Исследователи в Делле Секьюруорксе предполагают, что ботнет заразил по крайней мере 200 000 машин и собрал минимум 380 000$ по платежам, но вероятно намного больше.Технически опытное программное обеспечение с вирусом-вымогателем CryptoLocker захватило по крайней мере 200 000 компьютеров и поймало преступников позади схемы минимум $380 000 – но более вероятные миллионы за его первые 100 дней, согласно анализу, проводимому фирмой управляемой безопасности Делл Секьюруоркс.
CryptoLocker шифрует больше чем 70 различных типов файлов на включающем системы Microsoft Word и Excel, Adobe Illustrator и файлах PDF – и требует, чтобы жертва оплатила 300$ за ключ для разблокирования их файлов. В отчете, опубликованном в конце декабря, исследователи Secureworks консервативно предположили, что по крайней мере 200 000 человек были заражены за первые 100 дней и что 0,4 процента жертв оплатили бригаду CryptoLocker за ключи расшифровки.CryptoLocker угрожал тысячам фирм привидением потери данных, потому что единственное заражение также шифрует данные по любым дискам подключенной сети. В прошлом большая часть программного обеспечения с вирусом-вымогателем и нападений защитного программного обеспечения жулика по существу составили блеф, блокируя рабочий стол Windows, пока пользователь не платит, но не фактически шифруя данные.
CryptoLocker, однако, использует комбинацию методов шифрования для скремблирования важных файлов, делая их нечитабельными, если жертва не покупает ключ расшифровки, сказал Кит Джарвис, главный исследователь в области безопасности с Деллом Секьюруорксом, eWEEK.«Что отделяет его, не просто размер и профессиональная способность людей позади него, но что – в отличие от большей части программного обеспечения с вирусом-вымогателем, которое является блефом – этот фактически уничтожает Ваши файлы, и если Вы не платите им, Вы теряете данные», сказал Джарвис.
CryptoLocker начал распространяться в начале сентября, первоначально замаскированный как электронные письма спама, которые, казалось, были потребительскими жалобами. Когда приложенный заархивированный исполняемый файл выполняется, подключения программы к серверу в Интернете для получения ключа шифрования. Используя тот ключ, программа использует CryptoAPI Microsoft для шифрования больше чем 70 различных типов файлов в системе жертвы.
«При помощи звуковой реализации и применяющий методы наиболее успешной практики, вредоносные авторы создали устойчивую программу, которую трудно обойти», говорилось в докладе.Контролируя домены, используемые программным обеспечением с вирусом-вымогателем, исследователи Secureworks нашли, что компьютеры почти в 32 000 IP-адресов показали признаки заражения за 10-дневный период в конце октября и в начале ноября. В течение второй недели декабря компьютеры еще в почти 6 500 адресах показали признаки заражения.
В то время как системы в счете США на больше чем две трети заражений в течение более раннего периода, национальная часть заражений спала до меньше чем четверти к декабрю.Секьюруоркс использовал исследование аспирантом, Мишель Спэгнуоло, для подсчета числа жертв, кто оплатил преступникам, использующим биткоины. Спэгнуоло нашла, что способ криминалистически анализа платежей биткоина узнал информацию о владельцах счетов. Дублирование исследования привело исследователей Секьюруоркса находить, что одна учетная запись, связанная с CryptoLocker, собрала 1 216 биткоинов за первые 100 дней с минимальным значением 380 000$.
Все же выкупы, собранные преступниками, вероятно, просуммированы в миллионах. Поскольку оценки основывались на платежах, произведенных в биткоинах, виртуальная онлайновая валюта, стоимость которой колеблется, преступники, возможно, сделали намного больше, чем минимум за 380 000$, что цифровые маркеры стоили в том периоде времени.
Кроме того, больше чем 0,4 процента жертв, вероятно, оплатили выкуп, но те платежи не видимы исследователям, потому что большинство жертв в США использовало бы основной способ оплаты, MoneyPak, а не биткоины, сказал Джарвис Секьюруорка.«Я думаю, что общее количество намного выше», сказал он. «По крайней мере несколько сетей магазинов его, как минимум».