«Украинский» троян уничтожил в полицейском управлении улики за восемь лет

Безопасность Стратегия безопасности ИТ в госсекторе
мобильная версия
, Текст: Роман Георгиев
Полицейское управление города Кокрелл-Хилл в штате Техас стало очередной жертвой троянца-вымогателя. Троян, которому поначалу приписывалось украинское происхождение, уничтожил видеосвидетельства и документы за восемь лет. Вероятнее всего, атака была произведена с помощью новой версии шифровальщика Locky, печально знаменитого своим сильным алгоритмом шифрования.

Улики за восемь лет

Серверы полицейского управления города Кокрелл-Хилл в штате Техас подверглись атаке троянца-вымогателя Osiris. В результате атаки были потеряны данные за несколько лет, в том числе видеозаписи, использовавшиеся в качестве улик и свидетельств, а также большое количество документов и фотоснимков. Как минимум часть их использовалась в текущих расследованиях и судебных процессах.

По словам руководителя управления Стивена Барлага (Stephen Barlag), заражение не было результатом целенаправленной атаки. Кто-то из подчиненных Барлага открыл зараженное письмо, якобы отправленное с внутреннего адреса учреждения и содержавшее зловред.

За расшифровку файлов требовали около $4 тыс. (в биткоинах).

«Агенты ФБР сказали нам, что выкуп не гарантирует возвращение данных, - заявил Стивен Барлаг. - Они сказали, что некоторые люди, чьи файлы оказались зашифрованными, выплачивают выкуп и получают назад свои файлы, но иногда это не работает. Поэтому мы решили, что нет смысла платить, не будучи уверенными, что вернем себе доступ к файлам».

Автомобиль полицейского управления в Кокрелл-Хилл

Содержимое зараженного сервера было полностью уничтожено. В резервных копиях все данные тоже уже были зашифрованы, так что данные были потеряны безвозвратно - все, кроме тех, что ранее были сохранены на CD и DVD.

Сам инцидент произошел 12 декабря 2016 г., и лишь спустя две недели информация о нем появилась в публичном пространстве.

Смотря, по какую сторону решетки вы сидите

Барлаг признал, что утраченные данные могут сказаться на текущих расследованиях и судебных процессах, однако заявил, что никакой «критически важной» информации потеряно не было. Однако с этим согласны не все.

«Все зависит от того, по какую сторону от тюремной решетки вы сидите», - заметил адвокат Дж. Коллин Беггс (J. Collin Beggs), чей клиент сейчас ожидает суда в Кокрелл-Хилле. Важным свидетельством в его деле должна была стать видеозапись из числа тех, что уничтожил троянец. Именно благодаря Беггсу информация об атаке шифровальщика стала публичной: когда на слушаниях по делу он в очередной раз затребовал от полиции интересующую его видеозапись, выяснилось, что ее больше не существует.

Украинский след Osiris

В пресс-релизе полиции зловред именуется Osiris, но, скорее всего, речь идет о новой версии печального известного троянца Locky, который с недавних пор стал добавлять новое расширение к зашифрованным им файлам - .osiris.

Зловред рассылается с помощью файлов Excel, содержащих макросы, скачивающие сам шифровальщик.

В Microsoft Office макросы давно отключены по умолчанию, так что если какой-то документ требует их активировать, это весьма серьезный повод проверить истинный источник его поступления или сразу же удалить письмо со всеми вложениями.

Сам файл Excel с вредоносным макросом содержит пустую таблицу с единственным листом, который обозначен «Лист1». Издание Bleeping Computer, которое первым опубликовало информацию о появлении Locky-Osiris, написало, что «Лист» - это украинское слово, и это, дескать, может указывать на происхождение разработчиков.

И хотя в дальнейшем в текст новости внесли исправление, указав, что так же это слово пишется на русском языке, версия об украинском происхождении Locky-Osiris оказалась широко растиражированной.

Стоит отметить, что слово «Лист» пишется точно так же и на болгарском, и на сербском языках, и только на белорусском оно выглядит как «Лiст».

Наиболее активным распространителем Locky долгое время являлся ботнет Necurs.Через него же рассылались банковский троянец Dridex и шифровальщик Bart. Последний характерен тем, что проверяет языковые установки Windows и избегает заражать машины, где в качестве системных установлены русский, украинский или белорусский языки.

Эффективный зловред

Характерной чертой Locky является сильный алгоритм шифрования, исключающий вероятность расшифровки файлов без наличия секретного ключа.

Locky-Osiris шифрует все два раза, используя поочередно два очень сильных алгоритма - AES-128 и RSA-2048. Шифруются все файлы изображений, видео, виртуальные накопители, файлы баз данных, файлы Microsoft Word, Excel, Adobe Reader и некоторые другие.

Векторы атаки Locky никак не назовешь нестандартными. Однако, к сожалению, социальная инженерия, даже самая незамысловатая, продолжает работать.

«Стопроцентной защиты от шифровальщиков-вымогателей не существуют, есть только меры, позволяющие снизить вероятность стать жертвой вымогателей, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Это регулярное создание резервных копий ваших данных, причем сразу нескольких, хранение их на «холодных» носителях, обновления браузеров, использование антивирусов и так далее. Но главным страховым полисом все равно будет только умение самих конечных пользователей выявлять фишинговые атаки и использование приемов социальной инженерии. Это бывает очень непросто, но никто не защитит нас лучше нас самих».