Сryptolocker почему он так опасен и как защитить себя вымогателей. Опасен тем что это не проделки скучающих малолеток жаждующие посеять хаос и возомнившие себя хакерами. Эти киберпреступники не просто запугивают вас, они на самом деле шифруют содержимое вашего компьютера. Очень грамотно, очень професионально, очень эффективно, можно утверждать с стопроцентной уверенностью CryptoLocker разрабатывается и распространяется организованной преступностью и становится все более изощренным. Естественно делается это всё с одной единственной целью, что бы разблокировать содержимое вам нужно заплатить. Конечно гарантию, что это поможет вам никто не даст. Хотя надо отдать должное преступникам за честность. Это работает и заплатив вы действительно получаете ключ для разблокирования своих файлов. А самое печальное это то что на сегодняшний день это единственный способ решения проблемы. CryptoLocker распространяется через фальшивые электронные письма, поддельные уведомления от FedEx и UPS. После вскрытия такого электронного письма или уведомления CryptoLocker устанавливает себя в папку «Мои документы», сканирует жесткий диск и шифрует файлы определенных типов, в том числе документы связанные с Microsoft Word и Adobe Photoshop. После этого запускает всплывающее окно с 72-часовым обратным отсчётом и содержит подробную информацию о том, как заплатить выкуп. Большинство подобных вредоносных программ — блокировщиков, просто «детский лепет» от которых можно легко избавиться с помощью антивируса или специализированных утилит. Против CryptoLocker легких решений вы нигде не найдёте, потому что их попросту не существует. Он реально шифрует ваши файлы и никакого простого способа расшифровки нет. Обычно требуемая сумма выкупа создателями вируса варьируется от $100 до $300. Перевести денежные средства возможно различными способами, предпочтительно конечно биткоинами.
В интернете существует масса неправильной информации о CryptoLocker.
BleepingComputer.com один из первых сайтов пытающийся помочь пользователям, столкнувшихся с этим вирусом, собирая всю известную информацию об этой инфекции в одном месте. Руководство или Часто задаваемые вопросы, к сожалению не поможет вам расшифровать файлы, поскольку нет никакого способа сделать это. FAQ даст вам всю информацию, необходимую для понимания вируса.
Что такое CryptoLocker?
CryptoLocker это программа вымогатель, которая была выпущена примерно в начале Сентября 2013 года, предназначена для всех версий Windows, включая Windows XP, Windows Vista, Windows 7 и Windows 8. Этот вирус шифрует определенные файлы, используя вместе RSA и AES шифрование. По окончании шифрования файлов запускается платежная программа, предлагающее заплатить $ 100 или $ 300. Также этот экран будет отображать таймер о том, что у вас есть 72 часа или 4 дня чтобы заплатить выкуп или он удалит ключ шифрования и вы потеряете возможность расшифровать файлы.
Этот выкуп должен быть оплачен с помощью Green dot MoneyPak или Bitcoins. После оплаты и проверки, программа расшифровывает файлы.
Как только CryptoLocker внедряется в вашу систему, он генерирует случайное имя файла в корневом каталоге % AppData% или % LocalAppData%. Затем создаёт следующие записи автозапуска в реестре, чтобы начать загружать CryptoLocker при старте Windows:
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run «CryptoLocker»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce «*CryptoLocker»
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run «CryptoLocker_»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce «*CryptoLocker_
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce «*CryptoLocker_
Обратите внимание, что * после значения RunOnce запускает CryptoLocker перед загрузкой в безопасном режиме.
Вирус также блокирует ваши файлы с exe расширением. Делает он это для того что бы вы не смогли запустить Shadow Volume Copies. То есть использовать Теневое копирование тома для восстановления зашифрованных файлов.
Команда, которая запускается при нажатии на исполняемый файл является:
«C:\Windows\SYsWOW64\cmd.exe» /C «C:\Windows\Sysnative\vssadmin.exe» Delete Shadows /All /Quiet
. EXE hijack в реестре будет выглядеть следующим образом. Обратите внимание, что названия веток реестра будет случайным.
[HKEY_CLASSES_ROOT\.exe]
@=«Myjiaabodehhltdr»
«Content Type»=«application/x-msdownload»
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@=«{098f2470-bae0-11cd-b579-08002b30bfeb}»
[HKEY_CLASSES_ROOT\Myjiaabodehhltdr]
[HKEY_CLASSES_ROOT\Myjiaabodehhltdr\DefaultIcon]
@=«%1»
[HKEY_CLASSES_ROOT\Myjiaabodehhltdr\shell]
[HKEY_CLASSES_ROOT\Myjiaabodehhltdr\shell\open]
[HKEY_CLASSES_ROOT\Myjiaabodehhltdr\shell\open\command]
@=«\«C:\\Users\\User\\AppData\\Local\\Rlatviomorjzlefba.exe\« — \«%1\» %*»
После того, как вирус успешно удалит Shadow Volume Copies, он восстановит ваши расширения ехе назад к значениям по умолчанию Windows. Следующим шагом будет подключение к работающему серверу Command & Control для создания алгоритма генерации доменного имени. Некоторые примеры сгенерированных доменных имен — lcxgidtthdjje.org, kdavymybmdrew.biz, dhlfdoukwrhjc.co.uk и xodeaxjmnxvpv.ru.
После того, как в режиме онлайн С & C сервер обнаружил подключение CryptoLocker, начинается взаимодействие и получения открытого ключа шифрования, который будет использоваться для шифрования данных. Затем сохраняется этот ключ вместе с другой информацией в значении ключа реестра в HKEY_CURRENT_USER \ Software \ CryptoLocker_0388 . К сожалению, закрытые ключи, которые используется для расшифровки зараженных файлов не сохраняются на компьютере, а отправляются на сервера Command & Control.
После этих процедур CryptoLocker начинает сканирование всех подключенных физических и сетевых дисков на вашем компьютере для поиска файлов со следующими расширениями:*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c. Когда он находит файлы, которые соответствуют одному из этих типов, начинается шифрование файлов с помощью ключа шифрования и добавление полного пути к файлу и имени файла в качестве значения под HKEY_CURRENT_USER\Software\CryptoLocker_0388\Files Registry key.
Когда закончится шифрование данных он покажет экран CryptoLocker как показано выше и потребует выкуп в размере либо $ 100 либо $ 300 долларов, чтобы расшифровать файлы. Если закрыть окно, появится другое, закрыть которое невозможно.
Предупреждение! Если вы введете неправильный код оплаты, это уменьшит количество времени которое вы имеете в наличии для расшифровки файлов. Так что если вы планируете платить выкуп, пожалуйста, будьте осторожны при вводе кода.
Пути файлов и ключей реестра, используемые CryptoLocker.
В этом разделе перечислены все известные пути к файлам и ключи реестра, используемые CryptoLocker.
Путь к файлам, которые в настоящее время использует CryptoLocker:
% AppData% \ и % AppData% \ {<8 символов> — <4 символа> — <4 символа> — <4 символа> — <12 символов>}. Exe
Пример файла, используя этот путь: Rlatviomorjzlefba.exe и {34285B07-372 °F-121D-311 °F-030FAAD0CEF3}.exe .
В Windows XP % — AppData% соответствует C: \ Documents и Settings \ \ Application Data.
В Windows Vista, 7 и 8 — % AppData% C: \ Users \ \ AppData \ Roaming.
% LocalAppData% \<random.exe>
Пример файла, используя этот путь: Rlatviomorjzlefba.exe .
В Windows XP — % LocalAppData% соответствует C: \ Documents и Settings \ \ Local Settings \ Application Data \.
В Windows Vista, 7 и 8 — % LOCALAPPDATA% соответствует C: \ Users \ <Имя > \ AppData \ Local.
Ключи реестра, которые используется для автоматического запуска CryptoLocker при входе в Windows.
KEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run «CryptoLocker_ <version_number>»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce «* CryptoLocker_ <version_number»
CryptoLocker также создает ключ реестра для сохранения сведений о конфигурации и файлов, которые были зашифрованы. В прошлом раздел реестра, который был использован это — HKEY_CURRENT_USER \ Software \ CryptoLocker. Появилась новая версия теперь включает версию вредоносной программы, которая в настоящее 0388, в имени ключа.
Раздел реестра, использующийся для хранения информации о конфигурации: HKEY_CURRENT_USER \ Software \ CryptoLocker_0388. Эти ключи содержат 3 значения реестра, которые описаны ниже:
Под ключом HKEY_CURRENT_USER \ Software \ CryptoLocker_0388 \ Files будет список всех файлов, которые были зашифрованы CryptoLocker. Этот список затем обрабатывается инструментом расшифровки для расшифровки файлов, если вы заплатили выкуп. Для каждого файла, который зашифрован, новое значение REG_DWORD будет создан с именем, используя полный путь к зашифрованному файлу. При обозначении значения, CryptoLocker заменит все вхождения косой чертой (\), с вопросительным знаком.
Что нужно делать, при обнаружении заражения CryptoLocker?
Когда вы обнаружите, что компьютер заражен CryptoLocker, первое, что вы должны сделать, это немедленно отключить его от вашей беспроводной или проводной сети. Это предотвратит его от дальнейшего шифрования любых файлов. После этого можно попробовать удалить инфекцию из папки % AppData%. Если вы не хотите платить выкуп, попробуйте удалить значения реестра, файлы и программа не будет загружаться. После этого можно восстановить данные с помощью других методов.
Важно отметить, что вирус CryptoLocker порождает два взаимодействущих самостоятельных процесса. Как только вы прекращаете один процесс, другой процесс автоматически запускает первый. Используйте программу Process Explorer. Щелкните правой кнопкой мыши на первом процессе и выберите убийство всего дерева.
Можно ли расшифровать файлы, зашифрованные CryptoLocker?
К сожалению на данный момент нет никакого способа, чтобы получить секретный ключ, который можно использовать для расшифровки файлов без уплаты выкупа. Кроме того, любые инструменты дешифрования, которые были выпущены различными компаниями против этого вируса бессильны. Единственный метод восстановления файлов это резервная копия или Теневая Копия, если у вас конечно включено восстановление системы. Новые варианты CryptoLocker пытаются удалить теневые копии, но к счастью это не всегда у него получается. Если у вас не включено Восстановление системы или нет надежных резервных копий, а зашифрованная информация очень важна, то вам придётся заплатить выкуп, чтобы получить файлы обратно.
Методы заражения CryptoLocker.
Обычно вирус распространяется через элетронные письма посланные на адреса электронных почт включённых в поддержку по типу — «Я хочу получать информацию о продуктах и т. д. и т. п.». Эти письма содержат почтовые вложения почтовый. Как только пользователь открывает такое вложение начинается заражение.
Эти архивы содержат исполняемые файлы маскирующиеся под видом PDF файлов, поскольку они имеют значок PDF и как правило, с именем что-то вроде FORM_101513.exe или FORM_101513.pdf.exe. Поскольку Microsoft не показывает расширения по умолчанию, они выглядят как обычные PDF файлы и люди открывают их.
Известные Bitcoin адреса для оплаты CryptoLocker.
CryptoLocker позволяет заплатить выкуп, отправив Bitcoins по адресу, указанному в программе расшифровки. Ранее варианты CryptoLocker включали статические Bitcoin адреса для всех, кто был инфицирован. Эти статические адреса включают в себя:
https://blockchain.info/address/18iEz617DoDp8CNQUyyrjCcC7XCGDf5SVb https://blockchain.info/address/1KP72fBmh3XBRfuJDMn53APaqM6iMRspCh
Новые варианты CryptoLocker динамически генерируют новые адреса Bitcoin оплаты для каждого экземпляра инфекции.
CryptoLocker и сетевые ресурсы.
CryptoLocker шифрует данные, хранящиеся на сетевых ресурсах. Настоятельно советуем вам защитить все открытые ресурсы, открывая доступ необходимым группам пользователей или авторизованных пользователей. Это важный принцип безопасности, который должен использоваться в любое время, независимо от инфекций, таких как CryptoLocker.
Основы резервного копирования ПК. Зачем создавать резервную копию и почему это очень важно?
При резервном копировании файлов, не забудьте создавать резервную копию личных файлов в место, где они не могут быть записаны или удалены. Например, разместить их на съемный жесткий диск, флешку или карту памяти или загрузите их на удаленный резервный сервер, например CrashPlan, который позволит вам вернуться к предыдущей версии файлов.
Помните! Вымогатели могут шифровать файлы на подключенном резервном диске или на сетевом ресурсе, к которому у вас есть полный доступ на запись.
Если ваши файлы действительно становятся заблокированными вымогателями и у вас нет соответствующих резервных копий, вы можете попробовать их восстановить с помощью ShadowExplorer.
Как избежать вымогателей?
Наряду с использованием правильной стратегии резервного копирования, вы можете избегать вымогателей таким же образом как вы избегаете других форм вредоносного ПО.