Digital blackmail – Cryptolocker
Za razliku od predhodni malicioznih programa sa kojima ste se sreli Cryptolocker-i spadaju u kategoriju ransomware, jer jedina svrha ovog tipa programa je ucjenjivanje korisnika. Nakon updada u vaš računar i enkripcije vaših podataka, dobijate poruku sa upustvom da obavite uplatu za dobijanje ključa za otključavanje vaših podataka. Cryptolocker-i napadju Windows, Mac OS X, Android i Linux operativne sisteme.
Načini širenja ove digitalne kuge su preko:
1. Elektronske pošte (e-mail), sa ZIP arhivom ili ZIP arhivom koja je je izmejnjena da liči na PDF, Office dokumenata koristeći ranjivost macro skripti u istim, kao i linkovima unutar elektronske pošte.
2. Korištenjem malicioznih oglasa na web-stranicama koristeći određene sigurnosne ranjivosti ili posjetom na hakovane web-stranice.
3. Preko lokalne mreže, pristupajući svakom fajlu, dodatnom disku, mrežnom disku kojem imate dozvolu pristupa, uključujući USB stikove, diljene foldere na mreži, pa čak i cloud foldere ako su prikazani kao disk.
4. Korištenjem zastarjelih verzija web browser-a, Criptolocker-i iskorištavaju poznate ranjivosti istih i bez ikakvog upozorenja se instaliraju na vaš uređaj.
5. Preko progama koji se navodno moraju instalirati da bi mogli pogledati video na nekom website-u ili prilikom preuzimanja nekog fajla, kada prvo morate preuzeti određeni downloader i sl.
Nakon infekcije uređaja u pozadini počinje proces enkripcije vaših podataka uz nekoliko aktivnosti podešavanja vašeg sistema, isključujući određene opcije u sistemu koje bi vam mogle pomoći da vratite svoje podatke. Pogođeni su najpopularnije vrste podataka: Microsoft Office dokumenti (tabele, prezentacije, tekst dokumenti, baze podataka..), slike, PDF fajlovi, AutoCAD falovi..., odnosno sve ispod navedene ekstenzije:
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.
Kada se završi proces enkripcije vašeg uređaja, zavisno od vrste Cryptolocker-a kojim je vaš uređaj zaražen (TeslaCrypt, CryptoWall, TorrentLocker, PadCrypt, Locky, CTB-Locker, FAKBEN, PayCrypt, Petya, KeRanger i drugi), dobijate jednu od poruka kao na slici ispod:
Kada otkrijete da je vaš uređaj pogođen nekim Cryptolocker-om, prvo što treba da uradite je da vaš uređaj isključite sa mreže, bilo da ste povezani kablom ili bežično. Postoji mogućnost da još uvjek nisu enkriptovani svi fajlovi, da je Cryptolocker iz nekog raloga prije vremena prikazao poruku o enkripciji i da se proces i dalje odvija u pozadni - zato je potrebno ugasiti uređaj. Takođe, veoma je važno da ne pokrećete nikakve procedure brisanja Cryptolocker-a dok se u potupunosti ne informište o istom, jer možete onemogućiti vraćanje podataka.
Fajlovi su obično enkriptovani sa RSA-2048 ključem (AES CBC 256-bit enkripcionim algoritmom), čineći proces brute-forcing dekripcije beskonačno dugim i nerealnim, što znači da ne možete sami otključati fajlove. Takođe, imate vremensko ograničenje (do 4 dana) za kupovinu ključa za dekripciju, nakon njegovog isteka nećete biti u mogućnosti otključati dokumente.
Sada se treba odlučiti šta uraditi:
Ukoliko smatrate da nemate drugog izlaza, jednino što vam preostaje je da slijedite upustvo koje vam je prikazao Cryptolocker. To obično podrazumjeva kupovinu/uplatu bitcona (virtuelne valute) u novčanoj vrijednosti od 300-400 dolara/eura zavisno od vaše lokacije, preuzimanje Tor browser za pristup Darkweb-u (mračnoj strani Interneta) i uplati tražene sume. Navedena procedura osigurava kriminalcima veoma visok stepen anonimnosti. Uplaćivanjem manje sume od tražene, smanjuje vrijeme koje vam je preostalo da obavite traženu uplatu. Nakon potvrde uplate, počinje proces dekripcije koji traje i po nekoliko sati. Ipak, imajte na umu da postoje izvještaji koji govore da je proces dekripcije počeo i završio sa greškom, sa obavještenjem da se fajlovi ne mogu dekriptovati. Zaključak iz svega navedenog je da se upuštate u veoma velik rizik gubitaka i novca pored podataka.
2. U slučaj da se možete oporaviti od Cryptolocker-a, odnosno da ste koristili neke od metoda prevencije i napravljena šteta je minimalna, morate uraditi neke stavri prije nastavka rada na uređaju.
- Prvo morate ukloniti infekciju sa uređaja koji je zaražen, odnosno zaustaviti širenje infekcije ili ponovno vraćanje. Tu vam mogu pomoći mnogi anti-virus alati, a najbolje je koristiti njih nekoliko. Naravno, ovo je potrebno uraditi u izolovanom okruženju. Provjerite svakako i lokalnu mrežu i uređaje koji su bli povezani sa zaraženim uređajem.
- Uradite identifikaciju Cryptolocker-a i istražite da li postoje dostupni načini da se dokumenti dekriptuju.
- Možete sačuvati kriptovane dokumente, ukoliko se pojavi odgovarajući alat za dekripciju, što se povremeno dešava.
- Zbog raznih mogućnosti Cryptolocker-a, najbolje je uraditi potpuni format HDD-a i instalirati operativni sistem od početka.
- Nakon što je uređaj ponovo spreman za rad, nemojte ga vraćati u mrežu ili spajati na eksterne medije, ako niste provjerili da li je to okruženje sigurno.
Kada su u pitanju malicioznih programi ovog tipa, postoji nekoliko načina zaštite:
- Koristite anti-virus / anti-malware rješenje sa reputacijom, koje nudi proaktivnu zaštitu i koje se redovno ažurira.
- Vršite redovnu nadogradnju aplikativnog software-a koji koristite. Nije dovoljno da samo operativni sistem i anti-virus software budu ažurirani.
- Radite redovno ažuriranje operativnog sistema.
- Redovno pravite rezervne kopije na medijima koji nisu konstantno spojeni na uređaj ili lokalnu mrežu.
- Izbjegavajte sumljivu elektronsku poštu i web stranice.
- Onemogućite pokretanje macro sripti u Office-u.
- Ako je moguće, onemogućiti RDP (Remote Desktop Protocol).
- Ukolike nemate potrebe za Windows Scripting Host (WSH), navedenu opciju onemogućite, jer se koristi za pokretanje .js or .jse fajlova za infekciju uređaja.
- Podesite kontrolu pristupa kroz mrežu dieljenim fajlovima sa minimumom privilegija. Ako neke fajlove samo pregledate, nema potrebe da tu imate i privilegiju mjenjanja istih.
- Ne kreirajte korisničke naloge sa administratorskim privilegijama, te privilegije su rezervisane za administratore. Manja je šteta ako Cryptolocker koristi nalog bez privilegija.
- U visoko organizovanim sredinama može se koristiti i Software Restriction Policies (SRP). U kombinaciji sa iznad navedenim mjerama, ovo rješenje uz pravilnu konfiguraciju daje izuzetno visok stepen zaštite, ali je teško za održavati.
Istorijski gledano, prvi ransomware se pojavio, sada tako davne, 1989. godine pod imenom ADIS. Onda nastupa period zaborava, sve do 2007. godine kada se pojavljuje GPCode, na sreću sa dosta jednostavnom enkripcijom. Trenutno najpoznatiji ransomware, po kojem često nazivamo i sve ostale, Cryptolocker stupa na scenu 2013. godine sa „zaradom“ od 27 miliona američkih dolara. Nakon akcije Interpola dolazi do kratog perioda pauze, a onda se pojavljuje CryptoWall koji je prema procjenama FBI, „zaradio“ 18 miliona američkih dolara.
Sada imamo pravu eksploziju ransomware-a, bilo da se usavršavaju već viđene maliciozne programe ili se prave novi sa otežanom detekcijom i širim spektrom dijelovanja. Uz ovakav itenzitet, vrlo je vjerovatno da će se pojaviti napredniji i savršeniji maliciozni programi.
