ZCryptor: червь-шифровальщик

Многочисленные отчеты аналитиков и исследователей однозначно подтверждают: 2016-й — год расцвета вымогательского ПО. Киберпреступники успели оценить эффект от использования всевозможных блокировщиков и охотно превратили их в основную часть своего арсенала. В Cisco рапортуют о том, что распространение вымогателей через один только эксплойт-кит Angler приносит киберпреступникам около $60 млн дохода в год, или $5 млн в месяц!

Герои хакерского фронта последних месяцев — Петя (Petya), его друг Миша (Mischa), а также их дальний «родственник» Локи (Locky) — продолжают собирать дань с пользователей более чем в сотне стран. Под прицел хакеров все чаще попадают учреждения и компании, располагающие ценными данными, — например, в США в последнее время нередко атакуют больницы.

Черви-вымогатели

Для успешного заработка создателям программ-вымогателей нужно активно наращивать масштаб атак, направленных на распространение вымогателя. Вредоносный спам все еще работает, но уже не так хорошо, как раньше, — многие пользователи теперь знают об этом методе заражения шифровальщиками.

Веб-сайты и антивирусные программы научились распознавать вредоносные ссылки или спам, содержащий потенциальную угрозу. В свою очередь, в ответ на это киберпреступники постепенно отходят от практики распространения зловредов ковровыми бомбардировками электронной почты и обращаются к методам, использованным в свое время самыми результативными вредоносными программами — старыми добрыми червями.

Эксперты согласны, что следующим этапом развития вымогателей станет эра крипточервей — опасного гибрида самораспространяющегося вируса и шифровальщика. Природа таких зловредов объединяет в себе самые результативные техники обоих «родителей». Такие криптолокеры смогут воспроизводить сами себя и распространяться через уже зараженные компьютеры, заодно шифруя на них файлы и требуя выкуп.

Первым вирусом такого рода стал SamSam, поразивший ряд корпоративных сетей и заразивший не только компьютеры в Сети, но и облачные хранилища с резервными копиями данных.

ZCryptor

На этой неделе в Microsoft обнаружили новую разновидность червя-шифровальщика — ZCryptor. Необычен он тем, что после заражения компьютера он не только шифрует файлы, но и распространяется с него самостоятельно, не прибегая к помощи в виде вредоносного спама или эксплойт-пака — как червь. Зловред копирует себя через подключенные к инфицированному компьютеру сетевые и портативные устройства.

Для первичного заражения ZCryptor обращается к привычному арсеналу: он притворяется инсталлятором популярных среди пользователей программ (например, Adobe Flash) или проникает в компьютеры жертв через вредоносные макросы в документах MS Office.

Оказавшись в системе, зловред первым делом заражает подключенные к компьютеру съемные диски и флешки для дальнейшего размножения и только потом начинает шифровать файлы. ZCryptor шифрует более 80 видов файлов (а по некоторым данным, более 120), добавляя к ним расширение .zcrypt.

Затем события развиваются по привычному сценарию: на экране жертвы возникает веб-страница, из которой пользователь узнает, что все его файлы зашифрованы и от него требуется выкуп в 1,2 биткойна (по текущему курсу — около $650). Если пользователь не платит выкуп в течение четырех дней, требуемая сумма увеличивается до 5 биткойнов, то есть более $2500.

Увы, эксперты пока не разработали дешифратор, при помощи которого можно было бы расшифровать файлы без уплаты выкупа, поэтому пользователям остается только проявлять осторожность.

Как защититься

Тем, кто не хочет стать жертвой ZCryptor, мы рекомендуем следовать простым советам:

• Прежде всего своевременно обновляйте операционную систему и прочее ПО, чтобы у зловреда было меньше шансов попасть на ваш компьютер через незакрытую уязвимость и оттуда отправиться гулять по вашей сети.
• Как всегда, будьте начеку и не посещайте подозрительные сайты, а также не открывайте вложения в письмах, пришедших от неизвестного отправителя. Словом, соблюдайте базовые правила цифровой гигиены.
• Отключите макросы в документах Word — в последнее время метод заражения компьютера через вредоносные макросы вновь набирает популярность у злоумышленников.
• Не забывайте регулярно делать резервные копии и хранить хотя бы одну из них на внешнем накопителе, не подключенном к компьютеру, — подальше от потенциальной угрозы. Если можно восстановить данные, то и выкуп платить не надо.
• Используйте надежное защитное решение. Kaspersky Internet Security детектирует ZCryptor как Trojan-Ransom.MSIL.Geograph и защищает от него наших пользователей.