Door Ondrej Kubovič, IT Security specialist bij ESET
Ransomware is overal. Dat is toch de indruk die men krijgt als men de talloze rapporten ziet over de recente aanvallen. Er zijn echter meerdere goede redenen om uit te leggen waarom hackers op pagina één van de kranten stonden.
Eerst zijn er de doelgroepen gekozen wegens hun kwaadwillige activiteiten, zoals de hospitalen van de Oost- en Westkust van de VS, die niet in staat waren hun data te beschermen. Daar het leven en de gezondheid van de patiënten in gevaar werd gebracht, waren sommige instellingen ertoe verplicht duizenden dollars losgeld aan cybercriminelen te betalen.
Het gebruik van een aftellingssysteem – of andere trucs om een snelle betaling van het losgeld te bekomen – maakte het voor randsomware mogelijk om nog meer aandacht van de media krijgen.
Een van de andere redenen die een brede media-aandacht genereerde is het volume van deze criminele activiteiten. Net één maand geleden verwittigde ESET de gebruikers dat een indrukwekkend aantal besmette mails ransomware verspreidde en wereldwijd de in-boxen overspoelde.
Door te doen alsof de bijgevoegde bestanden onschadelijk waren, probeerde JS/TrojanDownloader.Nemucodde slachtoffers te motiveren om de ene of andere bekende familie van ransomware zoals TeslaCrypt of Locky te downloaden en te installeren. Deze tactiek werd door de criminelen als efficiënt aanzien zodat ze die in meerdere golven gebruikt hebben. Ze hebben ook meer varianten van de malware verspreid zoals CTBLocker of Filecoder.DG.
Ransomware is echter niet altijd zo gevaarlijk als hogervermelde families. Talloze auteurs van malware willen van de huidige trends profiteren en hun eigen ransomware ontwerpen maar vaak is het resultaat van slechte kwaliteit en gemakkelijk te kraken. Gelukkig voor de gebruikers was dit het geval voor twee recente aanvallen van ransomware – Petya en Jigsaw – die door ESET geanalyseerd werden. Beide soorten hadden implementatiefouten waardoor de slachtoffers hun bestanden en toestellen konden terug krijgen zonder een cent te betalen.
Heropstarten als gijzelaar
Petya, eerst door Trend Micro beschreven, genereert ‘het blauwe scherm van de dood’ na Windows te hebben geïnfiltreerd en het slachtoffer te hebben gedwongen om zijn/haar toestel opnieuw te starten. Als de gebruiker dit doet, zal zijn toestel in plaats van het OS te laden slechts een vermelding doen verschijnen die losgeld eist voor een bedrag van 0.99 bitcoin (ongeveer $431).
Hierbij wordt de master boot record (MBR) gewijzigd zodat de ransomware-code in plaats van de systeemcode gebruikt wordt. De volgende stap is de versleuteling van de master file table (MFT) die de details bevat van alle bestanden naar hun grootte, laat zien waar de bestanden zich bevinden alsook de structuur van de directory.
Fouten in Petya
De analyse van ESET laat echter zien dat Petya (ondanks de bewering in het losgeldbericht) de bestanden op de schijven van de computer niet versleutelt maar uitsluitend op de master file table. Deze fout laat de gebruikers toe hun bestanden terug te krijgen met de hulp van bepaalde recovery tools (hoewel dit soms kosten kan veroorzaken).
Hoe gebeurt de verspreiding?
Om Petya te verspreiden, gebruiken de aanvallers mails vermomd als CV’s van potentiële werknemers. Er is geen bijgevoegd document, wel een link die verwijst naar een locatie op een online Dropbox.
Als het slachtoffer klikt en het bestand Bewerbungsmappe-gepackt.exe downloadt, wordt op het toestel in plaats van een CV een self-extracting executable gedownload die Petya op het operating systeem start. De naam van het bestand laat vermoeden dat het bestemd was voor Duitstalige landen.
Bij het schrijven van deze tekst had Dropbox al het kwaadaardige bestand uit talloze locaties verwijderd maar het is niet gegarandeerd dat de criminelen geen nieuwe wijzigingen aan hun software aanbrengen om hun kansen opnieuw te wagen. Nu al heeft ESET twee varianten van de ransomware ontdekt: Win32/Diskcoder.Petya.A en Win32/Diskcoder.Petya.B.
Ondertussen is wel een gratis tool voor decodering beschikbaar free decryption tool. Het is gebaseerd op de achterpoortjes in de structuur en het laat de gebruiker toe de oude master file table terug te winnen.
Ransomware die een spel speelt
Een andere familie ransomware die deze dagen de aandacht van de vorsers bij ESET trok, is Jigsaw. Het verwijst naar de bekende horror film Saw en probeert met de slachtoffers te spelen door verwoestende regels op te leggen. Als de gebruiker niet binnen het uur betaalt, wist de ransomware één bestand. Als hij binnen het tweede uur niet betaald, worden twee bestanden gewist. Tijdens de volgende uren neemt het aantal bestanden exponentieel toe met belangrijke beschadiging van de data tot gevolg. Jigsaw verwittigt de slachtoffers dat elke poging om het systeem te herstarten bestraft wordt met het uitwissen van 1000 supplementaire bestanden.
Bij de analyse van de code, vonden de vorsers van ESET echter dat die slecht ontworpen was. De code gebruikt dezelfde statische sleutel voor alle versleutelingen. Nu al is een tool beschikbaar voor ontsleuteling decryption tool. In het verleden, waren er al varianten waar de ransomware dreigde om geleidelijk de bestanden van de slachtoffers te wissen, maar Jigsaw was de eerste ‘in the wild’ die deze tactiek gebruikte. ESET bracht deze bedreiging onder bij MSIL/Filecoder.Jigsaw.A, MSIL/Filecoder.Jigsaw.B en MSIL/Filecoder.Jigsaw.C.
Copycat Locky
Een copycat, ontdekt door de ESET telemetrie als Win32/Filecoder.Autolocky.A of in het kort Autolocky, is een goed voorbeeld om te zien hoe ontwerpers van malware proberen te teren op het werk van anderen maar hoe ze mislukken bij de implementatie.
Als nabootser van de veelvuldig verspreide en gevaarlijke Locky, maakt het gebruik van dezelfde extensie (.locky) voor de versleutelde bestanden. Wegens gebrekkige codering, wordt de decoderingssleutel slechts via Internet Explorer opgestuurd en kan gemakkelijk teruggevonden worden in de historiek van het besmette toestel. Gelukkig hebben de slachtoffers van Autolocky een tool voor decodering decryption tool readily available ter beschikking om hun bestanden terug op te halen.
Zoals deze recente voorbeelden laten zien, hoeven de gebruikers niet in te gaan op de intimidatietechnieken van ransomware en de gevraagde bedragen te betalen. Er zijn oplossingen beschikbaar om deze te omzeilen en tools voor decodering voor meerdere families malware die op afpersing gericht zijn. Deze tools herstellen de bestanden op een veilige en betrouwbare wijze, doen de gebruikers geld besparen en verhinderen de financiering van toekomstige misdrijven.
Hoewel sommige soorten ransomware fouten bevatten en niet perfect zijn, werken de criminelen elke dag aan de verbetering van hun software. Preventie is dus essentieel om zich tegen ransomware te beschermen – zelfs van slechte kwaliteit.
Men doet er dus goed aan alle updates van zijn OS en software te installeren, een betrouwbare beveiligingssoftware reliable security suite met meerdere beschermingslagen te gebruiken en regelmatig een back-up te nemen van belangrijke data en deze op een offsite locatie te bewaren.
Men moet ook erg voorzichtig zijn als men op een mail klikt of op Internet surft. Krijgt men een bericht van een onbekende of verdachte bron, dan moet die verwijderd worden.