Говорят, новое — хорошо забытое старое, и CryptoLocker не исключение. Специалисты определяют эту и ей подобные программы как ransomware (от английского ransom — выкуп): класс вредоносного софта, известный уже минимум четверть века. Схема проста как три копейки. Попав на компьютер, вирус шифрует всё подряд или часть файлов обратимым алгоритмом (либо как-то ещё ограничивает доступ к хранящейся на машине информации), после чего выдвигает требование о выкупе: скажем, триста долларов в течение двух суток или можете навсегда о файлах забыть! И хорошо, если «в заложники» попали сейвы игрушек или коллекция порно. Но с тем же успехом жертвами могут стать (и становятся) компании, госпитали, правоохранительные органы. Кстати, чтобы жертва не вздумала обратиться за помощью, её обычно припугивают — намекая, что на персоналке обнаружено что-нибудь компрометирующее (вроде детской порнографии). Всё. Профит.
Согласно устоявшейся легенде, первые случаи заражения такими вирусами были отмечены ещё в конце 80-х годов. Тогда вирус AIDS, распространявшийся через почтовые интернет-конференции под видом информационного буклета про СПИД, прописывался в AUTOEXEC.BAT и спустя какое-то количество перезагрузок устраивал на винчестере (обратимый) хаос и требовал двести долларов выкупа. Эта цифра вообще обладает какой-то мистической привлекательностью для авторов ransomware: просить меньше они, видимо, считают недостойным, а больше — стесняются.
К счастью для пострадавших, шифрование оказалось ерундовым и вернуть документы можно было своими силами, запустив «лечилку». Но лиха беда начало. Вместе со всем компьютерным миром вирусописаки открыли для себя стойкое крипто, и ко второй половине нулевых снятие шифра без обращения к авторам вирусов-вымогателей стало невозможным. Заразился — плати или прощайся с данными. Правда, и не факт, что после выплаты файлы дешифруют.
Традиционно ransomware составляло лишь незначительную долю в общей массе цифровой заразы, но в последние два года ситуация неожиданно изменилась. Антивирусные вендоры (McAfee, Symantec) констатируют резкое увеличение популярности вымогательского софта, с ростом зафиксированных случаев заражения в разы год к году. А своеобразной кульминацией стал уже знакомый вам CryptoLocker.
На компьютер он попадает древним как мир способом (аттач к электронному письму; хотя один из вариантов уже умеет инфицировать флешки), а попав, генерирует уникальную пару 2048-битных RSA-ключей, которые и использует для шифрования выбранных файлов (документы всех сортов на локальных и сетевых накопителях). Необходимый для расшифровки ключик переправляется к авторам вируса — и они готовы представить его за разумное вознаграждение. Что-то вроде трёх сотен долларов в первые трое суток и значительно больше впоследствии.
Конечно, платит не каждый, но это и не обязательно. По оценкам Dell и Symantec, раскошеливаются от полпроцента до трёх подхвативших инфекцию пользователей, но, принимая во внимание беспрецедентно большое число заражений (порядка четверти миллиона, хоть и это, как вы понимаете, цифра ориентировочная), на хлеб с маслом и икрой авторам вируса хватает.
Но что же случилось, как объяснить неожиданный всплеск популярности вирусов-вымогателей? Причина на поверхности: появился простой инструмент, способный гарантировать анонимность денежных переводов. Криптовалюта! Ведь как было до недавних пор? Чтобы перечислить деньги, приходилось прибегать к банковскому переводу, платным СМС, звонкам на премиальную линию. Установить личность преступников здесь тривиально. Однако новая волна ransomware эксплуатирует криптовалюту — прежде всего Bitcoin. Тут уже не нужны никакие привязки к офлайну, деньги можно собирать быстро и абсолютно анонимно. Вот так авторы CryptoLocker и насобирали (по разным оценкам) от нескольких тысяч до сорока тысяч BTC, что по текущему курсу близко к сорока миллионам долларов США. А ведь даже намёка на то, кто стоит за этой аферой, у правоохранительных органов нет. Кое-кто уже называет такую схему идеальным преступлением.