Заражение Cryptolocker и CryptoWall: данные в опасности

В последние недели участились сообщения о пользователях, которые видели себя зашифрованными с помощью неизвестного криптографического ключа, все документы и личные файлы, хранящиеся на их компьютерах.

Сама почтовая полиция объявила, что случаи заражения систем программами-вымогателями Cryptolocker и CryptoWall становятся все более актуальными.

Что такое программы-вымогатели

«Вымогатели» — это особая категория вредоносных программ, которые «берут систему в заложники», а затем требуют уплаты выкупа: термин «выкуп» на английском языке означает «выкуп».

Cryptolocker и CryptoWall — это программы-вымогатели, которые имеют префикс «crypto», потому что, в отличие от известных вредоносных программ (Polizia di Stato, Guardia di Finanza, Postal Police, Национального центра киберпреступности для защиты критически важных инфраструктур (CNAIPIC), Penitentiary Police), они не пытайтесь заблокировать всю систему, а стремитесь нанести еще больший ущерб, сделав пользовательские данные полностью нечитаемыми. На самом деле документы и личные файлы шифруются с помощью динамически генерируемой пары ключей с использованием алгоритма асимметричного шифрования RSA 2,048 или 4,096 бит.

Не зная ключа для разблокировки файлов, зашифрованных Cryptolocker и CryptoWall, пользователь больше не может открывать какие-либо личные файлы.

За предоставление ключа разблокировки разработчики двух программ-вымогателей предлагают пользователю заплатить определенную сумму денег (обычно до 800 долларов/евро). Заплатив выкуп, пользователю обещают предоставить кодовую фразу, которая позволит ему расшифровать все свои файлы.

Криптолокер и его варианты

В случае с ранними вариантами Cryptolocker пользователи могли снова получить доступ к своим файлам без уплаты выкупа с помощью такой службы, как Расшифровать криптолокер.

Фактически в середине этого года благодаря скоординированным действиям на международном уровне удалось «подрезать ноги» ботнету, служившему инфраструктурой для работы Cryptolocker. Благодаря базам данных закрытых ключей, обнаруженным в системах, используемых разработчиками Cryptolocker, стало возможным настроить онлайн-сервис, который позволил тысячам пользователей легко восстановить свои файлы: Расшифровка файлов, заблокированных Cryptolocker: вот инструмент, готовый к использованию .

Асимметричное шифрование и алгоритм RSA

Однако в последнее время стали распространяться еще более опасные варианты Cryptolocker. Таким образом, CryptoWall и его варианты собрали наследие Cryptolocker, что на этот раз делает зашифрованные файлы полностью невосстановимыми.

Криптографический алгоритм, лежащий в основе работы Cryptolocker и CryptoWall, на самом деле абсолютно не вызывает сомнений. Алгоритм RSA, как и другие асимметричные алгоритмы, основан на использовании закрытого и открытого ключа.

В случае программ-вымогателей открытый ключ хранится в системе пользователя, а закрытый ключ хранится на серверах разработчиков.

Каждый файл, зашифрованный открытым ключом, может быть расшифрован только теми, у кого есть соответствующий закрытый ключ.

В данном случае авторы Cryptolocker и «его братья» предоставляют пользователю закрытый ключ только после уплаты выкупа. Если пользователь этого не сделает, закрытый ключ безвозвратно удаляется через несколько дней, что делает файлы невосстановимыми (они остаются постоянно зашифрованными в системе пользователя).

Алгоритм RSA не имеет внутренних недостатков, поэтому невозможно использовать его уязвимость для расшифровки файлов, зашифрованных программой-вымогателем.

RSA, по сути, основан на высокой вычислительной сложности разложения на простые числа (разложение числа на его простые делители — очень медленная операция, требующая значительных затрат аппаратных ресурсов). RSA-2048 и RSA-4096 (алгоритм RSA с использованием 2048- и 4096-битных ключей) не учитывались и еще не будут учитываться, предположительно, в течение многих лет, в том числе с учетом прогресса, который делается в оптимизации вычислительных ресурсы (подумайте о вычислительной мощности, предоставляемой многими облачными сервисами).

Восстановление файлов с помощью теневых копий

Единственный инструмент, встроенный в более новые версии Windows, который позволяет вам попытаться восстановить ваши данные, — это функция «Предыдущие версии».

В связи с этим предлагаем прочитать статью Windows 7: прогулка во времени с функцией «Предыдущие версии». Благодаря «Предыдущим версиям» и «Теневой копии» вы можете попытаться восстановить копии файлов, хранящихся в многочисленных папках и, во всяком случае, в каталоге «Документы».

В качестве альтернативы вы можете воспользоваться бесплатной программой Shadow Explorer (см. статью Восстановление файлов с помощью функции Shadow Copy).

В случае, если ваша система была заражена, первое предложение — проверить, доступны ли так называемые теневые копии ваших файлов.

Чтобы это определить, достаточно щелкнуть правой кнопкой мыши, например, в свободной области внутри папки «Документы Windows», нажать «Свойства», а затем «Предыдущие версии» (в случае с Windows 8.1 см. статью Восстановление файлов в Windows 8.1 и восстановление предыдущие версии с историей файлов).

Однако последние варианты Cryptolocker / CryptoWall после установки в системе пользователя удаляют все теневые копии файлов, делая предыдущие незашифрованные версии тех же файлов невосстановимыми.

Мы говорили об этом в статье Вымогатели атакуют государственную администрацию: вредоносное ПО теперь вообще выполняет команду Delete Shadows/All/Quiet, удаляя все предыдущие версии файлов пользователя.

Что делать в случае заражения Cryptolocker или CryptoWall

Первая проверка — проверить, с какой версией программы-вымогателя вы имеете дело. Например, понимание того, есть ли еще теневые копии ваших файлов в вашей системе, позволяет вам сразу определить, имеете ли вы дело с одним из более старых вариантов или с одним из самых последних и опасных.

Выкуп всегда запрашивается в биткойнах, чтобы денежные потоки нельзя было отследить и не дали быстро отследить «кукловода» Cryptolocker/CryptWall. Отсутствие центрального органа (сеть Биткойн основана на одноранговой архитектуре) делает невозможным блокирование определенных транзакций или конфискацию виртуальных валют (см. Как работает Биткойн и почему Apple не хочет этого и другие статьи).

Платить выкуп, конечно, не лучшее решение, но, к сожалению, на данный момент это единственное, что вообще позволяет вам восстановить контроль над вашими файлами.

Мы написали «в целом», потому что авторы программ-вымогателей не заинтересованы в том, чтобы файлы пользователей были зашифрованы. Если распространится новость о том, что выплата выкупа не имеет желаемого эффекта, ни один другой пользователь не отправит больше денег в виде биткойнов разработчикам Cryptolocker / CryptoWall.

Очевидно, что принятие адекватных политик резервного копирования данных позволит вам восстанавливать ваши файлы, ничего не платя.

Как защититься от Cryptolocker и CryptoWall

Простого программного обеспечения для защиты от вредоносных программ часто недостаточно для защиты от последних версий программ-вымогателей.

Авторы вредоносного ПО, действительно, часто выкладывают в сеть новые варианты, которые все чаще остаются совершенно незамеченными самыми известными поисковыми движками.

Таким образом, может пройти несколько часов с момента первого выпуска программы-вымогателя в Сеть (и от возникновения первых заражений) до фактического обновления вирусных сигнатур, используемых различными антивирусными и антивредоносными продуктами.

Поэтому невозможно думать о защите систем компании, профессиональной фирмы или государственного органа с помощью традиционных антивирусов и антивредоносных программ, установленных на отдельных клиентах и ​​использующих классический подход, основанный на использовании вирусных сигнатур.

Поэтому со своей стороны мы предлагаем:

1) Настройте периодическое резервное копирование ваших данных на съемные диски, серверы NAS или сетевые серверы. Однако в любом случае доступ к носителю, используемому для резервного копирования, должен быть надлежащим образом защищен (по крайней мере, с помощью учетных данных для доступа). В случае заражения программа-вымогатель не должна иметь возможности также шифровать резервные копии документов.

2) Если вы используете облачные сервисы для хранения данных, обязательно используйте сервисы, предлагающие версионность, то есть хранящие разные версии одного и того же файла (Google Диск и Dropbox, например, поддерживают версионность).

Особое внимание следует уделить, если установлено клиентское программное обеспечение облачного сервиса: активировав синхронизацию данных, хранящихся локально, в случае, если программа-вымогатель зашифрует их, даже копии, хранящиеся в облаке, могут стать нечитаемыми. Отсюда решающее значение управления версиями.

Даже если облачный сервис поддерживает управление версиями, полезно проверить, как долго хранятся предыдущие версии тех же файлов.

3) Использовать, где это возможно, систему защиты, действующую централизованно, основанную на коллективном разуме, позволяющую устанавливать адекватные ограничения на уровне отдельных рабочих станций и способную идентифицировать столь же подозрительные электронные письма и вложения.

4) Используйте приложение, такое как HitmanPro.Alert который, среди различных функций, объединяет некоторые алгоритмы, способные вовремя обнаруживать операции, развернутые наиболее опасными вредоносными программами и программами-вымогателями.

Приложение HitmanPro.Alert совместимо с системами Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. нажмите здесь.

5) Программы-вымогатели, такие как Cryptolocker и CryptoWall, распространяются по разным каналам:
— вложения к мошенническим сообщениям, полученным по электронной почте (ссылаясь, например, на ложные доставки самыми известными национальными и международными курьерами; на выигрыш / возможности трудоустройства; на регулярные ложные платежи …)
— известное программное обеспечение, распространяемое через различные одноранговые сети (которые фактически содержат вредоносное ПО)
— использование уязвимостей, присутствующих в старых версиях плагинов для браузера (пример: Flash Player или Java)

Поэтому важно всегда обновлять веб-браузер и все установленные плагины; будьте предельно осторожны, прежде чем открывать вложение электронной почты; воздержитесь от загрузки потенциально опасных приложений.

Обратите внимание на внешний вид окон UAC в Windows и на права, предоставленные исполняемым файлам.

В Windows интегрирована функция UAC (контроль учетных записей): представленная Microsoft в выпуске Vista, она занимается управлением разрешениями пользователей, предоставляя самые высокие из них только по рекомендации пользователя.

Окна UAC с желтым заголовком и сообщением «Разрешить следующей программе (…) вносить изменения в ваш компьютер?» именно к ним нужно относиться особенно внимательно. Если вы не уверены в подлинности и легитимности файла, который собираетесь выполнить, всегда нажимайте кнопку «Нет».

Наконец, отметим, что программы-вымогатели шифруют только файлы с определенными расширениями (PDF, DOC, DOCX, ODT, XLS, XLSX, JPG, AVI, …). Переименование файлов с заумными расширениями (например, .PROTEZ) может помочь избежать блокировки CryptoWall в том досадном случае, что он установится в системе.

Использование системных политик, запрещающих запуск программ из временных каталогов Windows (часто используется при открытии вложения электронной почты), также может быть особенно полезным.

Использование альтернативного DNS-сервера, такого как OpenDNS, может помочь заблаговременно заблокировать распространение новых программ-вымогателей.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *