29 апреля 2016

Обломы с выкупом: несколько побед над шифровальщиками

Бизнес

В последние месяцы приходится сталкиваться с большим количеством невесёлых историй о программах-вымогателях. Для разнообразия — и какого-никакого удовольствия — мы хотели бы предложить вам несколько историй о победах над вымогателями.

«Helpme/file2»

Этот вымогатель был известен только под именами «helpme@freespeechmail.org» и «file2@openmailbox.org», как только эти два пользовательских адреса электронной почты были предъявлены для связи с автором вредоносной программы и получения подробной информации о выплате для последующей дешифровки.

Автор(ы) требовал(и) в качестве платы три биткойна. Техфорумы и разные издания окрестили этот криптор чрезвычайно мерзким, так как он причинил немало разрушений.

Однако осенью прошлого года выяснилось, что этот вымогатель поддаётся грубой силе с использованием утилиты RakhniDecryptor «Лаборатории Касперского». Последняя предназначалась для взлома «почтенного» шифратора Rakhni (Trojan-Ransom.Win32.Rakhni), известного с 2013 г. Скорее всего, вымогатель «helpme@freespeechmail» является его производным.

Так, в конце концов, оказалось, что можно передать преступникам пламенный привет вместо выкупа.

Эпический провал DMA Cryptor

Эта шифрующая вредоносная программа польского происхождения первоначально содержала послание с требованием выкупа только на польском языке. Однако со временем код DMA усовершенствовали и добавили текст на английском.

Затем исследователи из Malwarebytes решили вмешаться и нашли в DMA много забавного.

  • Авторы вредоносной программы заявляли, что использовали ключ AES-256 для шифрования файлов, после чего укрепили его при помощи шифра RSA-2048, но потом исследователи обнаружили, что использовался лишь собственный алгоритм шифрования, который был быстро взломан.
  • DMA не имел никакой защиты от обратной разработки, что стало для исследователей отличной новостью.
  • Ключ шифрования DMA оказался намертво прописан в одном из его двоичных файлов.
  • Автор DMA встроил дешифратор прямо в послание с требованием выкупа, создав двухрежимную программу-вымогателя, которая может шифровать и расшифровывать файлы посредством одного и того же исходного кода.
excellent

Даже если те умники, что писали DMA, уже поняли, что ошиблись, встроив дешифратор, их пользовательский алгоритм шифрования всё равно слаб. К счастью для жертв, это поделка дилетанта, мало чем кому-либо грозящая.

Вымогатель Petya — накачали и лопнули

Зловредный криптор под кодовым названием Petya (это русский аналог имени Пит) был обнаружен в конце прошлого месяца. Шифратор отличается своеобразной особенностью: он охотится на главную загрузочную запись зараженного компьютера, и единственным выходом для жертв остаётся выплата примерно $400 в биткойнах за ключ дешифровки.

Некто под псевдонимом @leostone опубликовал алгоритм для генерации ключей дешифрования.

Как указывает Threatpost, пользователи могут сгенерировать ключ дешифрования при условии того, что они способны снабдить утилиту информацией со своего заражённого диска — из загрузочного сектора и всего, что с ним связано.

Это может оказаться не под силу среднему пользователю, но Фабиан Возар, эксперт по безопасности в Emsisoft, написал за уикенд исполняемый файл, предназначенный для извлечения данных с заражённых Petya дисков и ускорения процесса.

Тот же г-н Возар совсем недавно сумел взломать шифрование вымогателей семейств HydraCrypt и UmbreCrypt.

В воскресенье Лоуренс Абрамс, специалист по компьютерной экспертизе, ведущий блог на BleepingComputer.com и следящий за развитием всей саги о вымогателях, составил руководство по использованию данного инструмента. Он проверил его и успешно восстановил данные на тестовой машине. Тем не менее, он признал, что авторы Petya вскоре могут обновить свою программу-вымогателя, сделав дешифровку гораздо сложнее.

Хотели поиграть? Правда?

Одна садистская программа-вымогатель не только шифровала файлов, но и удаляла их, если жертва не платила 0,4 биткойна или $150 в течение часа. Перезагрузка компьютера также оборачивалась удалением 1000 файлов.

Требование выкупа содержало кадр одного из фильма ужасов франшизы «Пила» и соответствующую строку: «Я хочу сыграть с тобой в игру…»

Игра окончена, по крайней мере, на данный момент. Исследователи, в том числе специалисты по безопасности из MalwareHunterTeam и самостоятельные компьютерные эксперты Майкл Гиллеспай и Лоуренс Абрамс, проанализировали вредоносную программу и разработали дешифратор, который позволяет жертвам бесплатно восстановить свои файлы.

 

saw

Никудышные из вас игроки, клоуны

Теперь самое смешное: помешать Jigsaw удалять какие-либо файлы пострадавший пользователь может, если войдёт в Windows Task Manager и завершит выполнение firefox.exe и всех процессов drpbx.exe. На самом деле Jigsaw попадает в систему под видом поддельного установочного файла браузера Firefox.

Тогда остаётся лишь проблема шифрования, которая решается вышеупомянутым дешифратором.

Исключения, подтверждающие правило

Преступников, использующих программы-вымогатели, можно перехитрить, но самом деле, такие случаи довольно редки. Чаще всего пользователи и компании сталкиваются с менее вдохновляющей перспективой уплаты выкупа без гарантии вернуть свои файлы.

Некоторые штаммы вымогателей просто невозможно расшифровать, не зная ключа, просто потому, что алгоритм шифрования, который они используют, слишком силён.

Так что по умолчанию куда разумнее принять превентивные меры и не пустить зверюгу в дом.

Эксперт по кибербезопасности «Лаборатории Касперского» Андрей Пожогин некоторое время назад написал в блоге:

«Помните о многоуровневом подходе к обеспечению безопасности. Скрупулёзно создавайте резервные копии. Предотвращайте фишинг на сервере электронной почты или в веб-браузере. Ставьте заслон известным вредоносным программам… Проверяйте облачными разведданными. Запирайте на какое-то время в песочнице. Дайте вашему брандмауэру сделать кое-какую работу за вас. Убедитесь, что контроль привилегий приложений запрещает приложениям доступ к вашим персональным данным, если таковой не задан специально. Или вовсе переключитесь в режим запрета по умолчанию».

Как известно, пожар гораздо легче предотвратить, чем потушить.

И напоследок: обратите внимание на недавний релиз «Лаборатории Касперского» — приложение Kaspersky Security for Windows Server, усиленное технологией Anti-Cryptor, предназначенной для предотвращения неконтролируемого распространения «пожарного вымогательства».

Оставайтесь в безопасности!

P.S. И опишите нам парой строк в комментариях собственные встречи с программами-вымогателями, если таковые были!

https://business.kaspersky.ru/de-cryptxxx/3703/