Програма-криптовымогатель шифрує файли в «офлайні»



Різного роду ransomware, програм-криптовымогателей зараз розвелося досить багато. Деякі просто блокують ПК, поки користувач не заплатить. Інші різновиди такого шифрують файли, відправляючи ключ на сервер, контрольований шахраями. Але є й інші види криптовымогателей, які діють ще більш оригінально.

Дослідники з компанії Check Point нещодавно провели аналіз роботи однієї з різновидів такого роду програм, яка використовує альтернативний метод шифрування файлів та надання ключа своїм творцям. Сама програма — не нова, вперше її помітили в червні минулого року. З тих пір автор неодноразово оновлював своє творіння (приблизно раз у два місяці), криптовымогатель постійно еволюціонує і вдосконалюється. На думку фахівців з інформаційної безпеки, цей зразок був створений російськомовними зловмисниками, і працює це, як правило, з користувачами з Росії.

При завантаженні на ПК жертви це ЗА шифрує всі файли користувача, одночасно їх перейменовуючи. Нові імена даються по масці:

email-[address to contact].ver-[Ransomware internal version].id-[Machine identifier]-[Date & Time][Random digits].randomname-[Random name given to the encrypted file].cbf (приклад: email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-NPEULAODSHUJYMAPESHVKYNBQETHWKZOBQFT-10@6@2015 9@53@19AM5109895.randomname-EFWMERGVKYNBPETHVKZNBQETHWKZNB.RGV.cbf).

При цьому дані на сервер зловмисників не передаються, ніяка інформація не приймається (зразок ключа шифрування).

Початок кожного файлу (перші 30000 байтів) кожного файлу шифрується з використанням двох наборів цифр і букв, які генеруються у випадковому порядку вже на інфікованій машині. Залишок файлу шифрується з використанням відкритого ключа RSA, також генерується у випадковому порядку на машині користувача, разом з секретним ключем RSA, який потрібен для розшифрування даних.

Випадково генеровані набори символів і локальний RSA-ключ (таємний) додаються в якості метаданих до кожного шифруемому файлу, і потім ишфруются з використанням одразу трьох складних відкритих ключів RSA 768, які створені вже віддалено. Відповідний секретний RSA-ключ потрібен для розшифрування метаданих на стороні атакуючого.

Коли зловмисник зв'язуються з жертвою за e-mail, він просить надіслати зразок зашифрованого файлу. Далі він виділяє зашифровані метадані з файла, використовує секретний RSA-ключ для розшифровки даних, і отримує, таким чином, набори символів і локальний секретний RSA-ключ, які потрібні жертви для розшифровки файлів.

Контактна адреса, що використовується шахраєм, часто Gmail, AOL аккаунт. Дослідники зв'язалися зі зловмисником, повідомивши про себе, як про жертву криптовымогателя. Той запросив за розшифровку даних 20000 рублів.

За словами фахівців, що вивчали, заплатити — єдиний спосіб отримати дані назад в даному випадку (якщо у вас немає бекапа).

Розшифрувати файли без відповідного ключа нереально. Необхідний час брутфорса, з використанням цілої мережі потужних ПК — близько двох років.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.