W ostatnim czasie amerykańscy członkowie Black Hat, Deloitte i Bambenek Consulting podjęli się szczegółowych badań osławionego CryptoLockera, który w zeszłym miesiącu zaraził ponad 200 000 komputerów na całym świecie, z czego połowa znajdowała się w USA. Szacuje się, że w ciągu ostatnich dwóch miesięcy malware mogło wyłudzić ponad 27 000 000 dolarów okupu za odszyfrowanie plików.
W nadchodzącej konferencji Black Hat USA 2014 w Las Vegas, Lance James, szef Deloitte i John Bambenek, prezes i dyrektor ds. kryminalistycznych z Bambenek Consulting będą szczegółowo analizować malware CryptoLocker, aby wspólnie zwalczać zagrożenie jakie niesie ze sobą ten szkodnik.
CryptoLocker był znany z tego, że być może po raz pierwszy w historii, właśnie w nim zastosowano poprawnie kryptografię z wykorzystaniem komercyjnych klas 2048-bitowego szyfrowania RSA.
Jako zagrożenie CryptoLocker nadal szybko się rozwijała. Zorganizowana grupa analityków malware z wykorzystaniem wstecznej inżynierii rozpoczęła prace nad odwróceniem kodu CryptoLockera by dostrzec jego słabości. Oto co udało im się ustalić:
- CryptoLocker nie może zaszyfrować danych, gdy nie jest w stanie połączyć się z odpowiednią domeną i pobrać klucz potrzeby do szyfrowania, nawet jeśli już zainfekował docelową maszynę. Oznacza to, że infekcje CryptoLockera mogą być skutecznie ograniczane, jeśli możliwe byłoby blokowanie losowo utworzonych domen generowanych przez algorytm do generacji domeny (Domain Generation Algorithm – DGA).
- Analitycy odkryli również, że algorytm DGA był używany wcześniej jako część szkodliwego oprogramowania Flashback na system Mac.
- Najciekawsze było to, że CryptoLocker za pomocą DGA tworzył domeny w oparciu o pory dnia. Uzbrojeni w wiedzę badacze mogli w stanie przewidzieć, jakie będą generowane domeny każdego dnia.
Tak więc, CryptoLocker w zasadzie został „spenetrowany”. Jego usunięcie będzie sporym problemem, bowiem wiąże się to z eliminacją botneta GameOver, który jest jedyną drogą dystrybucji malware.
Niezależnie od tego czy CryptoLocker zostanie tymczasowo wyeliminowany, przedsiębiorstwa muszą być przygotowane na przyszłe ataki i ewentualną utratę danych. Jedyna ochrona to regularne tworzenie kopii danych oraz monitorowanie i blokowania prób połączenie z siecią TOR, która jest wykorzystywana do ukrycia złośliwego ruchu.
