Криптовымогатели
Криптовымогатели — вредоносное компьютерное программное обеспечение, используемое злоумышленниками в целях получения материальной выгоды от жертв. Вирусные программы блокируют нормальную работу компьютера и требуют внести оплату для получения кода разблокировки. Первая атака была осуществлена в 1989 году, в качестве вируса использовалась троянская программа «AIDS».[1]
История
История криптовирусного программного обеспечения начинается в 1989 году. Первая подобная программа получила название «AIDS».[2]
Суть работы программы заключалась в следующем: автор вредоносного программного обеспечения отправлял жертвам по почте зараженную дискету. Для создания списка предполагаемых жертв, автор использовал журнал PC Business Magazine. Вложенный в конверт буклет призывал получателей вставить дискету в компьютер и установить программный пакет. После установки, программа модифицировала файл autoexec.bat, вызывая перезагрузку системы. Она начинала шифровать жесткий диск пользователя после того, как система перегрузилась 90 раз. Отличительной особенностью данного вируса являлось то, что он не изменял содержимое файлов, а лишь менял их названия. Это приводило систему в непригодное состояние. Для того, чтобы удалить вирус с компьютера, жертвам предлагалось внести выкуп, размер которого зависел от версии программного обеспечения. Сумма выкупа варьировалась от $ 189 до $ 378. Абонентский ящик злоумышленника находился в Панаме.[2]
В декабре 2004 года появился новый вирус, под названием «Gpcode». Основной целью этого вируса были пользователи, занимающиеся бизнесом: агентства недвижимости, банки, страховые и рекламные компании. Антивирусные компании начали получать запросы от клиентов о том, что их файлы были зашифрованы. У пользователей не было возможности расшифровать файлы и найти антивирусную программу. Примечательно, что вирус был ориентирован на пользователей Российской Федерации и лишь немногие компании за пределами России сообщили об этой проблеме. Было несколько волн заражения программой «Gpcode». В самых первых версиях вредоносного ПО использовался самодельный алгоритм шифрования, который было не сложно рассекретить. С появлениями новых версий программы, этот алгоритм начал улучшаться. Следующая версия уже использовала алгоритм шифрования RSA, который является самым известным и, с другой стороны, самым безопасным общедоступным алгоритмом шифрования. Суть работы программы заключалась в следующем: Gp-код шифровал файлы открытым ключом, который сохранялся внутри самого вируса. В первой версии, длина ключа составляла 56 бит. С того времени эволюция шла довольно быстро. В последующих версиях длина ключа увеличивалась, так, в августе 2006 года длина составляла уже 67 бит. Чем длиннее ключ, тем труднее его взломать. Для «Gpcode.af», длина которого составляет 330 бит, взлом занял 10 часов. Способ взлома версии ключа «Gpcode.ag» остался коммерческой тайной. Выкуп, который запрашивала «Gpcode», также зависел от версии программного обеспечения. Сумма варьировалась от $ 20 до $ 70. Злоумышленники использовали онлайн-сервисы для приема платежей.[2]
В 2010 году появился вирус под названием WinLock. Данная вредоносная атака затронула в основном пользователей из России, Украины, Белоруссии и Молдовы. В отличие от «Gpcode», «WinLock» не использовал шифрование. Для того, чтобы привести системы пользователей в непригодное состояние, вредоносное программное обеспечение отключала некоторые компоненты Windows, а затем отображала порнографические баннеры на экране компьютера. Этот вирус повлек за собой десятки тысяч жертв, которые были вынуждены отправить SMS-сообщение, чтобы получить код разблокировки для своих компьютеров. Стоимость SMS-сообщений варьировалась от $ 10 до $ 35. Общая выручка мошенников составила 6 миллионов долларов всего за один месяц. В августе 2010 года преступная группировка была арестована.[2]
В 2011 году злоумышленники стали использовать продукт Windows для своих целей. Новый компьютерный вирус эмитировал уведомление об активации системы. Мошенники пытались притвориться компанией Microsoft. ПО выводило следующее сообщение на экране компьютера: «Эта копия Windows заблокирована. Возможно, вы являетесь жертвой мошенничества». Система была заблокирована до тех пор, пока не была выполнена повторная активация. В отличие от первоначальной активации Windows, вариант с онлайн-активацией был не доступен. Единственным вариантом для активации системы был звонок на один из 6 международных номеров, после чего жертва получала 6-значный код. Из-за высоких международных тарифов, такие звонки обходились очень дорого.[2]
Следующие несколько криптовирусных программ, созданных для целей вымогательства, появились в течение 2013 года и были уникальны по своей идее. Например, программа «Stamp.EK» распространялась через сайты на хостинговых сервисах SourceForge и GitHub.[2]
В марте 2013 года злоумышленники использовали в качестве шифратора — WinRAR. Нападению трояна под названием «ArchiveLock» подвергались пользователи из Франции и Испании.[2]
В июле 2013 года вирусные атаки коснулись и пользователей системы OS X. Программа отображала веб-страницу, которая обвиняла пользователей в скачивании порнографии.[2]
Ещё один вирус, созданный в 2013 году, который оставил след в истории криптовымогательства, называется «Cryp-toLocker». Принцип работы заключается в генерации 2048-битная пары открытого и закрытого ключей RSA, после чего на сервер загружается закрытый ключ. А открытый ключ используется для шифрования целевых файлов на основе белого списка расширений файлов. Для заражения компьютеров пользователей, мошенники доставляли вирус, как вложение к письму в электронной почте или в виде загружаемого диска. Осуществить взлом ПО для восстановления файлов было крайне сложно, из-за большого размера ключа. Для выкупа, злоумышленники использовали карту MoneyPak и биткойн-кошелёк.[2]
Принцип работы
Самый распространенный способ работы программы заключается в том, что злоумышленник генерирует пару ключей для криптосистемы с открытым ключом и помещает «открытый ключ шифрования» в криптовирус. Соответствующий «частный ключ дешифрования» остается закрытым. Криптовирус распространяется и заражает многие хост-системы. Он атакует хост-систему путем гибридного шифрования файлов жертвы: шифрование файлов локально генерируемым случайным симметричным ключом и шифрование этого ключа открытым ключом. Зашифрованный открытый ключ затем удерживается до получения выкупа. Далее, вирус уведомляет свою жертву о том, что произошла атака, и заявляет, что для восстановления исходных данных потребуется асимметричный шифрованный текст. Если жертва готова заплатить выкуп и передать асимметричный шифрованный текст автору вируса, автор вируса расшифровывает шифрованный текст с использованием закрытого ключа, который имеет только автор вируса. Он отправляет этот симметричный ключ жертве. Затем он используются для восстановления данных, которые были заражены. Важной задачей для злоумышленника является то, чтобы жертва не смогла восстановить данные из резервных копий.[1]
Ущерб
Криптовирусное программное обеспечение причиняет огромный вред и влечёт большие материальные убытки для людей и организаций по всему миру.[3]
Одним из примеров такого ущерба является случай в Голливудском пресвитерианском медицинском центре. Больнице пришлось заплатить 17 000 долларов за восстановление системы. Эта эффективная и вредоносная атака побудила принять новый закон в штате Калифорния, касающийся вымогательства.[3]
Другой пример касается всемирно-известного вируса «WannaCry», с помощью которого, начиная с мая 2017 года, было заблокировано более 200 000 компьютеров в более чем 150 странах. Атака использовала уязвимость, найденную в NSA.[3]
Необходимо отметить, что криптовымогательство также повлияло на популярную культуру, это можно заметить в сюжете технического триллера Барри Эйслера.[3]
Методы профилактики
Для того, чтобы минимизировать ущерб и предотвратить атаки криптовымогателей, пользователям рекомендуется:
- Своевременно обновлять операционную систему;
- Своевременно обновлять антивирусное ПО;
- Избегать недостоверных разработчиков ПО и неизвестных сайтов;
- Регулярно создавать резервные копии.[2]
См. также
Примечания
- ↑ 1 2 A. Young, Moti Yung. Cryptovirology: extortion-based security threats and countermeasures // Proceedings 1996 IEEE Symposium on Security and Privacy. — May 1996. — С. 129–140. — doi:10.1109/SECPRI.1996.502676.
- ↑ 1 2 3 4 5 6 7 8 9 10 ALEXEY KORSAKOV. [http://epublications.uef.fi/pub/urn_nbn_fi_uef-20141271/urn_nbn_fi_uef-20141271.pdf Cryptovirology and Malicious Software] . Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.
- ↑ 1 2 3 4 Adam L Young, Moti Yung. Cryptovirology: The Birth, Neglect, and Explosion of Ransomware | July 2017 | Communications of the ACM . cacm.acm.org. Дата обращения: 22 декабря 2017. Архивировано из оригинала 3 января 2018 года.