Check Point заблокировала кибервымогателя Cryptolocker

Check Point заблокировала кибервымогателя Cryptolocker

Компания Check Point, сообщает о том, что группа аналитиков Check Point провела исследование активности вредоносной программы Cryptolocker, случаи заражения которым в последнее время участились. В рамках анализа ученые создали специальную систему-ловушку (sinkhole), имитирующую работу центра управления (Command&Control Centre, C&C), чтобы изучить и оценить заражение в реальной среде. Анализ коммуникации инфицированных клиентов подтверждает, что количество жертв продолжает расти, причем большая часть пострадавших находится в США и Великобритании.

Исследование позволило создать интеллектуальные сигнатуры для программных блейдов Anti-Bot и Antivirus, которые затем были переданы в облачный сервис Check Point ThreatCloud. Эти сигнатуры блокируют коммуникации с серверами C&C, эффективно предотвращая умышленное шифрование данных хакерской программой. В результате за первые дни после создания сигнатур на этапе активного распространения зловредного ПО Check Point детектировала и остановила заражение Cryptolocker более чем в 50 организациях, сэкономив им до $500 000.

Cryptolocker представляет собой разновидность вредоносного ПО, известного как ransomware, или кибервымогательство. Его бурное распространение началось в сентябре 2013 года. Как и другие формы подобных программ-вымогателей, Cryptolocker устанавливается на компьютер жертвы и работает в фоновом режиме, шифруя разнообразные данные пользователя, при этом оставаясь незаметным для него. Известно, что Cryptolocker ищет и кодирует файлы следующих типов:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Завершив шифрование файлов, Cryptolocker сообщает пользователю, что его файлы были «взяты в заложники», и требует выкуп в пользу злоумышленников за ключ, который позволит их расшифровать. Размер выкупа обычно составляет от 300 Евро или $300 США, и увеличивается до 10 биткоинов (около $3 800), если пользователь не заплатит деньги сразу же. Далее в сообщении говорится, что в случае невыполнения пользователем требований срока оплаты (обычно не более 4 дней), ключ будет вовсе удален с серверов, и восстановление данных жертвы станет невозможным.

Следует отметить, что в настоящее время не существует альтернативного метода для восстановления доступа к зашифрованным файлам.

ThreatCloud блокирует C&C и помогает победить Cryptolocker

Важной особенностью Cryptolocker является необходимость вредоносного агента инициировать коммуникацию с центром управления (C&C) перед тем, как начать процесс шифрования файлов. Сразу после установления связи с C&C, сгенерированный сервером уникальный открытый ключ передается агенту для шифрования данных на компьютере пользователя.

Таким образом, самый эффективный способ борьбы с Cryptolocker – это обнаружение и блокировка изначальной коммуникации агента с сервером C&C, необходимой для запуска процесса шифрования. Cryptolocker использует алгоритм Domain Generation Algorithm (DGA) для поиска серверов C&C, с которыми можно настроить коммуникацию. В результате каждый день перебирается порядка 1 000 доменов, генерируемых и запрашиваемых образцами Cryptolocker.

Благодаря реверсивному алгоритму было возможно получить предварительно сгенерированные таблицы Cryptolocker DGA для каждого дня. В результате группа исследователей Check Point научилась предсказывать целевые ссылки URL серверов C&C, с которыми могут связываться агенты Cryptolocker. Это и позволило создать «умные сигнатуры» для блейдов Check Point Anti-Bot и Antivirus. Постоянно обновляясь для всех пользователей ThreatCloud, эта защита блокирует доступ к серверам C&C Cryptolocker и, таким образом, не позволяет запустить процедуру шифрования.

После появления такой защитной функции в ThreatCloud, статистика, собранная с различных шлюзов Check Point по всему миру, показала успешное блокирование сотен инцидентов с Cryptolocker в более чем 50 различных организациях, и все это без каких-либо обновлений или изменений со стороны администраторов. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники вынуждают своих жертв атаковать инфраструктуру

Злоумышленники, используя методы социальной инженерии, массово заставляют жертв атаковать объекты инфраструктуры. Только за минувшие выходные около 20 человек задержаны за поджоги отделений банков, почты и торговых центров.

Как обращает внимание телеграм-канал «Вестник киберполиции России», основной целевой аудиторией злоумышленников являются те, кто уже пострадал от деятельности мошенников.

Их с помощью психологических манипуляций заставляли бросать петарды, бутылки с зажигательной смесью в торговых центрах, банках, отделениях почты в Москве и Санкт-Петербурге, а также пытаться поджечь полицейские автомобили.

По данным, собранным «Известиями», факты поджогов зафиксированы в Москве, Подмосковье, Красноярске, Пскове, Санкт-Петербурге, ряде городов Ленинградской области.

«Профессиональная ложь, комбинация психологических приемов и мотивация получением или возвратом денег — все это используют злоумышленники для достижения своих целей. Попавшие на крючок люди не только продавали квартиры, поджигали банкоматы, но и инсценировали собственные похищения», — говорится в официальном сообщении Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России.

Корреспондентам «Известий» удалось связаться с дочерью одного из тех, кто под воздействием злоумышленников поджег два банкомата в Санкт-Петербурге. Супруга поджигателя стала жертвой мошенников, которую вынудили перевести все сбережения на «безопасный счет».

«Они (злоумышленники) три дня обрабатывали маму, что надо спалить банкомат, чтобы замести следы перевода денег. Мама на это сказала: «Я на такое и под расстрелом не пойду», — рассказала собеседница издания.

После этого мошенники начали убеждать мужа женщины, который в итоге и стал поджигателем. Он также несколько лет назад стал жертвой мошенников.

Руководитель практики уголовно-правовой защиты юридической компании «Институт УДО» Игорь Ивлев также в комментарии для «Известий» обратил внимание на то, что злоумышленники могут вынуждать людей совершать нужные им действия, представляясь сотрудниками правоохранительных органов. При этом поджог якобы является частью оперативно-разыскных мероприятий.

«В лучшем случае исполнителя ожидает обвинение в хулиганстве с использованием предметов в качестве оружия — наказание до семи лет, — отметила в комментарии для «Известий» практикующий юрист Зара Горбушина. — Однако, в зависимости от масштабов ущерба, количества жертв и других отягчающих обстоятельств, наказание может быть значительно строже, вплоть до обвинения в терроризме. Российское законодательство не освобождает от ответственности лиц, совершивших преступление под влиянием третьих лиц, даже при наличии значительного психологического давления».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru