CryptoWall to oprogramowanie Ransomware, które szyfruje pliki i żąda od ofiary opłaty za ich odszyfrowanie. Zgodnie z informacjami pochodzącymi od specjalistów z Cisco, kod CryptoWall uległ znaczącej modyfikacji i wciąż jest bardzo groźny. Są jednak metody by uchronić się przed atakiem najnowszej wersji tego oprogramowania. Nowym sposobem ochrony przed CryptoWall-2 może być dodanie fałszywych wpisów w systemie plików systemu operacyjnego, które wskazują na wykorzystywanie wirtualnej maszyny.

Cryptowall był następcą CryptoLockera, który zniknął z Internetu po zamknięciu sieci botnet o nazwie Gameover Zeus, wykorzystywanej do rozpowszechniania szkodliwego oprogramowania. Zagrożenie w postaci Ransomware jest znane w sieci od dekady, ale dość mocno ewoluowało na przestrzeni ostatnich lat. Pliki na komputerach zainfekowanych Ransomware są szyfrowane, a ofiara jest nakłaniana do zapłacenia opłaty w wirtualnej walucie Bitcoin, co teoretycznie umożliwia odblokowanie plików.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem

Dell SecureWorks w sierpniu 2014 roku oszacował, że Cryptowall zainfekował 600 tysięcy komputerów przez sześć miesięcy, prowadząc do wyłudzenia blisko 1 miliona USD. Poziom wymaganej opłaty zawiera się w zakresie od 100 do 500 USD dla zarażonej jednostki. Cryptowall wykorzystuje silne metody kryptograficzne, które powodują szyfrowanie plików z określonymi rozszerzeniami. Jedyną opcją dostępu do zaszyfrowanych plików poza zapłaceniem "okupu", stanowi odzyskanie plików z kopii zapasowej. CryptoWall nawet po odzyskaniu plików, będzie próbował szyfrować je ponownie.

Cisco’s Talos Security Intelligence oraz Research Group przeanalizowali drugą wersję CryptoWall-2, która posiada udoskonalenia utrudniające wykrycie i analizę. Okazuje się, że zagrożenie ciągle ewoluuje w celu uzyskania większej efektywności. CryptoWall-2 został dostosowany do pracy na systemach 32-bitowych i 64-bitowych, co zwiększa szanse na uruchomienie na dowolnym zainfekowanym komputerze. Nowsze wersje systemów operacyjnych Mac OS X oraz Windows są przeważnie systemami 64 bitowymi.

Przykładowy kod CryptoWall-2 analizowany przez Cisco został wysłany przez email w załączniku o rozszerzeniu ".zip". Zawartość tego załącznika stanowił exploit, który wykorzystywał zagrożenie eskalacji uprawnień Microsoft (CVE-2013-3660), co prowadzi do zwiększenia możliwości kontroli komputera. Uruchomienie CryptoWall-2 nie powoduje deszyfrowania całości oprogramowania, ale jedynie małych części, które następnie sprawdzają czy są uruchomione w wirtualnym środowisku. Ważną informacją jest fakt, że CryptoWall-2 nie próbował deszyfrować głównej części, jeżeli zostanie uruchomiony na wirtualnej maszynie. Nowym sposobem ochrony przed CryptoWall-2 może być więc dodanie fałszywych wpisów w systemie plików systemu operacyjnego, które wskazują na wykorzystywanie wirtualnej maszyny. Jeżeli CryptoWall-2 po sprawdzeniu obecności maszyny wirtualnej stwierdzi, że jest bezpieczny, kontynuuje samoczynną deszyfrację. Kolejnym etapem jest komunikacja z serwerami kontrolnymi z wykorzystaniem sieci Tor. Tor trasuje ruch internetowy anonimowo przez siatkę serwerów na świecie, powodując trudności w ich namierzeniu. Specjaliści od bezpieczeństwa nie potrafią określić adresów IP, które CryptoWall-2 wykorzystuje do połączeń. Jeżeli adresy IP serwerów byłyby znane, operatorzy mogliby zablokować do nich ruch, częściowo ograniczając skalę zjawiska.

Na stronie Cisco można znaleźć szczegóły techniczne dotyczące analizy CryptoWall-2.