CryptoLocker szyfruje internautom dokumenty, uwalnia je po wpłaceniu okupu w bitcoinach

Strona głównaCryptoLocker szyfruje internautom dokumenty, uwalnia je po wpłaceniu okupu w bitcoinach
18.10.2013 15:58

Dwa lata temu Neal Stephenson opublikował bardzo dobrytechnothriller pt. Reamde, w którym jeden z kluczowych dlafabuły wątków dotyczy wirusa typu ransomware o tytułowej nazwie,szyfrującego dane na komputerze ofiary, a następnie dającemumożliwość ich odzyskania po opłaceniu okupu. Okup miał być opłaconyza pomocą wirtualnego złota – oficjalnej waluty świata gryT'Rain – poprzez pozostawienie określonej kwoty we wskazanejprzez wirusa lokacji tego świata. Oczywiście to nie Stephensonwymyślił ransomware. Pierwszymszkodnikiem tego typu był stworzony w 1989 roku PC Cyborg,który szyfrował nazwy plików na dysku i żądał od użytkownika około200 dolarów za odblokowanie systemu. Według badaczy z McAfee, napoczątku tego roku w Sieci znaleźć można było ponad 250 tysięcyszkodników tego typu, wszystkie one jednak do tej pory wykorzystywałyraczej tradycyjne kanały płatności – czy poprzez SMS-y premium,przelewy bankowe, czy za pomocą voucherów online. Czasy się jednakzmieniają, i ktoś zainspirowany najwyraźniej książką Stephensonastworzył szkodnika, który domaga się pieniądza czysto wirtualnego.Coraz więcej internautów donosi onapotkaniu nowego szkodnika o nazwie CryptoLocker.Przenosi się on zwykle w załącznikach do poczty z samorozpakowującymisię archiwami ZIP, ale też poprzez botnet Zeus. Działa on nasystemach Windows XP, Vista i 7, zarówno 32- jak i 64-bitowych (narazie nic nie wiadomo w kwestii Windows 8), ignorując całkowiciezabezpieczenia UAC czy ewentualny brak uprawnień administracyjnychzalogowanego użytkownika. Po uruchomieniu w rejestrze systemuumieszcza klucz publiczny, łączy się z serwerem dowodzenia i kontroliby pobrać klucz prywatny (niezapisywany lokalnie), a następnieszyfruje z wykorzystaniem algorytmów RSA (2048 bit) i AES (256 bit)wszystkie dokumenty, do których użytkownik ma dostęp, nie tylko wlokalnym systemie plików, ale też w zasobach sieciowych. [img=cryptolocker]Po ukończeniu procesu szyfrowaniaofierze zostaje wyświetlony komunikat, informujący, że pliki zostałyzaszyfrowane algorytmem RSA, z wykorzystaniem 2048-bitowego kluczaprywatnego – i ich zawartość zostanie bezpowrotnie utracona, oile poszkodowany nie zapłaci operatorom CryptoLockera okupu wwysokości 300 dolarów, w ciągu 72 godzin od zarażenia systemu. Odtego momentu zaczyna się odliczanie. Jak informują napastnicy, gdylicznik dojdzie do zera, serwer obsługujący klucze szyfrujące skasujeklucz użyty do zaszyfrowania. Z tego co pisze wieluposzkodowanych, zignorowanie komunikatu tak się właśnie kończy –szkodnik odinstalowuje się sam, pliki pozostają zaszyfrowane nazawsze, nie ma ma już żadnego sposobu na ich odzyskanie. Nic więcdziwnego, że niejedna ofiara CryptoLockera decyduje się zapłacić. WStanach Zjednoczonych dostępne są dwa kanały płatności: albo poprzeznaładowanie karty MoneyPak kwotą 300 dolarów i wpisanie numeru kartyw formularzu udostępnianym przez szkodnika, albo też przez przesłaniedwóch bitcoinów (wartych obecnie ok. 280 dolarów) na wskazany adres ipodanie w formularzu identyfikatora transakcji. Poza USA dostępnajest tylko płatność przez sieć Bitcoin.Ci którzy zapłacili okup,otrzymywali dotąd zgodnie z obietnicą klucz, a szkodnik deszyfrowałzaszyfrowane pliki, po czym się odinstalowywał. Teraz jednak sytuacjasię pogorszyła. Działania ekspertów od bezpieczeństwa IT, próbującychwyśledzić autorów CryptoLockera doprowadziły do wyłączenia kilkuserwerów dowodzenia i kontroli, w wyniku czego wiele ofiar poopłaceniu okupu nie było w stanie otrzymać użytego do szyfrowaniaklucza.Niestety wiele popularnychantywirusów (w tym Trend Micro, Microsoft Security Essentials, Eset iKaspersky) nie tylko na czas nie radzi sobie z CryptoLockerem, aleteż pogarsza sytuację, cofając wprowadzone przez trojana zmiany wrejestrze i usuwając jego pliki – wskutek czego użytkowniktraci też klucz publiczny. Z tego jednak co piszą internauci,antywirus avast!Free z plikiem definicji w wersji przynajmniej 131016-0, wykrywaCryptoLockera i blokuje jego działanie.Wygląda na to, że mamy doczynienia z jednym z najskuteczniejszych w ostatnich latachszkodników, którego ofiarami paść mogły już setki tysięcyinternautów, którzy bezpowrotnie stracili swoje dane. Co najgorsze,większość systemów do tworzenia kopii zapasowych nic tu nie daje,gdyż i kopie zapasowe mogą zostać przez CryptoLockera zaszyfrowane.Operatorzy bitcoinowych kantorów donoszą więc o rosnącej liczbieosób, które nigdy wcześniej o Bitcoinie nie słyszały, a które terazzgłaszają się do nich, w nadziei że zdobędą niezbędne im środkipłatnicze.Zalecamy więc zaktualizowanieoprogramowania antywirusowego i wzmożenie czujności – wprzeciwnym wypadku i Wy będziecie musieli kupować bitcoiny, bysfinansować prace nad kolejną wersją CryptoLockera.

bDYfDRxN
Udostępnij:
bDYfDRyL