stringtranslate.com

КриптоЛокер

Атака с использованием программы-вымогателя CryptoLocker была кибератакой с использованием программы-вымогателя CryptoLocker , которая происходила с 5 сентября 2013 года по конец мая 2014 года. В атаке использовался троян , нацеленный на компьютеры под управлением Microsoft Windows [1] , и, как полагают, впервые был опубликован в Интернете 5 сентября 2013 года [2]. Он распространялся через зараженные вложения электронной почты и через существующий ботнет Gameover ZeuS [3] . При активации вредоносная программа шифровала определенные типы файлов, хранящихся на локальных и подключенных сетевых дисках, с помощью криптографии с открытым ключом RSA , при этом закрытый ключ хранился только на серверах управления вредоносной программой. Затем вредоносная программа отображала сообщение, в котором предлагалось расшифровать данные, если платеж (через биткойны или предоплаченный кассовый чек) будет произведен к указанному сроку, и угрожала удалить закрытый ключ, если срок истечет. Если срок не был соблюден, вредоносная программа предлагала расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносной программы, за значительно более высокую цену в биткоинах. Не было никакой гарантии, что оплата высвободит зашифрованный контент.

Хотя сам CryptoLocker был легко удален, затронутые файлы оставались зашифрованными таким образом, что исследователи посчитали невозможным их взломать. Многие говорили, что выкуп не следует платить, но не предлагали никакого способа восстановить файлы; другие говорили, что выплата выкупа была единственным способом восстановить файлы, которые не были зарезервированы . Некоторые жертвы утверждали, что выплата выкупа не всегда приводила к расшифровке файлов.

CryptoLocker был изолирован в конце мая 2014 года в ходе операции Tovar , в ходе которой был уничтожен ботнет Gameover ZeuS , использовавшийся для распространения вредоносного ПО. [4] В ходе операции охранная фирма, участвовавшая в процессе, получила базу данных закрытых ключей, используемых CryptoLocker, которая, в свою очередь, использовалась для создания онлайн-инструмента для восстановления ключей и файлов без уплаты выкупа. Считается, что операторы CryptoLocker успешно вымогали в общей сложности около 3 миллионов долларов у жертв трояна. Другие последующие случаи программ-вымогателей на основе шифрования использовали название «CryptoLocker» (или его вариации), но в остальном не связаны между собой.

Операция

CryptoLocker обычно распространяется как вложение к, казалось бы, безобидному сообщению электронной почты , которое, по-видимому, было отправлено законной компанией. [5] ZIP -файл, прикрепленный к сообщению электронной почты, содержит исполняемый файл с именем файла и значком, замаскированным под файл PDF , используя преимущество поведения Windows по умолчанию, которое скрывает расширение из имен файлов, чтобы скрыть настоящее расширение .EXE. CryptoLocker также распространялся с помощью трояна Gameover ZeuS и ботнета. [6] [7] [8]

При первом запуске полезная нагрузка устанавливается в папку профиля пользователя и добавляет ключ в реестр , который заставляет ее запускаться при запуске. Затем она пытается связаться с одним из нескольких назначенных серверов управления и контроля; после подключения сервер генерирует пару ключей RSA длиной 2048 бит и отправляет открытый ключ обратно на зараженный компьютер. [1] [7] Сервер может быть локальным прокси-сервером и проходить через другие, часто перемещаемые в разные страны, чтобы затруднить их отслеживание. [9] [10]

Затем полезная нагрузка шифрует файлы на локальных жестких дисках и подключенных сетевых дисках с помощью открытого ключа и регистрирует каждый зашифрованный файл в ключе реестра. Процесс шифрует только файлы данных с определенными расширениями , включая Microsoft Office , OpenDocument и другие документы, изображения и файлы AutoCAD . [8] Полезная нагрузка отображает сообщение, информирующее пользователя о том, что файлы были зашифрованы, и требует оплаты в размере 400 долларов США или евро через анонимный предоплаченный кассовый ваучер (например, MoneyPak или Ukash ) или эквивалентной суммы в биткойнах (BTC) в течение 72 или 100 часов (хотя изначально выкуп составлял 2 BTC, операторы снизили цену до 0,3 BTC, чтобы отразить колеблющуюся стоимость биткойна), [11] иначе закрытый ключ на сервере будет уничтожен, и «никто и никогда [ sic ] не сможет восстановить файлы». [1] [7] Оплата выкупа позволяет пользователю загрузить программу дешифрования, которая предварительно загружена с закрытым ключом пользователя. [7] Некоторые инфицированные жертвы утверждают, что заплатили злоумышленникам, но их файлы не были расшифрованы. [5]

В ноябре 2013 года операторы CryptoLocker запустили онлайн-сервис, который, как утверждалось, позволял пользователям расшифровывать свои файлы без программы CryptoLocker и приобретать ключ расшифровки после истечения крайнего срока; процесс включал загрузку зашифрованного файла на сайт в качестве образца и ожидание, пока сервис найдет совпадение; сайт утверждал, что совпадение будет найдено в течение 24 часов. После нахождения пользователь мог оплатить ключ онлайн; если 72-часовой срок истекал, стоимость увеличивалась до 10 биткойнов. [12] [13]

Удаление и восстановление файлов

2 июня 2014 года Министерство юстиции США официально объявило, что в предыдущие выходные Operation Tovar — консорциум, состоящий из группы правоохранительных органов (включая ФБР и Интерпол ), поставщиков программного обеспечения безопасности и нескольких университетов, — разрушил ботнет Gameover ZeuS , который использовался для распространения CryptoLocker и других вредоносных программ. Министерство юстиции также публично вынесло обвинительное заключение российскому хакеру Евгению Богачеву за его предполагаемую причастность к ботнету. [6] [14] [15] [16]

В рамках операции голландская фирма по безопасности Fox-IT смогла получить базу данных закрытых ключей, используемых CryptoLocker; в августе 2014 года Fox-IT и ее коллега FireEye представили онлайн-сервис, который позволяет зараженным пользователям извлекать свой закрытый ключ, загрузив образец файла, а затем получать инструмент для расшифровки. [17] [18]

Смягчение

Хотя программное обеспечение безопасности предназначено для обнаружения таких угроз, оно может вообще не обнаружить CryptoLocker или обнаружить его только после того, как шифрование уже началось или завершилось, особенно если распространяется новая версия, неизвестная защитному программному обеспечению. [19] Если атака подозревается или обнаруживается на ранних стадиях, для ее выполнения требуется некоторое время; немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения ограничит его ущерб данным. [20] [21] Эксперты предложили меры предосторожности, такие как использование программного обеспечения или других политик безопасности для блокировки запуска полезной нагрузки CryptoLocker. [1] [7] [8] [10] [21]

Из-за характера работы CryptoLocker некоторые эксперты неохотно предположили, что выплата выкупа была единственным способом восстановить файлы из CryptoLocker при отсутствии текущих резервных копий ( автономные резервные копии, сделанные до заражения и недоступные с зараженных компьютеров, не могут быть атакованы CryptoLocker). [5] Из-за длины ключа, используемого CryptoLocker, эксперты посчитали практически невозможным использовать атаку методом подбора , чтобы получить ключ, необходимый для расшифровки файлов, без выплаты выкупа; похожий троян 2008 года Gpcode.AK использовал 1024-битный ключ, который, как считалось, был достаточно большим, чтобы его было невозможно взломать с вычислительной точки зрения без согласованных распределенных усилий или обнаружения уязвимости, которую можно было бы использовать для взлома шифрования. [7] [13] [22] [23] Аналитик по безопасности компании Sophos Пол Даклин предположил, что онлайн-сервис расшифровки CryptoLocker использует атаку по словарю против собственного шифрования с использованием своей базы данных ключей, что объясняет необходимость ожидания результата в течение 24 часов. [13]

Деньги уплачены

В декабре 2013 года ZDNet отследил четыре биткойн-адреса, опубликованных пользователями, которые были заражены CryptoLocker, в попытке оценить доходы операторов. Четыре адреса показали движение 41 928 BTC между 15 октября и 18 декабря ‍ — около 27 миллионов долларов США на тот момент. [11]

В опросе, проведенном исследователями из Кентского университета , 41% тех, кто утверждал, что стал жертвой, заявили, что решили заплатить выкуп, что намного больше, чем ожидалось; Symantec подсчитала, что заплатили 3% жертв, а Dell SecureWorks подсчитала, что заплатили 0,4% жертв. [24] После закрытия ботнета, который использовался для распространения CryptoLocker, было подсчитано, что около 1,3% инфицированных заплатили выкуп; многие смогли восстановить файлы, которые были скопированы, а другие, как полагают, потеряли огромные объемы данных. Тем не менее, операторы, как полагают, вымогали в общей сложности около 3 миллионов долларов. [18]

Клоны

Успех CryptoLocker породил ряд не связанных между собой и имеющих схожие названия троянов-вымогателей, работающих по сути таким же образом, [25] [26] [27] [28] включая некоторые, которые называют себя «CryptoLocker», но, по мнению исследователей безопасности, не связаны с оригинальным CryptoLocker. [29] [30] [28]

В сентябре 2014 года в Австралии начали распространяться другие клоны, такие как CryptoWall и TorrentLocker (чья полезная нагрузка идентифицирует себя как «CryptoLocker», но названа так из-за использования ключа реестра под названием « Bit Torrent Application») [31] ; программа-вымогатель использует зараженные электронные письма, якобы отправленные государственными ведомствами (например, Australia Post, чтобы указать на неудачную доставку посылки) в качестве полезной нагрузки. Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые могут переходить по ссылкам, этот вариант был разработан так, чтобы требовать от пользователей посещения веб-страницы и ввода кода CAPTCHA до фактической загрузки полезной нагрузки. Symantec определила, что эти новые варианты, которые она идентифицировала как «CryptoLocker.F», не были связаны с оригиналом. [29] [25] [32] [33] [34] [35]

Смотрите также

Ссылки

  1. ^ abcd Гудин, Дэн (17 октября 2013 г.). «Вы инфицированы — если хотите снова увидеть свои данные, заплатите нам 300 долларов в биткоинах». Ars Technica . Архивировано из оригинала 23 октября 2013 г. Получено 23 октября 2013 г.
  2. ^ Kelion, Leo (24 декабря 2013 г.). «Cryptolocker ransomware has „infected about 250,000 PCs“». BBC . Архивировано из оригинала 22 марта 2019 г. Получено 24 декабря 2013 г.
  3. ^ "CryptoLocker". Архивировано из оригинала 14 сентября 2017 г. Получено 14 сентября 2017 г.
  4. ^ «Операция «Товар» нацелена на ботнет «Gameover» ZeuS, CryptoLocker Scourge – Krebs on Security». 2 июня 2014 г. Получено 5 сентября 2023 г.
  5. ^ abc "Cryptolocker Infections on the Rise; US-CERT Issues Warning". SecurityWeek . 19 ноября 2013 г. Архивировано из оригинала 10 июня 2016 г. Получено 18 января 2014 г.
  6. ^ ab Krebs, Brian (2 июня 2014 г.). «Операция «Товар» нацелена на ботнет «Gameover» ZeuS, CryptoLocker Scourge». Krebs on Security. Архивировано из оригинала 4 июня 2014 г. Получено 18 августа 2014 г.
  7. ^ abcdef Абрамс, Лоуренс. "CryptoLocker Ransomware Information Guide and FAQ". Bleeping Computer . Архивировано из оригинала 17 ноября 2013 года . Получено 25 октября 2013 года .
  8. ^ abc Hassell, Jonathan (25 октября 2013 г.). «Cryptolocker: как избежать заражения и что делать, если вы заразились». Computerworld . Архивировано из оригинала 2 апреля 2019 г. . Получено 25 октября 2013 г. .
  9. ^ Даклин, Пол (12 октября 2013 г.). «Разрушительное вредоносное ПО «CryptoLocker» на свободе – вот что делать». Naked Security . Sophos. Архивировано из оригинала 8 мая 2017 г. . Получено 23 октября 2013 г. .
  10. ^ ab Ferguson, Donna (19 октября 2013 г.). «Атаки CryptoLocker, которые удерживают ваш компьютер с целью получения выкупа». The Guardian . Архивировано из оригинала 5 марта 2017 г. Получено 23 октября 2013 г.
  11. ^ ab Blue, Violet (22 декабря 2013 г.). «Криминальная волна CryptoLocker: след миллионов отмытых биткоинов». ZDNet. Архивировано из оригинала 23 декабря 2013 г. Получено 23 декабря 2013 г.
  12. ^ "Мошенники CryptoLocker берут 10 биткоинов за услугу повторного расшифровывания". CSO . 4 ноября 2013 г. Архивировано из оригинала 19 января 2021 г. Получено 5 ноября 2013 г.
  13. ^ abc Constantin, Lucian (4 ноября 2013 г.). «Создатели CryptoLocker пытаются вымогать у жертв еще больше денег с помощью новой услуги». PC World . Архивировано из оригинала 30 апреля 2017 г. Получено 5 ноября 2013 г.
  14. ^ Storm, Darlene (2 июня 2014 г.). "Wham bam: Global Operation Tovar уничтожает CryptoLocker ransomware и GameOver Zeus botnet". Computerworld . IDG. Архивировано из оригинала 3 июля 2014 г. Получено 18 августа 2014 г.
  15. ^ "США возглавляют многонациональные действия против ботнета "Gameover Zeus" и вируса-вымогателя "Cryptolocker", предъявляют обвинения администратору ботнета". Justice.gov (пресс-релиз). Министерство юстиции США. Архивировано из оригинала 3 сентября 2014 года . Получено 18 августа 2014 года .
