Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Terroryści, bitmonety i wyrażenia regularne, czyli hakowanie CryptoLockera notatnikiem cz. 1

Zapowiadał się bardzo spokojny poniedziałek. Większość projektów domkniętych, na kilka dni nic nowego, tylko standardowe drobne zadania – ale jak wiadomo, nie należy chwalić dnia przed zachodem słońca.

Odezwał się telefon:

hi, mówi Franek z firmy Company*, mi tu tak wyskoczyło na monitorze(...)
Tutaj wypada wspomnieć kilka słów o firmie Company .Jest to biuro 'very busy' a ze względu na profil działalności przerzucają dziennie tysiące maili, PDFów, DOCów i innych dokumentów. Ból jest natomiast z innego powodu: użytkownicy nie są zbyt skłonni do słuchania IT (no ale to raczej problem zarządzania), oraz... pracują na serwerze terminalowym z uprawnieniami administratora. Tak, nie przesyłałeś się, wszyscy pracownicy (około setki) mogą wszystko na zdalnym serwerze i przy obecnej niechęci do wydawania pieniędzy na IT nie da się z tym nic zrobić – najzwyczajniej w świecie jedna z najważniejszych aplikacji (przystosowana do pracy desktopowej) wymaga właśnie takich ustawień i nic nie da dostęp tylko do określonej gałęzi rejestru, katalogów, czy profilu – 'god mode' i koniec! Jest oczywiście dość proste rozwiązanie – wirtualizowane pulpity dla każdego (pewien odpowiednik środowiska chrootowego w *nix), ale na to trzeba całkiem spore środki finansowe. Średnio raz w miesiącu nasze IT usuwa z serwerów przeróżne trojany, malware i inny śmieć i nie ma w tym nic złego, bo każda usługa jest płatna a klient nie za bardzo chce kupić nawet program antywirusowy.

Wróćmy jednak do rozmowy telefonicznej:

- co dokładnie wyskoczyło
- no takie czerwone okno, że moje prywatne pliki są zaszyfrowane i że trzeba wpłacić 300EURO i że zostało tylko 27 godzin... hahaha.... Jak usunąć to okienko? To już się pojawiło w piątek, jak chyba przez przypadek zamiast maila od UPS otworzyłem jakiego wirusa... hahaha
- czy możesz mnie przełączyć do szefa?

Tak, to CryptoLocker. Nie tak dawno pisał o tym Adam „eimi” Golański.
W kilku słowach o paskudzie* : jest to koń trojański zaliczany do ransomware, czyli rodzaj terroryzmu: program stara się zaszyfrować dane i później następuje żądanie okupu.

(paskuda* w tym przypadku to Cryptolocker, nie eimi)

Złośliwy program nie stosuje jakiś wyrafinowanych technik typu 'zero-day' – jest rozsyłany mailem i bazuje na błędzie PEBKAC: użytkownik myśląc, że np. otwiera dokument o dostarczeniu przesyłki kurierskiej uruchamia plik wykonywalny, który rozpoczyna lawinę następstw, czyli zaszyfrowanie dokumentów (3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx).

Później pojawia się wspomniane okno odliczania 100 godzin (powinna jeszcze towarzyszyć muzyka zespołu Europe) – w sytuacji, gdy nie zostanie uiszczona opłata równowartości 300EURO/USD (kilka dni temu cena spadła z 1200EURO), dane zostaną utracone bezpowrotnie. Z matematycznego punktu widzenia przy asymetrycznym kluczu rzeczywiście może być problem złamania w domowych warunkach: według Digicert.com RSA-2048 to liczenia na +/- 14mln lat przy obecnie znanej technologii.

Na chwilkę zapomnijmy o kwestii winy: czy to użytkownik, właściciel firmy (złe szkolenia, brak inwestycji w sprzęt i oprogramowanie), czy firma IT, która to obsługuje (to ostatnie nie wchodzi oczywiście w rachubę, to przecież oczywiste...).

Czy zapłacić te 300EURO? Dla firmy generującej zyski w tej walucie nie jest to jakiś wielki wydatek a koszt naprawy systemu może być dużo większy i co najważniejsze, spowodować spore straty dla biznesu, łącznie z wielogodzinnym unieruchomieniem infrastruktury. No ale czy mamy pewność, że infekcja rzeczywiście zostanie usunięta, pliki odszyfrowane? Czy należy płacić terrorystom i dodatkowo ich motywować do rozwijania swojego intratnego projektu? Dość łatwo sprawdzić, że dochód z tego mają przeogromny: nie dość, że dość mocno popisała się Amerykańska policja, to jednocześnie śledząc rynek BTC widać, że przedziwnie jest bardzo dużo transakcji na równowartość 300EURO/USD.

Sam wirus jest dość prosty do usunięcia a dodatkowo na tyle „przyjazny” w obecnej formie, że informuje które pliki zostały zaszyfrowane: w jednej z gałęzi rejestru w sposób niezaszyfrowany:

Później zaczyna się ciekawsza zabawa, czyli podpięcie backupów ze wcześniejszym upewnieniem się, że pliki kopii zapasowej też nie są zaszyfrowane, oraz parsowanie plików, aby odtworzyć tylko uszkodzone dane. Hakowanie CryptoLockera za pomocą notatnika (a dokładnie notepad++) i wyraźeń regularnych (czyli taki awk i sed dla Windowsowców) w drugiej części wpisu.

 

windows bezpieczeństwo porady

Komentarze

0 nowych
alucosoftware   7 #1 29.11.2013 15:52

Świetne komiksy, pasują idealnie :)

Mantarak   3 #2 29.11.2013 16:34

Masz talent pisarski. Czekam niecierpliwie na dalszy ciąg.

corrtez   12 #3 29.11.2013 16:44

Czemu takie krótkie i kiedy nastepna czesc? :)

eimi REDAKCJA  17 #4 29.11.2013 16:45

Dziękuję, że to nie ja jestem paskudą :)
Jesteś bardzo życzliwy.

Też czekam na dalszy ciąg!

bachus   20 #5 29.11.2013 16:51

@Mantarak: mam zapisane kilka historii z ostatnich moich wdrożeń i audytów, które niby nadają się na blog ale są momentami zbyt kuriozalne
@corrtez: jak czas pozwoli to w weekend, w robocie jestem i godzina wiszenia na telefonie pozwoliła na sklecenie tego wpisu ;-)

mgr.inz.Player   6 #6 29.11.2013 16:51

Przerwałeś wpis w najbardziej ekscytującym momencie. Dlaczego jesteś taki okrutny wobec swoich czytelników?

Wyrażenia regularne, nawet ta "słabsza" wersja w Lua (pattern matching), to potężne narzędzie. Boli tylko ilość implementacji: w standardzie POSIX jest taka, a u "mikromiękcych" owaka.

bachus   20 #7 29.11.2013 17:00

@mgr.inz.Player: bo był to dla mnie ból i nagle okazało się, że najprościej to zrobić w notepad++. Ja ogólnie najpewniej czuję się w shellu i pewnie za pomocą jednej komendy, awków, sedów i cutów można to zrobić jedną komendą. Potrzebowałem jednak rozwiązania (procedury) dla osób, które już przy wyrażeniu sed 's/^ *//' mają pot na tyłku. Okazuje się, że notepad++ obsługuje wyrażenia regularne. Ja też mówiąc szczerze wypadłem z obiegu i napociłem się np. przy usunięciu tekstu po każdym backslashu w każdej linii (czyli zostawienie tylko ścieżek: \\(?=[^\\]*$).* )

budda86   9 #8 29.11.2013 17:22

Hmm, a PowerShell nie ma jakichś odpowiedników gnu coreutils? Ja szczerze mówiąc nie wyobrażam sobie pracy bez grepa, a i do celów prywatnych w Windowsie się przydaje (Cygwin).

mgr.inz.Player   6 #9 29.11.2013 17:30

Tak, "assertions" też kiedyś były dla mnie czarną magią.

To notepad++ obsługuje już assertions? Kiedyś potrzebowałem tego, to wtedy nie działało. Zaraz poszukam changelog'a programu notepad++.

bachus   20 #10 29.11.2013 17:30

@budda86: ma, ale mam czasem wrażenie, że PS'owe -replace używa jakiejś właśnej logiki, ale mogę sklecić skrypt do parsowania tego.

mgr.inz.Player   6 #11 29.11.2013 17:36

Ha, notepad++ od wersji 6 ma:
"PCRE (Perl Compatible Regular Expressions) is supported"
(źródło http://notepad-plus-plus.org/news/notepad-6.0-release.html)

Dlatego wcześniej bardziej zaawansowane wyrażenia mi nie działały.

Semtex   18 #12 29.11.2013 18:24

Dobry wpis, czuję niedosyt, chcę widzieć hackowanie Notepadem :D

dzikiwiepsz   12 #13 29.11.2013 18:33

@semtex
przyłączam się do prośby :)

Songokuu   14 #14 29.11.2013 19:58

Ostatni komiks mnie rozwalił :D

Świetnie się czytało pomimo tego, że mało co czasem rozumiem bo nie znam się na programowaniu :)

bachus   20 #15 29.11.2013 20:01

@Songokuu: ja nie mam pojęcia o programowaniu :>

  #16 29.11.2013 20:29

"najzwyczajniej w świecie jedna z najważniejszych aplikacji (przystosowana do pracy desktopowej) wymaga właśnie takich ustawień i nic nie da dostęp tylko do określonej gałęzi rejestru, katalogów, czy profilu – 'god mode' i koniec!"

"Średnio raz w miesiącu nasze IT usuwa z serwerów przeróżne trojany, malware i inny śmieć i nie ma w tym nic złego, bo każda usługa jest płatna a klient nie za bardzo chce kupić nawet program antywirusowy."

To wiele wyjaśnia: źle skonfiguruj, to cały czas będziesz miał robotę...

  #17 29.11.2013 20:30

Tak, nie -> przesyłałeś <- się, wszyscy pracownicy (około setki)

Axles   17 #18 29.11.2013 20:58

No bachus zaczyna swoje słynne wpisy :) nic tylko czekać na kolejne. Masz pisanie jak mało kto.

GBM MODERATOR BLOGA  20 #19 29.11.2013 21:18

Dobry wpis, chętnie ogarnę temat jaki jest Twój sposób na Cryptolockera :)

Btw. dobrze mówisz, nie można płacić "okupantom" tworzącym ransomware (dokładna nazwa tego typu oprogromowania).
Robią banalne zagrożenie, dostają za to kasę z "okupu" i apetyt rośnie w miarę jedzenia... Popyt rośnie i proceder stanie się coraz bardziej popularny, a tylko niepłacenie jest w stanie go powstrzymać...

Jedyne co można zapłacić, to fachowcowi za usunięcie tego beznadziejstwa z systemu ;)

Pozdrawiam,
GBM

wojtekadams   18 #20 29.11.2013 21:24

Świetne :) Kiedy kolejny odc.?

  #21 29.11.2013 22:01

Wyrażenia są też w VBScripcie i JScripcie.
http://msdn.microsoft.com/en-us/library/ms974570.aspx

enedil   9 #22 29.11.2013 22:20

Robić bekapy!

bachus   20 #23 29.11.2013 22:29

@enedil: bekapować zaszyfrowane dane!

Shaki81 MODERATOR BLOGA  38 #24 29.11.2013 23:38

No i z hackowania notatnikiem lipa:) Z niecierpliwością czekam na kolejną część.

McAlexander   3 #25 30.11.2013 18:20

Zawsze jak mówię żeby wykonywać kopię, to się mnie ludzie czepiają, bo podobno przesadzam. Teraz złapią coraz popularniejszego Cryptolockera i się nauczą! :-)
Najlepsze jest to, że posiadanie oprogramowań antywirusowych wcale nie jest najcudowniejszą receptą na ten problem. Nowe warianty tegoż cuda w pierwszych godzinach po wpuszczeniu ich do sieci są prawie nie do pokonania. Zresztą standardowe Ransomware też sieją zniszczenie swoim działaniem, na forach pełno skarg od zainfekowanych użytkowników, a w logach zainstalowane AV.
Ale pomijając ten fakt. Przydałaby się jakaś edukacja, głównie firm, w tym zakresie. Powinno się o tym mówić, bo lud naprawdę sobie sprawy z tego nie zdaje. A tu chodzi o kasę. Zapłacą jak mają ważne pliki na dysku. I zapłacą za zapobieganie podobnym infekcjom. Uważam, że dobrym sposobem jest wirtualizacja.

"Na chwilkę zapomnijmy o kwestii winy: czy to użytkownik, właściciel firmy (złe szkolenia, brak inwestycji w sprzęt i oprogramowanie)'

Nawiązując do tego fragmentu, nieco obok tematu, ale czy aby całkiem dobry pakiet Comodo Internet Security nie jest dostępny za darmo dla firm?

bachus   20 #26 01.12.2013 11:23

@McAlexander: tak między nami, jak występuje problem PEBKAC to jedyny pakiet to: http://www.funnyzone.org/wp-content/uploads/2011/05/cut.jpg
Jako przykład dam Ci drugą firmę, w której na desktopach też użytkownik ma pełne prawa administratora. Ponad 400 osób w firmie i od 4 lat nie słyszałem, aby tam się zdarzył wirus. Jest program antywirusowy, który przez główną konsolę puszcza alerty, ze coś się dzieje - a najczęściej to tylko jakieś cookies, czy alert o niebezpiecznej stronie. Co więcej - użytkownicy potrafią zrobić forward maila do nas gdy nie mają pewności co do załącznika.
Wszystko kwestia w rękach osób zarządzających firmą, potrafiących wytłumaczyć do czego służy komputer służbowy a do czego nie służy.

drobok   14 #27 09.12.2013 20:49

A wypłaty w obu firmach różnią się o jedno 0 ? :P

drobok   14 #28 09.12.2013 20:50

Głupi brak edycji,
Kiedy następna część ? :)

  #29 20.10.2015 14:43

Potrzebujesz złamać jakieś hasło?
Szukasz dobrego hakera/programisty?
Komputery nie mają przede mną tajemnic.
Przyjmę każde zlecenie.
Swoją pracę wyceniam indywidualnie w zależności od usługi.
Opłata po skończonej pracy.
Kontakt: hackerHK@o2.pl
Pisz odpowiem na każdego maila.

bachus   20 #30 22.10.2015 10:23

@drobok: w przypadku tego wpisu zostałem przyblokowany przez siłę wyższą.

  #31 28.10.2015 14:17

Używam programów z oferty hackit.pl i jest bosko wszystkie hasełka są moje właśnie latam po kontach znajomych hahahaha:)