ВирусБлокАда: Рост активности троянов-шифровальщиков

VirusBlockAdaПо данным отчета белорусской антивирусной лаборатории "ВирусБлокАда", с октября 2012 года наблюдается резкий всплеск активности троянов-шифровальщиков.

Троян-шифровальщик - вредоносная программа, шифрующая на компьютерах пользователей личные файлы, после чего предлагает пользователю заплатить определенную сумму посредством мобильных платежей либо виртуальных кошельков.

Злоумышленники требуют выкуп, а после получения оплаты пользователь получит код, позволяющий расшифровать пользовательские файлы, однако никаких гарантий естественно, никто не дает. Практика показывает, что большая часть пострадавших так и не получают свой заветный код. Под шифровку могут попасть фотографии, видеозаписи, музыка, документы, архивы и даже конфигурации с базами 1С.

Данные вредоносные программы шифруют файлы и выводят на экран пользователя сообщение о том, что для разблокировки требуется перевести определенную сумму на мошеннический счет, иногда для получения номера счета предварительно необходимо отправить запрос на e-mail. После оплаты злоумышленниками, чаще всего, не присылается вообще ничего. Расшифровать какой-либо файл, не зная оригинального ключа, весьма затруднительная задача. Особую опасность трояны-шифровальщики представляют для коммерческих организаций, поскольку потерянные данные баз данных могут приостановить работу фирмы на неопределенное время.

Основными признаками появления на компьютере трояна-шифровальщика, является смена расширений файлов, при открытии которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, о необходимости легализации ПО и тому подобное.

После попадания на систему, выполняется поиск файлов с расширениями .doc, .mp3, .jpg, .xls. В директорию с найденными файлами происходит копирование вполне легальной программы-шифровальщика, например, lockdir.exe, с внесением в реестр данных этой программы. Далее запускается процесс шифровки файлов, с установкой случайно сгенерированного пароля. Оригинальные файлы шифруются, после чего перемещаются в скрытую директорию, где хранятся с расширением

  • ***.RN

где *** - имя файлов в шестнадцатеричном представлении.

В директории с оригинальными файлами находится картинка с сообщением, что для разблокировки файлов пользователю необходимо приобрести пакет легализации ПО.

Для скрытия присутствия на сервере злоумышленники использовали программу, очищающую системный журнал Windows, в которой предусмотрен функционал запуска по расписанию, разлогинившись с терминала программа запускает очистку следов своего присутствия в системе.
Файлы шифруются одним из современных алгоритмов шифрования BlowFish, расшифровка файлов "в лоб" после обработки шифровальщиками, не зная ключа, может занять до нескольких лет.

Cпособы защиты от троянов-шифровальщиков достаточно сложны, так как необходимы настройки политик безопасности или HIPS (системы предотвращения вторжений), разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда вредоносная программа внедряется в адресное пространство доверенного приложения.


Обновлено (28.11.2012 17:12)