В конце марта прежде неизвестная программа-вымогатель под названием CryptXXX начала привлекать повышенное внимание. Несмотря на красноречивые три «икса», этот зловред не имеет никакого отношения ко «взрослой» тематике… Однако выкуп он требует действительно «по-взрослому» — $500 в биткойнах. Злоумышленники заявили, что в CryptXXX используется мощный алгоритм шифрования, однако «Лаборатория Касперского» уже нашла на него управу.
Жадность…
CryptXXX распространяется пресловутым набором эксплойтов Angler. Он добавляет расширение .crypt ко всем зашифрованным файлам, чем сразу выдаёт себя, и сбрасывает три файла — de_crypt_readme.bmp (файл изображения), de_crypt_readme.txt и de_crypt_readme.html. Эти файлы, как правило, содержат запугивающие сообщения вида «все ваши файлы принадлежат нам» и инструкции о том, как связаться с преступниками и заплатить выкуп. Жертв уведомляют о том, что используется алгоритм шифрования RSA4096 (очень сильный), так что следует оставить всякую надежду — и послушно раскошелиться. Жертвам даже присваивают личные идентификаторы и направляют на страницу «техподдержки», где собраны ссылки на ресурсы, где можно приобрести биткойны, если у таковых у жертв не водится.
Интересно, что процесс шифрования сам по себе не запускается мгновенно. Шифратор «берётся за дело» в течение каких-нибудь двух часов после изначального заражения, чтобы пользователи не узнали, какой сайт «подбросил» им CryptXXX. Также стоит отметить, что CryptXXX не только шифрует файлы, но и крадёт биткойны, хранящиеся на жёстких дисках жертв и копирует прочие данные, которые могут сгодиться таким жадным ребятам, как киберпреступники.
…сгубила
RSA4096 — это серьёзно. Но в случае с CryptXXX оказалось, что злоумышленники просто бахвалились. Со своей стороны мы подготовили дешифратор — утилиту RannohDecryptor, которая первоначально создавалась для расшифровки файлов, пострадавших от программы-вымогателя Rannoh, но может использоваться и для взлома CryptXXX.
Троянец CryptXXX шифрует файлы, и ворует информацию. Но у нас есть от него лекарство! https://t.co/amzmJ8TBQU pic.twitter.com/Tt0b2wyxxy
— Kaspersky (@Kaspersky_ru) April 26, 2016
Как вылечиться
Для восстановления файлов, однако, требуется по крайней мере один оригинальный (незашифрованный) файл. Если у вас есть резервные копии нескольких таких файлов, то это поможет.
Затем надо сделать следующее:
- Загрузите утилиту и запустите её.
- Откройте настройки и выберите типы дисков (съёмные, сетевые или жёсткий диск) для сканирования. Не выбирайте опцию «Удалить зашифрованные файлы после расшифровки», пока не будете на 100% уверены, что расшифрованные файлы должным образом читаются.
- Нажмите ссылку «Начать сканирование» и выберите место хранения зашифрованного .crypt-файла (того самого, которого у вас есть незашифрованная копия). Затем утилита запросит исходный файл. После этого RannohDecryptor начнёт поиск всех других файлов с расширением .crypt и попытается расшифровать все файлы размером меньше вашего оригинала. Чем больше файл, который вы скормите утилите, тем больше файлов будет расшифровано.
Стоит отметить, что пользователи продуктов «Лаборатории Касперского» защищены от атак со стороны Angler благодаря технологии автоматического блокирования эксплойтов (Automatic Exploit Prevention).
И как предотвратить
По большей части, программы-вымогатели представляют собой проблему для конечного пользователя. Однако предприятиям тоже достаётся, и достаётся весьма крепко. Особенно рискуют малые компании, где каждый работник «сам себе админ», а внешний эксперт может быть ещё не по карману. Успешная атака вымогателя может начисто вывести компанию из бизнеса.
Кроме того, на горизонте появилась новая угроза: уже выявлен шифратор серверного уровня (о нём мы расскажем в ближайшее время) с большим количеством ставших жертвами субъектов.
Некоторые штаммы программ-вымогателей поддаются расшифровке, но там, где CryptXXX и некоторые другие терпят неудачу, успеха добиваются более продвинутые и опасные виды наподобие Teslacrypt. И невозможно предсказать, с чем придётся завтра иметь дело. Правильным подходом в данном случае является профилактика, а не восстановление.
Нижеследующие правила самые основные, зато наиболее эффективные:
- Регулярно делайте резервные копии.
- Не стесняйтесь устанавливать все критические обновления для ОС и браузеров. Angler и другие наборы эксплойтов, применяющиеся для доставки крипторов, используют для загрузки и установки вымогателей уязвимости в программном обеспечении.
- Установите надёжное защитное решение. «Лаборатория Касперского» предлагает несколько продуктов, разработанных для нужд компаний любого размера, обеспечивая необходимую многоуровневую защиту от известных и неизвестных угроз.
Кроме того, мы рекомендуем вам ознакомиться с новой колонкой руководителя Центра глобальных исследований и анализа Kaspersky Lab USA Райана Нарайна, который рассказывает, как организации могут избежать незавидной судьбы жертв программ-вымогателей.