Евгений Касперский уже писал о том, что мы ожидали новых DDoS-атак связанных с ресурсами освещающими выборы в России. Вчера, 4 марта, мы внимательно следили за появлением новых целей DDoS-атак.

В последние несколько недель мы занимались исследованием инфраструктуры серверов управления, используемых Duqu.

Широко известен факт, что первоначально обнаруженные образцы Duqu использовали C&C в Индии, размещенный на площадке хостинговой компании WebWerks. Впоследствии был выявлен еще один сервер Duqu — базирующийся в Бельгии, у хостера Combell Group Nv.

«Лаборатория Касперского» в настоящий момент обнаружила более 12 различных вариантов Duqu. Среди них есть те, которые соединялись с серверами в Индии, в Бельгии, но также и с другими серверами — двумя во Вьетнаме и одним в Голландии. Кроме них, много других серверов были использованы авторами Duqu в организации всей сетевой инфраструктуры. Некоторые их них использовались как основные прокси-сервера, другие были предназначены для скрытия следов.

В целом, сейчас мы обнаружили более десятка различных серверов Duqu, которые были активны и функционировали на протяжении последних трех лет.

Прежде чем продолжить рассказ, мы должны сказать, что мы все еще не знаем, кто стоит за Duqu и Stuxnet. Хотя нам удалось захватить и проанализировать некоторые из серверов, атакующим удалось замести свои следы достаточно эффективно. 20 октября 2011 года, спустя три дня после публичного оглашения информации об обнаружении Duqu, они провели крупную операцию по «зачистке». Атакующие очистили каждый сервер, который они использовали как минимум с 2009 — в Индии, Вьетнаме, Германии, Великобритании и так далее. Тем не менее, несмотря на эту массовую акцию по скрытию следов, мы все же можем пролить некоторый свет на то, как работала сеть Duqu.

Мы получили несколько сообщений, в которых пользователи из разных стран просят нас помочь им справиться с заражениями вредоносной программой, которая очень похожа на троянца-шифровальщика GpCode образца 2008 года.

Как мы рассказывали ранее, этот тип вредоносного ПО очень опасен, потому что шансы восстановить ваши данные невелики. Это почти то же самое, что безвозвратное удаление информации с жесткого диска.

Впервые GpCode был зарегистрирован в 2004 году. Затем он периодически появлялся вплоть до 2008 года. Были и подражатели, которые создали несколько имитаций GpCode, не представлявшие действительной угрозы, поскольку в них не использовались стойкие криптографические алгоритмы.

И в 2006, и в 2008 годах нам удавалось предложить несколько способов лечения и даже расшифровки данных с помощью наших инструментов дешифрования.

Сегодня GpCode вернулся — и он более сильный, чем раньше. Предварительный анализ показал, что для шифрования используются алгоритмы RSA-1024 и AES-256. Зловред зашифровывает только часть файла, начиная с первого байта. В отличие от предыдущих вариантов, новая версия GpCode не удаляет файлы после шифрования. Вместо этого троянец записывает информацию поверх файлов, что делает невозможным использование ПО для восстановления данных — такого, как утилита PhotoRec, которую мы предлагали во время предыдущего пришествия шифровальщика.

Новая вредоносная программа добавлена в антивирусные базы ЛК и детектируется как Trojan-Ransom.Win32.GpCode.ax. Эксперты «Лаборатории Касперского» внимательно изучают нынешнюю версию троянца и будут информировать вас о любом полученном результате, который может помочь в восстановлении данных.

Если вы считаете, что ваш компьютер заражен, мы рекомендуем ничего не менять в системе. Это может помочь нам восстановить ваши данные, если мы найдем соответствующее решение. Стоит просто выключить компьютер. Хотя мы не обнаружили никаких свидетельств, подтверждающих наличие в троянце механизма удаления файлов с временным критерием, следует помнить, что перезагрузки и лишние включения зараженного компьютера могут помешать дальнейшему восстановлению, т.к. каждая загрузка/перезагрузка системы вносит изменения в файловую систему.

Люди, которые еще не сталкивались с этой проблемой, должны знать о ее существовании и распознать GpCode с первой секунды появления на экране предупреждающих сообщений. Кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных. Пожалуйста, запомните это и сообщите своим друзьям.

Если на экране неожиданно появится всплывающее окно Блокнота с таким текстом:

или вид рабочего стола мгновенно изменится на что-то вроде этого:

Внимание!
Все ваши персональные файлы были зашифрованы с помощью сильного алгоритма RSA-1024, и вы не сможете получить к ним доступ, не выполнив наши требования!

Для получения инструкции по расшифровке прочтите txt-файл «Как расшифровать» на рабочем столе.

Сделайте это как можно скорее!

Помните: если вы хотите получить назад свои файлы не пытайтесь рассказывать кому-либо об этом сообщении! Просто делайте то, что мы вам говорим!

немедленно выключайте компьютер или выдерните шнур из розетки, если это самый быстрый способ его выключить!

Все мы знаем, что объектом атак киберпреступников становится всё, до чего они могут дотянуться. Мы в «Лаборатории Касперского» знаем также и то, что многие системные администраторы не слишком беспокоятся о безопасности своих интернет-ресурсов. Печально, но факт: спросите рядового сисадмина, надежно ли защищены его серверы. В ответ получите: «Да ладно! Кому нужен мой SQL-сервер?»

Несколько месяцев назад мы установили в нашем японском исследовательском центре в Токио новую «ловушку» www.mwcollect.org. «Ловушка» используется в основном для сбора вредоносных исполняемых файлов Windows, с чем она достаточно хорошо справляется, эмулируя шелл-код при обнаружении сетевых эксплойтов. Кроме того, при использовании «ловушки» для «прослушивания» всех портов мы получаем статистику (а также неожиданные данные) по разным сетевым портам хоста, имеющего глобальный IP-адрес.

На графике показано количество атак и нежелательных соединений на отдельных портах нашего сервера. Здесь приведены десять наиболее часто используемых злоумышленниками портов, но даже самый редко атакуемый порт в этом списке (порт 1130) получает порядка шестнадцати нежелательных соединений в день. Вот таблица сервисов, стандартно использующих каждый порт:

Надеюсь, этого вполне достаточно, чтобы доказать вам, что в интернете все-таки есть те, кому нужен ваш SQL сервер (и кое-что еще…). Данные, приведенные выше, показывают, что в Сети полным-полно мальчишей-плохишей, которые ищут лазейки в незащищенных хостах. Кто-то из них пытается найти машины, на которых установлен Backdoor.Win32.Noknok, другие пытаются взломать легитимные сервисы, такие как Radmin и Windows Remote Desktop.

Хотите знать, кто именно ведет охоту на плохо защищенные ресурсы? Вот еще один график, показывающий, сколько соединений с нашей «ловушкой» производится ежедневно из разных стран:

Задержитесь на минутку и сравните этот график с предыдущим! Вы увидите, что количество MSSQL-атак коррелирует с количеством атак, исходящих из Китая. А недавно к этой массированной атаке на сервис MSSQL присоединились и южнокорейские хосты.

«Ловушка» помогает нам получить ценную информацию, которую мы изучаем и анализируем. Кроме того, это достаточно недорогое развлечение. Мы используем для «ловушки» компьютер с процессором Pentium III 500 МГц и 384 Мб ОЗУ, который в наши дни стоит, наверное, меньше $100. Поэтому, если вы собираетесь выбросить старый медленный компьютер, подумайте лучше о том, чтобы установить на него «ловушку»!

Gumblar впервые появился весной 2009 года. С тех пор местные интернет-провайдеры во многих странах внимательно следят за его активностью, поскольку данный зловред похищает учетные данные с FTP-серверов, внедряет вредоносные ссылки в легитимный контент и загружает бэкдоры на взломанные сервера.

Эти цифры включают только те URL-адреса, которые мы смогли отследить — реальные цифры могут быть гораздо больше. В данный момент никто не располагает данными о том, сколько инфицированных клиентских машин вовлечены в ботнет Gumblar. Однако можно предположить, что их больше, чем взломанных серверов, поскольку количество серверов отражает только количество зараженных пользователей, у которых есть собственные веб-сайты и которые используют FTP-клиенты на зараженных системах.

По нашим оценкам, в настоящее время количество бэкдоров Gumblar, размещаемых на серверах, составляет около 4460.

Опасность, исходящая от системы Gumblar, состоит не только в потенциально большом количестве клиентских компьютеров, попавших в ботнет, но и в совокупной мощности взломанных серверов. Эти факторы вызывают озабоченность специалистов по интернет-безопсности и интернет-провайдеров. Предприняты многочисленные попытки анализа размеров системы и того, кто за ней стоит.

Япония оказалась в числе стран, где проблемой Gumblar’a занимались очень активно. Это было связано со следующими факторами:

• По числу зараженных серверов Япония входит в пятерку мировых лидеров;
• По сравнению с остальными странами, в Японии не так много зловредов местного происхождения, и Gumblar, легко преодолевающий границы между странами, быстро привлек к себе внимание.

С первого дня распространения зловреда мы следили за Gumblar силами нашего японского офиса. Скачивание новых образцов, раскодирование и разархивирование шелл-кодов и извлечение новых URL-адресов стало частью ежедневного рабочего распорядка не только для нас, но и для многих других вирусных аналитиков в Японии.

Мы уже описывали общую архитектуру системы Gumblar. Со времени нашей прошлой публикации изменилось только количество взломанных серверов и появился дополнительный слой серверов в цепочке заражения. Теперь цепочка начинается с легитимной веб-страницы, содержащей внедренный тэг <script> (такая страница называется html-редиректор) и ведущей на сервер с php-кодом (php-редиректор). Php-редиректор генерирует код на javascript, который далее переадресует веб-браузер. Таких переадресаций может быть от одной до четырех. Последний в этой цепочке сервер-инфектор с вредоносным контентом, на котором размещен комплект эксплойтов, используемых для атак на интернет-пользователей. На иллюстрации приведены последние данные о количестве URL-адресов различных типов, задействованных в этом процессе:

Авторы вредоносного ПО всегда стараются скрыть, кто они такие на самом деле, верно? Неверно — даже среди нынешних киберпреступников, которых интересует лишь нажива, находятся такие, кто раскрывает информацию о себе. Удивительно, но вот правдивая история про то, как злоумышленник «представился», чтобы «получить компенсацию» у «Лаборатории Касперского» за проводимые ей антивирусные исследования.

Недавно мы заинтересовались новым сервисом для авторов вредоносных программ — [avtracker точка info]. Это онлайн-служба, позволяющая отслеживать деятельность производителей антивирусов. Главная страница [avtracker точка info] содержит описание сервиса по защите вредоносных программ от анализа со стороны антивирусных исследователей, а также призыв организовывать DDoS-атаки против антивирусных компаний:

Рисунок 1: текст с главной страницы [avtracker точка info]

Более того, наши коллеги-исследователи любезно предоставили нам сетевой запрос, который применялся для передачи информации владельцу ресурса [avtracker точка info]. Этот запрос использовался специальной шпионской программой, которую он распространял среди антивирусных лабораторий. После запуска на компьютере шпионская программа связывалась со своим хозяином и передавала ему информацию о зараженной машине. Мы поработали с этим запросом и заменили имя пользователя и параметры системы на попадавшиеся под руку строки.

Данные службы WHOIS личность владельца ресурса раскрыть не помогли — домен [avtracker точка info] был зарегистрирован анонимно. В этом нет ничего удивительного: киберпреступники обычно регистрируют домены анонимно, чтобы их было труднее вычислить.

До сих пор в этой истории не было ничего странного — обычный день из жизни антивирусной компании. Но вдруг — сюрприз! — владелец сервиса для авторов вредоносного ПО связался с нами сам и раскрыл информацию о себе. Более того, он потребовал заплатить ему 2000 евро в качестве компенсации ущерба, якобы понесенного им в результате нашей попытки «сломать» его новую игрушку.

На момент написания этого текста мы располагали упомянутой выше шпионской программой, которая содержала следующее сообщение в своем коде, указывающее на того же человека, что с нами связался:

Рисунок 2: сообщение от киберпреступника в коде шпионской программы

Конечно, мы собрали все необходимые данные и направили их нашему юристу, который предпримет соответствующие шаги. Если бы все киберпреступники так же охотно шли на контакт, как этот, жизнь антивирусных компаний была бы гораздо проще.

Риск ущерба от нового троянца-вымогателя, о котором мы писали в предыдущем сообщении, оказался совсем не высоким. Несмотря на заявления автора троянца, использование алгоритма AES-256 и огромного количества возможных ключей оказались всего лишь блефом. Автор также не использовал схему шифрования с открытым ключом, а это значит, что все данные для дешифровки находятся в теле вредоносной программы.

Анализ схемы шифрования показал, что в программе применялся алгоритм 3DES. Автор поленился создавать программный код процедуры шифрования самостоятельно и воспользовался готовым компонентом среды разработки Delphi. Стиль программирования троянца весьма хаотичен, что говорит о невысоком уровне знаний разработчика.

Троянская программа детектируется нами с 11 августа под именем Trojan-Ransom.Win32.Gpcode.am. Процедура восстановления зашифрованных файлов включена в базы Антивируса Касперского. Для восстановления файлов необходимо обновить антивирусные базы и запустить полную проверку дисков на атакованном компьютере. Не удивляйтесь если кроме зашифрованных файлов антивирус обнаружит ещё и другие вредоносные программы, поскольку троян-шифровальщик распространялся при помощи другого троянца.

Сегодня мы получили настораживающее известие: появилась новая версия троянца Gpcode, шифрующего файлы. В тот же момент мы начали искать файлы в Сети, расспрашивая пострадавших пользователей. Мы получили текстовое описание троянца, но образца не нашли, так как троянец по-видимому самоудалялся после запуска.

Однако это нас не остановило, и мы продолжили поиски в Сети. Нам повезло: мы нашли экземпляр вредоносной программы по имеющимся у нас признакам. Она распространялась через один из ботнетов.

В текстовом файле crypted.txt, оставленном троянцем после атаки, автор требует 10$ за расшифровку файла, а также указывает контактные координаты: email, icq, URL. По адресу, указанному в файле crypted.txt, находится веб-страница, на которой на русском языке написано следующее:

После атаки троянец изменяет фон рабочего стола на следующий:

Мы настоятельно рекомендуем всем жертвам данной вредоносной программы не поддаваться на предложение автора купить ключ. Мы также хотим подчеркнуть, что вся информация, в частности, алгоритм шифрования, число уникальный ключей, а также длина ключа, указанные в текстовом файле, на данном этапе не подтверждена.

Пока мы не проанализировали алгоритм шифрования троянской программы, вы можете попробовать воспользоваться методом восстановления файлов, описанном нами в борьбе с Gpcode.ak. Уже есть подтверждения частичного восстановления файлов пострадавшими пользователями.

Наш адрес stopgpcode@kaspersky.com, созданный в борьбе с предыдущей версией этой вредоносной программы, по-прежнему работает. Если вы или ваши знакомые стали жертвой данного троянца, напишите нам на этот адрес, и мы предоставим вам информацию о том, что можно предпринять для возврата зашифрованных данных.

Вчера мы обнаружили интересную программу для мобильных телефонов. Программа создана для работы на платформе J2ME. Это приложение-мидлет с иконкой Антвируса Касперского. Программа симулирует поведение антивирусного ПО для мобильных телефонов и даже умышленно демонстрирует детектирование вируса и возникновение программной ошибки на экране.

С первого взгляда показалось, что это новый Fraudtool для мобильных устройств — приложение, целью которого является обман пользователя и использование его телефона для получения нелегального заработка. Однако при беглом анализе программного кода всё стало понятно: это всего лишь демонстрация, разработанная просто для развлечения. Она не изменяет ничего в системе и не пытается распространяться.

Тем не менее, несмотря на отсутствие вредоносного кода, мы решили отнести поведение программы к Fraudtool, но с префиксом not-a-virus. Префикс указывает на то, что программа не является вредоносной и её можно запускать спокойно, однако мы считаем нужным предупредить пользователя о наличии такого приложения. Если мы увидим модификацию этой программы и попытки обмануть пользователя с целью кражи денег с его счета, то мы уберем префикс и программа будет детектироваться как вредоносная.

Ниже приведен небольшой видеоклип с демострацией, как работает поддельный антивирус на мобильном телефоне:

Программа была детектирована 7 августа 2008 года под именем not-a-virus:FraudTool.J2ME.KaspAV.a

Мы уже писали в предыдущем сообщении про Gpcode, что нам удалось найти способ восстановления поражённых этой вредоносной программой файлов в плюс к тем файлам, которые восстанавливаются при помощи утилиты PhotoRec.

Оказалось, что если у пользователя имеется некоторое количество незашифрованных файлов и эти же файлы, зашифрованные Gpcode, то данные пары файлов (зашифрованный и соответствующий ему незашифрованный) могут помочь в восстановлении других файлов на атакованном компьютере. Именно этот подход использован в работе утилиты StopGpcode2.

Откуда возьмутся незашифрованные файлы? Незашифрованные версии файлов могут появиться в результате использования утилиты PhotoRec. Кроме того, незашифрованные файлы могут оказаться в хранилище резервного копирования или на съемном носителе (например, при сохранении фотографий с фотокамеры на жёсткий диск компьютера, который был атакован Gpcode, на карте памяти в камере могут остаться исходные файлы фотографий). Незашифрованные файлы могут также храниться где-нибудь на сетевом ресурсе, до которого не добрался вирус Gpcode (например, фильмы и видеоклипы — на общедоступном сервере).

Однако гарантировать восстановления файлов мы не можем в силу специфики необходимых для применения метода требований, которые зависят от наличия у пользователя незашифрованных копий поражённых файлов и некоторых особенностей оборудования атакованной системы. Тем не менее, учитывая, что в ходе исследования нами были получены неплохие результаты (восстановление 80% зашифрованных файлов), мы предлагаем попробовать данный метод восстановления файлов отчаявшимся пользователям.

Чем больше пар файлов удастся найти, тем больше данных удастся восстановить.

Детальная информация о применении утилиты опубликована в описании вредоносной программы Virus.Win32.Gpcode.ak.