Предисловие
И все таки, приветствую. У нас выпуск, который должен закончить хронологию программ-вымогателей. Но я этого не гарантирую: есть о чем рассказать, есть что проверить, посему будет неудивительно, если опять придется дробить эту часть на части.
И это уже седьмая часть.
В рамках этого подцикла я слегка шизанулся и начал отходить от канонов, но уж ничего не поделать, получается так, что я мало как сознательно могу влиять на ход развития рассказа. Большинство текста пишется в маниакально-депрессивном порыве. Но многие находят такой стиль для себя интересным, потому отрекаться от привычек никак не намереваюсь в будущем. Не будем тянуть котика за хвостик. К делу.
Теперь уже не смогу отвертеться, сказав, что статьи только обретают очертания цикла, это есть полноценная связка, прошлые статьи по этим ссылкам:
1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: раняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
6. Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
Представьте себе картину: гробовая тишь глубокой ночи и лишь одинокие моногамные птицы, слагают песни одиночества, разрывая покой этого места. Смерть таки разделила их любовь.
Пустырь. Тусклый свет молодой луны освещает путнику дорогу, а знаете кто идет? Улей. Имея длинный черный плащ с красными облачками на том, он становится абсолютно незаметным - никому не различить его силуэт в темноте. Снимает, значится, он маску, а под ней - дисклеймер( да, этo очередная отсылка):
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.
Историческая вирусология: поздняя хронология программ вымогателей - локер Илона Маска или как создавалась Тесла. Часть 2
Неизменным нашим героем остается Анос Волдигорд - молодой, но уже нет, человек, а также неудачник до мозга костей. Этот персонаж умудрился на протяжении 30 лет ловить на свои устройства почти каждый вредонос-вымогатель, как только тот появлялся в сети, от чего и сам страдал. Свою диссертацию он пытается выпустить уже 32 года, посочувствуем, но не суждено достигнуть ему цели, ведь судьба ведет к его погибели: появляется так называемый TeslaCrypt.
Ну, Маску не хватило пару сотен на пиво, а трубы горят, опохмел нужен, вот он и решил создать этот вредонос. Ходят слухи, что писался он самим Илоном, стоявшим в очереди Пятерочки, а как неоднократно было доказано автором - чем меньше ты думаешь, тем лучше вещи способен породить.
Так, долой шутки.
Наш герой только-только заканчивает переустановку Шиииндоус, а делает он это три раза в день и живет активной полноценной жизнью, и никак не страдает из-за этого, за исключением диссертации. Действительно, когда твою работу уничтожают на протяжении тридцати с лишним лет, это… Тотальное отчаяние.
Но Анос не грустит, он решает скачать себе на ПК пиратскую версию КС ГО. Происходит закономерное, его клавиатура, как и мышь отключаются , а открывшиеся окна очень напоминают тот самый Криптолокер.
И если бы наш Анос только не закончил переустановку Шиндоус, то произошло бы не самое приятное. ТеслаКрипт, которым и был заражен компьютер нашего героя, в основе своей был ориентирован на кражу данных от игровых аккаунтов конкретных игр: КС, КОД и тому подобные. Целевая аудитория - геймеры, обозначим себе это в памяти.
Откинем то, что происходило с машиной нашего неудачника, о этом позже, и рассмотрим хронологию.
11 ноябля.. Господи, да сколько уже можно. Ноября. 2014 года. Первый исходник Тесла крипт попадает на ВирусТотал, где и впервые светится. Предположительно туда его загрузил сам создатель, хотя… А может и нет, это точно неизвестно.
Но уже в конце февраля, где-то около 15-24 числа, 2015 года начинается массовое заражение компьютеров по всему миру, предположительное место начала - Детройт, США, хотя это уже и не имеет особого веса, ведь программа была выгружена на популярные форумы и сайты с читами. Кстати, из-за этого вируса пошла шутка, стоп, кто шутил, реальность же, о локерах в программах такого типа.
Март-апрель 2015 года, массовое распространение, за месяц заражено около двух миллионов машин. К слову, чтобы вы имели представление сколько это в деньгах, то выкуп был примерно 500-600$.
Первого апреля 2015 года происходит ребрендинг зловреда. Серверы платежей по выкупу начали называть, как Alpha Crypt и AlphaTool. Думаете шутка? Нет, ибо вместе с этим выходит крупное обновление и теперь это уже AlphaCrypt, а исходя из прошлого названия, то TeslaCrypt 2.0, который уже был ориентирован не только на игры, но и на файлы документов: .pdf, .jpeg, .mp4 и так далее.
26 апреля, сумма, отправленная злоумышленникам-создателям превысила 40 миллионов долларов.
27 апреля 2015. Несколько энтузиастов из компании Cisco создают дешифратор
Ссылка скрыта от гостей
который позволяет многим жертвам восстанавливать файлы. Но это никак не становится панацеей и заражения, пусть уже и с меньшим процентом на успех, продолжаются вплоть к декаблю…Нет, ноябрю, простите, того же года. Тогда лаборатория Касперского сообщает, что в первоапрельской версии была найдена какая-то уязвимость, что позволяло им эффективно изничтожать вредонос.
И вот в декабле 2015 года, появляется версия 3.0, в которой этой уязвимости уже нет.
Вирус продолжает своё распространение и деятельность вплоть к маю 2016 года, когда сами разработчики распространяют ключ доступа и закрывали проект. А через несколько дней ESET выпустили общедоступный инструмент для бесплатной расшифровки зараженных компьютеров. Итог - около 75 миллионов долларов ущерба.
С хронологией этого вируса у нас всё, давайте разбираться детально в его работе: чем он отличался, чем был схож, где оплошал, а в чем преуспел. Кстати, среди жертв были и вот такие, потерявшие свои аккаунты в играх, в которые было вложено несколько миллионов:
Для распространения этого вредоноса использовались уязвимости нулевого дня в браузерах и флэш плеере. Так называемая CVE-2015-5119, которая может использоваться всякими сомнительными типами для удаленного исполнения кода, но в нашем случае исключительно установки вредоносных программ на всех популярных браузерах: MS IE, MS Edge (Windows 10), Google Chrome, Opera, Mozilla Firefox, хотя этот эксплоит был актуален и для ведроида, и для ИОС, атаки, если что, проводятся способом drive-by download, что стало очень выгодным для ТеслаКрипта.
И фатальным здесь стало не существование такой уязвимости, а её добавление в популярные наборы для эксплоита браузера - Angler и Nuclear. Скорее всего многим эти наборы известны, ведь автор в те года тоже слегка баловался таким.
Допустим, что наш Анос заразил свой ПК отнюдь не скачиванием уже зараженного файла, а вот как раз таким манером с помощью зиродей. Тогда как бы это выглядело?
Упустим работу на атакующей машине, ибо это уже будет напоминать пособие, а не статью о истории.
Используя набор эксплоитов, злоумышленник загружает и запускает TeslaCrypt в системе.
Зловред же немедленно копирует себя в %AppData%, используя случайную строку из семи букв нижнего регистра (например, amfmdma.exe).
Тот исходник, который был загружен посредством уязвимости, выполняет свою копию - amfmdma.exe, а затем завершает работу. Такой метод заметно утруждает процесс снятия блокировки, ибо идентифицировать процесс становится сложнее.
В момент запуска вредоносная программа удаляет все теневые копии томов в системе:
Код:
%WinDir%\system32\vssadmin delete shadows /allПосле начинает выполнение мьютекса, думаю вы помните что это, ведь нам уже приходилось разбирать подобный алгоритм работы. Здесь есть то, чего не было в черве Мортиса, ведь созданный мьютекс предотвращает повторное заражение. В основном именовались они так: System1230123 или dslhufdks3.
Затем вредонос регистрируется в реестре, дабы гарантировано запуститься в момент перезагрузки устройства:
Код:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunА теперь наш локер от Илона Маска начинает шерстить систему на наличие подходящих под шифровку файлов, это у нас все медиафайлы и текстовые документы. В каждом каталоге, где есть что шифровать он сотнями воспроизводит файл HELP_RESTORE_FILES.txt, в котором находятся все нужные инструкции для расшифровки вашей персональной информации за деньги.
Скажем "Нет!" аниме девочкам на заставке рабочего стола, теперь только сообщение о выкупе:
В довершение всего подготовительного действа на рабочем столе удаляются все ярлыки и появляется один единственный - teslacrypt.exе, ведущий к файлу в AppData.
Теперь минутку уделим шифрованию. Сама его схема никогда не оставалась постоянной, новая версия - новый тип.. Изначально это была реализация алгоритма AES-256-CBC, с сохранением ключа расшифровки в файле key.dat, но этот метод быстро сам себя скомпрометировал. Хотя до конца процесса превращения ваших файлов в мусор всех ваших файлов и он маскировался, затираясь нулями.
В последней версии, которую мы и разберем, создатели решили не придумывать велосипед и своровать механизм из предшественника - ситрони, который, если вы ещё не забыли, был основан на эллиптических (не от слова эпилепсия) кривых.
Единственное отличие между Ситрони и Теслой, так это то, что сессионные ключи генерируются не для каждого файла, а для текущей сессии компьютера, то бишь до перезагрузки.
Итак, в нашей последней версии, локер от Маска начинает сохранять всю важную для работы информацию не во временных файлах, а в самом реестре, что оказалось более надежно. В HKCU\Software\msys\ID сохраняется значение идентификатора вредоноса, а в HKCU\Software\<идентификатор>\data сохраняется номер Bitcoin-кошелька, публичный ключ master-public, важно учесть, что приватный ключ не сохраняется нигде.
В первых версиях было GUI окошко с требованием о выкупе, но создатель вируса решил опять скопировать у предшественника своего творения идею - HTML страницу, которая вид имела вот таков:
О КриптоВолл мы поговорим чуточку позже, но особо ничего нового там и не было.
Процесс шифрования начинается с того, что вредоносное ПО использует функцию API GetLogicalDriveStrings() для перечисления хранилища на дисках системы с буквенными обозначениями (например, C:\).
Затем использует API-вызов GetDriveType() выборочно выбирает диски через DRIVE_FIXED (например: жесткие диски или SSD) и диски DRIVE_REMOTE (например, подключенные сетевые ресурсы). TeslaCrypt ничего не делает со съемными (USB) хранилищами и не сканирует подключенные сети на наличие открытых общих ресурсов.
Прикол ещё в том, что все шифруемые файлы записываются в исходный код самого вредоноса, что порядком усложняет возможность расшифровать их какой-то утилитой.
Список зашифрованных файлов хранится в %AppData%\log.html. TeslaCrypt также хранит метаданные о заражении в небольшом (<1 КБ) двоичном файле %AppData%\key.dat
Сервера самого вредоноса, как и в прошлом разобранном локере, находятся в TOR’е, что очень даже неплохо.
Скомпрометированные системы взаимодействуют с этими серверами двумя способами:
Через общедоступные шлюзы web-to-Tor, такие как Tor2web.org, tor2web.fi и blutmagie.de.
Через прокси-сервера злоумышленников, например, dpckd2ftmf7lelsa.aenf387awmx28.com. Эти домены, контролируемые авторами, часто размещаются в законной инфраструктуре, управляемой сторонними организациями, такими как CloudFlare.
Оплата в основном происходит через биткоин, на то время она составляла от 1.5 до 2.5 биткоинов, но была возможность заплатить и на карту PayPal.
Мини-выводы
Программы-вымогатели, шифрующие файлы, продолжают оставаться растущей тенденцией среди вредоносных программ того времени. И практически все известные вирусы времен 2010-2022 - это вымогатели.
TeslaCrypt очень красиво сплагиатил CryptoWall, CTB-Locker и TorrentLocker, учитывая их ошибки и проколы, по сему и он обратился в качестве одной из самых активных угроз тех времен.
Хотя инструмент дешифрования Cisco Talos позволит многим жертвам восстанавливать файлы, создатель этого чуда тоже не дурак и очень быстро исправил брешь в своей программе.
Кстати, вот что думаете о создателе этого вируса? Компания Тесла была открыта Маском в 2015 году, как раз тогда, когда активничал этот вредонос. Как говорил сам Илон, что у него были последние деньги и то он взял кредит, а после уже и создал то, что сделало его миллиардером.
Но не кажется ли вам это совпадение странным? Ведь сразу же создания компании, винлокер вдруг делает ребрендиндинг и становится АльфаЛокером… Подумайте на досуге о целесообразности моих рассуждений. Хе-хе-хе.
И теперь должен был быть раздел о ВаннаКрай, но выходит, что если я втулю его сюда - статья выйдет огромной, потому все прочие исторические вымогатели будут разобраны уже не в рамках этого подцикла, а пойдут по естественной хронологии Исторической вирусологии. Лады?
А теперь давайте поговорим о том, почему винлокер стал достоянием и мемом в сообществе даже тех, кто ни капли не понимает, что в действительности стоит за этим названием.
В период с 2014 года по 2016 на Ютуб появляется множество видеороликов, типа “Наказал шкАЛЬНИКА288 ЗА ГРИФИНГ” или вот видеоролики от какого-то Донбасса, я не могу прочитать его ник адекватно, где он кидает ссылку в Дискорде и якобы там ссылка на винлокер-картинку, но на деле это обычный выход из гугловского генератора. 2-4 миллиона просмотров на каждом выпуске… Ужас. Кринж.
В основе используются не очень сложные программы-вымогатели, если их вообще можно так классифицировать, ведь они банально ограничивают работу вашей системы, ничего не требуя взамен.
Если я вам скажу слово Винлокер, какую картину вы представите сперва, разве не вот это?
Уверен, что 90% подумают именно о этом, давайте разберем, что оно, как оно, как с ним бороться и в чем его фундаментальный просчет.
Итак, я не дурак, чтобы использовать основную машину в качестве подопытного кролика, кстати, в заключительной части Исторической вирусологии, я уничтожу свою же винду, ибо до того времени сойду с ума.
Качаем первый попавшийся генератор винлокеров из под видео на ютубе. И … Это оказывается сам вирус, а не его генератор, спасибо.
Снять его слишком просто: безопасный режим с CMD - taskmanager.exe - удаляем все файлы связанные с процессом, чистим реестр.
И вот, спустя несколько часов поисков, удалось нарыть мне рабочую версию, давайте запустим и поглядим, что да как оно выглядит.
М-м-м, сразу же после открытия решил открыть диспетчер задач и замечаю, что какой-то процесс сразу же закрывается, ну сами понимаете, что оно. Скорее всего какой-то скрытый майнер.
Давайте сначала проведем анализ самого билдера, ибо мне кажется, что там есть что-то ещё.
М-м-м, я не особо в этом понимаю, но таблица импортов зачем-то затрагивает ддлки, которые никак не относятся к работе билдера, так же если повторно открыть диспетчер задач, то можно успеть заметить процесс - мсчест32.ехе, что очень часто используется для маскировки скрытых майнеров, но разбираться детально не будем.
Давайте откроем сам локер и посмотрим, что будет. Ожидаемо - сообщение ,что наш виндоус заблокирован. Сам локер вызывает системные лаги, кстати, попыток ввода пароля - одна. Давайте специально введем неверный пароль и глянем, что же случится. А ничего, просто перезапуск винды. Тьфу, я разочарован.
Удивительно, что для обхода нам не нужно даже перезагружаться, достаточно зайти в гостевой аккаунт или другую учетку.
Итоги
Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно - разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка - это вошло в историю, а о ней мы и говорили.
Это заключительный выпуск подцикла Хронологии Программ-вымогателей, поэтому давайте подведем итоги этих трех выпусков. Напоминаю, что такие вирусы, которые навели шуму в современном обществе, будут разобраны в рамках цикла Исторической вирусологии чуть позже. Ибо нет смысла дробить эту статью ещё на три части.
1989 год - Джон Поппа и его первый троян-вымогатель - AIDS. Сошел с ума, отсидел два года в психушке и благополучно смотался от ответственности.
2005 год - GPcode - определенная революция в подходе к созданию вымогателя, создатель неизвестен. Из-за предельной частоты процессора в 2.2 Ггц возникали определенные проблемы с расшифровкой RSA ключа в 550 байт.
2006 год - Архивариус - потерпел крах через месяц после выпуска в сеть, а причиной стало то, что на всех версиях использовался один и тот же пароль - 38-символьная комбинация клавиш «mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw».
2010 год - CryptoLocker - первый прототип современных локеров, нанес огромный ущерб, первым начал использовать AES и выплаты на кошельки криптовалюты. Породил на своей основе очень много различных версий, никак не связанных друг с другом. Общий концепт современности вымогателей.
2014 год - Ситрони - усовершенствовал методы шифрования, используя революционный подход, основанный на эллиптических кривых. 20 миллионов долларов ущерба.
2015 год - TeslaCrypt - гениально своровал идеи других и усовершенствовал их. О нем и сегодняшний выпуск.
И каков итог? Невероятные 300 миллионов собранных долларов, невероятный ущерб и петабайты потерянных данных. Такова история.
А с вами был, как всегда, какой-то анимешник DeathDay и его маниакально-депрессивные записки. Не прощаюсь.
2015-2016. TeslaCrypt.
Последнее редактирование:
