Криптовирология
Несмотря на то, что ransomware активно начали распространяться по Сети только в прошлом году, появление соответствующего софта было предсказано еще 11 лет назад сотрудником Колумбийского университета Адамом Янгом (Adam Young) и исследователем из IBM Моти Янгом (Moti Yung), опубликовавшими книгу «Cryptovirology: Extortion-Based Security Threats and Countermeasures», где впервые упоминался термин «криптовирология». Под ним авторы понимали новую сферу деятельности компьютерных злоумышленников, которая должна перевернуть представление об информационной безопасности. Основная идея заключается в том, что ИТ-сообщество привыкло воспринимать криптографию в качестве мощного инструмента для создания средств защиты данных и сохранения приватности, и часто упускает из виду возможность ее использования для менее благовидных целей.
Нынешние представители ransomware ознаменовали лишь начало нового этапа в противоборстве вирусописателей и антивирусных компаний. В настоящее время злоумышленник, как правило, генерирует пару крипто-ключей, причем открытый находится у созданного им трояна, а закрытый у преступника. После заражения компьютера жертвы, автор требует денег за расшифровку и, получив выкуп, отсылает закрытый ключ. Слабое место этого подхода заключается в том, что потерпевшему достаточно просто выложить в общий доступ информацию о закрытом ключе, и злоумышленнику останется надеяться, что новым жертвам эти данные не попадутся на глаза. Со временем же, если верить прогнозам, на смену этой модели придет более изощренная – с использованием хакерами ассиметричного шифрования. В этом случае злоумышленник также будет создавать пару ключей, однако вирус, попав на компьютер жертвы, сгенерирует еще один тайный ключ, которым уже и зашифрует данные.
На пределе возможностей
И наконец, самый известный «шантажист» – Gpcode, автора которого «Лаборатория Касперского» расценивают чуть ли как не личного противника, является на сегодняшний день, пожалуй, наиболее совершенным в плане используемых криптографических технологий. Злоумышленник работал с русскоязычными пользователями и распространял троянца через спам. Жертвам приходило письмо, отправленное якобы с рекрутингового сайта, в котором сообщалось, что для пользователя есть вакансия и предлагалось заполнить прилагаемую анкету в doc-формате. Эта уловка работала довольно хорошо, так как адреса людей преступник брал из базы резюме Job ru. При открытии этого файла запускался макрос, который устанавливал в систему собственно Gpcode.
