CryptoLocker ― это один из новейших представителей тех троянских блокеров, которые шифруют пользовательские файлы и требуют выкуп за расшифровку. Американская группа быстрого реагирования на компьютерные инциденты (US-CERT) опубликовала предупреждение, информируя граждан и организации о рисках, связанных с этим Windows-зловредом. Борцы с интернет-угрозами призывают жертв CryptoLocker не платить шантажистам. Вместо этого им рекомендуют обращаться в Центр приема жалоб на киберпреступления, работающий под эгидой ФБР (IC3).

Злоумышленники требуют, чтобы им заплатили в течение трех дней, иначе полоненные данные будут безвозвратно потеряны. Оплату дешифровки (порядка 300 долларов) надлежит производить одноразовой картой MoneyPak или биткойнами. Однако в алерте US-CERT отмечает: «Некоторые жертвы заявили онлайн, что они заплатили вымогателям, но обещанный ключ так и не получили».

CryptoLocker появился месяца два назад и распространяется преимущественно в виде вложений в спам-письма, имитирующие нотификации от легальных компаний или служб экспресс-доставки (Federal Express, UPS). Злоумышленники могут также загрузить его на ботнет (например, на основе ZeuS) по партнерской PPI-схеме, то есть раздать блокер как вторичную инфекцию.

После инсталляции CryptoLocker ищет файлы с заданными расширениями на локальных и сетевых ресурсах, включая диски сетей общего пользования, съемные накопители (флеш), внешние жесткие диски, совместные файловые системы и некоторые облачные хранилища. «Если один из компьютеров в сети заражен, инфекция может проникнуть и на подключенные сетевые диски», ― предупреждает US-CERT. При появлении на экране красного баннера CryptoLocker с инструкцией по восстановлению файлов пользователям рекомендуется сразу отключить компьютер от проводной или Wi-Fi-сети.

Перед тем как приступить к процессу шифрования, зловред соединяется с командным сервером и загружает с него уникальный открытый ключ RSA. Закрытые ключи хранятся на C&C, и доступ к ним имеют лишь операторы CryptoLocker. Список типов файлов, подлежащих шифрованию, весьма обширен, однако троянца особо интересуют расширения, принятые в корпоративном обиходе, а также музыкальные, фото- и видеоколлекции. Содержимое этих файлов шифруется в два этапа: вначале по AES, а затем 256-битный ключ шифруется с помощью RSA, полученного с сервера.

Использующие стандартные алгоритмы шифрования зловреды встречались и ранее ― достаточно вспомнить печально известного вымогателя GPCode. Руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского» Костин Раю (Costin Raiu) вспоминает: вначале GPCode использовал 660-битный RSA-ключ, который «лаборантам» удалось взломать; тогда авторы GPCode увеличили длину ключа до 1024 бит, и «взломать его стало под силу разве что американскому Агентству национальной безопасности». «CryptoLocker также использует надежную схему шифрования, ― продолжает эксперт, ― взлом которой на сегодняшний день не представляется возможным».

По словам Раю, при обращении к командному серверу CryptoLocker, детектируемый продуктами ЛК как Ransom.Win32.Blocker, запускает DGA-алгоритм, выдающий 1 тыс. уникальных доменных имен в сутки. В середине октября «лаборанты» установили sinkhole-серверы на трех доменах и за 3 дня насчитали свыше 2,7 тыс. IP-адресов, запрашивающих эти домены. Наибольшее количество жертв было обнаружено в США и Великобритании.

Тем временем операторы CryptoLocker решили дать дополнительный шанс желающим заплатить выкуп и создали в сети Tor «клиентский» веб-сервис по расшифровке взятых в полон файлов. Сервис принимает «заказы» на расшифровку файлов, хотя расценки повысились в пять раз: вместо 2 биткойнов надо заплатить 10 (около 2,3 тыс. долларов). При каждом обращении генерируется уникальный Bitcoin-адрес. По всей видимости, не все желающие раскошелиться знакомы с системой оплаты, предлагаемой CryptoLocker, и авторы мошеннической схемы не захотели терять деньги из-за жесткости заданных сроков. «Они решили, что есть смысл подождать еще неделю и таки получить выкуп, если жертва готова его заплатить в обмен на свободу для своих файлов» ― так прокомментировал этот шаг владелец онлайн-форума BleepingComputer.com Лоренс Абрамс (Lawrence Abrams) в беседе с известным блогером и исследователем Брайаном Кребсом. Абрамс также отметил, что, хотя CERT и некоторые вендоры не рекомендуют поощрять шантажистов, некоторые жертвы платят выкуп, так как простой из-за утраты важной информации для них обойдется дороже.

Категории: Вредоносные программы, Главное