Чтение онлайн

на главную

Жанры

Журнал «Компьютерра» № 19 от 22 мая 2007 года
Шрифт:

Troj.Ransom.A запомнился как первое приложение, которое помимо шифрования прибегает к угрозам, сообщая пользователю, что каждые полчаса с жесткого диска будет удаляться по одному файлу до тех пор, пока жертва не переведет деньги ($10,99).

Параллельно программа радовала пользователя порнографическими картинками, а при попытке закрыть соответствующий процесс нажатием Ctrl+Alt+Del бросала презрительно-насмешливые реплики. Преступник попался не жадный и довольствовался скромными 11 долларами, которые ему почему-то было удобнее получать не на аккаунт в одной из платежных онлайн-систем, а по Western Union. Обычно разработчики ransomware требуют несколько сотен баксов за «освобождение» данных. Кстати, автор Troj.Ransom.A – человек в каком-то смысле ответственный,

и поскольку сам не уверен в том, что его вредоносный софт работает корректно, предлагает заплатившим жертвам связаться с ним по e-mail, если у них возникнут проблемы с удалением троянца.

Еще одной нашумевшей вымогательской программой стал Cryzip, также известный как Troj/Zippo-A, который собирал обнаруженные на компьютере документы Word и Excel, pdf и jpeg, а также файлы баз данных в зашифрованные ZIP-файлы. После этого появлялся текстовый файл, в котором сообщалось, что все еще можно поправить, переведя $300 на счет в системе E-Gold. Экспертам компании Sophos удалось, проанализировав троянский код, определить пароль для расшифровки: «C:Program FilesMicrosoft Visual StudioVC98». Выбор пароля не случаен. Таким образом злоумышленник надеялся ввести в заблуждение специалистов, анализировавших код программы.

Кстати, блокирование доступа к документам и почте – не единственная цель ransomware. Уже существуют программы, которые требуют выкуп за восстановление нормальной работы ОС в целом. В частности, это троянец Krotten, который одно время весьма активно распространялся в Сети под видом программного средства для получения доступа к платным веб-ресурсам. Пик его угрозы пришелся на январь прошлого года, когда автор Krotton в течение двух недель выпустил 13 модификаций своего детища, надеясь помешать выработке алгоритма обнаружения программы постоянным изменением кода.

Независимо от версии, Krotten ведет себя на компьютере жертвы примерно одинаково. После запуска софтина регистрирует себя в реестровых ключах автозапуска и при следующей загрузке системы пользователь обнаруживает, что не может запустить RegEdit и Диспетчер Задач, закрыть окна Проводника и браузера, открыть настройки файлов и папок. Ну и из мелочей можно отметить, что содержимое меню «Пуск» меняется, вместо часов в трее появляется ругательство, а на винчестере создаются папки – «Типа Windows», «Типа Windows2» и «Типо Мои Документы». Требования злоумышленник также оглашает при загрузке Windows, предлагая восстановить нормальную работу компьютера, переслав на «Одноразовый» e-mail активационный код карты оплаты оператора «Киевстар» на 25 гривен. Из этого становится ясно, что, несмотря на массовое распространение, Krotten имеет украинское происхождение и нацелен на тамошнее же население. Избавиться от троянца можно, скачав бесплатную утилиту KLWK по адресу ftp://ftp kaspersky com/utils/klwk/KLWK.ZIP.

А совсем недавно стало известно о появлении очередного оригинального приема из серии ransomware. На сей раз жертвами стали пользователи бесплатного почтового сервиса Hotmail. В конце декабря 2006 года при проверке почты на сервере некоторые из них неожиданно не обнаружили ни писем, ни списка контактов. В ящике лежало одно-единственное сообщение, причем на испанском языке. В нем сообщалось, что если пользователь хочет узнать местонахождение своей адресной книги и базы писем, то придется заплатить. Интересно, что конкретной суммы злоумышленники не называли, предпочитая договариваться с каждым, что называется, на индивидуальной основе. Занявшейся этим случаем компании Websence удалось выяснить, что логин и пароль к аккаунту Hotmail злоумышленники получали с помощью кейлоггеров (программ, считывающих нажатия клавиш и отправляющих логи своему владельцу), предварительно установленных на компьютерах интернет-кафе. В заявлении, посвященном результатам расследования случая, представитель Websence заметил, что уже ставший привычным вариант ransomware с проникновением троянца на пользовательский компьютер оказался далеко не единственным.

Криптовирология

Несмотря

на то, что ransomware активно начали распространяться по Сети только в прошлом году, появление соответствующего софта было предсказано еще 11 лет назад сотрудником Колумбийского университета Адамом Янгом (Adam Young) и исследователем из IBM Моти Янгом (Moti Yung), опубликовавшими книгу «Cryptovirology: Extortion-Based Security Threats and Countermeasures», где впервые упоминался термин «криптовирология». Под ним авторы понимали новую сферу деятельности компьютерных злоумышленников, которая должна перевернуть представление об информационной безопасности. Основная идея заключается в том, что ИТ-сообщество привыкло воспринимать криптографию в качестве мощного инструмента для создания средств защиты данных и сохранения приватности, и часто упускает из виду возможность ее использования для менее благовидных целей.

Нынешние представители ransomware ознаменовали лишь начало нового этапа в противоборстве вирусописателей и антивирусных компаний. В настоящее время злоумышленник, как правило, генерирует пару крипто-ключей, причем открытый находится у созданного им трояна, а закрытый у преступника. После заражения компьютера жертвы, автор требует денег за расшифровку и, получив выкуп, отсылает закрытый ключ. Слабое место этого подхода заключается в том, что потерпевшему достаточно просто выложить в общий доступ информацию о закрытом ключе, и злоумышленнику останется надеяться, что новым жертвам эти данные не попадутся на глаза. Со временем же, если верить прогнозам, на смену этой модели придет более изощренная – с использованием хакерами ассиметричного шифрования. В этом случае злоумышленник также будет создавать пару ключей, однако вирус, попав на компьютер жертвы, сгенерирует еще один тайный ключ, которым уже и зашифрует данные.

На пределе возможностей

И наконец, самый известный «шантажист» – Gpcode, автора которого «Лаборатория Касперского» расценивают чуть ли как не личного противника, является на сегодняшний день, пожалуй, наиболее совершенным в плане используемых криптографических технологий. Злоумышленник работал с русскоязычными пользователями и распространял троянца через спам. Жертвам приходило письмо, отправленное якобы с рекрутингового сайта, в котором сообщалось, что для пользователя есть вакансия и предлагалось заполнить прилагаемую анкету в doc-формате. Эта уловка работала довольно хорошо, так как адреса людей преступник брал из базы резюме Job ru. При открытии этого файла запускался макрос, который устанавливал в систему собственно Gpcode.

Дорвавшись до винчестера, программа выискивала на нем все файлы с расширениями txt, doc, xls, rar, htm, pdf и др. – всего около восьмидесяти, а также базы данных электронной почты и шифровала их с удалением оригинала. При этом в каждом каталоге появлялся файл readme txt, в котором хакер сообщал, что именно он натворил, и предлагал купить декодер, связавшись по почте. Адреса преступник постоянно менял, а для расчета с жертвами предпочитал использовать кошельки системы «Яндекс.Деньги». Интересно, что установить источник заражения удалось не сразу, так как с момента получения письма до шифрования проходило определенное время, и ассоциаций с посланием Job ru у жертв, как правило, не возникало.

Первая версия Gpcode появилась еще в конце 2004 года. Она шифровала данные алгоритмом собственной разработки, хотя и включала в названия файлов «PGPcoder», что заставляло предположить использование более профессиональных криптосредств. Так что поначалу проблем со взломом шифра не возникло. Однако постепенно в интернете появлялись все более и более изощренные модификации программы, и наконец, летом прошлого года в «Лаборатории Касперского» столкнулись с версией Gpcode ag, которая шифровала данные с помощью алгоритма RSA с ключом длиной 660 бит.

Поделиться:
Популярные книги

Неудержимый. Книга IX

Боярский Андрей
9. Неудержимый
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Неудержимый. Книга IX

Девяностые приближаются

Иванов Дмитрий
3. Девяностые
Фантастика:
попаданцы
альтернативная история
7.33
рейтинг книги
Девяностые приближаются

Кодекс Охотника. Книга X

Винокуров Юрий
10. Кодекс Охотника
Фантастика:
фэнтези
попаданцы
аниме
6.25
рейтинг книги
Кодекс Охотника. Книга X

Лорд Системы 7

Токсик Саша
7. Лорд Системы
Фантастика:
фэнтези
попаданцы
рпг
5.00
рейтинг книги
Лорд Системы 7

Газлайтер. Том 9

Володин Григорий
9. История Телепата
Фантастика:
фэнтези
попаданцы
5.00
рейтинг книги
Газлайтер. Том 9

Моя (не) на одну ночь. Бесконтрактная любовь

Тоцка Тала
4. Шикарные Аверины
Любовные романы:
современные любовные романы
7.70
рейтинг книги
Моя (не) на одну ночь. Бесконтрактная любовь

Везунчик. Дилогия

Бубела Олег Николаевич
Везунчик
Фантастика:
фэнтези
попаданцы
8.63
рейтинг книги
Везунчик. Дилогия

Измена. Верну тебя, жена

Дали Мила
2. Измены
Любовные романы:
современные любовные романы
5.00
рейтинг книги
Измена. Верну тебя, жена

Ищу жену для своего мужа

Кат Зозо
Любовные романы:
любовно-фантастические романы
6.17
рейтинг книги
Ищу жену для своего мужа

Темный Патриарх Светлого Рода 6

Лисицин Евгений
6. Темный Патриарх Светлого Рода
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Темный Патриарх Светлого Рода 6

Лорд Системы 14

Токсик Саша
14. Лорд Системы
Фантастика:
фэнтези
попаданцы
рпг
5.00
рейтинг книги
Лорд Системы 14

Вдова на выданье

Шах Ольга
Любовные романы:
любовно-фантастические романы
5.00
рейтинг книги
Вдова на выданье

Барон нарушает правила

Ренгач Евгений
3. Закон сильного
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Барон нарушает правила

Большая Гонка

Кораблев Родион
16. Другая сторона
Фантастика:
боевая фантастика
попаданцы
рпг
5.00
рейтинг книги
Большая Гонка