Киберпреступники довольно быстро осваивают все новые и новые виды мошенничества, включая вымогательство. Одной из наиболее распространенных атак является шифрование данных пользователя с выставлением требования о выкупе. Если данные для человека очень важны, он готов заплатить, лишь бы вернуть свою информацию. Однако заплатить — плохая идея, поскольку это не гарантирует расшифровку данных. Вместе с тем современное шифрующее вредоносное программное обеспечение (cryptomalware) использует устойчивое шифрование, так что данные достаточно сложно расшифровать, таким образом, жертва оказывается перед выбором — платить или потерять данные.

Безусловно, надежное антивирусное программное обеспечение, установленное на компьютере, будет реагировать на действия злоумышленников, но даже лучшие решения антивирусного ПО обнаруживают cryptomalware только после того, как оно начинает повреждать данные. То есть неизвестное вредоносное программное обеспечение в состоянии зашифровать файлы до того, как будет нейтрализовано.

Несмотря на то что различные варианты вредоносного программного обеспечения, шифрующего ваши файлы, известны уже более 10 лет, проблема все же не решена. Рассматриваемая разновидность вредоносного ПО актуальна и сегодня. Модель поведения данного вымогателя довольно проста — часть вашей информации, например файлы Word, Excel, файлы баз данных, шифруется, а расшифровку от вас требуют оплатить посредством сообщений SMS, электронных денег, пополнения баланса мобильного телефона через терминал и т. д.

Если ранее такое программное обеспечение распространялось через сайты «для взрослых» и сайты взломанного программного обеспечения, то сегодня рассылка писем идет адресно, вручную, через домены бесплатной почты. То есть мы наблюдаем качественное изменение. Да и атаки теперь в основном направлены на организации: им некогда ждать, нужно срочно, значит, вероятность оплаты возрастает.

Именно поэтому специалисты Kaspersky Lab разработали свою подсистему контр­мер против cryptomalware.

Угроза cryptomalware

Как правило, cryptomalware распространяется с помощью сообщений электронной почты с присоединенными файлами. Стоит отметить, что данная угроза возрастает. Все данные свидетельствуют о том, что число атак будет продолжать увеличиваться, потому что многие все еще готовы заплатить выкуп. Основным методом проникновения сегодня является электронная почта. Чаще всего это письма от имени банков или налоговой инспекции, в которых сообщается о задолженности либо срочной проверке регистрационных данных после сбоя.

Как правило, все они имеют вложения типа «акт.doc… … … … ….exe», «Благодарственное письмо.hta», «Документы.cab». Реже встречается проникновение шифровальщика через файлы взломанных программ или самораспаковывающиеся программы, скачанные из Интернет. Как правило, после шифрования вирус выдает сообщение о том, что файлы зашифрованы, и предлагает рекомендации по их дешифровке (имеются в виду методы оплаты). Большинство вирусов?шифровальщиков до обнаружения могут быть активны не более 5 дней, в среднем 3 дня, а потом заражение будет обнаруживаться большинством антивирусных программ.

По данным обзора http://www.cybersec.kent.ac.uk/Survey2.pdf, проведенного Междисци­пли­нарным научно-исследователь­ским центром кибер­безопасности в Кентском университете в феврале 2014 года, более 40% жертв Cryptolocker согласились заплатить. Кроме того, отчет Dell SecureWorks http://www.secureworks.com/cyber-threat-intelligence/threats/cryptolocker-ransomware/ показывает, что вредоносное программное обеспечение cryptomalware «загребает» до 30 млн долл. каждые 100 дней.

Кроме того, неспособность дешифровать файлы, зашифрованные современным вредоносным программным обеспечением, порождает дополнительную угрозу — ложные средства. Отчаявшиеся пользователи, потерявшие файлы, ищут в Интернете любое решение и иногда находят программное обеспечение, которое утверждает, что «расшифровывает» зашифрованные данные. В лучшем случае это надувательство, в худшем — заражение с помощью дополнительного вредоносного программного обеспечения.

Развитие вредоносного ПО для шифрования

С каждым годом методы шифрования становятся все более сложными. Первый представитель cryptomalware использовал алгоритм с симметричным ключом, то есть с тем же самым ключом для шифрования и дешифрации. В таком случае поврежденная информация могла быть успешно дешифрована. Затем киберпреступники начали реализовывать алгоритмы криптографии с асимметричным ключом, то есть использующие два отдельных ключа — публичный, чтобы зашифровать файлы, и приватный, необходимый для дешифрации. Одним из первых реальных криптографических алгоритмов с открытым ключом, который начали использовать злоумышленники, стал RSA (названный в честь Рона Ривеста, Ади Шамира и Леонарда Адлемена, которые первыми описали алгоритм). В 2008 году эксперты Kaspersky Lab сумели взломать 660?разрядный ключ RSA, используемый троянским GPCode, но скоро его авторы обновили ключ до 1024 разрядов, чтобы затруднить расшифровку.

Одним из новых и самых опасных представителей cryptomalware стал троянец Cryptolocker, также использующий алгоритм с открытым ключом. Обычно у жертвы есть не более 72 часов, чтобы заплатить выкуп, прежде чем закрытый ключ будет удален навсегда. Без этого ключа файлы дешифровать невозможно. Продукты Kaspersky Lab успешно обнаруживают это троянское программное обеспечение, но если система уже заражена, расшифровать информацию невозможно (см. экран).

 

Cryptolocker
Экран. Cryptolocker

Методы противодействия на основе Kaspersky Endpoint Security 10

Наиболее очевидным методом противодействия является запуск программ из «белого списка». Для этого необходимо воспользоваться функцией «Контроль запуска программ». Контроль запуска программ позволяет установить ограничения на запуск программ на клиентских компьютерах. При этом разрешения на запуск устанавливаются с помощью правил. При запуске проверяются:

  • категория, к которой относится программа;
  • учетная запись, от имени которой запускается программа;
  • правила, с помощью которых регулируется запуск программ данной категории для данной учетной записи.

Если есть хотя бы одно подходящее правило, разрешающее запуск программы, и нет запрещающих — запуск будет разрешен. Если разрешающих правил нет или для данной учетной записи одновременно есть правила, разрешающие и запрещающие запуск программ данной категории, запуск будет запрещен.

Категории программ

Категория программ — это набор условий и исключений, позволяющих идентифицировать программу или группу программ. Список отображается в контейнере «Управление программами», «Категории программы» и по умолчанию пуст. Новые категории создаются с помощью отдельного мастера и бывают трех видов.

  • Наполняемые вручную: условия для включения программ в категорию добавляются и изменяются только вручную.
  • Наполняемые автоматически из папки: администратор выбирает только каталог, в который будут помещаться исполняемые файлы программ для данной категории, а сервер администрирования по расписанию перепроверяет каталог, вычисляет контрольные суммы исполняемых файлов (MD5) и обновляет список условий в категории.
  • Наполняемые автоматически с компьютеров: администратор выбирает один или несколько управляемых компьютеров, а сервер администрирования автоматически заносит в категорию все исполняемые файлы, найденные на компьютере.

Таким образом, мы с вами можем создать список программного обеспечения, официально разрешенного для запуска в вашей организации.

Вместе с тем вы можете разрешить запуск программы на основе KL-категорий.

Условия на базе KL-категорий

Термин «KL-категория» означает, что принадлежность той или иной программы к категории определили специалисты «Лаборатории Касперского». На практике же нередко списка программного обеспечения, разрешенного в организации, увы, нет. И более того, если филиалы организации разбросаны территориально, то создание такого списка превращается в нетривиальную задачу.

Информация о том, какие программы к каким категориям относятся, является частью загружаемых баз. Поэтому, прежде чем создавать условия на основе KL-категорий, нужно, чтобы задача загрузки обновлений в хранилище выполнилась хотя бы один раз.

Каждый компьютер независимо проверяет соответствие запускаемых программ условиям, поэтому, если на разных компьютерах находятся разные версии баз, применение правил контроля запуска может иметь различный эффект. Кроме того, если для компьютера включено использование KSN, он будет пытаться получить самые свежие данные о принадлежности программы к KL-категориям в режиме реального времени. Специалисты «Лаборатории Каспер­ского», конечно же, не могут обработать абсолютно все исполняемые файлы в мире и приписать их к KL-категориям. Все некатегоризованные файлы автоматически относятся к KL-категории «Другие программы».

Естественно, вы спросите меня, что это нам дает. На самом деле ответ весьма прост.

Вы можете создать правило, в соответствии с которым будет разрешен запуск программного обеспечения всех KL-категорий, кроме категории «Другие программы». А так как вирус-шифровальщик не может быть отнесен ни к какой категории (антивирусное программное обеспечение о нем просто не знает), то при использовании такого правила данное ПО не будет запущено.

Но как быть, если у вас появилось какое-то программное обеспечение, которое не может быть отнесено к какой-либо программе? В таком случае вы можете использовать исключения из категории. Исключения задаются с помощью списка условий, таких же как и для включения в категорию. Программы, соответствующие хотя бы одному исключению, не будут включены в категорию. Если же пользователю нужно запустить какое-то программное обеспечение, которое попало под запрещающее правило, то можно генерировать событие «Жалоба на запрет запуска программы».

Событие «Жалоба на запрет запуска программы» регистрируется, когда пользователь отправляет запрос о разрешении запуска, и содержит текст самого запроса. Таким образом, событие содержит информацию о компьютере, имени пользователя и программе, использование которой требуется разрешить, то есть всю информацию, необходимую администратору для принятия решения.

Запросы от пользователей можно задействовать для внесения изменений в категории. Событие содержит всю важную информацию о заблокированном файле, включая контрольную сумму MD5. Администратор может использовать ссылку «Добавить файл в категорию», чтобы включить исполняемый файл в список условий либо в список исключений.

Таким образом вы сможете предотвратить запуск вредоносного шифровальщика.

Подсистема контрмер Kaspersky Lab Cryptomalware

Поскольку сегодня зачастую невозможно расшифровать файлы, зашифрованные современным кодом cryptomalware, наиболее эффективным является резервное копирование файлов. Вместе с тем общее резервное копирование, даже выполняемое регулярно, не всегда помогает. Именно поэтому специалисты Kaspersky Lab разработали альтернативный способ, основанный на System Watcher, http://www.kaspersky.com/images/Kaspersky_Lab_Whitepaper_System_Watcher_ENG.pdf.

Kaspersky System Watcher анализирует системные события, включая информацию о модификации файлов. В случае если регистрируется подозрительное приложение, которое пытается открыть персональные файлы пользователя, сразу же создается локальная защищенная резервная копия.

Если приложение, которое пытается выполнить изменения, является вредоносным, Kaspersky System Watcher автоматически отменяет незапрашиваемые изменения. Поэтому пользователь может ничего не знать о cryptomalware. Он будет всего лишь получать уведомления системы безопасности.

Соответственно, даже если недавно созданный вирус типа cryptomalware будет использовать уязвимость нулевого дня и сможет проникнуть через все системы обеспечения безопасности, он не сможет нанести ущерб, потому что любые изменения будут отменяться автоматически. Другими словами, подсистема борьбы с cryptomalware бережно хранит данные пользователя и останавливает косвенное финансирование киберпреступников. Данная технология (Kaspersky System Watcher) входит в состав как персональных, так и корпоративных продуктов «Лаборатории Касперского».