"Троянец" берет файлы в "заложники"

БЕЗОПАСНОСТЬ

Cryzip шифрует файлы и требует от жертвы 300 долл.

Взрывообразный рост преступных вымогательств через Интернет вышел на очередной виток после того, как появился новый "троянский конь", который шифрует файлы на зараженном компьютере, а затем требует 300 долл. в качестве выкупа за необходимый для дешифровки пароль.

"Троянец", получивший название Cryzip, применяет криптографию для сохранения документов жертвы в защищенном паролем файле .zip и оставляет пошаговые инструкции по использованию онлайновой платежной системы e-gold для уплаты выкупа.

Пока неясно, как распространяется "троянец". Но исследователи проблем безопасности считают, что он является частью нежелательной электронной почты, которая проходит ниже зоны действия радаров и успешно избегает обнаружения антивирусными сканерами.

Выявление атак, известных как распространение ПО для получения выкупа (ransomware), происходит не впервые. Зафиксировано по крайней мере еще два сходных случая. В одном из них, имевшем место в мае 2005 г., исследователи из Websense Security Labs обнаружили похожего "троянца" в "диком виде". Этот вредитель, названный PGPcoder, использовал известный пробел в системе безопасности браузера Microsoft Internet Explorer и применял специальную схему шифрования, чтобы установить контроль над важными файлами. При этом также предлагалось уплатить выкуп за дешифровку файлов.

Все это указывает на растущую квалификацию онлайновых мошенников, считает Шейн Коурсен, старший технический консультант компании Kaspersky Lab (г. Воберн, шт. Массачусетс, www.kaspersky.com), производящей антивирусные программы.

Компании LURHQ Threat Intelligence Group (www.lurhq.com) удалось взломать шифр, используемый "троянцем" Cryzip, определить, как шифруются файлы, вскрыть механизм оплаты через систему e-gold, который был настроен на получение выкупа в 300 долл., а также определить номера счетов e-gold, используемые для аккумуляции средств.

Cryzip ищет на жестком диске широко применяемые типы файлов, в том числе в формате Microsoft Word и Excel, PDF и JPEG. После получения доступа к ним файлы упаковываются в архив .zip, а вместо текста записывается сообщение "Стерто Zippo! УБИРАЙТЕСЬ!!!". Затем "троянец" удаляет все эти файлы, оставляя только зашифрованную версию и текст инструкции, включающей весьма детальные указания, как следует платить, чтобы вернуть файлы. Владельца зараженного компьютера предупреждают, чтобы он не искал программу, с помощью которой были зашифрованы данные. Утверждается, что ее просто нет на жестком диске.

В инструкциях довольно много орфографических ошибок, да и особым знанием грамматики их составители не отличаются.

По заключению компании LURHQ, разославшей сообщение с полным списком счетов, автор "троянца" открыл одновременно несколько счетов в системе e-gold на случай их аннулирования. "Поступает не слишком много сообщений о заражении. Как бы то ни было, это нельзя считать широкомасштабной угрозой", - пишет LURHQ. Тем не менее компания заявила, что вредоносный код, использующий социальную инженерию, как правило, позволяет добиться значительного успеха, если распространять его в небольших объемах, поскольку это дает возможность избежать обнаружения такого вредителя антивирусными средствами. "Рост внимания увеличивает вероятность закрытия счетов, задействованных для анонимного перевода средств", - говорится в сообщении этой исследовательской группы.