17 октября 2013 в 22:29

Новая рансомварь просит биткойны

image
Зверушка под названием CryptoLocker, всплыла на Реддите и в новостях на Арс Технике.

Целевая аудитория зверя — машины от ХР до 7-ки 64-бит. Зловред распространяется в аттачах к имейлам и не детектируется антивирями сразу (реддитовцы протестировали на MSE, Trend Micro WFBS, Eset, и Касперском). Жертвы ботнета Zeus так же получили данный вирус через пуш.

Virustotal scan
Зловред использует public 2048-bit RSA ключ и берёт private ключ с C&C сервера для зашифровки документов в алфавитном порядке на диске, а так же на всех расшареных сетевых папках где имеет доступ к записи (у многих так были зашифрованы сетевые бэкапы). При активации вирус создаёт Зашифрованные файлы попадают под маску: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, *.pdf, *.tif

Закончив своё тёмное дело или при отключении от интернета, CryptoLocker выводит окошко наподобие того что вы видите вверху и просит $300 или 2BTC на определённый счёт, за расшифровку данных. На всё про всё жертве даётся 72 часа (правда таймер можно обмануть через BIOS), после чего малварь самоудаляется. Так же, на данный момент многие провайдеры уже заблокировали C&C сервера, и поэтому некоторые жертвы не смогут даже выкупить свои файлы.

От переводчика: хочется много нецензурного сказать про то что 21 век на дворе и что пора бы уже перестать открывать экзешники в аттачах, но не буду. Делайте холодные бэкапы, машу вать.
Serj Lukus @Assimilator
карма
–1,0
рейтинг 0,0
Похожие публикации
Самое читаемое Разработка

Комментарии (122)

  • +17
    Серьёзно выглядит, не чета всяким WinLocker-ам.
    • 0
      Серьезно, но не ново. Уже проходили шифрование определенных типов файлов и всех остальных весом более 10 МБ. Только тут на поток поставили процесс.
  • 0
    Да уж. Биткоины просто манна небесная для подобных зловредов. Мне даже страшновато стало
    • +57
      Боюсь люди которые используют BTC не запускают непонятные аттачи…
      • 0
        Не вижу связи. Можно подумать, что чтобы подхватить анлокер нужно обязательно аттачи запускать. Я помнится на работе справку по SQL искал. И при заходе на какой-то sql.ru (сейчас уже точно не помню, но сайт по всем параметрам был приличный) сразу хватал анлокер. А ведь это главный офис Эр-Телекома был, антивирус стоял, а у моей учётки вообще практически никаких прав не было, но пришлось профиль менять.
        • 0
          Я несколько раз натыкался на сайты с инструкциями для мобильников/фотоаппаратов, которые распространяли вирусы. И даже ловил пару раз. Очень странное ощущение.
      • +4
        В статье на реддите был пост людей которым недоступен другой способ оплаты из вируса и они пошли и купили BTC за нал и заплатили. Иронично, но каков способ популяризации BTC…
      • +4
        Не обязательно запускать аттач. Достаточно не успеть в поездке (потому что 3G в роуминге) поставить патчи на новые уязвимости.
      • +2
        Извините, но ошибочная точка зрения. Если человеку нужно будет расшифровать файлы, то он найдет — как купить биткоины, тем более к трояну прилагается подробная инструкция, хотя эти люди до этого ни разу никакой электронной валютой не пользовались.
        Моё утверждение не голословно, знаю реальные примеры.
      • +1
        Эти люди вполне могут иметь включенную джаву или флеш в браузере. Много раз уже в них находили уязвимости, приводившие к заражению.
  • 0
    а так же на всех расшареных сетевых папках где имеет доступ к записи (у многих так были зашифрованы сетевые бэкапы)
    А это уже интересно! Интересно, как от этого защититься — делать бэкапы на (ftp-)сервер с доступом только на запись, но не на чтение? Это если без программирования на самом сервере с бэкапами.
    • 0
      Делать бекапы по SSH (WinSCP как вариант для винды) с удаленного сервера, который имеет доступ к основному, но не наоборот.
      • 0
        Какие сервера, вы о чём?
        Троян для виндовс-машин, удаляет бэкапы на доступных для записи виндовс-шарах.
        • 0
          Суть не меняется. Поставить рядом бекап-машину, которая будет делать бекапы с основной машины, но так, чтобы основная машина не имела доступа (даже на чтение) к бекап-машине.
          • 0
            А на чтение-то почему нет?
            • 0
              1. Доступ с основной машины на бекап-машину просто не нужен, никакой. (Хорошо бы расположить бекап-машину на другом континенте за NAT, а данные шифровать на стороне основной машины чтобы обезопасить бекап-машину.)
              2. Если всё-таки зачем-то дать доступ на чтение, то будет риск, что из-за уязвимостей или неправильной конфигурации (мы же про виндо-шару говорим) можно будет получить и доступ на запись.
              3. Если бекапятся данные, которые не должны быть разглашены, то доступ на чтение нежелателен. Можно тогда несколько рабочих машин бекапить на одну бекап-машину. Если при таком раскладе бекап-машина давала бы основным машинам доступ на чтение, то взлом одной из основных машин давал бы возможность стащить секретные данные всех остальных машин, с которых происходит бекап. С другой стороны, можно машине давать доступ на чтение только к данным, которые были зарезервированы с этой основной машины.
    • –1
      Пользоваться Маком?
      • 0
        А толку? Если поймать аналогичный троян на маке, он так же сможет удалить/зашифровать бэкапы тайммашины.
        • +1
          Есть хоть один такой пойманный?
          • +1
            У меня и под виндой ни одного не было.
            Но и под виндой, и на маке я был уверен, что с моими ежедневными бэкапами мне не грозят подобные трояны, а тут вон оно как вышло — зловред специально ищет и удаляет бэкапы в доступных на запись сетевых папках.
  • +5
    пора бы уже перестать открывать экзешники в аттачах

    Буду КО, но большинство пользователей компьютера понятия не имеет об «экзешниках» и т.п. В винде расширения файлов по умолчанию не отображаются, только названия, поэтому определяют по иконке. Сделать иконку для exe как документ doc и почти никто не заметит разницы.
    • –2
      по умолчанию не отображаются


      Ну значит надо так:
      Включите отображения расширений файлов
      Не запускайте екзешники
      Делайте холодные бекапы
      • +13
        Это не мешает потом плакать и говорить: «Любочке говорили не открывать архивы из емэйлов. Любочку спросили после распоковки права администратора, Любочка подозревала что-то неладное… Но согласилась. „
        • +20
          Это распространенный баг всех женщин
          не знала что делать и согласилась


          А может быть это фича?
          • +8
            Тогда весь пикап можно свести к одной фразе типа:

            «Инопланетные капсуляторы транклюируют галактику, вступите в половую связь с носителем данного сообщения» да — нет.
          • +9
            Если с женщиной нет проблем, то, возможно, это не женщина. (ц)
    • +1
      Винда спрашивает подтверждение перед запуском программы, скачанной из инета, но не при открытии уже установленной программой скачанного из инета файла. Казалось бы, все видно, обо всем написано… Вот только читать никто не умеет.
      • +1
        Это же просто «Ой, Вась, какое-то окошко вылезло».
        • 0
          Это же ещё только начало! Дальше-то вот так: «Ну, так я нажимала „НЕТ“ и ничего же не происходило! Несколько раз так понажимала, (сколько же мне надо было так жать-то?), а потом нажала „ДА“ и вот… произошло....» :)
    • +4
      А зачем вообще открывать вложения неизвестно от кого? Если приходит письмо содержания «Привет, вчера тебя в городе увидела, а ты даже не оглянулся. Вот мои фотки с курорта (только не упади со стула)» и аттач. Если я семьянин и знаю, что у меня нет знакомых, которые могут такое прислать, зачем я буду это открывать?

      Людей традиционно ловят на их пороках и заставляют за это платить. Всё как всегда, ничего нового. :)
      • +3
        Главный «порок», на котором ловят, — любопытство.
      • +1
        Даже если не семьянин :)
        • 0
          даже если безвылазно живёшь не в городе
          • 0
            Вот-вот, и даже если с какой-то девчонкой зажигал на курорте — зачем открывать файлы НЕ ГЛЯДЯ?!
            • +1
              На курорте боишься заразы, открывая фотки с курорта, тоже, что удивительно, боишься. Что за девушки пошли, эх…
              • 0
                … хотя, казалось бы, при чем тут девушки? :)))
  • 0
    Не очень понятен смысл обманывать таймер в компьютере если ключ самоудаляется на сервере…
    • 0
      Видимо ключ хранится на сервере без ограничения, поскольку люди с реддита, переведя время, смогли вернуть файлы после 72 часов.
      • 0
        Тогда понятно.
      • 0
        Довольно шаткое утверждение, я тоже читал реддит и не видел там тех кто смог вернуть файлы, только тех кто подтверждал что таймер идет по часам биоса.
        Плюс исходя из опубликованного анализа доменное имя текущего сервера с ключами сидится системным временем и неправильный таймер может привести к обращению к серверу который будет уже недоступен.
        • +1
          Утверждение про то, что ключ хранится больше 72 часов, вполне логично. В момент заражения генерируется приватный ключ, который сразу заливается на сервер. После этого начинается шифрование, которое может продлиться неизвестно долго (например, из-за выключения компьютера), либо остановиться при отключении от сети. Только потом начинается отчёт на 72 часа, при этом у компьютера потенциально отсутствует возможность уведомить управляющий сервер о начале отчёта.
  • 0
    Может кто-то знает, как запретить всем программам кроме доверенных лапать мои драгоценные файлики? В винде. А остальным, скажем, запретить вылезать за пределы диска C.
    • 0
      Можно хранить свои файлы в папках, куда нет доступа ограниченным пользователям, а доверенные программы запускать с правами администратора.
    • +38
      Установить такую ОС, на которой нет диска С.
      • +1
        Такая ОС есть и стоит. Но вопрос был именно про винду.
        • 0
          Как вариант: создать ограниченную учетку, которая могла бы читать/писать только на диск C:, а весь «доверенный софт» запускать от другого юзера.
          • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        На днях 2х знакомых перевел на убунту, так как устал постоянно чистить им винду от вирусов…
        • +3
          Где ж эти люди в сети «обитают»?
          Я, уже год, с момента перехода на Windows 8, отказался от антивируса (точнее оставил стандартный от Microsoft). До этого исправно оплачивал KIS, кажется, года четыре.
          Все это в связи с тем, что ранее получал уведомления только о тех файлах, которые сам и хотел запускать — вроде каких-либо кейгенов или AdWare.
          • 0
            Есть еще люди которые наивно верят "инсталяторам мейл.ру", а попасть на сайт с такой гадостью можно случайно кликнув на какойто банер…
      • +3
        А проблема «кроссплатформенная» — запущенный под пользовательским аккаунтом зловред имеет полный доступ к пользовательской папке.
      • 0
        Он под вашими правами ваши файлы и в линуксе зашифрует, так же как в винде и макоси. Ни судо ему ни надо, ни виндового админа. Главное запустить.
        • 0
          Права на запуск в линуксе он сам себе пропишет? Или на официальном сайте приложит документацию в стиле «Я албанский вирус, для запуска нажмите правой кнопкой на скачанный файл, в выпадающем меню выберите ...далее инструкции для всех популярных файловых менеджеров...»
          • +2
            Ну если вы его хотите запустить, то значит и права пропишете. А если не хотите, то и в винде не запустите, тем более она еще раз спрашивает, что файл скачан, может быть опасным и точно ли ты этого хочешь.
            • 0
              Я не запущу, т. к. оно мне нафиг не надо.

              А вот представитель младшесредней школы/мать его/прочие прародители:

              — в винде увидит окно с предупреждением, что файл скачан из интернета, скажет «ах, ну да, мне же эту фотку только что по аське прислали, значит надо посмотреть» и без зазрений совести кликнет «запустить». В итоге получает шифров полный хард, с которым ни один «вася» не справится.
              — в линуксе увидит окно с выбором программы для открытия файла, далее либо закроет это окно, либо выберет просмотрщик изображений, который сообщит, что файл не является изображением.

              • 0
                Винда как бы тоже отличает картинки от программ. Более того, помимо того что файл скачан с инета, для программ будет еще и проверка цифровой подписи издателя и еще одно жирное предупреждение. Так что если чел несмотря на всё это запустил троян, то он точно также и в линуксе или маке запустит.
              • +1
                Вы такой наивный, что до сих пор верите во всемогущество флага «x» на файле? Вот ваш дальнейший вполне себе реалистичный сценарий:
                просмотрщик изображений начинает открывать и разбирать полученный файл, сначала детектировать его формат, затем декодировать изображение. На определенном этапе он нарывается на специально заложенный под него эксплойт и дальше начинает выполнять кусок кода, который лежит дальше. Код выполняется в контексте процесса просмотрщика и делает своё дело — шифрует файлы до которых может дотянуться имея права текущего пользователя. Обычно это достаточно много — операционка цела, да вот самые нужные файлы того… Конечно можно кивать на то, что в современное железо, сам Линукс и даже CRT библиотеки накидали дохрена всяких защит уже от наиболее популярных косяков, таких как переполнение буфера — тут и NX бит, и рандомизация места загрузки, но стоит добавить, что: a) подобных защит и в винде сейчас валом, так что у Линукса нет особых козырей и б) на каждую хитрую гайку может найтись свой болт с левой резьбой.

                И это мы только вариант технологический рассмотрели, с эксплойтами и хайтеком. Социальный инжиниринг тоньше и зачастую даже проще.
                • +2
                  0) Процент линукса довольно мал, и всерьез на него усилия никто не тратит. Грех этим не пользоваться.

                  1) Линуксов много и разных, наваять троян, который бы сработал под значимым процентом систем — гением (или редкостным занудой) быть надо. Тех же просмотрщиков — десятки. Плюс наличие репозитория сильно способствует выбору всякого альтернативного софта.

                  2) в отличие от windows, где обновления затрагивают только систему, в линуксе централизованно обновляется весь стандартно установленный софт, а ставить стороннее как-то не принято, исключая что-то совсем большое типа стима с играми. Плюс практически отсутствует статическая линковка и привычка таскать библиотеки с приложением. Всё это даёт свой выигрыш в плане борьбы с атаками через переполнение буфера и тому подобное.

                  Ну и плюс сейчас идут подвижки в сторону более жесткой изоляции приложений — к примеру, просмотрщик при запуска может сбросить ненужные для работы привилегии — вплоть до того, что не сможет после этого вообще файлы открывать. Есть ли в Windows аналогичная механика — не знаю. В общем, не зря как-то ни разу и не слышно было о реальных случаях эксплоитов на линуксовых рабочих станциях.

                  Ну а социальная инженерия — это да, лечится только обучением не «пользоваться» компьютером как микроволновкой, а все же понимать, что происходит, хотя бы поверхностно. Оно и для эффективной работы крайне полезно, но как-то не в моде…
    • +1
      В Agnitum Outpost Firewall Pro есть «Защита файлов и папок»:
      Вы можете заблокировать доступ к вашим персональным данным (документам, файлам, папкам, фотографиям и т.д.) или защитить критичные папки системы. После этого защищенный элемент будет недоступен другим пользователям и приложениям, пока не будет введен пароль, защищающий конфигурацию.


      Впрочем, использование Outpost и аналогочных продуктов (фаерволл с HIPS) уже само по себе, скорее всего, не допустит выполнения сомнительных действий.
    • +2
      Не спасет. Нормальная малварь может инжектиться почти в любые процессы. А если это происходит с помощью недокументированных методов, то событие инжекта практически не отловить. Аминь.
      • 0
        Нельзя так просто взять и инжектнуться в процесс, запущенный из-под другого пользователя.
        • +1
          Конечно. А зачем над другой пользователь? Криптеры отлично работают и под текущим. Вот запущен у меня msword (гипотетически, конечно). Где-то подцепил криптор, криптор инжектится в процесс ворда и шифрует файлы. Всё чин-чином, процесс доверенный, образ подписан, только вот в памяти процесс уже с инжектом и фига вы это отловите при «правильном» инжекте. Потому и аминь. Потому пока 2 пути противодействия — принудительный бэкап файлов в недоступное юзерским процессам место и поведенческий анализ.
          Рекламировать вендора АВ не буду, кому надо сам найдет =)
          • 0
            Как «зачем другой пользователь»? Чтобы запускать от его имени доверенные приложения, разумеется.
    • 0
      А что у вас на диске С делают все программы, кроме доверенных?
      • +3
        Они могут там делать что угодно. Диск С мне не жалко, если сдохнет — переустановлю и все. Документы намного критичнее.
        • 0
          Если документы важные, то лучше хранить их в дропбоксе с локальными копиями на всех машинах. Тогда чтобы потерять их, нужно будет одновременно словить вирус на всех машинах и лишиться аккаунта в дропбоксе. Альтернатива — гугл-документы. И лучше не пользоваться виндой при работе с важными документами. Хранить уж тогда все документы в формате LaTeX в гите под линуксом и делать автоматические бекапы с независимых серверов. (Я понимаю, что последний вариант недоступен, он адресован пользователям линукса в первую очередь.)
          • 0
            >Если документы важные, то лучше хранить их в дропбоксе с локальными копиями на всех машинах

            Ну в общем я так и делаю, только вместо дропбокса BTSync. Думал, может человеческая мысль дошла до чего-то еще.

            • +1
              Могу посоветовать свою разработку, если это уместно. Этот python-скрипт разбивает все файлы в папке на небольшие куски, шифрует, применяет стеганографию и загружает на файлообменные серверы вроде меги. На выходе bash-скрипт, который выкачивает данные с файлообменников и воссоздает исходные файлы. Можно повышать надежность, загружая каждый кусочек несколько раз. Видимо, работать будет только под UNIX.
          • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Дропбокс — это всего лишь папка, её содержимое открыто на чтение/запись и там тоже можно все попортить

            GIT — это хорошо, для документов, но не знаю, стоит ли туда мои 500Г+ фоток и семейное видео заливать. Да и хостить то где?

            • 0
              там можно версии файлов откатывать
            • 0
              ледник амазоновский может помочь, вирусу придется основательно подождать, чтоб и там напортачить.
            • –2
              Фотки и семейное видео лучше всего заливать в зашифрованном виде в платные облака. Но лучше делать это с Linux, чтобы снизить риск, что кто-то взломает компьютер и уведет аккаунт на облаке. Тот же дропбокс подойдет, но есть варианты дешевле. Ещё нужно делать бекапы на внешние жесткие диски, но ограничиваться этим не стоит, особенно если эти диски хранятся в одном помещении с оригиналом.
          • +1
            Если документы важные, то лучше хранить их в дропбоксе

            С таким подходом ждите замену мыла/пароля на дропбокс в ближайшей версии криптолокера.
            • 0
              Останутся локальные копии на других компьютерах.
    • 0
      Политикой безопасности Windows 7 Ultimate и 8 Enterprise можно запретить запуск всех ехе без цифровой подписи.
      Ну или позволить запуск только тех, которые уже установлены.
      • 0
        И чем это поможет? Мало ли китайских нонейм девелоперов с цифровой подписью?
        • 0
          Вы частично правы, но очень редко попадаються вирусы с цифровой подписью, но это и так снизит вероятность запуска зловредов.
          Можно создать список доверенных издателей и по цифровой подписи позволять для них запуск.

          Надежность любых антивирусов сомнительна, поэтому я предпочитаю вариант заблокировать запуск всех программ что находяться не в папках %programfiles% и %windir%.
          Временные программы запускать на виртуальной машине с откатом состояния после закрытия.
          А программы необходимые постоянно, сначала вирустоталом проверить, а потом от имени другого пользователя, которому позволен запуск, устанавливать программу.
          • 0
            Ну так это немногонамного больше, чем просто галку про запрет выполнения программ без цифровой подписи поставить. Кстати, в вашем варианте с запретом запуска из левых папок, как вы инсталляторы софта запускаете?
            • 0
              А я и не говорил что это просто галка. Но это дефолт настройки политики безопасности AppLocker.
              Создаю папку, например D:\Secure
              И всем программам, скриптам и инсталляторам которые в этой папке разрешаю доступ на запуск.
              Простейший вариант скопировать туда программу и запустить.

              Другой, сделать себе ограниченную учетную запись и отключить ограничения запуска для администратора.
              В таком случае запуск «от имени..» администратора с вводом пароля будет возможен с любой папки.
    • 0
      Этим поидее должен заниматься поведенческий анализатор антивируса. массовая модификация важных файлов должна вызвать подозрения у антивируса, а непрерывное резервное копирование позволит откатить эти изменения когда такое действие будет выявлено.

      В Виндовс начиная с NT есть такая редко используемая вещь как «белый список» — позволяет ограничить запуск любых приложений ограниченным перечнем. Вещь довольно строгая и опасная, т.к. им может воспользоваться сам троян(если он получит привилегии путем использования уязвимости) и тогда вы фиг что сделаете — первым в расход пойдет антивирус и диспетчер задач.
    • 0
      nod 32 версии 5+ и грамотно настроенный HIPS в нем
  • 0
    Подскажите, а если браузер запущен в песочнице, скажем, Аваста, это предотвратит такую проблему?
    • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Эта зараза, насколько мне известно, шифрует файлы последовательно, т.е. создает шифрованную копию файла, а потом удаляет оригинал. Поэтому теоретически есть возможность восстановить с диска спец-софтом типа EasyRecovery…
    • 0
      Скорее всего, файл просто открывается в режиме записи и данные перезаписываются поверх текущих. Так что шансы асимптотически приближаются к нулю.
      • 0
        К тому же, если файл имеет такую же длину и имя как оригинал, велики шансы, что ОС запишет его поверх старого в любом случае.
        • 0
          Любителям ZFS и snapshots будет проще (винду по iscsi поднять)
    • 0
      для SSD это совсем не вариант.
  • НЛО прилетело и опубликовало эту надпись здесь
    • –1
      Так там же указали USD ;)
      • +2
        Но это же все равно similar amount in another currency!
  • 0
    «берёт private ключ с C&C сервера для зашифровки документов» — хотелось бы узнать у тех кто это написал: а не хватит ли им для шифрования публичного ключика? :-D

    Есть довольно сильные подозрения, что там не чистое RSA шифрование файлов, точнее вовсе и не RSA, а AES…
    • +1
      Ну, если хотите информацию поточнее то он использует рандомные(?) AES ключи для шифровки файлов, а потом шифрует каждый AES ключ одним RSA ключом с сервера и добавляет этот шифрованный blob в тело зашифрованного файла. На реддите расписано.
      • +1
        Не находите, что это сильно отличается от написанного на хабре? :-)
      • 0
        Конечно же рандомные, а какие еще?
  • 0
    А на какой адрес просят прислать BTC?
    Можно отследить сколько и куда ушло через этот сайт например.
    • 0
      Думаю, скорее всего ушло на биржу или сервис отмывания. Если пропустить биткоины через пару бирж или сервисов отмывания, то отследить их новый адрес (не говоря о владельце) уже очень сложно. И это не учитывая, что их могли распределить по немногу на тысячу адресов. В публичной истории эти адреса будут просто какими-то кошельками, на которые через транзакцию с многими входами и многими выходами насыпалось немного денег. Когда-то с них деньги уйдут, опять же непонятно куда и зачем. История вроде публична, но без привязки кто есть кто. Если проводить аналогию с IP, то там всё наоборот: в публичном доступе нет информации об IP-адресах посетителей сайта, зато по IP-адресу можно определить, кому он принадлежит.
  • +3
    Так же, на данный момент многие провайдеры уже заблокировали C&C сервера, и поэтому некоторые жертвы не смогут даже выкупить свои файлы.
    Потому что неправильная схема. Там где есть биткоин, не нужен центральный сервер. Silk Road на этом уже погорел.

    Как можно было всё сделать: шифровать всё симметричным ключом, который шифровать при помощи публичного ключа RSA и просить прислать этот шифрат вместе с платежом (blockchain.info позволяет прикреплять сообщения к платежам). Затем жулик, получив симметричный ключ, зашифрованный RSA, вместе с деньгами, расшифровывает симметричный ключ при помощи своего приватного ключа RSA и высылает жертве назад вместе с символическим платежом. Не нужно держать серверов, не нужно даже с тором заморачиваться. И нет риска блокировки. Адрес для пересылки денег можно использовать каждый раз новый, чтобы blockchain не запретил пересылку сообщений на этот адрес, к примеру. Создавать адрес можно на стороне клиента, без участия сервера (эта функциональность есть в Electrum, Master Public Key). Хм, интересно, прочитают ли этот комментарий авторы CryptoLocker.
    • 0
      Надеюсь, его не прочитаю десятки их «коллег». У этого и так все неплохо со схемой.
      • +2
        а смысл? эта схема же очевидна.
        • 0
          Если бы вы знали, какое овно троянопейсатели пишут для шифрования данных, вы бы так не говорили :-) Я потому и не пишу ничего про то как надо — самому же потом это расшифровывать :-(
          • 0
            А, Вы в Dr.Web работаете :-). По-моему, если уж пишут такое, то пусть пишут так, чтобы оплата гарантировала расшифровку, так вреда будет меньше. Кому данные дороже денег — тот заплатит, а остальные переустановят ОС. А если расшифровка держалась на сервере, который заблокировали по просьбе антивирусных компаний, то часть людей, готовых платить, потеряет ценные данные. Пользуясь случаем, спрошу: часто ли авторы таких вирусов присылают пароль для расшифровки, если им платить? Правда ли, что в антивирусных компаниях есть правило ни в коем случае таким не платить?
            • 0
              Ну так гарантия расшифровки — держать все необходимое в самом зашифрованном файле. И такие надежные схемы есть ;-)

              По поводу оплаты и расшифровки ничего сказать не могу: до меня доходит едва ли процент из всех заплативших, как я прикидываю. За другие компании не скажу, но мы не платим. Теоретически, возможна ситуация, когда разовая оплата позволит расшифровать данные очень многим, в таком случае вопрос будем рассматривать особо.
              • 0
                Спасибо за ответы!
                держать все необходимое в самом зашифрованном файле. И такие надежные схемы есть ;-)
                Надежные для дешифровки, но убыточные для автора вируса. Напомнило
                Один раз удалось закейгенить RSA-1024 только потому что разработчик был так любезен и оставил в коде открытым текстом приватный ключ
                отсюда.
                • 0
                  Вот пускай такое школоло и не знает, как надо :-)
  • 0
    Возможно, мнение моё будет непопулярным, но самый эффективный способ бороться с такими жуликами — никогда не платить им. Это тяжело, когда проблема касается тебя, но, с другой стороны, с чего бы это верить жулику, что он потом файлы расшифрует?..
    Естественно, бэкапами лучше заниматься заранее. По опыту, неперезаписываемые DVD, при всей своей архаичности, иногда оказываются самым надёжным средством.
    • –2
      Возможно, моё мнение будет ещё более непопулярным. Верить жулику можно, если он расшифровал данные другим. Люди же верят антивирусам, хотя они не всегда справляются. Самый эффективный метод — никогда не пользоваться популярными пропритарными операционными системами и не уповать на антивирусы. Когда я в такую ситуацию попадаю, я понимаю, что это только моя вина, а не жулика. Если человек простудился, виноват он сам (например, ходил на ветру в легкой одежде), а вовсе не микробы, которые воспользовались его слабостью.
  • –4
    Прямо к релизу новой убунты стал появляться? Хмм…
  • +2
    и что пора бы уже перестать открывать экзешники в аттачах,

    Не обязательно — сам видел другой механизм распространения. На почту пришло резюме, в аттаче docx с макросом, девушка открыла в ворде — и понеслась. Нам не страшно, бэкапится все, поэтому просто выдернули патч-кордиз ее компьютера, сделали восстановление системы, прогнали проверку и восстановили все из бэкапов.
    Я, как линуксоид, ради прикола запустил в openoffice, не выполнился, просто открылся текст макроса. Если файл еще где-то остался, могу выложить текст макроса, для интереса
    • +1
      Давайте :)
      • 0
        после запуска создал каталог

        melihov@sup-pm7:~/Desktop$ ls /tmp/
        luki1qqm.tmp

        я его затарил, выкладываю, только аккуратнее =)

        также открылось окно с содержимым

        MZP#########��##�#######@#######################################�####�	�!�#L�!��This program must be run under Win32
        $7########################################################################################################################################PE##L###Z�Q########�#��#####�	##@###�
        #pN###�
        ##`####@##########################�######Vy
        ##########@##########################��##�####`##�5###########�	#�###################################(P######################################################UPX0#####�
        #########################�##�UPX1#####�	##�
        ##�	#################@##�.rsrc####@###`###8###�	#############@##�###########################################################################################################################################################################################################################################################################################################################################################################3.09#UPX!
        	#
        l�###��#�##f~	## ##&##��w��##@###Boolean##	*#Fa���lse#True#System##��42##AnsiCh�v�arW�#4�.P6	#/���K#�hf##ShortInt#��#����7mall#�2�97�#,eger#b��]{94�/#By�?#k��/W�d��##P��~�oi�r#[���CaV*��w��#_#�####6+_��4/�#?8#U��ekAy�FX>#���
        
        


        также прикладываю сам файл

        не балуйтесь, дешифратора у меня нет!
  • +1
    Его можно использовать, если вдруг нагрянет налоговая! Были данные и нет данных! Вирус же!
    • НЛО прилетело и опубликовало эту надпись здесь
      • +3
        А сумму выкупа потом можно будет вычесть из налогов?
  • 0
    Я родственникам ставлю Online Armor, в этой программе есть режим белых списков — очень помогает неопытным пользователям случайно не запустить бинарный файл.
    Также ставлю dropbox со скриптом копирования важных файлов раз в месяц. Тут немного подробностей: av.3dn.ru/news/virusy_vymogateli_shifrovalshhiki_kak_rasshifrovat_fajly/2013-09-21-22

    В общем, защититься от таких неприятностей несложно. Даже неопытному юзеру.
  • 0
    Недавно пытался знакомится с такой штукой.называется «itstimetopay». Не было никаких *.exe. Была PDFка говорят. комп прогнали всеми антивирусами все что можно удалили, просрочили время оплаты потом принесли мне-мол восстанови как нибудь…
    Сразу подумал про R studio — но не прокатило. Итог: документация и фоточки превратились в ненужный мусор…
    Вот думаю как уберечься от такого. Похоже выход только в резервном копировании — но оно раз в сутки… то есть потери все равно…
    • 0
      в моем случае во вложении exe с иконкой pdf
      • 0
        Я к сожалению тушку ни в каком виде не смог найти… может и иконка была.Если иконка тогда доменной политикой можно запретить запуск *.exe.
  • 0
    Так, пора обновить важные бэкапы на болванках. Как бы не забиыть только? Узелок на палец, крестик нарисовать на руке?..

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.