Check Point заблокировала кибервымогателя Cryptolocker

Check Point заблокировала кибервымогателя Cryptolocker

Компания Check Point, сообщает о том, что группа аналитиков Check Point провела исследование активности вредоносной программы Cryptolocker, случаи заражения которым в последнее время участились. В рамках анализа ученые создали специальную систему-ловушку (sinkhole), имитирующую работу центра управления (Command&Control Centre, C&C), чтобы изучить и оценить заражение в реальной среде. Анализ коммуникации инфицированных клиентов подтверждает, что количество жертв продолжает расти, причем большая часть пострадавших находится в США и Великобритании.

Исследование позволило создать интеллектуальные сигнатуры для программных блейдов Anti-Bot и Antivirus, которые затем были переданы в облачный сервис Check Point ThreatCloud. Эти сигнатуры блокируют коммуникации с серверами C&C, эффективно предотвращая умышленное шифрование данных хакерской программой. В результате за первые дни после создания сигнатур на этапе активного распространения зловредного ПО Check Point детектировала и остановила заражение Cryptolocker более чем в 50 организациях, сэкономив им до $500 000.

Cryptolocker представляет собой разновидность вредоносного ПО, известного как ransomware, или кибервымогательство. Его бурное распространение началось в сентябре 2013 года. Как и другие формы подобных программ-вымогателей, Cryptolocker устанавливается на компьютер жертвы и работает в фоновом режиме, шифруя разнообразные данные пользователя, при этом оставаясь незаметным для него. Известно, что Cryptolocker ищет и кодирует файлы следующих типов:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Завершив шифрование файлов, Cryptolocker сообщает пользователю, что его файлы были «взяты в заложники», и требует выкуп в пользу злоумышленников за ключ, который позволит их расшифровать. Размер выкупа обычно составляет от 300 Евро или $300 США, и увеличивается до 10 биткоинов (около $3 800), если пользователь не заплатит деньги сразу же. Далее в сообщении говорится, что в случае невыполнения пользователем требований срока оплаты (обычно не более 4 дней), ключ будет вовсе удален с серверов, и восстановление данных жертвы станет невозможным.

Следует отметить, что в настоящее время не существует альтернативного метода для восстановления доступа к зашифрованным файлам.

ThreatCloud блокирует C&C и помогает победить Cryptolocker

Важной особенностью Cryptolocker является необходимость вредоносного агента инициировать коммуникацию с центром управления (C&C) перед тем, как начать процесс шифрования файлов. Сразу после установления связи с C&C, сгенерированный сервером уникальный открытый ключ передается агенту для шифрования данных на компьютере пользователя.

Таким образом, самый эффективный способ борьбы с Cryptolocker – это обнаружение и блокировка изначальной коммуникации агента с сервером C&C, необходимой для запуска процесса шифрования. Cryptolocker использует алгоритм Domain Generation Algorithm (DGA) для поиска серверов C&C, с которыми можно настроить коммуникацию. В результате каждый день перебирается порядка 1 000 доменов, генерируемых и запрашиваемых образцами Cryptolocker.

Благодаря реверсивному алгоритму было возможно получить предварительно сгенерированные таблицы Cryptolocker DGA для каждого дня. В результате группа исследователей Check Point научилась предсказывать целевые ссылки URL серверов C&C, с которыми могут связываться агенты Cryptolocker. Это и позволило создать «умные сигнатуры» для блейдов Check Point Anti-Bot и Antivirus. Постоянно обновляясь для всех пользователей ThreatCloud, эта защита блокирует доступ к серверам C&C Cryptolocker и, таким образом, не позволяет запустить процедуру шифрования.

После появления такой защитной функции в ThreatCloud, статистика, собранная с различных шлюзов Check Point по всему миру, показала успешное блокирование сотен инцидентов с Cryptolocker в более чем 50 различных организациях, и все это без каких-либо обновлений или изменений со стороны администраторов. 

Беззубый закон: Касперская раскритиковала регулирование ИИ в нынешнем виде

Президент группы компаний InfoWatch Наталья Касперская раскритиковала законопроект об искусственном интеллекте, который Госдума приняла в первом чтении. В интервью Бизнес ФМ она заявила, что в нынешнем виде документ выглядит беззубым и не решает ключевые риски, ради которых, по её словам, его изначально и обсуждали.

Касперская напомнила, что сначала речь шла о регулировании опасных сценариев применения ИИ: например, о ситуациях, где нейросети могут галлюцинировать, давать неверные ответы и влиять на чувствительные сферы.

Тогда логичный вопрос: кто несёт ответственность за последствия. Но теперь, по её мнению, законопроект скорее предписывает использование технологии, чем ограничивает вредные применения.

Отдельно она прошлась по теме авторских прав. По словам Касперской, если закон фактически позволит использовать чужие произведения для обучения ИИ без нормальной компенсации авторам, это станет серьёзной проблемой и может конфликтовать с Гражданским кодексом.

Она не согласилась с аргументом, что человек тоже читает книги и обучается на чужом творчестве. Разница, по её словам, в том, что человек покупает книгу и получает право пользоваться контентом, а ИИ может один раз взять произведение, затем бесконечно размножать похожий результат и лишить автора заработка. Касперская назвала это технологичным совершенствованием пиратства.

Ещё одна претензия — попытка закрепить в законе конкретные технологии. В документе, например, говорится о больших фундаментальных моделях, но ничего не сказано об ИИ-агентах. По мнению Касперской, это странный подход: технологии быстро меняются, и закон может устареть быстрее, чем его успеют дописать.

Разработчики законопроекта ранее говорили, что он носит рамочный характер, а спорные вопросы будут регулироваться подзаконными актами. Минцифры обещало представить первые документы уже к осени, в том числе по теме авторских прав. Но пока, судя по реакции Касперской, у индустрии вопросов к этому ИИ-регулированию больше, чем ответов.

RSS: Новости на портале Anti-Malware.ru