16 января 2014

Cryptolocker 2.0: вор и самозванец

Бизнес

На площадках, связанных с вопросами информационной безопасности, вовсю обсуждается новая программа, которая на 150% оправдывает определение «зловред», поскольку вправду причиняет и вред, и, так сказать, преумножает зло, как и все блокеры. Речь идёт о Cryptolocker 2.0, предположительно, новой версии или дальнем родственнике злополучного троянца-вымогателя Cryptolocker. Как и прочие зловреды подобного рода, Cryptolocker и Cryptolocker 2.0 шифруют значительную часть данных на жёстком диске, после чего выводят на экран «предложение, от которого невозможно отказаться»: выплатить злоумышленникам кругленькую сумму, желательно, в биткойнах. Вероятность получения в ответ ключа дешифровки — 50/50, то есть, может быть, пришлют, а может, и нет.

Особенность Cryptolocker 2.0 заключается в том, что он способен распространяться и через съёмные накопители данных. Является ли новый зловред действительно обновлённой версией прежнего троянца-блокера — это ещё большой вопрос. Некоторые специалисты считают, что связи между оригинальным Cryptolocker и Cryptolocker 2.0 (именно так себя обозначает сама программа) нет. Так что второй зловред — не только вор, но ещё и самозванец.

Cryptolocker (оригинальный) наделал много шуму и в США, и в Великобритании. В первую очередь, именно там, поскольку зловред атакует, главным образом, пользователей в англоговорящих странах. Государственные организации — Американская группа быстрого реагирования на компьютерные инциденты (US-CERT) и Национальное подразделение по борьбе с киберпреступностью Великобритании независимо друг от друга выпустили информационные бюллетени, посвящённые угрозе Cryptolocker. В британском бюллетене особо подчёркивалось, что авторы этого вредоносного ПО устроили целую кампанию, направленную как против рядовых пользователей, так и против малого и среднего бизнеса. Потенциальных жертв забрасывают электронными сообщениями, имитирующими уведомления и запросы со стороны государственных учреждений, служб доставок и т.п. Естественно, в письмах содержатся вредоносные вложения.

А дальше, если зловред попадает-таки на пользовательскую машину, он выискивает файлы с заданными расширениями на локальных и сетевых ресурсах, включая диски сетей общего пользования, съемные накопители (флеш), внешние жесткие диски, совместные файловые системы и некоторые облачные хранилища. Если заражён один компьютер в локальной сети, скорее всего, шифровальщик попытается захватить данные на всех её ресурсах. US-CERT рекомендует при появлении на экране красного баннера Cryptolocker с «инструкцией» от вымогателей немедленно изолировать компьютер от проводных и беспроводных сетей.

К сожалению, несмотря на все предупреждения, кампания по распространению Cryptolocker оказалась, судя по всему, очень успешной: по примерным данным Dell SecureWorks, за первые сто дней кампании, начавшейся 5 сентября, зараженными оказались 200-250 тысяч компьютеров — вполне тянет на глобальную эпидемию. Самое меньшее, 0,4% жертв предпочли заплатить, хотя, скорее всего, эта цифра намного выше. Так что куш злоумышленники сорвали немаленький.

wide

Cryptolocker 2.0 может являться новой версией, усовершенствованным «клоном» оригинального Cryptolocker, а может быть просто имитацией, так как различий очень много.

Оригинальный Cryptolocker использовал ключ шифрования в 2048 бит, в то время как Cryptolocker 2.0 заявляет, что используется RSA 4096, хотя на деле — только 1024 бит. Вероятно, усиление воспоследует.

Авторы Cryptolocker 2.0 требуют выкуп только в валюте Bitcoin, в то время как авторы Cryptolocker были рады принимать деньги в MoneyPak, Ukash или cashU.

Cryptolocker был скомпилирован на Visual C++, Cryptolocker 2.0 написан на C#. Отличается и список расширений, на файлы с которыми охотится программа. Cryptolocker был более, так сказать, «бизнес-ориентированным» и игнорировал видео и музыкальные файлы, в то время как Cryptolocker 2.0 отнюдь не брезгует и такими расширениями, как mp3, .mp4, .jpg, .png, .avi, .mpg и так далее.

Ещё одна интересная подробность: Cryptolocker использовал алгоритм генерации случайных доменных имён для своих контрольных серверов, в то время как у Cryptolocker 2.0 адреса вписаны в код, что делает «инфраструктуру» нового зловреда несколько более уязвимой.

Cryptolocker 2.0 может являться новой версией, усовершенствованным «клоном» оригинального Cryptolocker, а может быть просто имитацией, так как различий очень много. Это может быть также «черновая» версия нового зловреда, который будет куда опаснее своих предшественников.

Не исключено, что «версия 2.0» на самом деле представляет собой своего рода пробный вариант активно разрабатываемого зловреда, который со временем станет куда опаснее, чем сейчас. Впрочем, то, что он распространяется по съёмным накопителям как червь, уже вызывает тревогу.

Отличается Cryptolocker 2.0 также и тем, что пытается имитировать. Вместо «официальных уведомлений» он выдаёт себя за «активаторы» (крэкеры) для проприетарного ПО — Microsoft Windows, Microsoft Office, Team Viewer, Adobe Photoshop и даже для некоторых антивирусов.

Таким образом, наиболее вероятными жертвами, опять же, могут стать пользователи пиратского ПО. Нередко малые компании предпочитают экономить на лицензионном софте. Теперь им придётся опасаться не только проблем с законом, но и потери всех данных, потому что, опять-таки, злоумышленники совсем не обязательно пришлют ключ к расшифровке, даже если им заплатят требуемый выкуп.