Twórcy wirusa szyfrującego pliki wyłudzili 325 mln $ w bitcoinach. FBI radzi… płacić

Złośliwe oprogramowanie szyfrujące użytkownikom pliki i żądające okupu za możliwość odzyskania danych jest wciąż popularne. Jak wynika z badań zajmujących się tym zjawiskiem, przynosi jego twórcom wysokie zyski. Co ciekawe nawet największe agencje rządowe, takie jak FBI, okazują się być bezradne wobec szantażystów i sugerują zapłacenie okupu.

 

Złośliwe oprogramowanie szyfrujące użytkownikom pliki i żądające okupu za możliwość odzyskania danych jest wciąż popularne. Jak wynika z badań zajmujących się tym zjawiskiem, przynosi jego twórcom wysokie zyski. Co ciekawe nawet największe agencje rządowe, takie jak FBI, okazują się być bezradne wobec szantażystów i sugerują zapłacenie okupu.

 

Co to wszystko ma wspólnego z bitcoinem? Okup zazwyczaj płacony jest właśnie w tej walucie.

Organizacja Cyber Threat Alliance opublikowała raport opisujący sposób działania złośliwego programu CryptoWall 3, który zainfekował ponad 400 tysięcy komputerów. Program dociera do ofiar w typowy sposób – albo poprzez spreparowane e-maile, albo poprzez luki bezpieczeństwa w przeglądarkach. Po udanym ataku komunikuje się z serwerem kontrolującym i otrzymuje od niego klucz publiczny z pary wygenerowanych dla każdej ofiary 2048-bitowych kluczy RSA. Następnie CryptoWall generuje przypadkowy klucz szyfru AES-256 i zaczyna szyfrować pliki użytkownika, usuwając oryginały. Troskliwie omija przy tym foldery systemowe, aby jego działalność nie została zauważona przez użytkownika. Po zaszyfrowaniu dużej ilości plików CryptoWall wyświetla żądanie okupu i instrukcję jego zapłacenia, po czym usuwa się z komputera. Co ciekawe wspomniany wyżej klucz AES jest zapisany w samym zaszyfrowanym pliku, ale on sam też jest zaszyfrowany, wspomnianym na początku kluczem publicznym RSA.

Do odzyskania danych potrzebny jest więc klucz prywatny z pary RSA, ten zaś pozostaje w rękach szantażystów. Ponieważ obecne technologie są bezradne wobec AES i RSA, siłowe odzyskanie danych jest niemożliwe. Jakie więc wyjścia ma ofiara? Jeżeli zaszyfrowane dane nie przedstawiają sobą wielkiej wartości, albo można je łatwo odtworzyć (np. z kopii bezpieczeństwa), żądania można zignorować. W przeciwnym wypadku nawet FBI sugeruje… zapłacić. Takie rady dawał agent FBI Joseph Bonavolonta na konferencji Cyber Security Summit, jaka odbyła się w Bostonie 21 października. Co ciekawe szantażyści poważnie podchodzą do “biznesu” i po zapłaceniu okupu udostępniają klucz prywatny. Nie ma jednak, żadnej gwarancji, że tak się stanie!!!

Trudno jednak nie podchodzić poważnie do interesu, który, według raportu CTA, przyniósł jego właścicielom 325 milionów dolarów. Badaczom udało się ustalić kilka faktów wskazujących na narodowość tychże właścicieli. Przede wszystkim w samym złośliwym oprogramowaniu znajduje się blokada infekowania komputerów położonych w Rosji, na Białorusi i Ukrainie, w Kazachstanie, Armenii, Serbii i Iranie. Oprócz tego ustalono, że chociaż serwery komunikacyjne pierwszego poziomu to były przypadkowe, przejęte poprzez luki bezpieczeństwa hostingi, to już wszystkie 5 serwerów drugiego poziomu znajduje się w St. Petersburgu w Rosji. Pozostawia to niewiele wątpliwości w temacie kto za tym stoi.

Jak się bronić przed takimi atakami? Choć sam raport CTA (organizacji finansowanej m. in. przez Intela i Symanteca) o tym nie mówi, to warto odnotować fakt, że wirus jest dostępny tylko w wersji na systemy Windows. Użytkownicy systemów z rodziny linux mogą czuć się bezpiecznie. Jeżeli z takich, czy innych przyczyn ktoś przyzwyczaił się do “okienek”, powinien przestrzegać podstawowych zasad korzystania z komputera czyli: aktualnej przeglądarki WWW oraz wtyczek typu Adobe Flash Player i Java oraz programu antywirusowego.

 

Jednak żaden z wymienionych sposobów nie uratuje nas jeśli otworzymy zainfekowany załącznik poczty e-mail od pozornie znanego nam nadawcy jak kurier, poczta, bank czy firma windykacyjna. Jeżeli nie spodziewamy się poczty z załącznikiem od osoby zaufanej, najlepiej wyzbyć się ciekawości i taki załącznik zignorować. Warto też cenne dane kopiować na nośniki danych niezamontowanych w systemie na stałe jako dysk. Oprogramowanie takie jak CryptoWall może zaszyfrować pliki również na pamięci masowej USB, czy udziale sieciowym. Nośnik wymienny powinien być podłączany wyłącznie na czas kopiowania i natychmiast usunięty z systemu.

 

Fotografia na licencji Creative Commons: flickr.com