Меню
Пошук

Sophos: программы-вымогатели меняют тактику

17 сентябрь, 2012 - 10:25

Ransomware, вредоносное ПО, которое работает как вымогатель, ранее требовало с пользователей деньги за разблокирование ПК. В последний месяц, как отмечают эксперты Sophos, появилось множество куда более опасных образцов вредоносов данного типа: вместо того, чтобы блокировать ПК они шифруют пользовательские файлы (документы, фото, музыку, видео, пр.) Таким образом, удаление вредоносной программы с компьютера не решает для пользователя задачи доступа к заблокированному контенту.

Как отмечают в Sophos, после заражения, новые образцы вредоносного ПО ищут находящиеся на компьютере файлы определенных типов (около 110 возможных расширений, в том числе.doc, .jpg, .pdf), шифруют их и изменяют имена файлов, добавляя расширение .BLOCKAGE. При попытке доступа к такому файлу пользователь видит сообщение, в котором говорится, что персональные документы заблокированы, а для разблокировки необходимо отослать запрос на [email protected].

Действительно, разблокировать файлы под силу только владельцу вредоноса – ведь программа использует современные методы асимметричного шифрования (именно оно позволяет безопасно совершать покупки в онлайн магазинах и проводить онлайн банковские транзакции). При каждом инфицировании вредоносное ПО генерирует уникальный ключ (применяя алгоритм AES-256), который затем использует для шифрования файлов – а это значит, что для дешифровки нужно обладать закрытым ключом шифра. Простой подбор ключа требует огромных вычислительных мощностей.

Более подробное изучение показало, что большинство из новых образцов ransomware не упаковано и не защищено настолько, как другие типы вредоносов. Кроме того, в них многократно встречаются бесполезные строки, например «Graciliraptor!» – такая особенность значительно упрощает их выявление. Но более всего интересно то, что для внесения хаоса в систему авторам не потребовалось писать код шифрования – они просто использовали готовые библиотеки Microsoft Cryptographic API и аналоги, уже имеющиеся на любом ПК!

Эксперты не советуют платить вымогателям, поскольку это не гарантирует доступ к контенту. Что действительно необходимо – так это пользоваться актуальной версией антивирусной программы и регулярно создавать резервные копии файлов.