Исследование

Шантажист

7 июня 2006 года на веблоге «Лаборатории Касперского» появилось сообщение: «Новый Gpcode с ключом длиной 660 бит… Cracked by Kaspersky Lab! Также нам удалось (совместно с компанией-хостером) удалить файл вируса с сайта, с которого он загружался на компьютеры пользователей».

Так закончился очередной раунд борьбы с Gpcode, в котором эксперты «Лаборатории Касперского», как и в случае предыдущих атак «вируса-шантажиста», одержали убедительную победу.

Захват в три хода

Virus.Win32.Gpcode открыл новую страницу в истории киберпреступности: методика киберзлоумышленников напоминает захват заложников с последующим требованием выкупа.
Александр Гостев, «Современные информационные угрозы, второй квартал 2005»

Даже при отсутствии богатого воображения можно легко представить, что чувствует пользователь, обнаружив в один прекрасный июньский день, что файлы на жестких дисках его компьютера либо не открываются, либо, как, например, файлы с расширением TXT, абсолютно не читаемы. Чтобы описать масштаб бедствия, достаточно уточнить, что список расширений пострадавших файлов состоит более чем из 80 пунктов.

Тот факт, что некоторые текстовые файлы с говорящим названием readme.txt читаются прекрасно, вряд ли обрадовал кого-либо из пострадавших — в этих файлах содержится недвусмысленное предложение купить программу-декодер, чтобы расшифровать «некоторые файлы», зашифрованные с помощью RSA-метода.

Увы, некоторым эта ситуация знакома не понаслышке. При этом довольно долго оставалось загадкой, как именно заражаются компьютеры «вирусом-шантажистом».

На сегодняшний день схема распространения Gpcode, по крайней мере его последних версий, появившихся в начале июня, известна.

Изначально была использована спам-рассылка: в течение нескольких дней на несколько тысяч адресов электронной почты российских пользователей рассылалось письмо следующего содержания:

К письму прилагался документ MS Word с именем anketa.doc. На самом деле этот файл представлял собой троянскую программу Trojan-Dropper.MSWord.Tored.a. При открытии документа в нем срабатывал вредоносный макрос, который устанавливал в систему другую троянскую программу — Trojan-Downloader.Win32.Small.crb. Именно этот троянец и загружал в систему Gpcode с адреса [skip].msk.ru/services.txt.

Загруженная вредоносная программа последовательно обходила все каталоги компьютера и шифровала по особому алгоритму все найденные файлы документов различных форматов (TXT, XLS, RAR, DOC, HTML, PDF и пр.), а также почтовые базы данных.

Оригинальные файлы всех используемых вредоносных программ после запуска удалялись, а в каждом каталоге с зашифрованными файлами появлялся файл readme.txt, в котором злоумышленник указывал адрес электронной почты для связи с ним.

Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY

Автор Gpcode регулярно менял версию вируса, размещенного по ссылке для загрузки троянцем. Адреса электронной почты в рассылаемых письмах также менялись — каждой новой модификации вируса соответствовал новый адрес, по которому следовало связаться с шантажистом.

При обращении по указанному адресу пострадавшему предлагалось заплатить определенную сумму за расшифровку файлов. Чтобы получить программу-декодер, необходимо было выслать злоумышленнику деньги на указанный им номер Яндекс-кошелька.

Однако разобраться во всех тонкостях захвата «электронных заложников» было не так просто.

Лиха беда начало

Когда в декабре 2004 года мы получили первые экземпляры различных файлов, зашифрованных неизвестной программой-шифровщиком, мы и предположить не могли, что через полгода мы будем получать в день десятки таких файлов, а количество методов их шифрования всего за одну неделю июня превысит два десятка.
Александр Гостев, «Современные информационные угрозы, второй квартал 2005»

Итак, впервые эксперты «Лаборатории Касперского» столкнулись с Gpcode в декабре 2004 года.

Файлы на зараженных машинах были зашифрованы неизвестной программой. Судя по русскоязычному тексту файла !_Vnimanie_!.txt, оставляемого шифрующей программой, по адресам электронной почты, используемым злоумышленником, и по некоторым специфическим для России форматам шифруемых файлов шифрующая программа была явно российского происхождения. Однако обнаружить ее на зараженных компьютерах не удалось.

Тогда среди пострадавших почти не было домашних пользователей — заражены были компьютеры банков, финансовых компаний, рекламных и риэлторских агентств и других организаций с крупным документооборотом. «Подарочек» из России получили также несколько зарубежных компаний.

Стоявший в начале каждого зашифрованного файла заголовок «PGPcoder» наводил на мысль об использовании программы шифрования PGP, однако все оказалось не так сложно: тогда создатель Gpcode использовал алгоритм собственного сочинения, разобраться с которым вирусным аналитикам «Лаборатории Касперского» не составило труда.

Через полгода, в июне 2005, атака Gpcode повторилась, а мишенью злоумышленника стал исключительно Рунет. Шифр использовался более сложный, чем в декабре, но все же «простенький», как говорят специалисты «Лаборатории Касперского», которые легко справились более чем с 25 модификациями первых версий Gpcode. Кроме того, тогда же удалось получить несколько вариантов программы, шифрующей данные.

Один вопрос все же остался без ответа: каким образом вредоносная программа попадала на компьютеры? Однако, как выяснилось, это была не единственная проблема, которую предстояло решить вирусным аналитикам.

Плоды просвещения

Технология шантажа пользователей становится все более и более популярной в среде вирусописателей. Это очень опасная тенденция, которая с каждым месяцем будет все больше усиливаться.
Александр Гостев, «Современные информационные угрозы, четвертый квартал 2005»

«Родитель» Gpcode либо обиделся за свое детище, либо ему все же понравилось получать деньги от нервных граждан. Как бы то ни было, он решил Gpcode усовершенствовать: складывается впечатление, что с прилежанием хорошего студента он полгода изучал методы шифрования и в начале 2006 года устроил экзамен — себе и вирусным аналитикам.

Утром 26 января 2006 года специалистами «Лаборатории Касперского» была перехвачена новая модификация вредоносной программы Gpcode, которая получила индекс .ac. Именно тогда в Gpcode впервые был применен один из наиболее известных и стойких публичных алгоритмов шифрования — RSA.

Гордый своими познаниями, шантажист даже создал сайт, на котором доходчиво объяснял тем, кто был готов заплатить выкуп за расшифровку, что представляет собой алгоритм RSA (оригинальная орфография сохранена):

«Алгоритм RSA работает следующим образом: берутся два достаточно больших простых числа p и q и вычисляется их произведение n = p*q; n называется модулем. Затем выбирается число e, удовлетворяющее условию 1< e< (p — 1)*(q — 1) и не имеющее общих делителей кроме 1 (взаимно простое) с числом (p — 1)*(q — 1). Затем вычисляется число d таким образом, что (e*d — 1) делится на (p — 1)*(q — 1). e — открытый (public) показатель d — частный (private) показатель. (n; e) — открытый (public) ключ (n; d). — частный (private) ключ. Делители (факторы) p и q можно либо уничтожить либо сохранить вместе с частным (private) ключом. Если бы существовали эффективные методы разложения на сомножители (факторинга), то, разложив n на сомножители (факторы) p и q, можно было бы получить частный (private) ключ d. Таким образом, надежность криптосистемы RSA основана на трудноразрешимой — практически неразрешимой — задаче разложения n на сомножители (то есть на невозможности факторинга n) так как в настоящее время эффективного способа поиска сомножителей не существует».

Задача перед вирусными аналитиками стояла куда более серьезная, чем в предыдущих случаях, — впрочем, они с ней справились. А вот шантажист не угомонился: в апреле появилась новая версия вредоносной программы. Автор Gpcode явно «наращивал мощности» — для шифрования в ней также частично использовался алгоритм RSA, но длина ключа, в отличие от предыдущего варианта (56 бит), составляла уже 67 бит.

Однако самая массовая и опасная эпидемия Gpcode разразилась в Рунете в начале июня.

Последний раунд?

С началом 2006 года авторы подобных программ попытались кардинально изменить способы шифрования данных, чтобы максимально осложнить антивирусным компаниям возможность расшифровки… Ранее автор [Gpcode] ограничивался самодельными алгоритмами шифрования, но теперь в ход пошла «тяжелая артиллерия».
Александр Гостев, «Современные информационные угрозы, первый квартал 2006»

В начале июня 2006 года были последовательно распространены три варианта Gpcode, причем каждый раз для шифрования использовался гораздо более длинный ключ, что значительно осложняло процесс его подбора экспертами антивирусных компаний.

В Gpcode.ae длина ключа составляла 260 бит, в Gpcode.af — 330.

Задача была достаточно сложной. Расшифровка различных ключей, используемых в модификациях Gpcode.af (330 бит), потребовала применения новейших технологий и 10 часов напряженной работы экспертов «Лаборатории Касперского».

Соответствующее обновление, содержащее процедуры дешифровки пораженных файлов, было добавлено в антивирусные базы «Лаборатории Касперского». Все вздохнули с облегчением.

И тут появился новый вариант Gpcode — ag — с длиной ключа в 660 бит.

На сегодняшний день, согласно информации на официальном сайте RSA Security, длина последнего факторизированного ключа составляет 640 бит, а на подбор ключа такой длины потребовалось бы 30 лет работы одного компьютера частотой 2,2 Ghz.

Защита от Virus.Win32.Gpcode.ag (включая алгоритмы расшифровки пораженных этой версией Gpcode файлов) была добавлена в антивирусные базы «Лаборатории Касперского» в тот же день, когда был обнаружен Gpcode.ag.

Как эксперты компании решили эту задачу? В ответ на этот вопрос они загадочно улыбаются… И перестают улыбаться, когда спрашиваешь, чего нам ожидать в будущем.

Таких не берут в космонавты

Для того чтобы наши правоохранительные органы начали что-то делать по данному случаю, а именно — хотя бы возбудили дело по 273й статье УК — требуется хотя бы одно заявление в милицию от пострадавших.
Александр Гостев, веблог «Лаборатории Касперского»

Противника не стоит недооценивать, хотя этот раунд он проиграл.

Ему не откажешь в уме и изобретательности — весь механизм атаки «вируса-шантажиста» хорошо продуман, да и методы социальной инженерии автору Gpcode не чужды.

Спам с вредоносной программой рассылался по электронным адресам, собранным на сайте job.ru. Люди, заинтересованные в новой работе и разместившие анкеты соискателей, получали соответствующее запросу предложение якобы от представителей солидных западных компаний. Вложенный файл следовало открыть, чтобы утрясти вопросы размера заработной платы на новом месте работы. Удержаться от потенциально опасного действия при такой подаче очень трудно.

Никаких видимых пользователю изменений после открытия вложения не происходило. А загрузка Gpcode и шифрование файлов на зараженной машине осуществлялись с некоторым интервалом времени после рассылки спама и внедрения первого троянца.

В подавляющем большинстве случаев у пользователей не возникало никаких подозрений относительно того, что шифрование файлов и письмо, пришедшее в ответ на размещение анкеты соискателя на job.ru, как-то связаны. Так что не случайно механизм заражения компьютеров так долго не удавалось понять.

Остается только пожалеть, что столько усилий было направлено злоумышленником (или злоумышленниками) на достижение столь неблаговидной цели, а не на благо общества.

Хотя иногда упорство автора Gpcode вызывает недоумение: копья ломались из-за 2000 рублей. А поначалу, в декабре 2004 года, у тех, кто поддался шантажу и с перепугу писал на указанный в текстовом файле адрес, вымогатель просил и вовсе 1000 рублей. Судя по сообщениям, появлявшимся в то время на форумах, его вполне устраивала и вдвое меньшая сумма — 500 рублей.

Впрочем, и тут был свой расчет — расчет на то, что пострадавшие предпочтут лишиться относительно небольшой суммы денег, а не обращаться в антивирусные компании или в компетентные органы.

Те, кто выполнял требования шантажиста, фактически поощряли его (или их, если за атаками Gpcode стоит несколько сообщников) на продолжение преступной деятельности и на создание новых версий Gpcode. Между тем «Лаборатория Касперского» неоднократно обращалась к пользователям с настоятельной просьбой не потакать преступникам.

А вот для того чтобы перевести вопрос в юридическую плоскость, необходимо, чтобы в правоохранительные органы было подано хотя бы одно заявление от пострадавших. К сожалению, российские пользователи не воспринимают атаки киберпреступников как уголовно наказуемые действия и заявлений не пишут практически никогда. А жаль!

Защищайтесь!

Компьютер, подключенный к сети Интернет, — это как секс. Он может быть безопасным и не очень.
Евгений Касперский, «Современная антивирусная индустрия и ее проблемы»

Самое удивительное в этой истории то, что среди пользователей, обратившихся за помощью в расшифровке поврежденных Gpcode документов, был небольшой, но в количественном отношении весомый процент пользователей Антивируса Касперского.

Удивительным это было потому, что Антивирусом Касперского атака шантажиста блокировалась на каждом из трех этапов: при получении спамового письма с вложенным вредоносным DOC-файлом детектировался Trojan-Dropper.MSWord.Tored.a; компонент, загружающий Gpcode на компьютер, определялся как Trojan-Downloader.Win32.Small.crb. Сам Gpcode также успешно выявлялся антивирусом. И для этого не нужны были новейшие обновления: записи, которыми ловилось большинство модификаций Gpcode, были добавлены еще в январе этого года. Вероятнее всего, у пострадавших Антивирус Касперского просто был выключен.

Эксперты не устают повторять: работа с файлами из сомнительных источников без включенной антивирусной защиты может закончиться плачевно. Особенно учитывая вероятность появления вредоносной программы, в результате действия которой информация может быть утеряна безвозвратно.

Даже в случае Gpcode, когда все методы расшифровки уже были разработаны, «Лаборатории Касперского» пришлось выпустить специальные методы восстановления для зашифрованных почтовых баз, которые повредил почтовый клиент, не распознав «свой» формат. А некоторые пользователи вообще потеряли часть критичных данных по аналогичным причинам.

Очень хочется надеяться, что когда-нибудь все пользователи поймут: для того чтобы чувствовать себя относительно спокойным за «здоровье» компьютера и за безопасность всех данных на нем, нужно пользоваться современными средствами защиты и не забывать постоянно обновлять базы для них. Не стоит беспечностью облегчать жизнь злоумышленникам и осложнять себе!

За последний год антивирусные компании столкнулись не только с шифрованием данных, но и другими способами вымогательства. Несомненно, стоит отметить такие троянские программы как Cryzip и MayArchive, в этом году уже поразившие пользователей в США и Великобритании. В них использовалась технология архивирования файлов с неизвестным паролем. Задача взлома подобного пароля представляется не менее сложной, чем история с Gpcode.

Эти примеры показывают, что шантаж пользователей не является чисто российским изобретением и активно применяется также зарубежными авторами вирусов. В этой связи на первый план выходят не только требования по постоянному обновлению антивирусных баз, но и обязательное создание резервных копий всех важных файлов. И конечно, ни в коем случае не следует выполнять требования злоумышленников и платить им требуемые деньги. Антивирусные компании до сих пор всегда были в состоянии справиться с проблемой и оказывали помощь всем своим клиентам.

Шантажист

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике