Crypto-Ransomware

Crypto-Ransomware

CryptoLocker byl ransomware trojan , který cílené počítače se systémem Microsoft Windows , věřil, že jako první byly zveřejněny na internetu dne 5. září 2013. CryptoLocker šířeny prostřednictvím infikovaných e-mailových příloh, a prostřednictvím stávajícího botnetu ; při aktivaci, malware zašifruje určité typy souborů uložených na místní a připojených síťových disků s použitím RSA veřejného klíče kryptografie , pomocí soukromého klíče uloženého pouze na kontrolních serverech malware je. Malware pak zobrazí zprávu, která nabízí k dešifrování dat v případě platby (buď prostřednictvím Bitcoin , nebo pre-placené pokladního dokladu) je vytvářen stanovené lhůtě, a hrozil odstranit soukromý klíč, pokud uplyne lhůta. Není-li lhůta není splněna, malware nabídl k dešifrování dat prostřednictvím on-line služby poskytované provozovateli malware je, za podstatně vyšší cenu v Bitcoin.

Ačkoli CryptoLocker sám se snadno odstraní, soubory zůstal šifrovaný způsobem, který vědci považován neproveditelné se zlomit. Mnozí říkali, že výkupné by neměla být vyplacena, ale nenabízí žádný způsob, jak obnovit soubory; jiní říkali, že zaplacení výkupného byl jediný způsob, jak obnovit soubory, které nebyly zálohovány . Některé oběti tvrdí, že zaplacením výkupného ne vždy vést k souborům je dešifrován.

CryptoLocker byl izolován v pozdním květnu 2014 přes Operation Tovar -Která složili GameOver Zeus botnet , které byly použity k distribuci malwaru. Během operace, bezpečnostní firma podílí na procesu získal databázi privátních klíčů používaných CryptoLocker, který byl následně použity k vytvoření on-line nástroj pro obnovu klíčů a soubory, aniž by zaplatil výkupné. Předpokládá se, že provozovatelé CryptoLocker úspěšně vymohli celkem přibližně 3 miliony dolarů z obětí trojan. Ostatní případy šifrování založené ransomware, kteří se řídili využilo "CryptoLocker" název (nebo varianty), ale jsou jinak nesouvisí.

Operace DefCon
CryptoLocker typicky propagovány jako přílohu k zdánlivě neškodný e-mailové zprávy, která se zdá, že byla odeslána prostřednictvím legitimní společnost. ZIP soubor připojený k e-mailové zprávě obsahuje spustitelný soubor s názvem souboru a ikonu maskované jako PDF soubor, s využitím výchozí chování Windows je z úkrytu rozšíření z názvy souborů zamaskovat skutečnou příponu EXE. CryptoLocker byl také propagován pomocí GameOver Zeus Trojan a botnetu.

Při prvním spuštění, užitečné zatížení instaluje v profilu uživatele složky, a přidává klíč do registru , který způsobuje, že ke spuštění při startu. Poté se pokusí kontaktovat jeden z několika určených velení a řízení serverů; po připojení, server generuje 2048-bitový RSA pár klíčů, a odešle veřejný klíč zpět do infikovaného počítače. server může být místní proxy server a projít druhým, často přesídlil v různých zemích, jak vydělat trasování je těžší.

Užitečné zatížení pak šifruje soubory přes lokální pevné disky a namapované síťové jednotky s veřejným klíčem, a přihlásí každý soubor zašifrovaný do klíče registru. Proces šifruje pouze datové soubory s určitými příponami , včetně Microsoft Office , OpenDocument , a další dokumenty, obrázky, a AutoCAD soubory. Užitečné zatížení se zobrazí zpráva informující uživatele, že soubory byly šifrované, a požaduje platbu 400 USD nebo Euro prostřednictvím anonymní předplacené pokladního dokladu (tj MoneyPak nebo Ukash ), nebo ekvivalentní částku v Bitcoin (BTC), do 72 nebo 100 hodin (při startu na 2 BTC, výkupné cena byla upravena až na 0,3 BTC by operátoři, aby odrážel měnící se hodnotu Bitcoin), nebo jiný soukromý klíč na serveru by byla zničena, a "nikdo a nikdy [ sic ], budou moci obnovit soubory. " Platba Výkupné umožňuje uživateli stáhnout dešifrování program, který je pre-naložený s privátním klíčem uživatele. Některé nakažené oběti tvrdí, že zaplatili útočníky, ale jejich soubory nebyly dešifrovat.

V listopadu 2013, provozovatelé CryptoLocker spustila službu on-line, který tvrdil, že umožňují uživatelům dešifrovat své soubory, aniž by program CryptoLocker, a ke koupi dešifrovací klíč po lhůta uplynula; proces zahrnoval nahrávání zašifrovaného souboru na místě jako vzorek a čeká na službu nalézt shodu; místo prohlašoval, že zápas by se nalézt během 24 hodin. Jakmile je zjištěno, by mohl uživatel zaplatit za klíč on-line; v případě, že 72 hodin termín prošel, náklady zvýšena na 10 Bitcoin.

Takedown a obnovu souborů DefCon
Dne 2. června 2014 Spojené státy ministerstvo spravedlnosti oficiálně oznámil, že ve srovnání s předchozím víkendu, Provoz Tovar konsorcium -a tvořící skupinu donucovacích orgánů (včetně FBI a Interpolu ), dodavatelů bezpečnostního software, a několik univerzit, byl narušen GameOver Zeus botnet , který byl použit k distribuci CryptoLocker a další malware. Ministerstvo spravedlnosti také veřejně vydal obžalobu proti ruské hacker Evgeniy Bogachev pro jeho údajnou účast na botnetu.

V rámci operace, holandský bezpečnostní firma Fox-IT byl schopen získat databázi privátních klíčů používaných CryptoLocker; v srpnu 2014 Fox-IT a kolega firma FireEye zavedla online službu, která umožňuje uživatelům získat nakažených svůj soukromý klíč nahráním ukázkový soubor, a pak obdrží dešifrovací nástroj

Zmírnění DefCon
Zatímco bezpečnostní software je určen pro detekci těchto hrozeb, mohlo by to nezjistí CryptoLocker vůbec, nebo jen po šifrování probíhá nebo úplné, zejména pokud nová verze neznámý ochranného softwaru je distribuována. Jestliže útok je podezřelá nebo detekován v jeho raných etapách, to trvá nějaký čas pro šifrování probíhat; okamžité odstranění malware (poměrně jednoduchý proces), před tím, než byla dokončena by omezit jeho poškození dat. Odborníci navrhli preventivní opatření, jako je například pomocí softwaru nebo jiných bezpečnostních politik blokovat CryptoLocker náklad od zahájení. Symantec odhaduje, že 3% z uživatelů infikovaných CryptoLocker rozhodl zaplatit.

Vzhledem k povaze provozu CryptoLocker je, někteří odborníci neochotně navrhl, že zaplacení výkupného byl jediný způsob, jak obnovit soubory z CryptoLocker v nepřítomnosti záloh (zejména v režimu offline zálohy provedené před infekcí, které jsou nepřístupné ze sítě, a tudíž nemůže být infikována CryptoLocker). Vzhledem k délce klíče zaměstnaných CryptoLocker, odborníci považoval za prakticky nemožné použít hrubou silou pro získání klíč potřebný pro dekódování soubory bez placení; Podobný 2008 trojan Gpcode. AK používal 1024 bitů klíče, který byl považován za natolik velký, aby byl výpočetně nezvládnutelných proniknout bez vzájemné distribuované úsilí, nebo objevení vady, které by mohly být použity k prolomit šifrování. Sophos bezpečnostní analytik Paul Ducklin spekuloval, že CryptoLocker je on-line dešifrování služba zahrnovala slovníkový útok proti své vlastní šifrování pomocí své databáze klíčů, vysvětlení požadavek, aby počkat až 24 hodin přijmout výsledek.

Peníze vyplácí DefCon
V prosinci 2013 ZDNet vysledovat čtyři Bitcoin adresy poslané uživatelů, kteří byli nakaženi CryptoLocker, ve snaze, aby posoudil tržby operátorů. Čtyři adresy ukázal pohyb 41.928 BTC mezi 15. října a 18 prosinec, o US 27000000 dolar v té době.

V průzkumu výzkumníky na University of Kent , 41% těch, kteří tvrdí, že je obětí řekl, že se rozhodl zaplatit výkupné, podíl mnohem větší, než se očekávalo; 3% bylo domýšlel společností Symantec, a 0,4% Dell SecureWorks. V návaznosti na odstavení botnetu, který byl použit k distribuci CryptoLocker, to bylo vypočítáno, že asi 1,3% nakažených zaplatila výkupné; mnozí byli schopni obnovit soubory, které byly zálohovány, a jiní se předpokládá, že jste ztratil obrovské množství dat. Nicméně, operátoři byli věřil, že vydírán celkem zhruba 3 miliony dolarů.

Klony DefCon
Úspěch CryptoLocker plodil řadu nesouvisejících a podobně pojmenovaných Ransomware trojské koně pracující v podstatě stejným způsobem, včetně některých, které odkazují na sebe jako "CryptoLocker" -ale jsou, v souladu s bezpečností výzkumníci, která nesouvisí s původní CryptoLocker.

V září 2014 další klony, jako je CryptoWall a TorrentLocker (jehož náklad se identifikuje jako "CryptoLocker", ale je pojmenovaný pro jeho použití klíče registru s názvem " Bit Torrent Application "), se začaly šířit v Austrálii ; ransomware používá infikované e-maily, údajně zasílané ministerstvy (např Australia Post ukázat neúspěšný balíkových zásilek) jako užitečného zatížení. Chcete-li se vyhnout detekci automatickým e-mailové skenerů, které mohou sledovat odkazy, tato varianta byla navržena tak, aby vyžadovat uživatele k návštěvě webové stránky a zadejte CAPTCHA kód před užitečné zatížení je skutečně stažena. Společnost Symantec zjistila, že tyto nové varianty, které je označené jako " CryptoLocker.F ", nebyla vázána na originálu.