Вирус шифровальщик данных на базе RSA-1024
04 Jul 2014 | Автор: dd |С сарафанной почтой, по высокоскоростным сетям передачи данных, пришла новость о новом вирусе, проникающем в систему и сканирующим файловую структуру и сетевые диски на наличие определенных файлов по маске расширений, т.е выискивает документы Microsoft Office, pdf, изображения и прочие, важные для конечного пользователя файлы.
После того, как документы найдены, зловред шифрует их, с использованием алгоритма ассимитричного шифрования RSA-1024 (Rivest-Shamir-Adleman), и выдает страницу, на которой это все описывается и предлагается занести денег на домики талантливым программистам. Конечная сумма варьируется в зависимости от количеств зашифрованных файлов.
Сам вирус прибывает в виде вложенного в электронное письмо файла, либо исполняемого (bat/cmd) или же архива, содержащего вроде бы офисные документы, а на самом деле являющегося скриптом js, запуск которых подгружает из интернета основное тело вируса, разворачивающегося в системе и выполняющего свою функцию шифровальщика. Также может приходить в виде самораспаковывающегося архива SFX. Но в любом случае – запуск вируса происходит от лица пользователя.
Файлы обычно приходит с заявлениями о налоговой просрочке или решении арбитражного суда, что вызывает панику и потенциальной жертвы и, как следствие, побыстрее открыть и просмотреть полученный файл.
Причем, надо заметить, что среди моих коллег уже были описаны случаи целевой атаки, т.е. сами электронные письма формировались на основе информации о компании и присылались как сообщения от контрагентов, что не вызывало никаких подозрений со стороны сотудников, осознававших проблему, только после открытия и запуска зловреда.
Судя по всему вирус является модернизированным вариантом вируса BitCrypt, использующим для шифрования консольный вариант вполне легальной программы AES Crypt. Эпидемия данного вируса была в начале этого года, хотя история шифрования данных уходит корнями в далекое прошлое систем еще на базе MS-DOS, когда резидентные вирусы не спеша, по мере работы системы, шифровали все данные на диске. Но если тогда это происходило, то что называется 4lulz, т.е ради самолюбования программистов создававших подобные вирусы, то в последние несколько лет, эта индустрия поставлена на коммерческие рельсы, т.ч. хакеры вместо удовлетворения деструктивных наклонностей, стараются получить вполне ощутимую финансовую прибыль.
К сожалению, антивирусные системы не в состоянии своевременно блокировать действие зловредов, т.к. апдейты баз выпускаются с опозданием, после получения исходных материалов для анализа, хотя системы предотвращения вторжения должны успевать блокировать подобные действия программ, выходящие за рамки обычно активности. Но к сожалению это происходит не всегда, поэтому первым уровнем защиты по-прежнему остается сам пользователь, который не должен открывать документы полученные из неизвестных источников, и, в эпоху разгула киберпреступности, подозрительно относится к любым файлам, полученным по открытым каналам электронной почты.
И естественно, по прежнему одним из основных методов защиты является своевременное резервирование данных, т.к расшифровать данные зашифрованные с помощью RSA-1024 без наличия секретного ключа, практически невозможно и единственное что возможно, попытаться воспользоваться утилитой расшифровки RakhniDecryptor от Касперского или полистать тему на форуме Dr.Web где организована отдельная тема с описанием всех известных шифровальщиков и возможных методов лечения последствий их действия.
У Dr.Web даже есть услуга дешифрации данных зашифрованных некоторыми зловредами. Но в случае целевой атаки, крайне высока вероятность того, что секретный ключ будет сформирован специально под данную задачу и будет отличаться от применяемых в системах дешифрации от антивирусных порталов.
Вирус шифровальщик данных на базе RSA-1024,Теги: вирусня
Автор:Алексей на 28 Mar 2015
Некоторые базы 1С можно восстановить!
[Reply]
anchous Reply:
March 28th, 2015 at 2:00 am
спасибо за эту, бесспорно, ценную информацию!
[Reply]