Нового избранника на посту президента США часто оценивают по тому, чего он достиг за первые 100 дней своего правления. Если с такой же меркой подойти к авторам CryptoLocker, можно с уверенностью утверждать, что их дебют оказался во всех отношениях успешным. В опубликованном Dell SecureWorks отчете о проведенных sinkhole-операциях против этого вымогателя указано, что на настоящий момент этот зловред заразил по всему миру 200–250 тыс. компьютеров, а совокупная сумма отступных, выплаченных его жертвами, уже превысила 300 тыс. долларов.

В данном отчете представлена краткая история CryptoLocker и детально проанализирован способ шифрования файлов, применяемый этим зловредом, требующим выкуп за расшифровку — обычно в размере 300 долларов в цифровом эквиваленте. Это очень познавательный материал, и наиболее ценно то, что он дает представление о масштабах распространения этого блокера, объявившегося в начале сентября.

В ноябре британцы сообщали, что CryptoLocker был разослан по почте «десяткам миллионов» пользователей в этой стране, однако в то время еще было неизвестно, сколько адресатов открыли вредоносные вложения и загрузили зловред. Теперь благодаря SecureWorks размеры бедствия стали очевидными: по оценке экспертов, за 100 дней своего существования в Интернете вымогатель заразил примерно 200–250 тыс. машин, преимущественно американских.

В октябре-ноябре экспансия CryptoLocker начала набирать обороты, и борцы с интернет-угрозами в США и Великобритании забили тревогу, опубликовав соответствующие предупреждения. И, как выяснилось, не зря. Согласно статистике SecureWorks, в конце октября — начале ноября львиная доля таких инфекций была обнаружена на территории США. Из 31,9 тыс. уникальных IP-адресов, обращавшихся к sinkhole-серверу компании, около 22,4 тыс., то есть более 70%, имели американскую прописку. На долю Великобритании пришлось около 5,5% заражений.

Стремительное распространение инфекции вполне ожидаемо совпало с активизацией спам-рассылок с ботнета Cutwail. Злоумышленники распространяли вредоносные письма, нацеленные на засев ZeuS/Gameover, который загружал CryptoLocker в соответствии с партнерской PPI-схемой (pay-per-install, оплата за каждую установку). В начале декабря активность CryptoLocker несколько убавилась, и разрыв в популяции этого зловреда в США и Великобритании уменьшился (24 и 19% заражений соответственно).

Вначале операторы зловреда предлагали жертвам разные варианты оплаты: MoneyPak, CashU, Ukash, Paysafecard. В октябре они начали также принимать выкуп в биткойнах. По словам Кита Джарвиса (Keith Jarvis), старшего эксперта SecureWorks, требованиям шантажистов уступают как минимум 0,4% жертв. С учетом общего числа заражений количество «плательщиков» должно было составить порядка 1 тыс. Если считать, что каждый из них уплатил по 300 долларов в криптовалюте, CryptoLocker за 100 дней принес своим хозяевам кругленькую сумму. При этом Джарвис оговорился, что это лишь «консервативная оценка». «Судя по масштабам и продолжительности атак, у них [вымогателей] есть налаженная и основательная, «весомая» инфраструктура для обналичивания выкупа и отмывания доходов», — полагает эксперт.

Категории: Вредоносные программы