CryptoLocker virus

CryptoLocker virus

Kompjuterski virusi su tek nešto mlađi od samih kompjuterskih programa. Isprva su služili za dokazivanje programerskih veština samih programera, a danas su ipak malo više praktični. Da li je to pokazatelj da nema viteštva ni među programerima ili su i programeri postali pokvareni? Bilo kako bilo virusi su mutirali. I to u opasnom smeru.

U početku su napadali sisteme, bilo je onih koji su formatirali particije i menjali imena fajlova, brisali sadržaj, onih koji su omogućavali remote pristup,pa i onih koji su krali email adrese, brojeve kreditnih kartica itd… Razni crvi i ostali mekušci godinama su bili problem koji je bio nezgodan, ali ne i nerešiv.

Cryptolocker-virus-poruka

Izgled pop out poruke da su fajlovi enkriptovani

Enkripcija podataka je trenutno najbolji način da se osigurate da niko ne može pristupiti vašim podacima bez vaše saglasnosti. A kako smo počeli da štitimo sami od sebe raznim whole disk enkripcijama i fajl enkripcijama (i poceli da gubimo ključeve istih), nekom je pala na pamet ideja da ovu blagodet tehnike zloupotrebi.

Ransomware- svrha

U poslednjih godinu dana svedoci smo masovnog širenja takozvanih cryptovirusa, poznatih još kao ransomware. Širenje ovih virusa napreduje exponencijalno, a posledice su katastrofalne. Nečija bolesna ideja da “kidnapuje” vašu imovinu i da traži otkup za nju poznata je i na ovim prostorima. Nekad su ljudima otimali jugiće i golf dvojke i posle se javljali na oglase izgubljeno-nađeno, naravno pritom tražeći par stotina ili hiljada nemačkih maraka.

Danas je napretkom tehnologije ova ideja prešla u digitalni svet. Lopov je ušao u garažu u toku noći, zamenio brave na vratima i kontaktu, zove vas ujutro i kaze ‘’Ako hoces da upališ golfa moraš da platiš 300 evra za par ključeva’’. Tj. virus je enkriptovao sve vaše podatke i ostavio Vam poruku da ukoliko ih želite nazad, morate platiti kidnaperu x količinu Bitcoin-a. Znači umesto narodnog vozila predmet kidnapera su vaši podaci. Što je najgore, oni su i dalje u vašem dvorištu , tj na hard disku.

Širenje

Kako ste dobili mail iz “banke”  u kojem vam šalju aplikaciju koju treba otvoriti, a koja se nalazi u attachment-u, dvoklikom na pomenuti fajl igranka počinje. Virus u pozadini počne da kriptuje podatke 256-obitnim ključem koji se čuva na serveru zlih programera.

Cryptolocker-virus-email

Vrlo brzo dobijate poruku u kojoj vas obaveštavaju da ste ispali naivni i da će vas vaša naiva koštati 300-500 dolara. Novac treba uplatiti u neobeleženim bitcoin-ima na isto tako zamršen račun koji se nalazi boga pitaj gde. Procena je da je na ovaj način ostvaren profit od preko 3.000.000 evra.

Dezinfekcija

Proizvođači (anti)virusa, su vrlo brzo reagovali, pa je identifikovan način na koji se ovaj virus širi. On napada programe koji su pokrenuti i fajlove modifikacijom .EXE nastavka datoteka, pa kada korisnik pokrene pokretačku datoteku System dobije naredbu za brisanje Volume Shadow kopije.

Nakon brisanja Volume Shadow kopije, .EXE nastavak datoteka će se vratiti na Windows standard. Malware će tada pokušati da locira server za kontrolu (CS) i spoji se na njega koristeći DGA algoritam generisanih imena domena.

Kada je veza sa kontrolnim serverom uspostavljena primiće javni ključ koji će koristiti za kriptovanje podataka. Taj ključ sa dodatnim informacijama će snimiti u Windows registar:

HKEY_CURRENT_USER\Software\CryptoLocker_<broj_verzije>

Privatni ključ koji je potreban za dekriptovanje podataka se otprema na kontrolni server. Pošto je teren pripremljen CryptoLocker će krenuti skenirati sve fizičke i mapirane mrežne diskove tražeći datoteke sa nastavcima: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.

Po pronalasku odgovarajuće datoteke kriptirat će je koristeći javni ključ i zapisati punu putanju (full path) u Windows registar:

HKEY_CURRENT_USER\Software\CryptoLocker_<broj_verzije>\Files

Nakon što su kriptovane sve datoteke, korisnik će dobiti CryptoLocker poruku u kojoj se traži da uplati 300-500 dolara pomoću Bitcoin-a ili slične valute u roku 72 sati ili će privatni ključ biti obrisan sa servera.

Lista zaraženih fajlova se nalazi na hard disku. Starovanjem nekog od antivirusa vrlo brzo se brišu sve zaražene datoteke i time se i sprečava dalje širenje. Ipak, ono što razlikuje viruse ranijih generacija od ransomware je to što se čišćenjem podaci ne vraćaju u prvobitno stanje.

Kako do podataka?

U šali sa kolegama, došli smo do rešenja. Jedino što rešenje košta minimum 500 evra. Platiti ili ne platiti otkup. Dilema – moralna, ali i praktična. Pristalice smo toga da ne treba plaćati iz prostog razloga što ne treba pristati na bilo kakve ucene, ali ipak postoje podaci koji su nenadoknadivi.

Slamku spasa može da predstavlja Shadow copy (restore point) ukoliko je bio aktiviran, ili pak ako se radi o starijoj verziji crypto virusa. U početku je postojao sajt na kome ste mogli naći sve ključeve uz pomoć kojih ste mogli da dekriptujete svoje “kidnapovane” podatke. Ova pandemija nažalost, koja se trenutno događa, uzrokovana je novim mutiranim virusom i za sada za nju leka nema.

Jedini način da osigurate podatke je preventiva, oprezno online ponašanje, redovan backup (ovo važi i za sve ostale probleme sa računarima) i da svi zajedno sačekamo da se dogovore, ti koji prave probleme i ovi koji ih “leče”.

Autor:
Nikola Radovanović