Журнал «Компьютерра» № 19 от 22 мая 2007 года
Шрифт:
Troj.Ransom.A запомнился как первое приложение, которое помимо шифрования прибегает к угрозам, сообщая пользователю, что каждые полчаса с жесткого диска будет удаляться по одному файлу до тех пор, пока жертва не переведет деньги ($10,99).
Параллельно программа радовала пользователя порнографическими картинками, а при попытке закрыть соответствующий процесс нажатием Ctrl+Alt+Del бросала презрительно-насмешливые реплики. Преступник попался не жадный и довольствовался скромными 11 долларами, которые ему почему-то было удобнее получать не на аккаунт в одной из платежных онлайн-систем, а по Western Union. Обычно разработчики ransomware требуют несколько сотен баксов за «освобождение» данных. Кстати, автор Troj.Ransom.A – человек в каком-то смысле ответственный,
Еще одной нашумевшей вымогательской программой стал Cryzip, также известный как Troj/Zippo-A, который собирал обнаруженные на компьютере документы Word и Excel, pdf и jpeg, а также файлы баз данных в зашифрованные ZIP-файлы. После этого появлялся текстовый файл, в котором сообщалось, что все еще можно поправить, переведя $300 на счет в системе E-Gold. Экспертам компании Sophos удалось, проанализировав троянский код, определить пароль для расшифровки: «C:Program FilesMicrosoft Visual StudioVC98». Выбор пароля не случаен. Таким образом злоумышленник надеялся ввести в заблуждение специалистов, анализировавших код программы.
Кстати, блокирование доступа к документам и почте – не единственная цель ransomware. Уже существуют программы, которые требуют выкуп за восстановление нормальной работы ОС в целом. В частности, это троянец Krotten, который одно время весьма активно распространялся в Сети под видом программного средства для получения доступа к платным веб-ресурсам. Пик его угрозы пришелся на январь прошлого года, когда автор Krotton в течение двух недель выпустил 13 модификаций своего детища, надеясь помешать выработке алгоритма обнаружения программы постоянным изменением кода.
Независимо от версии, Krotten ведет себя на компьютере жертвы примерно одинаково. После запуска софтина регистрирует себя в реестровых ключах автозапуска и при следующей загрузке системы пользователь обнаруживает, что не может запустить RegEdit и Диспетчер Задач, закрыть окна Проводника и браузера, открыть настройки файлов и папок. Ну и из мелочей можно отметить, что содержимое меню «Пуск» меняется, вместо часов в трее появляется ругательство, а на винчестере создаются папки – «Типа Windows», «Типа Windows2» и «Типо Мои Документы». Требования злоумышленник также оглашает при загрузке Windows, предлагая восстановить нормальную работу компьютера, переслав на «Одноразовый» e-mail активационный код карты оплаты оператора «Киевстар» на 25 гривен. Из этого становится ясно, что, несмотря на массовое распространение, Krotten имеет украинское происхождение и нацелен на тамошнее же население. Избавиться от троянца можно, скачав бесплатную утилиту KLWK по адресу ftp://ftp kaspersky com/utils/klwk/KLWK.ZIP.
А совсем недавно стало известно о появлении очередного оригинального приема из серии ransomware. На сей раз жертвами стали пользователи бесплатного почтового сервиса Hotmail. В конце декабря 2006 года при проверке почты на сервере некоторые из них неожиданно не обнаружили ни писем, ни списка контактов. В ящике лежало одно-единственное сообщение, причем на испанском языке. В нем сообщалось, что если пользователь хочет узнать местонахождение своей адресной книги и базы писем, то придется заплатить. Интересно, что конкретной суммы злоумышленники не называли, предпочитая договариваться с каждым, что называется, на индивидуальной основе. Занявшейся этим случаем компании Websence удалось выяснить, что логин и пароль к аккаунту Hotmail злоумышленники получали с помощью кейлоггеров (программ, считывающих нажатия клавиш и отправляющих логи своему владельцу), предварительно установленных на компьютерах интернет-кафе. В заявлении, посвященном результатам расследования случая, представитель Websence заметил, что уже ставший привычным вариант ransomware с проникновением троянца на пользовательский компьютер оказался далеко не единственным.
Несмотря
Нынешние представители ransomware ознаменовали лишь начало нового этапа в противоборстве вирусописателей и антивирусных компаний. В настоящее время злоумышленник, как правило, генерирует пару крипто-ключей, причем открытый находится у созданного им трояна, а закрытый у преступника. После заражения компьютера жертвы, автор требует денег за расшифровку и, получив выкуп, отсылает закрытый ключ. Слабое место этого подхода заключается в том, что потерпевшему достаточно просто выложить в общий доступ информацию о закрытом ключе, и злоумышленнику останется надеяться, что новым жертвам эти данные не попадутся на глаза. Со временем же, если верить прогнозам, на смену этой модели придет более изощренная – с использованием хакерами ассиметричного шифрования. В этом случае злоумышленник также будет создавать пару ключей, однако вирус, попав на компьютер жертвы, сгенерирует еще один тайный ключ, которым уже и зашифрует данные.
И наконец, самый известный «шантажист» – Gpcode, автора которого «Лаборатория Касперского» расценивают чуть ли как не личного противника, является на сегодняшний день, пожалуй, наиболее совершенным в плане используемых криптографических технологий. Злоумышленник работал с русскоязычными пользователями и распространял троянца через спам. Жертвам приходило письмо, отправленное якобы с рекрутингового сайта, в котором сообщалось, что для пользователя есть вакансия и предлагалось заполнить прилагаемую анкету в doc-формате. Эта уловка работала довольно хорошо, так как адреса людей преступник брал из базы резюме Job ru. При открытии этого файла запускался макрос, который устанавливал в систему собственно Gpcode.
Дорвавшись до винчестера, программа выискивала на нем все файлы с расширениями txt, doc, xls, rar, htm, pdf и др. – всего около восьмидесяти, а также базы данных электронной почты и шифровала их с удалением оригинала. При этом в каждом каталоге появлялся файл readme txt, в котором хакер сообщал, что именно он натворил, и предлагал купить декодер, связавшись по почте. Адреса преступник постоянно менял, а для расчета с жертвами предпочитал использовать кошельки системы «Яндекс.Деньги». Интересно, что установить источник заражения удалось не сразу, так как с момента получения письма до шифрования проходило определенное время, и ассоциаций с посланием Job ru у жертв, как правило, не возникало.
Первая версия Gpcode появилась еще в конце 2004 года. Она шифровала данные алгоритмом собственной разработки, хотя и включала в названия файлов «PGPcoder», что заставляло предположить использование более профессиональных криптосредств. Так что поначалу проблем со взломом шифра не возникло. Однако постепенно в интернете появлялись все более и более изощренные модификации программы, и наконец, летом прошлого года в «Лаборатории Касперского» столкнулись с версией Gpcode ag, которая шифровала данные с помощью алгоритма RSA с ключом длиной 660 бит.