После успешной ликвидации части инфраструктуры, используемой для распространения CryptoLocker, этот опасный шифровальщик, вполне вероятно, начнет уступать свои позиции. И есть кому: на черном рынке уже появились альтернативы.

Новейшим криптоблокером, привлекшим внимание исследователей и собравшим заметное число заражений, является CryptoWall. Эксперты Cisco сообщают, что распространяется этот зловред с помощью эксплойт-пака RIG. CryptoWall, как и CryptoLocker, шифрует данные на жестком диске 2048-битным ключом RSA и требует выкуп в ограниченные сроки. Размер выкупа составляет от $300 до $600, для оплаты жертве предлагается пройти на индивидуальную страницу по указанной ссылке либо загрузить браузер для Tor и ввести onion-адрес вручную. В случае неуплаты вымогатели грозятся уничтожить ключ разблокировки, так что взятые в заложники файлы будут безвозвратно утеряны.

«К этой угрозе следует отнестись со всей серьезностью: известны случаи, когда шантажисты выполняли свои обещания, — предупреждает Леви Гундерт (Levi Gundert), ведущий вирусный аналитик Cisco и специалист по связям с общественностью. — Программы-блокеры доказали свою эффективность как орудие вымогательства, и вариации на тему CryptoLocker, полагаю, не скоро иссякнут».

RIG-трафик Cisco начала блокировать в конце апреля, его пик пришелся на май. Этот эксплойт-пак атакует пользователей через вредоносную рекламу, которую можно встретить даже на популярных и легитимных сайтах. По данным Cisco, в настоящее время 48% набора RIG составляют эксплойты к уязвимостям во Flash, 30% — в плагине Microsoft Silverlight, 13% — в Java. При этом число Silverlight-эксплойтов растет, а Java постепенно снижается. Расширение использования брешей в Silverlight подтверждает и недавняя эксплойт-атака на клиентуру Netflix, американского провайдера потокового видео. Netflix использует Silverlight как компонент своего сервиса, растущая популярность которого не могла не привлечь внимание киберкриминала.

Теперь, когда CryptoWall явил пример симбиоза блокера и эксплойт-пака, использующего слабости рекламных сетей, можно ожидать появления подражателей. Согласно наблюдениям Cisco, половина запросов на лендинг-страницы RIG исходит с узла ads1[.]solocpm[.]com, при этом 90 из них оказались перенаправленными из доменов другой рекламной сети, adnxs[.]com. Анализ реферер-полей в запросах показал, что связанная с RIG вредоносная реклама могла быть размещена на популярных сайтах, таких как altervista.org, apps.facebook.com и ebay.in.

Некоторые вредоносные сайты работают на движке WordPress, однако скомпрометированы они были, по мнению Cisco, путем подбора паролей, а не через уязвимости. «Если для размещения эксплойт-пака используются легитимные сайты, нет нужды создавать и поддерживать специализированную доменную инфраструктуру, — отметил Гундерт. — Снимается и часть связанных с ней проблем: регистрация новых доменов, рандомизация имен, использование множественных email-адресов и прочих ухищрений, призванных замести следы».

Администрации города Дарем, штат Нью-Гэмпшир, удалось с успехом избавиться от CryptoWall, проникшего на компьютеры местной полиции, после того, как один из офицеров активировал ссылку в почтовом сообщении. Правда, при этом пришлось отключить все системы и восстанавливать их заново из резервных копий.

Глава администрации Дарема Тодд Селиг (Todd Selig) поведал Threatpost, что вопрос об уплате выкупа даже не рассматривался. «Мы создаем резервные копии всех систем регулярно и каждый день; копии хранятся на внешних носителях, поэтому мы были уверены, что этот резерв уцелел, — пояснил Селиг. — Платить выкуп при таком раскладе показалось нам нецелесообразным. Мы знали, что сможем восстановить систему. Вопрос был только во времени, которое пришлось потратить на изоляцию вируса, истребление его на всех полицейских системах и последующее восстановление с помощью резервных копий».

Селиг также отметил, что электронное письмо, с которого начались все неприятности, пришло, по всей видимости, из доверенного источника: «Это было известие, которое офицер, похоже, ожидал получить. Они собирались куда-то на рыбалку, а на машине отправителя оказался вирус». «К счастью, мы заранее позаботились о том, чтобы обеспечить надежные резервные копии, — добавил Селиг. — Этот случай доказал, насколько полезно иметь такой резерв».

Фото любезно предоставлено Тоддом Селигом, Дарем, штат Нью-Гэмпшир.

Категории: Вредоносные программы