Cryptolocker и его последствия для бизнеса

«Еле отделался от Cryptolocker…» — cообщения вроде этого периодически всплывают на Reddit и в других соцмедиа, хотя большинство из них куда менее оптимистичны. В программах-вымогателях нет ничего нового, но за

«Еле отделался от Cryptolocker…» — cообщения вроде этого периодически всплывают на Reddit и в других соцмедиа, хотя большинство из них куда менее оптимистичны. В программах-вымогателях нет ничего нового, но за последние несколько лет они превратились из относительно редкой проблемы в постоянный повод для беспокойства. Распространение одного конкретного штамма — Cryptolocker – приобрело размах эпидемии. Спустя год две по-настоящему большие ветви обсуждения (1, 2) со всеми известными данными о Cryptolocker были собраны и структурированы. Там этого много и всплывает ещё больше в ответ на простой поисковый запрос.

Несмотря на то, что Cryptolocker появился лишь где-то в сентябре 2013 года, он сразу же стал почти синонимом «программы-вымогателя» вообще. Cryptolocker оказался чрезвычайно плодовит, агрессивен и разрушителен. Оценки количества заражений разнятся, но можно с уверенностью предположить пяти- и шестизначные числа. И при всём том, что жертвам Cryptolocker всегда рекомендовали не платить, даже те 1,3%, которые, по-видимому, раскошелились, обеспечили, в общей сложности, семи- и восьмизначные суммы доходов операторам Crypto. В числе жертв оказались как предприятия, так и частные лица. Для последних потеря данных из-за шифровального вымогателя является драмой, а для бизнеса может грозить полным провалом и потерей всего. Особенно, если не было резервного копирования, или оно осуществлялось на том же сервере, который был инфицирован. С Crypto выходит так, будто и вовсе не было никаких резервных копий.

Судя по всему, это зловредная программа. Вектор атаки нисколько не уникален: Cryptolocker проникает в систему через фишинговые письма с вредоносным вложением (у вредоносов не так много других способов попасть в систему). Также хорошо известно, что его подсаживали непосредственно в системы, захваченные ботнетом Gameover ZeuS. Этот ботнет был ликвидирован в прошлом году благодаря крупномасштабной операции Tovar, имевшей приятные последствия для жертв Crypto. Тем не менее, атаки продолжаются как со стороны оригинального Cryptolocker, так и со стороны его более развитых сородичей.

Пробравшись в систему, Cryptolocker тайком расселяется по локальным жестким дискам, подключенным сетевым дискам и, по-видимому, не только там:


(Перевод: @dropbox_support Пожалуйста, помогите как можно скорее, наш Dropbox зашифрован вирусом Cryptolocker!!! Мы в нем ведём весь наш бизнес!! 
— Лиза Кернс (@LizaKearns) 3 декабря 2014).

Изначально Cryptolocker удавалось обходить передовые решения безопасности и контроль учётных записей пользователей Windows, так что изумленные ИТ-специалисты иногда обнаруживали атаки только после нанесения ущерба. Из-за своих технических особенностей сам Cryptolocker имел очень ограниченную область действия, шифруя только какие-то неочевидные диски в сети. Хуже, если Cryptolocker никак себя не проявляет, или если его «проявление» упустили, как в этом случае, когда файлы PDF и Word были зашифрованы за недели до того, как это выяснилось. В данном примере Cryptolocker уничтожил данные за семь лет.

Шифрование, конечно, занимает какое-то время. Если его не прекратить путём включения питания заражённой системы (заражённых систем), оно будет успешно завершено. И тогда поступит предложение, от которого невозможно отказаться: «Кошелёк или смерть».

«Смерть» тут — ни в коем случае не преувеличение. В зависимости от объёмов и ценности зашифрованных файлов инцидент потенциально способен полностью подорвать бизнес. Представьте себе инженерное или архитектурное бюро с зашифрованными Cryptolocker жизненно важными файлами DWG, на создание которых ушли годы упорной работы.

Компании вроде этой, возможно, и рады будут заплатить, даже если предприятиям выставляют суммы за расшифровку крупнее, чем отдельным пользователям. По той самой причине, что на кону — само выживание бизнеса, даже если нет никакой гарантии получения ключа, как это бывает в случае с оффлайновыми вымогателями и шантажистами. Конечно, есть все основания полагать, что дешифратор, предоставленный «компанией» операторов Cryptolocker после выкупа, может нанести дополнительный урон.

Жертвам предлагается оплатить биткойнами в течение 72-100 часов, в противном случае ключ шифрования будет уничтожен. Есть также свидетельства того, что по истечении первых 72 часов ключ не удаляется, зато требуемая сумма в биткойнах увеличивается впятеро. Как отдельные пользователи, так и предприятия оказываются перед крайне неприятным выбором: либо потерять данные, либо подчиниться требованиям злоумышленника.

Как и в случае любой другой разрушительной вредоносной программы (помните эти ранние вирусы и черви, которые могли стереть все данные на жестком диске?), единственный способ компенсировать потери — восстановить данные из «холодильника», то есть с оффлайнового устройства резервного копирования. Шифратору для работы требуется вычислительная мощность, поэтому данные в автономном хранилище находятся в безопасности, даже если туда тоже проникла вредоносная программа. После извлечения резервной копии легче обнаружить и убить шифрующую вредоносную программу. Но это означает, что бизнес должен иметь соответствующие возможности и выполнять резервное копирование на регулярной основе, предпочтительно автоматически. И не следует забывать о паролях для этих резервных копий.

Одна из наиболее странных ситуаций, на которые я натыкался, была сагой из трёх частей (1, 2, 3) о бухгалтерской фирме, пострадавшей от Cryptolocker.Технический специалист почистил сервер, так как располагал резервными копиями в Carbonite. Но он решил использовать собственный ключ вместо того, чтобы разрешить Carbonite распоряжаться этим. Предположительно, он так поступил в целях обеспечения дополнительной безопасности, но забыл пароль.

«По-настоящему поражает…, сколько раз он налажал», — пишет автор поста. Упомянутый выше специалист не остановился на этом и нанёс ещё больший ущерб: «…Он удалил все резервные копии в Carbonite, снёс сам Carbonite, забыл пароль и не смог установить всё обратно». После этого он пропал без вести и перестал отвечать на телефон.

Автор поста сделал попытку восстановить пароль к резервным копиям Carbonite при помощи Hashcat, но, если судить по отсутствию сообщений о достигнутом успехе, ничего у него не вышло.

«Крылья» Cryptolocker сильно подрезали в середине 2014 года, когда был ликвидирован ботнет GameOver ZeuS, который его распространял. Была добыта база данных с ключами шифрования (они всё ещё хранились!), и запущен бесплатный сервис, призванный помочь людям восстановить доступ к своим файлам, зашифрованным Cryptolocker. Кстати, драма с семью годами работы, едва не пошедшими коту под хвост, благополучно завершилась благодаря этому сервису.

Тем не менее, существует еще много других шифровщиков-вымогателей, еще более пакостных, опасных, и трудноизлечимых. А предприятия до сих пор, кажется, не в состоянии справиться с более старыми версиями Cryptolocker:

(Перевод: Слышал про ИТ-сеть, пострадавшую от Cryptolocker. Без резервного копирования, предыдущие версии отключены, дерьмо с #security и т.д. А вы цените свой бизнес? — Стюарт Кинг (@Lanarkshire_IT) 1 октября 2014).

С другой стороны, Cryptolocker привлек к себе повышенное внимание, поэтому предприятия теперь относятся к шифровщикам-вымогателям куда серьезнее прежнего. Это похоже на парадоксальное, но всё же благоприятное последствие эпидемии Cryptolocker.

Советы