Ransomware / kriptoviralne infekcije (CryptoLocker, CryptoWall...)

1

Ransomware / kriptoviralne infekcije (CryptoLocker, CryptoWall...)

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12279
  • Gde živiš: Höganäs, SE

Ransomware je opšti naziv za vrstu zlonamernih programa koji uvode restrikcije u funkcionalnost računara.

Postoje dve osnovne grupe ovoga malwarea: onaj koji otežava ili onemogućuje pristup računaru, te onaj koji vrši enkripciju korisnikovih podataka.
Nakon uspešne infekcije, malware pokušava da iznudi novac od korisnika.

Premda su prvi poznati primerci ransomwarea stari već 25 godina, ova vrsta malwarea je tek u novije vreme dobila na značaju.

Dok se u slučaju infekcija koje samo "zaključavaju" računar (kao npr. WinLock) problem može rešiti, ako ne drugačije, reinstalacijom Windowsa, u slučaju kriptoviralnih infekcija eventualna reinstalacija OS-a rešava samo problem infekcije, ali ne i posledica.

Prve naznake problema koji danas jasno vidimo su došle 2005 / 2006. godine; Gpcode, Archiveus, Krotten, Cryzip i drugi crvi su napravili krupan iskorak u odnosu na preteče.
Osnovna razlika i ono što otežava saniranje posledica infekcije jeste način enkripcije.
Za razliku od ranijih kriptoviralnih infekcija, pomenuti su umesto simetrične koristili asimetričnu enkripciju.
Prilikom korišćenja asimetrične enkripcije, koriste se dva ključa: javni i privatni, pri čemu je privatni poznat samo jednoj strani (autorima malwarea).

Uz promenu metoda enkripcije, situaciju je otežavalo i to što su, kako je vreme prolazilo, za enkripciju malwarea korišćeni sve duži ključevi što je teoretsku mogućnost brute force dekripcije činilo sve manje verovatnom i vremenski isplativom.
Tako je prvi GPCode koristio 660-bit RSA javni ključ, dok je dve godine starija varijanta koristila 1024-bit RSA ključ.

Tokom narednih godina je bilo dosta drugih primeraka malware koji se slično ponašao.
Na sreću, nisu svi bili toliko sofisticirani te je za pojedine bilo moguće pronaći način za dekripciju datoteka (primer je bobby-jev alat Anti-FileFix).

Sledeći ključni trenutak u ekspanziji kriptoviralnih infekcija je usledio tokom 2013. godine; u septembru je primećen malware koji se širio putem inficiranih email attachmenta i postojećeg botneta.

Ovaj trojan, nazvan CryptoLocker, je nakon uspešne infekcije računara stupao u kontakt se nekim od svojih upravljačkih (command and control) servera sa ciljem dobijanja ključa za enkripciju.
Nakon uspešne konekcije sa serverom i generisanja 2048-bit RSA para ključeva od strane istoga, malwareu je isporučivan javni ključ koji je kasnije korišćen za enkripciju.
Po završenoj enkripciji korisnikovih datoteka, od korisnika je traženo da plati "otkupninu" kako bi dobio ključ za dekripciju.



Sanacija posledica infekcije

Obzirom na dužinu ključa korišćenog za enkripciju, za "originalni" CryptoLocker dugo nije postojalo rešenje koje je omogućavalo dekripciju datoteka.
Po nekim procenama, autor malwarea je uspešno iznudio preko 3 miliona dolara od korisnika s tim da mnogi koji su platili nikada nisu dobili alat za dekripciju ili ista nije bila moguća.

Krajem maja 2014. godine, združenim delovanjem nekoliko bezbednosnih agencija, softverskih kompanija i univerziteta, uspešno je prekinuta komunikacija između malwarea Gameover ZeuS i njegovih upravljačkih servera koji su, između ostaloga, korišćeni za upravljanje CryptoLockerom čime je isti praktično izolovan.
Zahvaljujući podacima sa tih servera došlo se do mogućnosti za dekripciju bar jednog dela enkriptovanih datoteka na tih 500 hiljada računara koji su bili inficirani.

Korisnici koji imaju datoteke inficirane originalnom verzijom CryptoLockera mogu iste pokušati dekriptovati uz pomoć sajta:

https://www.decryptcryptolocker.com/

Ukoliko se u bazi nalazi odgovarajući privatni ključ, korisniku će isti biti prosleđen zajedno sa alatom za dekripciju.


Nažalost, u međuvremenu su se pojavile druge varijante malwarea sa sličnim ponašanjem.

Za datoteke kriptovane varijantom zvanom ZeroLocker moguće je pokušati sa korišćenjem alata sa linka:

http://vinsula.com/security-tools/unlock-zerolocker/

Ovo nije preterano učestala varijanta malwarea, a uspešnost pomenutoga alata je diskutabilna (po mojoj proceni, a nisam video ili čuo suprotno).


Za korisnike Windows Viste / 7 / 8 postoji mogućnost da se kopije pojedinih datoteka nalaze unutar Shadow copies (u pitanju je Windowsov servis koji omogućuje "vraćanje" na staru verziju neke datoteke).
Praksa pokazuje da su neki korisnici upravo na taj način uspeli da povrate bar deo datoteka.

Alat koji može pomoći za rad sa shadow copies: http://www.shadowexplorer.com/


Trenutno najaktivniji malware ovoga tipa je poznat kao CryptoWall.
Kao i u slučaju ostalih kriptoviralnih infekcija sa asinhronom enkripcijom korišćenjem dugih ključeva generisanih na udaljenom serveru, ni u slučaju CryptoWall-a nema pravog rešenja.




Prevencija

Obzirom na kompleksnost crypto-ransomware infekcija, jasno je da je prevencija od ključnog značaja.

Korisnici treba da:

- vrše redovan backup bitnih datoteka (privatni dokumenti, fotografije i sl.);
- koriste zaštitni softver;
- ažuriraju operativni sistem i sav ostali softver;
- ne otvaraju attachmente u email porukama od nepoznatih pošiljalaca;
- ne pokreću programe pribavljene iz nepouzdanih izvora;
- budu pažljivi prilikom korišćenja prenosivih uređaja.

Ukoliko pak dođe do infekcije računara, bitno je isti skinuti sa bilo kakve mreže (lokalne ili interneta), te poduzeti neophodne mere za dezinfekciju bilo kakvih prenosivih medija kako bi se sprečilo dalje širenje infekcije.
Kada je sprečeno širenje, treba očistiti aktivnu infekciju iz Windowsa te pokušati nešto od ranije pomenutoga u vezi dekripcije datoteka.
Ukoliko u datom momentu ne postoji rešenje, a to je vrlo verovatan scenario, jedino što preostaje jeste da se kriptovani dokumenti sačuvaju u nadi da će se u budućnosti pronaći način za dekripciju.



Credits: SlobaBGD & AMF tim.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6046

http://www.mycity.rs/MyCity-Laboratorija/Informaci.....ima-P.html



offline
  • Pridružio: 12 Feb 2007
  • Poruke: 1180

Imate li podatke kako su do sada najčešće bili zaraženi računari, preko email poruka ili na neki drugi način?

offline
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6046

Wisdomseeker ::Imate li podatke kako su do sada najčešće bili zaraženi računari, preko email poruka ili na neki drugi način?

Autori malware koriste svaki moguc nacin da obmanu korisnika. U vecini slucajeva je korisnik sam kriv.
...skida c_r_a_c_k sa interneta, instalira sve i svasta samo da bi odgledali utakmicu ili film preko neta, iskljucuju zastitu, klikcu na sve i svasta ...

Primer, dosta aktivnog malware koji su droper-based ako su aktivni imaju zadatak da preuzmi drugi malware i instaliraju ga mimo aktivne zastite.
Powerliks je jedan takav malware, ako je aktivan na sistemu duze od nedelju dana, on ima zadatak da izm. ostalog preuzima i ostali aktivni malware. Pronadjeni su i sajtovi koji svesno ili nesvesno sire malware i tako ...

offline
  • kinza 
  • Novi MyCity građanin
  • Pridružio: 06 Mar 2015
  • Poruke: 1

Samo ne razumem sto ovi dole antivirusi nista ne detektuju a ovi gore da.U cemu je stvar?

offline
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6046

Pozdrav kinza, dobrodosao.

Ne znam koji su to "ovi dole" a koji "ovi gore" AntiVirus (AV) programi. Svaki AV je kompleksna masinerija, nastojeci da sprece infekciju da se pokrene.

Zasto neki AV detektuje a neki ne? Mnogo faktora tu uticu. AV ne moze da cilja/blokira nesto sto mu nije poznato.

Svaki AV se oslanja na svoju bazu definicija i na svojih par motora koji citaju fajl i na osnovu njihovog ponasanja ocenjuje da li je taj file maliciozne prirode.
Ako AV nema odredjeni malware file u svojim definicijama, on ga ne dira. A na osnovu sumnjivog ponasanja nekad i ne sme da preuzima drasticke korake. I da AV hoce da pomogne, obicno je u ovom stepenu vec nemocan da bilo sta uradi.

Ukratko, to je igra macke i misa. Nov mis se pojavi u kuci pa macke uce kako da ga nadmudre misa.

Konkretno ransomware varijante se konstantno unapredjuju, izlaze modifikovane ili nove verzije od strane autora i developera. U dosta slucajeva njemu droper (npr.powerliks) obezbedi bezbedan prolaz do zrtve. A kada AV nauci da cilja jednu verziju, pojavi se druga, nova verzija, jos jaca...
Kao sto rekoh, ima tu mnogo faktora.

offline
  • Pridružio: 25 Mar 2015
  • Poruke: 548

Kakvi su ovi sajtovi popup

http://yqwzz.watchmovies.639.xyz/?sov=345878308&hid=fjvvrhjljprfl&noalert=1&redid=658&gsid=47&id=XNSX.-r658-t47

http://ad.directrev.com/RealMedia/ads/adstream_sx.ads/S0007831/142268558964133260@x10?uln=en-us&je=true&ce=true&sr=1024x768&kw=&ref=

http://videomega.tv/

http://activities.aliexpress.com/af/women_clothing_channel.php?alpsm=true&sms=sughot&aff_platform=aaf&sk=rYZZJ3q:&cpt=1430784079731&aff_trace_key=23298073772854825


Da li mogu da instaliraju neki virus? ili su namenjeni za neku vrstu reklamiranja i koliko su opasni, jer se javljaju na nekim cliktanjima po sajtovima u opste. pozdrav

offline
  • helen1  Male
  • Anti Malware Fighter
    Rank 2
  • Master učitelj
  • Pridružio: 27 Avg 2005
  • Poruke: 8186
  • Gde živiš: Novi Beograd

dejnik978 ::Kakvi su ovi sajtovi popup

http://yqwzz.watchmovies.639.xyz/?sov=345878308&hid=fjvvrhjljprfl&noalert=1&redid=658&gsid=47&id=XNSX.-r658-t47

http://ad.directrev.com/RealMedia/ads/adstream_sx.ads/S0007831/142268558964133260@x10?uln=en-us&je=true&ce=true&sr=1024x768&kw=&ref=

http://videomega.tv/

http://activities.aliexpress.com/af/women_clothing_channel.php?alpsm=true&sms=sughot&aff_platform=aaf&sk=rYZZJ3q:&cpt=1430784079731&aff_trace_key=23298073772854825


Da li mogu da instaliraju neki virus? ili su namenjeni za neku vrstu reklamiranja i koliko su opasni, jer se javljaju na nekim cliktanjima po sajtovima u opste. pozdrav


Sturo si objasnio problem, ali pretpostavljam da si ti zarazen nekim malwerom. Ukoliko zelis, mozes proveriti u Ambulanti.

http://www.mycity.rs/Ambulanta/Kako-otvoriti-temu-u-Ambulanti.html

offline
  • Pridružio: 25 Mar 2015
  • Poruke: 548

Javlja se da ne reklamiram sajt za gledanje filmova, samo tad, ovako ne, pa cisto da pitam, hvala pozdrav

offline
  • helen1  Male
  • Anti Malware Fighter
    Rank 2
  • Master učitelj
  • Pridružio: 27 Avg 2005
  • Poruke: 8186
  • Gde živiš: Novi Beograd

I ja sam ti rekao, ako hoces da proveris da li si zarazen, otvori temu u Ambulanti. Inace, sve ovo nema veze sa ovom temom gde je pitanje postavljeno. Very Happy

Ko je trenutno na forumu
 

Ukupno su 519 korisnika na forumu :: 33 registrovanih, 4 sakrivenih i 482 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 19:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Petar, awathorn, babaroga, Bane san, Behemoth, boracbl1389, cetvrti.musketir, cojapop, darkangel, Davor Kondic, Doca, Dorcolac2, filiplukac1337, goxin, Igor Stanojevic 2, ivan979, Jose2, knezevic_i, kulus, Marko Marković, Mercury2, Mikulino, miroslavtm12, Panonsky, Profica2, Rote Baron, ruma, scimitar19, Sr.Stat., Toni, VJ, voja64, zoxknez