Ransomware — это тип вредоносного ПО, которое препятствует нормальному доступу к системе или файлам, если жертва не заплатит выкуп. Большинство людей знакомы с вариантами крипто-вымогателей, где файлы заключены в непробиваемое шифрование, но на самом деле эта парадигма намного старше этой.
На самом деле, вымогателей насчитывает почти десять лет. Как и многие угрозы компьютерной безопасности, он исходил из России и соседних стран. С момента своего первого открытия Ransomware превратился во все более мощную угрозу, способную извлекать все более крупные выкупы.
Ранние вымогатели: из России с ненавистью
Первые образцы вымогателей были обнаружены в России в период между 2005 и 2006 годами. Они были созданы российскими организованными преступниками и нацелены главным образом на российских жертв, а также на тех, кто живет в номинально-русофоновых соседних странах, таких как Беларусь, Украина и Казахстан.
Один из этих вариантов вымогателей был назван TROJ_CRYZIP.A . Это было обнаружено в 2006 году, задолго до того, как термин был придуман. Это в значительной степени затронуло машины, работающие под управлением Windows 98, ME, NT, 2000, XP и Server 2003. После загрузки и выполнения он будет идентифицировать файлы с определенным типом файлов и перемещать их в защищенную паролем ZIP-папку, удалив оригиналы. Чтобы жертва могла восстановить свои файлы, ей нужно было перевести 300 долларов на счет E-Gold.
E-Gold можно назвать духовным предшественником BitCoin. Анонимная золотая цифровая валюта, управляемая компанией, базирующейся во Флориде, но зарегистрированной в Сент-Китс и Невисе, предлагала относительную анонимность, но быстро становилась популярной у организованных преступников как метод отмывания грязных денег. Это привело к тому, что правительство США приостановило его в 2009 году , и вскоре компания свернулась.
В более поздних вариантах вымогателей в качестве способа оплаты использовались бы анонимные криптовалюты, такие как биткойны, дебетовые карты с предоплатой и даже номера телефонов с премиальным тарифом .
TROJ_RANSOM.AQB — это еще один вариант вымогателей, выявленный компанией Trend Micro в 2012 году. Его метод заражения заключался в замене основной загрузочной записи (MBR) Windows собственным вредоносным кодом. Когда компьютер загрузился, пользователь увидел сообщение о выкупе, написанное на русском языке, в котором требовалось, чтобы жертва заплатила 920 украинских гривен через QIWI — основанную на Кипре российскую платежную систему. После оплаты жертва получит код, который позволит им восстановить свой компьютер до нормального состояния.
Поскольку многие из идентифицированных операторов-вымогателей были идентифицированы как выходцы из России , можно утверждать, что опыт, накопленный в отношении внутреннего рынка, позволил им лучше ориентироваться на международных пользователей.
Стоп, полиция!
В конце 2000-х и начале 2010-х вымогатели все чаще признавались как угроза для международных пользователей. Но до того, как он станет гомогенизированным в мощный крипто-вымогательский вариант, который мы видим сегодня, еще предстоит пройти долгий путь.
Примерно в это же время для вымогателей стало обычным делом выдавать себя за правоохранительные органы с целью получения выкупов. Они обвиняют жертву в причастности в совершении преступления — начиная от простого нарушения авторских прав, к незаконной порнографии — и говорят, что их компьютер находится под следствием и был заблокирован.
Затем они дали бы жертве выбор. Пострадавший мог выбрать оплату «штрафа». Это позволило бы снять (несуществующие) расходы и вернуть доступ к компьютеру. Если жертва задержится, штраф удвоится. Если жертва откажется платить полностью, вымогатели будут угрожать им арестом, судом и потенциальным заключением.
Наиболее широко признанным вариантом вымогателей полиции был Reveton . Что сделало Reveton настолько эффективным, так это то, что он использовал локализацию, чтобы казаться более законной. Это будет работать там, где находится пользователь, а затем выдавать себя за соответствующие местные правоохранительные органы.
Таким образом, если жертва находилась в Соединенных Штатах, записка о выкупе, по-видимому, поступила из Министерства юстиции. Если бы пользователь был итальянцем, он принял бы стиль Guardia di Finanza. Британские пользователи увидят сообщение от лондонской столичной полиции или полиции Стратклайда.
Создатели Реветона покрыли все свои базы. Он был локализован практически для каждой европейской страны, а также для Австралии, Канады, Новой Зеландии и США. Но у этого был недостаток. Поскольку он не шифровал файлы пользователя, он мог быть удален без каких-либо негативных последствий. Это может быть достигнуто с помощью антивируса live-CD или загрузкой в безопасном режиме.
CryptoLocker: первый большой крипто-вымогатель
Крипто-вымогатель не имеет такого недостатка. Он использует практически неразрушимое шифрование, чтобы закопать файлы пользователя. Даже если вредоносная программа была удалена, файлы остаются заблокированными. Это оказывает огромное давление на жертву, чтобы заплатить.
CryptoLocker был первым широко узнаваемым крипто-вымогателем. , и появилось ближе к концу 2013 года. Трудно оценить масштаб зараженных пользователей с какой-либо степенью точности. ZDNet, уважаемый технологический журнал, отследил четыре адреса биткойнов, используемых вредоносным ПО, и обнаружил, что они получили около 27 миллионов долларов в виде платежей.
Он распространялся через зараженные вложения электронной почты, которые распространялись через огромные спам-сети, а также через ботнет Gameover ZeuS . После взлома системы он будет систематически шифровать документы и медиа-файлы с помощью надежной криптографии с открытым ключом RSA.
У жертвы будет достаточно времени, чтобы заплатить выкуп в размере 400 долларов США или 400 евро, либо через биткойны, либо через GreenDot MoneyPak — систему ваучеров с предоплатой, которую предпочитают киберпреступники. Если жертва не заплатила в течение 72 часов, операторы угрожали, что они удалят закрытый ключ, что делает дешифрование невозможным.
В июне 2014 года серверы распространения CryptoLocker были уничтожены коалицией ученых, поставщиков систем безопасности и правоохранительных органов в Operation Tovar . Два поставщика — FireEye и Fox-IT — получили доступ к базе данных закрытых ключей, используемых CryptoLocker. Затем они выпустили сервис, который позволял жертвам бесплатно расшифровывать свои файлы.
Хотя CryptoLocker был недолгим, он окончательно доказал, что модель крипто-вымогателей может быть прибыльной и привела к квази-цифровой гонке вооружений. В то время как поставщики безопасности готовили меры по смягчению, преступники выпустили все более сложные варианты вымогателей.
TorrentLocker и CryptoWall: вымогателей становится умнее
Одним из таких улучшенных вариантов вымогателей был TorrentLocker , появившийся вскоре после падения CryptoLocker.
Это довольно пешеходная форма крипто-вымогателей. Как и большинство видов крипто-вымогателей, вектором атаки являются вредоносные вложения электронной почты, особенно документы Word с вредоносными макросами. Как только машина заражена, она шифрует обычный ассортимент медиа и офисных файлов с использованием шифрования AES.
Самая большая разница была в отображаемых записках с требованием выкупа. TorrentLocker будет отображать выкуп, требуемый в местной валюте жертвы. Таким образом, если зараженная машина находилась в Австралии, TorrentLocker отображал бы цену в австралийских долларах , оплачивается в биткойнах. Было бы даже перечислить местные обмены BitCoin.
Были даже инновации в процессе заражения и обфускации. Возьмем, к примеру, CryptoWall 4.0, последний штамм из семейства крипто-вымогателей, которых опасаются.
Это изменило способ заражения систем и теперь переименовывает все зараженные файлы, что не позволяет пользователю определить, что было зашифровано, и усложняет восстановление из резервной копии.
Ransomware теперь нацелены на нишевые платформы
В подавляющем большинстве случаев вымогатели нацелены на компьютеры под управлением Windows и, в меньшей степени, на смартфоны под управлением Android. Причину почему в основном можно отнести на долю рынка. Гораздо больше людей используют Windows, чем Linux. Это делает Windows более привлекательной целью для разработчиков вредоносных программ.
Но за последний год эта тенденция начала меняться, хотя и медленно, и мы начинаем видеть, что крипто-вымогатели нацелены на пользователей Mac и Linux.
Linux.Encoder.1 был обнаружен в ноябре 2015 года крупной российской фирмой по кибербезопасности Dr.Web. Он удаленно выполняется с помощью уязвимости в Magento CMS и зашифровывает несколько типов файлов (офисные и медиафайлы, а также типы файлов, связанные с веб-приложениями) с использованием криптографии с открытым ключом AES и RSA. Чтобы расшифровать файлы, жертва должна будет заплатить выкуп в 1 биткойн.
Ранее в этом году мы увидели появление вымогателя KeRanger , предназначенного для пользователей Mac. С угрозами Это имело необычный вектор атаки, поскольку оно проникало в системы, проникая в обновления программного обеспечения Transmission — популярного и законного клиента BitTorrent.
Хотя угроза вымогателей для этих платформ невелика, она, несомненно, возрастает и ее нельзя игнорировать.
Будущее вымогателей: разрушение как услуга
Итак, как выглядит будущее вымогателей? Если бы мне пришлось выразить это словами: бренды и франшизы.
Сначала поговорим о франшизах. В последние несколько лет возникла интересная тенденция в том, что разработка вымогателей стала невероятно коммодитизированной. Сегодня, если вы заразились вымогателями, вполне вероятно, что человек, который распространял это, не тот, кто его создал.
Тогда есть брендинг. Хотя многие штаммы вымогателей заслужили признание за разрушительную силу, которой они обладают, некоторые производители стремятся сделать свои продукты как можно более анонимными и универсальными.
Ценность белой метки вымогателей в том, что она может быть переименована. Из одного основного штамма вымогателей могут появиться еще сотни. Возможно, именно поэтому в первом квартале 2015 года McAfee Labs собрало более 725 000 образцов вымогателей. Это представляет собой квартальный рост почти на 165%.
Представляется крайне маловероятным, что правоохранительные органы и отрасль безопасности смогут сдержать этот растущий поток.
Вы пострадали от вымогателей? Вы заплатили, потеряли свои данные или сумели решить проблему другим способом (возможно, резервным копированием)? Расскажите об этом в комментариях!
Кредиты изображений: конфиденциальность и безопасность Nicescene через Shutterstock