Компании Fox-IT (лаборатория InTELL) совместно с FireEye проанализировали ситуацию с шифровымогателем CryptoLocker, который активно начал распространяться с сентября 2013 года. По данным исследователей его распространение связано с зомби-сетью банковского троянца Gameover ZeuS, большая часть участников которой со временем была поражена CryptoLocker. Шифровальшик использовал алгоритм AES-256, ключ которого потом был зашифрован открытым ключом RSA-2048 (blog.fox-it.com/2014/08/06/cryptolocker-ransomware-intelligence-report).

Следует отметить, что в России шифровальщики-вымогатели появились уже достаточно давно, и использовали для получения денег платные SMS. Причём они постепенно совершенствовали алгоритмы шифрования, постепенно переходя на всё более длинные ключи RSA. Характерно, что последние успешные вредоносы этого типа использовали именно RSA-2048 - все предыдущие версии этих вродоносов удавалось успешно расшифровывать российским антивирусным компаниям.

При этом эксперты Fox-IT указывают, что география распространения CryptoLocker охватывает в основном англоговорящие страны - США, Канаду, Великобританию и Австралию. Пик заражения приходится на октябрь 2013 года, когда за месяц было заражено 155 тыс. компьютеров по всему миру. После этого начального пика скорость распространения вредоноса ограничивалась 50 тыс. заражений в месяц - видимо, это предел для обработки платежей. Кроме того, увеличилась сумма выкупа - если в начале эпидемии речь шла о 100 долл., то уже к маю 2014 выкуп составлял около 500 долл. Точнее речь шла уже о биткоинах, где для каждой конкретной операции использовался уникальный адрес. По оценкам Fox-IT всего злоумышленники заработали с помощью шифровальщика около 1400 BTC, что по текущему курсу составляет около 700 тыс. долл. Всего же владельцы CryptoLocker за 9 месяцев заработали около 3 млн. долл. При этом по оценкам экспертов заплатило около 1,3% жертв - остальные предпочли потерять зашифрованные файлы или восстановили другим способом.

Сегодня же компания FireEye объявила (fox-it.com/en/press-releases/fireeye-fox-announce-new-service-help-cryptolocker-victims) о начале предоставления сервиса по расшифровке данных, зашифрованных ранее CryptoLocker. Причём сервис decryptcryptolocker.com является бесплатным для пользователей. Он позволяет получить ключ дешифрования, с помощью которого можно будет расшифровать "захваченные" вредоносом данные. Правда, не все варианты вредоноса удаётся расшифровать с помощью этого сервиса, тем не менее ограничить доходы криминального рынка этот сервис сможет.

Впрочем, по данным компании F-Secure вредонос продолжает совершенствоваться. В частности, компанией была обнаружена версия вредоноса, которая заражает сетевое хранилище SAN компании Synology (f-secure.com/w***og/archives/00002730.html). Вредонос, который был назван SynoLocker, проникает на устройство с помощью ошибки в его защите и шифрует все данные с помощью ключа, защищенного по алгоритму RSA-2048. Эксперты компании F-Secure рекомендуют обратиться к производителю для решения проблемы устройств, чтобы не попасть под действие данного вредоноса (synology.com/en-us/company/news/article/470).

Как страшно жить
Пошел я регаться на факав, просвещаться и обогащаться нужными знаниями