Збереження засобів: віруси у пошуках wallet.dat

Одні з найтехнічніших вірусів полюють за криптозбереження користувачів.

Першим шкідливим програмним забезпеченням, що полюють за криптовалютами користувачів були віруси і трояни, що викрадають файл приватних ключів гаманця, встановленого локально на пристрої користувача. Завжди існує велика кількість користувачів, які з різних причин зберігають свої кошти на локальних гаманцях. На момент появи перших троянів, що працюють за цією схемою, було дуже мало гаманців online, тому користувачі були змушені зберігати свої кіберзбереження безпосередньо на своїх пристроях (комп'ютерах, смартфонах, планшетах і т.д.). І навіть зараз, коли з'явилося безліч сервісів для онлайн зберігання коштів, частина користувачів не довіряє їм і вважає за краще тримати свої ключі у себе.

Перший троян, який ставив за мету викрадення файлу wallet.dat, що містить приватні ключі та інші дані про гаманець користувача, був виявлений ще в червні 2011 компанією Symantec і отримав назву Infostealer.Coinbit. Під час проникнення в систему жертви він виявляв файл wallet.dat і пересилав його зловмисникам.

Спочатку технічної інформації про криптовалюти та безпеку роботи з локальними гаманцями було мало, та й зараз багато користувачів не бажають вникати в тонкощі роботи даним ПЗ. Тому є категорія користувачів, які не включають опцію шифрування файлу ключів або використовують дуже слабкі паролі і, завдяки цьому, стають дуже легкою здобиччю для трояна - адже йому достатньо отримати файл із ключами та зловмисник отримує повний контроль над засобами користувача.

Але й користувачі, які шифрують свої ключі довгими та складними паролями, не застраховані від втрати своїх заощаджень. Зловмисники не стоять на місці. Вони розширюють можливості своїх творінь кейлоггерами, перехоплюють буфер обміну, стежать за поштою користувача і відвідуваними сайтами, намагаючись будь-якими засобами перехопити пароль від файлу ключів або онлайн гаманця користувача.

На початку 2014 був виявлений найбільш універсальний злодій криптовалют - CryptoStealer. Його перша версія підтримувала 80 криптовалютів. Вона не тільки знала про структуру зберігання файлів ключів для кожного гаманця, але й уміла впроваджуватися в запущені процеси програм роботи з криптовалютою, наприклад bitcoin-qt.exe, для перехоплення паролів доступу до ключів.. Дане шкідливе ПЗ досить довго не викликало підозр у антивірусного ПЗ ні своїм надзвичайно грамотним впровадженням у запущені процеси, ні створюваним ним інтернет-трафіком.

Пізніше, у серпні 2017, фахівці компанії Trend Micro повідомили, вірусів-шифрувальників Cerber, отримав новий виток функціонального розвитку. Тепер перед шифруванням диска жертви троян шукає ознаки наявності на пристрої гаманців Bitcoin Core, Electrum і Multibit. Також він намагається викрасти збережені паролі із браузерів Internet Explorer, Google Chrome та Mozilla Firefox. Усі викрадені дані відправляються на керуючий сервер, а потім із пристрою жертви видаляється все, що було знайдено та пов'язано з гаманцями.

Ми навели приклади лише кількох найпримітніших поган, які працюють за схемою викрадення гаманців користувачів. Реальна їх кількість набагато більша. Але складність подібного шкідливого програмного забезпечення одночасно є і його слабкістю. У зв'язку з тим, що ці трояни активно втручаються в роботу системи (намагаються отримати доступ до специфічних файлів, натиснутих клавіш, передають файли через мережу і т.д.) вони досить часто і легко виявляються евристичними аналізаторами антивірусного і досить швидко блокуються. Тому фахівці безпеки завжди рекомендують використовувати сучасні антивіруси з найсвіжішими вірусними базами (вибір конкретного антивірусного рішення залежить від операційної системи користувача, а також від готовності користувача платити за безпеку своїх даних). Наші рекомендації щодо збереження та забезпечення безпеки криптозбереження ми опишемо в одній з наступних статей.