Miesiąc temu ostrzegaliśmy Was przed Cryptolockerem – jednym z najbardziej zaawansowanych jak dotąd szkodników na Windows, który po uaktywnieniu szyfruje wszystkie dokumenty ofiary, znalezione zarówno w lokalnych jak i na sieciowych systemach plików, a następnie przedstawia ofertę nie do odrzucenia: albo w ciągu 72 godzin zapłacisz okup w wysokości 2 bitcoinów, a wówczas dane zostaną odszyfrowane, albo klucz wykorzystany do zaszyfrowania dokumentów zostanie skasowany, i nigdy już się do swoich danych nie dostaniesz. Po kilku tygodniach cyberprzestępcy złagodzili swoją politykę, dając ofiarom ostatnią szansę wykupienia klucza za równowartość „jedynych” 2000 dolarów, a po tym, gdy kurs bitcoina względem walut fiducjarnych wzrósł kilkukrotnie, urealnili żądania stawiane po zaszyfrowaniu dokumentów.
W sieci Tor uruchomiony został serwis o wdzięcznej nazwie CryptoLocker Decryption Service, w którym ofiara szkodnika może zakupić klucz prywatny użyty do zaszyfrowania jej dokumentów. Wystarczy wgrać przez umieszczony tam formularz jeden z zaszyfrowanych plików, na podstawie system wyszukuje klucz użyty do zaszyfrowania. Po jego zidentyfikowaniu, usługa przedstawia datę zaszyfrowania dokumentów i klucz publiczny ofiary, oraz propozycję wpłaty określonej kwoty na numer bitcoinowego konta. Jeśli ktoś nie zapłacił w ciągu 72 godzin, przyjdzie mu zapłacić znacznie więcej – równowartość około 2 tysięcy dolarów. Gdy sieć Bitcoin potwierdzi już wpłatę, ofiara otrzymuje swój klucz prywatny i narzędzie deszyfrujące do pobrania.
Grafika
Sytuacja na rynku bitcoina zmusiła cyberprzestępców do modyfikacji stawianych żądań. Miesiąc temu dwa bitcoiny warte były około 280 dolarów, co jest kwotą niemałą, ale jeszcze możliwą do przełknięcia. Teraz jednak, gdy kurs BTC względem dolara i innych walut fiducjarnych wzrósł do poziomu 700 dolarów i więcej, zapłacenie nawet dwóch bitcoinów żądanego na początku okupu stało się dla wielu osób albo niemożliwe, albo nieopłacalne. Twórcy CryptoLockera dostosowali się więc do wahań kursu. Jak donoszą badacze z F-Secure, nowa wersja szkodnika żąda wpłacenia 0,5 bitcoina.
Ofiar jest tymczasem coraz więcej. Z analiz firmy Bitdefender Labs wynika, że na przełomie października i listopada wykryto przynajmniej 12 tysięcy zarażonych hostów, które próbowały się połączyć z przejętymi przez badaczy adresami. Większość ofiar pochodzi ze Stanów Zjednoczonych, podczas gdy sam szkodnik korzysta przede wszystkim z serwerów w Niemczech, Rosji, na Ukrainie i w Kazachstanie, korzystając z danego adresu przez co najwyżej kilka dni. Jako wektor infekcji są teraz wykorzystywane przede wszystkim fałszywe powiadomienia e-mailowe od firm kurierskich. CryptoLocker daje się we znaki już nie tylko zwykłym użytkownikom – okup przyszło zapłacić ostatnio nawet policjantom z miasta Swansea (stan Massachusetts).
Gdy jeden z komputerów na komisariacie został zarażony CryptoLockerem, policjanci wezwali na pomoc FBI. Po kilkunastu godzinach bezowocnych starań agentów federalnych uznano jednak, że lepiej zapłacić te dwa bitcoiny i otrzymać klucz do odszyfrowania policyjnych dokumentów. Oficer Gregory Ryan wyznał wówczas w wywiadzie dla gazety Herald News, że była to nauczka dla wszystkich (…) wirus był tak skomplikowany i skuteczny, że musieliśmy kupić te bitcoiny, o których nigdy wcześniej nie słyszeliśmy. Teraz wirusa już nie ma, zaktualizowaliśmy oprogramowanie antywirusowe (…) ale wszyscy eksperci mówią, że nie ma niezawodnego sposobu na całkowite zabezpieczenie systemu.
Kto stoi za CryptoLockerem, tego wciąż nie wiadomo. Niektórzy podejrzewają zorganizowaną przestępczość z Europy Wschodniej. Wiadomo jedynie, że coraz więcej odnotowuje się wypadków zakażeń w Europie – brytyjski policyjny serwis ActionFraud kilka dni temu opublikował ostrzeżenie przed szkodnikiem. Radzi się w nim ofiarom, by nigdy nie płaciły żadnego okupu cyberprzestępcom, gdyż nie ma gwarancji, że dotrzymają oni swoich zobowiązań. Szef brytyjskiej National Cyber Crime Unit stwierdził też, że jego jednostka aktywnie ściga zorganizowane grupy przestępcze, popełniające tego typu przestępstwa.
Tak więc policja podobno aktywnie ściga twórców CryptoLockera, eksperci od bezpieczeństwa podobno intensywnie pracują nad narzędziem do odszyfrowania dokumentów ich ofiar (powodzenia z 256-bitowym AES i 2048-bitowym RSA), a sami cyberprzestępcy? Cóż, oni podobno zarobili już na całej akcji przynajmniej kilka tysięcy bitcoinów, wartych po obecnym kursie ponad 2 mln dolarów. Można być więc pewnym, że CryptoLocker nie będzie jedynym tego typu zagrożeniem, w innowacyjny sposób podchodzącym do kwestii zbierania okupu.
Na koniec dobra wiadomość: obecnie wszystkie wiodące pakiety antywirusowe wykrywają CryptoLockera – o ile nie jest ukryty w zaszyfrowanym pliku ZIP (o wykryciu takich wersji załączników ze szkodnikiem donosi F-Secure). Dostępne są też dwa pożyteczne narzędzia, chroniące przez próbami zaszyfrowania naszych dokumentów – CryptoPrevent, przeznaczony przede wszystkim dla indywidualnych użytkowników, oraz CryptoLocker Prevention Kit, przede wszystkim do wykorzystania w sieciach firmowych.
Brak komentarzy:
Prześlij komentarz