ВИРУСЫ-ШИФРОВАЛЬЩИКИ

Рангулов  Артур  Вильнурович

студент  3  курса,  кафедра  автоматики  и  телемеханики  ПНИПУ,  РФ,  г.  Пермь

Е-mail:  rangulov.artur@mail.ru

Еременко  Николай  Николаевич

студент  3  курса,  кафедра  автоматики  и  телемеханики  ПНИПУ,  РФ,  г.  Пермь

Е-mail:  eremenko.nick@gmail.com

Кротова  Елена  Львовна

научный  руководитель,  канд.  физ.-мат.  наук,  доцент  ПНИПУ,  РФ,  г.  Пермь

В  настоящее  время,  троянцы-шифровальщики  являются  одной  из  самых  актуальных  угроз  безопасности.  По  информации  производителя  антивирусных  средств  «Доктор  Веб»,  количество  разновидностей  подобных  вирусов,  появившихся  в  2006—2007  годах,  увеличилось  на  1900  %  всего  за  два-три  года  [5].  Эти  вредоносные  программы  сначала  выполняют  криптографическое  преобразование  пользовательских  файлов  на  жестком  диске  определенных  форматов,  например  таких  как  *.doc,  *.docx,  *.pdf,  *.jpg,  *.rar,  после  чего  размещают  требования  для  расшифровки  файлов  в  текстовом  документе  и/или  на  новом  изображении  рабочего  стола.  Сумма,  запрашиваемая  злоумышленниками,  может  достигать  десятки  тысяч  долларов.  Этому  семейству  вирусов  были  даны  следующие  названия  Trojan-Ransom  в  классификации  «Лаборатории  Касперского»  и  Trojan.encoder  в  "DrWeb"  [1].

Для  шифрования  данных  вирусы  используют  различные  алгоритмы  от  самых  простых  булевых  функции  "XOR"  до  методов  симметричного  шифрования  (DES,  AES,  Blowfish  и  другие)  и  для  криптостойких  алгоритмов  расшифровка  данных  без  ключа  практически  невозможна.

В  большинстве  случаев  пользователь  конечного  устройства  сам  является  виновником  запуска  (активации)  шифровальщика.  Одним  из  способов  заражения  является  попадание  троянца  в  систему  через  спам-рассылки  на  электронную  почту  [5].  К  примеру,  попадание  Trojan.Encoder.225  в  систему  возможно  с  письма,  который  будет  содержать  вложенный  текстовой  документ  расширения  ".doc",  содержащий  эксплойт  к  уязвимости  CVE2012-0158,  позволяющая  удаленному  пользователю  выполнить  произвольный  код  на  целевой  системе  [2].  Вирус  проникает  в  систему  пользователя  при  помощи  уязвимости  Microsoft  Office.  Троянец  Trojan.Encoder.94  нередко  скачивается  на  компьютер  жертвы  с  использованием  бэкдора  BackDoor.Poison,  который,  в  свою  очередь,  массово  рассылается  в  письмах  с  вложенными  файлами  [3]. 

Новые  модификации  вирусов-шифровальщиков  могут  быть  не  распознаны  ни  одним  из  антивирусов,  из-за  того,  что  при  создании  вредоносного  кода  злоумышленники  используют  различные  методы  сокрытия  вредоносных  намерений,  и  выдать  вирус  может  только  его  поведение.  Таким  образом,  используя  только  антивирусное  ПО,  которое  не  содержит  хотя  бы  превентивную  защиту,  родительский  контроль,  а  также  иные  средства  ограничения  возможности  проникновения  и  запуска  еще  неизвестных  антивирусной  базе  вредоносных  программ,  пользователь  подвергается  повышенной  опасности  заражения  троянцем-шифровальщиком.

В  настоящее  время  наиболее  совершенным  вирусом  является  Trojan.Encoder.686,  альтернативное  названием  которого  CTB-Locker.  Особенность  данного  троянца  состоит  в  том,  что  его  управление  происходит  через  гибридную  анонимную  сеть  Tor,  в  которой  сложно  найти  следы  злоумышленников.  Данный  шифровальщик  использует  алгоритм  Диффи-Хеллмана  на  эллиптических  кривых  (Elliptic  Curve  Diffie-Hellman).  Вирусописатели  дают  заразившемуся  пользователю  всего  96  часов  на  оплату,  а  в  случае  отказа  все  файлы,  которые  были  зашифрованы,  будут  потеряны  навсегда.  На  сегодняшний  день,  расшифровка  зашифрованных  данных  не  возможна  [5].

Другой  опасный  вирус  —  CryptoLocker.  Особенность  данного  шифровальщика  так  же  состоит  в  конечном  времени  (72  часа)  возможности  оплаты  выкупа  и  расшифровки  данных,  в  противном  случае,  ключ  шифрования  удаляется,  после  чего  становится  невозможным  расшифровать  файлы.  Данный  вирус  использует  для  шифрования  RSA  и  AES  алгоритмы  вместе.  На  данный  момент  все  ещё  не  существует  эффективного  метода  расшифровать  свои  данные,  кроме  как  заплатить  выкуп  злоумышленникам  и  получить  ключ.  Но  необходимо  уточнить,  что  выполнение  условий  злоумышленников  не  всегда  позволяет  вернуть  свои  файлы,  так  как  злоумышленники  могут  просто  не  открыть  ключ  шифрования.

К  необходимым  рекомендациям  по  противодействию  можно  отнести  следующие  пункты:

1.  Ограничивать  привилегии  пользователей.  Если  пользователь  не  имеет  определенных  прав  на  запуск  новых  приложений,  вирус  не  сможет  выполнить  свои  действия,  но  так  же  необходимо  обновлять  систему,  так  как  не  обновленная  версия  может  содержать  уязвимости,  с  помощью  которых,  вирус  сможет  повысить  свои  привилегии. 

2.  Внимательно  относиться  к  файлам,  полученным  из  неизвестных  источников.

3.  Своевременно  обновлять  базы  данных  сигнатур  вирусов  и  антивирусное  ПО.  Это  позволит  уменьшить  вероятность  заражения  уже  известными  вредоносными  программами.

4.  Создавать  резервные  копий  важных  данных  с  регулярной  периодичностью.  Причем,  необходимо  хранить  эти  копии  вне  устройства.  Это  дает  возможность  просто  восстановить  данные  любой  экстренной  ситуации  и  обойтись  без  серьезных  потерь.

Если  система  все  же  подверглась  заражению,  необходимо  обратиться  в  полицию,  есть  вероятность  найти  злоумышленников  и  получить  ключ  для  расшифровки.  Не  нужно  удалять  тело  вируса,  возможно,  оно  поможет  в  расшифровке  файлов,  так  же  не  нужно  изменять  расширения  файлов,  удалять  их.  Далее  необходимо  определить  версию  вредоносной  программы.  Для  этого  нужно  обратить  внимание  на  расширение  зашифрованных  файлов,  адрес  для  связи  со  злоумышленниками,  по  этой  информации  можно  идентифицировать  версию  вируса.  Если  данный  вирус  уже  был  анализирован  и  был  создан  дешифратор  —  есть  возможность  восстановить  зашифрованные  файлы.  Например,  компанией  «Лаборатория  Касперского»  был  создан  дешифратор  XoristDecryptor  для  противодействия  вирусам  семейств  Trojan-Ransom.Win32.Xorist,  Trojan-Ransom.MSIL.Vandev.  Но  не  следует  восстанавливать  информацию  с  помощью  сторонних  программ,  не  предназначенных  для  этой  версии  вируса.  Так  же  разработчики  антивирусных  программ  нередко  помогают  в  восстановлении  данных  своим  клиентам,  для  этого  нужно  обратиться  к  специалистам  в  службу  поддержки.

Несомненно,  вирусы-шифровальщики  являются  одной  из  серьезных  угроз  для  пользователей  и  нельзя  недооценивать  их  способности,  ведь  в  результате  заражения  рядовые  пользователи  могут  потерять  важные  для  себя  файлы,  а  компании  —  огромные  средства,  в  связи  с  шифрованием  необходимых  для  работы  данных.  Поэтому  мошенники  постоянно  будут  получать  прибыль,  ведь  для  кого-то  проще  заплатить  несколько  тысяч  долларов,  чем  потерять  гораздо  большие  суммы  в  результате  простоя.  К  тому  же,  бесспорно,  что  алгоритмы,  по  которым  работают  шифровальщики,  будут  становиться  все  более  совершенными,  делая  восстановление  файлов  без  оплаты  гораздо  сложнее.  Одним  из  способов  улучшения  являются  средства  анонимизации,  которые  будут  мешать  обнаруживать  источники  распространение  вирусов  по  сети.

Следуя  приведенным  в  статье  простым  рекомендациям,  будет  возможным  снизить  вероятность  заражения  системы,  так  как  инфицирование,  в  основном,  происходит  из-за  недостаточной  осведомленности  и  внимательности  пользователя  и/или  неправильной  настройки  системы.

Список  литературы:

1. Вирусная  библиотека  Dr.Web  /  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://vms.drweb.ru/search/?q=Trojan.Encoder  (дата  обращения  12.05.  2015).
2. Выполнение  произвольного  кода  в  Microsoft  Windows  //  Информационный  портал,  оперативно  и  ежедневно  рассказывающий  о  событиях  в  области  защиты  информации,  интернет  права  и  новых  технологиях.  —  01.05.2014.  /  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.securitylab.ru/  vulnerability/422990.php  (дата  обращения  18.05.  2015).
3. Очередная  волна  троянцев-шифровальщиков  /  /  Новостная  лента  компании  «Доктор  Веб».  —  20.06.2013  /  [Электронный  ресурс]  —  Режим  доступа.  —  URL:http://www.freedrweb.com/show/?i=3633&c=19&lng=ru  (дата  обращения  05.05.  2015).
4. Синицын  Ф.  Новое  поколение  вымогателей  //  Вирусная  энциклопедия.  —  24.07.2014  /  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  https://securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej/  (дата  обращения  05.05.  2015)
5. Троянцы-шифровальщики.  Угроза  №  1  /  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://antifraud.drweb.ru/encryption_trojs/?lng=ru  (дата  обращения  13.05.2015).