Эксперты «Лаборатории Касперского» фиксируют рост числа атак с использованием троянов-шифровальщиков семейства Cryakl. Основным источником атаки является фишинговая спам-рассылка, имитирующая официальные уведомления от имени Высшего Арбитражного Суда РФ. Атака производится по стандартному алгоритму: адресату сообщают о начале в отношении него административного делопроизводства и предлагают ознакомиться с архивом документов. Вместо ожидаемых документов, загружается установщик зловреда, который инфицирует систему целым набором вредоносов, в числе которых и троян-шифровальщик Cryakl. Первый представитель семейства Trojan-Ransom.Win32.Cryakl был обнаружен еще в апреле этого года. С тех пор, зловред эволюционировал - шифруются не только "офисные" форматы файлов, но и архивы, образы дисков, файлы популярных программ резервного копирования; изменился выбор частей файла для шифрования и способ связи с серверами управления. Типичный представитель семейства Cryakl создан в среде разработки Delphi и использует уникальный алгоритм для шифрования пользовательских данных. В процессе заражения, троян создает мастер-ключ, который отправляет по своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файлы шифруются не целиком, а лишь начальные байты плюс три случайных фрагмента файла. Кроме того, в конец файла помещается служебная структура для последующей идентификации зашифрованного файла. Интересно, что перед началом процесса шифрования Cryacl связывается с управляющим сервером, сообщая ему: идентификатор (в качестве идентификатора используется метка времени); версию исполняющего модуля; ID (составная структура, включающую в себя два идентификатора, а также текущую дату и время); пароль (видоизменённый ключ, который в дальнейшем будет использоваться для шифрования данных жертвы). В ходе шифрования, зловред ведет журнал своих действий, чтобы в случае перезагрузки компьютера завершить начатое. После окончания процесса шифрования, Cryakl меняет картинку на Рабочем столе пользователя на обращение от имени знаменитого ретро-злодея Фантомаса. В обращение указывается адрес электронной почты Фантомаса, для решения вопроса расшифровки данных и определения стоимости этих услуг. На обращение за помощью к злоумышленникам, пользователю отводится двое суток. Сумма вознаграждения варьируется в зависимости от количества и важности зашифрованных файлов. Подавляющее большинство попыток заражения Cryakl зафиксировано в России (почти 2,5 тысячи атак). Пик попыток заражения пришелся на последнюю неделю сентября, тогда было зафиксировано около 600 атак в день. Возросшая активность трояна сохранилась и в октябре. Эксперты «Лаборатории Касперского» пока не разобрались с ключами шифрования и не обнаружили каких-либо ошибок в работе трояна, поэтому расшифровать обработанные Cryakl файлы на данный момент невозможно. В случае отсутствия резервной копии затронутых файлов жертвам трояна приходится прощаться с данными или же соглашаться на требования вымогателей. После выплаты требуемой суммы пострадавшему присылают утилиту-дешифратор и текстовый файл с ключом, который подходит только этому пользователю. Впрочем, получение рабочего ключа, равно как и отклика от злоумышленников, не гарантировано. Чтобы обезопасить свои данные от такого вида атак, антивирусные специалисты рекомендуют регулярно делать резервные копии на облачные сервисы хранения данных или носители, защищенные от перезаписи; а также не открывать подозрительные письма, даже от знакомых отправителей. Кроме того, в аналитической статье «Лаборатории Касперского» рекламируется технология Cryptoprotection, работающая в домашних и корпоративных продуктах "ЛК". System Watcher анализирует системные события и позволяет "откатить" вредоносные изменения, в том числе - восстановить зашифрованные файлы.
Подробности