CryptoLocker szyfruje internautom dokumenty, uwalnia je po wpłaceniu okupu w bitcoinach Strona główna Aktualności18.10.2013 15:58 Udostępnij: O autorze Adam Golański @eimi Dwa lata temu Neal Stephenson opublikował bardzo dobry technothriller pt. Reamde, w którym jeden z kluczowych dla fabuły wątków dotyczy wirusa typu ransomware o tytułowej nazwie, szyfrującego dane na komputerze ofiary, a następnie dającemu możliwość ich odzyskania po opłaceniu okupu. Okup miał być opłacony za pomocą wirtualnego złota – oficjalnej waluty świata gry T'Rain – poprzez pozostawienie określonej kwoty we wskazanej przez wirusa lokacji tego świata. Oczywiście to nie Stephenson wymyślił ransomware. Pierwszym szkodnikiem tego typu był stworzony w 1989 roku PC Cyborg, który szyfrował nazwy plików na dysku i żądał od użytkownika około 200 dolarów za odblokowanie systemu. Według badaczy z McAfee, na początku tego roku w Sieci znaleźć można było ponad 250 tysięcy szkodników tego typu, wszystkie one jednak do tej pory wykorzystywały raczej tradycyjne kanały płatności – czy poprzez SMS-y premium, przelewy bankowe, czy za pomocą voucherów online. Czasy się jednak zmieniają, i ktoś zainspirowany najwyraźniej książką Stephensona stworzył szkodnika, który domaga się pieniądza czysto wirtualnego. Coraz więcej internautów donosi o napotkaniu nowego szkodnika o nazwie CryptoLocker. Przenosi się on zwykle w załącznikach do poczty z samorozpakowującymi się archiwami ZIP, ale też poprzez botnet Zeus. Działa on na systemach Windows XP, Vista i 7, zarówno 32- jak i 64-bitowych (na razie nic nie wiadomo w kwestii Windows 8), ignorując całkowicie zabezpieczenia UAC czy ewentualny brak uprawnień administracyjnych zalogowanego użytkownika. Po uruchomieniu w rejestrze systemu umieszcza klucz publiczny, łączy się z serwerem dowodzenia i kontroli by pobrać klucz prywatny (niezapisywany lokalnie), a następnie szyfruje z wykorzystaniem algorytmów RSA (2048 bit) i AES (256 bit) wszystkie dokumenty, do których użytkownik ma dostęp, nie tylko w lokalnym systemie plików, ale też w zasobach sieciowych. Po ukończeniu procesu szyfrowania ofierze zostaje wyświetlony komunikat, informujący, że pliki zostały zaszyfrowane algorytmem RSA, z wykorzystaniem 2048-bitowego klucza prywatnego – i ich zawartość zostanie bezpowrotnie utracona, o ile poszkodowany nie zapłaci operatorom CryptoLockera okupu w wysokości 300 dolarów, w ciągu 72 godzin od zarażenia systemu. Od tego momentu zaczyna się odliczanie. Jak informują napastnicy, gdy licznik dojdzie do zera, serwer obsługujący klucze szyfrujące skasuje klucz użyty do zaszyfrowania. Z tego co pisze wielu poszkodowanych, zignorowanie komunikatu tak się właśnie kończy – szkodnik odinstalowuje się sam, pliki pozostają zaszyfrowane na zawsze, nie ma ma już żadnego sposobu na ich odzyskanie. Nic więc dziwnego, że niejedna ofiara CryptoLockera decyduje się zapłacić. W Stanach Zjednoczonych dostępne są dwa kanały płatności: albo poprzez naładowanie karty MoneyPak kwotą 300 dolarów i wpisanie numeru karty w formularzu udostępnianym przez szkodnika, albo też przez przesłanie dwóch bitcoinów (wartych obecnie ok. 280 dolarów) na wskazany adres i podanie w formularzu identyfikatora transakcji. Poza USA dostępna jest tylko płatność przez sieć Bitcoin. Ci którzy zapłacili okup, otrzymywali dotąd zgodnie z obietnicą klucz, a szkodnik deszyfrował zaszyfrowane pliki, po czym się odinstalowywał. Teraz jednak sytuacja się pogorszyła. Działania ekspertów od bezpieczeństwa IT, próbujących wyśledzić autorów CryptoLockera doprowadziły do wyłączenia kilku serwerów dowodzenia i kontroli, w wyniku czego wiele ofiar po opłaceniu okupu nie było w stanie otrzymać użytego do szyfrowania klucza. Niestety wiele popularnych antywirusów (w tym Trend Micro, Microsoft Security Essentials, Eset i Kaspersky) nie tylko na czas nie radzi sobie z CryptoLockerem, ale też pogarsza sytuację, cofając wprowadzone przez trojana zmiany w rejestrze i usuwając jego pliki – wskutek czego użytkownik traci też klucz publiczny. Z tego jednak co piszą internauci, antywirus avast! Free z plikiem definicji w wersji przynajmniej 131016-0, wykrywa CryptoLockera i blokuje jego działanie. Wygląda na to, że mamy do czynienia z jednym z najskuteczniejszych w ostatnich latach szkodników, którego ofiarami paść mogły już setki tysięcy internautów, którzy bezpowrotnie stracili swoje dane. Co najgorsze, większość systemów do tworzenia kopii zapasowych nic tu nie daje, gdyż i kopie zapasowe mogą zostać przez CryptoLockera zaszyfrowane. Operatorzy bitcoinowych kantorów donoszą więc o rosnącej liczbie osób, które nigdy wcześniej o Bitcoinie nie słyszały, a które teraz zgłaszają się do nich, w nadziei że zdobędą niezbędne im środki płatnicze. Zalecamy więc zaktualizowanie oprogramowania antywirusowego i wzmożenie czujności – w przeciwnym wypadku i Wy będziecie musieli kupować bitcoiny, by sfinansować prace nad kolejną wersją CryptoLockera. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Uwaga na CTB-Lockera, który szyfruje dane polskich internautów i żąda okupu 3 lut 2015 Łukasz Tkacz Oprogramowanie 134 Dzięki DecryptCryptoLocker odzyskamy pliki zaszyfrowane przez popularnego szkodnika 7 sie 2014 Łukasz Tkacz Oprogramowanie 57 Rosyjski ransomware na Androida. Jego twórcy podszywają się pod FBI 28 kwi 2020 Arkadiusz Stando Oprogramowanie Internet Bezpieczeństwo 10 Ukryte aplikacje na Androida nowym konikiem hakerów, czyli malware, którego "nie widać" 6 mar 2020 Oskar Ziomek Oprogramowanie Bezpieczeństwo 14
Udostępnij: O autorze Adam Golański @eimi Dwa lata temu Neal Stephenson opublikował bardzo dobry technothriller pt. Reamde, w którym jeden z kluczowych dla fabuły wątków dotyczy wirusa typu ransomware o tytułowej nazwie, szyfrującego dane na komputerze ofiary, a następnie dającemu możliwość ich odzyskania po opłaceniu okupu. Okup miał być opłacony za pomocą wirtualnego złota – oficjalnej waluty świata gry T'Rain – poprzez pozostawienie określonej kwoty we wskazanej przez wirusa lokacji tego świata. Oczywiście to nie Stephenson wymyślił ransomware. Pierwszym szkodnikiem tego typu był stworzony w 1989 roku PC Cyborg, który szyfrował nazwy plików na dysku i żądał od użytkownika około 200 dolarów za odblokowanie systemu. Według badaczy z McAfee, na początku tego roku w Sieci znaleźć można było ponad 250 tysięcy szkodników tego typu, wszystkie one jednak do tej pory wykorzystywały raczej tradycyjne kanały płatności – czy poprzez SMS-y premium, przelewy bankowe, czy za pomocą voucherów online. Czasy się jednak zmieniają, i ktoś zainspirowany najwyraźniej książką Stephensona stworzył szkodnika, który domaga się pieniądza czysto wirtualnego. Coraz więcej internautów donosi o napotkaniu nowego szkodnika o nazwie CryptoLocker. Przenosi się on zwykle w załącznikach do poczty z samorozpakowującymi się archiwami ZIP, ale też poprzez botnet Zeus. Działa on na systemach Windows XP, Vista i 7, zarówno 32- jak i 64-bitowych (na razie nic nie wiadomo w kwestii Windows 8), ignorując całkowicie zabezpieczenia UAC czy ewentualny brak uprawnień administracyjnych zalogowanego użytkownika. Po uruchomieniu w rejestrze systemu umieszcza klucz publiczny, łączy się z serwerem dowodzenia i kontroli by pobrać klucz prywatny (niezapisywany lokalnie), a następnie szyfruje z wykorzystaniem algorytmów RSA (2048 bit) i AES (256 bit) wszystkie dokumenty, do których użytkownik ma dostęp, nie tylko w lokalnym systemie plików, ale też w zasobach sieciowych. Po ukończeniu procesu szyfrowania ofierze zostaje wyświetlony komunikat, informujący, że pliki zostały zaszyfrowane algorytmem RSA, z wykorzystaniem 2048-bitowego klucza prywatnego – i ich zawartość zostanie bezpowrotnie utracona, o ile poszkodowany nie zapłaci operatorom CryptoLockera okupu w wysokości 300 dolarów, w ciągu 72 godzin od zarażenia systemu. Od tego momentu zaczyna się odliczanie. Jak informują napastnicy, gdy licznik dojdzie do zera, serwer obsługujący klucze szyfrujące skasuje klucz użyty do zaszyfrowania. Z tego co pisze wielu poszkodowanych, zignorowanie komunikatu tak się właśnie kończy – szkodnik odinstalowuje się sam, pliki pozostają zaszyfrowane na zawsze, nie ma ma już żadnego sposobu na ich odzyskanie. Nic więc dziwnego, że niejedna ofiara CryptoLockera decyduje się zapłacić. W Stanach Zjednoczonych dostępne są dwa kanały płatności: albo poprzez naładowanie karty MoneyPak kwotą 300 dolarów i wpisanie numeru karty w formularzu udostępnianym przez szkodnika, albo też przez przesłanie dwóch bitcoinów (wartych obecnie ok. 280 dolarów) na wskazany adres i podanie w formularzu identyfikatora transakcji. Poza USA dostępna jest tylko płatność przez sieć Bitcoin. Ci którzy zapłacili okup, otrzymywali dotąd zgodnie z obietnicą klucz, a szkodnik deszyfrował zaszyfrowane pliki, po czym się odinstalowywał. Teraz jednak sytuacja się pogorszyła. Działania ekspertów od bezpieczeństwa IT, próbujących wyśledzić autorów CryptoLockera doprowadziły do wyłączenia kilku serwerów dowodzenia i kontroli, w wyniku czego wiele ofiar po opłaceniu okupu nie było w stanie otrzymać użytego do szyfrowania klucza. Niestety wiele popularnych antywirusów (w tym Trend Micro, Microsoft Security Essentials, Eset i Kaspersky) nie tylko na czas nie radzi sobie z CryptoLockerem, ale też pogarsza sytuację, cofając wprowadzone przez trojana zmiany w rejestrze i usuwając jego pliki – wskutek czego użytkownik traci też klucz publiczny. Z tego jednak co piszą internauci, antywirus avast! Free z plikiem definicji w wersji przynajmniej 131016-0, wykrywa CryptoLockera i blokuje jego działanie. Wygląda na to, że mamy do czynienia z jednym z najskuteczniejszych w ostatnich latach szkodników, którego ofiarami paść mogły już setki tysięcy internautów, którzy bezpowrotnie stracili swoje dane. Co najgorsze, większość systemów do tworzenia kopii zapasowych nic tu nie daje, gdyż i kopie zapasowe mogą zostać przez CryptoLockera zaszyfrowane. Operatorzy bitcoinowych kantorów donoszą więc o rosnącej liczbie osób, które nigdy wcześniej o Bitcoinie nie słyszały, a które teraz zgłaszają się do nich, w nadziei że zdobędą niezbędne im środki płatnicze. Zalecamy więc zaktualizowanie oprogramowania antywirusowego i wzmożenie czujności – w przeciwnym wypadku i Wy będziecie musieli kupować bitcoiny, by sfinansować prace nad kolejną wersją CryptoLockera. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji