AC FORUM
Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

AC
FORUM

Je online prostor určený pro stávající či potenciální zákazníky AUTOCONTu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

×
Blog teaser image

Anatomie ransomware

Pořád dokola si povídáme a píšeme o ransomware. Už jistě víte, kde k němu přijdete a možná i víte, co dělat, abyste jej nedostali. Ale možná, že vás také zajímá, jak funguje.

Pořád dokola si povídáme a píšeme o ransomware. Už jistě víte, kde k němu přijdete a možná i víte, co dělat, abyste jej nedostali. Ale možná, že vás také zajímá, jak funguje.
Probereme si anatomii jednoho z nejslavnějších ransomvarů, zkusíme se podívat, co vlastně dělá CryptoLocker. V dalších řádcích nehledejte rozbor programových instrukcí, zkusíme si jej jen trochu více popsat.

Útok CryptoLockeru rozkládají bezpečnostní specialisté do pěti kroků.

Prvním z nich je samozřejmě instalace. Klíčem k „úspěšné“ instalaci je škodlivý kód nazývaný GameOver Zeus. Tento kód byl útočníky distribuován pomocí spear phishingu (cílených podvodných emailů), podvodné emaily obsahovaly linky na webové stránky, které byly infikovány právě GameOver Zeus. Pouhá návštěva (otevření) těchto infikovaných stránek stačila k rychlému a nepozorovanému stažení kódu dropperu (tzv. drive by download). Ten následně zajistil postupný a skrytý download dalších části GameOver Zeus. Jakmile je GameOver Zeus na počítači nic netušící oběti instalován, zapojí počítač do botnetu ovládaného řídícími servery (Command Center) zločinců. Jedním ze znaků tohoto botnetu je, že používá peer to peer komunikaci mezi více řídícími servery a infikovaným počítačem a dále, že tato komunikace je šifrována. Botnet je následně využit pro šíření samotného CryptoLockeru a to buď prostřednictvím phishingu nebo jsou stroje botnetu infikovány přímo (GameOver Zeus si z řídícího serveru stáhnul CryptoLocker). Jakmile je CryptoLocker stažen a instalován, provede zápis do Windows registrů, aby byl sám spouštěn vždy se startem počítače.

Druhým krokem CryptoLockeru je navázání spojení s řídícím serverem ovládaným zločinci. CryptoLocker (uvědomme si, že se jedná o klient server aplikaci) generuje kolem 1000 unikátních doménových jmen denně, takže klientská strana (infikovaný počítač) podle definovaného algoritmu hledá některý z nich. Důvod pro takový počet je znesnadnit obranu zablokováním pár jmen. Nakonec tedy CryptoLocker na počítači oběti nějaké „živé“ spojení najde.

Třetím krokem je vzájemná identifikace a potvrzení spojení. Jakmile k němu dojde, vygeneruje řídící server klíčový pár – soukromý a veřejný šifrovací klíč. Veřejný klíč je odeslán na počítač oběti, soukromý uložen na řídícím serveru. Dokud k doručení klíče nedojde, data na počítači oběti zůstávají netknuty.

Ve čtvrtém kroku začne CryptoLocker postupně prohledávat disky a šifrovat celou škálu souborů počínaje všemi výstupy MS Office, přes jpeg a jiné obrazové formáty až po MP4 zvukové záznamy. Pro šifrování používá algoritmus AES s klíčem o délce 256 bitů.

Posledním krokem je vlastní „výkupné“. Po dokončení šifrování je uživateli zobrazena zpráva dávající mu 72 hodin na zaplacení sumy, která se obvykle pohybuje kolem 300 amerických dolarů. Oběti, které zaplatily, získaly zpravidla soukromý šifrovací klíč a data dešifrovaly, občas se však stalo, že se to prostě z různého důvodu nepovedlo a data i peníze byly nenávratně pryč.

Pokud nezaplatíte, dá vám CryptoLocker ještě jednu šanci, ale dražší.

CryptoLocker se objevil v roce 2013 a následně se v průběhu roku 2014 postupně vytratil ve své původní podobě. Lze jen spekulovat, jestli již nebyl pro zločince, kteří jej ovládali dostatečně efektivní nebo jestli se obrana před ním stala účinnější. Odhaduje se, že jen za dva měsíce dokázal vydělat svým tvůrcům 27 miliónů amerických dolarů a že napadl počítač každého třicátého uživatele v Británii. Podle odhadů pak celých 40% obětí vyděračům zaplatilo. Největší význam CryptoLockeru je však v tom, že ukázal ostatním zločincům cestu, že „to“ může fungovat, byl vzorem a příkladem efektivního útoku.

Koncept CryptoLockeru následují nové a nové mutace a verze. Tato hrozba stále přetrvává a dá se očekávat, že bude naopak ještě nebezpečnější. Mimochodem, objevil se již i open source ransomware, tedy údajně pro studijní účely.

Obrana proti tomuto útoku je obtížná, není nikdy 100%, nicméně je možná. Pokud chcete poradit, obraťte se na AutoCont. Za zeptání nic nedáte a za klidný spánek bez obav ze zašifrování vašich dat ransomwarem to určitě stojí.

Komentáře