В результате «бесплатного обновления до Windows 10» ваши файлы были зашифрованы

29 июля корпорация Microsoft выпустила операционную систему Windows 10, которая распространяется в том числе в виде бесплатного обновления для пользователей предыдущих версий ОС — Windows 7 и Windows 8. Киберпреступники не замедлили воспользоваться этим событием в своих целях. В попытке обмануть пользователей и установить на их компьютеры программу-вымогатель они маскируют упомянутую спам-атаку под почтовую рассылку от корпорации Microsoft. А то обстоятельство, что пользователям приходится ждать обновления до Windows 10 в очереди, лишь увеличивает вероятность успешной реализации данной атаки.

Почтовое сообщение

Воспроизведенное выше почтовое сообщение — пример писем, получаемых потенциальными жертвами упомянутой спам-атаки. Оно имеет ряд важных признаков.

Во-первых, адрес отправителя: злоумышленники подделывают письмо таким образом, чтобы оно выглядело так, будто отправлено из корпорации Microsoft (updatemicrosoft.com). Столь нехитрым приемом киберпреступники расссчитывают заинтересовать получателей и побудить их продолжить чтение.Вместе с тем, если внимательно изучить заголовок письма, то можно увидеть, что на самом деле оно отправлено с таиландского сегмента IP-адресов.

Во-вторых, атакующие используют цветовую схему, аналогичную той, которую использует корпорация Microsoft.

В-третьих, в тексте письма есть настораживающие детали вроде неестественных символов. Это может быть связано с тем, что нестандартный набор символов используют либо злоумышленники, либо их целевая аудитория.

Наконец, имеется еще пара любопытных методов, применяемых киберпреступниками, чтобы сделать письмо более правдоподобным. Первый заключается в том, что письмо включает в себя правовую оговорку, аналогичную той, что содержится в письмах, действительно отправляемых корпорацией Microsoft.Кроме того, злоумышленники включают в письмо еще одну важную деталь, которую пользователи привыкли видеть в подобной переписке: сообщение о том, что письмо проверено антивирусом и не содержит в себе вредоносного кода.Данное сообщение содержит ссылку на популярный почтовый фильтр с открытым исходным кодом, что тоже может ввести в заблуждение кое-кого из пользователей.

Вредоносная нагрузка

После того, как пользователь прочитал письмо, загрузил содержащийся в нем архив, распаковал его и запустил содержимое, появляется сообщение, аналогичное этому:

Вредоносный код, содержащийся в письме — это CTB-Locker, одна из разновидностей программ-вымогателей. Подразделение Talos отмечает высокую интенсивность заражения подобным вредоносным ПО. Злоумышленники используют спам-атаки и эксплойт-наборы для того, чтобы распространять в Интернете множество самых разнообразных программ-вымогателей. При этом их назначение одинаково: с помощью ассиметричного шифрования заблокировать файлы пользователя таким образом, чтобы необходимый для расшифровки открытый ключ на зараженной системе отсутствовал. Кроме того, при помощи технологий Tor и Bitcoin злоумышленники получают возможность сохранять инкогнито и быстро и без лишнего риска получать денежные средства, поступающие в результате киберпреступлений.

Программа CTB-Locker имеет ряд интересных особенностей, выделяющих ее из основной массы программ-вымогателей, зафиксированных подразделением Talos. Во-первых, это тип шифрования. В то время, как большинство аналогичных программ применяет для шифрования ассиметричный алгоритм RSA,  CTB-Locker использует алгоритм эллиптических кривых. Он хоть и предоставляет похожий механизм шифрования с применением открытого и закрытого ключей, но является совсем другим алгоритмом и имеет при таком же уровне криптостойкости гораздо более высокую скорость работы и меньший размер ключа.

Во-вторых, временной интервал. CTB-Locker дает пользователям только 96 часов для того, чтобы оплатить разблокирование файлов. (Это гораздо меньше того,  что дает большинство других программ-вымогателей).

Еще одна особенность CTB-Locker заключается в механизме взаимодействия с центром управления и контроля. Последние версии программ-вымогателей для обмена информацией с центром используют зараженные сайты, построенные на технологии Wordpress. CTB-Locker, судя по всему, для этих целей использует жестко заданные IP-адреса с нестандартными портами. Кроме того, наблюдается значительный объем данных, передаваемых между CTB-Locker и центром управления и контроля, что тоже не совсем обычно для программ-вымогателей. Анализ сетевого трафика выявил около сотни активных сетевых сеансов с различными IP-адресами, при этом наиболее часто использовались порты с номерами 9001, 443, 1443 и 666.

Имеется еще несколько интересных аспектов, связанных с сетевыми коммуникациями CTB-Locker. Исследование, проведенное подразделением Talos, позволило определить доменные имена, присутствующие в передаваемых данных.Эти доменные имена еще не зарегистрированы, а исследуемые образцы пока не пытаются использовать DNS для определения адресов и связи с этими доменами. Большая часть трафика передается по портам, обычно предназначенным для работы Tor, что довольно обычно для взаимодействия вредоносного ПО со своими центрами управления и контроля.

Наконец, еще одной особенностью CTB-Locker является использование для коммуникаций порта номер 21. Этот порт ассоциируется с трафиком FTP и потому обычно не блокируется межсетевыми экранами. Тем не менее быстрый анализ данных, передаваемых CTB-Locker по данному порту, показал, что это не данные FTP, а обмен информацией с центром управления и контроля.

ИК (индикаторы компрометации)

Тема сообщения: Windows 10 Free Upgrade Вложение: Win10Installer.zip (Win10Installer.exe) SHA256: ec33460954b211f3e65e0d8439b0401c33e104b44f09cae8d7127a2586e33df4 (zip) aa763c87773c51b75a1e31b16b81dd0de4ff3b742cec79e63e924541ce6327dd (исполняемый)

Сеть Домен rmxlqabmvfnw4wp4.onion.gq

IP-адрес

Полезная информация об IP-адресах недоступна, поскольку для взаимодействия с центром управления и контроля используется технология Tor.

Заключение

Угроза, исходящая от программ-вымогателей, будет расти до тех пор, пока злоумышленники не найдут более эффективных методов получения денежной выгоды от зараженных компьютеров. В качестве меры защиты пользователям настоятельно рекомендуется делать резервные копии своих данных. При этом такие копии должны храниться вне компьютера, чтобы у атакующих не было возможности получить доступ к ним.  

Киберпреступники, повторяем, неустанно пытаются использовать любое заметное событие для обмана пользователей и заражения их компьютеров. Рассмотренная ситуация наглядно показывает, что даже обновление технологий может быть использовано к выгоде злоумышленников. Подразделение Talos работает над тем, чтобы своевременно обнаруживать и блокировать такие атаки до того, как пользователям будет нанесен ущерб.

Защита с помощью решений Cisco

Система Advanced Malware Protection (AMP) наилучшим образом приспособлена для предотвращения запуска подобного вредоносного ПО.

Решения для интернет-фильтрации CWS и WSAблокируют доступ к вредоносным сайтам и обнаруживают вредоносный код, используемый при подобных атаках.

Такие решения для безопасности сети, как система предотвращения вторженийи межсетевые экраны нового поколения, имеют актуальные сигнатуры для обнаружения вредоносной сетевой активности.

Решение для безопасности почтового шлюза ESA блокирует вредоносные письма, включая фишинговые и зараженные вложения, которые обычно являются частью кибератаки.

© Cisco Systems, 2015
© Издание 12NEWS (ИП Маринин А.Л.), 2015