O părere specializată din partea autorului instrumentului ESET de decriptare a TeslaCrypt


Știrile noastre privind închiderea afacerii malware pusă șla cale de operatoriiTeslaCrypt au atras foarte multă atenție și au ridicat mai multe întrebări suplimentare.

Așa că am contactat persoana cea mai bine avizată pentru a-i adresa câteva întrebări – Igor Kabina, primul cercetător malware ESET care a observat că lucrurile au început să se schimbe în ceea ce privește ransomware-ul TeslaCrypt, creatorul ulterior al instrumentului ESET de decriptare TeslaCrypt.

TeslaCrypt a avut un final fericit – utilizatorii de internet scapă de acest tip de ransomware, iar victimele sale pot profita de un decriptor gratuit. Ați jucat un rol crucial în rezolvarea ultimului aspect, așa este?

Am cerut operatorilor TeslaCrypt să elibereze cheia master universală de decriptare pentru cea mai recentă versiune, nedecriptibilă a TeslaCrypt. Și au făcut-o publică. Având cheia, am început imediat crearea unui instrument de decriptare, cu scopul de a-l face mai disponibil și mai accesibil victimelor fenomenului ransomware ce încearcă recuperarea fișierelor.

Spus așa, pare ușor. Dar nu e un lucru comun să îi intrebi pe autorii de ransomware dacă preferă cheia de decriptare...

Da, cheile de decriptare sunt “cheia” – literalmente(!) – pentru întreaga activitate ransomware. Este exact ceea ce victimele trebuie sunt santajate să plătească, în cazul în care sunt afectate de un atacransomware și nu dețin o copie de rezervă funcțională a datelor lor. Dacă cădeți victimă a acestui tip de infracțiune informatică și nu sunteți pregătit, veți fi întâmpina probleme serioase.

Dar citim destul de des despre instrumente de decriptare care permit victimelor recuperarea fișierelor.

Da, uneori infractorii folosesc o criptare slabă sau fac o greșeală în etapa de implementare care ne permite să venim cu un decriptor. Sunt vulnerabilități în atacul ransomware – iar astfel de puncte slabe au tendința de a fi soluționate în versiunea următoare a ransomware-ului.

Asta e ceea ce face acest caz diferit – datorită cheii master, am fost în măsură să creăm un instrument care poate decripta multe din cele mai recente versiuni TeslaCrypt, în același timp.

Bine, să ne întoarcem la modul în care ați obținut cheia de decriptare universală. Am citit că pur și simplu ați solicitat-o din partea operatorilor malware-ul. A fost într-adevăr atât de simplu?

Am studiat intens fenomenul ransomware TeslaCrypt – pentru că face parte din job-ul nostru să ținem pasul cu evoluția malware-ului, pentru susținerea securității clienților ESET. Am asistat la evoluția versiunilor anterioare ale acestui ransomware, care, datorită bug-urilor din interiorul lor, a permis să fie creat un instrument de decriptare. Din păcate, cele mai recente versiuni ale TeslaCrypt au venit cu un algoritm îmbunătățit de protecție, fiind astfel foarte puternice.

Știind cum arată un ciclu de viață tipic al malware-ului, am așteptat dezvoltarea în continuare a TeslaCrypt. Dar, în urmă cu câteva săptămâni, am observat că dezvoltarea a început să încetinească. Mi se părea că operatorii erau pe cale să renunțe – întâmplător, unele dintre grupurile care au distribuit TeslaCrypt a început să migreze către un alt brand de ransomware, CryptProjectXXX.

În data de 27 aprilie, o versiune care ulterior s-a dovedit a fi chiar ultima generație de cod TeslaCrypt, a fost lansată. La scurt timp după aceea, am observat că oamenii din spatele atacului au oprit răspândirea acestei versiuni și că toate link-urile pe care le foloseau erau inactive. Așa că mi-am încercat norocul meu, am pretins că sunt una dintre victimele lor și i-am întrebat dacă ar fi atât de drăguți încât să publice toate cele patru chei private, pe care le-au folosind de când au pornit dezvoltarea TeslaCrypt. Mi-au răspuns după o zi, care este de obicei timpul lor de răspuns, dar mi-au oferit doar cheia pentru victima ce pretindeam că sunt. I-am întrebat din nou dacă ar putea, ca un gest de bunăvoință, să ofere suplimentar cea mai recentă cheie privată universală (a patra). O zi și jumătate mai târziu, am observat că un anunț de “Proiect închis” a fost postat pe pagina TeslaCrypt. La început nu am crezut că au eliberat cu adevărat cheia, dar după ce am verificat-o cu cheia publică am fost 100% sigur că era cea corectă.

O întrebare ne vine în minte când vorbiți despre contactele cu acești operatori malware. Este un lucru comun pentru cercetătorii malware să discute cu infractorii?

Permiteți-mi să clarific un aspect, toate comunicările s-au realizat prin canalul oficial pe care infractorii l-au creat pentru a comunica cu victimele lor. Gândiți-vă ca la un software de relații cu clienții. Deoarece este anonim, operatorii nu au avut nicio idee cu cine comunicau – am pretins a fi o victimă aleatorie a fenomenului TeslaCrypt.

Și acum să răspund la întrebarea ta: nu, nu este comun pentru cercetătorii malware să intre în contact cu infractorii, dar în acest caz, a meritat încercarea.

teslacrypt_closed-1024x204

În anunțul de închidere au scris "Ne pare rău", însă au provocat atât de mult rău victimelor...

Ca și în cazul CryptoWall, ei susțin că ajută oamenii și testează soluții antivirus. Nu sunt de acord: ei doresc doar să fure bani. Pe de altă parte, operatorii sau creatorii TeslaCrypt au arătat că au cel puțin un minimum de bună-credință, pentru că au furnizat, chiar și tardiv, cheile de decriptare. Acest lucru nu răscumpără însă actiunile anterioare.

Care este morala acestei povești? Ce pot utilizatorii de internet să învețe din ea?

Oamenii ar trebui să învețe mai multe despre modul în care să folosească calculatoarele și despre modul în care să se protejeze împotriva amenințărilor. Aceștia ar trebui să se auto-educe pentru a fi permanent precauți atunci când deschid atașamente și link-uri.

Bineînțeles, păstrarea sistemului și aplicațiilor actualizate precum și instalarea tuturor patch-urilor software este o necesitate, împreună cu utilizarea unei soluții de securitate fiabile, configurată corespunzător. Păstrarea unei copii de siguranță, funcționale, stocată pe un mediu offline este crucială.

Companiile antivirus fac tot ce pot, dar, din păcate, există întotdeauna un factor uman, care reprezintă ținta infractorilor și este adresat prin inginerii sociale. Oamenii ar trebui să realizeze că, atunci când sunt loviți de ransomware, nu este vorba despre fișierele lor. Creatorilor de ransomware nu le pasă de fișiere: le pasă doar despre bani. Este greu atunci când pierdem fișiere importante, dar întotdeauna recomandăm să nu se plătească răscumpărarea. Dacă oamenii nu mai plătesc răscumpărări nu va mai exista niciun ransomware în viitor. Între timp, oamenii ar trebui să știe că există și indivizi implicați, care fac tot posibilul pentru a-i proteja de cei care profită de orice ocazie pentru a-i santaja.

 

PETER STANCIK
CORESPONDENT INDEPENDENT

Georgiana May 26, 2016

Lasa un comentariu