Файлы «под ключ»

Сегодня подавляющее большинство вредоносных программ создается с целью обогащения. Одной из схем, часто применяемых злоумышленниками, является шифрование файлов с последующим требованием выкупа. «Лаборатория Касперского» относит такие программы к виду Trojan-Ransom, существует и другой общеупотребимый и емкий термин – шифровальщики.

Шифровальщики стали весьма серьезной проблемой для пользователей, особенно корпоративных. На нашем форуме соответствующие темы собирают наибольшее число постов и просмотров.

Несмотря на все усилия антивирусных компаний, в ближайшее время легкой победы над шифровальщиками ожидать не стоит. На это есть как минимум две весомые причины:

1. Шифровальщики непрерывно эволюционируют. Это битва «меча и щита»: совершенствуются средства защиты — совершенствуются средства нападения.
2. Атаке подвергается не компьютер пользователя, а система компьютер + пользователь. Т.е. одним из компонентов вектора атаки является человек. Человеку свойственно поддаваться эмоциям и действовать нерационально. Человек способен проигнорировать предупреждение защитных средств или вовсе отключить их. Именно на это и рассчитывают злоумышленники.

В данной статье мы рассмотрим эволюционное усложнение криптосхем, применяемых вирусописателями, и способы, к которым прибегают злоумышленники, чтобы воздействовать на своих жертв. В конце статьи даются рекомендации пользователям, которые помогут им повысить сохранность важных файлов.

Эволюция шифровальщиков: от простого к сложному

Защите от шифровальщиков серьезные антивирусные компании уделяют особое внимание. Чтобы противостоять улучшенным системам защиты, вирусописатели вынуждены регулярно изменять свои программы. При этом меняется практически все: криптографические схемы, средства обфускации и даже используемые форматы исполняемых файлов.

Вирусописатели регулярно меняют криптографические схемы, средства обфускации и форматы исполняемых файлов

Tweet

Рассмотрим эволюцию шифровальщиков в аспекте применяемых ими методов шифрования и криптосхем. В зависимости от используемой криптосхемы и способа получения ключа, в одних случаях можно легко дешифровать зашифрованные данные, в других случаях за разумное время этого сделать нельзя.

Шифрование с помощью операции «XOR»

Начнем с программ, осуществляющих самое примитивное шифрование. Ярким представителем таких вредоносных программ является семейство Trojan-Ransom.Win32.Xorist. Оно обладает следующими характерными особенностями:

• Xorist – один из немногих шифровальщиков, который выполняет свою угрозу и портит файлы пользователя при многократном неправильном введении пароля.
• Для шифрования используется операция «XOR». Уязвимостью этой криптосхемы является то, что возможно легкое дешифрование файлов за счет известных стандартных заголовков файлов. Чтобы противостоять этой атаке, Xorist шифрует файлы не с самого начала, а с некоторым отступом. По умолчанию этот отступ составляет 104h байт, но может быть изменен при компиляции сампла.
• Для усложнения алгоритма шифрования используется рандомизация ключа с помощью первой буквы названия файла.

Фрагмент файла, зашифрованного шифровальщиком из семейства Xorist: отчетливо видна размерность ключа в 8 байт

В целом, несмотря на все ухищрения создателей Xorist, зашифрованные им файлы вполне успешно поддавались сравнительно легкой дешифровке. Возможно поэтому в настоящий момент зловреды семейства Xorist практически не встречаются.

Для борьбы с Trojan-Ransom.Win32.Xorist специалистами «Лаборатории Касперского» создана утилита XoristDecryptor.

Симметричное шифрование

Симметричной схемой шифрования называется схема, при которой для шифрования и расшифрования используется пара ключей, связанных соотношением симметрии (именно поэтому такая схема называется симметричной). В подавляющем большинстве случаев в таких схемах для шифрования и расшифрования используется один и тот же ключ.

Если ключ «вшит» в тело шифровальщика, при наличии тела зловреда можно достать из него ключ и создать эффективную утилиту для расшифрования файлов. Такие вредоносные программы обычно стараются удалить себя после шифрования файлов. Примером программ этого типа могут служить некоторые модификации семейства Rakhni. Обнаруженные ключи были добавлены в утилиту RakhniDecryptor.

Если же ключ получается с сервера злоумышленников либо генерируется и отправляется на него, то наличие образца вредоносной программы мало что дает – необходим экземпляр ключа, находящегося на сервере злоумышленников. Если такой ключ удается восстановить (вредоносная программа, по понятным причинам, старается удалить такой ключ после использования), то создать утилиту для дешифровки возможно. В этом случае также могут оказаться полезными системы, кэширующие интернет-трафик пользователей. Пример вредоносных программ этого вида – Trojan-Ransom.Win32.Cryakl.

Асимметричное шифрование

Асимметричной схемой шифрования называется схема, при которой ключи шифрования и расшифрования не связаны очевидным соотношением симметрии. Ключ для шифрования называют открытым (или публичным), ключ для расшифрования называют закрытым (или приватным). Вычисление закрытого ключа по известному открытому – очень сложная математическая задача, не решаемая за разумный срок на современных вычислительных мощностях.

В основе асимметричных криптосхем лежит так называемая однонаправленная функция с секретом. Говоря простым языком – это некая математическая функция, зависящая от параметра (секрета). Если секретный параметр не известен, значение функции относительно легко вычисляется в «прямом» направлении (по известному значению аргумента вычисляется значение функции) и чрезвычайно трудно в «обратном» (по значению функции вычисляется значение аргумента). Однако все меняет знание секретного параметра – с его помощью «инвертировать» функцию не составляет особого труда.

Асимметричное шифрование с одной ключевой парой

Если открытый ключ зашит в тело вредоносной программы, то наличие тела вредоносной программы в отсутствие закрытого ключа практически никак не помогает в деле расшифрования файлов (но помогает детектированию этой программы, а также похожих на нее программ в дальнейшем).

Однако, если становится известен закрытый ключ (а он должен, как минимум, содержаться в дешифраторе, который предлагают купить злоумышленники), то становится возможным расшифровать данные у всех пользователей, пострадавших от модификации программы, содержащей соответствующий открытый ключ.

Пример вредоносных программ этого вида – Trojan-Ransom.Win32.Rector. Вот характерные особенности этого семейства:

• Используется асимметричное шифрование, публичный ключ хранится внутри тела шифровальщика.
• Для ускорения шифрования файлы зашифровываются не целиком, а небольшими кусками. Зашифрованные куски дописываются в конец файла, а их место заполняется последовательностями периодичностью в один байт. Из-за этого зашифрованный файл приобретает характерный «поцарапанный» вид.

Фрагмент файла, зашифрованного программой семейства Rector

• Для злоумышленников недостатком этой схемы является то, что для дешифрования файлов необходимо раскрытие закрытого ключа, с помощью которого впоследствии можно расшифровать все файлы, зашифрованные одной модификацией зловреда.

Соответственно, хотя прямое дешифрование файлов невозможно, несколько пользователей, пострадавших от одной и той же модификации зловреда, могут объединяться и покупать один дешифратор на всех. Также пользователи и другие неравнодушные люди присылают дешифраторы нам. Полученные закрытые ключи добавляются в нашу утилиту RectorDecryptor.

Если открытый ключ получается с сервера злоумышленников (что позволяет обеспечить уникальность открытого ключа для каждого пользователя), то наличие тела вредоносной программы также не помогает в деле расшифровки данных – необходимо знание закрытого ключа. Однако тело программы помогает вычислить и заблокировать вредоносный сервер, и тем самым защитить других пользователей.

Шифрование с использованием нескольких ключей

Для того чтобы обеспечить уникальность дешифратора для каждого пользователя, применяются схемы с несколькими ключами. При этом ключ для шифрования данных генерируется на компьютере жертвы. Это может быть как симметричный ключ, так и асимметричная ключевая пара.  Алгоритм для генерации ключа выбирается таким, чтобы получившийся ключ был уникален для каждого пострадавшего пользователя. Иными словами, вероятность того, что эти ключи совпадут в двух разных случаях шифрования, должна быть крайне мала. Однако случается так, что злоумышленники допускают ошибки, и ключ генерируется из относительно небольшого диапазона возможных значений. В этом случае данные пользователя удается расшифровать, перебрав все возможные значения ключа. Но в последнее время такие случаи достаточно редки.

С помощью сгенерированного ключа шифруются данные пользователя. Затем ключ, который необходим для расшифрования данных, зашифровывается на другом открытом ключе. Этот открытый ключ сгенерирован заранее, и соответствующего ему закрытого ключа в теле шифровальщика нет, зато этот закрытый ключ известен злоумышленнику. После этого оригинал ключа, необходимого для расшифрования данных, удаляется, и на компьютере пользователя остается только его зашифрованная версия.

Теперь получив зашифрованную копию ключа, злоумышленник может извлечь из нее ключ, необходимый для расшифрования данных пользователя, и встроить его в дешифратор. При этом этот дешифратор будет бесполезен для других пострадавших пользователей. Что, с точки зрения злоумышленника, выгодно отличает схему с двумя ключами от перечисленных выше.

Невозможно за приемлемое время расшифровать файлы, зашифрованные алгоритмом RSA с длиной ключа 1024 бит

Tweet

Пример вредоносных программ, использующих схему с несколькими ключами, – Trojan-Ransom.BAT.Scatter. Семейство Scatter обладает несколькими существенными особенностями:

• Применяется более совершенная криптосхема с двумя парами асимметричных ключей, что позволяет злоумышленникам расшифровывать файлы жертвы, не раскрывая свой закрытый ключ.
• Самплы из этого семейства написаны на скриптовых языках, это позволяет легко менять вредоносный функционал. Скрипты лучше поддаются обфускации, и этот процесс проще автоматизировать.
• Самплы имеют модульную структуру. Модули скачиваются с сайтов злоумышленников во время исполнения скрипта.
• Для шифрования и удаления файлов ключей используются переименованные легитимные утилиты.
• Достигнут высокий уровень автоматизации процесса. Автоматизации подвержено практически все: автоматически генерируются вредоносные объекты, автоматически рассылаются письма. Более того, по заверениям злоумышленников, автоматизирован процесс обработки писем от жертв и дальнейших контактов с пострадавшими. Автоматически происходит расшифрование тестовых файлов жертвы, оценка стоимости информации, выставление счета, проверка оплаты, отсылка дешифратора. Нам трудно проверить правдивость этой информации, но, с учетом данных, полученных нами при изучении модулей Trojan-Ransom.BAT.Scatter, нет причин не верить этим заявлениям. Косвенным их подтверждением также служит вот этот аккаунт в Twitter.

Семейство Scatter появилось относительно недавно: первые самплы были обнаружены специалистами «Лаборатории Касперского» в конце июля 2014 года. За короткое время оно успело значительно эволюционировать, обзаведясь функциональностью Email-Worm и Trojan-PSW.

С 25 июля 2014 по 25 января 2015 года мы обнаружили 5989 атак с использованием Trojan-Downloader.JS.Scatter на 3092 пользователей.

Количество детектов загрузчика Trojan-Downloader.JS.Scatter. Всплеск в середине ноября вызван появлением новой модификации, распространяющейся в США

На этом семействе стоит остановиться подробнее, т.к. можно с уверенностью сказать, что семейство Trojan-Ransom.*.Scatter – это новый шаг в эволюции шифровальщиков.

Технические подробности: Scatter, новый шаг в эволюции

Программы семейства Scatter – это многомодульные скриптовые многофункциональные зловреды. Для обзора мы выбрали модификацию модуля шифровальщика, которая детектируется как Trojan-Ransom.BAT.Scatter.ab, ее активное распространение началось в середине октября.

В помощь злодеям: человеческий фактор

Бизнес кибер-вымогателей процветает. За 2014 год «Лаборатория Касперского» зафиксировала свыше 7 миллионов атак на своих пользователей с использованием вредоносных объектов семейства Trojan-Ransom.

В 2014 году «Лаборатория Касперского» зафиксировала свыше 7 миллионов атак шифровальщиков

Tweet

Количество атак шифровальщиков, ежемесячно блокируемых «Лабораторией Касперского» в 2014 году

Злоумышленники все чаще предпочитают получать оплату в криптовалюте Биткоин. Впрочем, расценки для пользователей по старинке указываются в рублях, долларах США и евро. Расценки на расшифровку данных для простых пользователей начинаются от 1000 рублей и доходят до нескольких сот долларов. В случае шифрования файлов в организации аппетиты злоумышленников вырастают в среднем в 5 раз. Известны случаи, когда у организации за расшифровку файлов требовали 5000 евро. К сожалению, компаниям, потерявшим свои данные, зачастую проще заплатить, чем лишиться важной информации. Не удивительно, что основной целью злоумышленников, наживающихся на шифровальщиках, являются организации.

Почему же шифровальщикам удается наносить такой урон?

Как уже было сказано выше, большинство антивирусных компаний постоянно совершенствует защиту от шифоровальщиков. Так, «Лаборатория Касперского» реализовала в своих продуктах специальную технологию «Защита от программ-шифровальщиков«. Однако, как известно, самое слабое звено IT-защиты – пользователь. И в случае шифровальщиков это весьма актуально.

Мы проводим специальные мероприятия, посвященные борьбе с этим видом вредоносных программ. Эти мероприятия включают целый комплекс мер: разбор всех инцидентов, произошедших с организациями, обратившимися в нашу службу технической поддержки (использующих как наши, так и не наши антивирусные продукты); поиск и сбор самплов шифровальщиков; анализ работы каждого защитного компонента наших продуктов в каждом произошедшем случае; улучшение существующих и разработка новых методов для детектирования и исправления последствий деятельности шифровальщиков. Работа эта кропотливая и отнимает много времени, но она необходима, чтобы наши продукты успешно противостояли этой постоянно изменяющейся угрозе.

Мы сталкиваемся с шифрованием файлов в организациях вследствие работы их сотрудников с отключенным антивирусом

Tweet

В ходе проводимых исследований мы часто сталкиваемся со случаями шифрования файлов в организациях вследствие работы их сотрудников с отключенным антивирусом. И такие случаи не единичны, наша служба технической поддержки сталкивается с такими ситуациями каждую неделю по нескольку раз.

Нам представляется, что возможная причина беспечности пользователей, как ни странно, кроется в значительном техническом прогрессе. Возросшая защищенность браузеров и операционных систем привела к тому, что сегодня пользователи сталкиваются с угрозами вредоносного ПО реже, чем прежде. В результате некоторые, не задумываясь, отключают отдельные компоненты антивирусных продуктов или вообще работают без антивируса.

О необходимости регулярных обновлений ПО сказано немало. Тем не менее, мы еще раз отметим важность своевременного обновления антивируса. Мы расследовали случай шифрования файлов в организации, который произошел по одной причине: пользователь, придя на работу, стал читать почту, не дождавшись обновления антивирусных баз – а это обновление содержало сигнатуру, способную обнаружить зловреда.

С другой стороны, не стоит забывать, что ни один, даже самый совершенный продукт, не может обеспечить 100% защиты от проникновения вредоносного ПО на компьютер. Вера в абсолютную защиту «суперантивируса» приводит пользователей к неоправданной беспечности – например, они смело открывают вложенные файлы в подозрительных письмах или бездумно кликают по опасным ссылкам. Наличие «продвинутых» систем защиты не снимает с пользователей задачу выполнять все требования политик безопасности.

Сделайте резервные копии всех важных файлов и разместите их на отдельном носителе вне компьютера

Tweet

Свой вклад в «успех» шифровальщиков вносит и отсутствие резервных копий важных файлов на компьютерах. Раньше данные можно было потерять не только в результате действия вредоносного ПО, но и в результате отказа носителей информации или сбоя легитимного ПО, которое оперирует важными данными. Но за последнее десятилетие и надежность носителей, и надежность ПО возросла на порядок. И большинство пользователей перестали делать резервные копии своих данных. Как результат – при заражении компьютера шифровальщик просто парализует нормальную работу компании, и шансы злоумышленников получить деньги за расшифрование становятся весьма велики.

Ловушки для беспечных: как атакуют пользователей

Если составлять своеобразный хит-парад способов распространения шифровальщиков, то первое и второе места уверенно займут письма в электронной почте. При этом в первом случае вредоносный объект содержится непосредственно в письме, а во втором письмо содержит не сам объект, а гиперссылку на него. На третьем месте по популярности находится атака через системы удаленного управления компьютером (RDP). Такие атаки, как правило, осуществляются на серверы организаций.

Атака через RDP

Начнем с самого редкого и простого способа. В случае атаки через RDP злоумышленник, получив удаленный доступ к компьютеру, первым делом отключает антивирус, а затем запускает программу шифровальщик. Основными факторами, позволяющими осуществить атаку через RDP, являются использование слабых паролей либо «утечка» информации о пароле от учетной записи пользователя. Противостоять такому типу атак помогает внедрение строгих парольных политик:

• пароль должен быть стойким (сложным);
• пароль должен быть известен только ответственному лицу;
• пароль должен регулярно заменяться новым.

Сценарии атак через электронную почту

Если в случае атаки через RDP все происходит без участия пользователя, то в случае атаки через электронную почту последний должен сам запустить присланный файл или кликнуть по ссылке в письме. Достигается это использованием злоумышленниками приемов социальной инженерии, или, проще говоря, обманом пользователя. Стратегия злоумышленников зачастую строится на том, чтобы атаковать людей, чей род деятельности наиболее далек от информационной безопасности. Эти люди могут даже не знать о существовании такой угрозы как злонамеренное шифрование файлов.

Злоумышленники атакуют людей, чей род деятельности наиболее далек от информационной безопасности

Tweet

Темы писем

В организацию приходит письмо с сообщением устрашающего содержания например, что против организации подан судебный иск, подробности о котором находятся во вложенном документе.

Пример «письма из суда». В приложении находится троянец-шифровальщик

Расчет злоумышленников, вероятно, следующий: напугать жертву некой мнимой угрозой, страх перед которой превзойдет опасения открытия неизвестного почтового вложения.

В случае организации схема работает особенно хорошо: на рядового сотрудника, получившего письмо, ложится дополнительный груз ответственности. Сотрудник пытается разделить свою ответственность с другими и советуется с коллегами. Шансы злоумышленников на то, что хотя бы кто-то из сотрудников откроет вложение, возрастают. Так, в ходе расследования инцидентов выяснилось, что в нескольких пострадавших организациях на открытии вложения настояли штатные юристы.

Относитесь с подозрением к ссылкам и вложениям из писем, которых вы не ждете

Tweet

При этом для усыпления бдительности получателя авторы письма могут использовать официальную символику:

Пример письма, содержащего ссылку на вредоносный объект

Также исполняемый файл можно встроить в документ Microsoft Word и замаскировать его любой иконкой:

Пример того, как может быть замаскирован исполняемый файл в документах Microsoft Word

Злоумышленниками также применяется схема, когда документ Microsoft Word содержит нечитаемый текст и просьбу разрешить выполнение макросов, якобы для корректного отображения текста. В действительности после выполнения макроса на компьютер будет загружен троянец-шифровальщик.

Пример документа Microsoft Word, «убеждающий» пользователя выполнить вредоносный макрос

Особенности названий файлов

Следующим приемом социальной инженерии является использование специальных слов в названиях файлов, содержащихся в прикрепленном к письму (или загруженном пользователем) архиве. Например, это могут быть слова «checked» или «secure» плюс названия различных антивирусных продуктов. Цель злоумышленников: заставить пользователя поверить, что вложение прошло проверку антивирусным продуктом.

Пример вредоносного вложения с использованием названия антивирусного продукта и расширением .js

Расширения для исполняемых файлов специально выбираются малоизвестные рядовому пользователю. В основном это .scr, .com и .js.

Отдельного упоминания заслуживают письма с вложенными якобы «бесплатными уроками безопасности от «Лаборатории Касперского». Такие же письма рассылались и от имени других антивирусных компаний.

Рекомендации пользователям

Подробные рекомендации для системных администраторов можно найти по этой ссылке.

Здесь мы дадим краткие рекомендации для пользователей:

• Сделайте резервные копии всех важных файлов и разместите их на отдельном носителе вне компьютера.
• Включите отображение расширений для зарегистрированных типов файлов. Это поможет вам контролировать, что присланный вам документ – действительно документ, а не исполняемый файл. В этом необходимо убеждаться, даже если письмо получено от знакомого вам адресата.
• Относитесь с подозрением к ссылкам и вложениям из писем, получение которых вы не ждете. Любопытство и страх ‑ это любимые «инструменты» злоумышленников, чтобы заставить пользователей забыть о бдительности и открыть вложение.
• Используйте последние версии антивирусных продуктов. Как правило, их эффективность возрастает с каждой новой версией за счет новых модулей. Пользователям наших продуктов мы настоятельно рекомендуем включать KSN.
• Ну и наконец, дождитесь обновления антивирусных баз, прежде чем читать утреннюю почту.
• Системным администраторам (помимо прочего) необходимо повышать осведомленность пользователей о наличии угроз.

P.S. В поддержку техподдержки

Шифровальщики вызывают больше всего негативных эмоций пользователей, обращающихся в нашу службу технической поддержки. Пострадавших очень легко понять. Дело в том, что шифровальщики, в большинстве случаев, вынуждают пользователей расстраиваться не один, а несколько раз подряд. При этом каждый раз степень расстройства возрастает.

Первый раз пользователь расстраивается, когда обнаруживает, что все его ценные файлы зашифрованы. Но в этот момент у него появляется надежда, что файлы еще можно расшифровать самостоятельно утилитами для автоматической дешифровки. Второй раз пользователь расстраивается, когда утилиты для дешифровки ему не помогли (мы рассматриваем самый неблагоприятный для пользователя случай). Третий раз пользователь расстраивается, когда и служба технической поддержки не смогла ему ничем помочь. В этот момент огорчение пользователя достигает кульминации. Неприятная и неопределенная ситуация держит его в напряжении. Пользователь потратил силы и время на сбор информации для специалистов техподдержки, а файлы так и остались зашифрованными. Кстати, эта информация специалистами поддержки собирается не просто так – она очень помогает нам для правильного анализа ситуации и улучшения наших продуктов, а следовательно, помогает в будущем лучше защитить не только этого, но и других пользователей. Но пострадавший пользователь, как правило, в этот момент об этом не думает – он раздосадован отсутствием результата. И его досада зачастую выливается на сотрудников техподдержки.

Пользуясь случаем, я хочу поблагодарить наших коллег из службы технической поддержки, а также наших добровольных помощников на форуме (в особенности «mike 1» и «thyrex«), которые выполняют огромный объем работы, помогая нашим и не только нашим пользователям. Анализируя переписку на форуме, я никогда не видел от них ни одного некорректного высказывания даже в ответ на самые эмоциональные сообщения от пострадавших пользователей. Ребята, вы молодцы!