vineri, decembrie 13, 2024

Despre cryptolocker

Se pare că vremurile în care „hackerii” scriau troieni doar pentru a demonstra că se poate sau pentru a-şi testa abilităţile sunt moarte şi îngropate. Primesc în fiecare zi câteva mailuri cel puţin cu infamul  „cryptolocker”, troianul care criptează fişierele şi cere răscumpărare pentru decriptarea lor.

Sigur, nu prea sunt genul care să se lase păcălit, şi de fapt computerul meu nu prea are vulnerabilităţile pe care încearcă acesta să le exploateze, dar urmăresc evoluţia fenomenului şi felul în care pare a se transforma într-un „business” profesionist.

Sunt mai multe realităţi ale lumii contemporane printre care acest „business” navighează cu destulă măiestrie.

Una este criza produselor antivirus. Nu cred că greşesc prea mult dacă afirm că industria produselor antivirus se află într-o stagnare de ani buni; conceptul se pare că şi-a atins limitele, performanţele diverselor produse sunt asemănătoare şi cam la acelaşi nivel cu cele ale produselor gratuite; de câţiva ani producătorii încearcă să le împacheteze cu diverse soluţii auxiliare ( manager de parole, firewall şi alte invenţii) pentru a le face vandabile. În tehnologia actuală, conţinutul iniţial (e-mail-ul care declanşează infecţia) nu prea poate fi detectat pentru că de fapt nu e un virus propriu-zis, ci mai degrabă un program care descarcă adevăratul malware.

O a doua problemă este necesitatea confidenţialităţii.  Transferurile, inclusiv tranzacţia financiară, sunt realizate prin intermediul reţelei Tor , reţea care anonimizează sursa şi destinaţia comunicaţiilor. Tor este o provocare constantă pentru serviciile de informaţii din toată lumea ( care reuşiseră la un moment dat să o şi penetreze parţial) dar pe de altă parte s-ar părea că este o necesitate a lumii noastre. Altfel, evident că ar putea fi declarată ilegală şi închisă „de la buton” ( deşi probabil şi asta ar fi dificil, pentru că vor exista mereu state care nu vor adera la o astfel de înţelegere) însă nu putem face asta până nu ne vom hotărî dacă Snowden este un trădător sau un erou. Ori, cum deocamdată nu ne-am hotărît nici în privinţa lui Iancu Jianu, presimt că şi acest caz va dura cel puţin atât timp. Ceea ce vreau să spun este că omenirea cred că va avea nevoie mereu de o zonă „întunecată” în care vor mişuna deopotrivă infractorii şi vizionarii, alternativa de a nu exista aşa ceva părîndu-mi-se chiar mai tristă.

O a treia problemă ar fi cea a „statelor rebele”, cele care vor tolera genul acesta de activităţi, care în final le aduc chiar profit. Sigur, poliţia nu poate penetra Tor, dar poate urmări cumva tranzacţiile bancare ( chiar dacă ele se fac folosind BitCoin, la un moment dat cineva încasează nişte bani în schimbul „serviciului”). Dar când firele investigaţiei ajung în zonele ex-sovietice sau a altor „zone gri fiscale”, lucrurile devin foarte problematice. Îmi amintesc o păţanie din anii ’90 povestită de şoferul firmei la care lucram: un cetăţean îşi cumpărase ultimul tip de limuzină, după cum era moda în epocă; avea chiar şi localizare GPS, o raritate pe vremea respectivă. La un moment dat limuzina este furată, păgubaşul merge la dealer, acesta o localizează: ajunsese deja în Ucraina. Şi îi zice cu un zâmbet amuzat: vă putem da coordonatele, mergeţi să o recuperaţi. În acei ani România era şi ea o astfel de zonă gri în domeniul infracţiunilor cibernetice; vă mai amintiţi probabil celebrii „hackeri din Vâlcea”, arestaţi unul câte unul atunci când autorităţile noastre au început să îşi facă treaba cât de cât şi să răspundă la scrisorile FBI.

Ca să revenim la malware-ul nostru, ceea ce mi se pare semnificativ este că devine tot mai profesionist. Cum atacul iniţial e un simplu „phishing” , acesta tinde să se rafineze: a fost o perioadă acum câteva luni în care mailurile veneau într-o limbă română destul de corectă, foloseau nume de firme româneşti, foloseau o metodă indirectă de propagare ( trimiteţi acest mail la departamentul contabilitate, vă rugăm) ceea ce, în caz de succes, făcea ca respectivul contabil să primească mesajul de la o persoană „de încredere”, din companie, şi nu direct de la respectiva „Samantha”.

În ultima vreme am primit mesaje care şi-au schimbat tonul în timp, de la „kindly reminder” la somaţie. Destul de plauzibil, dacă eşti într-o firmă mare cu sute de contractori, ceea ce nu e cazul meu.   După cum se vede, munca bine plătită atrage profesionişti şi în domeniul malware.

Nu ştiu cum vor evolua lucrurile mai departe. Cum, deşi utilizatorii de computer se educă, totdeauna vor exista şi utilizatori mai puţin educaţi, şi ei sunt principala sursă de venituri pentru această „întreprindere”, probabil soluţia va fi apariţia unei noi generaţii de produse de securitate. Deşi în prezentările oficiale ni se vorbeşte despre noile metode de detecţie bazate pe algoritmi inteligenţi, pare că în realitate „baza” este tot clasica „analiză de semnături”, care în cazul nostru pare a nu funcţiona. Probabil cumva se va muta accentul pe alte metode mai complexe.

Am fost întrebat de câteva ori dacă, în caz că plăteşti, chiar primeşti cheia de criptare. Habar n-am, dar sunt destul de sigur că da. Curios, dar în cazul unui astfel de „business” încrederea „clientului” chiar este esenţială.

Distribuie acest articol

29 COMENTARII

  1. Am avut de a face cu un laptop infectat cu acest cryptolocker .
    Nu se poate face nimic, pur si simplu singura solutie a fost formatarea si pierderea tuturor datelor de pe acel laptop .
    Adresa ptr cheia de criptare nu mai functiona ptr ca serverul fusese deja inchis de autoritati iar decriptarea dureaza cateva zeci de ani ptr un fisier doar .
    Mai interesant ar fi un articol despre backup for dummies ca sa zic asa, sunt o gramada de useri care habar nu au cum sa faca un backup eficient dar care sunt tot timpul in cautari pe siteuri dubioase ptr streamuri sau alte chestii gratis, unde de obicei e plin de acest tip de virusi .

    • problema este sistemul de operare. ca e windows, ca e linux sau mac, in final tot poate fi penetrat. unele mai usor, altele mai greu.
      eu as vrea un sistem de operare cu sandbox pentru fiecare aplicatie, si cu reguli clare de permisiuni.
      astfel, cand instalezi o aplicatie, aceasta sa primeasca un spatiu pe disk, si de acolo sa nu iasa. sa nu ii dea voie sistemul de operare.
      apoi, cumm e acum la android, sa iti ceara permisiunea pentru diverse chestii, daca are voie sa instaleze in anumite locuri, sau sa schimbe anumite setari.
      sunt putine aplicatii care chiar au nevoie sa aibe acces la orice
      la windows, orice aplicatie poate umbla prin orice setare, prin registry, prin orice fisier din directorul system32 sau altele, sa bage drivere, si hookuri, si e banal sa faci un virus.
      o astfel de abordare este foarte tehnica, dar ar atrage atentia asupra pericolelor.
      scanarea dupa semnatura e apa de ploaie. folosesc windows de ani de zile, fara antivirus. antivirusul doar incetineste calculatorul si intodeauna virusul e cu un pas inaintea antivirusului (daca nu cu mai multi pasi). si daca ai antivirus, lasi garda jos, ca doar esti protejat, ori atunci e mai usor de penetrat sistemul, cand iti zici ca lasa ca mi-a scanat antivirusul fisierul, e in regula, il pot deschide, chiar daca a venit de la habar nu am cine.

  2. Tor nu poate fi inchis pentru ca este folosit de majoritatea serviciile secrete. A si fost creat de serviciile americane (United States Naval Research Laboratory si DARPA) si finantat in continuare cu fonduri guvernamentale din USA. In plus este foarte util pentru a evita fel de fel de porcarii pe care site-urile le baga pe gitul vizitatorilor bazat pe locatie si obiceiuri de browsing. L-am incercat si am avut surpriza sa aflu ca site-uri zise serioase incercau sa-mi identifice calculatorul prin uploadarea unor elemente din computerul meu! Oricum Tor permite rularea de diverse scripturi doar cu aprobarea explicita a user-ului. Deci daca vreti sa va protejati computerul de diverse atacuri folositi Firefox si Tor si ori de cite ori Tor va spune ca ceva nu este in regula cascati bine ochii. Si chiar mai sigur folositi Linux si Tor – este perfect legal. Nu am auzit de cryptolocker pe Linux.
    PS Stiind de cine a fost creat si cine il finanteaza va dati seama ca pentru unii Tor este ca o carte deschisa!

    • Se pare ca ar exista si pe linux , tocmai se lăudau acum vreo lună Bitdefender ca au reusit sa decripteze varianta asta, dar până acum n-am întâlnit-o.

      • Chiar daca exista pe Linux nu poate afecta decit directorul /home/user_name/. Evident daca root-ul este intreg la cap si nu navigheaza din contul de root si daca nu drepturi sudo uricui.

        • E adevarat, dar nu uitati ca obiectivul lui nu e, ca la alte tipuri de malware, compromiterea contului de root ci criptarea documentelor, care probabil vor fi tot in home-ul userului respectiv. si vor avea acelasi owner. Adevaratul avantaj e ca de fapt el exploateaza diverse vulnerabilitati colaterale (macrouri de office de exemplu) care probabil nu se vor afla pe respectivul computer. Deocamdata e si avantajul ca educatia tehnica a celor care folosesc linux e peste medie, dar probabil asta o sa dispara in timp :)

        • Nu e chiar asa… Linux-ul e mai sigur deocamdata pentru ca nu e folosit prea mult. Companiile care il folosesc au oricum o siguranta la un nivel inalt, iar utilizatori particulari sunt foarte putini. Dupa netmarketshare.com, piata de Linux pentru desktop-uri e de 1,78% pe cand Windows are 90,45%. Asa ca de ce sa-si bata capul sa faca virusi ca sa ia bani de la 2% din utilizatori, cand un virus de Windows poate aduce bani de la 90%? Sunt sigur ca daca proportiile de piata ar fi inversate, am vorbi de virusi si Cryptolocker pe Linux si nu Windows.

          • De ce oare 90% din servere sint Linux si nu Windows? In ce priveste cota de piata la desktop-uri. Linux-ul nu este numarat de nimeni pentru ca fiind gratuit nu se prea poate. Cifrele din statistici sint niste estimari. La Win pentru ca nu prea poti sa il instalezi daca nu il platesti este simplu de numarat.

            • Imi pare rau dar nu ati inteles ce am spus. Nu m-am referit la servere, deci institutii, am spus clar ca acolo exista personal IT specializat si deci se poate asigura o securitate la nivel inalt. Cryptolocker NU VIZEAZA acest segment. Ei vizeaza utilizatori mici si multi, majoritatea casnici. Aici se foloseste im marea majoritate Windows, pentru ca e mai simplu chiar daca mai nesigur. Deci era vorba de piata. Dumneata daca ar trebui sa faci un lucru pe care sa-l vinzi, folosind aceleasi resusre, ai face ceva pe care sa-l vinzi cu acelasi pret la 200 mii oameni sau la 9 milioane?

            • Imi pare rau, cred ca nu m-am facut inteleles. In primukl rand Cryptolocker se adreseaza maselor largi de utilizatori gen casnici, in general neinstruiti suficient. De asta si sumele mici cerute. Pentru ei, chestii ca FTP, alt e-mail decat Yahoo sau mai stiu eu ce sunt mari necunoscute. Chiar si redenumirea poate fi o problema! Nu mai spun ca un virus cat de cat destept nu se uita la extensie, stie ce tip de fisier este si se ataseaza studiind fisierul in sine. Asa ca din pacate ce spui nu are aplicabilitate aici.

  3. ” Habar n-am, dar sunt destul de sigur că da. Curios, dar în cazul unui astfel de „business” încrederea „clientului” chiar este esenţială. ”
    Nu contati pe asta; de ce ar fi esentiala increderea? Exista concurenta in acest domeniu? Poti sa alegi furnizorul de malware? Cautam si pe SEAP?

    • Buna asta :)
      Nu, nu va puteti alege furnizorul de malware, dar de la inceput nu exista nici o garantie ca va veti recupera pozele. Daca nu exista nici macar o minima incredere ca ai putea recupera cheia, chiar ca n-ar plati nimeni…

      • Nu ma pricep mai de loc la subtilitatile soft fiindca pe vremea mea se punea mai degraba accent pe hard in materie de electronica dar, ma gandesc ca in cazul in care primesti o cheie de decriptare s-ar putea ca asta sa intre pe mainile unor „rau-intentionati” care pot sa faca decriptari pe gratis dupa ce prind algoritmul, sau algoritmul algoritmilor.
        Dar, in prima faza m-am dus cu gandul la un alt mit in materie de plati informale. Destul de multi sustineau, cand se vorbea despre amploarea coruptiei din Romania ca exista cel putin o certitudine: ala caruia i-ai dat spaga se va face luntre si punte sa-ti rezolve problema. Ei, viata ne-a demonstrat ca nici in aia nu poti sa mai ai incredere. Prea putini se asteapta sa fie dati in judecata pentru ca nu si-au indeplinit angajamentul pentru care au luat spaga. Bine, se pot astepta la represalii din zona ne-legala, dar de multe ori este asa: prinde orbul scoate-i ochii

  4. S-a intamplat frecvent in ultima perioada ca sisteme de Command and Control folosite in genul acesta de atacuri sa fie pierdute si o data cu ele si cheile care ar fii fost folosite la decriptarea datelor. Sunt analize facute care arata ca genul acesta de comportament a aparut cand asa numitii „script kiddies” au inceput sa foloseasca ransomware fara minime cunostinte de infrastructuri informatice.

  5. Nu stiu de ce nici producatorii de antivirusi si nici cei de la Microsoft nu au implementat blocarea atasamentelor executabile si a scripturilor aflate in arhive atasate mail-urilor . Nici nu mai trebuiesc scanate arhivele , daca in interiorul unui zip , rar etc e un exe, com,js,pif sau alta minune ar trebui eliminate din start . Cateodata astept doua saptamani ca un virus nou sa fie identificat in final si de antivirus .Mai ca imi vine sa o dau pe teoria conspiratiei , asa ceva trebuia de mult sa fie prezent in solutiile comune .Cat despre criptolockeri , am intalnit si eu unul acum vre-o 5 ani si bineinteles a trebuit sa apelez la backup-uri :(

    • Exista solutii de astea, dar nu sunt prea utile. Ce te faci daca trebuie sa trimiti un .EXE? Evident ca si pentru asta sunt alte solutii, dar e mult prea complicat pentru ca multi nu sunt specialisti in IT. Si apoi mai sunt documente si altele cu zone executabile, ca macrouri. Ajungem sa nu mai folosim e-mail-ul?

      • 1 . 90% din virusi vin pe mail asa . ii omori pe toti
        2 . Daca vrei sa trimiti un exe musai (in viata mea am trimis doar cativa iar in regim de office niciodata ) il faci txt si il trimiti . Sau prin ftp . Orice doar sa nu lasi clickerii de 50 de ani sa clickeze mail-ul ala pana dau de virus .

        Si lasa-ma cu solutiile care exista , cand un fortimail si exchange nativ nu are asa ceva atunci vorbim de raritati nu de chestii comune . SMEX face asa ceva la aproape 50$ an de user .

      • In privinta documentelor si pdf-urilor cu vulnerabilitati etc da – ramai la fel de vulnerabil ca inainte dar 90% + din virusi dispar daca faci aceasta filtrare . Iar restul sunt partial ineficienti pentru ca trebuie ca si tu sa rulezi softul cu vulnerabilitatile pentru care sunt ei construiti . In plus si sunt mai rari , sunt cu un nivel de complexitate peste scripturile de download . O data descoperit unul de-asta si identificat la semnatura toata munca scriitorului de virusi se duce de rapa . Daca nu apuca sa infecteze multe victime nici nu mai merita sa fie facuti , scopul lor se pierde .

  6. ” chiar dacă ele se fac folosind BitCoin, la un moment dat cineva încasează nişte bani în schimbul „serviciului””
    Dupa o plata cu BitCoin e ca si cum ati fi platit numerar – nu aveti cum sa aflati unde sunt bancnotele si nici cel la care ajung la un moment dat nu are de unde sa stie de unde provin, asa ca plata e aproape 100% anonima si neurmaribila. Nu zic ca sunt 100% pentru ca nimic nu e sigur 100% (altfel nu ar mai exista politica si religii).

    • Da, dar oricum daca hackerul din Valcea schimba niste bitcoini in RON de trei ori pe zi iar la Administratia Financiara declaratie nexam, sa zicem ca poti avea o „suspiciune”intemeiata ” de la care sa pornesti :)

  7. Am reușit să recuperez fișierele unei colege. Calculatorul fusese infectat cu un cryptolocker mai prostuț care nu a șters/criptat shadow copy-ul din windows 7. Am fost erou pentru o zi, apoi m-am transformat în monstrul cu group policy-uri dictatoriale: „Execuți numai ce am instalat eu, ne-am înțeles?!”

    • Domnule, omenirea a trait foarte bine fără Internet, dar acum că a fost inventat nu prea ai cum să-l mai acoperi la loc. In afara de meserii precum săpător de şanţuri nu prea ştiu să existe prea multe locuri de muncă care să nu implice lucrul cu calculatorul. E ca şi cum aţi vrea acum să mergeţi la mare cu diligenţa :) Sigur, era romantic acum 200 de ani, dar acum e imposibil…

      • Nu ma astept sa gindeasca prea multa lume ca mine . Adam si Eva au trait foarte bine fara sa ,,guste ,, din fructul cunoasterii binelui si raului . O singura porunca au avut de respectat si nu au fost in stare . Au vrut sa cunoasca si raul . Nu le era de ajuns binele ; Raiul . Inventiile omenesti in general sint niste inutilitati . Un om intreg la cap si cu credinta in Dumnezeu stie ca scopul vietii este mintuirea. Cu ce foloseste inventiile omului la mintuire ? In opinia mea nesemnificativ . E bine sa avem mare grija in ce anume ne afundam pe si in lumea asta . Folosim timpul inutil si ne plingem ca nu ne ajunge . cautam cele mai complicate solutii la situaii de orice fel . Consumam resurse in dobitocie . Imi este rusine ca fac parte dintr-o astfel de lume . Multumesc pentru atentia acordata . Am hotarit ca acesta sa fie ultimul comentariu la acest articol .

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.

Autor

Mihai Badici
Mihai Badici
Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor. De asemenea a absolvit in 1996 Facultatea de Litere la Universitatea Bucuresti. In prezent, consultant IT independent, colaboreaza pe mai multe proiecte legate de infrastructura de date.

Sprijiniți proiectul Contributors.ro

Carti

 

 

Nexus – Scurta istorie a retelelor informationale

Scurtă istorie a rețelelor informaționale din epoca de piatră până la IA
Editura Polirom, 2024, colecția „Historia”, traducere de Ioana Aneci și Adrian Șerban
Ediție cartonată
Disponibil pe www.polirom.ro și în librării din 27 septembrie 2024

 

Carti noi

Definiția actuală a schimbării climei“ a devenit un eufemism pentru emisiile de CO2 din era post-revoluției industriale, emisii care au condus la reificarea și fetișizarea temperaturii medii globale ca indicator al evoluției climei. Fără a proceda la o „reducție climatică“, prin care orice eveniment meteo neobișnuit din ultimul secol este atribuit automat emisiilor umane de gaze cu efect de seră, cartea de față arată că pe tabla de șah climatic joacă mai multe piese, nu doar combustibilii fosili. Cumpără cartea de aici.

Carti noi

 

Carte recomandata

Ediția a II-a adăugită.

„Miza războiului purtat de Putin împotriva vecinului său de la vest este mai mare decât destinul Ucrainei, echilibrul regional sau chiar cel european. De felul în care se va sfârși acest conflict depinde menținerea actualei ordini internaționale sau abandonarea ei, cu consecințe imprevizibile asupra întregii lumi pe termen mediu și lung. E o bătălie între democrație și dictatură, între regimurile liberale și cele autoritare... Cumpara volumul de aici

Pagini

Esential HotNews

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro