Cryptolocker или на манеже все те же


CryptolockerТолько недавно Агентством Национальной Безопасности Великобритании было опубликовано сообщение о массовых случаях заражения Cryptolocker, как сегодня компания Check Point закончила свое исследование активности вредоносного ПО Cryptolocker и опубликовала отчет о проделанной работе.

Так в рамках анализа ученые разработали специальную систему-ловушку (sinkhole), имитирующую работу центра управления (Command&Control Centre, C&C), чтобы изучить и оценить заражение в реальной среде.

Анализ коммуникации инфицированных клиентов подтверждает, что количество жертв продолжает расти. Интересно, данный анализ также показал, что большая часть пострадавших находится в США и Великобритании.

Благодаря исследованию, специалистам удалось создать интеллектуальные сигнатуры для программных блейдов Anti-Bot и Antivirus, которые затем были переданы в облачный сервис Check Point ThreatCloud. Эти сигнатуры блокируют коммуникации с серверами C&C, эффективно предотвращая умышленное шифрование данных хакерской программой. И как результат, уже за первые дни после создания сигнатур на этапе активного распространения зловредного ПО Check Point детектировала и остановила заражение Cryptolocker более чем в 50 организациях, сэкономив им до $500 тыс.

Напомним, Cryptolocker - вредоносное ПО, шифрующее данные в компьютере, и впоследствии вымогающее денежные средства за их разблокировку. Распространение зловреда началось с сентября 2013 года.

После установки на компьютер жертвы, Cryptolocker начинает работать в фоновом режиме, шифруя данные пользователя, при этом оставаясь незаметным для него.

Cryptolocker ищет и кодирует файлы следующих типов:

  • 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.


По окончании шифрования файлов, Cryptolocker уведомляет об этом пользователя, требуя выкуп за ключ расшифровки. Размер выкупа колеблется от 300 Евро или $300 и до 10 биткоинов (около $3 800). Такая разница зависит от того, как сразу заплатит пользователь. Еще в уведомлении говорится, что в случае если пользователь в течении 3-4 дней не произведет оплату, то ключ будет удален с серверов. Это приведет к тому, что восстановление данных жертвы станет невозможным.

В настоящее время не существует альтернативного метода для восстановления доступа к зашифрованным файлам.

Важная особенность Cryptolocker в том, что вредоносному агенту необходимо инициировать коммуникацию с центром управления (C&C) перед тем, как начать процесс шифрования файлов. И сразу после установления связи с C&C, сгенерированный сервером уникальный открытый ключ передается агенту для шифрования данных на компьютере пользователя.

Исходя из этого, можно предположить, что самый эффективный способ борьбы с Cryptolocker – это обнаружение и блокировка изначальной коммуникации агента с сервером C&C, необходимой для запуска процесса шифрования. Cryptolocker использует алгоритм Domain Generation Algorithm (DGA) для поиска серверов C&C, с которыми можно настроить коммуникацию. В результате каждый день перебирается порядка 1 000 доменов, генерируемых и запрашиваемых образцами Cryptolocker.

Так благодаря реверсивному алгоритму удалось получить предварительно сгенерированные таблицы Cryptolocker DGA для каждого дня. В результате исследователи Check Point научилась предсказывать целевые ссылки URL серверов C&C, с которыми могут связываться агенты Cryptolocker. Это и позволило создать "умные сигнатуры" для блейдов Check Point Anti-Bot и Antivirus. Постоянно обновляясь для всех пользователей ThreatCloud, эта защита блокирует доступ к серверам C&C Cryptolocker и, таким образом, не позволяет запустить процедуру шифрования.

После появления такой защитной функции в ThreatCloud, статистика, собранная с различных шлюзов Check Point по всему миру, показала успешное блокирование сотен инцидентов с Cryptolocker в более чем 50 различных организациях, и все это без каких-либо обновлений или изменений со стороны администраторов.

Специалисты компании решили измерить масштаб и динамику распространения Cryptolocker в реальности. Для этих целей они создали отдельный сервер в интернете и зарегистрировали несколько предварительно рассчитанных доменных имен, которые по расчетам должны были использоваться вредоносным ПО. Разработанный таким образом сервер-ловушка, был использован для оценки масштабов заражения, и занялся подсчетом количества уникальных IP-адресов, подключавшихся к нему.

Так с 1 и до 3 ноября с 3 021 уникального IP-адреса были посланы запросы к созданному Check Point серверу. За 24 часа в пятницу, 2 ноября, 2 300 уникальных адресов делали попытки обратиться к серверу-ловушке. Данная статистика демонстрирует значительный рост по сравнению с 2 700 заражениями, обнаруженными за двухдневный период с 15 по 17 октября.


Обновлено (27.11.2013 00:04)