Cryptolocker и его последствия для бизнеса

«Еле отделался от Cryptolocker…» — cообщения вроде этого периодически всплывают на Reddit и в других соцмедиа, хотя большинство из них куда менее оптимистичны. В программах-вымогателях нет ничего нового, но за

«Еле отделался от Cryptolocker…» — cообщения вроде этого периодически всплывают на Reddit и в других соцмедиа, хотя большинство из них куда менее оптимистичны. В программах-вымогателях нет ничего нового, но за последние несколько лет они превратились из относительно редкой проблемы в постоянный повод для беспокойства. Распространение одного конкретного штамма — Cryptolocker – приобрело размах эпидемии. Спустя год две по-настоящему большие ветви обсуждения (1, 2) со всеми известными данными о Cryptolocker были собраны и структурированы. Там этого много и всплывает ещё больше в ответ на простой поисковый запрос.

Несмотря на то, что Cryptolocker появился лишь где-то в сентябре 2013 года, он сразу же стал почти синонимом «программы-вымогателя» вообще. Cryptolocker оказался чрезвычайно плодовит, агрессивен и разрушителен. Оценки количества заражений разнятся, но можно с уверенностью предположить пяти- и шестизначные числа. И при всём том, что жертвам Cryptolocker всегда рекомендовали не платить, даже те 1,3%, которые, по-видимому, раскошелились, обеспечили, в общей сложности, семи- и восьмизначные суммы доходов операторам Crypto. В числе жертв оказались как предприятия, так и частные лица. Для последних потеря данных из-за шифровального вымогателя является драмой, а для бизнеса может грозить полным провалом и потерей всего. Особенно, если не было резервного копирования, или оно осуществлялось на том же сервере, который был инфицирован. С Crypto выходит так, будто и вовсе не было никаких резервных копий.

Судя по всему, это зловредная программа. Вектор атаки нисколько не уникален: Cryptolocker проникает в систему через фишинговые письма с вредоносным вложением (у вредоносов не так много других способов попасть в систему). Также хорошо известно, что его подсаживали непосредственно в системы, захваченные ботнетом Gameover ZeuS. Этот ботнет был ликвидирован в прошлом году благодаря крупномасштабной операции Tovar, имевшей приятные последствия для жертв Crypto. Тем не менее, атаки продолжаются как со стороны оригинального Cryptolocker, так и со стороны его более развитых сородичей.

Пробравшись в систему, Cryptolocker тайком расселяется по локальным жестким дискам, подключенным сетевым дискам и, по-видимому, не только там:


(Перевод: @dropbox_support Пожалуйста, помогите как можно скорее, наш Dropbox зашифрован вирусом Cryptolocker!!! Мы в нем ведём весь наш бизнес!! — Лиза Кернс (@LizaKearns) 3 декабря 2014).

Изначально Cryptolocker удавалось обходить передовые решения безопасности и контроль учётных записей пользователей Windows, так что изумленные ИТ-специалисты иногда обнаруживали атаки только после нанесения ущерба. Из-за своих технических особенностей сам Cryptolocker имел очень ограниченную область действия, шифруя только какие-то неочевидные диски в сети. Хуже, если Cryptolocker никак себя не проявляет, или если его «проявление» упустили, как в этом случае, когда файлы PDF и Word были зашифрованы за недели до того, как это выяснилось. В данном примере Cryptolocker уничтожил данные за семь лет.

Шифрование, конечно, занимает какое-то время. Если его не прекратить путём включения питания заражённой системы (заражённых систем), оно будет успешно завершено. И тогда поступит предложение, от которого невозможно отказаться: «Кошелёк или смерть».

«Смерть» тут — ни в коем случае не преувеличение. В зависимости от объёмов и ценности зашифрованных файлов инцидент потенциально способен полностью подорвать бизнес. Представьте себе инженерное или архитектурное бюро с зашифрованными Cryptolocker жизненно важными файлами DWG, на создание которых ушли годы упорной работы.

Компании вроде этой, возможно, и рады будут заплатить, даже если предприятиям выставляют суммы за расшифровку крупнее, чем отдельным пользователям. По той самой причине, что на кону — само выживание бизнеса, даже если нет никакой гарантии получения ключа, как это бывает в случае с оффлайновыми вымогателями и шантажистами. Конечно, есть все основания полагать, что дешифратор, предоставленный «компанией» операторов Cryptolocker после выкупа, может нанести дополнительный урон.

Жертвам предлагается оплатить биткойнами в течение 72-100 часов, в противном случае ключ шифрования будет уничтожен. Есть также свидетельства того, что по истечении первых 72 часов ключ не удаляется, зато требуемая сумма в биткойнах увеличивается впятеро. Как отдельные пользователи, так и предприятия оказываются перед крайне неприятным выбором: либо потерять данные, либо подчиниться требованиям злоумышленника.

Как и в случае любой другой разрушительной вредоносной программы (помните эти ранние вирусы и черви, которые могли стереть все данные на жестком диске?), единственный способ компенсировать потери — восстановить данные из «холодильника», то есть с оффлайнового устройства резервного копирования. Шифратору для работы требуется вычислительная мощность, поэтому данные в автономном хранилище находятся в безопасности, даже если туда тоже проникла вредоносная программа. После извлечения резервной копии легче обнаружить и убить шифрующую вредоносную программу. Но это означает, что бизнес должен иметь соответствующие возможности и выполнять резервное копирование на регулярной основе, предпочтительно автоматически. И не следует забывать о паролях для этих резервных копий.

Одна из наиболее странных ситуаций, на которые я натыкался, была сагой из трёх частей (1, 2, 3) о бухгалтерской фирме, пострадавшей от Cryptolocker.Технический специалист почистил сервер, так как располагал резервными копиями в Carbonite. Но он решил использовать собственный ключ вместо того, чтобы разрешить Carbonite распоряжаться этим. Предположительно, он так поступил в целях обеспечения дополнительной безопасности, но забыл пароль.

«По-настоящему поражает…, сколько раз он налажал», — пишет автор поста. Упомянутый выше специалист не остановился на этом и нанёс ещё больший ущерб: «…Он удалил все резервные копии в Carbonite, снёс сам Carbonite, забыл пароль и не смог установить всё обратно». После этого он пропал без вести и перестал отвечать на телефон.

Автор поста сделал попытку восстановить пароль к резервным копиям Carbonite при помощи Hashcat, но, если судить по отсутствию сообщений о достигнутом успехе, ничего у него не вышло.

«Крылья» Cryptolocker сильно подрезали в середине 2014 года, когда был ликвидирован ботнет GameOver ZeuS, который его распространял. Была добыта база данных с ключами шифрования (они всё ещё хранились!), и запущен бесплатный сервис, призванный помочь людям восстановить доступ к своим файлам, зашифрованным Cryptolocker. Кстати, драма с семью годами работы, едва не пошедшими коту под хвост, благополучно завершилась благодаря этому сервису.

Тем не менее, существует еще много других шифровщиков-вымогателей, еще более пакостных, опасных, и трудноизлечимых. А предприятия до сих пор, кажется, не в состоянии справиться с более старыми версиями Cryptolocker:

(Перевод: Слышал про ИТ-сеть, пострадавшую от Cryptolocker. Без резервного копирования, предыдущие версии отключены, дерьмо с #security и т.д. А вы цените свой бизнес? — Стюарт Кинг (@Lanarkshire_IT) 1 октября 2014).

С другой стороны, Cryptolocker привлек к себе повышенное внимание, поэтому предприятия теперь относятся к шифровщикам-вымогателям куда серьезнее прежнего. Это похоже на парадоксальное, но всё же благоприятное последствие эпидемии Cryptolocker.

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.

Дом, умный дом

Скорее всего, уже сейчас в вашей квартире найдется несколько компонентов «умного» дома. Как извлечь из них максимум пользы и сделать по-настоящему умными?

Подпишитесь на нашу еженедельную рассылку
  • For all other countries