Как действа заразата
Както и при много други семейства троянци, киберпрестъпниците използват различни методи за промъкването на заразата в компютъра на жертвата:- Чрез сваляне от заразен сайт
- Чрез прикачени файлове в имейли
- Чрез инсталация посредством друг троянец или backdoor
- Чрез ръчна инсталация посредством RDP инфилтрация
- И много, много други методи
В един от случаите, на които се натъкнахме, станахме свидетели как Win32/Filecoder.Q (познат по-късно и като Win32/Filecoder.AA и Win32/Filecoder.W) се разпространява чрез backdoor вируси като Poison-Ivy R.A.T. Конкретно, жертвите получават backdoor вируса по имейл и ако са достатъчно непредпазливи, за да го стартират, той се свързва с команден сървър, от който очаква команди за действие. След това атакуващият киберпрестъпник изпраща троянеца Filecoder към заразената машина. При получаване вирусът дори няма да се запази на харддиска на компютъра, а ще стартира директно при свалянето му от временната памет (начин за атака, от който новият ESET Smart Security предпазва). Ставали сме свидетели и на други случаи, при които атакуващият успява да инсталира Filecoder на компютъра на жертвата ръчно посредством компроментиран Remote Desktop Protocol (RDP) акаунт. Все още не е ясно как точно се получава тази атака, но сред възможните методи са отворени портове за RDP, открадната с keylogger информация за достъп до компютъра или brutefoce (буквално отгатване на паролата) на слаба парола. Важното в случая е, че атакуващият има пълен достъп до атакуваната машина, точно все едно е седнал на нея, изключил е антивирусната защита и си прави каквото си поиска. Буквално. В някои случаи ръчната инсталация се дължи и на факта, че част от вирусите изискват потребителска интеракция – например въвеждане на парола.
Техники за криптиране
Както стана дума по-рано, тронците, криптиращи файлове, са по-опасни от „полицейските“ троянци. Причината е в криптирането на файлове от компютъра на жертвата – обикновено изображения, документи, музика и архиви. В различните варианти на тези вируси през времето сме виждали и различни техники на криптиране:- Имплементирано в троянския кон или чрез използване на (легитимни) инструменти за криптиране (например LockDir, WinRAR архив с парола и т.н.)
- Някои модификации на вируса криптират целия файл, а други – само част от него
- Третирането на засегнатия файл също е различно. При някои варианти оригиналът се изтрива и може да бъде възстановен с различни инструменти. В други случаи, вирусът използва инструменти като Microsoft SysInternals SDelete или дори препокрит, което елиминира възможността за подобно просто възстановяване.
Използват се и различни методи за криптиране:
- Blowfish
- AES
- RSA
- TEA
… а ключовете за декриптиране могат да бъдат:
- Заложени в кода на вируса
- Въведени ръчно (чрез команда или диалогов прозорец, когато атакуващият има RDP достъп до заразената машина).
- Генерирани на произволен принцип и изпратени на атакуващия
Няколко съвета
В някои случаи Filecoder използват слаб шифър или неподходяща имплементация или съхраняват паролата за декриптиране на места, от които тя може да бъде възстановена. Това позволява лесното декриптиране на засегнатите файлове, дори и без плащането на откуп за това. За съжаление, в преобладаващия брой случаи обаче, атакуващите са се научили да избягват подобни грешки и възстановяването на криптираните файлове без ключ за декриптиране е просто невъзможно. Ако се изисква отдалечен достъп на атакуващия до компютъра ви, вземете необходимите мерки за сигурност. Най-малкото, не отваряйте RDP към машината си за „публичния“ интернет, използвайте VPN с двойна оторизация. Не е никак лоша идея да защитите с парола антивирусния си софтуер и настройките му, за да предотвратите евентуално изключване от страна на атакуващия.