viruslocker1

 

Jeden z posterunków na południowych obrzeżach przedmieść Midlothian (Virginia, USA) zapłacił niezidentyfikowanemu hackerowi okup w bitcoinach  (równowartość 500$) w zamian za odzyskanie dostępu do danych z policyjnego komputera.

 

Sam posterunek nie był jednak zaplanowanym celem ataku cybernetycznego. Przypadkowo jeden z policyjnych komputerów zainfekowany został wirusem typu Cryptoware szyfrującym pliki. Jedynym sposobem na odszyfrowanie plików w tym przypadku było zapłacenie haraczu w bitcoinach.

 

Przedstawiciele miasta udostępnili kopię rachunku w odpowiedzi na zapytanie publiczne Chicago Tribune. Rachunek „za MPD virus” potwierdza przesłanie przelewu na kwotę $606 celem zakupu bitcoinów i przekazania ich hackerowi. Płatność zawierała również opłaty bankowe i inne koszta.

 

Władze musiały podjąć trudną decyzję czy ugiąć się pod żądaniem okupu czy stracić dostęp do ważnych danych (kopie zapasowe dokumentów zostały również zainfekowane), ostatecznie decydując się na drugą opcję.

 

Policja w Midlothian nie jest pierwszą agencją rządową, która padła ofiarą cyberprzestępców. Podobna sytuacja miała miejsce w listopadzie 2013 roku w Swansea (Massachusetts, USA), kiedy to policja zapłaciła za odzyskanie danych równowartość 750$ w bitcoinach.

 

Według raportów policyjnych w Detroit i w Tennessee również biura tamtejszych szeryfów zostały zaatakowane przez hackerów próbujących uzyskać okup w podobny sposób. 

 

Już w zeszłym roku Federalna Komisja Handlu (Federal Trade Comission) wraz z FBI wydało oświadczenie o wirusie szyfrującym dane przestrzegając o możliwościach wyłudzenia.


Fred Hayes szef policji oraz przewodniczący Association of Chiefs of Police w Illinois oświadczył podczas wywiadu prasowego, że ten typ wirusa stał się ostatnio coraz bardziej rozpowszechniony i władze federalne mają świadomość zagrożenia. Jego zaleceniem jest kopiowanie i zabezpieczanie danych policyjnych.

 

Również w Polsce wirus zbiera coraz większe żniwo stając się realnym zagrożeniem dla dużej części użytkowników. Przeglądając fora dyskusyjne oraz zapytując się o wirusa w serwisach komputerowych można dojść do wniosku, że jest to już zjawisko powszechne. Obecnie najbardziej skutecznym sposobem obrony jest nieotwieranie załączników poczty od nieznanych nadawców. Należy też uważać na maile od np. kuriera z załącznikiem który rzekomo jest potwierdzeniem nadania, czy też fakturą lub wezwaniem do zapłaty.

 

Wirus rozprzestrzenia się przeważnie w załącznikach poczty w postaci plików wykonywalnych. Działa na systemach Windows XP, Vista i 7, Windows 8 zarówno 32- jak i 64-bitowych ignorując całkowicie zabezpieczenia UAC czy ewentualny brak uprawnień administracyjnych jak i również wiele programów antywirusowych.

 

Po uruchomieniu wirus łączy się z serwerem zdalnym (poprzez TOR) gdzie tworzony jest klucz prywatny i publiczny, następnie klucz publiczny umieszczony zostaje w rejestrze systemu. Następnie szyfruje z wykorzystaniem algorytmów RSA (2048 bit) i AES (256 bit) wszystkie dokumenty, zdjęcia oraz bazy danych w lokalnym i sieciowym systemie plików.

 

Po ukończeniu procesu szyfrowania ofierze zostaje wyświetlony komunikat, informujący, że pliki zostały zaszyfrowane algorytmem RSA, z wykorzystaniem 2048-bitowego klucza prywatnego (znajdującego się włącznie na serwerze zdalnym) i ich zawartość zostanie bezpowrotnie utracona, o ile poszkodowany nie zapłaci okupu w BTC w ciągu 72 godzin od zarażenia systemu. Po opłaceniu okupu w tym czasie otrzymujemy klucz prywatny dzięki któremu można odszyfrować pliki (nie ma jednak gwarancji, że tak się stanie), w przeciwnym wypadku musimy pogodzić się ze stratą plików.

 

Bez klucza prywatnego odszyfrowanie plików jest niezwykle mało prawdopodobne a próba złamania szyfru najszybszym superkomputerom na świecie mogła by zająć nawet miliony lat.

 

Fotografia na licencji Creative Commons: flickr.com