Здравствуй дорогой друг, гость или читатель этого блога!!! Далее Вашему вниманию предлагается продолжение предыдущей статьи, где рассказывается о последних новинках мошеннических вымогателях, как можно будет избежать попадания на удочку самих мошенников. И так поехали:
Сжатие файлов перед самим шифрованием
Ни один из ранее самых известных шифровальщиков здесь не использовали сами технологии сжатия ( только за исключением "ACCDFISA", где просто помещающего сами файлы в "запароленный rar-sfx архив", но и здесь и само шифрование,, и сжатие – это не сама функциональность, которая реализованная в зловреде, а просто здесь само использование готового продукта архива Rar). Trojan-"Ransom.Win32.Onion" и здесь постарался отличился. Он на примере действует приблизительно так:
- файл самой жертвы перемещается во временный файл с помощью "API-функции MoveFileEx";
- сам временный файл считывается с самого диска по блочно;
- каждый сам блок сжимается при здесь помощи свободно распространяемой библиотеки Zlib "(процедура deflate)";
- после самого сжатия сам блок шифруется и записывается на диск;
- в само начало готового файла здесь помещается служебная информация, которая в дальнейшем понадобится для её расшифровки;
- сам зашифрованный файл получает здесь расширение ".ctbl".
Нетипичная криптографическая схема
Наиболее самой распространенной среди всех шифровальщиков самой схемой является здесь связка самих алгоритмов "AES+RSA". При такой схеме сам сервер здесь генерирует пару самих ключей "rsa-public + rsa-private" дляэтого асимметричного алгоритма RSA. Секретный сам ключ "rsa-private" не покидает сервера, а сам rsa-public отправляется здесь зловреду. Затем сама вредоносная программа уже генерирует на каждый сам файл жертвы уже новый ключ aes-key для самого симметричного блочного алгоритма AES, и шифрует здесь файл с помощью AES, а затем шифрует и aes-key с самой помощью RSA "(ключом rsa-public)" и сохраняет его в файл. При такой этой схеме,и в соответствии со свойствами асимметричной криптографии, даже никто не в силах будет расшифровать данный файл без самого знания "rsa-private", который даже и не покидал самого сервера злоумышленников. Но сам "Trojan-Ransom.Win32.Onion" использовал самый нестандартный подход и здесь! В данном таком образце используется сам асимметричный криптографический протокол "ECDH – Elliptic curve Diffie–Hellman" («протокол "Диффи-Хеллмана" на самой эллиптической кривой»).
Протокол "Диффи-Хеллмана" на эллиптической кривой
Первоначальный сам алгоритм "Диффи-Хеллмана" (так называемый этот протокол разделения секрета) был придуман достаточно давно и он был опубликован в 1976 г. тогда знаменитыми криптографами Уитфилдом Диффи "(Whitfield Diffie)" и Мартином Хеллманом (Martin Hellman). Модификация данного этого алгоритма, которая использует эллиптические кривые, была предложена немного позже, в 2000 г., в самой статье Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography. Подробное само описание работы протокола здесь выходит за рамки этой данной публикации, поэтому абстрагируемся от самих подробностей и сформулируем самые основные тезисы, которые хоть немного помогут в самом понимании работы этого зловреда.
- Существует сама возможность с генерировать здесь пару ключей - (секретный (private) и открытый (public).))
- Из этого своего секретного и чужого открытого ключа можно будет с генерировать так называемый разделяемый (общий) секрет "(shared secret)".
- Если 2 абонента здесь обменялись открытыми ключами, то сами (секретные ключи не передаются!) и каждый независимо от другого вдруг вычислил разделяемый секрет из чужого открытого и своего секретного ключа, то у обоих получится одно и то же само значение.
- Полученный разделяемый этот секрет можно использовать как сам ключ для самого любого симметричного алгоритма шифрования.
Авторы Trojan-Ransom.Win32.Onion здесь использовали уже готовую реализацию данного этого криптографического алгоритма, где описание которой доступно в сети интернета.Высоко-уровневая криптографическая схема Trojan-Ransom.Win32.Onion выглядит здесь следующим образом. Генерация ключей:
- зловред здесь генерирует пару master-public -- (открытый ключ) + master-private (секретный ключ);
- master-private здесь вместе с другими данными в защищенном виде, который отправляется на сервер, а на клиенте не сохраняется это и есть сам (факт I);
- на каждый данный шифруемый файл генерируется здесь новая пара session-public + session-private;
- вычисляется здесь разделяемый секрет session-shared = ECDH(master-public, session-private).
Шифрование файла жертвы
- файл здесь сжимается при помощи самой библиотеки Zlib;
- после такого сжатия Zlib каждый сам файл шифруется алгоритмом AES, а в качестве самого ключа используется хэш SHA256(session-shared);
- после такого шифрования ключ session-public сохраняется в сам файл (факт II), а session-private не сохраняется (факт III);
- вычисленный разделяемый секрет session-shared здесь также не сохраняется (факт IV).
Расшифровка файла жертвы
По самим свойствам протокола Диффи-Хеллмана, верно следующее равенство: ECDH(master-public, session-private) = session-shared = ECDH(master-private, session-public) (факт V). Именно это равенство здесь и является самим принципом, лежащим в основе самой работы Trojan-Ransom.Win32.Onion. При условии, что сам троянец не сохранил session-private (см. факт III) и session-shared (см. факт IV), где остается всего 1 способ самой расшифровки – нужно будет вычислить (ECDH(master-private, session-public). Чтобы это сделать, здесь необходим ключ master-private который был (отправлен на сам сервер злоумышленников, см. факт I) и session-public (сохранен в самом начале зашифрованного файла, см. факт II). Других вариантов здесь не существует, то есть без самого знания master-private здесь просто не обойтись.
Защита соединения с командным сервером
Передаваемый на сам сервер ключ можно было бы и перехватить, но, к самому сожалению, это не даст здесь самой возможности расшифровать данные файлы жертвы. Дело здесь в том, что сами авторы зловреда здесь использовали для самой защиты своего трафика тот же самый асимметричный этот протокол ECDH, только с самым отдельным и специальным набором ключей.
- в теле самого зловреда содержится открытый сам ключ network-server-public;
- при установке самого соединения зловред уже генерирует здесь новую пару network-client-public + network-client-private;
- вырабатывает новый разделяемый секрет network-shared = ECDH(network-client-private, network-server-public);
- шифрует отправляемые сами данные алгоритмом AES с ключом SHA256 (network-shared);
- открытый данный ключ network-client-public отправляется на сам сервер в незащищенном виде (факт VI);
- оба таких клиентских ключа (network-client-public + network-client-private), равно как и данный общий секрет "network-shared", здесь не сохраняются (факт VII).
Злоумышленники имеют здесь ключ network-server-private и получают от самого клиента network-client-public(см. факт VI). В результате они с могут расшифровать полученные данные, уже самостоятельно вычислив network-shared = ECDH(network-client-public, network-server-private). Без самого знания network-server-private вычислить это само значение будет уже невозможно (см. факт VII). Поэтому, к самому сожалению, перехват здесь трафика не даст здесь возможности достать master-private, а без него расшифровать сами файлы жертвы не получится..
Распространение
Авторы самых первых версий "Trojan-Ransom.Win32.Onion" сперва нацеливали свое творение на англоязычных жертв, и единственным здесь поддерживаемым языком самого графического интерфейса такого зловреда был английский. Однако уже самые свежие образцы здесь получили не только сами косметические обновления (в самой частности, появился обратный отсчет времени, который , устрашает саму жертву), но и поддержку как самого английского, так и русского языков в самом графическом интерфейсе данного троянца. Этот сам факт, а также и некоторые строки внутри самого тела зловреда позволяют утверждать, что сами создатели данного вредоносного ПО являются здесь русскоязычными. Исследование самой схемы попадания "TrojanRansom.Win32.Onion"
на сами компьютеры жертв показало, что и тут этот данный троянец отличается от самого большинства действующих на сегодняшний день самих шифровальщиков. Для самых многих известных представителей "Ransomware" основные сами векторы распространения ‑ это есть сам спам-рассылка со зловредом в аттаче либо сам подбор слабых паролей и запуск самого файла через сами системы удаленного управления (remote administration).
на сами компьютеры жертв показало, что и тут этот данный троянец отличается от самого большинства действующих на сегодняшний день самих шифровальщиков. Для самых многих известных представителей "Ransomware" основные сами векторы распространения ‑ это есть сам спам-рассылка со зловредом в аттаче либо сам подбор слабых паролей и запуск самого файла через сами системы удаленного управления (remote administration).
Способ распространения
Лабораторией Касперскрго было обнаружено, что сам бот "Andromeda" (по самой классификации «ЛК» "Backdoor.Win32.Androm)" получает здесь команду загрузить и запустить на самой зараженной машине уже другой зловред из самого семейства "Email-Worm.Win32.Joleee". Тот, помимо самого своего основного функционала по данной рассылке почтового спама, здесь поддерживает и выполнение ряда самих команд от злоумышленников, в том самом числе и загрузку и сам запуск исполняемого файла. Как раз Joleee и скачивает здесь на зараженную машину самого шифровальщика. Таким вот образом, такой механизм самого распространения Trojan-Ransom.Win32.Onion можно здесь изобразить в виде следующей самой схемы.
Рис. 9. Схема самого распространения Trojan-Ransom.Win32.Onion
География самих заражений
Статистика самих заражений по состоянию на 20.07.2014 представлена немного ниже. Большинство попыток таких заражений зарегистрировано на самой территории стран СНГ, также были обнаружены единичные сами случаи и на территориях Германии, Болгарии, Израиля, ОАЭ и Ливии. География таких детектов Trojan-Ransom.Win32.Onion:
| Страна | Число атакованных пользователей |
| Россия | 24 |
| Украина | 19 |
| Казахстан | 7 |
| Белоруссия | 9 |
| Грузия | 1 |
| Германия | 1 |
| Болгария | 1 |
| Турция | 1 |
| ОАЕ | 1 |
| Ливия | 1 |
Отметим, также что выше приведены сами данные только по вердикту Trojan-Ransom.Win32.Onion. На самом же деле число самих пользователей,которые были атакованны самим шифровальщиком, намного больше, и поскольку при самом распространении данного этого зловреда здесь используются сами вредоносные упаковщики, и детектирование здесь этих упаковщиков происходит уже с другими вердиктами. Кроме всего того, что неизвестные здесь образцы самого шифровальщика детектируются самими продуктами «Лаборатории Касперского» проактивно как сам продукт PDM:Trojan.Win32.Generic. Эти сами данные в приведенную выше саму статистику здесь не входят.
Рекомендации по самому противодействию
Резервное копирование самых важных файлов
Резервное само копирование должно быть самым регулярным. Более всего того, что оно обязательно должно осуществляться на другой носитель,который недоступен в обычное время для самой записи с данной машины (например, на сам съемный носитель, который здесь отключается сразу же после самого бэкапа). Если пренебрегать этим требованием, то сами сохраненные резервные копии , тоже будут точно так же здесь зашифрованы самим зловредом, как и основная сама версия файла. Резервные сами копии необходимы в самой любой системе, в которой также имеются сами файлы хоть какой-то важности. Даже если бы и не было самой угрозы со стороны данного вредоносного ПО,то не стоит здесь забывать, что всегда возможен самый банальный отказ самого оборудования.
Защитные сами решения
Защитный продукт должен быть здесь постоянно включен, никакие его сами компоненты не должны быть приостановлены, и сам продукт должен иметь самые свежие базы. Продукты «Лаборатории Касперского» детектируют саму данную угрозу здесь сигнатурно с вердиктами "Trojan-Ransom.Win32.Onion.*, а самые неизвестные модификации – эвристически с вердиктом HEUR:Trojan.Win32.Generic и проактивно с вердиктом PDM:Trojan.Win32.Generic. Кроме всего того, в продуктах «Лаборатории Касперского» также применяется здесь сама технология противодействия шифрующему вредоносному ПО, которая способная защитить сами пользовательские данные даже от пока самых неизвестных шифровальщиков, которых и нет в сигнатурных и облачных базах. Принцип такой ее работы заключается в самом создании защищенных резервных самих копий этих персональных файлов в тот самый момент, когда к ним здесь пытается получить сам доступ подозрительная программа. Таким вот образом, даже если ваш файл будет здесь зашифрован, то решение автоматически постарается его восстановить. Для самого функционирования данной этой технологии в продукте должен быть активен здесь компонент «Мониторинг системы» (“System Watcher”).
Источник " Лаборатория Касперского"
Источник " Лаборатория Касперского"
Комментариев нет:
Отправить комментарий