Валентин Холмогоров - PRO вирусы. Версия 4.0

А уже в 2014 году появился первый троянец-блокировщик для мобильных телефонов и планшетов, работающих под управлением операционной системы Google Android. Такие блокировщики попросту отключают сенсорный дисплей или выводят перекрывающее доступ к системе окно с требованием выкупа, которое невозможно удалить с экрана никакими стандартными методами. На сегодняшний день известно несколько десятков различных модификаций подобных мобильных троянцев, и их число постепенно растет.

Троянцы-шифровальщики (энкодеры)

Троянцы-шифровальщики , или энкодеры , — одна из наиболее опасных компьютерных угроз. Такие троянцы также относятся к условной категории программ-вымогателей . Энкодеры впервые появились в 2009 году, и на текущий момент специалистам компьютерной безопасности известно огромное количество их разновидностей.

Запустившись на инфицированном компьютере, энкодеры зашифровывают хранящиеся на дисках пользовательские файлы с использованием различных криптостойких алгоритмов, после чего требуют у жертвы выкуп за их расшифровку. Отказавшись выплачивать требуемое злоумышленниками денежное вознаграждение, пользователь рискует в одночасье потерять все свои данные. Аппетиты у злоумышленников могут быть различными: вымогаемый ими выкуп может составлять эквивалент и нескольких десятков, и нескольких тысяч долларов. К сожалению, в некоторых случаях восстановить поврежденные данные бывает практически невозможно, даже несмотря на обещания злоумышленников. Оплата требуемого киберпреступниками вознаграждения не дает никакой гарантии того, что поврежденные троянцем-энкодером файлы будут когда-либо расшифрованы. Подавляющее большинство троянцев данного типа ориентировано на устройства, работающие под управлением Microsof Windows, но в 2014 году появились первые энкодеры и под Android, способные зашифровывать содержимое внутренней памяти мобильного устройства, а в ноябре 2015 года был обнаружен первый шифровальщик для Linux.

До недавнего времени троянцы-шифровальщики не обладали какими-либо механизмами саморепликации и проникали на атакуемый компьютер преимущественно в виде вложений в сообщения электронной почты, либо под видом каких-либо «полезных» приложений или игр. Иными словами, в подавляющем большинстве случаев потенциальные жертвы сами запускают вредоносную программу на своем ПК. Можно отметить следующие характерные пути распространения троянцев-энкодеров:

• вредоносные почтовые рассылки, содержащие во вложении самого троянца (например, под видом важного документа), либо троянца-загрузчика, выполняющего скачивание и запуск шифровальщика;

• загрузка троянца пользователем из Интернета под видом полезного приложения (различные кодеки, утилиты, игры, проигрыватели медиафайлов);

• непосредственный запуск троянца на инфицированном компьютере, к которому злоумышленники имеют несанкционированный удаленный доступ (благодаря наличию на таком ПК бэкдора или компрометации учетной записи пользователя операционной системы).

Однако в 2017 году случилось несколько массовых эпидемий, причинами которых стали энкодеры, способные распространяться по сети самостоятельно, то есть, обладающие функциями червя. Так, шифровальщики WannaCry и Petya использовали для своего распространения уязвимость в сетевом протоколе SMB операционных систем Windows и могли заражать компьютеры самостоятельно, без участия пользователя.

Энкодеры применяют около двух десятков различных алгоритмов шифрования пользовательских файлов. Определенные модификации троянцев — даже несколько поочередно, с целью затруднить последующую расшифровку информации. Широкому распространению подобных программ способствует то обстоятельство, что злоумышленники нередко выставляют на продажу на подпольных форумах исходные коды троянцев-шифровальщиков, помимо этого существуют специальные программы-конструкторы, с помощью которых вирусописатели могут создавать новые версии троянцев, даже не обладая знаниями в области криптографии и программирования. Еще один аргумент, свидетельствующий об опасности таких приложений, заключается в том, что некоторые версии подобных вредоносных программ содержат ошибки, поэтому расшифровать пострадавшие от их действия файлы иногда не в состоянии даже сами создатели троянца. После успешного запуска на компьютере жертвы энкодер в общем случае выполняет перечисленную ниже последовательность действий:

• автоматически генерирует по определенному алгоритму ключ шифрования либо получает его с принадлежащего злоумышленникам удаленного сервера;

• осуществляет поиск на дисках зараженного компьютера файлов, удовлетворяющих заданным вирусописателями критериям;

• шифрует все удовлетворяющие условиями файлы;

• создает и сохраняет на диске документы с перечислением действий для последующей расшифровки файлов и условиями выкупа.

После того как файлы оказываются зашифрованными, троянцы-энкодеры, в зависимости от версии, могут изменить фон рабочего стола атакованного компьютера на графическое изображение с указанием дальнейших инструкций для своей жертвы. Требуемая злоумышленниками сумма может варьироваться от десятков до нескольких тысяч долларов. В целях конспирации некоторые модификации шифровальщиков размещают свои управляющие серверы в анонимной сети TOR, что значительно затрудняет их идентификацию и последующую расшифровку данных.

Рассмотрим принцип работы троянца-шифровальщика на примере нашумевшего энкодера Troldesh. В самом начале марта 2019 года компания Group-IB сообщила об очередной массированной атаке с использованием этого трояна. Энкодер распространялся с помощью сообщений электронной почты, отправленных от имени известных на российском рынке компаний.

Театр, как известно, начинается с длительного поиска свободной парковки, а распространение большинства вредоносных программ — с почтовой рассылки. Среди поддельных отправителей подобных писем исследователи из Group-IB отмечали «Всероссийский банк развития регионов» и «Группу компаний ПИК», а журналисты РБК пополнили список пострадавших брендов «Ашаном», «Магнитом» и «Славнефтью», упомянув при этом, что злоумышленники прикр ывались именами более пятидесяти фирм, названия которых у всех на слуху. Лично мне попадались аналогичные письма, в строке From которых значился автомобильный дилер «Рольф», «Бинбанк», «KIA Motors», «Ресо Гарантия» и некая контора «Инженер Строй» (рис. 2).

Рис. 2. Письма, рассылавшиеся в ходе атаки Troldesh

Очевидно, такая стратегия продиктована общеизвестными постулатами социальной инженерии: у сообщения от известного отправителя больше шансов быть открытым, чем у послания, автор которого адресату совершенно незнаком. Во всех без исключения изученных мной письмах ссылки вели на взломанные сайты, работающие под управлением WordPress или Joomla. И скрипт-загрузчик, и собственно энкодер злодеи хранили в открытых на запись папках /content/icons/, /templates/, /wp-admin/css/ или /wp-content/themes/ . Вероятно, чтобы размещать вредоносное содержимое, они приобрели на каком-то из хакерских форумов базу скомпрометированных аккаунтов либо воспользовались одним из известных эксплоитов для этих популярных CMS.