получено 18 августа 2014.
  17. ^ а б "Жертвы Cryptolocker могут бесплатно вернуть файлы". Новости BBC. 6 августа 2014 г.. Получено 18 августа 2014.
  18. ^ Юма Сан об атаке CryptoLocker: "... смог остаться незамеченным антивирусным ПО, используемым Yuma Sun, потому что это была вредоносная программа нулевого дня"
  19. ^ Каннелл, Джошуа (8 октября 2013 г.). «Cryptolocker Ransomware: что вам нужно знать, последнее обновление - 02.06.2014». Распаковано Malwarebytes. Получено 19 октября 2013.
  20. ^ а б Лейден, Джош. «Дьявольский вымогатель CryptoLocker: что бы вы ни делали, НЕ ПЛАТИТЕ». Реестр. Получено 18 октября 2013.
  21. ^ Нарайн, Райан (6 июня 2008 г.). «Программа-вымогатель шантажиста возвращается с 1024-битным ключом шифрования». ZDnet. Получено 25 октября 2013.
  22. ^ Лемос, Роберт (13 июня 2008 г.). «Программа-вымогатель, сопротивляющаяся попыткам взлома криптографии». Безопасность. Получено 25 октября 2013.
  23. ^ «Результаты онлайн-опроса Междисциплинарного исследовательского центра по кибербезопасности при Кентском университете в Кентербери» (PDF). kent.ac.uk. Кентский университет в Кентербери. Архивировано из оригинал (PDF) 8 марта 2014 г.. Получено 25 марта 2014.
  24. ^ а б "Австралия специально нацелена на Cryptolocker: Symantec". ARNnet. 3 октября 2014 г.. Получено 15 октября 2014.
  25. ^ «Программа-вымогатель CryptoDefense оставляет ключ дешифрования доступным». Computerworld. IDG. Апрель 2014 г.. Получено 7 апреля 2014.
  26. ^ Томсон, Иэн (3 апреля 2014 г.). «Ваши файлы были заложниками CryptoDefense? Не платите! Ключ дешифрования находится на вашем жестком диске». Реестр. Получено 6 апреля 2014.
  27. ^ а б «Новый CryptoLocker распространяется через съемные диски». Trend Micro. 26 декабря 2013 г.. Получено 18 января 2014.
  28. ^ а б «Австралийцы все чаще поражаются мировой волной шифровальщиков». Symantec. Получено 15 октября 2014.
  29. ^ «Cryptolocker 2.0 - новая версия или подражатель?». WeLiveSecurity. ESET. 19 декабря 2013 г.. Получено 18 января 2014.
  30. ^ «TorrentLocker теперь нацелен на Великобританию с помощью фишинга Royal Mail». ESET. 4 сентября 2014 г.. Получено 22 октября 2014.
  31. ^ «Мошенники используют почту Австралии для маскировки атак по электронной почте». Sydney Morning Herald. 15 октября 2014 г.. Получено 15 октября 2014.
  32. ^ "Атака программ-вымогателей приводит к отключению телеканала". ОГО. 7 октября 2014 г.. Получено 15 октября 2014.