USD 68 ЕВРО 76.76

Black Hat 2015: Не все программы-вымогатели опасны

Экономика

Программу-вымогатель легко обнаружить, а в некоторых случаях можно расшифровать данные без уплаты выкупа, говорит исследователь.

Не все программы-вымогатели одинаковы, следовательно, не всех нужно бояться, говорит исследователь на конференции Black Hat 2015.

Некоторые программы-вымогатели, блокирующие зараженные компьютеры и требующие выкуп, делают ложные заявления по поводу своей функциональности, и некоторые из захваченных данных могут быть восстановлены, говорит Энгин Кирда, соучредитель и главный архитектор Lastline Labs.

Например, некоторые вымогатели угрожают удалить файлы, но они используют ненадежный метод удаления, и, как следствие, «есть хороший шанс, что удаленные файлы могут быть восстановлены».

Некоторые из программ-вымогателей, особенно Cryptolocker и Cryptowall, делают хорошую работу по шифрованию данных, и ждут пока жертвы не заплатят за расшифровку, говорит он. «Тем не менее, многие другие семейства программ-вымогателей делают плохую работу в области криптографии», говорит он.

Он обнаружил вариант программы-вымогателя Gpcode, использующий статический ключ, который может быть извлечен путем сравнения зашифрованных файлов с оригиналами, что приведет к разблокированию зашифрованных данных. Программа TeslaCrypt заявляет, что использует асимметричное шифрование RSA 2048, но на самом деле она так не делает. Вместо этого используется симметричное шифрование AES, которое успешно взламывается, говорит он.

«Не думайте, что со всеми вымогателями можно попрощаться», говорит он.

В корпоративной среде хорошим способом остановить программу-вымогателя, является ее перехват на шлюзе безопасности, прежде чем она получит шанс заразить конечных пользователей, говорит Кирда. Это можно сделать, потому что вредоносные программы должны выполнить определенные обнаруживаемые действия. Они должны многократно обращаться к файлам на различных накопителях и директориях, а это можно легко обнаружить при анализе образца программы-вымогателя. Программа-вымогатель сообщает о себе жертве, чтобы потребовать выкуп. Это тоже функция, которую можно определить при анализе.

Кирда проанализировал 1359 активных образцов вымогателей, которые наблюдались в дикой природе между 2006 и 2014 годами. Из них 61% направлены только рабочий стол жертвы, а не на какие-либо документы в файловой системе. Они используют сочетание обычных и кастомных систем шифрования, таких как CryptoAPI в Windows. «После того как эти библиотеки стали широко доступны, их просто использовать».