23.07.2016, 20:12
Jornt van der Wiel to członek zespołu GReAT i czołowy ekspert zajmujący się programami żądającymi okupu i szyfrowaniem. Mieszka w Holandii i pracuje w Kaspersky Lab od ponad 2 lat.
![[Obrazek: ask-expert-featured.jpg]](https://3u7uz325mk63ba4h41783fnltr-wpengine.netdna-ssl.com/files/2016/07/ask-expert-featured.jpg)
Nasi czytelnicy mogli zapytać Jornta o sprawy związane z ransomware’em i szyfrowaniem. Pytań było tak dużo, że nie sposób ich wszystkich opublikować w jednym poście, więc podzieliliśmy je na dwie grupy. Dzisiaj publikujemy odpowiedzi Jornta na pytania związane z programami wyłudzającymi zapłatę, a w kolejnym poście te związane z szyfrowaniem.
Czy Twoim zdaniem z biegiem czasu ransomware będzie stawało się znacznie groźniejsze w porównaniu do innych szkodliwych programów, np. klasycznych wirusów i koni trojańskich?
Tak, z pewnością. Coraz częściej wykrywamy nowe rodziny szkodliwych programów, a także próby zainfekowania użytkowników. Zagrożenie to przybiera na sile każdego dnia. Dzieje się tak dlatego, bo ransomware jest stosunkowo łatwe do spieniężenia. Przestępca infekuje daną osobę, ofiara płaci, otrzymuje klucze i może odszyfrować pliki. Nie jest wymagana żadna dodatkowa komunikacja czy interakcja; odbywa się to zupełnie inaczej niż w przypadku szkodliwych programów działających np. w obszarze bankowości, które wymagają kontaktu przestępców z ofiarami (np. poprzez czat).
Jak można uniknąć zainfekowania takim programem?
Ransomware atakuje każdego. Czasami celem stają się konkretne firmy, ale w większości obserwujemy masowy spam, wysyłany bez względu na odbiorcę. Z drugiej strony można powiedzieć, że duże firmy niechętnie płaca okup, ponieważ zazwyczaj tworzą kopie plików. Mniejsze firmy są z kolei bardziej skłonne do zapłaty, ponieważ proces przywracania ich plików może czasem kosztować znacznie więcej.
Kiedy można odszyfrować pliki, które zostały zaszyfrowane jakimś programem z rodziny ransomware?
Jest to możliwe w następujących przypadkach:
W instrukcjach pomagających zwalczyć CryptXXX informujesz, że oprócz pliku zaszyfrowanego wymagane jest także posiadanie pliku niezaszyfrowanego. W takim razie jaki jwst cel używania takiego oprogramowania? Jeśli mam niezaszyfrowany plik, program jest mi niepotrzebny…
To bardzo dobre pytanie, pokazuje, że musimy bardziej skupiać się na wyjaśnieniach. Złośliwe programy szyfrują wszystkie Twoje pliki tym samym kluczem. Powiedzmy, że masz 1 000 plików, które zostały zaszyfrowane, ale spośród nich masz tylko jeden oryginalny, który gdzieś się uchował — np. plik ten jest zdjęciem, który został wysłany komuś w e-mailu. Jeśli naszemu narzędziu do deszyfrowania wskażesz ten jeden plik, może on odgadnąć klucz, a wtedy pozostałe 999 Twoich plików może zostać odszyfrowana. Właśnie do tego celu potrzebny jest chociaż jeden oryginalny plik.
Czy szkodliwe programy szyfrujące pliki to jedyny rodzaj ransomware?
Niestety nie, istnieją także programy, które blokują komputer. Jednak tego rodzaju szkodniki są dosyć łatwe w ominięciu lub usunięciu i z tego powodu coraz rzadziej są one używane. Jeśli chcesz dowiedzieć się więcej na temat programów blokujących oraz sposobach ich zwalczania.
Z tego, co pisze prasa na całym świecie, walka z ransomware jest jak zabawa w kotka i myszkę. Znajdujesz rozwiązanie, a przeciwnicy starają się go ominąć. Czy moje wrażenie jest słuszne?
