Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Cryptolocker chce twoich pieniędzy!

Dodany 28 października 2013, 12:48 CET
Tagi:

Być może czytaliście na temat szkodliwego oprogramowania o nazwie Cryptolocker - nowego trojana szantażysty, który szyfruje pliki użytkownika i żąda pieniędzy w zamian za ich odzyskanie przez użytkownika.

W przeszłości pojawiały się podobne szkodliwe programy, np. niesławny trojan GPCode, który wykorzystywał klucze RSA w celu szyfrowania. W 2008 r. złamaliśmy 660-bitowy klucz wykorzystywany przez GPCode’a i zaoferowaliśmy ofiarom tego szkodnika metodę deszyfrowania i odzyskiwania swoich danych. Następnie autorzy GPCode’a uaktualnili klucz RSA - jego długość wynosiła już 1024 bity i mógł zostać złamany jedynie przez Agencję Bezpieczeństwa Narodowego.         

Cryptolocker wykorzystuje również mocny system szyfrowania, który jak dotąd wydaje się niemożliwy do złamania. W przypadku każdej ofiary, łączy się ze swoim centrum kontroli (C2) w celu pobrania publicznego klucza RSA wykorzystywanego do szyfrowania danych. W przypadku każdej nowej ofiary, tworzony jest kolejny unikatowy klucz i tylko autorzy Cryptolockera mają dostęp do kluczy umożliwiających deszyfrowanie.  

1_auto.png

Szantażyści dają ofierze około trzech dni na zapłacenie okupu, w przeciwnym razie ich dane zostaną bezpowrotnie utracone. Dostępnych jest wiele opcji płatności, w tym system Bitcoin:

2.png

Aby mieć pewność, że ofiara otrzyma wiadomość, szantażyści ustawili na zainfekowanej maszynie tapetę z dość złowieszczym komunikatem:  

3_auto.png

Aby połączyć się z serwerami C2, Cryptolocker wykorzystuje algorytm generowania domen, który każdego dnia tworzy 1000 potencjalnych unikatowych nazw domen.

Dimiter Andonow z ThreatTrack Security poddał ten algorytm inżynierii wstecznej, a Kaspersky Lab przeprowadził operację leja (sinkhole) na trzech domenach w celu oszacowania liczby ofiar na całym świecie.

Łącznie, 2764 unikatowych adresów IP ofiar połączyło się z domenami objętymi operacją leja.   

Największą liczbę połączeń (z 1266 unikatowymi adresami IP) odnotowano w środę, 16 października.  

4_auto.png

Poniżej znajduje się rozkład ofiar według państw – pierwsza 30. Najbardziej dotknięte kraje to Wielka Brytania i Stany Zjednoczone, następnie Indie, Kanada i Australia:

5_auto.png

Warto podkreślić, że statystyki wskazują liczbę ofiar, których pliki nie zostały jeszcze zaszyfrowane. Jeżeli użytkownicy szybko zareagują po infekcji i wyczyszczą swój system przy użyciu narzędzia antywirusowego, ich dane mogą w ogóle nie zostać zaszyfrowane.  

Strategie obrony                                    

Cryptolocker stosuje skuteczną metodę, która pozwala na zaszyfrowanie plików i uniemożliwienia odzyskanie ich niezaszyfrowanych wersji za pomocą takich narzędzi jak Photorec. Najlepszą strategią jest dopilnowanie, aby wykorzystywane oprogramowanie do ochrony przed szkodliwym oprogramowaniem było aktualne, zdolne do zablokowania infekcji. System Kaspersky Host Intrusion Prevention potrafi zapobiec zainfekowaniu systemów nawet przez nieznane wersje tego trojana.  

Aby bezpłatnie sprawdzić swój system pod kątem obecności tego trojana, można wykorzystać Kaspersky Rescue Disk. W tym celu:

1. Pobierz ISO image of Kaspersky Rescue Disk 10 (kav_rescue_10.iso).

2. Pobierz Kaspersky Rescue Disk Maker (rescue2usb.exe).

3. Przejrzyj dokumentację w Bazie wiedzy.

Najbardziej rozpowszechnione warianty trojana Cryptolocker są wykrywane przez produkty firmy Kaspersky Lab na podstawie następujących werdyktów:

Trojan-Ransom.Win32.Blocker.cfkz, Trojan-Ransom.Win32.Blocker.cmkv, Trojan-Ransom.Win32.Blocker.cggx, Trojan-Ransom.Win32.Blocker.cfow, Trojan-Ransom.Win32.Blocker.cjzj, Trojan-Ransom.Win32.Blocker.cgmz, Trojan-Ransom.Win32.Blocker.cguo, Trojan-Ransom.Win32.Blocker.cfwh, Trojan-Ransom.Win32.Blocker.cllo, Trojan-Ransom.Win32.Blocker.coew.

Jeżeli twoje dane zostały już zaszyfrowane, najgorsze, co możesz zrobić, to zapłacić okup szantażystom. W ten sposób zachęcisz ich do rozszerzenia i wzmocnienia technik ataków.

Jak zawsze, najlepszym lekarstwem jest zapobieganie!