Стишок про криптолокера обманчиво прост, как и все модели поведения вирусов. Всемирная паутина подсказывает нам, что криптолокер (CryptoLocker) – это новое семейство программ-вымогателей (ransomware), чья бизнес-модель (да, вредоносные программы – это для кого-то бизнес!) основана на вымогательстве денег у пользователей.
Криптолокеры продолжают тенденцию, начатую другой печально известной вредоносной программой, также вымогающей деньги у своих жертв, — так называемым «полицейским вирусом», который требовал от пользователей заплатить «штраф» для разблокировки их компьютеров. Однако в отличие от «полицейского вируса», CryptoLocker шифрует документы пользователей и просит их заплатить выкуп (при этом существует ограничение по времени на отправку платежа).
Установка вредоносной программы
CryptoLocker использует техники социальной инженерии для обмана пользователей, которые его запускают. Если быть более конкретным, то жертва получает электронное письмо с zip-файлом, зашифрованным паролем, который поступает якобы от логистической компании.
Троян запускается в тот момент, когда пользователь открывает вложенный ZIP-файл, набрав пароль, указанный в теле письма, после чего пытается открыть вложенный в него PDF-файл. CryptoLocker использует возможности поведения Windows по умолчанию при скрытии расширений имен файлов, чтобы скрыть реальное расширение .EXE вредоносного файла.
После того как жертва запускает его, троян остается резидентом в памяти компьютера и выполняет следующие действия:
• Сохраняет себя в папку в профиле пользователя (AppData, LocalAppData).
• Добавляет ключ в реестр, чтобы гарантировать запуск трояна каждый раз, когда пользователь включает компьютер.
• Создает для себя два процесса: один процесс является основным, а другой предназначен для защиты основного процесса от удаления.
Шифрование файла
Троян генерирует случайный симметричный ключ для каждого файла, который он шифрует, после чего шифрует содержимое файла в соответствии с алгоритмом AES, используя сгенерированный ключ. Затем он шифрует случайный ключ, используя ассиметричный алгоритм шифрования открытым и закрытым ключом (RSA) и ключами свыше 1024 бит (мы также видели образцы, которые использовали ключи из 2048 бит), после чего добавляет их к зашифрованному файлу. Таким образом, троян гарантирует, что только владелец закрытого ключа RSA может получить случайный ключ, используемый для шифрования файла. Кроме того, т.к. компьютерные файлы перезаписаны, то невозможно будет их получить с помощью различных следственных методов.
После запуска первое, что делает троян, — это получение открытого ключа (PK) со своего сервера C&C. Чтобы найти активный сервер C&C, троян содержит алгоритм генерирования домена (DGA), известный как «Mersenne twister» для генерации случайных доменных имен. Данный алгоритм использует текущую дату в качестве основы и способен ежедневно генерировать до 1000 различных доменов фиксированного размера.
Псевдокод DGA
После этого троян скачивает PK, сохраняя его внутри следующего ключа в реестре Windows: HKCU\Software\CryptoLocker\Public Key. Затем он начинает шифрование файлов на всех жестких дисках компьютера и на каждом сетевом диске, к которому имеет доступ зараженный пользователь.
CryptoLocker не шифрует каждый найденный файл, а шифрует только неисполняемые файлы с расширениями, включенными в код вредоносной программы:
Список расширений, найденных в образце CryptoLocker
В дополнение к этому, CryptoLocker ведет журнал каждого зашифрованного файла в следующем ключе реестра: HKEY_CURRENT_USER\Software\CryptoLocker\Files
После того как троян заканчивает шифрование каждого файла, соответствующего заданным критериям, он отображает следующее сообщение, требуя от пользователя выполнить платеж в установленный период времени до того момента, пока не будет уничтожен закрытый ключ, хранящийся у автора вредоносной программы.
Любопытно, что вредоносная программа не требует у всех пользователей одинаковой суммы в одной какой-то валюте, а содержит свою собственную встроенную таблицу конвертации валют.
Выводы
Данная вредоносная программа распространяется по электронной почте с использованием техник социальной инженерии. Следовательно, мы рекомендуем Вам быть предельно осторожным при просмотре писем от неизвестных Вам отправителей, особенно тех, что содержат вложенные файлы. Кроме того, если Вы отключите в Windows возможность скрытия расширения файлов, то это значительно поможет Вам в определении данного типа атаки.
В дополнение к этому мы хотели бы напомнить Вам о том, что очень важно иметь систему резервного копирования для Ваших критически важных файлов. Такая возможность поможет Вам смягчить ущерб, вызванный не только вредоносными инфекциями, но также и проблемами с аппаратным обеспечением или любыми другими инцидентами.
Если Вы заразились данной угрозой и не располагаете резервной копией Ваших файлов, то мы рекомендуем не платить выкуп. Это никоим образом не является выходом из ситуации, т.к. в этом случае вредоносные программы становятся высокодоходным бизнесом, что будет только способствовать процветанию подобного типа атак.
Оригинал статьи – CryptoLocker
Автор — Luis Regel
Источник: пресс-рассылка
