|
Совсем недавно в троянах появилась новая фишка - выманивать деньги за информацию. Первые сообщения об этом выглядили так:
Троянская программа Zippo шифрует данные и требует у жертвы выкуп
Posted by djamix on 19:22 20.03.2006
Сообщается о троянской программе, которая шифрует данные на ПК пользователя-жертвы и затем пытается получить выкуп в 300 долларов за их восстановление.
Этот троян под названием Troj/Zippo-A (также известный и как CryZip), ищет на ПК файлы, такие, как документы Word, базы данных, электронные таблицы, и собирает их затем в зашифрованные ZIP-файлы. Собрав и зашифровав таким образом данные, троян создает еще один файл, с помощью которого пострадавший пользователь компьютера узнает, что, чтобы восстановить данные, ему нужно перевести 300 долларов на счет в системе E-Gold.
Специалисты Sophos, изучив программный код Zippo, установили, что пароль шифрования выглядит как C:\Program Files\Microsoft Visual Studio\VC98 Похоже, такой пароль был выбран автором троянской программы неслучайно. Так вирьмейкер пытался провести аналитиков, которые могли принять эту строчку за путь доступа к каталогу.
Так что вполне естественно, что мы решили не отставать от продвинутой общественности и написать себе подобного троянского коня. Данный трой, попадая на компьютер жертвы должен шифровать все файлы и требовать выкуп.
Рассмотрим возможнные варианты работы такого трояна :
- каждый файл шифруется отдельно, одним и тем же ключем ессно - и на компе получается много зашифрованных файлов - у них можно сменить расширение на что-то типа
документ.doc.crypt
И проассоциировать его с нашим трояном так что-бы при запуске подобных файлов выскакивало предложение заплатить денег
- все файлы собираются в один архив, оригиналы удаляются и архив шифруется. Ессно это не обязан быть какой-то реально существующий формат архивов - типа рар или зип, а может быть и какой-то свой - главное что бы было удобно
Второй важный вопрос-это как человек,разославший трояна будет знать каким ключем зашифрованы данные?
- ключ фиксирован и вбит в текст трояна, алгоритм симметричный - минусы просто очевидны, о них я писать не буду - такой варриант не заслуживает времени. Так же выпадает вариант, описанный в статье _1nf3ct0r_'а (линк см ниже) - генерация ключа на основе данных о пользователе - тк AV компании/крякеры вполне могут выпустить софт для расшифровки.
- ключ случайный, алгоритм шифрования симметричный - в этом случае мы зашифровав все данные должны передать ключ на какой-то централизованный сервер (веб гейт). Главный Минус - это то, что мы можем зашифровать данные только один раз - ведь иначе нам придется где-то хранить ключ, а этим могут воспользоваться антивирусники не в нашу пользу....
- ключ фиксирован, алгоритм ассиметричный - в данном варианте в трояне содержится только открыттый ключ, закрытый остаётся у хакера. Из плюсов - это то что ключ для расшифрования по прежнему никому не известен, из минусов - то что купив закрытый ключ один раз антивируснники могут его распространить. Однако такой вариантт вполне подойдёт для атаки на какую-нибудь не очень большую компанию...
- ключ случайный, алгоритм ассиметричный - самый мощный вариант - тк передав на гейт закрытый ключ один раз - мы можем шифровать открытым что угодно и когда захотим...
Другой весьма важной проблемой должно стать надёжное удаление файлов из системы - ведь если пользователь сможет их восстановить, то грош цена такому трояну. Можно конечно же реализовывать алгоритмы с большим количеством проходов (Peter Gutmann - 35), но имхо особо увлекаться не стоит - после 5-6 проходов практически все программы восстановления данных отпадают напрочь.
И в добавление ко всему - подобный троян должен следить за изменением или созданием новых файлов подобного типа - ведь юзер может восстановить данные из бэкапа - поэтому трой должен постоянно мониторить систему на предмет изменения/создания файлов. Достигается это с помощью FindFirstChangeNotification / FindNextChangeNotification - пример их использования можно найти в SDK.
Далешь наверное ждёте исходников ? они будут но не совсем в полном виде. Те кому надо напишут сами, а те кто хочет срубить бабла нахаляву идут лесом. Итак конструктор лего для такого трояна смотрите во вложениях к статье.
Думаю что в скором времени атаки с использованием данного типа троянов приобретут довольно массовыйй характер - и будут направленны не на отдельных пользователей (как сейчас), а нацелены на конкретные компании - ведь что может быть приятнее чем зашифровав всю бухгалтерию конкурента ещё и получить за это деньги ? Следите за рекламой в новостях ! ;)
Файлы к статье:
- wipe.c - исходный текст программы для удаления файлов
- zip.zip - модуль для аботы с ZIP архивами
|
|