Исследование

Файлы «под ключ»

Эволюция шифровальщиков и ошибки пользователей

Сегодня подавляющее большинство вредоносных программ создается с целью обогащения. Одной из схем, часто применяемых злоумышленниками, является шифрование файлов с последующим требованием выкупа. «Лаборатория Касперского» относит такие программы к виду Trojan-Ransom, существует и другой общеупотребимый и емкий термин – шифровальщики.

Шифровальщики стали весьма серьезной проблемой для пользователей, особенно корпоративных. На нашем форуме соответствующие темы собирают наибольшее число постов и просмотров.

Несмотря на все усилия антивирусных компаний, в ближайшее время легкой победы над шифровальщиками ожидать не стоит. На это есть как минимум две весомые причины:

  1. Шифровальщики непрерывно эволюционируют. Это битва «меча и щита»: совершенствуются средства защиты — совершенствуются средства нападения.
  2. Атаке подвергается не компьютер пользователя, а система компьютер + пользователь. Т.е. одним из компонентов вектора атаки является человек. Человеку свойственно поддаваться эмоциям и действовать нерационально. Человек способен проигнорировать предупреждение защитных средств или вовсе отключить их. Именно на это и рассчитывают злоумышленники.

В данной статье мы рассмотрим эволюционное усложнение криптосхем, применяемых вирусописателями, и способы, к которым прибегают злоумышленники, чтобы воздействовать на своих жертв. В конце статьи даются рекомендации пользователям, которые помогут им повысить сохранность важных файлов.

Эволюция шифровальщиков: от простого к сложному

Защите от шифровальщиков серьезные антивирусные компании уделяют особое внимание. Чтобы противостоять улучшенным системам защиты, вирусописатели вынуждены регулярно изменять свои программы. При этом меняется практически все: криптографические схемы, средства обфускации и даже используемые форматы исполняемых файлов.

Вирусописатели регулярно меняют криптографические схемы, средства обфускации и форматы исполняемых файлов

Tweet

Рассмотрим эволюцию шифровальщиков в аспекте применяемых ими методов шифрования и криптосхем. В зависимости от используемой криптосхемы и способа получения ключа, в одних случаях можно легко дешифровать зашифрованные данные, в других случаях за разумное время этого сделать нельзя.

Шифрование с помощью операции «XOR»

Начнем с программ, осуществляющих самое примитивное шифрование. Ярким представителем таких вредоносных программ является семейство Trojan-Ransom.Win32.Xorist. Оно обладает следующими характерными особенностями:

  • Xorist – один из немногих шифровальщиков, который выполняет свою угрозу и портит файлы пользователя при многократном неправильном введении пароля.
  • Для шифрования используется операция «XOR». Уязвимостью этой криптосхемы является то, что возможно легкое дешифрование файлов за счет известных стандартных заголовков файлов. Чтобы противостоять этой атаке, Xorist шифрует файлы не с самого начала, а с некоторым отступом. По умолчанию этот отступ составляет 104h байт, но может быть изменен при компиляции сампла.
  • Для усложнения алгоритма шифрования используется рандомизация ключа с помощью первой буквы названия файла.

cyphersreview_1

Фрагмент файла, зашифрованного шифровальщиком из семейства Xorist: отчетливо видна размерность ключа в 8 байт

В целом, несмотря на все ухищрения создателей Xorist, зашифрованные им файлы вполне успешно поддавались сравнительно легкой дешифровке. Возможно поэтому в настоящий момент зловреды семейства Xorist практически не встречаются.

Для борьбы с Trojan-Ransom.Win32.Xorist специалистами «Лаборатории Касперского» создана утилита XoristDecryptor.

Симметричное шифрование

Симметричной схемой шифрования называется схема, при которой для шифрования и расшифрования используется пара ключей, связанных соотношением симметрии (именно поэтому такая схема называется симметричной). В подавляющем большинстве случаев в таких схемах для шифрования и расшифрования используется один и тот же ключ.

Если ключ «вшит» в тело шифровальщика, при наличии тела зловреда можно достать из него ключ и создать эффективную утилиту для расшифрования файлов. Такие вредоносные программы обычно стараются удалить себя после шифрования файлов. Примером программ этого типа могут служить некоторые модификации семейства Rakhni. Обнаруженные ключи были добавлены в утилиту RakhniDecryptor.

Если же ключ получается с сервера злоумышленников либо генерируется и отправляется на него, то наличие образца вредоносной программы мало что дает – необходим экземпляр ключа, находящегося на сервере злоумышленников. Если такой ключ удается восстановить (вредоносная программа, по понятным причинам, старается удалить такой ключ после использования), то создать утилиту для дешифровки возможно. В этом случае также могут оказаться полезными системы, кэширующие интернет-трафик пользователей. Пример вредоносных программ этого вида – Trojan-Ransom.Win32.Cryakl.

Асимметричное шифрование

Асимметричной схемой шифрования называется схема, при которой ключи шифрования и расшифрования не связаны очевидным соотношением симметрии. Ключ для шифрования называют открытым (или публичным), ключ для расшифрования называют закрытым (или приватным). Вычисление закрытого ключа по известному открытому – очень сложная математическая задача, не решаемая за разумный срок на современных вычислительных мощностях.

В основе асимметричных криптосхем лежит так называемая однонаправленная функция с секретом. Говоря простым языком – это некая математическая функция, зависящая от параметра (секрета). Если секретный параметр не известен, значение функции относительно легко вычисляется в «прямом» направлении (по известному значению аргумента вычисляется значение функции) и чрезвычайно трудно в «обратном» (по значению функции вычисляется значение аргумента). Однако все меняет знание секретного параметра – с его помощью «инвертировать» функцию не составляет особого труда.

Асимметричное шифрование с одной ключевой парой

Если открытый ключ зашит в тело вредоносной программы, то наличие тела вредоносной программы в отсутствие закрытого ключа практически никак не помогает в деле расшифрования файлов (но помогает детектированию этой программы, а также похожих на нее программ в дальнейшем).

Однако, если становится известен закрытый ключ (а он должен, как минимум, содержаться в дешифраторе, который предлагают купить злоумышленники), то становится возможным расшифровать данные у всех пользователей, пострадавших от модификации программы, содержащей соответствующий открытый ключ.

Пример вредоносных программ этого вида – Trojan-Ransom.Win32.Rector. Вот характерные особенности этого семейства:

  • Используется асимметричное шифрование, публичный ключ хранится внутри тела шифровальщика.
  • Для ускорения шифрования файлы зашифровываются не целиком, а небольшими кусками. Зашифрованные куски дописываются в конец файла, а их место заполняется последовательностями периодичностью в один байт. Из-за этого зашифрованный файл приобретает характерный «поцарапанный» вид.

cyphersreview_2

Фрагмент файла, зашифрованного программой семейства Rector

  • Для злоумышленников недостатком этой схемы является то, что для дешифрования файлов необходимо раскрытие закрытого ключа, с помощью которого впоследствии можно расшифровать все файлы, зашифрованные одной модификацией зловреда.

Соответственно, хотя прямое дешифрование файлов невозможно, несколько пользователей, пострадавших от одной и той же модификации зловреда, могут объединяться и покупать один дешифратор на всех. Также пользователи и другие неравнодушные люди присылают дешифраторы нам. Полученные закрытые ключи добавляются в нашу утилиту RectorDecryptor.

Если открытый ключ получается с сервера злоумышленников (что позволяет обеспечить уникальность открытого ключа для каждого пользователя), то наличие тела вредоносной программы также не помогает в деле расшифровки данных – необходимо знание закрытого ключа. Однако тело программы помогает вычислить и заблокировать вредоносный сервер, и тем самым защитить других пользователей.

Шифрование с использованием нескольких ключей

Для того чтобы обеспечить уникальность дешифратора для каждого пользователя, применяются схемы с несколькими ключами. При этом ключ для шифрования данных генерируется на компьютере жертвы. Это может быть как симметричный ключ, так и асимметричная ключевая пара.  Алгоритм для генерации ключа выбирается таким, чтобы получившийся ключ был уникален для каждого пострадавшего пользователя. Иными словами, вероятность того, что эти ключи совпадут в двух разных случаях шифрования, должна быть крайне мала. Однако случается так, что злоумышленники допускают ошибки, и ключ генерируется из относительно небольшого диапазона возможных значений. В этом случае данные пользователя удается расшифровать, перебрав все возможные значения ключа. Но в последнее время такие случаи достаточно редки.

С помощью сгенерированного ключа шифруются данные пользователя. Затем ключ, который необходим для расшифрования данных, зашифровывается на другом открытом ключе. Этот открытый ключ сгенерирован заранее, и соответствующего ему закрытого ключа в теле шифровальщика нет, зато этот закрытый ключ известен злоумышленнику. После этого оригинал ключа, необходимого для расшифрования данных, удаляется, и на компьютере пользователя остается только его зашифрованная версия.

Теперь получив зашифрованную копию ключа, злоумышленник может извлечь из нее ключ, необходимый для расшифрования данных пользователя, и встроить его в дешифратор. При этом этот дешифратор будет бесполезен для других пострадавших пользователей. Что, с точки зрения злоумышленника, выгодно отличает схему с двумя ключами от перечисленных выше.

Невозможно за приемлемое время расшифровать файлы, зашифрованные алгоритмом RSA с длиной ключа 1024 бит

Tweet

Пример вредоносных программ, использующих схему с несколькими ключами, – Trojan-Ransom.BAT.Scatter. Семейство Scatter обладает несколькими существенными особенностями:

  • Применяется более совершенная криптосхема с двумя парами асимметричных ключей, что позволяет злоумышленникам расшифровывать файлы жертвы, не раскрывая свой закрытый ключ.
  • Самплы из этого семейства написаны на скриптовых языках, это позволяет легко менять вредоносный функционал. Скрипты лучше поддаются обфускации, и этот процесс проще автоматизировать.
  • Самплы имеют модульную структуру. Модули скачиваются с сайтов злоумышленников во время исполнения скрипта.
  • Для шифрования и удаления файлов ключей используются переименованные легитимные утилиты.
  • Достигнут высокий уровень автоматизации процесса. Автоматизации подвержено практически все: автоматически генерируются вредоносные объекты, автоматически рассылаются письма. Более того, по заверениям злоумышленников, автоматизирован процесс обработки писем от жертв и дальнейших контактов с пострадавшими. Автоматически происходит расшифрование тестовых файлов жертвы, оценка стоимости информации, выставление счета, проверка оплаты, отсылка дешифратора. Нам трудно проверить правдивость этой информации, но, с учетом данных, полученных нами при изучении модулей Trojan-Ransom.BAT.Scatter, нет причин не верить этим заявлениям. Косвенным их подтверждением также служит вот этот аккаунт в Twitter.

Семейство Scatter появилось относительно недавно: первые самплы были обнаружены специалистами «Лаборатории Касперского» в конце июля 2014 года. За короткое время оно успело значительно эволюционировать, обзаведясь функциональностью Email-Worm и Trojan-PSW.

С 25 июля 2014 по 25 января 2015 года мы обнаружили 5989 атак с использованием Trojan-Downloader.JS.Scatter на 3092 пользователей.

cyphersreview_ru_3

Количество детектов загрузчика Trojan-Downloader.JS.Scatter. Всплеск в середине ноября вызван появлением новой модификации, распространяющейся в США

На этом семействе стоит остановиться подробнее, т.к. можно с уверенностью сказать, что семейство Trojan-Ransom.*.Scatter – это новый шаг в эволюции шифровальщиков.

Технические подробности: Scatter, новый шаг в эволюции

Программы семейства Scatter – это многомодульные скриптовые многофункциональные зловреды. Для обзора мы выбрали модификацию модуля шифровальщика, которая детектируется как Trojan-Ransom.BAT.Scatter.ab, ее активное распространение началось в середине октября.

Подробнее

Модуль загрузки Trojan-Downloader.JS.Scatter.i

Модуль загрузки зловреда распространялся в почтовых вложениях. Имена файлов специально подбирались злоумышленниками так, чтобы письмо было похоже на легитимное и в итоге попало к сотрудникам бухгалтерии.

FullName HitsCount
/проект акта сверки.zip//неоплаченные счета. проект акта сверки за два месяца — бухгалтерией согласовано до 14 октября 2014г._mail.attachment_scannеd.avast.ok.dос.js 4386
/скан-копия долга 2014.zip//неоплаченные счета. проект акта сверки за два месяца — бухгалтерией согласовано до 14 октября 2014г._mail.attachment_scannеd.avast.ok.dос.js  402
неоплаченные счета. проект акта сверки за два месяца — бухгалтерией согласовано до 14 октября 2014г._mail.attachment_scannеd.avast.ok.dос.js 241
проект акта сверки.zip  22

Наиболее популярные имена модификации загрузчика Scatter, распространяемой в первой половине октября

При попытке открыть вложение пользователь запускает загрузчик, который представляет собой обфусцированный JavaScript и детектируется «Лабораторией Касперского» как Trojan-Downloader.JS.Scatter.i.

cyphersreview_5

Фрагмент обфусцированного кода загрузчика Trojan-Downloader.JS.Scatter.i

После запуска пользователем, загрузчик скачивает с сайта злоумышленников пять других объектов. Закачанный файлы сохраняются в директорию, определяемую переменной среды %TEMP%. Из этих пяти объектов не все являются вредоносными:

  • fake.keybtc – переименованная легитимная программа gnupg gpg.exe, предназначенная для выполнения криптографических операций.
  • night.keybtc – переименованная библиотека iconv.dll, необходимая для корректной работы gpg.exe.
  • trash.keybtc – переименованная утилита sdelete.exe от Microsoft, предназначенная для надежного удаления файлов.
  • key.block – вредоносный командный сценарий, который использует вышеназванные утилиты для шифрования файлов. Данный объект детектируется «Лабораторией Касперского» как Trojan-Ransom.BAT.Scatter.ab.
  • doc.keybtc – это файл формата Microsoft Word. Загрузчик переименовывает этот файл в файл word.doc и затем пытается запустить. Если на компьютере пользователя установлена программа для просмотра файлов .doc, то пользователь увидит вот такую картину:

cyphersreview_6

Начало документа Microsoft Word, показываемого пользователю загрузчиком
Trojan-Downloader.JS.Scatter.i

Этот документ не содержит вредоносного кода. Его задача заключается в том, чтобы усыпить бдительность пользователя и отвлечь его внимание от происходящих на его компьютере процессов.

Тем временем загрузчик переименовывает файл key.block в key.cmd и запускает его на выполнение. На этом работа загрузчика заканчивается, и в дело вступает Trojan-Ransom.BAT.Scatter.

Порядок вредоносных действий шифровальщика Trojan-Ransom.BAT.Scatter.ab

1. Подготовка

1.1. Переименовывает нужные ему легитимные файлы в имена с расширениями, пригодными для исполнения.
1.2. Проверяет наличие специального файла, который содержит в своем названии идентификатор клиента и сегодняшнее число. Если такой файл существует, то зловред считает, что файлы уже зашифрованы и больше ничего не делает. Это предотвращает переписывание специальных файлов KEY.PRIVATE и UNIQUE.PRIVATE, создаваемых троянцем во время шифрования (подробнее о них будет рассказано ниже).
1.3. Проверяет наличие папки %AppData%BitCoin. Если такая папка присутствует, то позднее троянец попытается украсть данные кошельков BitCoin.
1.4. Проверяет наличие файла «%TEMP%partner.id». Это подтверждает найденную ранее информацию о наличии партнерской программы, распространяющей Scatter. (Любопытно, что в некоторых сообщениях на зараженных компьютерах злоумышленники предлагали своим жертвам расшифровать их файлы за определенные услуги, да еще и денег обещали за эти услуги.  Возможно, таким образом пользователей пытались вовлечь в партнерку.)
1.5. Генерирует ключевую пару (открытый и закрытый ключи: файлы pubring.gpg и secring.gpg соответственно) с параметрами:
Key-Type: RSA
Key-Length: 1024
Этот тип шифрования в настоящее время считается надежным: не существует алгоритма, позволяющего без знания закрытого ключа за приемлемое время расшифровать файлы, зашифрованные алгоритмом RSA с длиной ключа 1024 бит.
1.6. Извлекает из своего тела публичный ключ и зашифровывает с его помощью файл secring.gpg – закрытый ключ ключевой пары, ‑ в результате получая файл secring.gpg.gpg. После этого он с помощью легитимной утилиты sdelete.exe удаляет secring.gpg и переписывает его местонахождение 16 раз. Если по какой-либо причине удалить незашифрованный ключ с помощью sdelete не получилось, троянец пытается удалить его самостоятельно, несколько раз перезаписывая его значение «мусором». Многократная перезапись месторасположения файла нужна для того, чтобы закрытый ключ невозможно было восстановить даже специальными программами для восстановления удаленных файлов.
1.7. Копирует зашифрованный закрытый ключ (secring.gpg.gpg) под именем %TEMP%KEY.PRIVATE», причем для надежности зловред пытается проделать эту операцию два раза. Затем он еще раз проверяет наличие KEY.PRIVATE. Если его нет и также нет secring.gpg, троянец отказывается от шифрования и сразу переходит к рассылке своего загрузчика (пункт 3).

2. Шифрование

2.1. Перед началом шифрования троянец генерирует скрипт со списком файлов, которые он будет шифровать. Причем делает это в два этапа:

  • Сначала ищет и добавляет в файл databin.lst пути к файлам с расширениями:
    *.xls *.xlsx *.doc *.docx *.cdr *.slddrw *.dwg *.pdf.
  • Затем в файл databin.lst добавляет пути к файлам с расширениями:
    *.mdb *.1cd *.accdb *.zip *.rar *.max *.cd *.jpg.

Для чего это делается? Алгоритм RSA надежный, но чрезвычайно медленный. Поэтому зловред «боится», что он начнет шифровать файлы большого размера или папку с большим количеством фотографий, и что-то помешает ему закончить. Например, пользователь может выключить компьютер. Поэтому троянец в первую очередь стремится зашифровать небольшие, но потенциально важные для организации файлы, а затем уже переходить к медиа, образам дисков и другим объемным данным.

Кроме списка на шифрование, имена файлов и их размер также добавляются в файл – базу данных UNIQUE.BASE. В эту же базу данных сохраняются имя компьютера и имя пользователя. Позже созданная база поможет злоумышленникам оценить тип и ценность зашифрованной информации, чтобы «не продешевить» и запросить максимальную цену за ее расшифровку.

Затем список файлов и база данных фильтруются от файлов, расположенных в служебных директориях. В результате создаются «отфильтрованные» файлы UNIQUE1.BASE и bitdata1.bin.

2.2. Файл UNIQUE1.BASE шифруется на открытом ключе pubring.gpg, который был сгенерирован в начале деятельности шифровальщика. Полученный зашифрованный файл переименовывается в UNIQUE.PRIVATE, а сам файл UNIQUE1.BASE удаляется.
2.3. Файлы UNIQUE.PRIVATE и KEY.PRIVATE копируются сразу в несколько мест для того, чтобы пользователь смог их легко найти. Файлы эти зашифрованы, и расшифровать их без знания закрытого ключа злоумышленников пользователь не сможет.
2.4. Троянец генерирует послание пользователю и прописывает его в автозагрузку:
cyphersreview_7

Фрагмент послания злоумышленников

2.5. Троянец переименовывает bitdata1.bin (сгенерированный ранее скрипт для шифрования данных) в bitdata.cmd запускает на выполнение. В результате файлы пользователя шифруются, и к их расширению добавляется адрес почты злоумышленников.
2.6. После успешного шифрования, ко всем файлам UNIQUE.PRIVATE и KEY.PRIVATE дописывается метка BITM.

3. Распространение своего загрузчика через электронную почту

3.1. Троянец выкачивает с того же сайта злоумышленников, который ранее использовал загрузчик, дополнительные компоненты, позволяющие ему собирать пароли. Причем компоненты выкачиваются по частям и объединяются уже на машине жертвы.
3.2. С помощью скачанных компонентов зловред ищет на зараженном компьютере пароли пользователя от почтовых служб: Mail.ru, Yandex.ru, Gmail. Найденные пароли посылаются на специальный электронный ящик злоумышленников. Туда же отправляются данные от найденных электронных кошельков BitCoin.
3.3. Зловред генерирует 15 вариантов писем. Все они объединены на этот раз не бухгалтерской, а законодательной тематикой.

cyphersreview_8

Примеры текстов писем, рассылаемых Trojan-Ransom.BAT.Scatter.ab

С помощью полученных ранее паролей от почтовых сервисов, троянец соединяется с почтовыми серверами и получает заголовки входящих писем. Из полученных сообщений отфильтровываются почтовые рассылки и автоматические сообщения. По оставшимся почтовым адресам происходит рассылка одного из 15 возможных вариантов писем, выбранных с помощью генератора случайных чисел.

