offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
- 13Ovo se svidja korisnicima: Sass Drake, Aco, SlobaBgd, Black Code, TwinHeadedEagle, 1l padr1n0, boki199777, zola92, Ričard, Stewdza, Ljilja Hnovi, E.L.I.T.E., iCho
Registruj se da bi pohvalio/la poruku!
Ransomware je opšti naziv za vrstu zlonamernih programa koji uvode restrikcije u funkcionalnost računara.
Postoje dve osnovne grupe ovoga malwarea: onaj koji otežava ili onemogućuje pristup računaru, te onaj koji vrši enkripciju korisnikovih podataka.
Nakon uspešne infekcije, malware pokušava da iznudi novac od korisnika.
Premda su prvi poznati primerci ransomwarea stari već 25 godina, ova vrsta malwarea je tek u novije vreme dobila na značaju.
Dok se u slučaju infekcija koje samo "zaključavaju" računar (kao npr. WinLock) problem može rešiti, ako ne drugačije, reinstalacijom Windowsa, u slučaju kriptoviralnih infekcija eventualna reinstalacija OS-a rešava samo problem infekcije, ali ne i posledica.
Prve naznake problema koji danas jasno vidimo su došle 2005 / 2006. godine; Gpcode, Archiveus, Krotten, Cryzip i drugi crvi su napravili krupan iskorak u odnosu na preteče.
Osnovna razlika i ono što otežava saniranje posledica infekcije jeste način enkripcije.
Za razliku od ranijih kriptoviralnih infekcija, pomenuti su umesto simetrične koristili asimetričnu enkripciju.
Prilikom korišćenja asimetrične enkripcije, koriste se dva ključa: javni i privatni, pri čemu je privatni poznat samo jednoj strani (autorima malwarea).
Uz promenu metoda enkripcije, situaciju je otežavalo i to što su, kako je vreme prolazilo, za enkripciju malwarea korišćeni sve duži ključevi što je teoretsku mogućnost brute force dekripcije činilo sve manje verovatnom i vremenski isplativom.
Tako je prvi GPCode koristio 660-bit RSA javni ključ, dok je dve godine starija varijanta koristila 1024-bit RSA ključ.
Tokom narednih godina je bilo dosta drugih primeraka malware koji se slično ponašao.
Na sreću, nisu svi bili toliko sofisticirani te je za pojedine bilo moguće pronaći način za dekripciju datoteka (primer je bobby-jev alat Anti-FileFix).
Sledeći ključni trenutak u ekspanziji kriptoviralnih infekcija je usledio tokom 2013. godine; u septembru je primećen malware koji se širio putem inficiranih email attachmenta i postojećeg botneta.
Ovaj trojan, nazvan CryptoLocker, je nakon uspešne infekcije računara stupao u kontakt se nekim od svojih upravljačkih (command and control) servera sa ciljem dobijanja ključa za enkripciju.
Nakon uspešne konekcije sa serverom i generisanja 2048-bit RSA para ključeva od strane istoga, malwareu je isporučivan javni ključ koji je kasnije korišćen za enkripciju.
Po završenoj enkripciji korisnikovih datoteka, od korisnika je traženo da plati "otkupninu" kako bi dobio ključ za dekripciju.
Sanacija posledica infekcije
Obzirom na dužinu ključa korišćenog za enkripciju, za "originalni" CryptoLocker dugo nije postojalo rešenje koje je omogućavalo dekripciju datoteka.
Po nekim procenama, autor malwarea je uspešno iznudio preko 3 miliona dolara od korisnika s tim da mnogi koji su platili nikada nisu dobili alat za dekripciju ili ista nije bila moguća.
Krajem maja 2014. godine, združenim delovanjem nekoliko bezbednosnih agencija, softverskih kompanija i univerziteta, uspešno je prekinuta komunikacija između malwarea Gameover ZeuS i njegovih upravljačkih servera koji su, između ostaloga, korišćeni za upravljanje CryptoLockerom čime je isti praktično izolovan.
Zahvaljujući podacima sa tih servera došlo se do mogućnosti za dekripciju bar jednog dela enkriptovanih datoteka na tih 500 hiljada računara koji su bili inficirani.
Korisnici koji imaju datoteke inficirane originalnom verzijom CryptoLockera mogu iste pokušati dekriptovati uz pomoć sajta:
https://www.decryptcryptolocker.com/
Ukoliko se u bazi nalazi odgovarajući privatni ključ, korisniku će isti biti prosleđen zajedno sa alatom za dekripciju.
Nažalost, u međuvremenu su se pojavile druge varijante malwarea sa sličnim ponašanjem.
Za datoteke kriptovane varijantom zvanom ZeroLocker moguće je pokušati sa korišćenjem alata sa linka:
http://vinsula.com/security-tools/unlock-zerolocker/
Ovo nije preterano učestala varijanta malwarea, a uspešnost pomenutoga alata je diskutabilna (po mojoj proceni, a nisam video ili čuo suprotno).
Za korisnike Windows Viste / 7 / 8 postoji mogućnost da se kopije pojedinih datoteka nalaze unutar Shadow copies (u pitanju je Windowsov servis koji omogućuje "vraćanje" na staru verziju neke datoteke).
Praksa pokazuje da su neki korisnici upravo na taj način uspeli da povrate bar deo datoteka.
Alat koji može pomoći za rad sa shadow copies: http://www.shadowexplorer.com/
Trenutno najaktivniji malware ovoga tipa je poznat kao CryptoWall.
Kao i u slučaju ostalih kriptoviralnih infekcija sa asinhronom enkripcijom korišćenjem dugih ključeva generisanih na udaljenom serveru, ni u slučaju CryptoWall-a nema pravog rešenja.
Prevencija
Obzirom na kompleksnost crypto-ransomware infekcija, jasno je da je prevencija od ključnog značaja.
Korisnici treba da:
- vrše redovan backup bitnih datoteka (privatni dokumenti, fotografije i sl.);
- koriste zaštitni softver;
- ažuriraju operativni sistem i sav ostali softver;
- ne otvaraju attachmente u email porukama od nepoznatih pošiljalaca;
- ne pokreću programe pribavljene iz nepouzdanih izvora;
- budu pažljivi prilikom korišćenja prenosivih uređaja.
Ukoliko pak dođe do infekcije računara, bitno je isti skinuti sa bilo kakve mreže (lokalne ili interneta), te poduzeti neophodne mere za dezinfekciju bilo kakvih prenosivih medija kako bi se sprečilo dalje širenje infekcije.
Kada je sprečeno širenje, treba očistiti aktivnu infekciju iz Windowsa te pokušati nešto od ranije pomenutoga u vezi dekripcije datoteka.
Ukoliko u datom momentu ne postoji rešenje, a to je vrlo verovatan scenario, jedino što preostaje jeste da se kriptovani dokumenti sačuvaju u nadi da će se u budućnosti pronaći način za dekripciju.
Credits: SlobaBGD & AMF tim.
|
