КриптоЛоккер
КриптоЛоккер | |
---|---|
Тип | программы-вымогатели |
Подтип | Криптовирус |
Классификация | Троянский конь |
Дата изоляции | 2 июня 2014 г. |
Технические детали | |
Платформа | Окна |
Атака с помощью программы-вымогателя CryptoLocker представляла собой кибератаку с использованием CryptoLocker программы-вымогателя , которая произошла с 5 сентября 2013 года по конец мая 2014 года. В атаке использовался троян , нацеленный на компьютеры , работающие под управлением Microsoft Windows . [1] и предположительно было впервые опубликовано в Интернете 5 сентября 2013 года. [2] Он распространялся через зараженные вложения электронной почты и через существующий Gameover ZeuS ботнет . [3] При активации вредоносная программа шифровала определенные типы файлов, хранящихся на локальных и подключенных сетевых дисках, с использованием криптографии с открытым ключом RSA , при этом закрытый ключ хранился только на управляющих серверах вредоносной программы. Затем вредоносная программа отображала сообщение, в котором предлагалось расшифровать данные, если платеж (через биткойны или предоплаченный кассовый ваучер) был произведен в установленный срок, и угрожало удалить закрытый ключ, если срок пройдет. Если срок не был соблюден, вредоносная программа предлагала расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносной программы, за значительно более высокую цену в биткойнах. Не было никакой гарантии, что оплата приведет к раскрытию зашифрованного контента.
Хотя сам CryptoLocker был легко удален, затронутые файлы остались зашифрованными таким образом, что исследователи сочли невозможным взломать. Многие говорили, что выкуп платить не следует, но не предлагали никакого способа восстановления файлов; другие заявили, что выплата выкупа — единственный способ восстановить файлы, для которых не было резервных копий . Некоторые жертвы утверждали, что уплата выкупа не всегда приводила к расшифровке файлов.
CryptoLocker был изолирован в конце мая 2014 года в ходе операции «Товар» , в ходе которой был уничтожен Gameover ZeuS ботнет , который использовался для распространения вредоносного ПО. [4] В ходе операции охранная фирма, участвовавшая в этом процессе, получила базу данных закрытых ключей, используемую CryptoLocker, которая, в свою очередь, была использована для создания онлайн-инструмента для восстановления ключей и файлов без уплаты выкупа. Предполагается, что операторы CryptoLocker успешно вымогали у жертв трояна в общей сложности около $3 млн. В других последующих экземплярах программ-вымогателей на основе шифрования использовалось имя «CryptoLocker» (или его варианты), но в остальном они не связаны между собой.
Операция
[ редактировать ]CryptoLocker обычно распространяется как вложение к, казалось бы, безобидному сообщению электронной почты , которое, по-видимому, было отправлено законной компанией. [5] ZIP -файл, прикрепленный к сообщению электронной почты, содержит исполняемый файл с именем файла и значком, замаскированным под PDF- файл, что позволяет использовать преимущества поведения Windows по умолчанию, заключающегося в сокрытии расширения из имен файлов для маскировки реального расширения .EXE. CryptoLocker также распространялся с помощью Gameover ZeuS . трояна и ботнета [6] [7] [8]
При первом запуске полезная нагрузка устанавливается в папку профиля пользователя ключ и добавляет в реестр , который запускает ее при запуске. Затем он пытается связаться с одним из нескольких назначенных серверов управления и контроля; После подключения сервер генерирует 2048-битную пару ключей RSA и отправляет открытый ключ обратно на зараженный компьютер. [1] [7] Сервер может быть локальным прокси-сервером и проходить через другие, часто перемещаемые в разные страны, чтобы затруднить их отслеживание. [9] [10]
Затем полезная нагрузка шифрует файлы на локальных жестких дисках и подключенных сетевых дисках с помощью открытого ключа и регистрирует каждый файл, зашифрованный с помощью ключа реестра. Этот процесс шифрует только файлы данных с определенными расширениями , включая Microsoft Office , OpenDocument и другие документы, изображения и AutoCAD . файлы [8] Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы зашифрованы, и требует оплаты 400 долларов США или евро посредством анонимного предоплаченного денежного ваучера (например, MoneyPak или Ukash ) или эквивалентной суммы в биткойнах (BTC) в течение 72 или 100 часов (начиная с 2 BTC, цена выкупа была скорректирована операторами до 0,3 BTC, чтобы отразить колебания стоимости биткойнов), [11] в противном случае закрытый ключ на сервере будет уничтожен, и «никто и никогда [ sic ] не сможет восстановить файлы». [1] [7] Оплата выкупа позволяет пользователю загрузить программу дешифрования, в которую предварительно загружен закрытый ключ пользователя. [7] Некоторые зараженные жертвы утверждают, что заплатили злоумышленникам, но их файлы не были расшифрованы. [5]
В ноябре 2013 года операторы CryptoLocker запустили онлайн-сервис, который, как утверждается, позволяет пользователям расшифровывать свои файлы без программы CryptoLocker и приобретать ключ дешифрования после истечения крайнего срока; процесс включал загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока сервис найдет совпадение; сайт утверждал, что совпадение будет найдено в течение 24 часов. Найдя ключ, пользователь мог оплатить ключ онлайн; если 72-часовой срок истечет, стоимость увеличится до 10 биткойнов. [12] [13]
Удаление и восстановление файлов
[ редактировать ]2 июня 2014 года Министерство юстиции США официально объявило, что в минувшие выходные операция «Товар» — консорциум, состоящий из группы правоохранительных органов (включая ФБР и Интерпол ), поставщиков программного обеспечения безопасности и нескольких университетов, разрушила Gameover ZeuS Ботнет , который использовался для распространения CryptoLocker и другого вредоносного ПО. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богачеву за его предполагаемое участие в ботнете. [6] [14] [15] [16]
В рамках операции голландская охранная фирма Fox-IT смогла получить базу данных закрытых ключей, используемых CryptoLocker; В августе 2014 года Fox-IT и его партнерская фирма FireEye представили онлайн-сервис, который позволяет зараженным пользователям получить свой закрытый ключ, загрузив образец файла, а затем получить инструмент расшифровки. [17] [18]
смягчение последствий
[ редактировать ]Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может не обнаружить CryptoLocker вообще или только после завершения или завершения шифрования, особенно если распространяется новая версия, неизвестная защитному программному обеспечению. [19] Если атака подозревается или обнаруживается на ранних стадиях, для шифрования требуется некоторое время; немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения ограничит ущерб данным. [20] [21] Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности для блокировки запуска полезной нагрузки CryptoLocker. [1] [7] [8] [10] [21]
Из-за особенностей работы CryptoLocker некоторые эксперты неохотно предположили, что выплата выкупа была единственным способом восстановить файлы из CryptoLocker при отсутствии текущих резервных копий ( автономные резервные копии, сделанные до заражения и недоступные с зараженных компьютеров, не могут быть атакованы CryptoLocker). . [5] Из-за длины ключа, используемого CryptoLocker, эксперты посчитали практически невозможным использование атаки методом перебора для получения ключа, необходимого для расшифровки файлов, без уплаты выкупа; аналогичный троян 2008 года Gpcode.AK использовал 1024-битный ключ, который считался достаточно большим, чтобы его невозможно было взломать без согласованных распределенных усилий или обнаружения уязвимости, которую можно было бы использовать для взлома шифрования. [7] [13] [22] [23] Аналитик по безопасности Sophos Пол Даклин предположил, что онлайн-служба дешифрования CryptoLocker использовала словарную атаку на собственное шифрование с использованием базы данных ключей, что объясняет необходимость ожидания до 24 часов для получения результата. [13]
Деньги выплачены
[ редактировать ]В декабре 2013 года ZDNet отследила четыре биткойн-адреса, опубликованные пользователями, зараженными CryptoLocker, в попытке оценить доходы операторов. Четыре адреса показали перемещение 41 928 BTC в период с 15 октября по 18 декабря, что на тот момент составляло около 27 миллионов долларов США. [11]
В опросе, проведенном исследователями Кентского университета , 41% тех, кто утверждал, что стал жертвой, заявили, что решили заплатить выкуп, и эта доля намного больше, чем ожидалось; По оценкам Symantec, 3% жертв заплатили, а Dell SecureWorks подсчитала, что заплатили 0,4% жертв. [24] Было подсчитано, что после закрытия ботнета, который использовался для распространения CryptoLocker, выкуп заплатили около 1,3% зараженных; многие смогли восстановить файлы, для которых были созданы резервные копии, а другие, как полагают, потеряли огромные объемы данных. Тем не менее, предполагается, что операторы вымогали в общей сложности около 3 миллионов долларов. [18]
Клоны
[ редактировать ]Успех CryptoLocker породил ряд несвязанных между собой и похожих по названию троянов-вымогателей, работающих по сути одинаково. [25] [26] [27] [28] в том числе некоторые, которые называют себя «CryptoLocker», но, по мнению исследователей безопасности, не имеют отношения к оригинальному CryptoLocker. [29] [30] [28]
В сентябре 2014 года появились новые клоны, такие как CryptoWall и TorrentLocker (чья полезная нагрузка идентифицируется как «CryptoLocker», но названа в честь использования ключа реестра с именем « Bit Torrent Application»), [31] начал распространяться в Австралии; В качестве полезной нагрузки программа-вымогатель использует зараженные электронные письма, предположительно отправленные государственными ведомствами (например, Почтой Австралии , чтобы сообщить о неудачной доставке посылки). Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут переходить по ссылкам, этот вариант был разработан так, чтобы требовать от пользователей посещения веб-страницы и ввода кода CAPTCHA перед фактической загрузкой полезной нагрузки. Symantec определила, что эти новые варианты, обозначенные как «CryptoLocker.F», не были связаны с оригиналом. [29] [25] [32] [33] [34] [35]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Перейти обратно: а б с д Гудин, Дэн (17 октября 2013 г.). «Вы заражены — если хотите снова увидеть свои данные, заплатите нам 300 долларов в биткойнах» . Арс Техника . Архивировано из оригинала 23 октября 2013 года . Проверено 23 октября 2013 г.
- ^ Келион, Лев (24 декабря 2013 г.). «Программа-вымогатель Cryptolocker «заразила около 250 000 компьютеров » . Би-би-си . Архивировано из оригинала 22 марта 2019 года . Проверено 24 декабря 2013 г.
- ^ «КриптоЛокер» . Архивировано из оригинала 14 сентября 2017 года . Проверено 14 сентября 2017 г.
- ^ « Операция «Товар» нацелена на ботнет ZeuS Gameover и угрозу CryptoLocker – Кребс о безопасности» . 2 июня 2014 года . Проверено 5 сентября 2023 г.
- ^ Перейти обратно: а б с «Растет количество заражений криптоблоками; CERT США выдает предупреждение» . Неделя Безопасности . 19 ноября 2013 года. Архивировано из оригинала 10 июня 2016 года . Проверено 18 января 2014 г.
- ^ Перейти обратно: а б Кребс, Брайан (2 июня 2014 г.). « Операция «Товар» направлена против ботнета «Gameover» ZeuS и CryptoLocker Scourge» . Кребс о безопасности. Архивировано из оригинала 4 июня 2014 года . Проверено 18 августа 2014 г.
- ^ Перейти обратно: а б с д и ж Абрамс, Лоуренс. «Информационное руководство и часто задаваемые вопросы о программах-вымогателях CryptoLocker» . Пипящий компьютер . Архивировано из оригинала 17 ноября 2013 года . Проверено 25 октября 2013 г.
- ^ Перейти обратно: а б с Хассел, Джонатан (25 октября 2013 г.). «Криптолокер: как не заразиться и что делать, если заразился» . Компьютерный мир . Архивировано из оригинала 2 апреля 2019 года . Проверено 25 октября 2013 г.
- ^ Даклин, Пол (12 октября 2013 г.). «Деструктивная вредоносная программа «CryptoLocker» на свободе – вот что делать» . Голая охрана . Софос. Архивировано из оригинала 8 мая 2017 года . Проверено 23 октября 2013 г.
- ^ Перейти обратно: а б Фергюсон, Донна (19 октября 2013 г.). «Атаки CryptoLocker, которые требуют выкупа за ваш компьютер» . Хранитель . Архивировано из оригинала 5 марта 2017 года . Проверено 23 октября 2013 г.
- ^ Перейти обратно: а б Синий, Фиолетовый (22 декабря 2013 г.). «Волна преступности CryptoLocker: след миллионов отмытых биткойнов» . ЗДНет. Архивировано из оригинала 23 декабря 2013 года . Проверено 23 декабря 2013 г.
- ^ «Мошенники CryptoLocker взимают 10 биткойнов за услугу вторичного дешифрования» . ОГО . 4 ноября 2013 г. Архивировано из оригинала 19 января 2021 г. Проверено 5 ноября 2013 г.
- ^ Перейти обратно: а б с Константин, Люциан (4 ноября 2013 г.). «С помощью нового сервиса создатели CryptoLocker пытаются вымогать у жертв еще больше денег» . Мир ПК . Архивировано из оригинала 30 апреля 2017 года . Проверено 5 ноября 2013 г.
- ^ Шторм, Дарлин (2 июня 2014 г.). «Бам-бам: глобальная операция «Товар» уничтожает программу-вымогатель CryptoLocker и ботнет GameOver Zeus» . Компьютерный мир . ИДГ. Архивировано из оригинала 3 июля 2014 года . Проверено 18 августа 2014 г.
- ^ «США возглавляют многонациональные действия против ботнета «Gameover Zeus» и программы-вымогателя «Cryptlocker», предъявлены обвинения администратору ботнета» . Justice.gov (пресс-релиз). Министерство юстиции США. Архивировано из оригинала 3 сентября 2014 года . Проверено 18 августа 2014 г.
- ^ Графф, Гаррет М. (21 марта 2017 г.). «Внутри охоты на самого известного хакера России» . Проводной . ISSN 1059-1028 . Архивировано из оригинала 5 января 2020 года . Проверено 18 января 2020 г.
- ^ Кребс, Брайан (15 августа 2014 г.). «Новый сайт восстанавливает файлы, заблокированные программой-вымогателем Cryptolocker» . Кребс о безопасности . Архивировано из оригинала 7 июня 2017 года . Проверено 18 августа 2014 г.
- ^ Перейти обратно: а б Уорд, Марк (6 августа 2014 г.). «Жертвы криптоблокировки могут получить файлы обратно бесплатно» . Новости Би-би-си. Архивировано из оригинала 13 января 2020 года . Проверено 18 августа 2014 г.
- ^ Yuma Sun, об атаке CryptoLocker. Архивировано 8 октября 2017 года на Wayback Machine : «... удалось остаться незамеченным антивирусным программным обеспечением, используемым Yuma Sun, потому что это было вредоносное ПО нулевого дня».
- ^ Каннелл, Джошуа (8 октября 2013 г.). «Программа-вымогатель Cryptolocker: что вам нужно знать, последнее обновление: 02.06.2014» . Распакованные вредоносные байты . Архивировано из оригинала 27 сентября 2022 года . Проверено 19 октября 2013 г.
- ^ Перейти обратно: а б Лейден, Джош (18 октября 2013 г.). «Дьявольская программа-вымогатель CryptoLocker: что бы вы ни делали, не ПЛАТИТЕ» . Регистр . Архивировано из оригинала 18 октября 2013 года . Проверено 18 октября 2013 г.
- ^ Нарейн, Райан (6 июня 2008 г.). «Программа-вымогатель для шантажа возвращается с 1024-битным ключом шифрования» . ЗДнет . Архивировано из оригинала 3 августа 2008 года . Проверено 25 октября 2013 г.
- ^ Лемос, Роберт (13 июня 2008 г.). «Программы-вымогатели противостоят попыткам взлома криптовалюты» . БезопасностьФокус . Архивировано из оригинала 3 марта 2016 года . Проверено 25 октября 2013 г.
- ^ «Результаты онлайн-опроса, проведенного Междисциплинарным исследовательским центром кибербезопасности при Кентском университете в Кентербери» (PDF) . kent.ac.uk. Кентский университет в Кентербери. Архивировано из оригинала (PDF) 8 марта 2014 года . Проверено 25 марта 2014 г.
- ^ Перейти обратно: а б Будмар, Патрик (3 октября 2014 г.). «Австралия специально нацелена на Cryptolocker: Symantec» . АРНнет . Архивировано из оригинала 7 октября 2014 года . Проверено 15 октября 2014 г.
- ^ Кирк, Джереми (1 апреля 2014 г.). «Программа-вымогатель CryptoDefense оставляет ключ дешифрования доступным» . Компьютерный мир . ИДГ. Архивировано из оригинала 3 июля 2014 года . Проверено 7 апреля 2014 г.
- ^ Томсон, Иэн (3 апреля 2014 г.). «Ваши файлы в заложниках у CryptoDefense? Не платите! Ключ дешифрования находится на вашем жестком диске» . Регистр. Архивировано из оригинала 26 декабря 2016 года . Проверено 6 апреля 2014 г.
- ^ Перейти обратно: а б Пичел, Эбигейл (26 декабря 2013 г.). «Новый CryptoLocker распространяется через съемные диски» . Тренд Микро. Архивировано из оригинала 28 декабря 2013 года . Проверено 18 января 2014 г.
- ^ Перейти обратно: а б «Австралийцы все чаще страдают от глобальной волны крипто-вредоносных программ» . Симантек. Архивировано из оригинала 29 марта 2016 года . Проверено 15 октября 2014 г.
- ^ «Cryptolocker 2.0 – новая версия или подражатель?» . WeLiveSecurity . ЕСЕТ. 19 декабря 2013 года. Архивировано из оригинала 22 ноября 2016 года . Проверено 18 января 2014 г.
- ^ «TorrentLocker теперь нацелен на Великобританию с помощью фишинга Royal Mail» . ЕСЕТ. 4 сентября 2014 года. Архивировано из оригинала 21 октября 2014 года . Проверено 22 октября 2014 г.
- ^ Тернер, Адам (15 октября 2014 г.). «Мошенники используют Почту Австралии для маскировки атак по электронной почте» . Сидней Морнинг Геральд . Архивировано из оригинала 16 октября 2014 года . Проверено 15 октября 2014 г.
- ^ Персонал. «Атака программы-вымогателя Cryptolocker» . Проверено 27 июня 2023 г.
- ^ Персонал. «Атака программы-вымогателя» . Проверено 21 июля 2023 г.
- ^ Рэган, Стив (7 октября 2014 г.). «Атака программы-вымогателя выбивает телеканал из эфира» . ОГО . Архивировано из оригинала 12 октября 2016 года . Проверено 15 октября 2014 г.