WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте
CryptoLocker
Тип троянская программа, Ransomware
Год появления 5 сентября 2013 года
Описание Symantec

Атака программы-вымогателя CryptoLockerкибератака с использованием программы-вымогателя CryptoLocker, которая произошла в период с 5 сентября 2013 года по конец мая 2014 года. В результате атаки была использована троянская программа, заражающая компьютеры под управлением операционной системы Microsoft Windows[1], и, как предполагается, данная программа была впервые размещена в Интернете 5 сентября 2013 года[2]. Троян распространялся через заражённые вложения электронной почты, заражённые сайты и через существующий на компьютере пользователя ботнет. При заражении компьютера вредоносная программа шифрует определённые типы файлов, хранящихся на локальных и подключённых сетевых дисках, используя криптосистему с открытым ключом RSA, причём закрытый ключ хранится только на серверах управления вредоносной программой. Затем вредоносное ПО отображает сообщение, которое предлагает расшифровать данные, если платёж (через биткойны или предоплаченный кассовый ваучер) производится в указанный срок, и пользователю будет угрожать удаление закрытого ключа в случае истечения срока. Если этот срок не соблюдается, вредоносное ПО предлагает расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносного ПО, за значительно более высокую цену в биткойнах, при этом нет никакой гарантии, что оплата приведёт к расшифровке контента.

Хотя сам CryptoLocker может быть легко удален, затронутые файлы оставались зашифрованными таким образом, который исследователи считали невозможным для расшифровки. Многие считают, что выкуп не должен быть оплачен, но при этом не предлагается никакого способа восстановить файлы; другие утверждают, что выплата выкупа является единственным способом восстановления файлов, которые не были сохранены посредством резервного копирования. Некоторые жертвы утверждали, что выплата выкупа не всегда ведет к расшифровке файлов.

CryptoLocker был изолирован в конце мая 2014 года в результате операции «Tovar»[en], и в это же время также был захвачен ботнет Gameover ZeuS[en], который использовался для распространения вредоносного ПО. Во время операции фирма безопасности, участвующая в этом процессе, получила базу данных секретных ключей, используемых CryptoLocker, которая, в свою очередь, использовалась для создания онлайн-инструмента для восстановления ключей и файлов без выплаты выкупа. Считается, что операторы CryptoLocker успешно получили, в общей сложности, около 3 миллионов долларов от жертв трояна. Другие экземпляры нижеприведённых шифровательных программ-вымогателей использовали имя (или варианты) CryptoLocker, но в остальном они не связаны между собой.

Работа

CryptoLocker обычно распространяется как приложение к якобы безобидному сообщению электронной почты, которое выглядит как отправление из легальной компании[3]. Почтовый файл, прикреплённый к сообщению электронной почты, содержит исполняемый файл с именем файла и значком, замаскированным под файл PDF: используя, таким образом, преимущества поведения Windows по умолчанию для скрытия расширения из имен файлов, чтобы скрыть реальное расширение - .EXE. CryptoLocker также распространялся с использованием трояна и ботнета Gameover ZeuS[4][5][6].

При первом запуске полезная нагрузка трояна устанавливается в папку профиля пользователя и добавляет ключ в реестр, который заставляет его запускаться при запуске компьютера. Затем он пытается связаться с одним из нескольких назначенных командных и управляющих серверов; после подключения сервер генерирует пару 2048 битных ключей RSA и отправляет открытый ключ на заражённый компьютер[1][5]. Сервера могут быть локальными прокси и проходить через другие сервера, часто перемещаться в разных странах, чтобы затруднить их отслеживание[7][8].

Затем полезная нагрузка шифрует файлы на локальныех жёстких дисках и подключённых сетевых дисках с открытым ключом и регистрирует каждый файл, зашифровывая их в раздел реестра. Процесс шифрует только файлы данных с определёнными расширениями, включая Microsoft Office, OpenDocument и другие документы, изображения, а также файлы AutoCAD[6]. Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы были зашифрованы, и требует оплаты в размере 400 долларов США или евро через анонимный предоплаченный кассовый ваучер (например, MoneyPak или Ukash[en]) или эквивалентную сумму в биткойне (BTC) в течение 72 или 100 часов (начиная с 2 BTC, цена выкупа была скорректирована операторами до 0,3 BTC, чтобы отразить колебательное значение биткойна)[9], или же закрытый ключ на сервере будет уничтожен, и «никто и никогда не сможет восстановить файлы»[1][5]. Оплата выкупа позволяет пользователю загрузить программу дешифрования, которая предварительно загружена с помощью закрытого ключа пользователя[5]. Некоторые инфицированные жертвы утверждают, что они платили злоумышленникам, но их файлы не были расшифрованы[3].

В ноябре 2013 года операторы CryptoLocker запустили онлайн-службу, которая позволяет пользователям расшифровывать свои файлы без программы CryptoLocker и приобретать ключ дешифрования по истечении крайнего срока; процесс включал в себя загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока служба найдёт соответствие; сайт утверждал, что ключ будет найдён в течение 24 часов. После обнаружения пользователь может заплатить за ключ онлайн, но если 72-часовой крайний срок прошёл, стоимость увеличивалась до 10 биткойнов[10] [11].

