Научная статья на тему 'Анализ активности и тенденций развития вредоносных программ типа «Блокиратор-шифровальщик файлов»'

Анализ активности и тенденций развития вредоносных программ типа «Блокиратор-шифровальщик файлов» Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1214
160
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
вредоносная программа / шифрование / кибервымогательство / компьютерные вирусы / борьба с компьютерными вирусами / malicious program / encryption / cyberextortion / computer virus / virology

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Е Б. Дроботун

Все компании, занимающиеся разработкой антивирусного ПО, отметили, что с середины 2013 года наблюдается всплеск заражений компьютеров вредоносными программами, шифрующими пользовательскую информацию, – наиболее опасной разновидностью вредоносных программ класса Ransomware (программ-вымогателей). Программы такого рода не просто блокируют доступ жертвам к компьютеру, но и с помощью различных алгоритмов шифрования блокируют доступ пользователя к файлам. Как правило, такие вредоносные программы шифруют популярные типы пользовательских файлов, которые могут представлять определенную ценность: документы, электронные таблицы, файлы БД, фотографии, видеои аудиофайлы и т.д. Для расшифровки файлов пользователю предлагается заплатить выкуп с помощью каких-либо сервисов интернет-платежей или криптовалюты (обычно с помощью биткойнов). Первые версии таких вредоносных программ появились еще в 2006–2007 годах, однако тогда эти вредоносные программы использовали нестойкие алгоритмы шифрования, малый размер ключа шифрования, а также крайне неэффективные методы заражения компьютеров и поэтому не получили широкого распространения. Современные вредоносные про-граммы такого рода лишены этих недостатков, используют весьма стойкие алгоритмы шифрования (AES или RSA), достаточно большой размер ключей шифрования и эффективные методы распространения (с помощью зараженных веб-страниц и вредоносных спам-рассылок по электронной почте). В статье на основе анализа нескольких наиболее распространенных представителей этого класса вредоносных программ показаны основные тенденции развития та-кого рода программ, предложены возможные пути устранения последствий их деятельности.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Е Б. Дроботун

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

THE ANALYSIS OF ACTIVITY AND DEVELOPMENT TRENDS OF MALICIOUS PROGRAMS “FILE LOCKER-ENCODER” TYPE

All companies engaged in development of anti-virus software noted that since the middle of 2013 there has been a burst of malware infection of computers. These malicious programs cipher user information. Thus, they are the most danger-ous type of malicious programs of Ransomware class (extortioner programs). These programs not only block access to a com-puter for victims, but also block users’ access to files using various enciphering algorithms. Usually such malicious programs cipher popular types of the user files, which can be of a certain value: documents, spreadsheets, database files, photos, video and audio files, etc. To encrypt files the user is offered to pay ransom by means of some Internet payment services or crypto-currency (usually bitcoins). The first versions of such malicious programs appeared in 2006–2007. However, at that time these programs used nonresistant enciphering algorithms, a small size of enciphering keys and extremely inefficient distribution methods. Therefore, they weren't widely distributed. Modern malicious programs do not have these shortcomings. They use quite resistant enciphering algorithms (AES or RSA), rather big size of enciphering keys and effective infection methods (in-fected web pages and malicious spam e-mails). The paper describes the main tendencies of such programs development on the basis of the analysis of several most widespread types of malicious programs. It also offers possible ways of eliminating con-sequences of their activity.

Текст научной работы на тему «Анализ активности и тенденций развития вредоносных программ типа «Блокиратор-шифровальщик файлов»»

УДК 004.491.42 DOI: 10.15827/0236-235X.114.077-082

АНАЛИЗ АКТИВНОСТИ И ТЕНДЕНЦИЙ РАЗВИТИЯ ВРЕДОНОСНЫХ ПРОГРАММ ТИПА «БЛОКИРАТОР-ШИФРОВАЛЬЩИК ФАЙЛОВ»

Дата подачи статьи: 21.12.15

Е.Б. Дроботун, к.т.н., докторант, йтоЪоЫп@хакер.ти (Военная академия воздушно-космической обороны им.. Маршала Советского Союза Г.К. Жукова, ул. Жигарева, 50, г. Тверь, 170022, Россия, йтоЪоЫп@хакер.ти)

Все компании, занимающиеся разработкой антивирусного ПО, отметили, что с середины 2013 года наблюдается всплеск заражений компьютеров вредоносными программами, шифрующими пользовательскую информацию, -наиболее опасной разновидностью вредоносных программ класса Ransomware (программ-вымогателей). Программы такого рода не просто блокируют доступ жертвам к компьютеру, но и с помощью различных алгоритмов шифрования блокируют доступ пользователя к файлам. Как правило, такие вредоносные программы шифруют популярные типы пользовательских файлов, которые могут представлять определенную ценность: документы, электронные таблицы, файлы БД, фотографии, видео- и аудиофайлы и т.д. Для расшифровки файлов пользователю предлагается заплатить выкуп с помощью каких-либо сервисов интернет-платежей или криптовалюты (обычно с помощью биткойнов). Первые версии таких вредоносных программ появились еще в 2006-2007 годах, однако тогда эти вредоносные программы использовали нестойкие алгоритмы шифрования, малый размер ключа шифрования, а также крайне неэффективные методы заражения компьютеров и поэтому не получили широкого распространения. Современные вредоносные программы такого рода лишены этих недостатков, используют весьма стойкие алгоритмы шифрования (AES или RSA), достаточно большой размер ключей шифрования и эффективные методы распространения (с помощью зараженных веб-страниц и вредоносных спам-рассылок по электронной почте). В статье на основе анализа нескольких наиболее распространенных представителей этого класса вредоносных программ показаны основные тенденции развития такого рода программ, предложены возможные пути устранения последствий их деятельности.

Ключевые слова: вредоносная программа, шифрование, кибервымогательство, компьютерные вирусы, борьба с компьютерными вирусами.

Первые сообщения о появлении нового семейства вредоносных программ, шифрующих файлы пользователей и требующих выкупа за их расшифровку, датируются 2006-2007 годами. Однако на тот момент в силу различных причин (неотработанность каналов распространения создателями таких программ, несовершенство реализации алгоритмов шифрования и способов оплаты выкупа и т.п.) количество заражений этими вредоносными программами было относительно невелико.

Массовый характер заражения такого типа стали приобретать с 3-го квартала 2013 года, а за 2014 год, по данным Лаборатории Касперского, было зарегистрировано свыше 7 млн атак на пользователей с помощью таких программ (рис. 1) [1].

900000 800000 700000 600000 500000 400000 300000 200000 100000 0

* s s/////

Рис. 1. Количество атак с использованием вредоносных программ-шифровальщиков за 2014 год

Fig. 1. The number of attacks using malicious encoder programs in 2014

Всеми антивирусными компаниями также отмечен значительный рост числа модификаций вредоносных программ в период с 2013 по 2015 годы. Так, например, по данным Лаборатории Каспер-ского, за это время число модификаций таких программ возросло более чем в десять раз (рис. 2) [2].

8000 7000 6000 5000 4000 3000 2000 1000 0

6835

3064

I

411

1

2013 2014

2015

Рис. 2. Рост числа модификаций вредоносных программ-шифровальщиков в период с 2013 по 2015 годы

Fig. 2. The growing number of versions of malicious encoder programs during the period from 2013 to 2015

При этом, если первоначально все вредоносные программы такого рода разрабатывались исключительно для функционирования под операционными системами семейства Windows, то в дальнейшем, начиная с середины 2014 года, появились модификации этих программ для смартфонов и планшетных компьютеров под управлением операционной

системы Android, а в конце 2015 года было зафиксировано появление нескольких образцов вредоносных программ-шифровальщиков для компьютеров под управлением операционных систем семейства Linux [2].

Тем не менее, в силу меньшей распространенности и некоторых особенностей функционирования других операционных систем подавляющее большинство случаев заражения вредоносными программами-шифровальщиками (порядка 98 %) приходится на компьютеры под управлением операционных систем семейства Windows.

Первое время основным каналом распространения таких вредоносных программ были спам-рас-сылки с вредоносными вложениями, маскирующимися под какие-либо документы (финансовые отчеты, банковские выписки по счетам, отчеты от служб доставки и т.п.) [3- 5].

В начале 2014 года к каналу распространения посредством вредоносных спам-рассылок добавился канал распространения с помощью заражения популярных и часто посещаемых веб-страниц так называемыми наборами эксплойтов (эксплойт-паками) [3]. Их работа основана на использовании уязвимостей в ПО, установленном на компьютерах потенциальных жертв. Наиболее часто для распространения этих вредоносных программ используются наборы эксплойтов под названием Angler EK, Sweet Orange EK и Nuclear EK [5, 6].

Общая схема работы вредоносных программ-шифровальщиков показана на рисунке 3. После проникновения на компьютер потенциальной жертвы вредоносная программа записывает себя на жесткий диск компьютера, для обеспечения своего запуска при старте системы создает ключ автозагрузки в реестре, после чего производятся поиск нужных файлов и их шифрование. Далее устанавливается связь с командным центром. После всего этого программа оповещает жертву о том, что определенные файлы на компьютере зашифрованы, и требует произвести оплату за их расшифровку. Для оплаты, как правило, предлагается воспользоваться каким-либо сервисом интернет-платежей или какой-либо криптовалютой (в основ-

ном - биткойнами). После подтверждения факта оплаты производится расшифровка файлов.

Наибольшую активность с середины 2013 года и по настоящее время проявляли семь видов вредоносных программ-шифровальщиков файлов, заражающих компьютеры под управлением операционных систем семейства Windows (табл. 1) [2, 3, 6, 7].

Таблица 1

Вредоносные программы типа «блокиратор-шифровальщик файлов», проявившие наибольшую активность с середины 2013 г. по настоящее время

Table 1

The most aggressive malicious programs of "file locker-encoder" type from the middle of 2013 to the present time

№ п/п Название семейства вредоносных программ

общее по классификации Лаборатории Касперского

1 DyrCrypt (Dirty) Trojan-Ransom.Win32.Dircrypt

2 CryptoLocker Trojan-Ransom.Win32.Blocker

3 CryptoWall Trojan-Ransom.Win32.Blocker

4 Critroni (CTB-Locker) Trojan-Ransom.Win32.Onion

5 TorrentLocker Trojan-Ransom. Win32. Rack

6 TorLocker Trojan-Ransom.Win32. Scraper

7 TeslaCrypt (AlphaCrypt) Trojan-Ransom.Win32.Bitman

Общая хронология появления этих семи вредоносных программ показана на рисунке 4 [1, 3, 6].

Спам-рассылки с вредоносными вложениями

и

Зараженные web-страницы

Заражение компьютера

Запись программы в реестр автозапуска

Поиск файлов по шаблону расширения

G

Шифрование файлов

Связь с С&С-сервером и требование оплаты

Отслеживание факта оплаты

К

Расшифровка файлов

Рис. 3. Общая схема работы вредоносных программ типа «блокиратор-шифровальщик файлов»

Fig. 3. A general operation scheme of malicious programs of "file locker-encoder "type

Далее кратко описаны результаты исследования отдельных представителей каждого из семейств вредоносных программ, перечисленных в таблице 1 (результаты исследования в полном объеме изложены в статье «Исследование и анализ кода наиболее популярных вредоносных программ типа «блокиратор-шифровальщик файлов» в электронном журнале «Программные продукты, системы и алгоритмы» на сайте www.swsys-web.ru).

Поиск и выбор файлов для шифрования.

В большинстве случаев для шифрования выбираются файлы наиболее популярных форматов офисных документов (*.pdf, *.docx, *.docm, *.xls, *.xlsx, *.xlsm) и файлы изображений (*.jpg, *.jpeg, *.png). Вредоносные программы более поздних модификаций (CryptoWall, Critroni, TorLocker), помимо этого, шифруют файлы проектов различных сред разработки ПО, а программа TorrentLocker еще и файлы широко распространенной в РФ бухгалтерской программы 1С, что может парализовать работу многих организаций [6-10]. Некоторые модификации вредоносной программы TeslaCrypt шифруют файлы, относящиеся к отдельным популярным компьютерным играм (файлы с сохраненными пройденными уровнями, пользовательские профили и т.п.) [7, 11]. Как правило, во всех вредоносных программах поиск файлов с нужным расширением реализован с помощью стандартных API-функций Windows - FindFirstFail и FindNext-File.

Шифрование файлов. Во всех исследованных вредоносных программах применяются стойкие криптографические алгоритмы (табл. 2). В большинстве случаев используются алгоритмы, основанные на комбинации симметричного алгоритма шифрования AES (с его помощью шифруется сам файл) и асимметричного алгоритма RSA или ECDH (шифрует AES-ключ, которым были зашифрованы файлы). Такая схема шифрования применяется во вредоносных программах CryptoLocker, Critroni, TorrentLocker, TorLocker, TeslaCrypt [10-15]. Вредоносная программа CryptoWall использует асимметричный алгоритм RSA с длиной ключа 2048 бит для шифрования всего файла, при этом из-за большой ресурсоемкости данного алгоритма существенно замедляется работа зараженного компьютера, что может служить косвенным подтверждением заражения этой вредоносной программой [16]. В программе DyrCrypt при реализации функций шифрования файлов допущена ошибка, в связи с чем, несмотря на использование стойкого алгоритма RSA-1024 для шифрования первых 1024 байт файла, возможно восстановление зашифрованных файлов [17].

Для реализации алгоритмов шифрования используется либо стандартная библиотека Windows CryptoAPI (вредоносные программы CryptoLocker, CryptoWall, TorLocker), либо сторонние библиотеки (TorrentLocker, TeslaCrypt), либо собственная реализация криптографических алгоритмов (DyrCrypt, Critroni).

Связь с командным центром. Для отслеживания факта оплаты выкупа и обеспечения расшифровки файлов после оплаты создатели вредоносных программ-шифровальщиков файлов организуют сеть командных центров (CAC-серверов) в сети Интернет. Вредоносные программы в ходе своей деятельности периодически осуществляют

связь с этими С&С-серверами и обмениваются с ними необходимой информацией. При этом доменные имена этих командных центров могут либо генерироваться самой вредоносной программой с помощью различных алгоритмов (DirCrypt, Cripto-Locker) [9, 12, 17], либо быть прописаны непосредственно в теле самой программы (CryptoWall, Critroni, TorrentLocker, TorLocker, TeslaCrypt) [11, 13, 15, 18-20]. Сами командные центры при этом могут находиться как в открытом сегменте сети Интернет, так и в закрытой доменной зоне .onion и использовать для связи возможности анонимной сети Tor. Детали реализации обеспечения связи с CAC-серверами показаны в таблице 3.

Приемы, затрудняющие обнаружение и удаление вредоносной программы в зараженной системе. В большинстве случаев во вредоносных программах такого рода реализовано блокирование остановки функционирования рабочего процесса вредоносной программы различными способами (табл. 4).

Помимо этого, во вредоносной программе DirCrypt для затруднения анализа используется шифрование всех текстовых строк в теле программы [8, 17], в программе CryptoWall версии 2.0 производится проверка на наличие запуска программы в виртуальной среде [16], в программе Tor-rentLocker - проверка наличия виртуального окружения [10, 12, 20], а во вредоносной программе TorLocker код программы упакован упаковщиком UPX и в коде программы имеется большое количество ничего не значащих («висячих») команд [15].

Наиболее сложным образом скрытие программы от обнаружения и удаление реализованы во вредоносной программе CryptoWall. Для этого используются ложный процесс explorer.exe и внедрение вредоносного кода в системный процесс svchost.exe [16, 18].

На основании результатов исследования и анализа представленных наиболее распространенных и наиболее характерных образцов вредоносных программ типа «блокиратор-шифровальщик файлов» можно сделать следующие выводы:

- угроза заражения программами данного типа и риск потерять важную информацию по-прежнему актуальны;

- вектор возможных атак вредоносными программами-шифровальщиками сместился от распространения этих программ с помощью спам-рас-сылок в сторону их распространения с помощью зараженных веб-страниц, что повышает вероятность заражения;

- большинство вредоносных программ этого типа непрерывно совершенствуются, и в самых последних их версиях используются весьма стойкие криптографические алгоритмы, не позволяющие расшифровать зашифрованные файлы без знания ключа расшифровки;

Таблица 2

Реализация алгоритма шифрования файлов в наиболее популярных вредоносных программах-шифровальщиках

Table 2

The implementation of the file encryption algorithm in the most popular malicious encoder programs

Вредоносная программа Алгоритм шифрования Способ реализации

DyrCrypt (Dirty) RC4 для шифрования всего файла, RSA-1024 для шифрования первых 1024 байт файла Собственная реализация алгоритмов шифрования

CryptoLocker AES-256 для шифрования файлов, RSA-2048 для шифрования AES-ключа MS Crypto API

CryptoWall RSA-2048 для шифрования файла MS Crypto API

Critroni (CTB-Locker) AES-256 для шифрования файла, ECDH (алгоритм Диффи-Хеллмана, основанный на эллиптических кривых) для шифрования AES-ключа Собственная реализация алгоритмов шифрования

TorrentLocker AES-256 для шифрования файлов, RSA-2048 для шифрования AES-ключа (если файл больше 2 МБ, то шифруются только первые 2 МБ файла) Библиотека LibTomCrypt

TorLocker AES-256 для шифрования файлов, RSA-2048 для шифрования AES-ключа (если файл больше 512 МБ, то шифруются только первые 512 МБ файла) MS Crypto API

TeslaCrypt (AlphaCrypt) AES-256 для шифрования файла, ECDH (алгоритм Диффи-Хеллмана, основанный на эллиптических кривых) для шифрования AES-ключа Библиотека Cryptlib 3.4.1

Таблица 3

Реализация обмена информацией с С&С-серверами

Table 3

The implementation of information exchange with C&C servers

Вредоносная программа Процесс получения доменного имени командного центра Протокол обмена

DyrCrypt (Dirty) Динамическая генерация доменного имени C&C-сервера HTTP (информация пересылается в открытом виде)

CryptoLocker Динамическая генерация доменного имени C&C-сервера (используется API-функция GetSystemTime) HTTP (информация пересылается в открытом виде)

CryptoWall Список доменных имен C&C-серверов прописан в теле программы HTTP в первых версиях, в более поздних версиях - TOR либо I2P (передаваемая информация шифруется с помощью алгоритма RC4)

Critroni (CTB-Locker) Список доменных имен C&C-серверов прописан в теле программы TOR (передаваемая информация шифруется с помощью алгоритма ECDH)

TorrentLocker Список доменных имен C&C-серверов прописан в теле программы HTPPS (информация шифруется посредством SSL-протокола)

TorLocker Список доменных имен C&C-серверов прописан в теле программы TOR (информация пересылается в открытом виде)

TeslaCrypt (AlphaCrypt) Список доменных имен C&C-серверов прописан в теле программы HTTP (информация пересылается в открытом виде с помощью tor2web-сервисов)

Таблица 4

Способы блокирования остановки функционирования рабочего процесса вредоносной программы

Table 4

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Ways to block shutting-off of a malicious program's workflow functioning

Вредоносная программа Способ блокирования остановки рабочего процесса вредоносной программы

DyrCrypt (Dirty) Поиск и прекращение работы различных системных утилит (в том числе и менеджера процессов taskmgr.exe)

CryptoLocker Запуск дублирующего рабочего процесса, контролирующего работу основного процесса вредоносной программы

CryptoWall Внедрение вредоносного кода в системный процесс svchsot.exe

Critroni (CTB-Locker) -

TorrentLocker Внедрение вредоносного кода в системный процесс explorer.exe

TorLocker Поиск и прекращение работы различных системных утилит (в том числе и менеджера процессов taskmgr.exe)

TeslaCrypt (AlphaCrypt) Поиск и прекращение работы различных системных утилит (в том числе и менеджера процессов taskmgr.exe)

- использование для связи с командными центрами анонимных сетей (tor или I2P), а также крип-

товалюты биткойн в качестве инструмента оплаты выкупа позволяет почтии гарантированно обеспе-

чить анонимность злоумышленников и делает очень сложным привлечение их к ответственности;

- применение различных приемов, затрудняющих обнаружение и анализ этих программ, в некоторых случаях позволяет вредоносной программе скрыто осуществлять свою деятельность;

- обнаружение таких вредоносных программ в большинстве случаев возможно только сигнатурным поиском (поскольку выполняемые ими действия характерны не только для вредоносных, но и для некоторых других легитимных программ).

Таким образом, исходя из вышеперечисленного, основные усилия при борьбе с вредоносными программами такого рода предлагается сосредоточить, во-первых, на создании условий, в которых программа-шифровальщик не сможет осуществлять свою деятельность, во-вторых, на обеспечении резервного копирования критичной информации и своевременного ее восстановления из сохраненных копий.

Этого можно достичь, выполняя следующие мероприятия:

- своевременное обновление антивирусных

баз;

- контроль за сетевыми подключениями и разрешение сетевого обмена только ограниченному числу доверенных программ (поскольку некоторые программы-шифровальщики начинают шифрование только после установления связи с командным центром);

- присвоение атрибута «только для чтения» файлам, изменение которых не предусмотрено в процессе работы (фотографии, аудио-, видеозаписи, документы в формате pdf и т.д.);

- организация резервного копирования с использованием какого-либо средства, не входящего в состав операционной системы (поскольку некоторые вредоносные программы могут удалять теневые резервные копии и точки восстановления системы).

Кроме того, необходимы настройка прав доступа к резервным копиям только для программ резервного копирования (для исключения возможного зашифровывания файлов резервных копий) и к сетевым каталогам и дискам (поскольку многие вредоносные программы могут шифровать файлы на сетевых носителях), а также настройка оптимальных параметров системы резервного копирования (период копирования, файлы, подлежащие резервному копированию, время хранения резервных копий и т.п.).

Литература

1. Семенченко А. Файлы под «ключ». Эволюция шифровальщиков и ошибки пользователей // Securelist - все об интернет-безопасности. 2015. URL: http://www.securelist.ru/analy-sis/obzor/25191/fajly-pod-klyuch/ (дата обращения: 21.09.2015).

2. Kaspersky Security Bulletin 2015. Основная статистика за 2015 год. 2016. URL: http://www.securelist.ru/files2015/12/ KSB_2015_Stats_FINAL_RU.pdf (дата обращения: 15.01.2016).

3. Вредоносная реклама и атаки «нулевого дня»: старые угрозы подрывают доверие к цепочкам поставок и проверенным практикам // Обзор безопасности компании TrendLabs за 1-й квартал 2015 г. TrendMicroIncorporated. URL: http://www. trendmicro.com.ru/media/misc/trendlabs-security-roundup-q1-2015 -report-ru.pdf (дата обращения: 21.09.2015).

4. Spam with viruses. URL: http://www.hackmag.com/mal-ware/spam-with-viruses/ (дата обращения: 21.09.2015).

5. Дроботун Е.Б. Обзор свежих эксплойт-паков. Angler, Sweet Orange, Nuclear, Fiesta, Magnitude, Neutrino и многие другие // Хакер. 2015. № 4 (195). С. 78-83.

6. Kotov V., Rajpal M.S. Understanding Crypto-Ransomware. Bromium Labs. 2014. URL: http://www.bromium.com/sites/defailt/ files/bromium-report-ransomware.pdf (дата обращения: 21.09.2015).

7. Дроботун Е.Б. Дети лейтенанта Cryptolocker'a. Вскрываем DirCrypt, TorLocker, TeslaCrypt, TorrentLocker, Critroni и CryptoWall // Хакер. 2015. № 9 (200). C. 206-215.

8. Trojan.Ransomcrypt.D. Technical Details. Symantec. 2013. URL: http://www.symantec.com/security_response/writeup.jsp7do-cid=2013-0710112-1247-99&tabid=2 (дата обращения: 21.09.2015).

9. Jarvis K. CryptoLocker Ransomware. Dell Secure Works. 2013. URL: http://www.secureworks.com/cyber-threat-intelligence/ threats/cryptolocker-ransomware/ (дата обращения: 21.09.2015).

10. Léveillé M.-E.M. TorrentLocker. Ransomware in a country near you. Eset Labs. 2014. URL: http://www.wilivesecurity.com/ wp-content/uploads/2014/12/torrent-locker.pdf (дата обращения: 21.09.2015).

11. TeslaCrypt Ransomware. Dell SecureWorks. 2014. URL: http://www.secureworks.com/cyber-threat-intelligence/threats/tes-lacrypt-ransomware-threat-analysis/ (дата обращения: 21.09.2015).

12. Дроботун Е.Б. Анатомия Cryptolocker'a // Хакер. 2014. № 3 (182). С. 102-104.

13. Синицын Ф. Новое поколение вымогателей. Elliptic curve cryptography + Tor + Bitcoin // Securelist - все об интернет-безопасности. 2015. URL: http://www.securelist.ru/analysis/obzor/ 21090/novoe-pokolenie-vymogatelej / (дата обращения: 21.09.2015).

14. CTB-Locker encryption/decryption scheme in details. 2015. URL: http://zarion.wordpress.com/2015/02/17/ctb-locker-en-cryptiondecription-scheme-in-details/ (дата обращения: 21.09.2015).

15. Алюшин В., Синицын Ф. Шифровальщик с изъяном // Securelist - все об интернет-безопасности. 2015. URL: http:// www.securelist.ru/blog/issledovaniya/25359/shifrovalshhik-s-izya nom/ (дата обращения: 21.09.2015).

16. CryptoWall Ransomware. Dell Secure Works. 2014. URL: http://www.secureworks.com/cyber-threat-intelligence/threats/cryp-towall-ransomware/ (дата обращения: 21.09.2015).

17. Artenstein N., Shalyt M. How (and why) we defeated DirQypt. Check Point Malware Research Group. 2014. URL: http://www.checkpoint.com/download/public_files/TCC_WP_ Hacking_The_Hacker.pdf (дата обращения: 21.09.2015).

18. Allievi A., Carter E. Ransomware on Steroids: Cryptowall 2.0. Talos Group. 2015. URL: http://www.blogs.cisco.com/secu-rity/talos/cryptowall-2/ (дата обращения: 21.09.2015).

19. TorrentLocker - новая модификация трояна-шифроваль-щика FileCoder. Ч. 1 // Блог компании EsetLabs. URL: http:// www.habrahabr.ru/company/eset/blog/246945/ (дата обращения: 21.09.2015).

20. TorrentLocker - новая модификация трояна-шифроваль-щика FileCoder. Ч. 2 // Блог компании EsetLabs. URL: http:// www.habrahabr.ru/company/eset/blog/247031/ (дата обращения: 21.09.2015).

21. Синицын Ф. TeslaCrypt 2.0 в обличии CryptoWall // Se-curelist - все об интернет-безопасности. 2015. URL: http://www. securelist.ru/blog/issledovaniya/26212/teslacrypt-2-0-v-oblichii-cryptowall/ (дата обращения: 21.09.2015).

DOI: 10.15827/0236-235X.114.077-082 Received 21.12.15

THE ANALYSIS OF ACTIVITY AND DEVELOPMENT TRENDS OF MALICIOUS PROGRAMS "FILE LOCKER-ENCODER" TYPE Drobotun E.B., Ph.D. (Engineering), Doctoral Student, [email protected]

(Military Academy of the Aerospace Defense, Zhigareva St. 50, Tver, 170022, Russian Federation, [email protected])

Abstract. All companies engaged in development of anti-virus software noted that since the middle of 2013 there has been a burst of malware infection of computers. These malicious programs cipher user information. Thus, they are the most dangerous type of malicious programs of Ransomware class (extortioner programs). These programs not only block access to a computer for victims, but also block users' access to files using various enciphering algorithms. Usually such malicious programs cipher popular types of the user files, which can be of a certain value: documents, spreadsheets, database files, photos, video and audio files, etc. To encrypt files the user is offered to pay ransom by means of some Internet payment services or crypto-currency (usually bitcoins). The first versions of such malicious programs appeared in 2006-2007. However, at that time these programs used nonresistant enciphering algorithms, a small size of enciphering keys and extremely inefficient distribution methods. Therefore, they weren't widely distributed. Modern malicious programs do not have these shortcomings. They use quite resistant enciphering algorithms (AES or RSA), rather big size of enciphering keys and effective infection methods (infected web pages and malicious spam e-mails). The paper describes the main tendencies of such programs development on the basis of the analysis of several most widespread types of malicious programs. It also offers possible ways of eliminating consequences of their activity.

Keywords: malicious program, encryption, cyberextortion, computer virus, virology.

References

1. Semenchenko A. Files under "key". Evolution of encoders and users' mistakes. Securelist - vse ob internet-bezopas-nosti [Securelist. All about Internet security]. 2015. Available at: http://www.securelist.ru/analysis/obzor/25191/fajly-pod-klyuch/ (accessed September 21, 2015).

2. Kaspersky Security Bulletin 2015. Osnovnaya statistika za 2015 g. [Kaspersky Security Bulletin 2015. The main statistics in 2015]. 2016. Available at: http://www.securelist.ru/files2015/12/KSB_2015_Stats_FINAL_RU.pdf (accessed January 15, 2016).

3. Malicious advertizing and "zero day" attacks: old threats undermine trust to supply chains and proven practices. Obzor bezopasnosti kompanii TrendLabs za 1-y kvartal 2015 g. [The safety review of the Trend Labs company for the 1st quarter of 2015.] Trend Micro Incorporated. Available at: http://www.trendmicro.com.ru/media/misc/trendlabs-security-roundup-q1-2015-report-ru.pdf (accessed September 21, 2015).

4. Spam with viruses. Available at: http://www.hackmag.com/malware/spam-with-viruses/ (accessed September 21, 2015).

5. Drobotun E.B. Review of new exploit-packs. Angler, Sweet Orange, Nuclear, Fiesta, Magnitude, Neutrino and many others. Haker [Hacker]. 2015, no. 4 (195), pp. 78-83 (in Russ.).

6. Kotov V., Rajpal M.S. Understanding Crypto-Ransomware. Bromium Labs. 2014. Available at: http://www.bro-mium.com/sites/defailt/files/bromium-report-ransomware.pdf (accessed September 21, 2015).

7. Drobotun E.B. Children of the lieutenant CryptoLocker. We open DirCrypt, TorLocker, TeslaCrypt, TorrentLocker, Critroni and CryptoWall. Haker [Hacker]. 2015, no. 9 (200), pp. 206-215 (in Russ.).

8. Trojan.Ransomcrypt.D. Technical Details. Symantec. 2013. Available at: http://www.symantec.com/security_re-sponse/writeup.jsp?docid=2013-0710112-1247-99&tabid=2 (accessed September 21, 2015).

9. Jarvis K. CryptoLocker Ransomware. Dell SecureWorks. 2013. Available at: http://www.secureworks.com/cyber-threat-intelligence/threats/cryptolocker-ransomware/ (accessed September 21, 2015).

10. Leveille M.-E.M. TorrentLocker. Ransomware in a country near you. EsetLabs. 2014. Available at: http://www.wil-ivesecurity.com/wp-content/uploads/2014/12/trrent-locker.pdf (accessed September 21, 2015).

11. TeslaCrypt Ransomware. Dell SecureWorks. 2014. Available at: http://www.secureworks.com/cyber-threat-intelli-gence/threats/teslacrypt-ransomware-threat-analysis/ (accessed September 21, 2015).

12. Drobotun E.B. Cryptolocker's anatomy. Haker [Hacker]. 2014, no. 3 (182), pp. 102-104 (in Russ.).

13. Sinitsin F. New generation of extortioners. Elliptic curve cryptography+Tor+Bitcoin. Securelist - vsyo ob internet-bezopasnosti [Securelist. All about Internet Safety]. 2015. Available at: http://www.securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej/ (accessed September 21, 2015).

14. CTB-Locker encryption/decryption scheme in details. 2015. Available at: http://zarion.wordpress.com/2015/02/17/ctb-locker-encryptiondecription-scheme-in-details/ (accessed September 21, 2015).

15. Alyushin V., Sinitsin F. The encoder with defect. Securelist - vsyo ob internet-bezopasnosti [Securelist. All about Internet Security]. 2015. Available at: http://www.securelist.ru/blog/issledovaniya/25359/shifrovalshhik-s-izyanom/ (accessed September 21, 2015).

16. CryptoWall Ransomware. Dell Secure Works. 2014. Available at: http://www.secureworks.com/cyber-threat-intelli-gence/threats/cryptowall-ransomware/ (accessed September 21, 2015).

17. Artenstein N., Shalyt M. How (and why) we defeated DirCrypt. Check Point Malware Research Group. 2014. Available at: http://www.checkpoint.com/download/public_files/TCC_WP_Hacking_The_Hacker.pdf (accessed September 21, 2015).

18. Allievi A., Carter E. Ransomware on Steroids: Cryptowall 2.0. Talos Group. 2015. Available at: http://www.blogs. cisco.com/security/talos/cryptowall-2/ (accessed September 21, 2015).

19. TorrentLocker. A new modification of a trojan encoder of FileCoder. Part 1. Eset Labs [Eset Labs Company]. Available at: http://www.habrahabr.ru/company/eset/blog/246945/ (accessed September 21, 2015).

20. TorrentLocker. A new modification of a trojan encoder of FileCoder. Part 2. Eset Labs [Eset Labs Company]. Available at: http://www.habrahabr.ru/company/eset/blog/247031/ (accessed September 21, 2015).

21. Sinitsin F. TeslaCrypt 2.0 in CryptoWall disguise. Securelist - vsyo ob internet-bezopasnosti [Securelist. All about Internet Security]. 2015. Available at: http://www.securelist.ru/blog/issledovaniya/26212/teslacrypt-2-0-v-oblichii-cryptowall/ (accessed September 21, 2015).

i Надоели баннеры? Вы всегда можете отключить рекламу.