CryptoLocker

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 16 februarie 2021; verificările necesită 3 modificări .
CryptoLocker
Tip de Troian , ransomware
Anul apariției 5 septembrie 2013
Descriere Symantec

Atacul ransomware CryptoLocker a fost un atac cibernetic folosind ransomware CryptoLocker , care a avut loc între 5 septembrie 2013 și sfârșitul lunii mai 2014. Atacul a folosit un troian care infectează computerele care rulează sistemul de operare Microsoft Windows [1] și se crede că a fost postat pentru prima dată pe Internet pe 5 septembrie 2013 [2] . Troianul s-a răspândit prin atașamente de e-mail infectate, site-uri web infectate și printr-o rețea bot existentă pe computerul utilizatorului . Când un computer este infectat, malware-ul cripteazăanumite tipuri de fișiere stocate pe unități de rețea locale și mapate folosind sistemul de cripto- cheie publică RSA , cu cheia privată stocată numai pe serverele de control al malware. Malware-ul afișează apoi un mesaj care oferă decriptarea datelor dacă o plată (prin Bitcoin sau un voucher preplătit în numerar) este efectuată în limita de timp specificată, iar utilizatorul este amenințat cu ștergerea cheii private dacă termenul expiră. În cazul în care acest termen nu este respectat, malware-ul oferă decriptarea datelor printr-un serviciu online oferit de operatorii de malware la un preț semnificativ mai mare în bitcoini, fără nicio garanție că plata va duce la decriptarea conținutului.

În timp ce CryptoLocker în sine poate fi îndepărtat cu ușurință, fișierele afectate au rămas criptate într-un mod pe care cercetătorii l-au considerat imposibil de decriptat. Mulți cred că răscumpărarea nu ar trebui plătită, dar nu oferă nicio modalitate de a recupera fișierele; alții susțin că plata unei răscumpări este singura modalitate de a recupera fișierele care nu au fost salvate printr-o copie de rezervă . Unele victime au susținut că plata răscumpărării nu duce întotdeauna la decriptarea fișierelor.

CryptoLocker a fost izolat la sfârșitul lunii mai 2014 ca urmare a Operațiunii Tovar , iar în același timp a fost capturată și botnet-ul Gameover ZeuS , care a fost folosit pentru a distribui malware. În timpul operațiunii, o firmă de securitate implicată în proces a obținut o bază de date cu chei secrete utilizate de CryptoLocker, care, la rândul său, a fost folosită pentru a crea un instrument online pentru recuperarea cheilor și fișierelor fără a plăti o răscumpărare. Se crede că operatorii CryptoLocker au obținut cu succes, în total, aproximativ 3 milioane de dolari de la victimele troienilor. Alte cazuri ale următorului ransomware au folosit numele (sau variantele) CryptoLocker, dar nu au nicio legătură.

Lucrare

CryptoLocker este de obicei distribuit ca atașament la un mesaj de e-mail presupus inofensiv care pare a fi de la o companie legitimă [3] . Fișierul e-mail atașat mesajului de e-mail conține un fișier executabil cu numele fișierului și pictograma deghizat ca fișier PDF : profitând astfel de comportamentul implicit al Windows pentru a ascunde extensia de numele fișierelor pentru a ascunde extensia reală - .EXE. CryptoLocker a fost distribuit și folosind troianul și botnetul Gameover ZeuS [4] [5] [6] .

La prima rulare , sarcina utilă a troianului este instalată în folderul de profil al utilizatorului și adaugă o cheie la registry care o face să ruleze la pornirea computerului. Apoi încearcă să contacteze unul dintre mai multe servere de comandă și control atribuite; după conectare, serverul generează o pereche de chei RSA de 2048 de biți și trimite cheia publică către computerul infectat [1] [5] . Serverele pot fi proxy-uri locale și pot trece prin alte servere, deseori deplasându-se în diferite țări pentru a le face dificil de urmărit [7] [8] .

Încărcarea utilă criptează apoi fișierele de pe hard disk-urile locale și unitățile de rețea mapate cu o cheie publică și înregistrează fiecare fișier prin criptarea lor într-o cheie de registry. Procesul criptează numai fișierele de date cu anumite extensii, inclusiv Microsoft Office , OpenDocument și alte documente, imagini și fișiere AutoCAD [6] . Încărcarea utilă afișează un mesaj care informează utilizatorul că fișierele au fost criptate și necesită o plată de 400 USD sau EUR printr -un voucher de numerar anonim preplătit (cum ar fi MoneyPak sau Ukash ) sau echivalentul Bitcoin (BTC) în 72 sau 100 ore (începând de la 2 BTC, prețul de răscumpărare a fost ajustat de operatori la 0,3 BTC pentru a reflecta valoarea fluctuantă a bitcoin) [9] , sau cheia privată de pe server va fi distrusă și „nimeni nu va mai putea recupera fișierele vreodată „ [1] [5] . Plata răscumpărării permite utilizatorului să descarce programul de decriptare, care este preîncărcat cu cheia privată a utilizatorului [5] . Unele victime infectate susțin că au plătit atacatorii, dar fișierele lor nu au fost decriptate [3] .

În noiembrie 2013, operatorii CryptoLocker au lansat un serviciu online care permite utilizatorilor să-și decripteze fișierele fără programul CryptoLocker și să achiziționeze o cheie de decriptare după termenul limită; procesul a implicat încărcarea unui fișier criptat pe site ca probă și așteptarea ca serviciul să găsească o potrivire; site-ul a susținut că cheia va fi găsită în 24 de ore. Odată descoperită, utilizatorul poate plăti cheia online, dar dacă termenul limită de 72 de ore a trecut, costul crește la 10 bitcoini [10] [11] .

Ștergerea și restaurarea fișierelor

Pe 2 iunie 2014, Departamentul de Justiție al SUA a anunțat oficial că în weekendul precedent, Operațiunea Tovar — un consorțiu care include: un grup de agenții de aplicare a legii (inclusiv FBI și Interpol ), furnizori de software de securitate și mai mulți universități — a fost capturat de rețeaua botnet Gameover ZeuS , care a fost folosită pentru a distribui CryptoLocker și alte programe malware. De asemenea, Departamentul de Justiție l-a acuzat public pe hackerul rus Yevgeny Bogachev pentru presupusa sa implicare în rețeaua botnet [4] [12] [13] .

În cadrul acestei operațiuni, firma olandeză Fox-IT a reușit să obțină o bază de date cu chei secrete utilizate de CryptoLocker. În august 2014, Fox-IT și o altă companie, FireEye , au introdus un serviciu online care permite utilizatorilor cu computere infectate să-și extragă cheia privată prin descărcarea unui fișier eșantion și apoi primirea unui instrument de decriptare [14] [15] .

Atenuare

Deși software-ul de securitate este conceput pentru a detecta astfel de amenințări, este posibil să nu detecteze deloc CryptoLocker în timpul criptării sau după finalizarea criptării, mai ales dacă este distribuită o nouă versiune care nu este cunoscută de software-ul de securitate. Dacă un atac este suspectat sau detectat în stadiile incipiente, troianul are nevoie de mai mult timp pentru a cripta: eliminarea imediată a malware-ului (un proces relativ simplu) înainte ca acesta să fie complet va limita doar coruperea datelor sale [16] [17] . Experții au sugerat măsuri de precauție, cum ar fi utilizarea software-ului sau a altor politici de securitate pentru a bloca încărcătura utilă CryptoLocker [1] [5] [6] [8] [17] .

Datorită naturii modului în care funcționează CryptoLocker, unii experți au sugerat fără tragere de inimă că plata unei răscumpări este singura modalitate de a recupera fișierele din CryptoLocker în absența backup-urilor curente (backup-urile offline făcute înainte de apariția infecției, inaccesibile de la computerele infectate, nu pot fi atacate). de CryptoLocker) [3] , din cauza lungimii cheii folosite de CryptoLocker, experții au considerat că este aproape imposibil să se obțină forța brută cheia necesară pentru decriptarea fișierelor fără a plăti o răscumpărare; un troian similar din 2008 Gpcode.AK a folosit o cheie de 1024 de biți, care a fost considerată suficient de lungă încât să fie imposibil să-și calculeze cheia, fără posibilitatea unor eforturi concertate și distribuite, sau să detecteze un decalaj care ar putea fi folosit pentru decriptare [5] ] [11] [ 18] [19] . Analistul de securitate Sophos Paul Ducklin a speculat  că serviciul de decriptare online al CryptoLocker a inclus un atac de dicționar împotriva propriei criptări folosind baza de date cu chei, explicând cerința de a aștepta până la 24 de ore pentru a obține un rezultat [11] .

Răscumpărare plătită

În decembrie 2013, ZDNet a urmărit patru adrese bitcoin găzduite de utilizatori ale căror computere au fost infectate cu CryptoLocker, în încercarea de a estima costurile operatorilor. Aceste patru adrese au arătat o tendință de 41.928 BTC din 15 octombrie până în 18 decembrie: aproximativ 27 de milioane de dolari la acea vreme [9] .

În sondajele efectuate de cercetătorii de la Universitatea Kent , 41% dintre cei care au susținut că au fost victime au spus că au ales să plătească răscumpărarea: proporția celor care au plătit răscumpărarea a fost mult mai mare decât se aștepta. Symantec estimează că 3% dintre victime au plătit, iar Dell SecureWorks estimează că aproximativ 0,4% dintre victime au plătit [20] . După închiderea rețelei bot care a fost folosită pentru a distribui CryptoLocker, s-a estimat că aproximativ 1,3% dintre cei infectați au plătit răscumpărarea; mulți dintre ei au reușit să restaureze fișiere prin backup, în timp ce se crede că alții au pierdut cantități masive de date. Cu toate acestea, se crede că operatorii troianului au reușit să obțină un total de aproximativ 3 milioane de dolari [15] .

Clonele

Succesul CryptoLocker a dat naștere unui număr de troieni ransomware (Ransomware) fără legătură și cu nume similare care funcționează în esență în același mod [21] [22] [23] [24] , inclusiv unii care se numesc „CryptoLocker” dar, conform pentru cercetători securitatea nu sunt legate de CryptoLocker original [21] [25] [26] .

În septembrie 2014, clone precum CryptoWall și TorrentLocker (a căror sarcină utilă se identifică ca „CryptoLocker”, dar este numită pentru a utiliza o cheie de registry numită „Aplicație BitTorrent”) [27] au început să se răspândească în Australia. Ransomware-ul folosește e-mailuri infectate care se presupune că sunt trimise de departamentele guvernamentale (de exemplu, Australia Post pentru a indica livrarea eșuată a pachetului) ca sarcină utilă. Pentru a evita detectarea de către scanerele automate de e-mail care ar putea urma link-uri, această opțiune a fost concepută pentru a solicita utilizatorilor să viziteze o pagină web și să introducă un cod CAPTCHA înainte de descărcarea efectivă. Symantec a stabilit că aceste noi variante, pe care le-a identificat drept „CryptoLocker.F”, nu aveau nicio legătură cu originalul [24] [26] [28] [29] .

Note

  1. 1 2 3 4 Dan Goodin. Sunteți infectat - dacă doriți să vă vedeți din nou datele, plătiți-ne 300 USD în Bitcoins .  Ransomware -ul ajunge la majoritate cu plăți anonime și cripto care nu pot fi sparte . Ars Technica (18 octombrie 2013) . Preluat la 1 iunie 2017. Arhivat din original la 23 octombrie 2013.
  2. Leo Kelion. Ransomware-ul Cryptolocker a „infectat aproximativ 250.000 de computere  ” . BBC (24 decembrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 22 martie 2019.
  3. 1 2 3 Ryan Naraine. Infecții cu Cryptolocker în creștere; US-CERT emite  avertisment . SecurityWeek (19 noiembrie 2013). Consultat la 1 iunie 2017. Arhivat din original pe 10 iunie 2016.
  4. 1 2 Brian Krebs. „Operation Goods” vizează „Gameover” ZeuS Botnet, CryptoLocker  Scourge . Krebs despre securitate (2 iunie 2014). Consultat la 1 iunie 2017. Arhivat din original pe 4 iunie 2014.
  5. 1 2 3 4 5 6 Lawrence Abrams. Ghid de informații despre ransomware CryptoLocker și  întrebări frecvente . Bleeping Computer (14 octombrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 31 mai 2017.
  6. 1 2 3 Jonathan Hassell. Cryptolocker : Cum să evitați să vă infectați și ce să faceți dacă sunteți  . Computerworld (25 octombrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 11 iunie 2017.
  7. Paul Ducklin. Malware distructiv „CryptoLocker” în libertate – iată ce trebuie să faceți  (engleză) . Naked Security (12 octombrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 22 octombrie 2013.
  8. 1 2 Donna Ferguson. Atacurile CryptoLocker care țin computerul pentru  răscumpărare . The Guardian (19 octombrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 5 martie 2017.
  9. 12 Violet Blue. Valul criminalității CryptoLocker: o urmă de milioane în Bitcoin spălat  (engleză) . ZDNet (22 decembrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 17 mai 2017.
  10. Dna. Smith. Escrocii CryptoLocker percep 10 Bitcoin pentru serviciul de decriptare a doua șansă  . Network World (4 noiembrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 15 aprilie 2017.
  11. 1 2 3 Lucian Constantin. Creatorii CryptoLocker încearcă să stoarcă și mai mulți bani de la victime cu un nou  serviciu . PC World (4 noiembrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 30 aprilie 2017.
  12. Darlene Storm. Wham bam : Operațiunea globală Tovar lovește ransomware-ul CryptoLocker și botnetul GameOver Zeus  . Computerworld (2 iunie 2014). Preluat la 1 iunie 2017. Arhivat din original la 18 mai 2017.
  13. SUA conduce o acțiune multinațională împotriva botnetului „Gameover Zeus” și a ransomware-ului „Cryptolocker”, acuză  administratorul Botnetului . Departamentul de Justiție al SUA (2 iunie 2014). Consultat la 1 iunie 2017. Arhivat din original la 1 iunie 2017.
  14. Brian Krebs. Noul site recuperează fișierele blocate de Cryptolocker Ransomware  . Krebs despre securitate (6 august 2014). Consultat la 1 iunie 2017. Arhivat din original pe 7 iunie 2017.
  15. 12 Mark Ward . Victimele Cryptolockerului să recupereze fișierele gratuit . BBC (6 august 2014). Preluat la 1 iunie 2017. Arhivat din original la 23 mai 2017.  
  16. Joshua Cannell. Cryptolocker Ransomware: Ce trebuie să știți  (engleză) . Malwarebytes (8 octombrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 30 septembrie 2021.
  17. 12 John Leyden . Fiendish CryptoLocker ransomware : orice ai face, nu plăti . Registrul (18 octombrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 18 octombrie 2013.  
  18. Ryan Naraine. Ransomware-ul șantaj revine cu  cheie de criptare pe 1024 de biți . ZDNet (6 iunie 2008). Data accesului: 1 iunie 2017. Arhivat din original pe 17 noiembrie 2016.
  19. Robert Lemos. Ransomware care rezistă  eforturilor de cracking criptografic . Securitate Focus (13 iunie 2008). Consultat la 1 iunie 2017. Arhivat din original pe 3 martie 2016.
  20. Julio Hernandez-Castro, Eerke Boiten și Magali Barnoux. Rezultatele sondajului online realizat de Centrul de Cercetare Interdisciplinară în Securitate Cibernetică de la Universitatea Kent din Canterbury  (  link inaccesibil) . Universitatea din Kent. Preluat la 1 iunie 2017. Arhivat din original la 24 august 2017.
  21. 1 2 Abigail Pichel. Noul CryptoLocker se răspândește prin  unități amovibile . Trend Micro (25 decembrie 2013). Preluat la 1 iunie 2017. Arhivat din original la 4 noiembrie 2016.
  22. Jeremy Kirk. Ransomware-ul CryptoDefense lasă cheia de decriptare  accesibilă . Computerworld (1 aprilie 2014). Preluat la 1 iunie 2017. Arhivat din original la 18 septembrie 2017.
  23. Iain Thomson. Fișierele tale ținute ostatice de CryptoDefense? Nu plătiți!  Cheia de decriptare se află pe hard disk . Registrul (3 aprilie 2014). Preluat la 1 iunie 2017. Arhivat din original la 26 decembrie 2016.
  24. 1 2 Patrick Budmar. Australia vizată în mod special de Cryptolocker: Symantec . Furnizorul de securitate găsește cea mai recentă variantă de  criptomalware . ARNnet (3 octombrie 2014) . Consultat la 1 iunie 2017. Arhivat din original pe 16 iunie 2018.
  25. Robert Lipovsky. Cryptolocker 2.0 - versiune nouă sau imitație?  (engleză) . WeLiveSecurity (19 decembrie 2013). Consultat la 1 iunie 2017. Arhivat din original pe 2 iunie 2017.
  26. 1 2 Australienii din ce în ce mai afectați de valul global de cryptomalware  (ing.)  (link indisponibil) . Symantec (26 septembrie 2014). Consultat la 1 iunie 2017. Arhivat din original pe 16 iunie 2018.
  27. Marc-Etienne M. Léveille. TorrentLocker vizează acum Regatul Unit cu  phishingul Royal Mail . WeLiveSecurity (4 septembrie 2014). Preluat la 1 iunie 2017. Arhivat din original la 7 noiembrie 2017.
  28. Adam Turner. Escrocii folosesc Australia Post pentru a masca  atacurile prin e-mail . The Sydney Morning Herald (15 octombrie 2014). Preluat la 1 iunie 2017. Arhivat din original la 8 noiembrie 2017.
  29. Steve Ragan. Atacul ransomware scoate din  aer un post de televiziune . CSO Online (7 octombrie 2014). Preluat la 1 iunie 2017. Arhivat din original la 7 noiembrie 2017.