OMG или данни срещи откуп

Next story

Данни срещу откуп

Троянските коне (или просто троянците), които криптират потребителски файлове и искат откуп срещу тях не са нищо ново под слънцето. Всъщност, те са факт от няколко години насам. Тези вируси са основен фактор за цяла една категория, наречена ransomware (или вируси, искащи откуп). Паралелно с тях в нея се подвизават и един друг тип вируси – тези, които заключват екрана на заразения компютър и искат съответната сума за отключването му – всичко това маскирано под формата на съобщение от държавна агенция, която е открила някакво нарушение, за което е предвидена глоба. Причината, поради която изкарваме този стар проблем на дневен ред отново е фактът, че този тип вируси отново са дневен ред и се превръщат в масово явление през последните няколко месеца. Тук ще се опитаме да дадем отговор на многото въпроси, които възникват по повод тези кодове, последният от които се подвизава с името OMG (или Oh, My God – О, Боже мой). Продуктите на ESET засичат вирусите от тези категория с общото название Win32/Filecoder или Win32/Gpcode.

Малко статистика

По данни на ESET Live Grid, само през юли 2013 г. броят седмични зарази с Win32/Filecoder се е увеличил с 200% спрямо януари тази година. Водеща в списъка с най-засегнатите от този тип вируси държави е Русия, следвана от Испания, Италия, Украйна и дори съседна Румъния.

Как действа заразата

Както и при много други семейства троянци, киберпрестъпниците използват различни методи за промъкването на заразата в компютъра на жертвата:

  • Чрез сваляне от заразен сайт
  • Чрез прикачени файлове в имейли
  • Чрез инсталация посредством друг троянец или backdoor
  • Чрез ръчна инсталация посредством RDP инфилтрация
  • И много, много други методи

В един от случаите, на които се натъкнахме, станахме свидетели как Win32/Filecoder.Q (познат по-късно и като Win32/Filecoder.AA и Win32/Filecoder.W) се разпространява чрез backdoor вируси като Poison-Ivy R.A.T. Конкретно, жертвите получават backdoor вируса по имейл и ако са достатъчно непредпазливи, за да го стартират, той се свързва с команден сървър, от който очаква команди за действие. След това атакуващият киберпрестъпник изпраща троянеца Filecoder към заразената машина. При получаване вирусът дори няма да се запази на харддиска на компютъра, а ще стартира директно при свалянето му от временната памет (начин за атака, от който новият ESET Smart Security предпазва). Ставали сме свидетели и на други случаи, при които атакуващият успява да инсталира Filecoder на компютъра на жертвата ръчно посредством компроментиран Remote Desktop Protocol (RDP) акаунт. Все още не е ясно как точно се получава тази атака, но сред възможните методи са отворени портове за RDP, открадната с keylogger информация за достъп до компютъра или brutefoce (буквално отгатване на паролата) на слаба парола. Важното в случая е, че атакуващият има пълен достъп до атакуваната машина, точно все едно е седнал на нея, изключил е антивирусната защита и си прави каквото си поиска. Буквално. В някои случаи ръчната инсталация се дължи и на факта, че част от вирусите изискват потребителска интеракция – например въвеждане на парола.

Техники за криптиране

Както стана дума по-рано, тронците, криптиращи файлове, са по-опасни от „полицейските“ троянци. Причината е в криптирането на файлове от компютъра на жертвата – обикновено изображения, документи, музика и архиви. В различните варианти на тези вируси през времето сме виждали и различни техники на криптиране:

  • Имплементирано в троянския кон или чрез използване на (легитимни) инструменти за криптиране (например LockDir, WinRAR архив с парола и т.н.)
  • Някои модификации на вируса криптират целия файл, а други – само част от него
  • Третирането на засегнатия файл също е различно. При някои варианти оригиналът се изтрива и може да бъде възстановен с различни инструменти. В други случаи, вирусът използва инструменти като Microsoft SysInternals SDelete или дори препокрит, което елиминира възможността за подобно просто възстановяване.

Използват се и различни методи за криптиране:

  • Blowfish
  • AES
  • RSA
  • TEA

… а ключовете за декриптиране могат да бъдат:

  • Заложени в кода на вируса
  • Въведени ръчно (чрез команда или диалогов прозорец, когато атакуващият има RDP достъп до заразената машина).
  • Генерирани на произволен принцип и изпратени на атакуващия

Няколко съвета

В някои случаи Filecoder използват слаб шифър или неподходяща имплементация или съхраняват паролата за декриптиране на места, от които тя може да бъде възстановена. Това позволява лесното декриптиране на засегнатите файлове, дори и без плащането на откуп за това. За съжаление, в преобладаващия брой случаи обаче, атакуващите са се научили да избягват подобни грешки и възстановяването на криптираните файлове без ключ за декриптиране е просто невъзможно. Ако се изисква отдалечен достъп на атакуващия до компютъра ви, вземете необходимите мерки за сигурност. Най-малкото, не отваряйте RDP към машината си за „публичния“ интернет, използвайте VPN с двойна оторизация. Не е никак лоша идея да защитите с парола антивирусния си софтуер и настройките му, за да предотвратите евентуално изключване от страна на атакуващия.

Защитете настройките на антивирусната си програма с парола

А най-общият (но може би и най-важен) съвет е внимавате и да ъпдейтвате навреме софтуера си за защита. И да правите редовни, наистина редовни резервни копия на информацията си.