Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Ransomware-ul este peste tot, dar chiar și răufăcătorii fac greșeli

2016-05-04

Ransomware-ul este prezent peste tot. Cel puțin, aceasta ar fi impresia lăsată de valul fără de sfârșit al rapoartelor de știri privind atacurile informatice recente. Totuși, au existat mai multe motive (întemeiate) pentru care infractorii și-au croit drum până pe prima pagină.

Un prim motiv au fost țintele alese pentru activitățile lor infracționale. Un exemplu ar fi cel al spitalelor de pe ambele coaste ale SUA, care s-au aflat în imposibilitatea de a proteja eficient datele pacienților. Fiind puse în pericol viața și sănătatea oamenilor, unele facilități de acest fel au fost forțate să plătească mii de dolari criminalilor cibernetici pentru recuperarea accesului la date.

Aplicarea unui cronometru – sau a altor trucuri neplăcute pentru a accelera plată răscumpărării – a atras de asemena o atenție suplimentară asupra ransomware-ului din partea mass-mediei.

Screen-Shot-2016-04-26-at-16.20.10

Alte motive pentru atenția pe scară largă acordată fenomenului a fost volumul mare de astfel de activități infracționale din mediul cibernetic. Cu doar o lună în urmă, ESET a avertizat utilizatorii cu privire la un val de e-mailuri infectate ce răspândeau coduri ransomware, invadând căsuțe poștale din toată lumea.

Pretinzând că transportă atașamente inofensive, JS / TrojanDownloader.Nemucod încerca de fapt să păcălească victimele să descarce și să instaleze unul dintre programele ce fac parte din familia ransomware, cum ar fi TeslaCrypt sau Locky.

Se pare că această tactică a fost evaluată ca fiind eficientă de către infractori, aceștia generând ulterior mai multe valuri de atac. Ei au folosit, de asemenea, o gamă mai cuprinzătoare de variante malware de extorcare, cum ar fi CTBLocker sau Filecoder.DG.

Dar nu toate codurile ransomware sunt la fel de periculoase precum familiile menționate mai sus. Mulți autori de malware văd șansa de a profita din cauza acestui trend și încearcă să dezvolte propriile lor secvențe ransomware, de multe ori sfârșindu-se cu o implementare precară care se dovedește inadecvată sau ușor de spart.

Din fericire pentru utilizatori, acesta a fost și cazul a două tipuri recente de ransomware – Petya și Jigsaw – pe care ESET le-a analizat. Ambele conțineau defecte în implementare, lucru ce a permis victimelor afectate să-și obțină fișierele și accesul la dispozitive fără a plăti vreo recompensă.

Pornind sistemul de operare in modul ostatic

Petya, anunțat pentru prima dată de către Trend Micro, cauzează “ecranul albastru al morții”, după infiltrarea cu succes în Windows, forțând astfel victima să-și repornească dispozitivul. În cazul în care utilizatorul face acest lucru, în loc de încărcarea sistemului de operare, va fi afișată doar o cerere de răscumpărare pentru 0.99 Bitcoin (431$).

Pentru a realiza acest lucru, se modifică Master Boot Record (MBR) pentru a rula codul ransomware în locul codului de sistem. Apoi, se criptează tabelul de Master File (MFT), care descrie toate fișierele de pe volum; spunând practic sistemului unde se află localizate fișierele și cum arată structura directoare.

Petya

Probleme în Petya

Cu toate acestea, analiza ESET a arătat că Petya (în ciuda cererii din mesajul de răscumpărare) nu criptează fișierele de pe discurile computerului, doar tabelul de fișiere. Acestă lacună permite utilizatorilor să recupereze fișierele cu unul dintre instrumentele de recuperare disponibile (cu toate că ar fi implicate anumite costuri).

Cum se transmite?

Pentru a răspândi Petya, atacatorii s-au folosit de e-mailuri mascate ca fiind CV-uri ale potențialilor angajați. Cu toate acestea, nu exista nici un document atașat, doar un link care ducea către o locație online de stocare Dropbox (legitimă de altfel).

În cazul în care victima accesa și descărca fișierul Bewerbungsmappe-gepackt.exe, în loc de un CV, un executabil cu auto-extragere era descărcat pe dispozitivul său, eliberând Petya pe sistemul de operare. Numele fișierului ne determină să credem că acest ransomware a vizat utilizatorii din țările vorbitoare de limbă germană.

La momentul scrierii articolului, Dropbox îndepărtase deja fișierul rău intenționat din mai multe locații, dar nu există nicio garanție că infractorii nu ar putea face modificări suplimentare, încercându-și din nou norocul. În prezent, ESET detectează două variante ale acestui cod ransomware: Win32/Diskcoder.Petya.A și Win32/Diskcoder.Petya.B..

În același timp, este disponibil, un instrument de decriptare gratuit, care se bazează pe lacunele rămase în structura codului malware, ce permite utilizatorului să recupereze vechiul Master File Table.

Ransomware care vrea să se joace

O altă familie ransomware, care a atras interesul cercetătorilor ESET în ultimele zile, este Jigsaw. Făcând referire la celebrul film de groază “Saw”, încearcă “să se joace” cu victimele, prin stabilirea unor norme distructive.

În cazul în care utilizatorul nu plătește în prima ora, ransomware-ul va șterge câte un fișier. În cazul în care utilizatorul nu plătește în a doua oră, numărul fișierelor distruse se ridică la două. Cu fiecare oră, numărul fișierelor eliminate crește exponențial, ceea ce duce la o deteriorare a datelor extinse. Jigsaw avertizează de asemenea victima că orice încercare de a reporni computerul va fi pedepsită prin ștergerea a altor 1000 de fișiere.

Jigsaw1

Jigsaw2

Jigsaw3

Cu toate acestea, făcând cercetări în codul ransomware, specialiștii ESET au descoperit că Jigsaw este implementat greșit. Acesta utilizează aceeași cheie pentru toate criptările. În acest moment, există deja un instrument de decriptare pentru utilizatori afectați.

În trecut au existat și alte variante ransomware care amenințau că vor șterge progresiv fișierele victimelor, dar Jigsaw a fost primul care a implementat efectiv această abordare. ESET detectează amenințarea ca MSIL/Filecoder.Jigsaw.AMSIL/Filecoder.Jigsaw.B și MSIL/Filecoder.Jigsaw.C.

O copie a Locky

Un imitator al acestui cod, detectat cu ajutorul sistemelor de telemetrie ESET, ca fiind Win32 / Filecoder.Autolocky.A, sau pe scurt Autolocky, este un bun exemplu al modului în care autorii de malware încearcă să își însușească “faima” altora, eșuând însă deseori în faza de implementare.

Imitând codul ransomware larg răspândit Locky, acesta folosește aceeași extensie pentru fișierele criptate (.locky). Cu toate acestea, datorită codificării precare, cheia de decriptare este trimisă numai prin Internet Explorer și poate fi urmărită cu ușurință în istoric, direct de pe mașina infectată. Victimele Autolocky sunt, de asemenea, suficient de norocoase pentru că au un instrument de decriptare disponibil imediat, putând să-și recupereze fișierele.

După cum arată aceste noi exemple, utilizatorii nu ar trebui să se sperie de tacticile folosite și ar trebui să evite plata răscumpărării cerute. Există o alternativă sau un instrument de decriptare pentru mai multe familii de malware orientate spre extorcare, pentru recuperarea fișierelor în condiții de siguranță și în mod fiabil, salvând banii utilizatorilor, reducând astfel fondurile utilizate pentru proiectarea de viitoare atacuri cibernetice.

Cu toate că, o parte din secvențele ransomware disponibile ar putea fi eronate sau imperfecte, infractorii cibernetici își îmbunătățesc software-ul în fiecare zi. Prevenția este prin urmare esențială pentru a vă proteja de ransomware – chiar și de aceste versiuni mai  slabe.

Așadar, mențineți-vă sistemul de operare și software-ul actualizat, utilizați o suită de securitate fiabilă, cu mai multe straturi de protecție și realizați un back-up, în mod constant, ale tuturor datelor importante și valoroase, într-o locație off-line (cum ar fi un mediu de stocare extern, neconectat permanent la PC). Fiți foarte atenți atunci când accesați date din e-mail sau din browser. Dacă ați primit un mesaj de la o sursă necunoscută sau care pare suspectă, cel mai sigur este să îl ștergeți.

 

ONDREJ KUBOVIČ
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *