Семейства вымогателей FileCoder активизировались

    Вредоносное ПО, которое шифрует файлы пользователей, а затем просит деньги за расшифровку, не является новым. Такие семейства получили общее название Filecoder и являются распространенным типом угроз — их называют вымогателями (ransomware). За последние несколько месяцев мы отметили значительный рост активности шифровальщиков FileCoder. Антивирусные продукты ESET обнаруживают эти угрозы как Win32/Filecoder и Win32/Gpcode.

    Наша система телеметрии ESET Live Grid показывает, что еженедельное количество обнаружений объектов Win32/Filecoder выросло более чем на 200% с июля 2013 г. — в сравнение со средним показателем за январь-июнь того же года.



    Больше всего пострадала от деятельности этого вредоносного ПО Россия. В других странах активность присутствует в меньшей степени.



    Как и в случае с другими видами троянских программ, киберпреступники используют различные методы для установки Filecoder на компьютеры пользователей:

    • Drive-by атаки с использованием эксплойтов для скрытной установки;
    • Вложения электронной почты;
    • Использование другого вредоносного ПО, например, загрузчика (downloader);
    • Ручная установка атакующим через RDP.

    В одном из сценариев заражения мы наблюдали, что модификация Win32/Filecoder.Q (и позднее Win32/Filecoder.AA, Win32/Filecoder.W) распространялась через бэкдоры, например, Poison Ivy RAT. Злоумышленники отправляли пользователю бэкдор через электронную почту. В случае если он был установлен на компьютер пользователя, вредоносный код связывался со своим управляющим C&C-сервером и получал через него вымогатель Filecoder.

    В другом сценарии злоумышленники использовали RDP для ручной установки Filecoder на компьютер. У нас нет достаточной информации для того, чтобы сказать, каким образом атакующие смогли использовать для этой цели RDP и получить учетные данные для доступа.

    FileCoder использует обширный спектр возможностей при шифровании файлов в различных своих модификациях.

    • Шифрование может быть реализовано с использованием собственного кода либо с помощью стороннего легитимного инструмента (например LockDir, WinRar и т. д.).
    • Некоторые модификации вредоносного кода шифруют файл целиком, другие — только часть файла.
    • Используются различные методы для избавления от оригинального файла. В некоторых случаях файл удаляется, но потом может быть восстановлен с использованием различных инструментов восстановления файлов (recovery tools). В другом случае файл удаляется безвозвратно специальными средствами (например, с использованием утилиты Microsoft SysInternals SDelete) или просто полностью перезаписывается.

    Вымогатель использует следующие методы шифрования:

    • Blowfish
    • AES
    • RSA
    • TEA

    …и ключи шифрования могут находиться:

    • Жестко зашиты (hard coded) в файле FileCoder;
    • Получены вручную (через опцию командной строки или диалоговое окно, если атакующий имеет доступ к компьютеру через RDP);
    • Произвольно сгенерирован вредоносным кодом.

    Семейство Filecoder, которое распространяется через RDP, заметно улучшило свою тактику с использованием трюков жульнического ПО (scareware/rogueware) и через GUI-интерфейс преподносит себя как «Anti-Child Porn Spam Protection» или «ACCDFISA» (Anti Cyber Crime Department of Federal Internet Security Agency). Разумеется, такого агентства не существует. Всеобъемлющую информацию о подобных вариантах можно найти в блоге компании Emsisoft. Такая модификация обнаруживается ESET как Win32/Filecoder.NAC, она используется злоумышленниками уже длительное время. Следует отметить, что именно эта модификация отличается от других количеством денежного выкупа, которое он просит за расшифровку — 3000€. Видимо, это связано с потенциальными целями злоумышленников, которые выбирают для компрометации различные организации. При этом другие представители этого семейства вымогают суммы 100 – 200€.

    Вариант Win32/Filecoder.BH, также известный как DirtyDecrypt, имеет в своем снаряжении интересный способ отображения сообщения о выкупе для пользователя. В процессе цикла шифрования содержимого графических файлов и документов вредоносный код добавляет в конец зашифрованного файла информацию с таким сообщением, которое показано ниже.



    Другой вариант Win32/Filecoder.BQ пытается воздействовать на пользователя путем отображения таймера обратного отсчета, который показывает, сколько осталось времени до истечения возможности расшифровать файлы. Интересно, что наряду с обычными для вымогателей способами оплаты выкупа в виде MoneyPak или Ukash, он позволяет использовать для этого и Bitcoins. Более детальную информацию можно найти в нашей энциклопедии угроз Win32/Filecoder.BQ.

    Некоторые варианты FileCoder злоумышленники генерируют с использованием специального инструмента — билдера (builder), аналогичного билдеру банковских троянских программ. Этот инструмент позволяет злоумышленнику выбрать типы файлов, подлежащие шифрованию, метод шифрования, текст сообщения и т. д.



    Некоторые модификации FileCoder используют слабый шифр, неправильную реализацию шифрования, или хранят пароль для расшифровки там, откуда его просто получить. В таком случае расшифровать файлы может быть значительно проще, но в большинстве случаев злоумышленники не допускают таких ошибок и восстановить зашифрованные файлы без ключа практически невозможно.

    В случае если вы используете RDP, примите надлежащие меры по обеспечению безопасности, которые не позволят произвольным пользователям получать удаленный доступ к вашей системе. Рассмотрите возможность использования VPN с механизмом двухфакторной аутентификации, которая позволит вам оставаться в безопасности. Кроме этого, хорошая практика — защищать настройки вашего антивирусного ПО специальным паролем, чтобы злоумышленник не мог изменять их.

    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 23

      +15
      Каникулы кончились, денег на завтраки не хватает
        +2
        Один раз чистил компьютер клиента от такой дряни. Крайне неприятная штука. Особенно учитывая то, что клиент удалил все что сумел антивирусом под чистую и анализировать было уже нечего. Через сутки работы удалось спасти только семейный архив фото на 12 гигабайт по сдвигу, но с документами такой фокус не прошел. Хотя клиент и так был безумно доволен.
          +1
          Главное — чтобы остались зашифрованные файлы в нетронутом виде и данные, необходимые для подбора пароля (если они были вообще). Бинарники самого трояна, в общем, не нужны. Особенно если они были получены из других усточников.
          +2
          самого интересного нет — скрытая установка при заходе на зараженную страничку без нажимания кнопок диалоговых окон во всех браузерах срабатывает? Или какая-нибудь старенькая опера или девятый нетскейп с отключенными скриптами спасут?
            +1
            От тупого юзера, который запускает exe из письма от «арбитражного суда» не спасет ничто кроме физического устранения тупого юзера. Я за последний год, наверное, из тысяч заявок на расшифровку данных не помню ни одной (!!!) где было бы достоверно зафиксировано использование уязвимости не в пользователях/настройках.
            0
            А когда «платишь» — оно файлы то дешифрует?
              +1
              Когда как. Иногда контактные email'ы и/или сервера прикрывают почти сразу после распространения троянов.
              +2
              Ни про один из свежих троянов нет ни слова (а вчера, между прочим, аж два новых варианта вышло). В рекомендациях — какие-то настройки и ни слова о бэкапах… Если для вас разгул энкодеров стал открытием — хочу вас огорчить, вы опоздали месяцев этак на 6-7. В общем, как пугалка статья хороша, но реальной помощи по защите/восстановлению данных вы ей не оказываете.
                +1
                Бэкапы вещь хорошая. А при чем тут «открытие»?.. мы и написали зафиксирован рост уже известных семейств шифровальщиков. АВ компания информирует об эпидемии. Помощь оказывается на форуме и тех поддержкой.
                  +1
                  Если бэкапы — вещь хорошая, чего ж о них не пишите? :-)

                  «Открытие» при том, что сейчас рост только по сравнению с августом, да и то — пара сотен в месяц в абсолютных цифрах. А в марте-апреле-мае были сотни в день.
                  Раз уж вы заговорили о помощи: что можете предложить для случаев *ZANZIBAR@umpire.com_ZA*? :-D А для *.kraken?
              • UFO just landed and posted this here
                  +1
                  Билдер в паблике уже года два, и по конкретно этому трояну в последние пару месяцев как раз затишье. Более того, показан скрин старого билдера, и все что им собрано скрывается за 15 минут даже без самого трояна, только по 1 doc-файлу. А в новой версии (хотя и ей тоже год, не меньше) используется еще и AES.
                  +5
                  Блин, не забыть сделать бекапы…
                    0
                    на недоступном жертве сетевом хранилище… а то троят и бэкапы все сожрет.
                      +1
                      Бэкап, который доступен простому пользователю — бэкап только по названию :-) Некоторые любят в архивы и в тот же каталог их класть, что и исходные данные.
                        0
                        Кстати, нет каких-нибудь минимальных дистров Линукса, чтобы можно было в него загрузиться на целевом устройстве из загрузчика, подключить внешний диск. чтобы он автоматом rsync'ил данные на внешний и завершал работу? Я вот думал такой создать, но пока застопорилась идея…
                          0
                          Так у многих rescue-сборок есть папка для custom-скриптов. Только питона там может не быть… Но и на шелле можно реализовать такое, с автозапуском и выбором папок для бэкапирования.
                            0
                            Ага, я тоже сначала думал про шелл, но сейчас больше думаю про Питон… Короче, я пока даже требования к этой штуке не выдвинул =D Но если сделаю — то будет ещё одна полезная статья =)
                            0
                            А смысл? Это надо останавливать систему на время бэкапа, проводить много ручных манипуляций(вставить диск загрузочный, подключить внешний винт)… зачем это все?

                            Сейчас можно найти решения для бэкапа на лету и по FTP на NAS. Почитал про свой NAS — он даже может служить в роли сервера резервных копий для Ябло-продукции.
                              0
                              Так это всё ещё и позволяет обеспечить ту же безопасность от вирусов, быстроту копирования и т.д. К тому же я хочу отвести под эту систему отдельный раздел на жёстком диске, ну и запускать тогда, когда приду домой и буду ложиться спать =)
                                0
                                НАСу пофиг на вирусы… а бэкапить вирусы особого толку нет.
                                Вирусов, которые вычисляют NAS по FTP-шнику, да еще под паролем не будет еще долго… хотя какой пароль… сертификат+пароль, кажется NAS такое тоже умеет.

                                Собственно, то что тебе надо уже давно реализовано в Acronis TrueImage.
                                  0
                                  Хм, вот насчёт последнего предложения — он поддерживает сценарии, автозапуск и прочее?
                                    0
                                    Где-то как-то это вроде бы можно сделать но совершенно не нужно. Он прекрасно справляется с резервными копиями прямо на работающей системе, сохранять может на свой специальный скрытый раздел по расписанию или вручную. Вроде как несколько лет уже поддерживает аналог логирования в СУБД — непрерывное резервное копирование на лету. Но в домашних условиях это не очень актуально.
                                    Сделать посекторный снимок системного раздела на самой же работающей системе — без проблем. И только в исключительных случаях — загружаешься с диска и вручную делаешь копию, но этот вариант только на крайний случай, ибо тормозит это дело просто ужас. Может в свежей версии что-то лучшее сделали, вроде как обещали полностью переделать оболочку. В последний раз сделать резервную копию раздела поплохевшей системы и восстановить из предыдущей копии у меня заняло 4 часа причем непосредственно копирование и восстановление заняло минут по 30-40, остальное время ушло на загрузку оболочки, выбор резервной копии и её проверка перед восстановлением длящаяся по времени никак не меньше чем само восстановление… и обойти эту проверку нельзя, иначе её потом программа не видит.

                      Only users with full accounts can post comments. Log in, please.