Крипто-вымогатели научились обходиться без серверов

[Лида]

 

Сегодня среди всех вредоносных программ наибольший ущерб наносят программы-вымогатели, так называемые Ransomware (от англ. «ransom» - выкуп и «software» - программное обеспечение). Специалисты «Лаборатории Касперского», подводя итоги в области кибербезопасности за 2015 год, отметили, что рост распространения программ-вымогателей резко увеличился.

 

В последнее время, создатели блокировщиков решили повысить их эффективность за счёт использования технологии блокчейна. Суть программ-вымогателей заключается в шифровании данных и получении за это выкупа. Если раньше выкупаемый ключ для расшифровки данных размещался на нескольких взломанных сайтах, то теперь для доставки ключа жертве используется сам Биткойн.

 

Впервые этот метод был замечен в недавно появившейся версии CTB-Locker (троян-шифровальщик, который парализует работу веб-сайтов). До этого для расшифровки данных PHP-вариация CTB-Locker использовала скрипт access.php. Он размещался на нескольких взломанных сайтах и служил способом доставки ключа после выплаты выкупа, что было не очень надежно: владельцы заражённых сайтов могли вычислить программу-вымогателя, восстановить работу сайта и усложнить задачу преступникам. Тогда злоумышленники придумали новый метод.

 

В отчёте экспертов Sucuri (калифорнийская компания, которая занимается разработкой и продажей сервисов для обеспечения безопасности сайтов) метод доставки ключа с помощью технологии блокчейна описывается следующим образом. В протоколе Биткойна (с 2014 года) есть поле OP_RETURN, содержащее небольшой произвольный текст, которым можно сопроводить транзакцию.

 

При каждом случае заражения CTB-Locker генерирует новый уникальный номер индивидуального кошелька, на который жертва перечисляет выкуп. На тот же кошелёк преступники активизируют фиктивную транзакцию, включив ключ дешифровки в поле OP_RETURN. И даже если система не утверждает совершение транзакции, последняя некоторое время отображается в блокчейне, и ее можно проверить на сайтах, подобных blockexplorer.com или blockchain.info.

 

Затем, скрипт CTB-Locker задействует API blockexlorer.com для проверки истории транзакций в каждом кошельке и «вытаскивает» ключ дешифровки. Таким образом, киберпреступники решили максимально оградить свои вирусные кампании от влияния сторонних факторов, в том числе взлома сайтов. Эксперты компании Sucuri говорят, что анонимность Биткойна способствует этому. Так, его можно, хотя и крайне ограниченно, использовать для хранения вредоносного кода или команд.

 

Недавно был найден новый вирус Jigsaw («Пила») - программа-вымогатель, получившая название в честь героя фильма ужасов, несколько изменённый текст которого цитирует вирус:

 

 

Читать полностью

Изменено 19 апр 2016, 21:02 пользователем Tomcat_MkII

[mamin.t.r]

Что касается вируса из кинофильма Пила  (вируст от Petya) вот статья про него https://geektimes.ru/company/icover/blog/273534/

а тут статься как не платить Пете за расшифровку https://geektimes.ru/post/274104/