Ransomware: czy rosyjski układ klawiatury naprawdę pomaga?

Marcin kilka dni temu pisał o tym, że kilka kampanii ransomware nie wykonuje złośliwego kodu, jeżeli w systemie jest ustawiony rosyjski układ klawiatury. Trik ten ostatnio stał się popularniejszy, ale nie jest kwestią nową. Podobne zachowanie obserwuje się już od dość dawna i dlatego nasze analizy wirusów zawsze odbywają się w maszynach wirtualnych z francuskim interfejsem, amerykańskimi ustawieniami regionalnymi oraz czeskim układem klawiatury.

Po artykule, wśród Czytelników pojawiły się wątpliwości. Czy wspomniana metoda naprawdę działa? I jeżeli tak, to na ile jest skuteczna? I dlaczego w ogóle istnieje? To zasadne pytania, choć nie zawsze wychodzące z poprawnych założeń. Przydatnym może być odniesienie się do nich. Głównie po to, by pozbawić złudzeń o tym, że rosyjska klawiatura jest panaceum na ransomware.

Funkcjami językowymi najczęściej sprawdzanymi przez wirusy są ustawienia regionalne (jednostki, przecinki, daty), aktywny układ klawiatury oraz zainstalowane układy klawiatury. Choć zdarza się złośliwe oprogramowanie, które dokonuje enumeracji zainstalowanych klawiatur (i robiła tak kampania makrowirusów wymierzonych w Polskę), większość "nowożytnego" ransomware'u sprawdza, jaki układ jest aktywny.

Dlatego dodanie rosyjskiego układu klawiatury uchroni nas przed jedynie skromnym wycinkiem złośliwego oprogramowania. Na pewno unieszkodliwi on dawne wirusy mailowe "od DHL", ale nie zadziała przeciwko wirusom DarkSide. Chcąc ochronić się przed szerszym zakresem szkodników, musielibyśmy ustawić język rosyjski jako domyślną metodę wprowadzania oraz region, a to jest bardzo niepraktyczne.

Słychać też głosy, że dodatkowy układ klawiatury nie może pomóc, bo istnienie takiej metody unieszkodliwienia redukowałoby potencjalną liczbę ofiar. To nie do końca prawda. Kampanie ransomware rzadko bywają całkowicie ogólne. Zazwyczaj są wymierzone w kogoś konkretnego. Jest to albo… cały kraj (maile przetłumaczone na język ofiary) albo sieć jakiejś firmy, zaatakowana przez grupę przestępców celującą np. w duże firmy ubezpieczeniowe.

Faktem jest, że większość punktów wejścia to dziś generyczny phishing a nawet ataki na niezałatane dziury są zautomatyzowane. Ale to nie znaczy, że atakowane jest cały świat. Phishing musi się odbywać w jakimś języku, a boty/harvestery raczej nie skanują całego świata jednocześnie. W przeciwnym wypadku zostałyby wycięte przez ISP.

Dlatego obecność wyłącznika aktywowanego rosyjską klawiaturą nie jest czymś niemożliwym. Z tym, że nie jego istnienie wcale nie wynika z domniemywanego przez niektórych poczucia braterskiej wspólny, patriotyzmu lub "lojalności pośród łajdaków". Chodzi po prostu o to, żeby twórcy trojanów nie zaszyfrowali sobie przypadkiem swoich własnych komputerów, gdyby przez przypadek uruchomili opracowanego wirusa u siebie.

Jest też inne wytłumaczenie: gubienie tropu. Gdyby twórcy danego szyfranta pochodzili np. z Indii, ale nie chcieliby, żeby ktokolwiek w ogóle próbował ich tam szukać, sensownym byłoby dodać kilka poszlak wskazujących w inną stronę. Reagowanie na rosyjski układ klawiatury może łatwo skierować uwagę na Rosjan, choć mogą oni nie mieć nic wspólnego z (tym akurat) atakiem.

O wiele lepszą ochronę przed ransomware zapewnia aktualizowanie oprogramowania i nieuruchamianie obcego kodu. Alternatywne układy klawiatury są jednak przydatnym ustawieniem w przypadku badania próbek wirusów. Wymaga to jednak dużej dozy ostrożności.