Что интересно: независимо от текста письма к нему прикладывается одно и то же вложение – архив с паролем «1». Этот архив скачивается с того же сайта злоумышленников до начала рассылки. Внутри архива находится файл с длинным названием:

«ПРЕТЕНЗИЯ касательно неуплаты долга. Юридический отдел — ПРОВЕРЕНО и согласовано для отправки должнику_октябрь 2014 г._Avast.ОК.dос .js»

В некоторых случаях тема письма и название вложения не подходят друг другу – это издержка автоматизированной генерации писем и вредоносных объектов.

Объект с длинным названием представляет собой тот же описанный в начале JavaScript Trojan-Downloader.JS.Scatter.i, но уже с другой обфускацией.

cyphersreview_9

Фрагмент кода загрузчика Trojan-Downloader.JS.Scatter.i с другой обфускацией

Несмотря на обфускацию, оба скрипта успешно детектируются продуктами «Лаборатории Касперского» как сигнатурно, так и с помощью эвристики, написанной больше года назад, еще до появления этого вида вредоносных объектов.

В помощь злодеям: человеческий фактор

Бизнес кибер-вымогателей процветает. За 2014 год «Лаборатория Касперского» зафиксировала свыше 7 миллионов атак на своих пользователей с использованием вредоносных объектов семейства Trojan-Ransom.

В 2014 году «Лаборатория Касперского» зафиксировала свыше 7 миллионов атак шифровальщиков

Tweet

cyphersreview_ru_10

Количество атак шифровальщиков, ежемесячно блокируемых «Лабораторией Касперского» в 2014 году

Злоумышленники все чаще предпочитают получать оплату в криптовалюте Биткоин. Впрочем, расценки для пользователей по старинке указываются в рублях, долларах США и евро. Расценки на расшифровку данных для простых пользователей начинаются от 1000 рублей и доходят до нескольких сот долларов. В случае шифрования файлов в организации аппетиты злоумышленников вырастают в среднем в 5 раз. Известны случаи, когда у организации за расшифровку файлов требовали 5000 евро. К сожалению, компаниям, потерявшим свои данные, зачастую проще заплатить, чем лишиться важной информации. Не удивительно, что основной целью злоумышленников, наживающихся на шифровальщиках, являются организации.

Почему же шифровальщикам удается наносить такой урон?

Как уже было сказано выше, большинство антивирусных компаний постоянно совершенствует защиту от шифоровальщиков. Так, «Лаборатория Касперского» реализовала в своих продуктах специальную технологию «Защита от программ-шифровальщиков«. Однако, как известно, самое слабое звено IT-защиты – пользователь. И в случае шифровальщиков это весьма актуально.

Мы проводим специальные мероприятия, посвященные борьбе с этим видом вредоносных программ. Эти мероприятия включают целый комплекс мер: разбор всех инцидентов, произошедших с организациями, обратившимися в нашу службу технической поддержки (использующих как наши, так и не наши антивирусные продукты); поиск и сбор самплов шифровальщиков; анализ работы каждого защитного компонента наших продуктов в каждом произошедшем случае; улучшение существующих и разработка новых методов для детектирования и исправления последствий деятельности шифровальщиков. Работа эта кропотливая и отнимает много времени, но она необходима, чтобы наши продукты успешно противостояли этой постоянно изменяющейся угрозе.

Мы сталкиваемся с шифрованием файлов в организациях вследствие работы их сотрудников с отключенным антивирусом

Tweet

В ходе проводимых исследований мы часто сталкиваемся со случаями шифрования файлов в организациях вследствие работы их сотрудников с отключенным антивирусом. И такие случаи не единичны, наша служба технической поддержки сталкивается с такими ситуациями каждую неделю по нескольку раз.

Нам представляется, что возможная причина беспечности пользователей, как ни странно, кроется в значительном техническом прогрессе. Возросшая защищенность браузеров и операционных систем привела к тому, что сегодня пользователи сталкиваются с угрозами вредоносного ПО реже, чем прежде. В результате некоторые, не задумываясь, отключают отдельные компоненты антивирусных продуктов или вообще работают без антивируса.

О необходимости регулярных обновлений ПО сказано немало. Тем не менее, мы еще раз отметим важность своевременного обновления антивируса. Мы расследовали случай шифрования файлов в организации, который произошел по одной причине: пользователь, придя на работу, стал читать почту, не дождавшись обновления антивирусных баз – а это обновление содержало сигнатуру, способную обнаружить зловреда.

С другой стороны, не стоит забывать, что ни один, даже самый совершенный продукт, не может обеспечить 100% защиты от проникновения вредоносного ПО на компьютер. Вера в абсолютную защиту «суперантивируса» приводит пользователей к неоправданной беспечности – например, они смело открывают вложенные файлы в подозрительных письмах или бездумно кликают по опасным ссылкам. Наличие «продвинутых» систем защиты не снимает с пользователей задачу выполнять все требования политик безопасности.

Сделайте резервные копии всех важных файлов и разместите их на отдельном носителе вне компьютера

Tweet

Свой вклад в «успех» шифровальщиков вносит и отсутствие резервных копий важных файлов на компьютерах. Раньше данные можно было потерять не только в результате действия вредоносного ПО, но и в результате отказа носителей информации или сбоя легитимного ПО, которое оперирует важными данными. Но за последнее десятилетие и надежность носителей, и надежность ПО возросла на порядок. И большинство пользователей перестали делать резервные копии своих данных. Как результат – при заражении компьютера шифровальщик просто парализует нормальную работу компании, и шансы злоумышленников получить деньги за расшифрование становятся весьма велики.

Ловушки для беспечных: как атакуют пользователей

Если составлять своеобразный хит-парад способов распространения шифровальщиков, то первое и второе места уверенно займут письма в электронной почте. При этом в первом случае вредоносный объект содержится непосредственно в письме, а во втором письмо содержит не сам объект, а гиперссылку на него. На третьем месте по популярности находится атака через системы удаленного управления компьютером (RDP). Такие атаки, как правило, осуществляются на серверы организаций.

Атака через RDP

Начнем с самого редкого и простого способа. В случае атаки через RDP злоумышленник, получив удаленный доступ к компьютеру, первым делом отключает антивирус, а затем запускает программу шифровальщик. Основными факторами, позволяющими осуществить атаку через RDP, являются использование слабых паролей либо «утечка» информации о пароле от учетной записи пользователя. Противостоять такому типу атак помогает внедрение строгих парольных политик:

  • пароль должен быть стойким (сложным);
  • пароль должен быть известен только ответственному лицу;
  • пароль должен регулярно заменяться новым.

Сценарии атак через электронную почту

Если в случае атаки через RDP все происходит без участия пользователя, то в случае атаки через электронную почту последний должен сам запустить присланный файл или кликнуть по ссылке в письме. Достигается это использованием злоумышленниками приемов социальной инженерии, или, проще говоря, обманом пользователя. Стратегия злоумышленников зачастую строится на том, чтобы атаковать людей, чей род деятельности наиболее далек от информационной безопасности. Эти люди могут даже не знать о существовании такой угрозы как злонамеренное шифрование файлов.

Злоумышленники атакуют людей, чей род деятельности наиболее далек от информационной безопасности

Tweet

Темы писем

В организацию приходит письмо с сообщением устрашающего содержания например, что против организации подан судебный иск, подробности о котором находятся во вложенном документе.

cyphersreview_11

Пример «письма из суда». В приложении находится троянец-шифровальщик

Расчет злоумышленников, вероятно, следующий: напугать жертву некой мнимой угрозой, страх перед которой превзойдет опасения открытия неизвестного почтового вложения.

В случае организации схема работает особенно хорошо: на рядового сотрудника, получившего письмо, ложится дополнительный груз ответственности. Сотрудник пытается разделить свою ответственность с другими и советуется с коллегами. Шансы злоумышленников на то, что хотя бы кто-то из сотрудников откроет вложение, возрастают. Так, в ходе расследования инцидентов выяснилось, что в нескольких пострадавших организациях на открытии вложения настояли штатные юристы.

Относитесь с подозрением к ссылкам и вложениям из писем, которых вы не ждете

Tweet

При этом для усыпления бдительности получателя авторы письма могут использовать официальную символику:

cyphersreview_12

Пример письма, содержащего ссылку на вредоносный объект

Также исполняемый файл можно встроить в документ Microsoft Word и замаскировать его любой иконкой:

cyphersreview_13

Пример того, как может быть замаскирован исполняемый файл в документах Microsoft Word

Злоумышленниками также применяется схема, когда документ Microsoft Word содержит нечитаемый текст и просьбу разрешить выполнение макросов, якобы для корректного отображения текста. В действительности после выполнения макроса на компьютер будет загружен троянец-шифровальщик.

cyphersreview_14

Пример документа Microsoft Word, «убеждающий» пользователя выполнить вредоносный макрос

Особенности названий файлов

Следующим приемом социальной инженерии является использование специальных слов в названиях файлов, содержащихся в прикрепленном к письму (или загруженном пользователем) архиве. Например, это могут быть слова «checked» или «secure» плюс названия различных антивирусных продуктов. Цель злоумышленников: заставить пользователя поверить, что вложение прошло проверку антивирусным продуктом.

cyphersreview_15

Пример вредоносного вложения с использованием названия антивирусного продукта и расширением .js

Расширения для исполняемых файлов специально выбираются малоизвестные рядовому пользователю. В основном это .scr, .com и .js.

Отдельного упоминания заслуживают письма с вложенными якобы «бесплатными уроками безопасности от «Лаборатории Касперского». Такие же письма рассылались и от имени других антивирусных компаний.

Рекомендации пользователям

Подробные рекомендации для системных администраторов можно найти по этой ссылке.

Здесь мы дадим краткие рекомендации для пользователей:

  • Сделайте резервные копии всех важных файлов и разместите их на отдельном носителе вне компьютера.
  • Включите отображение расширений для зарегистрированных типов файлов. Это поможет вам контролировать, что присланный вам документ – действительно документ, а не исполняемый файл. В этом необходимо убеждаться, даже если письмо получено от знакомого вам адресата.
  • Относитесь с подозрением к ссылкам и вложениям из писем, получение которых вы не ждете. Любопытство и страх ‑ это любимые «инструменты» злоумышленников, чтобы заставить пользователей забыть о бдительности и открыть вложение.
  • Используйте последние версии антивирусных продуктов. Как правило, их эффективность возрастает с каждой новой версией за счет новых модулей. Пользователям наших продуктов мы настоятельно рекомендуем включать KSN.
  • Ну и наконец, дождитесь обновления антивирусных баз, прежде чем читать утреннюю почту.
  • Системным администраторам (помимо прочего) необходимо повышать осведомленность пользователей о наличии угроз.

P.S. В поддержку техподдержки

Шифровальщики вызывают больше всего негативных эмоций пользователей, обращающихся в нашу службу технической поддержки. Пострадавших очень легко понять. Дело в том, что шифровальщики, в большинстве случаев, вынуждают пользователей расстраиваться не один, а несколько раз подряд. При этом каждый раз степень расстройства возрастает.

Первый раз пользователь расстраивается, когда обнаруживает, что все его ценные файлы зашифрованы. Но в этот момент у него появляется надежда, что файлы еще можно расшифровать самостоятельно утилитами для автоматической дешифровки. Второй раз пользователь расстраивается, когда утилиты для дешифровки ему не помогли (мы рассматриваем самый неблагоприятный для пользователя случай). Третий раз пользователь расстраивается, когда и служба технической поддержки не смогла ему ничем помочь. В этот момент огорчение пользователя достигает кульминации. Неприятная и неопределенная ситуация держит его в напряжении. Пользователь потратил силы и время на сбор информации для специалистов техподдержки, а файлы так и остались зашифрованными. Кстати, эта информация специалистами поддержки собирается не просто так – она очень помогает нам для правильного анализа ситуации и улучшения наших продуктов, а следовательно, помогает в будущем лучше защитить не только этого, но и других пользователей. Но пострадавший пользователь, как правило, в этот момент об этом не думает – он раздосадован отсутствием результата. И его досада зачастую выливается на сотрудников техподдержки.

Пользуясь случаем, я хочу поблагодарить наших коллег из службы технической поддержки, а также наших добровольных помощников на форуме (в особенности «mike 1» и «thyrex«), которые выполняют огромный объем работы, помогая нашим и не только нашим пользователям. Анализируя переписку на форуме, я никогда не видел от них ни одного некорректного высказывания даже в ответ на самые эмоциональные сообщения от пострадавших пользователей. Ребята, вы молодцы!

Файлы «под ключ»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Сергей

    Интересует один вопрос: почему указанный в статье Twitter-аккаунт до сих пор функционирует?
    Ведь в правилах есть пункт:

    — Незаконное использование. Вы не вправе использовать наши услуги в противоправных целях или в целях содействия противоправным действиям. Пользователи за пределами США обязуются соблюдать все местные законы, имеющие отношение к поведению в сети Интернет и допустимому контенту.

    https://support.twitter.com/articles/20169831

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике