Криптовымогатели сейчас повсюду. Программы, шифрующие файлы пользователя, а затем требующие выкуп за расшифровку данных приносят большие деньги своим создателям. Среди такого рода программного обеспечения есть поистине гениальные программы. Во многих случаях разработчики таких зловредов выполняют обещание: если пользователь платит, он получает ключ для расшифровки файлов. Но так бывает далеко не всегда — иногда ключ после оплаты и не приходит.
Случается и так, что нет не только ключа, но и файлов. Ranscam — зловред, который только притворяется криптовымогателем. ПО делает вид, что файлы зашифровываются, хотя на самом деле все, что пользователь видит на экране — командная строка со списком удаляемых файлов. Как только файлы удаляются, программа показывает всплывающее окно с требованием заплатить деньги за получение ключа шифрования.
В появившемся информационном окне пользователь видит сообщение о том, что все файлы перенесены на скрытый раздел диска и зашифрованы; все важные программы заблокированы; компьютер не сможет работать нормально. Также указывается, что при проведении платежа в биткоинах все вернется на свои места — пользователь получит свои файлы обратно.
Чуть ниже в окне размещается поле, куда нужно вводить свои данные после совершения платежа. Зловред якобы должен «проверить» платежные данные жертвы. При этом говорится, что нажатие на кнопку без проведения платежа чревато полным удалением всех файлов. Все, что делает это ПО — выполняет HTTP GET запрос для получения PNG картинок, демонстрирующих пользователю процесс верификации. На самом деле программа ничего не проверяет.
Кроме того, оплата не поможет — все файлы удаляются криптовымогателем при заражении ПК. Автор же зловреда пытается обмануть жертву, чтобы та заплатила деньги. Само программное обеспечение довольно простое — над ним явно поработали не слишком опытные злоумышленники.
На компьютер пользователя вирус проникает в виде исполняемого .NET файла. Файл подписан цифровым сертификатом, выданным reca[.]net. Дата выдачи сертификата — 6 июля 2016 года.
Когда жертва открывает файл, ПО выполняет несколько действий. Сначала программа копирует себя в %APPDATA%\, а также прописывается в автозагрузке. Кроме того, она распаковывается в %TEMP%\.
Программа создает и запускает исполняемый файл, который находит ряд папок в системе жертвы, и делает вид, что «шифрует» эти файлы. На самом деле все безвозвратно удаляется.
Зловред в этом случае полностью оправдывает свое название, поскольку выполняет еще ряд действий, убивающих систему пользователя:
- Удаление всех файлов Windows, отвечающих за резервное копирование данных (System Restore);
- Удаляет теневые копии;
- Удаляет ряд ключей реестра, отвечающих за запуск системы в Safe Mode.
После всего этого система запрашивает JPEG файл для демонстрации сообщения о необходимости внесении оплаты за расшифровку файлов.
Как только все это выполнено, скрипт выключает компьютер. Все шаги, описанные выше, будут выполняться каждый раз при включении ПК. И каждый раз зловред удаляет все новые и новые файлы и показывает сообщение о необходимости заплатить
Вот список файлов, которые загружаются при работе Ranscam с сервера злоумышленника. Он даже не потрудился обфусцировать данные.
Специалисты по информационной безопасности, изучающие зловреда, отправили по указанному в сообщении вируса адресу e-mail. «Жертва» запросила помощи у создателя вируса, рассказав, что не смогла выполнить правильно транзакцию с Bitcoin. Почти сразу после запроса пришел ответ.
Последовала еще одна просьба помочь: «Я ничего не понимаю в этих штуках. Я не понимаю, что все это значит или сколько стоит, но я хочу заполучить свой компьютер обратно. У меня много фотографии моей семьи и я не могу и просмотреть. Есть ли какое-то место, куда я могу отправить мои данные, или, возможно, есть номер телефона, по которому можно позволить, чтобы вы мне помогли? Я не знаю, что я сделал, но компьютер моей дочери не показывает это гадкое сообщение, что я должен делать? Пожалуйста, помогите вернуть мои фото, они важны!».
Спустя пару часов после запроса злоумышленник прислал ответ, где дал подробную инструкцию по оплате. После этого автор вируса не стал продолжать общение. Тем не менее, он предоставил тот же адрес кошелька Bitcoin, который был указан в информационном окне, показываемом вирусом. Этот адрес 1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd. Эксперты, изучающие проблему, проверили транзакции по этому кошельку, и увидели, что общая сумма переведенных средств достигает уже $277.61. Правда, эти деньги поступали на кошелек раньше, до 20 июня. После этой даты нет ни одной транзакции.
Пока что этот зловред не слишком распространился. Ranscam может быть одним из первых зловредов, чьи создатели не хотят выполнять лишнюю работу, а хотят только денег. Зачем создавать сложный криптовымогатель, тратить время и средства на его создание, если можно замаскировать под него обычный вирус, который удаляет файлы и требует деньги? Вопрос риторический.
Комментарии (47)
Meider1
14.07.2016 05:00Откровенно раздражают люди которые считают что ПК — шайтан коробка, «ничего не хочу знать, я хочу чтобы это работало» а чуточку разобраться в своем инструменте, больше чем запуск ярлычков со стола, не никак.
nerudo
14.07.2016 07:51+6Привыкайте. ПК давно превратился из забавы для гиков в бытовую технику. Тоже самое можно сказать про автомобиль, стиральную машину и телефон. И да, лично я хочу, чтоб мой телефон умел звонить, выполнять прочие функции органайзера и т.п., но меня совершенно не радует обновлять прошивки, ставить софт и шаманить с размещением файлов на разных флэшках, чтоб все это могло взлететь.
MaxKitsch
14.07.2016 09:14+4Я, в целом, с вами согласен. Но, в частности, если проводить параллели с автомобилем, среди массового автовладельца считается откровенным идиотизмом, например, брать в качестве пассажиров цыганский табор, уверяющий что они — три бедных студента из провинции. Да, все сорок, не считая танцующего медведя. И уж точно идиотизм при этом — дать медведю порулить. И пытаться заправить машину тем, что они приволокли с собой в здоровенной мутной бутыли, к горлышку которой намертво прилип остаток перчатки.
Мы ведь не говорим о разработке софта, ремонте и плановом обслуживании железа — т. е. о том, чем занимаются профессионалы. Мы говорим о повседневной эксплуатации и соблюдении принципа, которого в человека начинают вбивать, как только он научился самостоятельно передвигаться по квартире: «Не трогай всякую гадость!»Alexey2005
14.07.2016 10:35Большинство таких троянов подхватывается через электронную почту, когда письмо озаглавлено например как «счёт из налоговой», а в качестве вложения прикреплён файл .doc.exe или doc.js.
Человек просто не осознаёт, что это гадость, т.к. он не знает, что такое расширение, а файлы различает по иконкам.
Charg
14.07.2016 15:58> Человек просто не осознаёт, что это гадость, т.к. он не знает, что такое расширение, а файлы различает по иконкам.
Об этом и речь, осознание и понимание такой банальной вещи как расширение файла — не удел профессионалов, это совершенно базовое знание, которое обязан (в идеальном мире) знать каждый. Об этом то и речь.
coraku
14.07.2016 11:13+1Простите, но огромное количество людей просто не хотят напрягать свой мозг и нарушать привычный уровень комфорта, ибо банально не могут (не хотят) оценивать уровень риска. Вы тут говорите о каких то файлах, компьютерах, и прочей сложной материи, когда люди перебегают оживленные улицы на красный свет ( а то и вообще шоссе перебегают), не пристегиваются в машинах и несутся зимой на лысой резине 120 км/ч. Люди занимаются сексом с незнакомцами без средств предохранения и принимают внутрь огромное количество вещей на которых большими буквами написано «минздрав предупреждает».
Если уж это вбить не могут, начиная с малых лет, то что уж говорить о каком то интернете.
lubezniy
14.07.2016 07:57+10Склонен полагать, что авторы криптовымогателей готовы прибить автора этой поделки в тёмном переулке. Ещё несколько таких зверей — и люди просто перестанут платить за расшифровку, считая затею бесполезной.
idiv
14.07.2016 09:30+2Здесь на ГТ в обсуждении одного из криптовмогателей была следующая мысль: все эти вирусы честно расшифровывают данные, так как своеобразный бизнес, а отморозков никто и нигде не любит. Но стоит кому-то создать вирус, которые не расшифровывает и просто кидает, потому еще несколько раз — и платить им больше никто не будет. Таким образом будет сама тема закрыта.
lubezniy
14.07.2016 10:37Про это и речь — про подрыв устоев бизнеса. Хотя гарантий расшифровки в любом случае нет даже за деньги при обычном шифровании: нельзя утверждать, что, получив деньги, вымогатель сможет выслать ключ, а не заболеет/умрёт/окажется на нарах.
gimntut
14.07.2016 11:48Значит «бизнесу» выгодно найти и покарать «паршивую овцу». Это было бы славно.
Goodkat
14.07.2016 12:30+3Наоборот, было бы славно, если бы никто больше никогда не платил вымогателям, тогда и вымогатели сошли бы на нет.
Пока существует хоть один платящий вымогателям человек, вымогательство будет оставаться выгодным.
Так что это даже очень хорошо, если широкой общественности станет известно, что вымогатель удаляет файлы. Может быть научатся делать бэкапы и не платить вымогателям.
tmin10
14.07.2016 12:05+1Как раз я и предложил эту идею: если несколько популярных вирусов не будут ничего расшифровывать, то это обернётся крахом криптовымогателей и они перестанут плодиться с такой скоростью, т.к. профита не будет.
https://geektimes.ru/post/274264/#comment_9173562
vityaba3
14.07.2016 09:14Комманда (rmdir "%%i" /s /q || del "%%i" /s /q) просто удалит файлы и папки. Не безвозвратно. Их не сложно восстановить, в отличае от шифрованных файлов.
Stranger087
14.07.2016 10:49-1>2016
>не хранить файлы в облакеT-362
14.07.2016 11:49+3>2016
>PRISM, Сноуден, Яровая, дыры, дыры, эксплойты
>хранить файлы в облаке
Бекапы надо делать, на отдельное устройство или два, а не лечить понос слабительным.tmin10
14.07.2016 12:03+1В облако тоже можно, только защищать всё стойким ключом.
T-362
14.07.2016 12:13Разве что если шифровать у себя и отсылать в облако уже зашифрованным. Но тут подкрадывается ЕУЛА — берут и запрещают хранить в облаке зашифрованное и запароленное, для «борьбы с нелицензионным террористическим контентом» или по еще какой причине, и вся налаженная инфраструктура отправляется прямиком корзину.
Единственное надежное облако — свое, поднятое на своей машине, желательно без доступа наружу в сеть, но тут чем больше у нас звеньев в цепи тем больше шанс что хоть одно да сломается. Бритва Оккама и все такое, наплодили сущностей.tmin10
14.07.2016 12:15Пока никто не запрещает хранить зашифрованные файлы, поэтому я складирую их в своё бесплатное 250 гиговое облако от яндекса. Вот когда запретят, то буду под это отдельно покупать железо и настраивать его, но сейчас особого смысла в этом нет, всё работает, да ещё и бесплатно для меня.
Konachan700
14.07.2016 14:34Так пускай запрещают. Берем любой шифрованный файл, лепим к нему BMP-заголовок, кладем в облако. Каждую картинку из миллиардов никто просматривать не будет, да и нейросеть для классификации всех лежащих файлов гонять накладно. Большие файлы точно также пакуются в несжатое видео.
T-362
14.07.2016 14:45+1Тоже реально, но думаю что в таком случае лучше просто сваливать, а то потом придет на почту письмо «мы случайно решили что у вас там шифрованные файлы и все стерли». ЕУЛА пользователей не защищает.
Konachan700
17.07.2016 13:34Куда сваливать? Марс еще не освоили, а в других странах на этой планете ситуация плюс-минус идентичная, толпы своих мизулиных в правительствах сидят. А раз так, то и сервисы будут работать по их правилам, поскольку работать по-другому просто нельзя. Пролезать в правительство, выживать оттуда луддитов и лоббировать нужные законы IT-корпорации еще не научились качественно.
Плюс облаков в том, что их много. Выгонят с одного — копия данных лежит еще на пяти, и еще сотня остается в запасе — пусть выгоняют. С локальным хранилищем такое не покатит, слишком дорого и неудобно.T-362
18.07.2016 12:10Надо бить на упреждение — валить туда, где с меньшим шансом будут бомбить, например в центральную Австралию. Я слышал там броде-бы даже был проект «гигабит в каждый дом» — для покрытия пустынного центра страны интернетами по оптике.
А минус множества облаков — у каждого свои заморочки, пока нельзя просто по одному API сменить логин-пароль-урл и приконнектиться к другому облаку, плюс каждое тащит свое решето-софт в систему. В идеале бы какой открытый модульный враппер позволяющий легко и более-менее нативно пихать в линукс разные виды облаков в одинаковом виде, в утопичном варианте — одно API для работы с облаками.
viiri
15.07.2016 15:30Кто мешает владельцу сервиса автоматически пережать картинки и видео с потерями? Чтобы у пользователя было больше свободного места и он был счастлив!
Konachan700
17.07.2016 13:25Экономика и рынок запрещает. Сервисы массового пережатия видео очень дорогие в постройке, во-первых. Для облачного хранилища это излишний функционал, дохода не приносящий. Во-вторых, сделать облачный сервис особого труда не надо, всё уже придумано до нас, вопрос только в деньгах, а это значит, что тут же возникнет конкурент, у кого нет принудительного сжатия, и при прочих равных все клиенты сбегут к нему. Даже ВК оставил возможность скачивать оригинал фото.
Stranger087
14.07.2016 19:24А кому вы интересны, если вы не знаменитость, не преступник, и не красавчик который хранит свои обнаженные фото? =)
Вопрос следует понимать буквально =)T-362
15.07.2016 14:36Это как гигиена, можно и не мыть руки после туалета, но лучше таки мыть, и обучать этому с детства.
AllexIn
14.07.2016 16:37Спасибо автору сего творения.
Криптовымогатели стали ужасом, потому что это очень удобный способ для злоумышленника получить деньги.
Но появление криптовымогателей, которые ничего не восстанавливают — больно ударит по этому отлаженному бизнесу. А может быть, тьфу-тьфу-тьфу, даже убьет его.svatoy
15.07.2016 00:37Я считаю, что люди сведущие на такое не попадаются, а обычные пользователи не в курсе тенденций.
AllexIn
15.07.2016 06:00Ну конечно не попадаются. Постоянно проскакивают истории, о том как очередная организация попалась на криптовымогатель.
Alexey2005
15.07.2016 17:18+1Ещё как попадаются. Более того, даже были случаи, когда от таких криптовымогателей страдали пользователи Linux, у которых был установлен wine. Потому что последний при каждом запуске автоматически создаёт символьные ссылки на домашнюю директорию и ряд её поддиректорий, а заодно на примонтированные USB-диски. В итоге виндовый троян, загруженный вместе с игрой или кейгеном, спокойно криптует всю хомку.
aGRa
15.07.2016 06:30[одеваю шапочку из фольги]
Появление такого зловреда крайне выгодно производителям ПО систем безопасности и/или сервисным центрам по обслуживанию ПК и вредит авторам криптовымогателей. Первые получают деньги за прогон undelete, вторые — отказ малограмотных «терпил» от оплаты, ибо результат всё равно нулевой. По любому заговор
[снимаю шапочку из фольги]
А вообще, уж лучше это, чем сильная криптография. Надеюсь, у авторов хватит природной лени, чтобы не использовать wipedisk.
Astartan
Это уже просто свинство — удалять файлы и требовать деньги. А жертвы куда смотрят? Неужели ещё есть люди, считающие что антивирус «совсем не нужное ПО, лишь жрущее ресурсы компьютера»?
mwambanatanga
> Это уже просто свинство — удалять файлы и требовать деньги.
А вирус, удаляющий файлы без вымогательства, не свинство? А вирус, вымогающий деньги без удаления, не свинство?
P.S.: — Нет, — продолжал Кирила Петрович, — уж не видать нам такого исправника, каков был покойник Тарас Алексеевич! Этот был не промах, не разиня. Жаль, что сожгли молодца, а то бы от него не ушел ни один человек изо всей шайки. Он бы всех до единого переловил, да и сам Дубровский не вывернулся б и не откупился. Тарас Алексеевич деньги с него взять-то бы взял, да и самого не выпустил: таков был обычай у покойника.
P.P.S.: Исправника за такие дела сожгли…
Astartan
Вирус, удаляющий файлы без вымогательства, не даёт ложной надежды на благополучный исход. Так же, вымогатель, не удаляющий файлы не наносит столь много вреда. Эту ситуацию можно сравнить с такой ситуацией, когда подходит гопник в подворотне и говорит:«Дай денег или я тебя пристрелю!». Потерпевший, конечно, согласится откупиться, но гопник все равно его убивает. Многие скажут:«Файлы на компьютере не корректно сравнивать с человеческой жизнью». Но ведь бывает информация, от которой может зависеть жизнь человека, как, например, в больницах. И бекапы, делают далеко не все.
Обсуждаемый вымогатель поступает чрезмерно подло.
mwambanatanga
Тогда представьте себе, что пользователь одновременно подцепил две независимые (и не знающие одна о другой) заразы. Одна молча удалила файлы, а другая зашифровала оставшийся мусор и требует денег (или наоборот — одна зараза зашифровала, а другая потом удалила).
Astartan
В том-то и дело, что от независимых этого вполне можно ожидать. При устранении последствий набега заразы, выяснится что налетчиков было двое. Конечно, сильно легче от этого не станет, но все же.
qrck13
Антивирус — это в первую очередь куча дополнительных дыр в безопасности, причем на таком уровне, откуда вся система доступа как на ладони
0xd34df00d
Я так считаю. Зачем он мне, если я на соответствующей машине только Steam и Origin запускаю?
Astartan
А Steam и Origin таки без дыр? Я, конечно, дилетант в вопросах информационной безопасности, но считаю что 100% гарантии защиты от вирусов не может быть, за исключением, может быть систем, в которых отсутствуют подключение к сети и съемные носители. Но даже в этом случае вирус может содержаться в ПО изготовителя этой системы. Поэтому я считаю — антивирус нужен. Но это моё параноидальное ИМХО.
0xd34df00d
В худшем случае переустановлю Windows. Под игры всё равно физически отдельная машина.
А так-то ведь дыра и в антивирусе оказаться может. Причём, у антивируса-то привилегии повыше, чем у игрушечек, грустнее будет.
Astartan
Согласен с Вами полностью. Я сам очень долгое время жил без антивирусов. Периодически, конечно, проверял сканером. Удивительно, но лет за пять не было ни одной заразы, не смотря на посещение различных файлопомоек и прон-сайтов. Антивирус активно стал использовать, когда вирус пожрал очень важную информацию на компе.