Возможно, вы уже читали о Cryptolocker – новом троянце вымогателе, который шифрует пользовательские файлы и требует денег за их обратную расшифровку.
Мы и раньше сталкивались с подобным вредоносным ПО, например, знаменитым троянцем-вымогателем GPCode, который использовал алгоритм шифрования RSA. Тогда, в 2008 году, нам удалось взломать RSA-шифр с ключом длиной 660 битов и обеспечить пользователям возможность расшифровки и восстановления данных. Позднее авторы GPCode увеличили длину ключа до 1024 битов, и теперь взломать его под силу разве что американскому Агентству национальной безопасности (NSA).
Cryptolocker также использует надежную схему шифрования, взлом которой на сегодняшний день не представляется возможным. При заражении компьютера очередной жертвы вредоносная программа устанавливает соединение с командным сервером и загружает с него открытый ключ RSA, с помощью которого шифрует данные. Для каждой новой жертвы создается новый уникальный ключ, а доступ к закрытым ключам, необходимым для расшифровки файлов, имеют только авторы Cryptolocker.
Злоумышленники требуют, чтобы пользователь заплатил им в течение примерно трех дней – иначе данные будут безвозвратно потеряны. Предлагается множество способов оплаты, в том числе с использованием виртуальной валюты Bitcoin:
Чтобы убедить жертву в серьезности своих намерений, злоумышленники устанавливают на зараженной машине устрашающие «обои»:
Для соединения с командными серверами Cryptolocker использует алгоритм генерации доменных имен, выдающий 1000 уникальных имен-кандидатов в сутки.
Димитер Андонов (Dimiter Andonov) из компании ThreatTrack Security воссоздал алгоритм с помощью методов реверс-инжиниринга. Это позволило «Лаборатории Касперского» установить sinkhole-серверы на трех доменах, чтобы оценить число жертв вредоносной программы по всему миру.
В общей сложности число уникальных IP-адресов компьютеров жертв, с которых были получены запросы на домены c sinkhole-серверами, составило 2764.
Наибольшее число запросов было зарегистрировано в среду, 16 октября. В этот день запросы были получены с 1266 уникальных IP-адресов.
Ниже представлено распределение жертв по 30 странам, где их число было наибольшим. Больше всего жертв в США и Великобритании, за которыми следуют Индия, Канада и Австралия:
Важно отметить, что статистика отражает число жертв, на компьютерах которых файлы еще не зашифрованы. При оперативном применении антивирусного ПО для очистки системы от заражения у пользователя остается шанс избежать шифрования данных.
Методы защиты
Cryptolocker применяет надежные средства шифрования файлов, не позволяющие восстановить их исходные версии с помощью таких утилит, как Photorec. Лучший способ защиты – установить и своевременно обновлять антивирусный продукт, способный предотвратить заражение. Система предотвращения вторжений, реализованная в продуктах «Лаборатории Касперского», блокирует даже неизвестные версии данного троянца, не позволяя им проникнуть в систему.
Для бесплатной проверки системы можно воспользоваться диском аварийного восстановления Kaspersky Rescue Disk:
- Загрузите ISO-образ Kaspersky Rescue Disk 10 (kav_rescue_10.iso).
- Загрузите утилиту для записи Kaspersky Rescue Disk 10 на USB-носитель (rescue2usb.exe).
- Следуйте указаниям в базе знаний.
Наиболее распространенные варианты вредоносной программы Cryptolocker детектируются продуктами «Лаборатории Касперского» со следующими вердиктами:
Trojan-Ransom.Win32.Blocker.cfkz, Trojan-Ransom.Win32.Blocker.cmkv, Trojan-Ransom.Win32.Blocker.cggx, Trojan-Ransom.Win32.Blocker.cfow, Trojan-Ransom.Win32.Blocker.cjzj, Trojan-Ransom.Win32.Blocker.cgmz, Trojan-Ransom.Win32.Blocker.cguo, Trojan-Ransom.Win32.Blocker.cfwh, Trojan-Ransom.Win32.Blocker.cllo, Trojan-Ransom.Win32.Blocker.coew.
Если ваши данные уже зашифрованы, худшее, что вы можете сделать, – это заплатить злоумышленникам. Это даст им стимул к расширению своей преступной деятельности и совершенствованию механизмов заражения.
Как и всегда, профилактика – лучшая защита!
Cryptolocker охотится за вашими деньгами!