Как эксперты по безопасности разгадывают программы-вымогатели

Хакеры используют программы-вымогатели, чтобы атаковать каждую отрасль. вернуть доступ к файлам жертвы. Это прибыльный бизнес. За первые шесть месяцев 2023 года банды программ-вымогателей хотя большинство правительств . Специалисты по безопасности все чаще объединяются с правоохранительными органами, чтобы предоставить бесплатные инструменты расшифровки, освобождая заблокированные файлы и устраняя у жертв искушение заплатить больше.

  Мы в Telegram

Есть несколько основных способов, с помощью которых расшифровщики программ-вымогателей создают инструменты: обратный инжиниринг ошибок, работа с правоохранительными органами и сбор общедоступных ключей шифрования. Продолжительность процесса варьируется в зависимости от сложности кода, но обычно для него требуется информация о зашифрованных файлах, незашифрованных версиях файлов и информация о сервере от хакерской группы. «Просто иметь зашифрованный выходной файл обычно бесполезно. Вам нужен сам образец, исполняемый файл», — сказал Якуб Крустек, директор по исследованиям вредоносного ПО в антивирусном бизнесе Avast. Это непросто, но когда это работает, это приносит дивиденды пострадавшим жертвам.

Во-первых, нам нужно понять, как работает шифрование. В качестве самого простого примера предположим, что фрагмент данных мог начинаться как понятное предложение, но после шифрования выглядит как «J qsfgfs dbut up epht». Если мы знаем, что одно из незашифрованных слов в «J qsfgfs dbut up epht» должно быть «кошки», мы можем начать определять, какой шаблон был применен к исходному тексту, чтобы получить зашифрованный результат. В данном случае это просто стандартный английский алфавит, в котором каждая буква сдвинута на одну позицию вперед: A становится B, B становится C, а фраза «Я предпочитаю кошек собакам» становится бессмысленной строкой выше. Это гораздо сложнее для типов шифрования, используемых бандами вымогателей, но принцип остается тем же. Схема шифрования также известна как «ключ», и, вычислив ключ, исследователи могут создать инструмент, который сможет расшифровать файлы.

Некоторые формы шифрования, такие как расширенный стандарт шифрования с ключами длиной 128, 192 или 256 бит, практически не поддаются взлому. На самом продвинутом уровне биты незашифрованных данных «открытого текста», разделенные на фрагменты, называемые «блоками», проходят 14 раундов преобразования, а затем выводятся в зашифрованной — или «зашифрованной» — форме. «У нас пока нет технологии квантовых вычислений, которая могла бы взломать технологию шифрования», — сказал Джон Клэй, вице-президент по анализу угроз компании Trend Micro, производящей программное обеспечение для обеспечения безопасности. Но, к счастью для жертв, хакеры не всегда используют такие надежные методы, как AES, для шифрования файлов.


Хотя некоторые криптографические схемы практически невозможно взломать , и неопытные хакеры, скорее всего, допустят ошибки. Если хакеры не применяют стандартную схему, такую ​​как AES, а вместо этого решают создать свою собственную, исследователи смогут поискать ошибки. Зачем им это делать? В основном эго. «Они хотят сделать что-то сами, потому что им это нравится или они думают, что это лучше с точки зрения скорости», — сказал Йорнт ван дер Виль, исследователь кибербезопасности в «Лаборатории Касперского».

Например, вот как Касперский расшифровал штамм программы-вымогателя. Это был целевой штамм, нацеленный на конкретные компании, список жертв которого неизвестен. Янлуованг использовал поточный шифр Сосеманука для шифрования данных: бесплатный процесс, который шифрует открытый текстовый файл по одной цифре за раз. Затем он зашифровал ключ с помощью алгоритма RSA, другого типа стандарта шифрования. Но в схеме был изъян. Исследователи смогли сравнить открытый текст с зашифрованной версией, как объяснялось выше, и перепроектировать инструмент дешифрования. . На самом деле, есть тонны, которые имеют .

По словам Крустека, расшифровщики программ-вымогателей будут использовать свои знания в области разработки программного обеспечения и криптографии, чтобы получить ключ программы-вымогателя и на его основе создать инструмент дешифрования. Более сложные криптографические процессы могут потребовать либо грубого перебора, либо обоснованных предположений на основе доступной информации. Иногда хакеры используют генератор псевдослучайных чисел для создания ключа. Настоящий ГСЧ будет случайным, да, но это означает, что его нелегко предсказать. Псевдо-ГСЧ, как объяснил ван дер Вил, может полагаться на существующий шаблон, чтобы казаться случайным, хотя на самом деле это не так — например, шаблон может быть основан на времени его создания. Если исследователи знают часть этого, они могут попробовать разные значения времени, пока не найдут ключ.

Но получение этого ключа часто зависит от сотрудничества с правоохранительными органами, чтобы получить больше информации о том, как работают хакерские группы. Если исследователям удастся получить IP-адрес хакера, они могут попросить местную полицию захватить серверы и получить дамп памяти их содержимого. Или, по словам ван дер Вила, если хакеры использовали прокси-сервер, чтобы скрыть свое местоположение, полиция может использовать анализаторы трафика, такие как NetFlow, чтобы определить, куда идет трафик, и получить информацию оттуда. делает это возможным за пределами международных границ, поскольку позволяет полиции срочно запросить изображение сервера в другой стране, пока они ждут выполнения официального запроса.


Сервер предоставляет информацию о действиях хакеров, например, о том, на кого они могут быть нацелены, или о том, как они вымогают выкуп. Это может сообщить расшифровщикам программ-вымогателей о процессе, который прошли хакеры для шифрования данных, подробностях о ключе шифрования или доступе к файлам, что может помочь им перепроектировать процесс. Исследователи просматривают журналы сервера в поисках подробностей так же, как вы помогаете своему другу раскопать подробности их свиданий в Tinder, чтобы убедиться, что они законны, ища подсказки или подробности о вредоносных шаблонах, которые могут помочь выяснить истинные намерения. Исследователи могут, например, обнаружить часть открытого текстового файла для сравнения с зашифрованным файлом, чтобы начать процесс обратного проектирования ключа, или, может быть, они найдут части псевдо-ГСЧ, которые смогут начать объяснять шаблон шифрования.

Работать с создать инструмент расшифровки программы-вымогателя Babuk Tortilla. Эта версия программы-вымогателя нацелена на здравоохранение, производство и национальную инфраструктуру, шифруя устройства жертв и удаляя ценные резервные копии. Компания Avast уже создала универсальный дешифратор Babuk, но взломать версию Tortilla оказалось сложно. Голландская полиция и Cisco Talos работали вместе, чтобы задержать человека, стоящего за штаммом, и в процессе получили доступ к расшифровщику Tortilla.


Но зачастую самый простой способ придумать эти инструменты расшифровки исходит от самих банд-вымогателей. Возможно, они уходят на пенсию или просто чувствуют себя щедрыми, но злоумышленники иногда это делают. . Затем эксперты по безопасности могут использовать ключ для создания инструмента расшифровки и предоставить его жертвам для дальнейшего использования.

Как правило, эксперты не могут подробно рассказать о процессе, не поддержав банды вымогателей. Если они раскроют распространенные ошибки, хакеры смогут использовать это, чтобы легко улучшить свои следующие попытки вымогательства. Если исследователи расскажут нам, над какими зашифрованными файлами они сейчас работают, банды поймут, что они их ищут. Но лучший способ избежать оплаты — проявить инициативу. «Если вы хорошо выполнили резервное копирование своих данных, у вас гораздо больше шансов не платить», — сказал Клэй.

Нажмите здесь, чтобы узнать больше новостей


Leave a Comment

Your email address will not be published. Required fields are marked *