CryptoLocker szyfruje internautom dokumenty, uwalnia je po wpłaceniu okupu w bitcoinach

O autorze

Adam Golański

@eimi

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Dwa lata temu Neal Stephenson opublikował bardzo dobry technothriller pt. Reamde, w którym jeden z kluczowych dla fabuły wątków dotyczy wirusa typu ransomware o tytułowej nazwie, szyfrującego dane na komputerze ofiary, a następnie dającemu możliwość ich odzyskania po opłaceniu okupu. Okup miał być opłacony za pomocą wirtualnego złota – oficjalnej waluty świata gry T'Rain – poprzez pozostawienie określonej kwoty we wskazanej przez wirusa lokacji tego świata. Oczywiście to nie Stephenson wymyślił ransomware. Pierwszym szkodnikiem tego typu był stworzony w 1989 roku PC Cyborg, który szyfrował nazwy plików na dysku i żądał od użytkownika około 200 dolarów za odblokowanie systemu. Według badaczy z McAfee, na początku tego roku w Sieci znaleźć można było ponad 250 tysięcy szkodników tego typu, wszystkie one jednak do tej pory wykorzystywały raczej tradycyjne kanały płatności – czy poprzez SMS-y premium, przelewy bankowe, czy za pomocą voucherów online. Czasy się jednak zmieniają, i ktoś zainspirowany najwyraźniej książką Stephensona stworzył szkodnika, który domaga się pieniądza czysto wirtualnego.

Coraz więcej internautów donosi o napotkaniu nowego szkodnika o nazwie CryptoLocker. Przenosi się on zwykle w załącznikach do poczty z samorozpakowującymi się archiwami ZIP, ale też poprzez botnet Zeus. Działa on na systemach Windows XP, Vista i 7, zarówno 32- jak i 64-bitowych (na razie nic nie wiadomo w kwestii Windows 8), ignorując całkowicie zabezpieczenia UAC czy ewentualny brak uprawnień administracyjnych zalogowanego użytkownika. Po uruchomieniu w rejestrze systemu umieszcza klucz publiczny, łączy się z serwerem dowodzenia i kontroli by pobrać klucz prywatny (niezapisywany lokalnie), a następnie szyfruje z wykorzystaniem algorytmów RSA (2048 bit) i AES (256 bit) wszystkie dokumenty, do których użytkownik ma dostęp, nie tylko w lokalnym systemie plików, ale też w zasobach sieciowych.

Po ukończeniu procesu szyfrowania ofierze zostaje wyświetlony komunikat, informujący, że pliki zostały zaszyfrowane algorytmem RSA, z wykorzystaniem 2048-bitowego klucza prywatnego – i ich zawartość zostanie bezpowrotnie utracona, o ile poszkodowany nie zapłaci operatorom CryptoLockera okupu w wysokości 300 dolarów, w ciągu 72 godzin od zarażenia systemu. Od tego momentu zaczyna się odliczanie. Jak informują napastnicy, gdy licznik dojdzie do zera, serwer obsługujący klucze szyfrujące skasuje klucz użyty do zaszyfrowania.

Z tego co pisze wielu poszkodowanych, zignorowanie komunikatu tak się właśnie kończy – szkodnik odinstalowuje się sam, pliki pozostają zaszyfrowane na zawsze, nie ma ma już żadnego sposobu na ich odzyskanie. Nic więc dziwnego, że niejedna ofiara CryptoLockera decyduje się zapłacić. W Stanach Zjednoczonych dostępne są dwa kanały płatności: albo poprzez naładowanie karty MoneyPak kwotą 300 dolarów i wpisanie numeru karty w formularzu udostępnianym przez szkodnika, albo też przez przesłanie dwóch bitcoinów (wartych obecnie ok. 280 dolarów) na wskazany adres i podanie w formularzu identyfikatora transakcji. Poza USA dostępna jest tylko płatność przez sieć Bitcoin.

Ci którzy zapłacili okup, otrzymywali dotąd zgodnie z obietnicą klucz, a szkodnik deszyfrował zaszyfrowane pliki, po czym się odinstalowywał. Teraz jednak sytuacja się pogorszyła. Działania ekspertów od bezpieczeństwa IT, próbujących wyśledzić autorów CryptoLockera doprowadziły do wyłączenia kilku serwerów dowodzenia i kontroli, w wyniku czego wiele ofiar po opłaceniu okupu nie było w stanie otrzymać użytego do szyfrowania klucza.

Niestety wiele popularnych antywirusów (w tym Trend Micro, Microsoft Security Essentials, Eset i Kaspersky) nie tylko na czas nie radzi sobie z CryptoLockerem, ale też pogarsza sytuację, cofając wprowadzone przez trojana zmiany w rejestrze i usuwając jego pliki – wskutek czego użytkownik traci też klucz publiczny. Z tego jednak co piszą internauci, antywirus avast! Free z plikiem definicji w wersji przynajmniej 131016-0, wykrywa CryptoLockera i blokuje jego działanie.

Wygląda na to, że mamy do czynienia z jednym z najskuteczniejszych w ostatnich latach szkodników, którego ofiarami paść mogły już setki tysięcy internautów, którzy bezpowrotnie stracili swoje dane. Co najgorsze, większość systemów do tworzenia kopii zapasowych nic tu nie daje, gdyż i kopie zapasowe mogą zostać przez CryptoLockera zaszyfrowane. Operatorzy bitcoinowych kantorów donoszą więc o rosnącej liczbie osób, które nigdy wcześniej o Bitcoinie nie słyszały, a które teraz zgłaszają się do nich, w nadziei że zdobędą niezbędne im środki płatnicze.

Zalecamy więc zaktualizowanie oprogramowania antywirusowego i wzmożenie czujności – w przeciwnym wypadku i Wy będziecie musieli kupować bitcoiny, by sfinansować prace nad kolejną wersją CryptoLockera.