АНАЛИЗЫ: Криптовымогатели
АНАЛИЗЫ: Криптовымогатели
Автор: Родион Насакин
Казалось бы, в сфере вредоносного софта уже трудно изобрести что-нибудь оригинальное. Мир вирусов, червей, троянцев, шпионского ПО и adware многолик и разнообразен. Однако в 2005 году вирусописателям вновь удалось удивить антивирусные компании и свои жертвы, выпустив первые образцы своих «работ» совершенно нового жанра.
Приложения, за которыми закрепилось название ransomware (от англ. ransom – выкуп), проникнув на компьютер, лишали пользователя доступа к его данным и начинали требовать выкуп. Поначалу речь шла о единичных экспериментальных разработках маргиналов от программирования. Но годом позже ransomware стали штамповать в промышленных масштабах и привлекли пристальное внимание специалистов по информационной безопасности и прессы.
Технология шантажа
Школьники-дилетанты
Уже есть первые анекдотичные примеры недоработок среди ransomware. Например, троянец Schoolboys, авторы которого в файле, содержащем их требования, написали сумму выкупа, но забыли упомянуть реквизиты, по которым нужно перевести деньги
Принцип работы ransomware довольно прост, так что относительно позднее появление этого бедствия даже удивляет. На машину жертвы такая программа может попасть любым троянским способом: в виде исполняемого файла по e-mail, атакой с сайта через дыры ПО, всплывающие баннеры, скачиваемые бесплатные приложения, вроде заставок экрана и т. п., но ее дальнейшие действия отличаются от действий предшественниц. Вместо того чтобы собрать все любопытные данные владельца компьютера, установить бота-зомби или наплодить рекламных приложений, зловредная софтина ищет на винчестере файлы с заданными расширениями и зашифровывает их.
Таким образом, у пользователя остается полностью работоспособный компьютер, только вот открыть, например, незаконченную статью в Word не удастся. Впрочем, это еще мелочи, хотя и обидные. Чтобы жертва стала более сговорчивой, зашифровать могут не только документы и письма, но и ехе-файлы. К тому же на жестком диске зачастую хранится и более важная, а главное, ценная информация, за доступ к которой не жалко отдать весомую сумму. Особенно если злоумышленник использует стойкий криптоалгоритм шифрования, взломать который затруднительно или вообще практически невозможно. Поначалу, пока заражение компьютеров ransomware случалось раз в несколько месяцев, преступники использовали слабые шифры, взломать которые можно было прямым перебором. Сейчас таких дилетантских поделок остается все меньше и меньше.
Вместе со сложностью шифров растут и суммы, которые требуют злоумышленники, а атаки все чаще становятся целевыми. Хакеров интересуют компьютеры финансовых учреждений и конкретных лиц. Хотя случаев с шифрованием данных рядовых пользователей тоже хватает. Интересно, что советы экспертов для жертв таких программ в чем-то напоминают указания полиции относительно киднеппинга. Вкратце, пользователям рекомендуют прикинуть, насколько серьезными могут быть потери, если доступ не удастся восстановить, и если речь идет о весомом ущербе, то советуют по возможности затянуть переговоры со злоумышленником, например, торгуясь по e-mail. Параллельно нужно обратиться в одну из антивирусных лабораторий за анализом ситуации и разработкой решения. Правда, в полицию (и тем более милицию) звонить, наверное, необязательно. Особенно если речь идет о менее значительном происшествии, чем, скажем, парализованная работа банка. История пока не знает ни одного случая задержания и тем более осуждения автора ransomware.
Справедливости ради отметим, что если при киднеппинге велик шанс не получить живого родственника даже после уплаты выкупа, то разработчики ransomware пока всегда держали слово и, получив деньги, восстанавливали данные. Другое дело, что развитию этого криминального бизнеса во многом способствуют сами пользователи, которые зачастую готовы пожертвовать (обычно небольшой) суммой, нежели обращаться в антивирусные компании и правоохранительные органы. Хотя в организации онлайн-вымогательства есть то же уязвимое место, что в офлайне, – контакт при передаче денег.
Возможно, отсутствие юридической практики привлечения к ответственности авторов ransomware объясняется тем, что большинство таких программ создано в России и странах СНГ и рассчитано «на внутреннее пользование», что выражалось как в языке, на котором писались требования выкупа, так и в запрашиваемой валюте. Так что более опытные в расследовании киберпреступлений западные «органы» просто не успели всерьез озаботиться проблемой. Заражения ransomware в США, Великобритании, Германии и ряде других стран начали фиксироваться где-то во втором полугодии 2006-го.
Веселая семейка
Преступление без наказания
История пока не знает ни одного случая задержания и тем более осуждения автора ransomware. Писатели всех троянов-вымогателей находятся на свободе.
Первыми представителями семейства ransomware, получившими довольно широкое распространение, стали Archiveus, Troj.Ransom.A, Cryzip, Krotten, MayArchive и несколько модификаций Gpcode. Первый троянец закрывает доступ к папке «Мои документы». По данным антивирусных компаний, его автор был не самым выдающимся программистом и разместил пароль доступа в исходниках программы. В Symantec советуют для расшифровки ввести пароль «mf2lro8sw03ufvnsq034jfowr18f3cszc-20vmw» к файлу EncryptedFiles als и «kw9fjwfielaifuw-1u3fw3brue2180w3hfse2» к Demo als. Необычность этого софта заключается еще и в том, что его автор не требует выкупа. Пользователь получает сообщение, в котором говорится, что злоумышленнику не нужны деньги и он лишь хочет видеть его своим клиентом. Далее жертва получает подробные инструкции по восстановлению доступа к папкам. Но прежде чем данные будут воостановлены, потерпевшему следует приобрести на определенную сумму товаров в онлайн-аптеке. Кажется, усилиями таких горе-коммерсантов в понятие «агрессивный маркетинг» вскоре будет вкладываться несколько иной смысл.
Troj.Ransom.A запомнился как первое приложение, которое помимо шифрования прибегает к угрозам, сообщая пользователю, что каждые полчаса с жесткого диска будет удаляться по одному файлу до тех пор, пока жертва не переведет деньги ($10,99).
Параллельно программа радовала пользователя порнографическими картинками, а при попытке закрыть соответствующий процесс нажатием Ctrl+Alt+Del бросала презрительно-насмешливые реплики. Преступник попался не жадный и довольствовался скромными 11 долларами, которые ему почему-то было удобнее получать не на аккаунт в одной из платежных онлайн-систем, а по Western Union. Обычно разработчики ransomware требуют несколько сотен баксов за «освобождение» данных. Кстати, автор Troj.Ransom.A – человек в каком-то смысле ответственный, и поскольку сам не уверен в том, что его вредоносный софт работает корректно, предлагает заплатившим жертвам связаться с ним по e-mail, если у них возникнут проблемы с удалением троянца.
Еще одной нашумевшей вымогательской программой стал Cryzip, также известный как Troj/Zippo-A, который собирал обнаруженные на компьютере документы Word и Excel, pdf и jpeg, а также файлы баз данных в зашифрованные ZIP-файлы. После этого появлялся текстовый файл, в котором сообщалось, что все еще можно поправить, переведя $300 на счет в системе E-Gold. Экспертам компании Sophos удалось, проанализировав троянский код, определить пароль для расшифровки: «C:Program FilesMicrosoft Visual StudioVC98». Выбор пароля не случаен. Таким образом злоумышленник надеялся ввести в заблуждение специалистов, анализировавших код программы.
Кстати, блокирование доступа к документам и почте – не единственная цель ransomware. Уже существуют программы, которые требуют выкуп за восстановление нормальной работы ОС в целом. В частности, это троянец Krotten, который одно время весьма активно распространялся в Сети под видом программного средства для получения доступа к платным веб-ресурсам. Пик его угрозы пришелся на январь прошлого года, когда автор Krotton в течение двух недель выпустил 13 модификаций своего детища, надеясь помешать выработке алгоритма обнаружения программы постоянным изменением кода.
Независимо от версии, Krotten ведет себя на компьютере жертвы примерно одинаково. После запуска софтина регистрирует себя в реестровых ключах автозапуска и при следующей загрузке системы пользователь обнаруживает, что не может запустить RegEdit и Диспетчер Задач, закрыть окна Проводника и браузера, открыть настройки файлов и папок. Ну и из мелочей можно отметить, что содержимое меню «Пуск» меняется, вместо часов в трее появляется ругательство, а на винчестере создаются папки – «Типа Windows», «Типа Windows2» и «Типо Мои Документы». Требования злоумышленник также оглашает при загрузке Windows, предлагая восстановить нормальную работу компьютера, переслав на «Одноразовый» e-mail активационный код карты оплаты оператора «Киевстар» на 25 гривен. Из этого становится ясно, что, несмотря на массовое распространение, Krotten имеет украинское происхождение и нацелен на тамошнее же население. Избавиться от троянца можно, скачав бесплатную утилиту KLWK по адресу ftp://ftp kaspersky com/utils/klwk/KLWK.ZIP.
