Izsiljevalski virusi

Objavljeno: 26.11.2013 | Avtor: Gorazd Božič, SI-CERT | Kategorija: Fokus | Revija: December 2013 | Teme: antivirus

Koliko menite, da so vredni podatki v vašem računalniku? Težko je to oceniti takole na hitro. Če boste slučajno staknili računalniški virus, ki vam podatke tako ali drugače zaklene in zahteva odkupnino, pa bo ta vrednost brž dobila bolj otipljivo obliko. Pa naj gre za podatke o poslovanju vašega podjetja, dostop do družinskih slik ali diplomsko nalogo, ki jo morate oddati naslednji teden.

Izsiljevalski virusi (angl. ransomware) so stara stvar, prvi znan primer je povzročal težave že leta 1989. AIDS trojanec je ob okužbi zamenjal AUTOEXEC.BAT ter počakal devetdeset zagonov računalnika, nato pa skril imenike in zašifriral datoteke na disku C. Uporabnika je obvestil, da mora stopiti v stik s PC Cyborg Corporation in poslati 189 dolarjev na naslov poštnega predala v Panami, da prejme ključ za odšifriranje in odklep podatkov. Avtorja, zdravnika dr. Josepha Poppa, so aretirali, a ga je britansko sodišče razglasilo za neprištevnega in vrnilo v ZDA. Postopek šifriranja je bil sorazmerno enostaven. To je omogočilo izdelavo orodja, ki je hitro povrnilo datoteke uporabniku. Po tem prvem primeru smo lahko dolgo le bežno tu in tam slišali o kakem sorodnem primeru, a le od daleč. Vse do lani.

Ransomcrypt

Aprila 2012 smo v SI-CERT prejeli prva obvestila o okužbah z virusom, ki je zašifriral uporabnikove datoteke in prikazal obvestilo:

»Pozor! Vse vaše datoteke so zašifrirane! Uporabljate nelicenčne programe! Za povrnitev datotek pošljite plačilo 50 EUR preko Ukash ali Paysafecard sistemov na e-naslov koeserg@gmail.com. Tokom dneva boste prejeli odgovor s kodo za dešifriranje. Na voljo imate pet poskusov za vpis kode. Če to številko presežete, bodo vsi podatki nepovratno okvarjeni. Bodite previdni pri vnosu kode!«

Virus je zašifriral dokumente, slike in bližnjice in s tem računalnik onesposobil. Avtor virusa je uporabljal isti šifrirni ključ za serijo okužb, tu in tam pa v omrežje izpustil novo različico, ki je uporabljala drug ključ. Šifrirni algoritem je bil TEA, Tiny Enrcyption Algorithm, manj znano rusko protivirusno podjetje Dr. Web pa je javno objavilo orodje, ki je datoteke znalo odšifrirati, podati ste morali le zaporedno številko različice virusa.

Ob aprilskem valu okužb smo v Sloveniji zabeležili 60 primerov (vemo seveda le za tiste, ki so se za pomoč obrnili na SI-CERT). Na primeru zašifrirane datoteke (najbolje kakšne slike) smo z enostavnim programčkom in ob pomoči orodja Dr. Wen hitro našli ustrezen ključ, žrtev pa je z njim dobila nazaj svoje datoteke. V malo več kot tednu dni je bilo vsega konec.

Veriga okužbe za CryptoLocker

Storilci uporabijo botnet Cutwail, omrežje zlorabljenih računalnikov, ki se uporablja za pošiljanje nezaželene pošte. Z njegovo pomočjo razpošljejo elektronska sporočila, ki imajo v priponki trojanca Upatre.

Upatre je odlagalec (angl. trojan dropper), ki z interneta potegne GameOver, različico P2P naprednega trojanca ZeuS. Ta nima osrednjega nadzornega strežnika in je zato odpornejši proti razkuževalnim akcijam v internetu.

GameOver poskrbi za okužbo z virusom CryptoLocker.

Ukash/Reveton/Urausy virus

Jeseni 2012 se je našel nov izsiljevalec z drugačnim pristopom. Tehnični del je veliko bolj enostaven, tako rekoč trivialen: prek registra Windows poskrbi, da se zažene takoj po prijavi, preveri IP naslov žrtve in naloži obvestilo, prilagojeno državi, v kateri je žrtev. V imenu policije žrtev obtoži prenosa avtorsko zaščitenih vsebin iz interneta in »ogledovanja/prehranjevanja in oz. ali razmnoževanja pornografije z prepovedano vsebino.« V zadnjih različicah se avtorji celo sklicujejo na ustrezne člene Kazenskega zakonika RS. Po letu dni je ta virus še vedno zelo razširjen, saj na SI-CERT vsak dan prejmemo kakšno prošnjo za pomoč. Vmes so v Španiji že aretirali avtorje različice Reveton, njihovo delo pa nadaljuje ekipa policijskega izsiljevalca Urausy.

Ker virus ne naredi škode na računalniku in tudi ne zašifrira datotek, ga je sorazmerno enostavno odstraniti. To, recimo,  storimo tako, da prenesemo Microsoftov Windows Defender Offline, naredimo z njim zagonski ključ USB in z njegovo pomočjo razkužimo računalnik (za navodila v Google vpišite: »SI-CERT Ukash«).

Obvestilo virusa »Ukash«

Obvestilo virusa »Ukash«

V nekaterih primerih pa slika našega predsednika in prepoznavnih znakov slovenske policije kljub temu doseže učinek, saj sem in tja kdo res plača »globo«. Pa saj je pravzaprav logično: če avtorji virusa s prevaro ne bi prišli do zaslužka, bi prej ali slej obupali in svoj trud usmerili v kakšne druge »poslovne modele«. Tako pa ta izsiljevalski virus še kar živi. Na policiji so tudi že dobili klice žrtev, ki so spraševale, ali lahko nakažejo denar tudi kako drugače.

Šifriranje Ransomcrypt

Če virusu Ransomcrypt podtaknete datoteko, ki vsebuje samo znake ASCII NUL, bo šifrirani rezultat pokazal, da gre za postopek, ki se ponavlja na osem znakov. Ob zgornjem zgledu najprej pomislimo, da gre morda za enostavno šifriranje XOR s 64-bitnim ključem, a z drugače skonstruiranimi vzorci hitro ugotovimo, da smo v slepi ulici in da gre za nekaj drugega.

CryptoLocker

Letos so nastopili resnejši izsiljevalci. Žrtvi zašifrirajo datoteke na način, ko nimamo bližnjic ali orodij za povrnitev podatkov. Tak primer je GpCode, znan sicer že iz leta 2008, vendar smo prvo okužbo pri nas zaznali šele letos. Zašifrira datoteke s ključem, ki ga nosi s seboj, nato pa v mape odloži navodila žrtvi in se izbriše. Nevarnejši in vztrajnejši pa je njegov bratranec.

CryptoLocker po okužbi najprej stopi v stik s svojim nadzornim strežnikom. Ta je lahko na katerikoli od 1000 domen, ki se zgenerirajo po določenem algoritmu vsak dan znova. Virus poskuša drugo za drugo, dokler ne pride do delujoče. Ko se virus tako javi »domov«, nadzorni strežnik zgenerira unikaten javno-zasebni par ključev RSA in javni del pošlje nazaj okuženemu računalniku. CryptoLocker nato za posamezno datoteko ustvari vsakič nov ključ AES, jo z njim zašifrira, nato pa s tistim javnim ključem RSA, ki ga je prejel z nadzornega strežnika, zašifrira še sam ključ AES. Tako lahko povrne podatke le tisti, ki ima v roki zasebni del ključa RSA, ta pa je samo v strežniku, ki ga nadzirajo avtorji virusa. In na voljo vam dajo zgolj 72 ur časa, da plačate 2 bitcoina (BTC), ali 300 evrov prek sistema MoneyPak. Po izteku tega časa  grozijo, da bodo zasebni del ključa RSA zbrisali in tako nihče več ne bo mogel odšifrirati vaših podatkov.

»Storitev« za nakup ključa Cryptolocker, s katerim odšifrirate svoje podatke.

»Storitev« za nakup ključa Cryptolocker, s katerim odšifrirate svoje podatke.

No, tako je bilo do začetka novembra. Storilci so, kot kaže, spoznali, da imajo v poslovnem modelu pomanjkljivost. Večina žrtev namreč sploh ne pozna bitcoinov ali plačilnega sistema MoneyPak in trije dnevi se še kar hitro obrnejo. Žrtev išče alternativne rešitve, morda obupa, storilci pa ostanejo brez odkupnine. Zato so v anonimnem omrežju Tor lansirali podporno storitev. Prek nje lahko pošljete eno šifrirano datoteko za vzorec, nazaj pa dobite ključ za odšifriranje – seveda ob plačilu, tokrat kar desetih bitcoinov (to je več kot 2000 €). To je tudi edina možnost plačila.

Dobra novica? Okužb v Sloveniji je bilo doslej res malo.

Druge oblike izsiljevanja

Okužbe z virusi pa niso edini način, ki ga lahko izsiljevalci uporabijo, da iz žrtev izmamijo denar. Pred nekaj leti so storilci izrabljali strah pred policijskim pregonom pedofilov v Veliki Britaniji tako, da so žrtvi podtaknili otroško pornografijo v računalnik, nato pa grozili s prijavo policiji, če žrtev ne bo plačala odkupnine.

Lani pa smo imeli tudi pri nas nekaj primerov, ko je storilec sprožil porazdeljen napad onemogočanja (DDoS, distributed denial-of-service) proti podjetju, nato pa stopil v stik z njim in trdil, da mu je napade naročila in plačala konkurenca. Obljubil je, da bodo napadi prenehali takoj, ko mu žrtev plača. Sledi za napadalci so vodile v Alžirijo in Libanon.

Kaj lahko storite

Pri tako naprednem kriptovirusu, kot je CryptoLocker, se lahko zanesete le na ustrezno izdelane varnostne kopije (backup). Ker virusi običajno zašifrirajo tudi omrežne mape, vam preprosto kopiranje datotek na zunanji ali omrežni disk ne bo pomagalo. Če varnostne kopije izdelujete s sistemskim orodjem prek administratorskega računa, sami pa uporabljate le navadni uporabniški račun, boste morda lahko prišli nazaj do svojih podatkov. Podatke lahko poskusite dobiti nazaj s System Restore, ki hrani prejšnje različice datotek in lahko reši vaše podatke. Windows za to uporablja storitev Volume Shadow Copy, ki je privzeto vklopljena za celoten disk C:.

Pomembno pa je pogledati tudi, kako se lahko zmanjša tveganje za okužbo. Omenjena škodljiva koda se širi v glavnem na dva načina: v obliki priponk elektronske pošte ali prek okužb v mimohodu (angl. drive-by download). V prvem primeru je rešitev enostavna: ne klikajte priponk v elektronski pošti, za katere vam ni čisto jasno, zakaj ste jih dobili, ali pa vam obljubljajo kaj lepega. Zaščita pred okužbo v mimohodu pa je seveda računalnik z nameščenimi popravki za operacijski sistem in vse programje v njem. Obravnavani primeri kažejo, da najpogosteje pride do okužbe pri brskanju po spletu prek vrzeli v okolju java, zato izklopite vtičnike zanjo v svojih brskalnikih, ali pa jo kar odstranite iz sistema, če je res ne potrebujete. Varnostne vrzeli v njej se kar vrstijo že nekaj zadnjih let, zato je trenutno eden bolj priljubljenih vektorjev napada.

K zaščiti pred okužbo z virusom CryptoLocker pa pomaga tudi orodje CryptoPrevent (www.foolishit.com/vb6-projects/cryptoprevent/), ki s pomočjo posebej skonstruiranih pravil v operacijskem sistemu Windows prepreči izvajanje virusa. Predvsem pa: »Namestite že enkrat tisti backup!«

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki