Программа-вымогатель CryptoWall снова модифицирована


Barracuda NetworksСпециалистами компании Barracuda Networks были обнаружены в Сети новые образцы вредоносной программы-вымогателя CryptoWall, которые использовали цифровую подпись законного SSL-сертификата DigiCert. Выявленные образцы распространялись посредством атак по типу drive-by download.

Стоит напомнить, что при атаке drive-by download вредоносное ПО рассылается через рекламные Flash-баннеры, с помощью которых web-мастера монетизируют свои сайты. При этом, в большинстве случаев, они сами не подозревают, что установленный на web-странице баннер делает их порталы частью сети распространения вирусов.

По предположительным данным специалистов, таким образом злоумышленники атаковали порядка 15 тыс. ресурсов, в том числе сайт:

  • Hindustan Times;
  • Israeli sports news;
  • Web development community.


И в каждом из этих случаев вредоносная программа распространялась посредством рекламной сети Zedo.

Эксперты Barracuda Networks сообщают, что с помощью легитимной цифровой подписи злоумышленники пытались обойти средства защиты web-сайтов. И хотя подобный подход довольно сомнительный, все же есть вероятность того, что с помощью цифровой подписи легитимного сертификата от надежного разработчика, вредонос сможет обойти правила вайтлистинга некоторых приложений. И это не смотря на то, что многие антивирусные программы исключают возможность инфицирования подобным способом.

Проникнув в систему, CryptoWall посредством шифрования через алгоритм RSA 2048 зашифровывает все файлы и данные, после чего блокирует доступ пользователя к ним. А для получения доступа к зашифрованным файлам жертве предлагается уплатить выкуп в Bitcoin через обеспечивающий анонимность браузер Tor.

В настоящее время абсолютно надежного способа восстановления зашифрованных CryptoWall файлов у специалистов пока не имеется. Поэтому единственным вариантом выхода из данной ситуации можно считать только использование не инфицированных резервных копий. Но ни при каких раскладах не идти на поводу у злоумышленников, выплачивая им выкуп за возможность дешифровки. Которой, с большой вероятностью, не существует.


Обновлено (30.09.2014 21:25)