jigsaw

Обломы с выкупом: несколько побед над шифровальщиками

Преступников, использующих программы-вымогатели, можно перехитрить, но самом деле, такие случаи довольно редки.

Yuri Ilyin
29 апреля 2016

В последние месяцы приходится сталкиваться с большим количеством невесёлых историй о программах-вымогателях. Для разнообразия — и какого-никакого удовольствия — мы хотели бы предложить вам несколько историй о победах над вымогателями.

«Helpme/file2»

Этот вымогатель был известен только под именами «helpme@freespeechmail.org» и «file2@openmailbox.org», как только эти два пользовательских адреса электронной почты были предъявлены для связи с автором вредоносной программы и получения подробной информации о выплате для последующей дешифровки.

Автор(ы) требовал(и) в качестве платы три биткойна. Техфорумы и разные издания окрестили этот криптор чрезвычайно мерзким, так как он причинил немало разрушений.

Обломы с выкупом: несколько историй побед над шифровальщиками
Tweet

Однако осенью прошлого года выяснилось, что этот вымогатель поддаётся грубой силе с использованием утилиты RakhniDecryptor «Лаборатории Касперского». Последняя предназначалась для взлома «почтенного» шифратора Rakhni (Trojan-Ransom.Win32.Rakhni), известного с 2013 г. Скорее всего, вымогатель «helpme@freespeechmail» является его производным.

Так, в конце концов, оказалось, что можно передать преступникам пламенный привет вместо выкупа.

Эпический провал DMA Cryptor

Эта шифрующая вредоносная программа польского происхождения первоначально содержала послание с требованием выкупа только на польском языке. Однако со временем код DMA усовершенствовали и добавили текст на английском.

Затем исследователи из Malwarebytes решили вмешаться и нашли в DMA много забавного.

Авторы вредоносной программы заявляли, что использовали ключ AES-256 для шифрования файлов, после чего укрепили его при помощи шифра RSA-2048, но потом исследователи обнаружили, что использовался лишь собственный алгоритм шифрования, который был быстро взломан.
DMA не имел никакой защиты от обратной разработки, что стало для исследователей отличной новостью.
Ключ шифрования DMA оказался намертво прописан в одном из его двоичных файлов.
Автор DMA встроил дешифратор прямо в послание с требованием выкупа, создав двухрежимную программу-вымогателя, которая может шифровать и расшифровывать файлы посредством одного и того же исходного кода.

Даже если те умники, что писали DMA, уже поняли, что ошиблись, встроив дешифратор, их пользовательский алгоритм шифрования всё равно слаб. К счастью для жертв, это поделка дилетанта, мало чем кому-либо грозящая.

Вымогатель Petya — накачали и лопнули

Зловредный криптор под кодовым названием Petya (это русский аналог имени Пит) был обнаружен в конце прошлого месяца. Шифратор отличается своеобразной особенностью: он охотится на главную загрузочную запись зараженного компьютера, и единственным выходом для жертв остаётся выплата примерно $400 в биткойнах за ключ дешифровки.

Некто под псевдонимом @leostone опубликовал алгоритм для генерации ключей дешифрования.

#Шифровальщики можно одолеть, но чаще всего это просто следствие ошибок преступников.
Tweet

Как указывает Threatpost, пользователи могут сгенерировать ключ дешифрования при условии того, что они способны снабдить утилиту информацией со своего заражённого диска — из загрузочного сектора и всего, что с ним связано.

Это может оказаться не под силу среднему пользователю, но Фабиан Возар, эксперт по безопасности в Emsisoft, написал за уикенд исполняемый файл, предназначенный для извлечения данных с заражённых Petya дисков и ускорения процесса.

Тот же г-н Возар совсем недавно сумел взломать шифрование вымогателей семейств HydraCrypt и UmbreCrypt.

В воскресенье Лоуренс Абрамс, специалист по компьютерной экспертизе, ведущий блог на BleepingComputer.com и следящий за развитием всей саги о вымогателях, составил руководство по использованию данного инструмента. Он проверил его и успешно восстановил данные на тестовой машине. Тем не менее, он признал, что авторы Petya вскоре могут обновить свою программу-вымогателя, сделав дешифровку гораздо сложнее.

Хотели поиграть? Правда?

Одна садистская программа-вымогатель не только шифровала файлов, но и удаляла их, если жертва не платила 0,4 биткойна или $150 в течение часа. Перезагрузка компьютера также оборачивалась удалением 1000 файлов.

Требование выкупа содержало кадр одного из фильма ужасов франшизы «Пила» и соответствующую строку: «Я хочу сыграть с тобой в игру…»

Игра окончена, по крайней мере, на данный момент. Исследователи, в том числе специалисты по безопасности из MalwareHunterTeam и самостоятельные компьютерные эксперты Майкл Гиллеспай и Лоуренс Абрамс, проанализировали вредоносную программу и разработали дешифратор, который позволяет жертвам бесплатно восстановить свои файлы.

Никудышные из вас игроки, клоуны

Теперь самое смешное: помешать Jigsaw удалять какие-либо файлы пострадавший пользователь может, если войдёт в Windows Task Manager и завершит выполнение firefox.exe и всех процессов drpbx.exe. На самом деле Jigsaw попадает в систему под видом поддельного установочного файла браузера Firefox.

Тогда остаётся лишь проблема шифрования, которая решается вышеупомянутым дешифратором.

Исключения, подтверждающие правило

Преступников, использующих программы-вымогатели, можно перехитрить, но самом деле, такие случаи довольно редки. Чаще всего пользователи и компании сталкиваются с менее вдохновляющей перспективой уплаты выкупа без гарантии вернуть свои файлы.

Некоторые штаммы вымогателей просто невозможно расшифровать, не зная ключа, просто потому, что алгоритм шифрования, который они используют, слишком силён.

Так что по умолчанию куда разумнее принять превентивные меры и не пустить зверюгу в дом.

Эксперт по кибербезопасности «Лаборатории Касперского» Андрей Пожогин некоторое время назад написал в блоге:

«Помните о многоуровневом подходе к обеспечению безопасности. Скрупулёзно создавайте резервные копии. Предотвращайте фишинг на сервере электронной почты или в веб-браузере. Ставьте заслон известным вредоносным программам… Проверяйте облачными разведданными. Запирайте на какое-то время в песочнице. Дайте вашему брандмауэру сделать кое-какую работу за вас. Убедитесь, что контроль привилегий приложений запрещает приложениям доступ к вашим персональным данным, если таковой не задан специально. Или вовсе переключитесь в режим запрета по умолчанию».

Как известно, пожар гораздо легче предотвратить, чем потушить.

И напоследок: обратите внимание на недавний релиз «Лаборатории Касперского» — приложение Kaspersky Security for Windows Server, усиленное технологией Anti-Cryptor, предназначенной для предотвращения неконтролируемого распространения «пожарного вымогательства».

Оставайтесь в безопасности!

P.S. И опишите нам парой строк в комментариях собственные встречи с программами-вымогателями, если таковые были!

https://business.kaspersky.ru/de-cryptxxx/3703/

Как хакер подсматривал за людьми через веб-камеры и транслировал это на YouTube

Хакер подсматривает за людьми через веб-камеры и транслирует это на YouTube

Интернет-тролли снова в деле: аноним с «Двача» взломал компьютеры сотен россиян и устроил из их личной жизни шоу на потеху публике

Безопасность детей и защита приватности

Защита отдельных узлов сети

Другие решения

Другие Отрасли

Другие Продукты

Другие Сервисы

Обломы с выкупом: несколько побед над шифровальщиками

Почему тонкий клиент предпочтительнее рабочей станции

Тонкая настройка почтовой защиты

Хакер подсматривает за людьми через веб-камеры и транслирует это на YouTube

Советы

Домашние прокси: в чем риски для организаций?

Сейчас вылетит (верифицированная) птичка, или как распознать фейк

Реклама на службе у… спецслужб

Босс или мошенник? Обман под видом поручений начальства

Подпишитесь на нашу еженедельную рассылку

Решения для дома

Для малого бизнеса

Для среднего бизнеса

Корпоративные решения

Securelist

Nota Bene: блог Евгения Касперского

Энциклопедия