Вирусы-шифровальщики. Мифы и реальность. Часть 3.

Механизмы шифрования в современных вымогателях. 

В предыдущей заметке «Современные вирусы-шифровальщики.», мы рассмотрели основной отличительный принцип работы современных вымогателей от первых вымогателей, которые просто блокировали загрузочную MBR область диска и выводили сообщения с требованиями о выкупе. Для того, чтобы лучше представить механизм работы современного вируса-шифровальщика, посмотрим на нижеприведённую информацию.

Попадая на устройство, вирус-шифровальщик запускается в системе и начинает зашифровывать пользовательские данные используя алгоритмы шифрования. Исходя из этого, информация пользователей заражённых устройств, может быть прочитана только если зашифрованные данные, будет восстановлена в исходное состояние, до начала работы шифровальщика на заражённом устройстве. При этом, операция восстановления исходного состояния данных, требует применения ключа для расшифровки информации, который знают исключительно злоумышленники. Примечательно, что это и есть главным определителем нелегитимного использования вполне легитимных инструментов шифрования, так как становится понятно, что в данной ситуации, шифрование используется для вредоносных целей.

Многие злоумышленники, создающие шифровальщиков с целью вымогательства, применяют сильные стороны двух типов шифрования, как симметричного, так и ассиметричного. Благодаря использованию двух типов шифрования, авторы шифровальщиков добиваются наилучшей производительности при зашифровке информации на заражённом устройстве. Если вирус-шифровальщик применяет симметричную схему шифрования, это значит, что для зашифровывания и расшифровывания пользовательских данных, применяется пара ключей, взаимосвязанных соотношением симметрии. Чаще всего, в таких системах для зашифровки и расшифровывания информации на заражённом устройстве, применяется один и тот же ключ. В ситуациях, когда ключ «зашит» в «тело» вируса-шифровальщика, достаточно заполучить «тело» вируса-шифровальщика, и попробовать вытащить ключ из трояна, что при успехе предприятия, позволит создать действенную утилиту, которая сможет дешифровать зашифрованные данные.

К сожалению, создатели вирусов-шифровальщиков, использующие такой подход, чаще всего, оснащают свои «изобретения» механизмами самоуничтожения, которые срабатывают после окончания зашифровки файлов.

Примечательно, что если ключ шифрования и расшифровки приходит от командного сервера злоумышленников или создаётся и посылается на сервер злоумышленников, то «владение телом» вируса-шифровальщика мало чем пригодится – нужен сам ключ, который сохраняется на сервере злоумышленников. Если сам ключ удастся восстановить, а это нелегко, так как вирус-шифровальщик, такой ключ после применения удаляет, или получится обмануть C&C-сервер и заполучить ключ, то создать утилиту для дешифровки – возможно. При этом необходимо понимать, что такие механизмы шифрования как зашифрованный протокол с использованием TLS и Сети TOR, активно применяются создателями вирусов-шифровальщиков для обеспечения безопасного обмена информацией между своим вредоносным софтом на заражённом устройстве жертвы и своим командным C&C-сервером, который со своей стороны, сохраняет нужные для расшифровки данные ключа. Лишь благодаря ключу, хранящегося на C&C-сервере злоумышленников, сами файлы у жертв вируса-шифровальщика могут быть восстановлены в исходное состояния, до того, как начал работать шифровальщик на заражённом устройстве, при условии, что создатели зловреда используют такой подход. Асимметричный способ шифрования, использует разные ключи зашифровки и расшифровки, не связанные очевидным соотношением симметрии. В данном подходе, применяется два ключа. Первый ключ – приватный, известен исключительно злоумышленникам и применяется для расшифровки данных. Второй ключ – публичный, применяется для шифрования данных на заражённом устройстве.

Симметричное шифрование наиболее оптимальное решение для зашифровки данных с позиции быстродействия, удобства и производительности. Данный подход, даёт возможность вирусу-шифровальщику сделать свою чёрную «работу» в кротчайший срок. С другой стороны, асимметричное шифрование используется для шифрования симметричного ключа, который может изменяться. Это позволяет злоумышленникам использовать один ключ расшифровывания на всех заражённых устройствах своих жертв, вместо сохранения отдельного ключа для расшифровки данных на заражённых устройств.

Защитные механизмы симметричного ключа могут видоизменятся, при этом, зачастую, они используют открытый ключ, который «зашит» в сам вредонос, либо приходит с командного C&C-сервера, после чего, применяется ключ для зашифровки пользовательской информации на устройстве. После завершения процесса зашифровки данных, симметричный ключ зачастую пересылается на сервер злоумышленников либо сохраняется на заражённом устройстве.

В следующей статье «Взаимодействие шифровальщика на заражённом устройстве с управляющим C&C-сервером.», мы разберём с вами основные механизмы взаимодействия шифровальщика на заражённом устройстве с управляющим C&C-сервером.