А совсем недавно стало известно о появлении очередного оригинального приема из серии ransomware. На сей раз жертвами стали пользователи бесплатного почтового сервиса Hotmail. В конце декабря 2006 года при проверке почты на сервере некоторые из них неожиданно не обнаружили ни писем, ни списка контактов. В ящике лежало одно-единственное сообщение, причем на испанском языке. В нем сообщалось, что если пользователь хочет узнать местонахождение своей адресной книги и базы писем, то придется заплатить. Интересно, что конкретной суммы злоумышленники не называли, предпочитая договариваться с каждым, что называется, на индивидуальной основе. Занявшейся этим случаем компании Websence удалось выяснить, что логин и пароль к аккаунту Hotmail злоумышленники получали с помощью кейлоггеров (программ, считывающих нажатия клавиш и отправляющих логи своему владельцу), предварительно установленных на компьютерах интернет-кафе. В заявлении, посвященном результатам расследования случая, представитель Websence заметил, что уже ставший привычным вариант ransomware с проникновением троянца на пользовательский компьютер оказался далеко не единственным.
Криптовирология
Несмотря на то, что ransomware активно начали распространяться по Сети только в прошлом году, появление соответствующего софта было предсказано еще 11 лет назад сотрудником Колумбийского университета Адамом Янгом (Adam Young) и исследователем из IBM Моти Янгом (Moti Yung), опубликовавшими книгу «Cryptovirology: Extortion-Based Security Threats and Countermeasures», где впервые упоминался термин «криптовирология». Под ним авторы понимали новую сферу деятельности компьютерных злоумышленников, которая должна перевернуть представление об информационной безопасности. Основная идея заключается в том, что ИТ-сообщество привыкло воспринимать криптографию в качестве мощного инструмента для создания средств защиты данных и сохранения приватности, и часто упускает из виду возможность ее использования для менее благовидных целей.
Нынешние представители ransomware ознаменовали лишь начало нового этапа в противоборстве вирусописателей и антивирусных компаний. В настоящее время злоумышленник, как правило, генерирует пару крипто-ключей, причем открытый находится у созданного им трояна, а закрытый у преступника. После заражения компьютера жертвы, автор требует денег за расшифровку и, получив выкуп, отсылает закрытый ключ. Слабое место этого подхода заключается в том, что потерпевшему достаточно просто выложить в общий доступ информацию о закрытом ключе, и злоумышленнику останется надеяться, что новым жертвам эти данные не попадутся на глаза. Со временем же, если верить прогнозам, на смену этой модели придет более изощренная – с использованием хакерами ассиметричного шифрования. В этом случае злоумышленник также будет создавать пару ключей, однако вирус, попав на компьютер жертвы, сгенерирует еще один тайный ключ, которым уже и зашифрует данные.
На пределе возможностей
И наконец, самый известный «шантажист» – Gpcode, автора которого «Лаборатория Касперского» расценивают чуть ли как не личного противника, является на сегодняшний день, пожалуй, наиболее совершенным в плане используемых криптографических технологий. Злоумышленник работал с русскоязычными пользователями и распространял троянца через спам. Жертвам приходило письмо, отправленное якобы с рекрутингового сайта, в котором сообщалось, что для пользователя есть вакансия и предлагалось заполнить прилагаемую анкету в doc-формате. Эта уловка работала довольно хорошо, так как адреса людей преступник брал из базы резюме Job ru. При открытии этого файла запускался макрос, который устанавливал в систему собственно Gpcode.
Дорвавшись до винчестера, программа выискивала на нем все файлы с расширениями txt, doc, xls, rar, htm, pdf и др. – всего около восьмидесяти, а также базы данных электронной почты и шифровала их с удалением оригинала. При этом в каждом каталоге появлялся файл readme txt, в котором хакер сообщал, что именно он натворил, и предлагал купить декодер, связавшись по почте. Адреса преступник постоянно менял, а для расчета с жертвами предпочитал использовать кошельки системы «Яндекс.Деньги». Интересно, что установить источник заражения удалось не сразу, так как с момента получения письма до шифрования проходило определенное время, и ассоциаций с посланием Job ru у жертв, как правило, не возникало.
