Cryptolocker 2.0 или подделка?

    В предыдущем посте, посвященном вымогателям (ransomware), мы указывали на активизацию семейства FileCoder, которое используется злоумышленниками для шифрования файлов пользователя с последующим требованием выкупа за расшифровку. Уже с июля 2013 года злоумышленники удвоили свои усилия по распространению этого вида вредоносного ПО. Кроме этого, за этот период времени было зафиксировано появление новой модификации Win32/Filecoder.BQ, которая больше известна как Cryptolocker и представляет из себя наиболее опасный вариант шифровальщика. При заражении Cryptolocker пользователь либо теряет свои данные, либо вынужден платить злоумышленникам за расшифровку.



    Как видно на статистике ниже, наиболее всего Cryptolocker активен в США. Очевидно, что этот регион является наиболее привлекательным для злоумышленников в силу достаточной состоятельности пользователей. Злоумышленникам проще таким образом получить прибыль, ведь многие пользователи готовы заплатить требуемую сумму только чтобы вернуть себе доступ к оригинальным файлам. Не только Cryptolocker, но и такие известные банковские вредоносные инструменты как Zeus или SpyEye также в свое время ориентировались в первую очередь на США из-за наибольшей монетизации.


    Рис. География распространения Cryptolocker.

    В прошлом месяце мы обнаружили еще одно семейство Filecoder, которое привлекло наше внимание, поскольку в коде модификации присутствовало название «Cryptolocker 2.0». Эта модификация была добавлена нашими аналитиками как MSIL/Filecoder.D и MSIL/Filecoder.E.

    Анализ новой версии показывает, что обе модификации (обычный Cryptolocker и Cryptolocker 2.0) работают аналогичным образом. После заражения системы, они осуществляют поиск определенных типов файлов (по расширению) в файловой системе, шифруют их и отображают сообщение для пользователя о необходимости оплаты выкупа для расшифровки. Обе модификации используют алгоритм RSA с открытым ключом для шифрования. В то же время существуют определенные различия между двумя семействами.





    Существуют три видимых отличия между этими семействами. Первая версию использует RSA-2048, в то время как для новой версии заявлено использование более стойкого RSA-4096 (хотя на самом деле он использует RSA-1024). Еще одно отличие заключается в том, что Cryptolocker 2.0 отображает количество времени, которое осталось до предполагаемого удаления закрытого ключа RSA (с помощью которого можно расшифровать уникальный для каждого файла AES ключ, через который уже можно расшифровать сам файл). Кроме этого, версия 2.0 принимает выкуп только в биткоинах, в то время как первая версия также принимала MoneyPak и Ukash.

    Существуют и другие различия между этими семействами, которые были выявлены после разбора вредоносного кода. Самое очевидное состоит в языке программирования, который злоумышленники использовали для разработки этих модификаций. Обычный Cryptolocker написан на C++, а новый на C#. Различаются также используемые этими модификациями файлы и ключи реестра, а также в новой версии было увеличено количество расширений файлов, подлежащих шифрованию, теперь он нацелен и на аудио/видео файлы и файлы изображений: .mp3, .mp4, .jpg, .png, .avi, .mpg.

    Когда вредоносная программа запускается в системе, она связывается с управляющим C&C-сервером и запрашивает оттуда уникальный открытый ключ RSA. Затем каждый файл, подходящий по критерию для шифрования, шифруется с использованием уникального ключа 3DES, который затем в свою очередь шифруется с использованием публичного ключа RSA, который был получен с сервера. Этот зашифрованный ключ будет записан в тело вспомогательного файла, который будет иметь такое же имя, как и оригинальный, но к нему будет добавлено еще одно расширение «.k» (%filename%.%fileext%.k).

    Таким образом, расшифровка файлов возможна в том случае, если известен закрытый ключ RSA, который поможет расшифровать ключи 3DES (AES в случае первой версии). Другое отличие между версиями заключается в том, что первый Cryptolocker сохраняет зашифрованный ключ в конце зашифрованного файла, а не в отдельном файле.



    В дополнение к основной возможности Cryptolocker – шифрованию файлов, он содержит дополнительные особенности, например, показывает на рабочем столе окна, которые имитируют «активаторы» или взломщики shareware ПО: Microsoft Windows, Office, Team Viewer, Adobe Photoshop или даже ESET Smart Security.





    Cryptolocker выбирает какое окно нужно отобразить пользователю в зависимости от имени исполняемого файла, из которого он был запущен. После запуска он устанавливается в системе и затем начинает шифровать файлы. Такой метод маскировки позволяет усыпить бдительность пользователей, которые прибегают к помощи различных взломщиков и используют подобное ПО для нарушения целостности проприетарных программ.

    Мы отмечаем, что Cryptolocker 2.0 обладает возможностями по распространению через сменные носители, перезаписывая содержимое исполняемого файла на свое тело. В новой версии также появились возможности по краже файлов кошельков биткоинов, запуск легитимного приложения по генерации биткоинов BFGMiner без ведома пользователя или использование скомпрометированной системы как бота для организации DDoS атак против определенных серверов.

    Выводы

    Принимая во внимание все вышеупомянутые различия между Cryptolocker и Cryptolocker 2.0, мы не можем сделать вывод, что это действительно новая версия этой вредоносной программы. Переход злоумышленников с C++ на C# является довольно неожиданным решением, но в то же время ни одно из ключевых отличий не может считаться значительным улучшением возможностей вредоносной программы.

    Вредоносная программа Cryptolocker 2.0, которая обнаруживается как MSIL/Filecoder.D и MSIL/Filecoder.E, действительно опасна и может причинить много вреда пользователям, которые не выполняют резервное копирование своих данных. В случае с Cryptolocker резервное копирование данных является одним из наилучших средств защиты от его деструктивных действий.

    Мы также рекомендуем использовать седьмую версию продуктов ESET Smart Security и ESET NOD32 AV, так как они содержат специальную функцию расширенного сканирования памяти. Она помогает улучшить обнаружение уже известных или еще неизвестных модификаций вредоносных программ, включая Filecoder.

    ESET NOD32
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 15

      +1
      Мы также рекомендуем использовать седьмую версию продуктов ESET Smart Security и ESET NOD32 AV, так как они содержат специальную функцию расширенного сканирования памяти. Она помогает улучшить обнаружение уже известных или еще неизвестных модификаций вредоносных программ, включая Filecoder.

      а дешифровать файлы может?
        +1
        Каким образом?
          +1
          Из Ваших слов я делаю вывод, что даже если заплатить — файлы не будут дешифрованы?
            0
            Платить или не платить вот в чем вопрос… Если пользователь платит, он идет на поводу у киберпреступников и становится их жертвой, на которой они наживились. Если не платит, лишается данных. Ответ — использовать up-to-date антивирусное/security ПО, быть бдительным в сегодняшнем крайне небезопасном интернете, регулярно обновлять ПО и ОС и своевременно делать бэкап данных.
              –1
              Я не затрагиваю то, насколько этично платить. Если файлы расшифровываются — то программа хранит закрытый ключ, значит его можно достать и расшифровать, не платя, так?
                +1
                Закрытый ключ хранит сервер, который даёт к нему доступ после совершения платежа. Расшифровать можно, если получить доступ к серверу. Из статьи непонятно, каким образом программа связывается с сервером. Если это простой IP в интернете, можно его найти и изьять сервер с помощью правоохранительных органов. Если это анонимная сеть вроде TOR, тут, скорее всего, ничего не сделаешь, только платить и на будущее бэкапить.
        +4
        Хорошая статья.
        Внимание, вопрос: если адреса C&C серверов захардкожены, то почему бы их не деактивировать оперативно?
          –8
          Вот по этому OS X и Linux безопаснее использовать для хранения важных файлов. А еще лучше хранить все важные и нужные файлы на выносном физически защищеннои SDD и HDD, зашифрованном TrueCrypt'ом, и подключать его только к *NIX системам.
            +5
            Мне кажется, с криптолокерами нужно не память анализировать, а поведение. Обычные вирусы (да и прочие программы) не так массировано лезут своими грязными лапами на жесткий диск. Вылез процесс за пределы директории (условно) — на карандаш. Полез еще дальше — заблокировать и спросить пользователя, заказывал ли он банкет или ни слухом ни духом.
              0
              Извините за тупой вопрос, но я сильно уставший.

              Чтобы убедиться в том, что файлы в данный момент еще в нормальном состоянии — это надо загрузиться с Live CD и открыть их? Если они зашифрованны, то плеер или вьювер покажет хлам?
                +1
                Уважаемые специалисты ESET!
                В коротком топике про частный случай обнаружения заразы и в его обсуждении остался не до конца проясненным вопрос о политике выдачи лекарства в публичный доступ. Вы, как и практически все остальные антивирусные вендоры, распространяете утилиты для разовой проверки (и лечения) бесплатно.
                Какова Ваша политика по доступности средства лечения от новой угрозы, в частности по скорости с которой угрозу обнаружат и устранят платные подписчики и пользователи бесплатных утилит?
                Сотрудничаете ли Вы с VirusTotal по части получения образцов новых угроз?
                То, что персональный ответ запросившим помощи был получен обозначает, что это же лекарство сразу же станет доступно и всем подписчикам, если нет, то от чего зависит разница во времени доступности?
                Спасибо.
                  0
                  Что касается Cryptolocker, то что здесь лечить, если даже при удалении тела вредоносной программы пользователь все равно теряет доступ к данным. Очевидно, что в его случае не нужно никаких вспомогательных клинеров (по крайней мере для этих двух модификаций). Рекомендации для пользователей, в случае защиты от Cryptolocker, были даны выше.
                    0
                    В данном частном случае это очевидно. А в общем?
                    Ситуация: к вам незарегистрированный пользователь прислал «заразу» на проверку. Вы оперативно отработали, и выслали адресно запросившему обновление. Угроза побеждена. У запросившего.

                    В общедоступные базы для зарегистрированных пользователей это персонально выполненное лекарство насколько быстро приедет? А в утилиты для разовой проверки?

                    PS Извините за назойливость, просто этот вопрос меня очень интересует. «Докапываюсь» теперь до всех антивирусных вендоров, кто появился в публичном пространстве.
                  0
                  Он шифрует все диски или только файлы документов на них?
                  Если весь диск, то получается, что такую вирусню можно отследить по долгой и аномально высокой активности ЦП?
                    0
                    Не внимательно прочитал. Сейчас увидел, что он шифрует еще и ".mp3, .mp4, .jpg, .png, .avi, .mpg.". Если на ПК архив фотографий, то шифрование такого количества файлов непременно должно отразится на его производительности.

                    Под каким именем фигурирует эта вирусня в процессах?

                  Only users with full accounts can post comments. Log in, please.