ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Journal influence

Higher Attestation Commission (VAK) - К1 quartile
Russian Science Citation Index (RSCI)

Bookmark

Next issue

4
Publication date:
09 December 2024

The analysis of activity and development trends of malicious programs “file locker-encoder” type

Date of submission article: 21.12.2015
UDC: 004.491.42
The article was published in issue no. № 2, 2016 [ pp. 77-82 ]
Abstract:All companies engaged in development of anti-virus software noted that since the middle of 2013 there has been a burst of malware infection of computers. These malicious programs cipher user information. Thus, they are the most dangerous type of malicious programs of Ransomware class (extortioner programs). These programs not only block access to a computer for victims, but also block users’ access to files using various enciphering algorithms. Usually such malicious programs cipher popular types of the user files, which can be of a certain value: documents, spreadsheets, database files, photos, video and audio files, etc. To encrypt files the user is offered to pay ransom by means of some Internet payment services or cryptocurrency (usually bitcoins). The first versions of such malicious programs appeared in 2006–2007. However, at that time these programs used nonresistant enciphering algorithms, a small size of enciphering keys and extremely inefficient distribution methods. Therefore, they weren't widely distributed. Modern malicious programs do not have these shortcomings. They use quite resistant enciphering algorithms (AES or RSA), rather big size of enciphering keys and effective infection methods (infected web pages and malicious spam e-mails). The paper describes the main tendencies of such programs development on the basis of the analysis of several most widespread types of malicious programs. It also offers possible ways of eliminating consequences of their activity.
Аннотация:Все компании, занимающиеся разработкой антивирусного ПО, отметили, что с середины 2013 года наблюдается всплеск заражений компьютеров вредоносными программами, шифрующими пользовательскую информацию, – наиболее опасной разновидностью вредоносных программ класса Ransomware (программ-вымогателей). Программы такого рода не просто блокируют доступ жертвам к компьютеру, но и с помощью различных алгоритмов шифрования блокируют доступ пользователя к файлам. Как правило, такие вредоносные программы шифруют популярные типы пользовательских файлов, которые могут представлять определенную ценность: документы, электронные таблицы, файлы БД, фотографии, видео- и аудиофайлы и т.д. Для расшифровки файлов пользователю предлагается заплатить выкуп с помощью каких-либо сервисов интернет-платежей или криптовалюты (обычно с помощью биткойнов). Первые версии таких вредоносных программ появились еще в 2006–2007 годах, однако тогда эти вредоносные программы использовали нестойкие алгоритмы шифрования, малый размер ключа шифрования, а также крайне неэффективные методы заражения компьютеров и поэтому не получили широкого распространения. Современные вредоносные программы такого рода лишены этих недостатков, используют весьма стойкие алгоритмы шифрования (AES или RSA), достаточно большой размер ключей шифрования и эффективные методы распространения (с помощью зараженных веб-страниц и вредоносных спам-рассылок по электронной почте). В статье на основе анализа нескольких наиболее распространенных представителей этого класса вредоносных программ показаны основные тенденции развития такого рода программ, предложены возможные пути устранения последствий их деятельности.
Authors: Drobotun E.B. (drobotun@xakep.ru) - Military Academy of the Aerospace Defense (Doctoral Student), Tver, Russia, Ph.D
Keywords: virology, computer virus, cyberextortion, cipher, malicious program
Page views: 13329
Print version
Full issue in PDF (7.11Mb)
Download the cover in PDF (0.37Мб)

Font size:       Font:

Первые сообщения о появлении нового семейства вредоносных программ, шифрующих файлы пользователей и требующих выкупа за их расшифровку, датируются 2006–2007 годами. Однако на тот момент в силу различных причин (неотработанность каналов распространения создателями таких программ, несовершенство реализации алгоритмов шифрования и способов оплаты выкупа и т.п.) количество заражений этими вредоносными программами было относительно невелико.

Массовый характер заражения такого типа стали приобретать с 3-го квартала 2013 года, а за 2014 год, по данным Лаборатории Касперского, было зарегистрировано свыше 7 млн атак на пользователей с помощью таких программ (рис. 1) [1].

Всеми антивирусными компаниями также отме- чен значительный рост числа модификаций вредоносных программ в период с 2013 по 2015 годы. Так, например, по данным Лаборатории Касперского, за это время число модификаций таких программ возросло более чем в десять раз (рис. 2) [2].

При этом, если первоначально все вредоносные программы такого рода разрабатывались исключительно для функционирования под операционными системами семейства Windows, то в дальнейшем, начиная с середины 2014 года, появились модификации этих программ для смартфонов и планшетных компьютеров под управлением операционной системы Android, а в конце 2015 года было зафик- сировано появление нескольких образцов вредоносных программ-шифровальщиков для компьютеров под управлением операционных систем семейства Linux [2].

Тем не менее, в силу меньшей распространенности и некоторых особенностей функционирования других операционных систем подавляющее большинство случаев заражения вредоносными программами-шифровальщиками (порядка 98 %) приходится на компьютеры под управлением операционных систем семейства Windows.

Первое время основным каналом распространения таких вредоносных программ были спам-рассылки с вредоносными вложениями, маскирующимися под какие-либо документы (финансовые отчеты, банковские выписки по счетам, отчеты от служб доставки и т.п.) [3– 5].

В начале 2014 года к каналу распространения посредством вредоносных спам-рассылок добавился канал распространения с помощью заражения популярных и часто посещаемых веб-страниц так называемыми наборами эксплойтов (эксплойт-паками) [3]. Их работа основана на использовании уязвимостей в ПО, установленном на компьютерах потенциальных жертв. Наиболее часто для распространения этих вредоносных программ используются наборы эксплойтов под названием Angler EK, Sweet Orange EK и Nuclear EK [5, 6].

Общая схема работы вредоносных программ-шифровальщиков показана на рисунке 3. После проникновения на компьютер потенциальной жертвы вредоносная программа записывает себя на жесткий диск компьютера, для обеспечения своего запуска при старте системы создает ключ автозагрузки в реестре, после чего производятся поиск нужных файлов и их шифрование. Далее устанавливается связь с командным центром. После всего этого программа оповещает жертву о том, что определенные файлы на компьютере зашифрованы, и требует произвести оплату за их расшифровку. Для оплаты, как правило, предлагается воспользоваться каким-либо сервисом интернет-платежей или какой-либо криптовалютой (в основном – биткойнами). После подтверждения факта оплаты производится расшифровка файлов.

Наибольшую активность с середины 2013 года и по настоящее время проявляли семь видов вредоносных программ-шифровальщиков файлов, заражающих компьютеры под управлением операционных систем семейства Windows (табл. 1) [2, 3, 6, 7].

Таблица 1

Вредоносные программы типа «блокиратор-шифровальщик файлов», проявившие наибольшую активность с середины 2013 г. по настоящее время

Table 1

The most aggressive malicious programs of “file locker-encoder” type from the middle of 2013 to the present time

№ п/п

Название семейства вредоносных программ

общее

по классификации Лаборатории Касперского

1

DyrCrypt (Dirty)

Trojan-Ransom.Win32.Dircrypt

2

CryptoLocker

Trojan-Ransom.Win32.Blocker

3

CryptoWall

Trojan-Ransom.Win32.Blocker

4

Critroni (CTB-Locker)

Trojan-Ransom.Win32.Onion

5

TorrentLocker

Trojan-Ransom.Win32.Rack

6

TorLocker

Trojan-Ransom.Win32.Scraper

7

TeslaCrypt (AlphaCrypt)

Trojan-Ransom.Win32.Bitman

Общая хронология появления этих семи вредоносных программ показана на рисунке 4 [1, 3, 6].

Далее кратко описаны результаты исследования отдельных представителей каждого из семейств вредоносных программ, перечисленных в таблице 1 (результаты исследования в полном объеме изложены в статье «Исследование и анализ кода наиболее популярных вредоносных программ типа «бло- киратор-шифровальщик файлов» в электронном журнале «Программные продукты, системы и алгоритмы» на сайте www.swsys-web.ru).

Поиск и выбор файлов для шифрования. В большинстве случаев для шифрования выбираются файлы наиболее популярных форматов офисных документов (*.pdf, *.docx, *.docm, *.xls, *.xlsx, *.xlsm) и файлы изображений (*.jpg, *.jpeg, *.png). Вредоносные программы более поздних модификаций (CryptoWall, Critroni, TorLocker), помимо этого, шифруют файлы проектов различных сред разработки ПО, а программа TorrentLocker еще и файлы широко распространенной в РФ бухгал- терской программы 1С, что может парализовать работу многих организаций [6–10]. Некоторые модификации вредоносной программы TeslaCrypt шифруют файлы, относящиеся к отдельным популярным компьютерным играм (файлы с сохраненными пройденными уровнями, пользовательские профили и т.п.) [7, 11]. Как правило, во всех вредоносных программах поиск файлов с нужным расширением реализован с помощью стандартных API-функций Windows – FindFirstFail и FindNextFile.

Шифрование файлов. Во всех исследованных вредоносных программах применяются стойкие криптографические алгоритмы (табл. 2). В большинстве случаев используются алгоритмы, основанные на комбинации симметричного алгоритма шифрования AES (с его помощью шифруется сам файл) и асимметричного алгоритма RSA или ECDH (шифрует AES-ключ, которым были зашифрованы файлы). Такая схема шифрования применяется во вредоносных программах CryptoLocker, Critroni, TorrentLocker, TorLocker, TeslaCrypt [10–15]. Вредоносная программа CryptoWall использует асимметричный алгоритм RSA с длиной ключа 2048 бит для шифрования всего файла, при этом из-за большой ресурсоемкости данного алгоритма существенно замедляется работа зараженного компьютера, что может служить косвенным подтверждением заражения этой вредоносной программой [16]. В программе DyrCrypt при реализации функций шифрования файлов допущена ошибка, в связи с чем, несмотря на использование стойкого алгоритма RSA-1024 для шифрования первых 1024 байт файла, возможно восстановление зашифрованных файлов [17].

Для реализации алгоритмов шифрования используется либо стандартная библиотека Windows CryptoAPI (вредоносные программы CryptoLocker, CryptoWall, TorLocker), либо сторонние библиотеки (TorrentLocker, TeslaCrypt), либо собственная реализация криптографических алгоритмов (DyrCrypt, Critroni).

Связь с командным центром. Для отслеживания факта оплаты выкупа и обеспечения расшифровки файлов после оплаты создатели вредоносных программ-шифровальщиков файлов организуют сеть командных центров (C&C-серверов) в сети Интернет. Вредоносные программы в ходе своей деятельности периодически осуществляют связь с этими C&C-серверами и обмениваются с ними необходимой информацией. При этом доменные имена этих командных центров могут либо генерироваться самой вредоносной программой с помощью различных алгоритмов (DirCrypt, Cripto­Locker) [9, 12, 17], либо быть прописаны непосредственно в теле самой программы (CryptoWall, Critroni, TorrentLocker, TorLocker, TeslaCrypt) [11, 13, 15, 18–20]. Сами командные центры при этом могут находиться как в открытом сегменте сети Интернет, так и в закрытой доменной зоне .onion и использовать для связи возможности анонимной сети Tor. Детали реализации обеспечения связи с C&C-серверами показаны в таблице 3.

Приемы, затрудняющие обнаружение и удаление вредоносной программы в зараженной системе. В большинстве случаев во вредоносных программах такого рода реализовано блокирование остановки функционирования рабочего процесса вредоносной программы различными способами (табл. 4).

 

Помимо этого, во вредоносной программе DirCrypt для затруднения анализа используется шифрование всех текстовых строк в теле программы [8, 17], в программе CryptoWall версии 2.0 производится проверка на наличие запуска программы в виртуальной среде [16], в программе TorrentLocker – проверка наличия виртуального окружения [10, 12, 20], а во вредоносной программе TorLocker код программы упакован упаковщиком UPX и в коде программы имеется большое количество ничего не значащих («висячих») команд [15].

Наиболее сложным образом скрытие программы от обнаружения и удаление реализованы во вредоносной программе CryptoWall. Для этого используются ложный процесс explorer.exe и внедрение вредоносного кода в системный процесс svchost.exe [16, 18].

На основании результатов исследования и анализа представленных наиболее распространенных и наиболее характерных образцов вредоносных программ типа «блокиратор-шифровальщик файлов» можно сделать следующие выводы:

-      угроза заражения программами данного типа и риск потерять важную информацию по-прежнему актуальны;

-      вектор возможных атак вредоносными про­граммами-шифровальщиками сместился от рас-пространения этих программ с помощью спам-рассылок в сторону их распространения с помощью зараженных веб-страниц, что повышает вероятность заражения;

-      большинство вредоносных программ этого типа непрерывно совершенствуются, и в самых последних их версиях используются весьма стойкие криптографические алгоритмы, не позволяющие расшифровать зашифрованные файлы без знания ключа расшифровки;

-      использование для связи с командными цен- трами анонимных сетей (tor или I2P), а также крип- товалюты биткойн в качестве инструмента оплаты выкупа позволяет почтии гарантированно обеспечить анонимность злоумышленников и делает очень сложным привлечение их к ответственности;

-      применение различных приемов, затрудня- ющих обнаружение и анализ этих программ, в некоторых случаях позволяет вредоносной программе скрыто осуществлять свою деятельность;

-      обнаружение таких вредоносных программ в большинстве случаев возможно только сигнатурным поиском (поскольку выполняемые ими действия характерны не только для вредоносных, но и для некоторых других легитимных программ).

Таким образом, исходя из вышеперечисленного, основные усилия при борьбе с вредоносными программами такого рода предлагается сосредоточить, во-первых, на создании условий, в которых программа-шифровальщик не сможет осуществлять свою деятельность, во-вторых, на обеспечении резервного копирования критичной информации и своевременного ее восстановления из сохраненных копий.

Этого можно достичь, выполняя следующие мероприятия:

-      своевременное обновление антивирусных баз;

-      контроль за сетевыми подключениями и разрешение сетевого обмена только ограниченному числу доверенных программ (поскольку некоторые программы-шифровальщики начинают шифрование только после установления связи с командным центром);

-      присвоение атрибута «только для чтения» файлам, изменение которых не предусмотрено в процессе работы (фотографии, аудио-, видеозаписи, документы в формате pdf и т.д.);

-      организация резервного копирования с использованием какого-либо средства, не входящего в состав операционной системы (поскольку некоторые вредоносные программы могут удалять теневые резервные копии и точки восстановления системы).

Кроме того, необходимы настройка прав доступа к резервным копиям только для программ резервного копирования (для исключения возможного зашифровывания файлов резервных копий) и к сетевым каталогам и дискам (поскольку многие вредоносные программы могут шифровать файлы на сетевых носителях), а также настройка оптимальных параметров системы резервного копирования (период копирования, файлы, подлежащие резервному копированию, время хранения резервных копий и т.п.).

Литература

1.     Семенченко А. Файлы под «ключ». Эволюция шифровальщиков и ошибки пользователей // Securelist – все об интернет-безопасности. 2015. URL: http://www.securelist.ru/analysis/obzor/25191/fajly-pod-klyuch/ (дата обращения: 21.09.2015).

2.     Kaspersky Security Bulletin 2015. Основная статистика за 2015 год. 2016. URL: http://www.securelist.ru/files2015/12/ KSB_2015_Stats_FINAL_RU.pdf (дата обращения: 15.01.2016).

3.     Вредоносная реклама и атаки «нулевого дня»: старые угрозы подрывают доверие к цепочкам поставок и проверенным практикам // Обзор безопасности компании TrendLabs за 1-й квартал 2015 г. TrendMicroIncorporated. URL: http://www. trendmicro.com.ru/media/misc/trendlabs-security-roundup-q1-2015 -report-ru.pdf (дата обращения: 21.09.2015).

4.     Spam with viruses. URL: http://www.hackmag.com/malware/spam-with-viruses/ (дата обращения: 21.09.2015).

5.     Дроботун Е.Б. Обзор свежих эксплойт-паков. Angler, Sweet Orange, Nuclear, Fiesta, Magnitude, Neutrino и многие другие // Хакер. 2015. № 4 (195). С. 78–83.

6.     Kotov V., Rajpal M.S. Understanding Crypto-Ransomware. Bromium Labs. 2014. URL: http://www.bromium.com/sites/defailt/ files/bromium-report-ransomware.pdf (дата обращения: 21.09.2015).

7.     Дроботун Е.Б. Дети лейтенанта Cryptolocker`a. Вскрываем DirCrypt, TorLocker, TeslaCrypt, TorrentLocker, Critroni и CryptoWall // Хакер. 2015. № 9 (200). C. 206–215.

8.     Trojan.Ransomcrypt.D. Technical Details. Symantec. 2013. URL: http://www.symantec.com/security_response/writeup.jsp?docid=2013-0710112-1247-99&tabid=2 (дата обращения: 21.09.2015).

9.     Jarvis K. CryptoLocker Ransomware. Dell Secure Works. 2013. URL: http://www.secureworks.com/cyber-threat-intelligence/ threats/cryptolocker-ransomware/ (дата обращения: 21.09.2015).

10.  Léveillé M.-E.M. TorrentLocker. Ransomware in a country near you. Eset Labs. 2014. URL: http://www.wilivesecurity.com/ wp-content/uploads/2014/12/torrent-locker.pdf (дата обращения: 21.09.2015).

11.  TeslaCrypt Ransomware. Dell SecureWorks. 2014. URL: http://www.secureworks.com/cyber-threat-intelligence/threats/teslacrypt-ransomware-threat-analysis/ (дата обращения: 21.09.2015).

12.  Дроботун Е.Б. Анатомия Cryptolocker`a // Хакер. 2014. № 3 (182). С. 102–104.

13.  Синицын Ф. Новое поколение вымогателей. Elliptic curve cryptography + Tor + Bitcoin // Securelist – все об интернет-безопасности. 2015. URL: http://www.securelist.ru/analysis/obzor/ 21090/novoe-pokolenie-vymogatelej/ (дата обращения: 21.09.2015).

14.  CTB-Locker encryption/decryption scheme in details. 2015. URL: http://zarion.wordpress.com/2015/02/17/ctb-locker-encryptiondecription-scheme-in-details/ (дата обращения: 21.09.2015).

15.  Алюшин В., Синицын Ф. Шифровальщик с изъяном // Securelist – все об интернет-безопасности. 2015. URL: http:// www.securelist.ru/blog/issledovaniya/25359/shifrovalshhik-s-izya nom/ (дата обращения: 21.09.2015).

16.  CryptoWall Ransomware. Dell Secure Works. 2014. URL: http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/ (дата обращения: 21.09.2015).

17.  Artenstein N., Shalyt M. How (and why) we defeated DirСrypt. Check Point Malware Research Group. 2014. URL: http://www.checkpoint.com/download/public_files/TCC_WP_ Hacking_The_Hacker.pdf (дата обращения: 21.09.2015).

18.  Allievi A., Carter E. Ransomware on Steroids: Cryptowall 2.0. Talos Group. 2015. URL: http://www.blogs.cisco.com/security/talos/cryptowall-2/ (дата обращения: 21.09.2015).

19.  TorrentLocker – новая модификация трояна-шифровальщика FileCoder. Ч. 1 // Блог компании EsetLabs. URL: http:// www.habrahabr.ru/company/eset/blog/246945/ (дата обращения: 21.09.2015).

20.  TorrentLocker – новая модификация трояна-шифровальщика FileCoder. Ч. 2 // Блог компании EsetLabs. URL: http:// www.habrahabr.ru/company/eset/blog/247031/ (дата обращения: 21.09.2015).

21.  Синицын Ф. TeslaCrypt 2.0 в обличии CryptoWall // Securelist – все об интернет-безопасности. 2015. URL: http://www. securelist.ru/blog/issledovaniya/26212/teslacrypt-2-0-v-oblichii-cryptowall/ (дата обращения: 21.09.2015).


Permanent link:
http://swsys.ru/index.php?id=4151&lang=en&page=article
Print version
Full issue in PDF (7.11Mb)
Download the cover in PDF (0.37Мб)
The article was published in issue no. № 2, 2016 [ pp. 77-82 ]

Perhaps, you might be interested in the following articles of similar topics: