CryptoLocker

CryptoLocker
Cryptolocker je v informatice název škodlivého software (malware), který vydírá uživatele požadavkem na výkupné (tj. ransomware). Cryptolocker se šíří jako trojský kůň skrze infikované přílohy e-mailů. Cílí na operační systémy z rodiny Microsoft Windows a poprvé byl zaznamenán 5. září 2013.

Stručný popis
CryptoLocker po své aktivaci zašifruje určité typy souborů na lokálních i vzdáleně připojených discích a zobrazí zprávu s nabídkou dešifrování souborů za poplatek (prostřednictvím Bitcoin nebo předplacené poukázky), který musí být realizován do určité lhůty. Pokud není lhůta dodržena, malware nabídne dešifrování za podstatně vyšší poplatek.

I když je CryptoLocker sám o sobě odstraněn, soubory zůstanou zašifrované takovým způsobem, který je odborníky považován za neprolomitelný. Mnohé oběti tvrdí, že zaplacení výkupného byl jediný způsob, jak obnovit soubory, které nebyly zálohovány. Jiné oběti ale tvrdí, že zaplacením výkupného nedošlo k dešifrování napadených souborů.

Předpokládá se, že provozovatelé CryptoLocker od obětí úspěšně vymohli cca 3 miliony dolarů. Jiné typy šifrovacího ransomware, které následovaly, také nesly jméno CryptoLocker (nebo podobné), ale nijak spolu nesouvisely.

Detailní popis činnosti
CryptoLocker je typicky propagován skrze zdánlivě neškodné e-mailové zprávy. ZIP archiv připojený ke zprávě obsahuje soubor tvářící se jako PDF dokument. Tento dokument je však ve skutečnosti spustitelný soubor obsahující malware. Při prvním spuštění se škodlivý program nainstaluje do složky s uživatelským profilem a zapíše klíč do registru, který umožní spuštění po startu systému. Program následně kontaktuje jeden z řídících serverů, server vygeneruje 2048 bitů dlouhý pár RSA klíčů a veřejný klíč odešle do infikovaného počítače. Řídící server může komunikovat skrze proxy servery, což ztěžuje jeho vysledování.

Škodlivý program poté zašifruje soubory na lokálních i vzdáleně namapovaných discích pomocí veřejného klíče a seznam zašifrovaných souborů uloží do registrů systému. Zašifrovány jsou pouze soubory s určitými příponami, například dokumenty z programu Microsoft Office, OpenDocument a další dokumenty, obrázky a videa. Program následně zobrazí zprávu informující uživatele, že soubory byly zašifrovány, a požaduje platbu 400 USD nebo EUR prostřednictvím anonymního předplaceného pokladního dokladu (tj. MoneyPak nebo Ukash), nebo ekvivalentní částku v Bitcoin (BTC), do 72 nebo 100 hodin (při startu 2 BTC, cena výkupného byla upravena až na 0,3 BTC, aby odrážela měnící se hodnotu Bitcoin), nebo bude soukromý klíč na serveru smazán. Zaplacení výkupného umožní uživateli stáhnout dešifrovací program obsahující příslušný privátní klíč. Někteří uživatelé tvrdí, že i po zaplacení výkupného soubory nebylo možné dešifrovat.

V listopadu 2013 provozovatelé CryptoLocker spustili on-line službu, která umožnila uživatelům dešifrovat své soubory bez stažení dešifrovacího programu. Proces vyžadoval nahrání jednoho vzorového zašifrovaného souboru pro nalezení příslušného privátního klíče. Jakmile je zjištěna shoda, uživatel je vyzván k zaplacení výkupného. Pokud výkupné není zaplaceno ve stanovené lhůtě, výkupné se zvýší.

Dopadení zločinců a obnova souborů
Dne 2. června 2014 americké ministerstvo spravedlnosti oficiálně oznámilo, že operace Tovar—skupina vyšetřovacích orgánů (včetně FBI a Interpol), dodavatelů bezpečnostního softwaru a několik univerzit, narušila síť botnetu Gameover ZeuS, která byla použita pro distribuci CryptoLocker a dalšího malwaru. Ministerstvo spravedlnosti také vydalo obvinění proti ruskému hackerovi Evgeniy Bogachevovi pro jeho údajnou účast ve zmíněné síti botnet.

V rámci operace holandská bezpečnostní společnost Fox-IT získala databázi privátních klíčů a spolupracující firma FireEye vytvořila online službu, která napadeným uživatelům umožnila na základě vzorového souboru najít privátní klíč a pomocí poskytnutého dešifrovacího programu soubory dešifrovat.

Zmírnění dopadů viru
Přestože je bezpečnostní software schopen detekovat tyto hrozby, mnohdy je CryptoLocker detekován až v průběhu nebo po dokončení šifrování souborů, zejména pokud je uvolněna nová verze škodlivého malwaru. Šifrování souborů trvá určitý čas, tudíž pokud je malware odhalen a odstraněn již v rané fázi, omezí se tím množství poškozených souborů. Společnost Symantec odhaduje, že 3 % infikovaných uživatelů se rozhodla zaplatit výkupné.