Nie do końca. Nasz komponent Kontrola systemu, który analizuje zachowanie działających procesów, potrafi wykryć większość nowych ataków ransomware — nawet tych, w których używane są nieznane jeszcze programy. Przypadki, w których czegoś nie wykrywamy, należą do rzadkości; tworzymy wówczas nową sygnaturę takiego zachowania, która wykrywa także nowy rodzaj ataku. Jednak nie zdarza się to zbyt często.
Przestępcy żądają okupu w bitcoinach, które trudno jest wyśledzić. Czy możliwe jest wyśledzenie i złapanie takich osób?
Śledzenie transakcji przeprowadzanych w walucie Bitcoin nie jest takie trudne — są one zapisywane w łańcuchu bloków. Taka jest natura Bitcoina — możesz śledzić dowolną transakcję. Jedyne, czego nie wiesz, to kto znajduje się po drugiej stronie transakcji. W związku z tym organy ścigania mogą śledzić transakcje aż do portfela, ale wciąż nie wiedzą, do kogo ten portfel należy.
W celu udaremnienia procesu śledzenia wymyślono miksery bitcoinów. Można powiedzieć, że mikser to maszyna, do której wkłada się bitcoiny, które są następnie zamieniane między różnymi właścicielami wiele razy, przez co ich śledzenie staje się jeszcze trudniejsze. Załóżmy, że jestem ofiarą i muszę wpłacić bitcoiny do portfela. Wpłacam je, a one są przesyłane do miksera, gdzie są zamieniane z bitcoinami innych ludzi. Ostatecznie nie wiadomo, który bitcoin trzeba śledzić. Jak można się domyśleć, jest to dosyć często wykorzystywane.
Na ten temat przeprowadzono już wiele badań (można je znaleźć w Google). Mówiąc w skrócie, czasami możliwe jest śledzenie transakcji do poziomu portfela, ale nie jest to łatwe — a nawet gdy zostanie on znaleziony, giełda bitcoinów musi współpracować z organami ścigania, aby ujawnić dane właściciela portfela.
Ile lat zajęło odkrywanie zagrożenia CoinVault i znalezienie jego autorów?
Ogólnie historia z CoinVault rozpoczęła się wtedy, gdy Bart z firmy Panda Security opublikował tweet, w którym poinformował, że wykrył dodatkowe próbki CoinVaulta. Okazało się, że dwie z nich nie były CoinVaultem, ale były z nim dosyć wyraźnie powiązane. Zdecydowaliśmy się napisać post na ten temat i utworzyliśmy oś czasu ukazującą jego ewolucję. Gdy post był gotowy w 90%, wysłaliśmy go do holenderskiej policji National High Tech Crime Unit (NHTCU).
Po ukończeniu tworzenia postu wykryliśmy ślady prowadzące do dwóch możliwych podejrzanych i oczywiście podzieliliśmy się tą informacją z NHTCU. Od chwili opublikowania tweeta przez Barta a tym odkryciem minął jakiś miesiąc, choć oczywiście w tym czasie zajmowaliśmy się nie tylko tworzeniem tego postu. W ciągu pół roku od opublikowania tekstu NHTCU uporządkowało całą sprawę, a przestępcy zostali aresztowani we wrześniu 2015 r.
Ile cyberprzestępcy zarabiają na ransomware?
Świetne pytanie, lecz trudno na nie odpowiedzieć. Ile tacy ludzie zarobili, wiemy na pewno wtedy, gdy możemy wyśledzić na przykład wszystkie transakcje bitcoinami do pewnego portfela. Lub gdy policja przechwyci serwer kontroli, na którym znajduje się informacja o płatności. Ale by łatwiej to zobrazować, powiedzmy, że przestępca może zainfekować 250 000 osób (tak to się odbywa w przypadku dużych kampanii). Załóżmy, że za odszyfrowanie plików żądają 200 dolarów (przeciętnie kwota ta wynosi 400 dolarów). Przyjmijmy, że zapłaci tylko 1% zainfekowanych ofiar — przychód sięga ok. 500 000 dolarów.
Czy możliwa jest sytuacja, gdzie zainfekowany komputer zaraża przez sieć lokalną inne komputery, które posiadają taki sam system operacyjny? Czy jedno zagrożenie może zaatakować różne systemy?
Jeśli chodzi o pierwsze pytanie, to jeśli ransomware posiada funkcje robaka, może rozprzestrzeniać się przez sieć. Takim przykładem mogą być Zcryptor i SamSam, które stanowią dwie rodziny ransomware z takimi zdolnościami.
Jeśli chodzi o drugie pytanie: możliwe jest, aby jeden program żądający okupu infekował wiele systemów operacyjnych, jeśli atakuje serwery sieciowe. Na przykład gdy ransomware zaatakuje serwer, na którym działa dziurawy system zarządzania treścią napisany w języku PHP. Ransomware może wówczas zainfekować komputer z systemem Windows, który posiada serwer sieciowy z zainstalowanym PHP. Następnie może skanować inne części internetu w poszukiwaniu innych komputerów, które można zarazić. Na kolejnym sprzęcie może być zainstalowany Linux z serwerem sieciowym PHP. Podsumowując: tak, istnieje ransomware przeznaczone dla wielu platform.
Wkrótce opublikujemy odpowiedzi Jornta na pytania związane z szyfrowaniem. Nie przegapcie tego postu!
Źródło: Kaspersky Lab
Nasi czytelnicy mogli zapytać Jornta o sprawy związane z ransomware’em i szyfrowaniem. Pytań było tak dużo, że nie sposób ich wszystkich opublikować w jednym poście, więc podzieliliśmy je na dwie grupy. Dzisiaj publikujemy odpowiedzi Jornta na pytania związane z programami wyłudzającymi zapłatę, a w kolejnym poście te związane z szyfrowaniem.
Czy Twoim zdaniem z biegiem czasu ransomware będzie stawało się znacznie groźniejsze w porównaniu do innych szkodliwych programów, np. klasycznych wirusów i koni trojańskich?
Tak, z pewnością. Coraz częściej wykrywamy nowe rodziny szkodliwych programów, a także próby zainfekowania użytkowników. Zagrożenie to przybiera na sile każdego dnia. Dzieje się tak dlatego, bo ransomware jest stosunkowo łatwe do spieniężenia. Przestępca infekuje daną osobę, ofiara płaci, otrzymuje klucze i może odszyfrować pliki. Nie jest wymagana żadna dodatkowa komunikacja czy interakcja; odbywa się to zupełnie inaczej niż w przypadku szkodliwych programów działających np. w obszarze bankowości, które wymagają kontaktu przestępców z ofiarami (np. poprzez czat).
Jak można uniknąć zainfekowania takim programem?
- Instaluj najnowsze aktualizacje tuż po ich pojawieniu się.
- Nie klikaj odnośników i załączników w podejrzanych e-mailach.
- Włącz wyświetlanie rozszerzeń w systemie Windows (aby można było łatwo rozróżnić, czy dany plik to faktura.pdf.exe czy faktura.pdf).
- Aktualizuj swojego antywirusa i włącz w nim funkcję heurystyki.
- Przygotuj się na gorsze czasy i regularnie rób kopię zapasową. Przechowuj ją offline lub umieść swoje pliki w chmurze z nielimitowaną liczbą wersji (nawet jeśli Twoje pliki zostaną zaszyfrowane na dysku lokalnym, a następnie zostaną zsynchronizowane z chmurą, możliwe będzie pobranie ich ostatniej niezaszyfrowanej wersji).
Ransomware atakuje każdego. Czasami celem stają się konkretne firmy, ale w większości obserwujemy masowy spam, wysyłany bez względu na odbiorcę. Z drugiej strony można powiedzieć, że duże firmy niechętnie płaca okup, ponieważ zazwyczaj tworzą kopie plików. Mniejsze firmy są z kolei bardziej skłonne do zapłaty, ponieważ proces przywracania ich plików może czasem kosztować znacznie więcej.
Kiedy można odszyfrować pliki, które zostały zaszyfrowane jakimś programem z rodziny ransomware?
Jest to możliwe w następujących przypadkach:
- Autorzy szkodliwego programu popełnią błąd w implementacji, umożliwiając złamanie szyfrowania. Tak było w przypadku
[Aby zobaczyć linki, zarejestruj się tutaj]
i z[Aby zobaczyć linki, zarejestruj się tutaj]
. Niestety nie mogę tu podać całej listy błędów, bo to by ułatwiło im życie. Ogólnie nie tak łatwo jest zastosować porządne szyfrowanie. Jeśli chcesz dowiedzieć się więcej na temat szyfrowania, a także popełnianych błędów, poczytaj o wyzwaniach kryptograficznych Matasano.
- Czasami autorzy szkodliwych programów żałują swoich działań, przepraszają i publikują klucze lub klucz główny, jak to było w przypadku TeslaCrypt.
- Organy ścigania przejmują serwer z kluczami i udostępniają je. W zeszłym roku użyliśmy kluczy odzyskanych przez holenderską policję i utworzyliśmy narzędzie deszyfrujące dla ofiar zagrożenia CoinVault.
W instrukcjach pomagających zwalczyć CryptXXX informujesz, że oprócz pliku zaszyfrowanego wymagane jest także posiadanie pliku niezaszyfrowanego. W takim razie jaki jwst cel używania takiego oprogramowania? Jeśli mam niezaszyfrowany plik, program jest mi niepotrzebny…
To bardzo dobre pytanie, pokazuje, że musimy bardziej skupiać się na wyjaśnieniach. Złośliwe programy szyfrują wszystkie Twoje pliki tym samym kluczem. Powiedzmy, że masz 1 000 plików, które zostały zaszyfrowane, ale spośród nich masz tylko jeden oryginalny, który gdzieś się uchował — np. plik ten jest zdjęciem, który został wysłany komuś w e-mailu. Jeśli naszemu narzędziu do deszyfrowania wskażesz ten jeden plik, może on odgadnąć klucz, a wtedy pozostałe 999 Twoich plików może zostać odszyfrowana. Właśnie do tego celu potrzebny jest chociaż jeden oryginalny plik.
Czy szkodliwe programy szyfrujące pliki to jedyny rodzaj ransomware?
Niestety nie, istnieją także programy, które blokują komputer. Jednak tego rodzaju szkodniki są dosyć łatwe w ominięciu lub usunięciu i z tego powodu coraz rzadziej są one używane. Jeśli chcesz dowiedzieć się więcej na temat programów blokujących oraz sposobach ich zwalczania.
Z tego, co pisze prasa na całym świecie, walka z ransomware jest jak zabawa w kotka i myszkę. Znajdujesz rozwiązanie, a przeciwnicy starają się go ominąć. Czy moje wrażenie jest słuszne?
Nie do końca. Nasz komponent Kontrola systemu, który analizuje zachowanie działających procesów, potrafi wykryć większość nowych ataków ransomware — nawet tych, w których używane są nieznane jeszcze programy. Przypadki, w których czegoś nie wykrywamy, należą do rzadkości; tworzymy wówczas nową sygnaturę takiego zachowania, która wykrywa także nowy rodzaj ataku. Jednak nie zdarza się to zbyt często.
Przestępcy żądają okupu w bitcoinach, które trudno jest wyśledzić. Czy możliwe jest wyśledzenie i złapanie takich osób?
Śledzenie transakcji przeprowadzanych w walucie Bitcoin nie jest takie trudne — są one zapisywane w łańcuchu bloków. Taka jest natura Bitcoina — możesz śledzić dowolną transakcję. Jedyne, czego nie wiesz, to kto znajduje się po drugiej stronie transakcji. W związku z tym organy ścigania mogą śledzić transakcje aż do portfela, ale wciąż nie wiedzą, do kogo ten portfel należy.
W celu udaremnienia procesu śledzenia wymyślono miksery bitcoinów. Można powiedzieć, że mikser to maszyna, do której wkłada się bitcoiny, które są następnie zamieniane między różnymi właścicielami wiele razy, przez co ich śledzenie staje się jeszcze trudniejsze. Załóżmy, że jestem ofiarą i muszę wpłacić bitcoiny do portfela. Wpłacam je, a one są przesyłane do miksera, gdzie są zamieniane z bitcoinami innych ludzi. Ostatecznie nie wiadomo, który bitcoin trzeba śledzić. Jak można się domyśleć, jest to dosyć często wykorzystywane.
Na ten temat przeprowadzono już wiele badań (można je znaleźć w Google). Mówiąc w skrócie, czasami możliwe jest śledzenie transakcji do poziomu portfela, ale nie jest to łatwe — a nawet gdy zostanie on znaleziony, giełda bitcoinów musi współpracować z organami ścigania, aby ujawnić dane właściciela portfela.
Ile lat zajęło odkrywanie zagrożenia CoinVault i znalezienie jego autorów?
Ogólnie historia z CoinVault rozpoczęła się wtedy, gdy Bart z firmy Panda Security opublikował tweet, w którym poinformował, że wykrył dodatkowe próbki CoinVaulta. Okazało się, że dwie z nich nie były CoinVaultem, ale były z nim dosyć wyraźnie powiązane. Zdecydowaliśmy się napisać post na ten temat i utworzyliśmy oś czasu ukazującą jego ewolucję. Gdy post był gotowy w 90%, wysłaliśmy go do holenderskiej policji National High Tech Crime Unit (NHTCU).
Po ukończeniu tworzenia postu wykryliśmy ślady prowadzące do dwóch możliwych podejrzanych i oczywiście podzieliliśmy się tą informacją z NHTCU. Od chwili opublikowania tweeta przez Barta a tym odkryciem minął jakiś miesiąc, choć oczywiście w tym czasie zajmowaliśmy się nie tylko tworzeniem tego postu. W ciągu pół roku od opublikowania tekstu NHTCU uporządkowało całą sprawę, a przestępcy zostali aresztowani we wrześniu 2015 r.
Ile cyberprzestępcy zarabiają na ransomware?
Świetne pytanie, lecz trudno na nie odpowiedzieć. Ile tacy ludzie zarobili, wiemy na pewno wtedy, gdy możemy wyśledzić na przykład wszystkie transakcje bitcoinami do pewnego portfela. Lub gdy policja przechwyci serwer kontroli, na którym znajduje się informacja o płatności. Ale by łatwiej to zobrazować, powiedzmy, że przestępca może zainfekować 250 000 osób (tak to się odbywa w przypadku dużych kampanii). Załóżmy, że za odszyfrowanie plików żądają 200 dolarów (przeciętnie kwota ta wynosi 400 dolarów). Przyjmijmy, że zapłaci tylko 1% zainfekowanych ofiar — przychód sięga ok. 500 000 dolarów.
Czy możliwa jest sytuacja, gdzie zainfekowany komputer zaraża przez sieć lokalną inne komputery, które posiadają taki sam system operacyjny? Czy jedno zagrożenie może zaatakować różne systemy?
Jeśli chodzi o pierwsze pytanie, to jeśli ransomware posiada funkcje robaka, może rozprzestrzeniać się przez sieć. Takim przykładem mogą być Zcryptor i SamSam, które stanowią dwie rodziny ransomware z takimi zdolnościami.
Jeśli chodzi o drugie pytanie: możliwe jest, aby jeden program żądający okupu infekował wiele systemów operacyjnych, jeśli atakuje serwery sieciowe. Na przykład gdy ransomware zaatakuje serwer, na którym działa dziurawy system zarządzania treścią napisany w języku PHP. Ransomware może wówczas zainfekować komputer z systemem Windows, który posiada serwer sieciowy z zainstalowanym PHP. Następnie może skanować inne części internetu w poszukiwaniu innych komputerów, które można zarazić. Na kolejnym sprzęcie może być zainstalowany Linux z serwerem sieciowym PHP. Podsumowując: tak, istnieje ransomware przeznaczone dla wielu platform.
Wkrótce opublikujemy odpowiedzi Jornta na pytania związane z szyfrowaniem. Nie przegapcie tego postu!
Źródło: Kaspersky Lab