Конец эпохи CryptoLocker?

Компании Fox-IT (лаборатория InTELL) совместно с FireEye проанализировали ситуацию с шифровымогателем CryptoLocker, который активно начал распространяться с сентября 2013 года. По данным исследователей его распространение связано с зомби-сетью банковского троянца Gameover ZeuS, большая часть участников которой со временем была поражена CryptoLocker. Шифровальшик использовал алгоритм AES-256, ключ которого потом был зашифрован открытым ключом RSA-2048.

Следует отметить, что в России шифровальщики-вымогатели появились уже достаточно давно, и использовали для получения денег платные SMS. Причём они постепенно совершенствовали алгоритмы шифрования, постепенно переходя на всё более длинные ключи RSA. Характерно, что последние успешные вредоносы этого типа использовали именно RSA-2048 - все предыдущие версии этих вродоносов удавалось успешно расшифровывать российским антивирусным компаниям.

При этом эксперты Fox-IT указывают, что география распространения CryptoLocker охватывает в основном англоговорящие страны - США, Канаду, Великобританию и Австралию. Пик заражения приходится на октябрь 2013 года, когда за месяц было заражено 155 тыс. компьютеров по всему миру. После этого начального пика скорость распространения вредоноса ограничивалась 50 тыс. заражений в месяц - видимо, это предел для обработки платежей. Кроме того, увеличилась сумма выкупа - если в начале эпидемии речь шла о 100 долл., то уже к маю 2014 выкуп составлял около 500 долл. Точнее речь шла уже о биткоинах, где для каждой конкретной операции использовался уникальный адрес. По оценкам Fox-IT всего злоумышленники заработали с помощью шифровальщика около 1400 BTC, что по текущему курсу составляет около 700 тыс. долл. Всего же владельцы CryptoLocker за 9 месяцев заработали около 3 млн. долл. При этом по оценкам экспертов заплатило около 1,3% жертв - остальные предпочли потерять зашифрованные файлы или восстановили другим способом.

Сегодня же компания FireEye объявила о начале предоставления сервиса по расшифровке данных, зашифрованных ранее CryptoLocker. Причём сервис decryptcryptolocker.com является бесплатным для пользователей. Он позволяет получить ключ дешифрования, с помощью которого можно будет расшифровать "захваченные" вредоносом данные. Правда, не все варианты вредоноса удаётся расшифровать с помощью этого сервиса, тем не менее ограничить доходы криминального рынка этот сервис сможет.

Впрочем, по данным компании F-Secure вредонос продолжает совершенствоваться. В частности, компанией была обнаружена версия вредоноса, которая заражает сетевое хранилище SAN компании Synology. Вредонос, который был назван SynoLocker, проникает на устройство с помощью ошибки в его защите и шифрует все данные с помощью ключа, защищенного по алгоритму RSA-2048. Эксперты компании F-Secure рекомендуют обратиться к производителю для решения проблемы устройств, чтобы не попасть под действие данного вредоноса.

Оцените материал:
Total votes: 191
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.