CryptoWall держит более полумиллиона компьютеров в заложниках, зашифровав 5 млрд. файлов

01.09.2014 | 00:04 Экономика

Банда, стоящая  за этой опасной программой-вымогателем, уже заработала 1 миллион долларов, заявили исследователи из Dell SecureWorks

Программа-вымогатель CryptoWall, шифрующая файлы, заразила более 600,000 компьютерных систем в течение последних шести месяцев и держит в заложниках 5 млрд. файлов, заработав для своих создателей более $1 миллиона.

Подразделение по борьбе с угрозами CounterThreatUnit (CTU) из Dell SecureWorks выполнило обширный анализ CryptoWall, включая сбор данных его командно-контрольных серверов (C&C), отслеживание вариантов и методов распространения и подсчета платежей, произведенных жертвами.

CryptoWall является «крупнейшей и самой разрушительной программой-вымогателем в Интернете» на  данный момент и, вероятно, продолжит распространяться, заявили исследователи CTU в своем блоге.

Угроза распространяется, по крайней мере, с ноября 2013 года, но до первого квартала этого года она оставалась в тени CryptoLocker, другой программы-вымогателя, которая заразила более полумиллиона систем с сентября до мая 2013 года.

CryptoLocker требует у жертв выкуп в размере от $100 до $500 за расшифровку файлов, и, по оценкам, заработала для своих создателей около $3 млн. за 9 месяцев работы. Угроза была устранена в конце мая, благодаря международной операции правоохранительных органов и поддержке со стороны антивирусных компаний.

CryptoWall заполнила освободившееся место. Она  агрессивно распространяется, используя различные тактики, которые включают спам с вредоносными ссылками или вложениями, загрузки с зараженных сайтов, и через другие вредоносные программы, уже работающие на взломанных компьютерах.

Командно-контрольные серверы CryptoWall присваивают уникальный идентификатор каждому инфицированному и для каждого генерируют пару открыто-закрытых ключей RSA.

Открытые ключи отправляются на зараженные компьютеры и используются вредоносной программой для шифрования файлов с популярными расширениями — фильмов, изображений, документов и т.д. — которые хранятся на локальных жестких дисках, а также на подключенных сетевых дисках, в том числе облачных системах хранения данных, таких как Dropbox и Google Drive.

Файлы, зашифрованные с помощью открытого ключа RSA, могут быть расшифрованы только с помощью соответствующего закрытого ключа, который остается в распоряжении нападающих и присылается только после выплаты выкупа.

Исследователи из CTU смогли подсчитать уникальные компьютерные идентификаторы с серверов CryptoWall, информацию об их IP—адресе, приблизительное время инфицирования, и состоянии оплаты.

«В период с середины марта до 24 августа 2014 года, почти 625,000 систем были инфицированы CryptoWall», говорят исследователи CTU. «В те же сроки, CryptoWall зашифровал более 5,25 млрд. файлов».

Наибольшее количество зараженных систем расположены в США – 253,521 или 40,6% от общего числа. Следующие наиболее пострадавшие страны — Вьетнам с 66,590 инфицированных, Великобритания – 40,258, Канада —  32,579 и Индия – 22,582.

CryptoWall обычно просит жертв заплатить выкуп в криптовалюте Bitcoin, но более ранние варианты предлагали больше вариантов оплаты, в том числе такие карты предоплаты, как MoneyPak, Paysafecard, cazhUи Ukash.

Сумма выкупа возрастает, если жертва не заплатит выкуп в течение начально отведенного времени, которое обычно составляет от четырех до семи дней. Исследователи CTU следили за платежами, которые варьировались от $200 до $10,000, но большинство из них (64%) составляет $500.

«Из почти 625 тысяч инфицированных, 1,683 жертвы (0,27%) заплатили выкуп на общую сумму $1,101,900 в течении шести месяцев», заявляют исследователи из CTU.

 
То есть, несмотря на то, что CryptoWall удалось заразить на 100,000 больше компьютеров, чем CryptoLocker, она  менее эффективна в  получении дохода для своих создателей. В прошлом исследователи подсчитали, что 1,3% жертв CryptoLocker заплатили выкуп на сумму более 3 миллионов долларов.

Разницу в успешности можно объяснить техническими барьерами, связанными с получением Bitcoin. В случае с CryptoLocker, 1.1% жертв заплатили выкуп через MoneyPak и только 0,21% использовали Bitcoin.

В результате анализа, CTU обнаружили сходство между образцами CryptoWall и старой программой-вымогателем под названием Tobfy. Если за обоими угрозами стоят одни и те же злоумышленники, это означает, что у них как минимум несколько лет опыта работы в подобных операциях.