CryptoLocker – это новое семейство программ-вымогателей (ransomware), чья бизнес-модель (да, вредоносные программы – это бизнес для кого-то!) основана на вымогательстве денег у пользователей. Эта программа продолжает тенденцию, начатую другой печально известной вредоносной программой, которая также вымогает деньги у своих жертв – так называемый «Полицейский вирус», который просит пользователей заплатить «штраф» за разблокировку их компьютеров. Однако, в отличие от «полицейского вируса», CryptoLocker взламывает документы пользователей и просит их заплатить выкуп (с очень ограниченным сроком платежа).

Установка вредоносной программы

CryptoLocker использует техники социальной инженерии, чтобы заставить пользователя запустить эту программу. Если говорить более конкретно, то жертва получает по электронной почте письмо с ZIP-файлом, защищенным паролем, якобы от логистической компании.

Троян запускается в тот момент, когда пользователь открывает вложенный ZIP-файл, вводя пароль, указанный в сообщении, в надежде открыть содержащийся в архиве PDF-файл. CryptoLocker использует возможности стандартной возможности Windows скрывать расширения в названиях файлов, чтобы скрыть реальное расширение.EXE у вредоносного файла.

Как только жертва запускает его, троян «садится» в память компьютера и выполняет следующие действия:

• Сохраняет себя в папку с профилем пользователя (AppData, LocalAppData).
• Добавляет ключ в реестр, чтобы гарантировать запуск программы при каждом включении компьютера.
• Запускает два процесса: один процесс является основным, а второй предназначен для защиты основного процесса от его прекращения.

Шифрование файлов

Торян генерирует случайный симметричный ключ для каждого файла, который он собирается шифровать, после чего шифрует содержимое файла с помощью алгоритма AES, используя данный ключ. Затем программа шифрует случайный ключ, используя алгоритм шифрования с помощью ассиметричного открытого-закрытого ключа (RSA) и ключи длиной более 1024 бит (мы видели образцы, которые использовали ключи длиной 2048 бит), и добавляет его в зашифрованный файл. Таким образом, троян гарантирует, что только владелец закрытого ключа RSA сможет получить случайный ключ, который был использован для зашифровки файла. Кроме того, т.к. компьютерные файлы перезаписываются, то невозможно получить доступ к ним с использованием специальных методов.

После запуска первое, что делает троян, - это получает открытый ключ (PK) со своего сервера C&C. Чтобы найти активный сервер C&C, троян включает в себя алгоритм генерации доменов (DGA), известный как «Вихрь Мерсенна» (Mersenne twister) для генерации случайных доменных имен. Этот алгоритм использует текущую дату за основу и способен генерировать до 1000 различных доменов фиксированного размера каждый день.

После того как троян скачал PK, он сохраняет его в следующем ключе реестра Windows: HKCUSoftwareCryptoLockerPublic Key. Затем он начинает шифрование файлов на жестком диске компьютера, а также на каждом сетевом диске зараженного пользователя, к которому получает доступ.

CryptoLocker не шифрует каждый найденный файл, а он шифрует только неисполняемые файлы с расширениями, содержащимися в коде вредоносной программы:

Дополнительно, CryptoLocker логирует каждый зашифрованный файл в следующий ключ реестра:

HKEY_CURRENT_USERSoftwareCryptoLockerFiles

Когда троян заканчивает шифрование каждого файла, который удовлетворяет вышеперечисленным условиям, он показывает следующее сообщение, в котором просит пользователя заплатить выкуп, ограничивая время на отправку платежа тем периодом, пока закрытый ключ не будет уничтожен автором вредоносной программы.

Любопытно, что вредоносная программа не просит у пользователей одной и той же суммы денег, но содержит свою собственную таблицу конверсии валют.

Как защититься от CryptoLocker

Данная вредоносная программа распространяется по электронной почте с использованием техник социальной инженерии. Следовательно, наши рекомендации могут быть такими:

•  Быть предельно осторожным с электронными письмами от отправителей, которых Вы не знаете, особенно в тех случаях, когда письмо содержит вложенные файлы.
• Отключить скрытые расширения файлов в Windows, что также поможет вам своевременно распознать данный тип атаки.
• Мы хотели бы напомнить Вам о необходимости наличия системы резервного копирования для критически важных файлов. Она поможет Вам смягчить ущерб, вызванный не только инфекциями со стороны вредоносных программ, но и различными проблемами с компьютером и его комплектующими, а также другими причинами.
• Если Вы заразились и не имеете резервных копий Ваших файлов, мы все же рекомендуем Вам не платить выкуп. Это НИКОГДА не было хорошим решением, т.к. превращает вредоносные программы в высоко прибыльный бизнес, что будет только способствовать расцвету этого типа атак.

Оригиналстатьи: CryptoLocker: What Is and How to Avoid it

Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
http://www.pandasecurity.com