Check Point заблокировала кибервымогателя Cryptolocker

Check Point заблокировала кибервымогателя Cryptolocker

Компания Check Point, сообщает о том, что группа аналитиков Check Point провела исследование активности вредоносной программы Cryptolocker, случаи заражения которым в последнее время участились. В рамках анализа ученые создали специальную систему-ловушку (sinkhole), имитирующую работу центра управления (Command&Control Centre, C&C), чтобы изучить и оценить заражение в реальной среде. Анализ коммуникации инфицированных клиентов подтверждает, что количество жертв продолжает расти, причем большая часть пострадавших находится в США и Великобритании.

Исследование позволило создать интеллектуальные сигнатуры для программных блейдов Anti-Bot и Antivirus, которые затем были переданы в облачный сервис Check Point ThreatCloud. Эти сигнатуры блокируют коммуникации с серверами C&C, эффективно предотвращая умышленное шифрование данных хакерской программой. В результате за первые дни после создания сигнатур на этапе активного распространения зловредного ПО Check Point детектировала и остановила заражение Cryptolocker более чем в 50 организациях, сэкономив им до $500 000.

Cryptolocker представляет собой разновидность вредоносного ПО, известного как ransomware, или кибервымогательство. Его бурное распространение началось в сентябре 2013 года. Как и другие формы подобных программ-вымогателей, Cryptolocker устанавливается на компьютер жертвы и работает в фоновом режиме, шифруя разнообразные данные пользователя, при этом оставаясь незаметным для него. Известно, что Cryptolocker ищет и кодирует файлы следующих типов:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Завершив шифрование файлов, Cryptolocker сообщает пользователю, что его файлы были «взяты в заложники», и требует выкуп в пользу злоумышленников за ключ, который позволит их расшифровать. Размер выкупа обычно составляет от 300 Евро или $300 США, и увеличивается до 10 биткоинов (около $3 800), если пользователь не заплатит деньги сразу же. Далее в сообщении говорится, что в случае невыполнения пользователем требований срока оплаты (обычно не более 4 дней), ключ будет вовсе удален с серверов, и восстановление данных жертвы станет невозможным.

Следует отметить, что в настоящее время не существует альтернативного метода для восстановления доступа к зашифрованным файлам.

ThreatCloud блокирует C&C и помогает победить Cryptolocker

Важной особенностью Cryptolocker является необходимость вредоносного агента инициировать коммуникацию с центром управления (C&C) перед тем, как начать процесс шифрования файлов. Сразу после установления связи с C&C, сгенерированный сервером уникальный открытый ключ передается агенту для шифрования данных на компьютере пользователя.

Таким образом, самый эффективный способ борьбы с Cryptolocker – это обнаружение и блокировка изначальной коммуникации агента с сервером C&C, необходимой для запуска процесса шифрования. Cryptolocker использует алгоритм Domain Generation Algorithm (DGA) для поиска серверов C&C, с которыми можно настроить коммуникацию. В результате каждый день перебирается порядка 1 000 доменов, генерируемых и запрашиваемых образцами Cryptolocker.

Благодаря реверсивному алгоритму было возможно получить предварительно сгенерированные таблицы Cryptolocker DGA для каждого дня. В результате группа исследователей Check Point научилась предсказывать целевые ссылки URL серверов C&C, с которыми могут связываться агенты Cryptolocker. Это и позволило создать «умные сигнатуры» для блейдов Check Point Anti-Bot и Antivirus. Постоянно обновляясь для всех пользователей ThreatCloud, эта защита блокирует доступ к серверам C&C Cryptolocker и, таким образом, не позволяет запустить процедуру шифрования.

После появления такой защитной функции в ThreatCloud, статистика, собранная с различных шлюзов Check Point по всему миру, показала успешное блокирование сотен инцидентов с Cryptolocker в более чем 50 различных организациях, и все это без каких-либо обновлений или изменений со стороны администраторов. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Windows 11 получила интеграцию с 1Password в новой Dev-сборке

Microsoft выпустила первую превью-версию Windows 11 25H2 для участников Dev-канала программы Windows Insider. Пока изменений не так много, но среди них есть одна действительно любопытная фишка — глубокая интеграция с менеджерами паролей.

Первыми на эту новинку откликнулись ребята из 1Password. Теперь Windows Security может использовать passkey, хранящиеся в этом менеджере паролей.

Причём все новые ключи по умолчанию тоже будут сохраняться туда, а не в «родную» систему Windows.

Чтобы всё это заработало, нужно обновиться до Dev-сборки 26200.5670 (KB5060838) и установить бету 1Password. Есть надежда, что поддержку добавят и в стабильную версию Windows 11 24H2 — чуть позже, с одним из накопительных апдейтов.

Кроме 1Password-интеграции, в сборке починили кучу мелких (и не очень) багов:

  • Исправили вылеты домашней страницы «Проводника», особенно при первом запуске.
  • Больше нет дублей в списке, если тыкать на закреплённые в меню «Пуск» директории.
  • Устранён баг с ctfmon.exe, который вылетал слишком часто и мешал вводу текста.
  • Починили утечку памяти, связанную с показом слайд-шоу на экране блокировки.
  • Вернули нормальный звук загрузки Windows 11, вместо случайного «ретро» из Vista.
  • Сделали надписи в диалоговых окнах более чёткими и читаемыми.
  • Настройки отображения иконок на рабочем столе больше не сбрасываются.

Есть и ложка дёгтя: некоторые пользователи жалуются на ошибку установки 0x80070005 — система откатывает обновление. Microsoft знает о проблеме и работает над решением.

А пока временный лайфхак: зайти в Настройки → Система → Восстановление и попробовать установить апдейт ещё раз через Windows Update.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru