Криптолокер Cryakl, или В руках Фантомаса

Угрозы

Сетевое вымогательство с использованием разнообразных зловредов приобрело масштабы стихийного бедствия. Мошенники постоянно совершенствуют вредоносное ПО: еще пару лет назад они предпочитали относительно безвредные программы блокировки ОС Windows, которые любой продвинутый пользователь мог легко удалить самостоятельно, но со временем троянцы стали гораздо опаснее.

Fantomas Cryakl Cryptolocker

Сегодня мы расскажем об очередном криптолокере, рассчитанном на российскую аудиторию. Эта программа шифрует пользовательские файлы, и даже после удаления зловреда доступ к данным невозможен.

Распространение

Прозвище «Фантомас» Ransom.Win32.Cryakl.bo получил за использование портрета киношного злодея в сообщении вымогателей. Первый всплеск рассылки этой заразы зафиксирован в октябре (более подробная информация о данном зловреде доступна на нашем ресурсе Securelist).

В смысле механизма распространения данный шифровальщик выделяется своеобразной мимикрией: пользователю приходит электронное письмо, маскирующееся под уведомление Высшего арбитражного суда РФ о возбуждении против него административного дела. Для получения дополнительной информации злоумышленники предлагают скачать файл с «документами».

Методы маскировки классические: красиво оформленное в формате HTML письмо с логотипами ведомства, ссылка на мошеннический ресурс (источник ссылки, разумеется, в тексте письма не виден). Грамотный пользователь может препарировать исходный текст письма и лично убедиться, что никакого отношения к уважаемому ведомству оно не имеет. Собственно, Cryakl и вирусом-то назвать нельзя, поскольку пользователь заносит его в систему сам и способов дальнейшего распространения в программе не предусмотрено. Тем не менее в некоторых обстоятельствах на уловку могут попасться даже осторожные люди, на что и рассчитывают создатели «Фантомаса».

Устройство зловреда

В загруженном архиве с «документами» Attachment.zip содержится исполняемый файл Attachment.scr, который устанавливает на атакуемый компьютер сразу два зловреда: крадущий пароли троянец (устанавливается под именем winzip.exe) и шифровальщик «Фантомас» (устанавливается под именем winrar.exe). Исполняемые файлы упакованы способом, затрудняющим их распознавание антивирусными программами.

Из особенностей конструкции зловреда можно выделить оригинальный алгоритм шифрования данных. Программа генерирует мастер-ключ и отправляет его по электронной почте мошенникам. Затем «Фантомас» начинает шифровать файлы, создавая для каждого из них уникальный ключ на основе мастер-ключа. При этом шифруется не весь файл, а только первые 255 байт и три блока, расположенные в случайных частях.

Ущерб от заражения

Как и другие криптолокеры, «Фантомас» лишает пользователя доступа к нажитым нелегким трудом данным: документам Word, Excel и PowerPoint, а также к фотографиям, видеороликам и прочему контенту. Теоретически могут пострадать и программы, но их легко переустановить.

Даже если вы работаете на корпоративной машине и не имеете администраторских полномочий, троян-шифровальщик это не остановит, поскольку его целью являются пользовательские данные. Кроме того, второй программный модуль тихо и незаметно крадет ваши пароли.

Разумеется, потерять документы никто не хочет, и мошенники предлагают купить у них мастер-пароль для расшифровки данных за сходную цену, указывая способ связи в картинке на рабочем столе. Здесь мы и видим узнаваемый портрет самого загадочного кинозлодея второй половины прошлого века (за него криптолокер и получил свое прозвище). Точный диапазон сумм, которые просят преступники, сложно установить, но известно о случае, когда за файлы запросили $1000.

Лечение или профилактика

Метода расшифровки пораженных файлов для данного шифровальщика пока не существует

Метода расшифровки пораженных файлов для данного шифровальщика пока не существует. А пришлют ли вам злоумышленники мастер-ключ — большой вопрос, даже если и получат деньги. Криптолокеры — это как раз тот случай, когда профилактика обходится гораздо дешевле лечения.

Методы превентивной борьбы с подобными зловредами известны: не стоит скачивать и устанавливать ПО из неофициальных источников и открывать ссылки в сомнительных письмах. Как минимум всегда стоит внимательно проверить реальную ссылку (например, нажав правую кнопку мыши и скопировав ссылку в буфер обмена) и сравнить ее с официальным адресом сайта организации, от имени которой вы получили письмо.

Криптолокеры сейчас популярны у мошенников (их уже пишут и для мобильных ОС), так что «Фантомас» — далеко не последний подобный троян. По этому поводу совсем не лишним будет установить антивирус, который умеет защищать от подобных угроз. Например, Kaspersky Internet Security имеет несколько встроенных средств противодействия данному типу зловредов.