  16. ^ Графф, Гарретт М. (21 марта 2017 г.). «Внутри охоты на самого печально известного хакера России». Wired . ISSN  1059-1028. Архивировано из оригинала 5 января 2020 г. Получено 18 января 2020 г.
  17. ^ Кребс, Брайан (15 августа 2014 г.). «Новый сайт восстанавливает файлы, заблокированные программой-вымогателем Cryptolocker». Кребс о безопасности . Архивировано из оригинала 7 июня 2017 г. Получено 18 августа 2014 г.
  18. ^ ab Ward, Mark (6 августа 2014 г.). «Жертвы Cryptolocker получат файлы обратно бесплатно». BBC News. Архивировано из оригинала 13 января 2020 г. Получено 18 августа 2014 г.
  19. Yuma Sun об атаке CryptoLocker Архивировано 8 октября 2017 г. на Wayback Machine : «... смог остаться незамеченным антивирусным программным обеспечением, используемым Yuma Sun, поскольку это было вредоносное ПО нулевого дня»
  20. ^ Кэннелл, Джошуа (8 октября 2013 г.). «Cryptolocker Ransomware: что вам нужно знать», последнее обновление 06/02/2014. Malwarebytes Unpacked . Архивировано из оригинала 27 сентября 2022 г. Получено 19 октября 2013 г.
  21. ^ ab Leyden, Josh (18 октября 2013 г.). "Fiendish CryptoLocker ransomware: Whatever you do, don't PAY". The Register . Архивировано из оригинала 18 октября 2013 г. . Получено 18 октября 2013 г. .
  22. ^ Нарейн, Райан (6 июня 2008 г.). «Вирус-вымогатель Blackmail возвращается с ключом шифрования 1024 бит». ZDnet . Архивировано из оригинала 3 августа 2008 г. Получено 25 октября 2013 г.
  23. ^ Лемос, Роберт (13 июня 2008 г.). «Программы-вымогатели, противостоящие попыткам взлома криптосистем». SecurityFocus . Архивировано из оригинала 3 марта 2016 г. Получено 25 октября 2013 г.
  24. ^ "Результаты онлайн-опроса Междисциплинарного исследовательского центра по кибербезопасности при Университете Кента в Кентербери" (PDF) . kent.ac.uk . Университет Кента в Кентербери. Архивировано из оригинала (PDF) 8 марта 2014 г. . Получено 25 марта 2014 г. .
  25. ^ ab Budmar, Patrick (3 октября 2014 г.). "Australia particular targeted by Cryptolocker: Symantec". ARNnet . Архивировано из оригинала 7 октября 2014 г. . Получено 15 октября 2014 г. .
  26. ^ Кирк, Джереми (1 апреля 2014 г.). «CryptoDefense ransomware оставляет ключ дешифрования доступным». Computerworld . IDG. Архивировано из оригинала 3 июля 2014 г. . Получено 7 апреля 2014 г. .
  27. ^ Томсон, Иэн (3 апреля 2014 г.). «Ваши файлы в заложниках у CryptoDefense? Не платите! Ключ дешифрования на вашем жестком диске». The Register. Архивировано из оригинала 26 декабря 2016 г. Получено 6 апреля 2014 г.
  28. ^ ab Pichel, Abigail (26 декабря 2013 г.). "New CryptoLocker распространяется через съемные диски". Trend Micro. Архивировано из оригинала 28 декабря 2013 г. Получено 18 января 2014 г.
  29. ^ ab "Australians Increased hit by global Tide of Cryptomalware". Symantec. Архивировано из оригинала 29 марта 2016 года . Получено 15 октября 2014 года .
  30. ^ «Cryptolocker 2.0 – новая версия или копия?». WeLiveSecurity . ESET. 19 декабря 2013 г. Архивировано из оригинала 22 ноября 2016 г. Получено 18 января 2014 г.
  31. ^ "TorrentLocker теперь нацелен на Великобританию с фишинговой атакой Royal Mail". ESET. 4 сентября 2014 г. Архивировано из оригинала 21 октября 2014 г. Получено 22 октября 2014 г.
  32. ^ Тернер, Адам (15 октября 2014 г.). «Мошенники используют Australia Post для маскировки атак по электронной почте». Sydney Morning Herald . Архивировано из оригинала 16 октября 2014 г. Получено 15 октября 2014 г.
  33. ^ Сотрудники. "Атака Cryptolocker Ransomware" . Получено 27 июня 2023 г.
  34. ^ Сотрудники. "Атака программ-вымогателей" . Получено 21 июля 2023 г.
  35. ^ Раган, Стив (7 октября 2014 г.). «Атака с использованием программ-вымогателей лишила телестанцию ​​эфира». CSO . Архивировано из оригинала 12 октября 2016 г. Получено 15 октября 2014 г.