Był albański wirus, czas na polskie ransomware
Od ponad miesiąca eksperci ds. bezpieczeństwa wiedzieli, że pojawił się nowy ransomware Vortex. Nic nowego, ale nowy szkodnik miał dwa ciekawe aspekty. Wydawało się, że autorem szkodnika, którego ofiarą padło co najmniej kilka osób, mógł być Polak. Drugą równie intrygującą cechą był fakt, że nie udało się znaleźć ani próbki kodu, ani metod jego rozpowszechniania.
Pierwszy ślad ransomware pojawił się w Pastebin. Potwierdzał on wcześniejsze podejrzenia, gdyż szantażysta jako metodę kontaktu ze sobą podawał m.in. numer Gadu-Gadu 61621122. W końcu udało się zdobyć próbkę szkodliwego kodu i zaczęły pojawiać się jego pierwsze analizy. Podjęła się ich również Zaufana Trzecia Strona, mając przy okazji spory ubaw.
Przede wszystkim okazało się, że program napisany jest z użyciem frameworku .NET, a twórca w żaden sposób nie zabezpieczył go przed odczytaniem kodu źródłowego. Wystarczy zatem wczytać go do odpowiedniej aplikacji, by poznać jego budowę i sposób działania. Okazało się też, że program korzysta z dostępnej na GitHubie aplikacji AESxWin, służącej do szyfrowania plików przesyłanych do chmury. Podczas pracy AESxWin wyświetla użytkownikowi standardowe windowsowe okienko z przyciskiem „Stop”. To na wypadek, gdybyśmy jednak zrezygnowali z szyfrowania plików. I takie samo okienko wyświetla nam ransomware.
O tym, jak marnym programistą jest autor szkodliwego kodu może świadczyć fakt, że jego kod nie odwołuje się bezpośrednio do odpowiedniej funkcji w AESxWin, ale czeka na zdarzenie „Click” na przycisku i dopiero wówczas rozpoczyna się proces szyfrowania.
Nasz rodzimy cyberprzestępca nie zadał sobie też trudu, by tworzyć własny klucz szyfrujący. Odpowiedniego kodu nie było w wykorzystanej przez niego aplikacji, postanowił zatem skorzystać z publicznie dostępnej usługi, której wydaje polecenie wygenerowania przypadkowego ciągu 40 znaków. Następnie ransomware sprawdza IP zainfekowanego przez siebie komputera. To zadanie również przerosło naszego rodaka, który odwołuje się do zewnętrznego serwera, od którego dostaje adres IP. Własną inicjatywą programistyczną cyberprzestępcy znad Wisły jest natomiast dodanie do rejestru Windows klucza, który powoduje ponowne uruchomienie się szkodliwego kodu w razie problemów. Jeśli więc zatrzymamy szyfrowanie przyciskiem „Stop” czy kod nie otrzyma odpowiedzi z serwera przesyłającego klucz, to uruchomi się przy kolejnym starcie systemu.
Gdy już ransomware zakończy pracę i zaszyfruje nasze pliki, wysyła na serwer swojego twórcy informacje oraz hasło z kluczem do odszyfrowania plików. Szkodliwy kod szyfruje pliki wideo, obrazy, dokumenty tekstowe, prezentacje PowerPointa, arkusze Excela, pliki skompresowane oraz pliki Javy, Pythona, HTML, JavaScript czy VirtualBasic znajdujące się w licznych folderach, jak na przykład Moje Obrazy, Moja Muzyka, Program Files czy Pulpit.
Po skończonej pracy w katalogu, w którym znajdują się zaszyfrowane pliki, umieszczany jest plik ODZSZYFRUJ-DANE.txt o treści jak na obrazku:[img=vortex03]Pozostaje tylko odpowiedzieć na pytanie, jak przy takim poziomie amatorszczyzny autorowi szkodliwego kodu udawało się przez miesiąc ukrywać sposób przeprowadzenia ataku oraz wykrycia kodu? Okazało się, że autor używał konia trojańskiego napisanego w JavaScripcie, którego autorem jest ktoś mówiący po arabsku. Wszystko wskazuje na to, że ransomware jest wgrywane ręcznie na komputery osób, które zostały zarażone wspomnianym koniem trojańskim. I właśnie za sprawą tego znacznie bardziej zaawansowanego szkodnika, używanego m.in. przy kampaniach z fakturami Play i e-mailami od Zary.
