Малварь, бабло качай! Ч.3.

Шалом, бегущие в тенях! Привет, случайный подписчик. Продолжение большого FAQа по Malware. Кто ещё не читал - начало читаем на канале выше. То, что нам пригодится для заработка (некоторым точно). Но знать про такие вещи в наше непростое время просто необходимо любому уважающему себя интернет - пользователю.

Поехали:

Жалкие последователи GPCode

Шифровальщики — это, пожалуй, самое неприятное, что можно подцепить в этих ваших интернетах. Все файлы определенных типов, например фотографии или документы Microsoft Office, шифруются и за ключ расшифровки требуют деньги. Очень актуальна эта проблема для малых коммерческих фирм, работающих с бухгалтерией при помощи продуктов 1С, — тем более что понятие о безопасности в таких конторах, как правило, отсутствует напрочь.

Наиболее часто встречаются сейчас среди русскоязычных пользователей шифровальщики семейства Trojan-Ransom.Win32.Xorist (в терминологии «Лаборатории Касперского»), англоязычная версия также в наличии. При успешном срабатывании Xorist пользователь будет лицезреть веселенький текст следующего содержания:

«ПЯTНАДЦАTЬ ЧЕЛОВЕК НА СУНДУК МЕРТВЕЦА! Хай! Пиплы! Комон на борт нашего «Летучего голландца». Ваш компьютер взят на абордаж командой сомалийских пиратов. Ваши файлы зашифрованы нашим морским криптографом Базоном Хикса. Если вы мудрый и не скряга, не шизанутый депутат из фракции ЛДПР, то мы готовы обменять вашу драгоценную инфу на жалкие бумажки, именуемые бабками. Поверьте, бабло — зло — отдайте его нам. Алчных и неадекватных типов за борт. Веселым и находчивым скидки. У вас три дня до отплытия корабля. Для переговоров собираемся в кают-компании, SOS на мыло Номер компании <КОД> <E-MAIL>»

Как видно, ребята подобрались с юмором. Засилье Xorist объясняется сборкой его с помощью билдера, легкодоступного жадным детишкам.

Вот еще один образец послания от вымогателей (Trojan.Encoder.205 и Trojan.Encoder.215):

Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т. д.) зашифрованы с использованием уникального криптографического алгоритма.  Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года. Для того чтобы зашифрованные файлы стали доступны для дальнейшего использования, Вам необходимо связаться со специалистом по e-mail: [email protected].  Время ожидания ответа может составлять до 12 часов. Переустановка операционной системы не поможет. Проверка файлов антивирусом может их повредить. Какое-либо изменение структуры файла не позволит его восстановить. При поступлении угроз в наш адрес Ваши данные не будут расшифрованы. Обращаем внимание, что файлы можно расшифровать только с использованием специального программного обеспечения, которое есть только у нас.

Заражение Trojan.Encoder.205 и Trojan.Encoder.215 происходит с использованием массовой рассылки сообщений электронной почты (спама). Исполняемый файл шифровальщика с именем update.exe (написан на Delphi) размещается на удаленных серверах, шелл-код, который подгружает этот файл, располагается во вредоносном документе Microsoft Word и использует для своего запуска эксплуатацию уязвимости CVE–2012–0158.

Отдельные разработчики проявляют чуть больше изобретательности в реализации своих идей. Специалисты компании Dr.Web в этом году зафиксировали во Франции и Испании множество случаев заражения пользователей трояном ArchiveLock.20. Для шифрования он имеет на борту консольную версию WinRAR, при помощи которой создает по заранее составленному списку защищенные паролем самораспаковывающиеся архивы с файлами пользователя. Пароль может иметь длину более 50 символов. Исходные файлы зачищаются с диска, чтобы их было невозможно восстановить. Киберпреступники отличаются неслыханной наглостью и требуют за расшифровку 5000 долларов. ArchiveLock распространяется посредством bruteforce-атак на протокол RDP.

Для расшифровки ваших бесценных файлов нужно обратиться к специалистам антивирусных компаний. Отечественные конторы делают это на бесплатной основе и постоянно выпускают обновленные версии дешифровальщиков для отдельных видов угроз. К сожалению, некоторые их виды, например GPCode, оказались им не по зубам.

Версия GPCode 2011 года может считаться неким «эталоном» шифровальщика, она использует Windows Crypto API и шифрует файлы пользователя случайным сеансовым ключом AES длиной 256 бит. Сеансовый ключ сохраняется в зашифрованном виде, шифрование производится открытым ключом RSA длиной 1024 бита, который находится внутри GPCode. Чтобы невозможно было восстановить их утилитами типа PhotoRec или GetDataBack, шифрованные данные пишутся прямо в исходный файл. Также эта уловка затрудняет использование метода plain text attack, суть которого заключается в определении сеансового ключа на основе пары файлов — исходного и зашифрованного.

Для расшифровки необходимо перечислить определенную денежную сумму по реквизитам, оставленным злоумышленником, и переслать ему этот зашифрованный сеансовый ключ. Он расшифровывается при помощи закрытого ключа (находится у злоумышленника) и отправляется обратно пользователю, после чего файлы будут успешно расшифрованы. Единственная надежная защита от воздействия подобных программ — резервное копирование файлов. Стоит отметить, что автор GPCode совершенствовал свое детище аж с 2004 года! За это время код проделал долгий путь от использования «самопальных» алгоритмов шифрования до применения достаточно стойких алгоритмов RC4 и AES в совокупности с RSA, которые не под силу взломать (пока) всем IT-специалистам мира.

В свете этого становится непонятно, почему шифровальщики нашего времени, подобные Xorist, тоже используют собственные «мегаразработки». Видно, современная криптография вкупе с необходимостью юзать Windows Crypto API или фришную реализацию криптофункций OpenSSL не дается нынешнему поколению кулхацкеров, только открывших для себя логическую функцию XOR.

Просвещаемся, бегущие в тенях. И все те, кто только становится на этот не простой, но очень увлекательный и прибыльный путь. Продолжение данной статьи на канале чуть позже. Оставайтесь с нами.