Liczba ofiar CryptoLockera idzie w tysiące, płacą nawet policjanci

Miesiąc temu ostrzegaliśmyWas przed Cryptolockerem – jednym z najbardziejzaawansowanych jak dotąd szkodników na Windows, który po uaktywnieniuszyfruje wszystkie dokumenty ofiary, znalezione zarówno w lokalnychjak i na sieciowych systemach plików, a następnie przedstawia ofertęnie do odrzucenia: albo w ciągu 72 godzin zapłacisz okup w wysokości2 bitcoinów, a wówczas dane zostaną odszyfrowane, albo kluczwykorzystany do zaszyfrowania dokumentów zostanie skasowany, i nigdyjuż się do swoich danych nie dostaniesz. Po kilku tygodniachcyberprzestępcy złagodzili swoją politykę, dając ofiarom ostatniąszansę wykupienia klucza za równowartość „jedynych” 2000dolarów, a po tym, gdy kurs bitcoina względem walutfiducjarnych wzrósł kilkukrotnie, urealnili żądania stawiane pozaszyfrowaniu dokumentów.W sieci Tor uruchomiony został serwis o wdzięcznej nazwieCryptoLockerDecryption Service, w którym ofiara szkodnika może zakupić kluczprywatny użyty do zaszyfrowania jej dokumentów. Wystarczy wgrać przezumieszczony tam formularz jeden z zaszyfrowanych plików, na podstawiesystem wyszukuje klucz użyty do zaszyfrowania. Po jegozidentyfikowaniu, usługa przedstawia datę zaszyfrowania dokumentów iklucz publiczny ofiary, oraz propozycję wpłaty określonej kwoty nanumer bitcoinowego konta. Jeśli ktoś nie zapłacił w ciągu 72 godzin,przyjdzie mu zapłacić znacznie więcej – równowartość około 2tysięcy dolarów. Gdy sieć Bitcoin potwierdzi już wpłatę, ofiaraotrzymuje swój klucz prywatny i narzędzie deszyfrujące do pobrania.[img=safewall]Sytuacja na rynku bitcoina zmusiła cyberprzestępców do modyfikacjistawianych żądań. Miesiąc temu dwa bitcoiny warte były około 280dolarów, co jest kwotą niemałą, ale jeszcze możliwą do przełknięcia.Teraz jednak, gdy kurs BTC względem dolara i innych walutfiducjarnych wzrósł do poziomu 700 dolarów i więcej, zapłacenie nawetdwóch bitcoinów żądanego na początku okupu stało się dla wielu osóbalbo niemożliwe, albo nieopłacalne. Twórcy CryptoLockera dostosowalisię więc do wahań kursu. Jak donoszą badacze z F-Secure, nowa wersjaszkodnika żąda wpłacenia 0,5 bitcoina.Ofiar jest tymczasem coraz więcej. Z analiz firmy Bitdefender Labswynika, że na przełomie października i listopada wykryto przynajmniej12 tysięcy zarażonych hostów, które próbowały się połączyć zprzejętymi przez badaczy adresami. Większość ofiar pochodzi zeStanów Zjednoczonych, podczas gdy sam szkodnik korzysta przedewszystkim z serwerów w Niemczech, Rosji, na Ukrainie i wKazachstanie, korzystając z danego adresu przez co najwyżej kilkadni. Jako wektor infekcji są teraz wykorzystywane przede wszystkimfałszywe powiadomienia e-mailowe od firm kurierskich. CryptoLockerdaje się we znaki już nie tylko zwykłym użytkownikom – okupprzyszło zapłacić ostatnio nawet policjantom z miasta Swansea (stanMassachusetts). Gdy jeden z komputerów na komisariacie został zarażonyCryptoLockerem, policjanci wezwali na pomoc FBI. Po kilkunastugodzinach bezowocnych starań agentów federalnych uznano jednak, żelepiej zapłacić te dwa bitcoiny i otrzymać klucz do odszyfrowaniapolicyjnych dokumentów. Oficer Gregory Ryan wyznał wówczas wwywiadzie dla gazety Herald News, że była to nauczka dlawszystkich (…) wirus był tak skomplikowany i skuteczny, żemusieliśmy kupić te bitcoiny, o których nigdy wcześniej niesłyszeliśmy. Teraz wirusa już nie ma, zaktualizowaliśmyoprogramowanie antywirusowe (…) ale wszyscy eksperci mówią, żenie ma niezawodnego sposobu na całkowite zabezpieczenie systemu.Kto stoi za CryptoLockerem, tego wciążnie wiadomo. Niektórzy podejrzewają zorganizowaną przestępczość zEuropy Wschodniej. Wiadomo jedynie, że coraz więcej odnotowuje sięwypadków zakażeń w Europie – brytyjski policyjny serwisActionFraudkilka dni temu opublikował ostrzeżenie przed szkodnikiem. Radzi się wnim ofiarom, by nigdy nie płaciły żadnego okupu cyberprzestępcom,gdyż nie ma gwarancji, że dotrzymają oni swoich zobowiązań. Szefbrytyjskiej National Cyber Crime Unit stwierdził też, że jegojednostka aktywnie ściga zorganizowane grupy przestępcze,popełniające tego typu przestępstwa.Tak więc policja podobno aktywnie ścigatwórców CryptoLockera, eksperci od bezpieczeństwa podobno intensywniepracują nad narzędziem do odszyfrowania dokumentów ich ofiar(powodzenia z 256-bitowym AES i 2048-bitowym RSA), a samicyberprzestępcy? Cóż, oni podobno zarobili już na całej akcjiprzynajmniej kilka tysięcy bitcoinów, wartych po obecnym kursie ponad2 mln dolarów. Można być więc pewnym, że CryptoLocker nie będziejedynym tego typu zagrożeniem, w innowacyjny sposób podchodzącym dokwestii zbierania okupu.Na koniec dobra wiadomość: obecniewszystkie wiodące pakiety antywirusowe wykrywają CryptoLockera –o ile nie jest ukryty w zaszyfrowanym pliku ZIP (o wykryciu takichwersji załączników ze szkodnikiem donosi F-Secure). Dostępne są teżdwa pożyteczne narzędzia, chroniące przez próbami zaszyfrowanianaszych dokumentów – CryptoPrevent,przeznaczony przede wszystkim dla indywidualnych użytkowników, orazCryptoLockerPrevention Kit, przede wszystkim do wykorzystania w sieciachfirmowych.