В обращении появилась «похудевшая» версия Cryptowall, лишенная встроенных эксплойтов; этот пример отражает набирающую популярность тенденцию к распространению вымогательского ПО исключительно через эксплойт-паки.

Такие наборы, как Angler, Nuclear, а с недавних пор и HanJuan, обретая Flash-эксплойты, с большим успехом помогают злоумышленникам раздавать кликеров и вымогателей, принося своим операторам огромные прибыли.

Исследователи из группы Talos, входящей в состав Cisco, опубликовали отчет по результатам анализа образца вредоносного кода, являющегося, по их мнению, Cryptowall 3.0, также известным как Crowti.

Cryptowall 3.0, как и предыдущие версии этого блокера, использует многоуровневое шифрование; он отыскивает нужные файлы на скомпрометированной машине, шифрует их и требует плату за ключ к шифру.

Так же как и прежние версии, Cryptowall 3.0 осуществляет связь с C&C-сервером через анонимные сети, в данном случае через I2P. Но, в отличие от своих предшественников, этот зловред избавился от ряда функций, в том числе от эксплойтов в своем файле-дроппере. Он отказался также от возможности выбора между 32- и 64-битным режимами и от проверки запуска кода на виртуальной машине, обычно используемой для анализа вредоносного кода. Помимо этих находок исследователи, к своему удивлению, обнаружили в сэмпле мертвый код и бесполезные API вызовы.

«Отсутствие каких-либо эксплойтов в дроппере, скорее всего, означает, что разработчики вредоносного софта решили сфокусироваться на использовании эксплойт-паков в качестве вектора для атак, поскольку их функционал позволяет получить повышение привилегий в системе, — говорится в отчете Cisco. — Без повышения привилегий попытки отключить многие средства защиты, скорее всего, потерпят поражение».

Согласно Cisco, расшифровка проходит в три этапа, во время которых дроппер считывает, расшифровывает и сохраняет код, прежде чем выполнить PE-файл, содержащий сам блокер.

В январе Microsoft опубликовала результаты собственного анализа Cryptowall 3.0, отметив кратковременный всплеск активности сразу после Нового года; этот пик также заметил французский исследователь Kafeine, специалист по изучению эксплойт-паков. Тогда же Kafeine и Microsoft заявили, что данная модификация Crowti использует для коммуникаций Tor и I2P. Жертвам показывают изображение, поясняющее, как уплатить выкуп с помощью Bitcoin или через платежный сервис, а также как установить и настроить браузер Tor. Crowti не проявлял особой активности с конца октября, когда Microsoft обнаружила 4 тыс. зараженных систем, 71% из которых находились на территории США.

Cryptowall 2.0 был «навороченной» версией этого семейства вымогателей, поддерживающей механизм обнаружения 64-битных систем, многослойную обфускацию исполняемого кода и связь через приватные сети.

В своем нынешнем отчете Cisco подробно рассмотрела все этапы расшифровки, сборку бинарного файла Cryptowall 3.0, создаваемые им процессы и используемые для связи URL. Как и в случае с предыдущими версиями, заражения можно избежать, исключив начальный вектор атаки, будь то фишинговое письмо или drive-by-загрузка.

«Блокировка фишинговых писем, сетевых соединений с известными вредоносными сайтами, как и остановка вредоносных процессов в системе, является важной мерой в борьбе с вымогательским ПО и препятствует взятию ваших данных в заложники, — поясняет представитель Cisco. — Наличие надежного бэкапа и политики восстановления системы также крайне важно для сохранности ваших данных, будь то стихийные бедствия или же атаки сетевых злоумышленников».

Категории: Вредоносные программы, Главное, Уязвимости