Первая версия Gpcode появилась еще в конце 2004 года. Она шифровала данные алгоритмом собственной разработки, хотя и включала в названия файлов «PGPcoder», что заставляло предположить использование более профессиональных криптосредств. Так что поначалу проблем со взломом шифра не возникло. Однако постепенно в интернете появлялись все более и более изощренные модификации программы, и наконец, летом прошлого года в «Лаборатории Касперского» столкнулись с версией Gpcode ag, которая шифровала данные с помощью алгоритма RSA с ключом длиной 660 бит.
Но каким-то образом специалисты все же взломали и его. По слухам, ключ факторизовали двое суток на арендованном у РАН кластере из 574 узлов с процессорами 2xPowerPC 970 2,2 ГГц и 4 Гб оперативной памяти. А также они смогли в сотрудничестве с компанией-хостером удалить файл вируса с ресурса, с которого он загружался после команды троянца. Автор ransomware, видимо, был достаточно горд своим последним детищем, и даже устраивал тем пользователям, которые согласились ему заплатить, небольшой ликбез по основам криптографии. В целях просвещения он создал свой сайт, где объяснял принцип работы RSA.
Сотрудники «Лаборатории Касперского» на RSA Conference 2007 заявили, что взломали ключ Gpcode за десять минут, потому что хакер «не дочитал криптографический учебник до конца», однако признались, что последняя победа досталась им с большим трудом, и не факт, что уже в обозримом будущем удастся решить проблему с более совершенными экземплярами ransomware в пределах разумного времени. На этом мероприятии борьба с программами-вымогателями была впервые названа ключевой тенденцией нынешнего года в сфере информационной безопасности. Удручает их и тот факт, что авторы Gpcode, Cryzip и Krotten все еще на свободе. Интересно, что автор Gpcode требовал с жертв всего-навсего по 2000 руб., видимо, опасаясь, что при попытке запросить более крупную сумму у кого-то из жертв может появиться желание подать заявление в правоохранительные органы. Это напоминает случай с появившимся в июне прошлого года аналогичным «вредителем» Trojan.Skowr, автор которого в текстовом файле, содержащем инструкции по «выкупу» данных, отмечал, что пользователь – счастливчик, и восстановление обойдется ему от $20 до $80. При этом злоумышленник отдельно подчеркивал, что его «коллеги» так не церемонятся и требуют сразу $400. Что же касается будущего борьбы с этой напастью, то наиболее эффективным кажется препятствование проникновению ransomware, и антивирусные компании работают более активно в этом направлении, справедливо полагая, что разгребать (а вернее, расшифровывать) последствия на порядок сложнее и не всегда возможно.
Кстати, о легкости обнаружения. В экспертных публикациях неоднократно подчеркивалось, что ransomware – один из наибо лее простых в разработке видов вредоносного ПО, и в нем, по мере роста популярности этого направления у компьютерных маргиналов, все чаще пробуют свои силы люди с минимальными навыками программирования. Так что теоретически в обозримом будущем интернет может закишеть такими любительскими поделками вымогателей-дилетантов. Уже есть и первые анекдотичные примеры недоработок. Например, троянец Schoolboys, авторы которого в файле, содержащем их требования, написали сумму выкупа, но забыли упомянуть реквизиты, по которым нужно перевести деньги.
Безвредное ransomware
На самом деле, термин «ransomware» появился раньше, чем вредоносные программы, требующие денег за восстановление доступа к данным. Первоначально под этим словом понималась просто-напросто одна из схем распространения ПО, альтернативная более известным shareware, freeware и donateware (с добровольными поощрениями авторов). Поскольку сейчас опять начали появляться программы, продаваемые по принципу «выкупа», и схема вновь становится популярной, хотелось бы остановиться на ней подробнее.
Модель ransomware представляет собой попытку компромисса между разработчиками софта, испытывающими понятное желание заработать на своем труде, и пользователями, которые не любят тратиться на ПО. Согласно этой схеме программа идет на рынок, как платная, однако после того, как доход от ее продаж достигает заранее обозначенной суммы, которую автор расценивает, как достойное вознаграждение за свои старания, софт переходит в категорию freeware. И не просто freeware. Исходный код программы по завершении этапа накопления раскрывается.
При реализации этой модели на практике существует несколько вариантов. В стандартном виде все происходит следующим образом. Автор разрабатывает продукт и затем предлагает его для выкупа по специальной лицензии, в которой помимо всего прочего указывается срок ее действия. Если за это время деньги собрать не удастся, программа становится бесплатной в любом случае, а автор понимает, что значимость своего детища для рынка он переоценил. Кроме того в лицензии могут быть обозначены минимальная и максимальная сумма, которую могут внести благодарные пользователи.