Check Point заблокировала кибервымогателя Cryptolocker

Компания Check Point® Software Technologies Ltd. (Nasdaq: CHKP), мировой лидер в области обеспечения интернет-безопасности, сообщает о том, что группа аналитиков Check Point провела исследование активности вредоносного ПО Cryptolocker, случаи заражения которым в последнее время участились. В рамках анализа ученые создали специальную систему-ловушку (sinkhole), имитирующую работу центра управления (Command&Control Centre, C&C), чтобы изучить и оценить заражение в реальной среде. Анализ коммуникации инфицированных клиентов подтверждает, что количество жертв продолжает расти, причем большая часть пострадавших находится в США и Великобритании.

Исследование позволило создать интеллектуальные сигнатуры для программных блейдов Anti-Bot и Antivirus, которые затем были переданы в облачный сервис Check Point ThreatCloud. Эти сигнатуры блокируют коммуникации с серверами C&C, эффективно предотвращая умышленное шифрование данных хакерской программой. В результате за первые дни после создания сигнатур на этапе активного распространения зловредного ПО Check Point детектировала и остановила заражение Cryptolocker более чем в 50 организациях, сэкономив им до $500 000.

Подробности

Cryptolocker: активное развитие кибервымогательства (ransomware)

Cryptolocker представляет собой разновидность вредоносного ПО, известного как ransomware, или кибервымогательство. Его бурное распространение началось в сентябре 2013 года. Как и другие формы подобных программ-вымогателей, Cryptolocker устанавливается на компьютер жертвы и работает в фоновом режиме, шифруя разнообразные данные пользователя, при этом оставаясь незаметным для него. Известно, что Cryptolocker ищет и кодирует файлы следующих типов:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Завершив шифрование файлов, Cryptolocker сообщает пользователю, что его файлы были «взяты в заложники», и требует выкуп в пользу злоумышленников за ключ, который позволит их расшифровать. Размер выкупа обычно составляет от 300 Евро или $300 США, и увеличивается до 10 биткоинов (около $3 800), если пользователь не заплатит деньги сразу же. Далее в сообщении говорится, что в случае невыполнения пользователем требований срока оплаты (обычно не более 4 дней), ключ будет вовсе удален с серверов, и восстановление данных жертвы станет невозможным.

Следует отметить, что в настоящее время не существует альтернативного метода для восстановления доступа к зашифрованным файлам.

ThreatCloud блокирует C&C и помогает победить Cryptolocker

Важной особенностью Cryptolocker является необходимость вредоносного агента инициировать коммуникацию с центром управления (C&C) перед тем, как начать процесс шифрования файлов. Сразу после установления связи с C&C, сгенерированный сервером уникальный открытый ключ передается агенту для шифрования данных на компьютере пользователя.

Таким образом, самый эффективный способ борьбы с Cryptolocker – это обнаружение и блокировка изначальной коммуникации агента с сервером C&C, необходимой для запуска процесса шифрования. Cryptolocker использует алгоритм Domain Generation Algorithm (DGA) для поиска серверов C&C, с которыми можно настроить коммуникацию. В результате каждый день перебирается порядка 1 000 доменов, генерируемых и запрашиваемых образцами Cryptolocker.

Благодаря реверсивному алгоритму было возможно получить предварительно сгенерированные таблицы Cryptolocker DGA для каждого дня. В результате группа исследователей Check Point научилась предсказывать целевые ссылки URL серверов C&C, с которыми могут связываться агенты Cryptolocker. Это и позволило создать «умные сигнатуры» для блейдов Check Point Anti-Bot и Antivirus. Постоянно обновляясь для всех пользователей ThreatCloud, эта защита блокирует доступ к серверам C&C Cryptolocker и, таким образом, не позволяет запустить процедуру шифрования.

После появления такой защитной функции в ThreatCloud, статистика, собранная с различных шлюзов Check Point по всему миру, показала успешное блокирование сотен инцидентов с Cryptolocker в более чем 50 различных организациях, и все это без каких-либо обновлений или изменений со стороны администраторов.

Использование ловушек для слежения за Cryptolocker

Чтобы измерить масштаб и динамику распространения Cryptolocker в реальности, исследователи Check Point создали отдельный сервер в интернете и зарегистрировали несколько предварительно рассчитанных доменных имен, которые, как ожидалось, будут использоваться вредоносным ПО. Такой сервер-ловушка был использован для оценки масштабов заражения, и занялся подсчетом количества уникальных IP-адресов, подключавшихся к нему.

За два дня с 1 ноября и до конца 3 ноября с 3 021 уникального IP-адреса были посланы запросы к созданному Check Point серверу. За 24 часа в пятницу, 2 ноября, 2 300 уникальных адресов делали попытки обратиться к серверу-ловушке. Эта статистика демонстрирует значительный рост по сравнению с 2 700 заражениями, обнаруженными за двухдневный период с 15 по 17 октября аналитиками Лаборатории Касперского.

В диаграмме, приведенной ниже, продемонстрирован профиль распределения угроз по странам, к которым принадлежали IP-адреса, обращавшиеся к серверу-ловушке.

Диаграмма показывает, что вредоносное ПО главным образом распространяется в США, на которые приходится 76% уникальных инфекций. На втором месте по числу заражений Cryptolocker находится Великобритания, показавшая значительно меньше инфекций - 5%. Эти результаты во многом соответствуют данным из предыдущих отчетов, но также свидетельствуют о растущей скорости распространения угрозы.