Удаление и восстановление файлов

2 июня 2014 года Министерство юстиции США официально объявило, что в предыдущие выходные, в ходе операции «Tovar»[en] — консорциум, в который входят: группа правоохранительных органов (включая ФБР и Интерпол), поставщики программного обеспечения безопасности и несколько университетов — был захвачен ботнет Gameover ZeuS[en], который использовался для распространения CryptoLocker и других вредоносных программ. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богачёву за его предполагаемую причастность к ботнету[4][12][13].

В рамках этой операции нидерландская фирма Fox-IT смогла получить базу данных секретных ключей, используемых CryptoLocker. В августе 2014 года Fox-IT и другая компания, FireEye, представили онлайн-сервис, который позволяет пользователям с заражёнными компьютерами извлекать свой секретный ключ, загружая образец файла, а затем получая инструмент дешифрования[14][15].

Уменьшение последствий

Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может вообще не обнаружить CryptoLocker во время выполнения шифрования или после её завершения, особенно если распространена новая версия, неизвестная защитному программному обеспечению. Если атака подозревается или обнаруживается на ранних стадиях, трояну требуется больше времени для шифрования: немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения лишь ограничит его повреждение данных[16][17]. Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности для блокирования полезной нагрузки CryptoLocker[1][5][6][8][17].

Из-за характера работы CryptoLocker некоторые эксперты неохотно предположили, что выплата выкупа — единственный способ восстановить файлы из CryptoLocker в отсутствие текущих резервных копий (автономные резервные копии, сделанные до того, как произошло заражение, недоступные с заражённых компьютеров, не могут быть атакованы CryptoLocker)[3], из-за длины ключа, используемого CryptoLocker, эксперты считали практически невозможным использовать брутфорс для получения ключа, необходимого для дешифрования файлов без выплаты выкупа; аналогичный троянец 2008 года Gpcode.AK использовал 1024-битный ключ, который считался достаточно длинным, что вычислить ключ его было невозможно, без возможности согласованных и распределённых усилий, или обнаружить брешь, который можно было бы использовать для дешифровки[5][11][18][19]. Аналитик Sophos по безопасности Пол Даклин (англ. Paul Ducklin) предположил, что онлайн-служба дешифрования CryptoLocker включает в себя атаку словаря против собственного шифрования, используя свою базу данных ключей, объясняя требование ждать до 24 часов, чтобы получить результат[11].

Выплаченные выкупы

В декабре 2013 года сайт ZDNet отследил четыре адреса биткойнов, размещённых пользователями, компьютеры которых были заражены CryptoLocker, в попытке оценить затраты операторов. Эти четыре адреса показали динамику в 41 928 BTC с 15 октября по 18 декабря: около $27 млн. долларов США на то время[9].

По опросам исследователей из Кентского университета[en], 41% из тех, кто утверждал, что были жертвами, сказали, что они решили выплатить выкуп: доля выплативших выкуп оказалась намного больше, чем ожидалось. По оценкам Symantec, 3% жертв заплатили и, по оценкам Dell SecureWorks, примерно 0,4% жертв заплатили[20]. После закрытия ботнета, который использовался для распространения CryptoLocker, было подсчитано, что около 1,3% инфицированных заплатили выкуп; многие из них смогли восстановить файлы с помощью резервного копирования, а другие, как полагают, потеряли огромное количество данных. Тем не менее, считается, что операторам трояна удалось получить в общей сложности около 3 миллионов долларов[15].

Клоны

Успех CryptoLocker породил ряд несвязанных и аналогично названных троянских программ-вымогателей (Ransomware), работающих по существу таким же образом [21][22][23][24], включая некоторые, которые называют себя как «CryptoLocker», но, согласно исследователям безопасности, не связаны с оригинальным CryptoLocker[21][25][26].

В сентябре 2014 года клоны, такие как CryptoWall и TorrentLocker (чья полезная нагрузка идентифицирует себя как «CryptoLocker», но названа для использования раздела реестра с именем «BitTorrent Application»)[27], начал распространяться в Австралии. Программа-вымогатель использует заражённые электронные письма, предположительно отправленные правительственными ведомствами (например, почта Австралии, чтобы указать неудачную доставку посылок) в качестве полезной нагрузки. Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут следить за ссылками, этот вариант был разработан, чтобы потребовать от пользователей посещения веб-страницы и ввода кода CAPTCHA до фактической загрузки. Symantec определил, что эти новые варианты, которые он идентифицировал как «CryptoLocker.F», не были связаны с оригиналом[24][26][28][29].

Примечания

  1. 1 2 3 4 Dan Goodin. You’re infected — if you want to see your data again, pay us $300 in Bitcoins. Ransomware comes of age with unbreakable crypto, anonymous payments (англ.). Ars Technica (18 October 2013). Проверено 1 июня 2017.
  2. Leo Kelion. Cryptolocker ransomware has 'infected about 250,000 PCs' (англ.). BBC (24 December 2013). Проверено 1 июня 2017.
  3. 1 2 3 Ryan Naraine. Cryptolocker Infections on the Rise; US-CERT Issues Warning (англ.). SecurityWeek (19 November 2013). Проверено 1 июня 2017.
  4. 1 2 Brian Krebs. ‘Operation Tovar’ Targets ‘Gameover’ ZeuS Botnet, CryptoLocker Scourge (англ.). Krebs on Security (2 June 2014). Проверено 1 июня 2017.
  5. 1 2 3 4 5 6 Lawrence Abrams. CryptoLocker Ransomware Information Guide and FAQ (англ.). Bleeping Computer (14 October 2013). Проверено 1 июня 2017.
  6. 1 2 3 Jonathan Hassell. Cryptolocker: How to avoid getting infected and what to do if you are (англ.). Computerworld (25 October 2013). Проверено 1 июня 2017.
  7. Paul Ducklin. Destructive malware “CryptoLocker” on the loose – here’s what to do (англ.). Naked Security (12 October 2013). Проверено 1 июня 2017.
  8. 1 2 Donna Ferguson. CryptoLocker attacks that hold your computer to ransom (англ.). The Guardian (19 October 2013). Проверено 1 июня 2017.
  9. 1 2 Violet Blue. CryptoLocker’s crimewave: A trail of millions in laundered Bitcoin (англ.). ZDNet (22 December 2013). Проверено 1 июня 2017.
  10. Ms. Smith. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service (англ.). Network World (4 November 2013). Проверено 1 июня 2017.
  11. 1 2 3 Lucian Constantin. CryptoLocker creators try to extort even more money from victims with new service (англ.). PC World (4 November 2013). Проверено 1 июня 2017.
  12. Darlene Storm. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet (англ.). Computerworld (2 June 2014). Проверено 1 июня 2017.
  13. U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator (англ.). Министерство юстиции США (2 June 2014). Проверено 1 июня 2017.
  14. Brian Krebs. New Site Recovers Files Locked by Cryptolocker Ransomware (англ.). Krebs on Security (6 August 2014). Проверено 1 июня 2017.
  15. 1 2 Mark Ward. Cryptolocker victims to get files back for free (англ.). BBC (6 August 2014). Проверено 1 июня 2017.
  16. Joshua Cannell. Cryptolocker Ransomware: What You Need To Know (англ.). Malwarebytes (8 October 2013). Проверено 1 июня 2017.
  17. 1 2 John Leyden. Fiendish CryptoLocker ransomware: Whatever you do, don’t PAY (англ.). The Register (18 October 2013). Проверено 1 июня 2017.
  18. Ryan Naraine. Blackmail ransomware returns with 1024-bit encryption key (англ.). ZDNet (6 June 2008). Проверено 1 июня 2017.
  19. Robert Lemos. Ransomware resisting crypto cracking efforts (англ.). SecurityFocus (13 June 2008). Проверено 1 июня 2017.
  20. Julio Hernandez-Castro, Eerke Boiten и Magali Barnoux. Results of online survey by Interdisciplinary Research Centre in Cyber Security at the University of Kent in Canterbury (англ.) (недоступная ссылка). Кентский университет. Проверено 1 июня 2017. Архивировано 24 августа 2017 года.
  21. 1 2 Abigail Pichel. New CryptoLocker Spreads via Removable Drives (англ.). Trend Micro (25 December 2013). Проверено 1 июня 2017.
  22. Jeremy Kirk. CryptoDefense ransomware leaves decryption key accessible (англ.). Computerworld (1 April 2014). Проверено 1 июня 2017.
  23. Iain Thomson. Your files held hostage by CryptoDefense? Don’t pay up! The decryption key is on your hard drive (англ.). The Register (3 April 2014). Проверено 1 июня 2017.
  24. 1 2 Patrick Budmar. Australia specifically targeted by Cryptolocker: Symantec. Security vendor finds the latest variant of the cryptomalware (англ.). ARNnet (3 October 2014). Проверено 1 июня 2017.
  25. Robert Lipovsky. Cryptolocker 2.0 – new version, or copycat? (англ.). WeLiveSecurity (19 December 2013). Проверено 1 июня 2017.
  26. 1 2 Australians increasingly hit by global tide of cryptomalware (англ.). Symantec (26 September 2014). Проверено 1 июня 2017.
  27. Marc-Etienne M. Léveillé. TorrentLocker now targets UK with Royal Mail phishing (англ.). WeLiveSecurity (4 September 2014). Проверено 1 июня 2017.
  28. Adam Turner. Scammers use Australia Post to mask email attacks (англ.). The Sydney Morning Herald (15 October 2014). Проверено 1 июня 2017.
  29. Steve Ragan. Ransomware attack knocks TV station off air (англ.). CSO Online (7 October 2014). Проверено 1 июня 2017.

Ссылки

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .



Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии