- PVSM.RU - https://www.pvsm.ru -
Полицейский департамент города Тьюксбери (шт. Массачусетс, США) попал в неловкую ситуацию. Все рабочие файлы на компьютерах оказались зашифрованы какой-то неизвестной программой. Для получения ключа шифрования от полиции требовалось заплатить эквивалент $500 на кошелёк Bitcoin.
Трояны-вымогатели (ransomware) типа KEYHolder, CryptoLocker и CryptoWall получили широкое распространение в последнее время. Некоторые из них сильно лажают в плане криптографии, так что файлы можно расшифровать [1] без всякого выкупа [2].
Например, троян-вымогатель DirCrypt записывает ключ RC4 в конец каждого зашифрованного файла [3].
DirCrypt
В аналитическом отчёте с разбором DirCrypt специалисты компании Check Point писали: «Подняв наши челюсти с земли, мы начали испытывать жалость к бедному автору вредоносной программы. Очевидно, он запутался и не знал, куда сохранить ключ шифрования, и как-то в его голову пришла идея сохранить его в конце зашифрованного файла. Таким образом, можно напрямую без проблем расшифровать каждый файл».
Но есть и такие трояны-вымогатели, в которых всё реализовано очень грамотно [4]: коммуникации через сеть Tor, стойкая криптография, никаких уязвимостей. Против них спасёт только резервное копирование, о котором нужно было думать раньше.
Так или иначе, но поймать на удочку полицейских и заставить их платить выкуп — это просто апофеоз наглости.
Когда компьютеры в полицейском отделе Тьюксбери начали тормозить и глючить, возникли трудности с просмотром записей в базе данных о прошлых арестах и происшествиях — никто ничего не заподозрил. Посчитали, что компьютер чудит, как обычно, пишет [5] местная газета Boston Globe.
Подозрения у офицеров полиции возникли, когда на экране компьютера возникло сообщение «Ваши персональные файлы зашифрованы. Расшифровка стоит $500. Если вы действительно цените свои данные, полагаем, вы не будете тратить время на поиск других решений, потому что их не существует».
Озабоченные полицейские вызвали инженера. Тот подтвердил: действительно, другого решения не существует. К делу подключились правоохранительные органы штата и федерального уровня, а также специалисты из двух частных компаний по информационной безопасности. Никто не смог расшифровать файлы. После пяти дней безуспешных попыток полиция Тьюксбери перечислила биткоины на указанный счёт.
«Сначала я думал, что нас заразил какой-то вирус, — говорит Тимоти Шихан (Timothy Sheehan), начальник отдела полиции Тьюксбери. — Затем мы поняли, что здесь нечто большее. Это скорее похоже на кибертерроризм».
Департамент города Тьюксбери стал очередным полицейским подразделением, чьи компьютеры заразил троян-вымогатель. Аналогичные случае ранее зарегистрированы в Иллинойсе и Теннесси. Даже сотрудничество с ФБР не помогло им расшифровать информацию. У полицейских не остаётся выхода, кроме как заплатить выкуп анонимным хакерам. Документы слишком важны, чтобы их потерять.
Общее количество жертв тряонов-вымогателей по всему миру неизвестно. По оценке Dell, один только троян CryptoWall заразил более 625 000 компьютеров по всему миру, из них 250 000 в США. Примерно 41% жертв платят-таки запрошенный выкуп (исследование университета Кента, Великобритания).
Хотя есть герои вроде Гари Боуэна (Gary Bowen) из полицейского отдела в Коллинсвиле (Аляска). Он принципиально отказался сотрудничать с «террористами» и платить запрошенный выкуп $500 в июне 2014 года. Полиция так больше никогда и не увидела свои файлы.
Автор: alizar
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/virus/88293
Ссылки в тексте:
[1] можно расшифровать: http://www.welivesecurity.com/2014/06/04/simplocker/
[2] без всякого выкупа: http://www.theregister.co.uk/2013/12/13/locker_ransomware/
[3] записывает ключ RC4 в конец каждого зашифрованного файла: https://www.checkpoint.com/download/public-files/TCC_WP_Hacking_The_Hacker.pdf
[4] всё реализовано очень грамотно: http://securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej/
[5] пишет: http://www.bostonglobe.com/business/2015/04/06/tewksbury-police-pay-bitcoin-ransom-hackers/PkcE1GBTOfU52p31F9FM5L/story.html?hootPostID=4eeeb0f3aaa4b87b16d3f2ab8aea38ca#
[6] Источник: http://geektimes.ru/post/248706/
Нажмите здесь для печати.