Terroryści, bitmonety i wyrażenia regularne, czyli hakowanie CryptoLockera notatnikiem cz. 1
Zapowiadał się bardzo spokojny poniedziałek. Większość projektów domkniętych, na kilka dni nic nowego, tylko standardowe drobne zadania – ale jak wiadomo, nie należy chwalić dnia przed zachodem słońca.
Odezwał się telefon:
hi, mówi Franek z firmy Company*, mi tu tak wyskoczyło na monitorze(...)
Tutaj wypada wspomnieć kilka słów o firmie Company .Jest to biuro 'very busy' a ze względu na profil działalności przerzucają dziennie tysiące maili, PDFów, DOCów i innych dokumentów. Ból jest natomiast z innego powodu: użytkownicy nie są zbyt skłonni do słuchania IT (no ale to raczej problem zarządzania), oraz... pracują na serwerze terminalowym z uprawnieniami administratora. Tak, nie przesyłałeś się, wszyscy pracownicy (około setki) mogą wszystko na zdalnym serwerze i przy obecnej niechęci do wydawania pieniędzy na IT nie da się z tym nic zrobić – najzwyczajniej w świecie jedna z najważniejszych aplikacji (przystosowana do pracy desktopowej) wymaga właśnie takich ustawień i nic nie da dostęp tylko do określonej gałęzi rejestru, katalogów, czy profilu – 'god mode' i koniec! Jest oczywiście dość proste rozwiązanie – wirtualizowane pulpity dla każdego (pewien odpowiednik środowiska chrootowego w *nix), ale na to trzeba całkiem spore środki finansowe. Średnio raz w miesiącu nasze IT usuwa z serwerów przeróżne trojany, malware i inny śmieć i nie ma w tym nic złego, bo każda usługa jest płatna a klient nie za bardzo chce kupić nawet program antywirusowy.
Wróćmy jednak do rozmowy telefonicznej:
- co dokładnie wyskoczyło
- no takie czerwone okno, że moje prywatne pliki są zaszyfrowane i że trzeba wpłacić 300EURO i że zostało tylko 27 godzin... hahaha.... Jak usunąć to okienko? To już się pojawiło w piątek, jak chyba przez przypadek zamiast maila od UPS otworzyłem jakiego wirusa... hahaha
Tak, to CryptoLocker. Nie tak dawno pisał o tym Adam „eimi” Golański. W kilku słowach o paskudzie* : jest to koń trojański zaliczany do ransomware, czyli rodzaj terroryzmu: program stara się zaszyfrować dane i później następuje żądanie okupu.
(paskuda* w tym przypadku to Cryptolocker, nie eimi)
Złośliwy program nie stosuje jakiś wyrafinowanych technik typu 'zero-day ' – jest rozsyłany mailem i bazuje na błędzie PEBKAC : użytkownik myśląc, że np. otwiera dokument o dostarczeniu przesyłki kurierskiej uruchamia plik wykonywalny, który rozpoczyna lawinę następstw, czyli zaszyfrowanie dokumentów (3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx).
Później pojawia się wspomniane okno odliczania 100 godzin (powinna jeszcze towarzyszyć muzyka zespołu Europe ) – w sytuacji, gdy nie zostanie uiszczona opłata równowartości 300EURO/USD (kilka dni temu cena spadła z 1200EURO), dane zostaną utracone bezpowrotnie. Z matematycznego punktu widzenia przy asymetrycznym kluczu rzeczywiście może być problem złamania w domowych warunkach: według Digicert.com RSA-2048 to liczenia na +/- 14mln lat przy obecnie znanej technologii.
Na chwilkę zapomnijmy o kwestii winy: czy to użytkownik, właściciel firmy (złe szkolenia, brak inwestycji w sprzęt i oprogramowanie), czy firma IT, która to obsługuje (to ostatnie nie wchodzi oczywiście w rachubę, to przecież oczywiste...).
Czy zapłacić te 300EURO? Dla firmy generującej zyski w tej walucie nie jest to jakiś wielki wydatek a koszt naprawy systemu może być dużo większy i co najważniejsze, spowodować spore straty dla biznesu, łącznie z wielogodzinnym unieruchomieniem infrastruktury. No ale czy mamy pewność, że infekcja rzeczywiście zostanie usunięta, pliki odszyfrowane? Czy należy płacić terrorystom i dodatkowo ich motywować do rozwijania swojego intratnego projektu? Dość łatwo sprawdzić, że dochód z tego mają przeogromny: nie dość, że dość mocno popisała się Amerykańska policja, to jednocześnie śledząc rynek BTC widać, że przedziwnie jest bardzo dużo transakcji na równowartość 300EURO/USD.
Sam wirus jest dość prosty do usunięcia a dodatkowo na tyle „przyjazny” w obecnej formie, że informuje które pliki zostały zaszyfrowane: w jednej z gałęzi rejestru w sposób niezaszyfrowany:
Później zaczyna się ciekawsza zabawa, czyli podpięcie backupów ze wcześniejszym upewnieniem się, że pliki kopii zapasowej też nie są zaszyfrowane, oraz parsowanie plików, aby odtworzyć tylko uszkodzone dane. Hakowanie CryptoLockera za pomocą notatnika (a dokładnie notepad++ ) i wyraźeń regularnych (czyli taki awk i sed dla Windowsowców) w drugiej części wpisu.