20.04.2015 | 19:00

Marcin Rybak

Nie daj się złapać, czyli jak wirusy szyfrujące dyski atakują swoje ofiary

Zaszyfrowanie dysku przez oprogramowanie które później żąda za przywrócenie danych okupu to nic fajnego. Przekonały się o już tym komendy policji i urzędy a każdego dnia dołączają do nich setki użytkowników. Jak nie dać się złapać w sidła?

Najprostszą metodą dostarczania złośliwego oprogramowania jest wykorzystanie z gotowych exploit packów i taką formę wybierają najczęściej przestępcy. Duża ilość gotowych eksploitów które wykorzystują przekłada się na wysoką skuteczność.

Głównie Flash Player

Badacze z TrendMicro przyjrzeli się bliżej Fiesta Exploit Kit oraz metodom jakich używa do zarażania swych ofiar. Najnowsza wersja exploit packa dostarcza również ciekawostkę o której piszemy dalej. Twórcy Fiesty wykorzystują głównie błędy we Flash Player. Jako główny cel obrali dosyć poważne błędy umożliwiające zdalne wykonanie kodu we Flash Player 11.x (CVE-2014-0497), 12.0.0-15.0.188 (CVE-2014-0569), 15.0.189 (CVE-2014-8440) oraz tegoroczne 15.224-287 i 16.0.224-287 (CVE-2015-0311) o których pisaliśmy również w artykule o exploit packu Angler, gdy jeszcze był 0-dayem.

Exploity używane przez Fiestę

Exploity używane przez Fiestę

Fiesta wykorzystuje również podatności w Silverlight (CVE-2013-0074) oraz Internet Explorer 8,9,10 przy użyciu CVE-2013-2551. Atakuje również Adobe Acrobata i Readera przy użyciu dosyć starego już błędu CVE-2010-0188. Co ciekawe nie wykorzystuje ani jednej dziury w Javie – widocznie pozostałe sobie świetnie radzą.

19 marca… trąci myszką

Do tej pory exploit pack w każdej wersji działał podobnie. Po poprawnym wykorzystaniu którejś z powyższych luk bezpieczeństwa (a dokładniej zdalnego wykonania kodu) następowała infekcja oprogramowaniem szyfrującym dyski twarde użytkownika. Oprócz tego zamykane były wszystkie procesy powiązane z managerem zadań, wierszem polecenia windows (cmd.exe), edytorem rejestru czy process explorerem. Wszystko to miało na celu utrudnienie użytkownikowi walki z tym złośliwym oprogramowaniem.

Fiesta - fałszywy Antywirus

Fiesta – fałszywy Antywirus

19 marca atakujący dodali jednak do samego exploit packa moduł typowy dla fałszywego antywirusa. Badaczom z TrendMicro ciężko jednoznacznie wskazać powód takiego działania. Czyżby było to bardziej dochodowe niż żądanie okupu?

Na kogo wypadnie?

Jak wskazywał jeden z użytkowników CTB-Lockera w swoim AMA na portalu reddit w lutym tego roku najbardziej opłaca się atakować kraje wysoko rozwinięte, gdyż z nich jest największy zwrot „inwestycji”. Wskazuje on na 5-7% użytkowników którzy płacą okup za zaszyfrowane dane. W krajach takich jak Indie wskaźnik ten wynosi raptem 0.5%.

Dystrybucja Eksploit Kita Fiesta

Dystrybucja Eksploit Kita Fiesta

Do podobnych wniosków zapewne dochodzą również twórcy Fiesty, gdyż jej globalna dystrybucja w marcu 2015 w 37 procentach przypadała na USA, 16% na Japonię i 12% na Australię.

Dobre i złe wieści?

Na szczęście twórcy oprogramowania wymuszającego okup popełniają błędy stąd możliwe jest darmowe rozszyfrowanie plików wynikowych niektórych programów. Jednym z przykładów może być Kaspersky, który chwali się 70% skutecznością w przypadku zaszyfrowania plików przez CoinVault. Ponieważ twórcy złośliwego oprogramowania do masowej infekcji najczęściej wykorzystują załatane już podatności najlepszym zabezpieczeniem przed powyższymi metodami jest zaktualizowanie wszystkich wtyczek, a następnie ich…  wyłączenie w przeglądarce.  Niestety trend wzrostowy wirusów szyfrujących pliki się utrzymuje i zapewne rok 2015 będzie należał właśnie do tego rodzaju złośliwego oprogramowania.

Powrót

Komentarze

  • 2015.04.20 20:36 Mieczyslaw

    Czy jesli ofiara posiada jakis dobry pakiet zabezpieczajacy np. Comodo (monitor hips, automatyczna piaskownica) to pomimo posiadania np. nieaktualnej wtyczki flashplayer jest szansa na to, ze atak sie nie powiedzie?

    Odpowiedz
    • 2015.04.20 21:13 Marcin Rybak

      znana jest/była metoda ominięcia HIPSa Comodo Internet Security, wiecej na ten temat: http://rce.co/why-usermode-hooking-sucks-bypassing-comodo-internet-security/

      Odpowiedz
      • 2015.04.20 21:36 risk,anoda

        Ale jak jesteś zalogowany na koncie standardowym zamiast administratora, to już nic nie da objęcie takiego HIPS-a.

        Odpowiedz
        • 2015.04.21 07:02 Marcin Rybak

          Nie ma niestety potrzeby posiadania uprawnień administratora, użytkownik ma wystarczajaco uprawnień by z nimi uruchomić cryptoransomware i zaszyfrować wszystkie pliki do których user ma uprawnienia (w tym zasoby sieciowe). Powiedzmy jednak sobie szczerze, czy UAC to problem (nie w sensie obejścia, a w sensie skłonienia użytkownika do kliknięcia magicznego TAK)

          Odpowiedz
          • 2015.04.21 11:13 risk,anoda

            Nie jest tak, jak powyżej napisałeś. Szyfrujący wirus musi się najpierw zainstalować, żeby mógł zaszyfrować pliki na koncie standard. Inaczej pisząc – nic nie zrobi na koncie standard, bo nie ma potrzebnych uprawnień do działania.

            UAC to nie to samo, co konto admina z każdorazowym wpisywanie haseł w wypadku poważniejszych zmian systemowych. A użyszkodnik to wiadomo, jak ludzi jest namówić do samobójca – można ich przekonać do wszystkiego…

          • 2015.04.21 11:19 Marcin Rybak

            w dalszym ciagu jednak bede obstawiał przy swoim, wirus instaluje się w lokalnym katalogu użytkownika i dopisuje równieś sie do autostartu w gałęzi HKCU do którego edycji użytkownik ma prawa:
            https://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/
            „1. CryptoLocker installs itself into your Documents and Settings folder, using a randomly-generated name, and adds itself to the list of programs in your registry that Windows loads automatically every time you logon.”

          • 2015.04.21 12:00 risk,anoda

            Przepraszam za błędy, ale od niedawna wprawia się dopiero w pisaniu na klawiaturze wirtualnej i jeszcze jej nie ogarnalem. Co do odpowiedzi to pisze tutaj, bo niżej skończyło się zakotwiczenie.

            A ja nadal będę obstawiać przy swoim. CL lub CV potrzebuja także dostępu do folderu Windows i tym samym wpisow w rejestrze dostępnych tylko dla kont administratorskich.

  • 2015.04.20 21:13 nonqu

    Flash zdaje się mieć totalni skopane automatyczne aktualizacje. U rodzinki wszystko jest skonfigurowane na automatyczne aktualizacje a i tak kiedy nie przyjadę, to Flash przynajmniej o miesiąc za stary. U mnie też nie woła o aktualizację po wyjściu nowej wersji.
    Sprawdzałem – updater siedzi w scheduled tasks z „powtarzaj co godzinę”.

    Odpowiedz
  • 2015.04.20 22:19 tomek

    Metafora rzecze jasno: seks z dziwka zwieksza ryzyko infekcji, bez znaczenia czy sie uzywa zabezpieczenia czy nie. Remedium? Przestac bzykac dziwki. W tlumaczeniu: porzucic flasza oraz ie i przeniesc sie na html5 + ff/chrome. A rodzinie i znajomym wytlumaczyc, ze korzystanie z uslug nierzadnic jest niebezpieczne. ;) Tylko glupcy sie infekuja.

    Odpowiedz
    • 2015.04.20 23:11 nonqu

      Jak masz lapka ze śmieciowatym amd switchable graphics a sterowniki od leshcata nie są z nim zgodne, to powodzenia z html5. No chyba, że lubisz 80% zużycia procesora, tearing i bluescreeny od czasu do czasu.

      Odpowiedz
  • 2015.04.21 00:11 Adam

    Dobry art, taki o problemach zwykłych ludzi… (piszę to bez żadnej ironii)

    Odpowiedz
    • 2015.04.21 12:29 kgsz

      I komentarze

      do redakcji: wiem że to może niepotrzebne, ale ucieszyłbym się z upvote/downvote (takim jak na Reddit, np) — mógłbym „plusnąć” swojego przedmówcę na znak, że dobrze gada zamiast wysyłac ten komentarz ;)

      Odpowiedz
  • 2015.04.21 00:20 Piotr

    A jak sprawa się ma na OS X ?
    Nie mam żadnego flasha, no poza tym co jest w chroni ale używam jej tylko do sprawdzania kodu live

    Odpowiedz
  • 2015.04.21 01:06 xPrzybyLx

    cmd.exe – a co to takiego ?

    Odpowiedz
    • 2015.04.21 07:54 GrandmaNazi

      To taki trochę shell dla dzieci windy, o Wielki Alternatywny!

      Odpowiedz
  • 2015.04.21 08:23 M

    Link do Kasperskiego jest zły -> na końcu dodano niepotrzebnie „%20”.

    Odpowiedz
    • 2015.04.21 08:48 Marcin Rybak

      dzięki, poprawione

      Odpowiedz
  • 2015.04.21 09:54 zibi

    Poradziłem sobie juz z takim, średnio zaawansowany informatyk z dziedziny systemów operacyjnych i softu nie powinien mieć większych problemów.

    Odpowiedz
  • 2015.04.21 13:56 HecSec

    Nie jestem wystarczajaco zaznajomiony z produktami Appla chociaz uzywam linuksa od ponad 17 – 18 lat, pierwszy byl Red Hat 5.1, ale pytanie jest czy zwieksza sie znaczaco ilosc wszelkiego typu wirosow dla ich produktow, pytam o rade, statystyki znam, to nie to samo!

    Odpowiedz
  • 2015.04.21 15:15 peter

    A jak jest z szyfrowaniem plików jeśli mam automatyczny backup czy one tez zostaną zainfekowane ?

    Odpowiedz
    • 2015.04.21 15:30 Marcin Rybak

      tutaj odpowiedź jest „zależy”: cryptoransomware wyewoluował na tyle, że oprócz plików lokalnych szyfruje również wszystkie zasoby do których uprawnienia ma użytkownik, a tym samym podłaczone dyski sieciowe (choć tutaj nie tylko podłaczone, a wszystkie do których uprawnienia są zapamietane w systemie), pendrive, karty SD itd.
      Jeśli Twój backup ma wersjonowanie, to przyrwócisz wcześniejszą wersję i problem z głowy. Jeśli nie ma, to zapewne będziesz mieć również zaszyfrowaną kopie zapasową.

      Odpowiedz
  • 2015.04.25 01:12 Pafcio

    Pytanie:czy jesli robie kopie zapasowe sytemu (lub partycji) programem Acronis ktore sa zapisywane na oddzielnej partycji i zaszyfrowane algorytmem AES256 to czy te pliki kopii zapasowych sa bezpieczne???Ogolnie czy ten wirus ma dostep do zaszyfrowanych plikow????

    Odpowiedz
    • 2015.04.26 19:54 Marcin Rybak

      Większość z cryptoransomware mają wyszczególnioną liste plików które szyfrują. Jeśli pliki .tib (z acronisa) są na ich liście, to nawet szyfrowane backupy niewiele zmienią (malware szyfruje pierwsze X MB pliku jeśli plik jest większy niż Y MB). Nie wiem jaka jest struktura pliku tib, ale jeśli Twój backup jest zaszyfrowany, to uszkodzenie jakiejkolwiek ilości zapewne skutkuje brakiem dostepu do reszty.

      Odpowiedz
  • 2015.04.26 22:11 Pavvel

    zdarzyło mi sie kiedyś podobne świństwo złapać. nie wiem co to było.
    gdy tylko zaczeło sie coś dziać, odciąłem zasilanie.
    potem odpaliłem kompa w trybie awaryjnym i przeglądając pliki według daty usuwałem wszystkie świeżo ściagniete wyglądajęce podejrzanie.
    i jakoś się udało. bez okupu i bez strat :)

    Odpowiedz
  • 2016.10.25 19:28 Abcd

    Witam,
    Wczoraj w eksploratorze MS Windows 10 pojawiła mi się dodatkowa partycja Z. Ja mam tylko partycję C i D. Mam na tej dziwnej partycji 25GB danych i 60GB wolnej przestrzeni. Gdy próbuję ją otworzyć otrzymuję komunikat aby wejść na kartę zabezpieczeń.
    Czy to może być dysk sieciowy włamywacza?

    Odpowiedz
  • 2017.04.27 13:27 Arek

    W ostatnim czasie tego typu wirusy to istna plaga. Grunt to świadomosc użytkowników. Jeżeli nie będziemy informować ludzi o istniejącym niebezpieczeństwie to daje będą wystepowac tego typu sytuacje:
    „A wie pan, Hela z sekretariatu przesłała mi link to uruchomiłam. A teraz nie działa mi program do księgowości.”
    Ostatnio trafiłem na firmę, która miała taką sytuację u siebie. Rozstali się z informatykiem, ale co im po tym, gdy stracili dane z siedmiu lat działalności. Gdyby ktoś miał chęć się zapoznać z historią to zapraszam do siebie. Blog Askomputer ;)

    Odpowiedz

Zostaw odpowiedź do Marcin Rybak

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nie daj się złapać, czyli jak wirusy szyfrujące dyski atakują swoje ofiary

Komentarze