( 23 ψήφοι )

1.1-cryptolockerTo 2013 ήταν αν μη τι άλλο η χρονιά των διαφόρων... πατεντών όσον αφορά την προσπάθεια των χάκερς να αποκομίσουν κέρδη από τους χρήστες του ίντερνετ. Η δημιουργικότητα τους γέννησε μερικά από τα ποιο "πειστικά" προγράμματα, όπως ο περιβόητος εξελληνισμένος βεβαίως-βεβαίως "ιός της αστυνομίας" ο οποίος "κλείδωνε" τον υπολογιστή ζητώντας €100 για να... επιλυθεί η παραβίαση του νόμου περί παιδοφιλίας, βιασμού και... ζωοφιλίας. Για έναν βετεράνο της πληροφορικής, ο ιός αυτός δείχνει πρωτόγονος, κακογραμμένος και βασικά άκακος. Όλα αυτά ως τα τέλη του 2013, όπου εμφανίστηκε ο CryptoLocker. Προετοιμαστείτε για ένα ψυχολογικό σοκ...

CryptoLocker - η τρομακτική συνειδητοποίηση πως τα πράγματα έχουν σοβαρέψει...

1.2-cryptolocker

Ο ιος/πρόγραμμα εκβίασης CryptoLocker εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο του 2013. Η αρχή της λειτουργίας του είναι απλή: Ούτε προσποιείται πως είναι κάποιο μήνυμα της αστυνομίας, ούτε τίποτα: Το πρόγραμμα, μόλις μολύνει έναν υπολογιστή, ψάχνει στο σκληρό δίσκο για κάθε είδους αρχεία δεδομένων (Word, Excel, εικόνες, κ.λπ.), και τα κωδικοποιεί (encrypt) με έναν άσπαστο αλγόριθμο. Τα αρχεία πλέον δεν μπορούν να χρησιμοποιηθούν χωρίς ένα συγκεκριμένο κλειδί. Ο ιός δημιουργεί στους καταλόγους τους οποίους έχει μολύνει, εικόνες, οι οποίες απλά εκβιάζουν τον χρήστη να πληρώσει €300 μέσα σε 70 ώρες, προκειμένου να αποκτήσει το κλειδί αποκωδικοποίησης, ειδάλλως δεν πρόκειται να ανακτήσει ποτέ τα δεδομένα του. Και αυτή τη φορά, ο ιός ούτε αστειεύεται, ούτε  μπλοφάρει!...

Ο τρόπος διάδοσης του Cryptolocker

To Cryptolocker διαδίδεται δια μέσω της παραδοσιακής οδού των ψεύτικων e-mails. Εμφανίζεται ως zip επισύναψη ενός αρχείου από πραγματικές εταιρίες (Courier κ.λπ.) και μέσα στο zip αρχείο υπάρχει ο εκτελέσιμος ιός, μεταμφιεσμένος με ένα εικονίδιο αρχείου PDF. Ο ανυποψίαστος χρήστης που θα το κάνει διπλό κλικ, θα εκτελέσει το πρόγραμμα και θα μολύνει άμεσα τον υπολογιστή του. Άλλος τρόπος διάδοσης είναι δια μέσω τρίτων μολύνσεων οι οποίες "κατεβάζουν" και εγκαθιστούν τον ιό στον υπολογιστή. Δύο μήνες μετά την εμφάνιση του CryptoLocker, μια νέα έκδοση (CryptoLocker v.2) εμφανίστηκε στον ορίζοντα. Ειδικοί της πληροφορικής αν και εντόπισαν μεγάλες ομοιότητες στην λειτουργία, επίσης εντόπισαν και μεγάλες διαφορές (διαφορετικού τύπου encryption, γλώσσα προγραμματισμού C# αντί C++, διάδοση δια μέσω P2P προσποιούμενο πως είναι Key Generator) κάτι που σημαίνει πως ένα δεύτερο γκρουπ από απατεώνες, ίσως αντέγραψε το πετυχημένο concept του αυθεντικού ιού.

Ιστορία και συνταγές συγγραφής επιτυχημένων ιών

Όπως πολύ παραστατικά αναφέρεται στην ιστοσελίδα της Sophos, ο πρώτος καταγεγραμμένος ιός-εκβιαστής, γράφτηκε το 1989. Ονομάζονταν AIDS Information Trojan. Ο ιός αυτός κωδικοποιούσε τα δεδομένα του σκληρού δίσκου μετά από 90 ημέρες και ζητούσε την αποστολή $398 σε μια... διεύθυνση στον Παναμά. Όπως ήταν φυσικό, ο δημιουργός συνελήφθη ενώ λόγω του ότι ο αλγόριθμος κωδικοποίησης ήταν απλός και ίδιος για όλους τους μολυσμένους υπολογιστές, η λύση βρέθηκε πολύ σύντομα. Δύο λάθη που οι δημιουργοί του CryptoLocker δεν επανέλαβαν, είκοσι και βάλε χρόνια μετά.

Ο Cryptolocker μόλις τρέξει για πρώτη φορά στον υπολογιστή, εγκαθίσταται με ένα τυχαίο όνομα στον κατάλογο "Documents and Settings", και προσθέτει τον εαυτό του στα προγράμματα που εκτελούνται με την εκκίνηση του υπολογιστή.

Κατόπιν δημιουργεί μια μεγάλη λίστα από domain names, και προσπαθεί να επικοινωνήσει με κάθε ένα από αυτά. Ο λόγος που συμβαίνει αυτό είναι για να δυσκολέψει αυτούς που θα αναλύσουν τον κώδικα, στο να βρουν ποια domain names συνεργάζονται με τον ιό.

1.3-cryptolocker-sample-names

Μόλις τελικά ο ιός έρθει σε επαφή με τον server, του στέλνει ένα μοναδικό ID και λαμβάνει πίσω το public key. Η κρυπτογραφική μέθοδος που χρησιμοποιείται είναι αυτή των δύο κλειδιών: Το public key χρησιμοποιείται για το encryption (κωδικοποίηση) των αρχείων του υπολογιστή, ενώ το private key που είναι καταχωνιασμένο στον server, χρησιμοποιείται για την αποκωδικοποίηση. Ο αλγόριθμος είναι ιδιαίτερα ισχυρός και δεν μπορεί να σπάσει ούτε με συμβατικές μεθόδους ή (υπερ)υπολογιστές.

Ο ιός κωδικοποιεί ότι αρχείο δεδομένων θεωρεί χρήσιμο (Office, OpenOffice, AutoCAD, εικόνες, κ.λπ.). Δεν σταματάει στον τοπικό υπολογιστή - οποιοσδήποτε εξωτερικός δίσκος ή mapped drive / κοινόχρηστος φάκελος στο δίκτυο θα κωδικοποιηθεί και αυτός, και αφού η ζημιά φτάσει ένα κρίσιμο σημείο, γίνεται η αποκάλυψη και η απαίτηση πληρωμής λύτρων εντός 72 ωρών. Η πληρωμή ζητείται να γίνεται με ασφαλείς μη ανιχνεύσιμους για τους hackers τρόπους συναλλαγής, όπως bitcoins, ή προπληρωμένες κάρτες (Moneypak, Ukash).

Τα κέρδη

1.4-bitcoinΤέσσερις μήνες μετά το πρώτο κρούσμα, το ZDNet εντόπισε τέσσερις BitCoin διευθύνσεις που δόθηκαν στην δημοσιότητα από χρήστες που πλήρωσαν τα λύτρα. Η έρευνα αποκάλυψε πως στους λογαριασμούς αυτούς, είχαν διακινηθεί 41.928 bitcoins, δηλαδή κέρδη (χωρίς να βάζουμε μέσα τους άλλους τρόπους πληρωμής) ύψους $27.000.000!

Σύμφωνα με την Symantec, το 3% των χρηστών αναγκάζεται να πληρώσει (μία διαδικασία που για κάποιους χρήστες δεν έφερε πίσω τα αρχεία τους), ενώ σύμφωνα με το BBC έως τα Χριστούγεννα του 2013, είχαν μολυνθεί 250.000 υπολογιστές. Τα δύο τελευταία νούμερα παράγουν ένα κέρδος της τάξης των περίπου $2.250.000 πολύ μακριά από την έρευνα της ZDNet την οποία τείνουμε να πιστέψουμε, κυρίως γιατί η καταστροφικότητα του ιού είναι τόσο μεγάλη, που το ποσοστό των χρηστών που θα επιλέξει να πληρώσει πρέπει να είναι πολύ μεγαλύτερο του 3%.

Ποιά συστήματα και υπολογιστές είναι πιο εύκολο να μολυνθούν

Σε γενικές γραμμές, υπολογιστές που τρέχουν Windows XP ή παλαιότερο, καθώς και παλιές εκδόσεις του Outlook / Outlook Express έχουν πολύ μεγαλύτερες πιθανότητες να κολλήσουν τον ιό. Οι λόγοι είναι απλοί: Τα Windows XP έχουν αρκετά κενά ασφαλείας και πλέον δεν υποστηρίζονται. Η νεότερη έκδοση Internet Explorer που μπορούν να τρέξουν είναι η 8 (αυτή τη στιγμή για Windows 7 και 8 υπάρχει η 11), ενώ παρέχουν λίγα εργαλεία περεταίρω ασφάλειας, όπως συνεργασία με το Antivirus ή έλεγχος χρήστη. Παλιές εκδόσεις των Windows τρέχουν επάνω συχνά-πυκνά ένα πακέτο από επίσης παλιά προγράμματα (κάτι messenger προ Χριστού κ.λπ.) που επίσης έχουν "τρύπες" ασφαλείας.

http://www.symantec.com/content/en/us/global/images/threat_writeups/2002-082718-3007-99.1.gifΌσοι πουν πως ο ιός αντιγράφεται μόνο με τρεις τρόπους άρα κάνουμε λάθος ας το ξανασκεφτούν: Υπάρχουν δεκάδες trojan dropper προγράμματα που βρίσκουν τρύπες σε λειτουργικό σύστημα ή άλλα συνήθη λογισμικά και όταν καταφέρουν να εγκαταστήσουν τον εαυτό τους στο σύστημα μας, κατεβάζουν πάσης φύσης ιούς - πολύ πιθανόν και τον CryptoLocker ή τις παραλλαγές του. Συστήματα με παλιές εκδόσεις της Java ή του Adobe Flash ίσως διατρέχουν παραπάνω κίνδυνο. Τέλος, λόγω του γεγονότος πως τα πολλά patchers / key generators για πειρατικά προγράμματα έχουν και κρυφό περιεχόμενο, η χρήση αντιγραμμένου software ίσως αυξήσει σημαντικά τις πιθανότητες σας να βρεθείτε εκτεθειμένοι.

Βήματα πρόληψης

Πολλοί "ειδικοί" βρήκαν ευκαιρία να διαφημίσουν το cloud storage την στιγμή που έχουν αναφερθεί περιπτώσεις όπου ο ιός έχει περάσει εκεί. Σε γενικές γραμμές, δεν υπάρχουν μαγικές λύσεις στην πρόληψη. Αν υπολογίζετε τα δεδομένα σας και δεν θέλετε σε καμία περίπτωση να τα χάσετε, ιδού ορισμένες κατευθύνσεις

  • Κάντε update όποιες ενημερώσεις των Windows υπάρχουν. Κατεβάστε μια αναβαθμισμένη έκδοση του mail client που έχετε (αν είστε τόσο κολλημένοι με το Outlook Express, δοκιμάστε το Windows Mail επιτέλους). Ανανεώστε Java και Adobe Flash από τις αντίστοιχες ιστοσελίδες των εταιριών αυτών.
  • Απενεργοποιείστε από την εκκίνηση του υπολογιστή σας (msconfig κ.λπ.) ότι σαβούρα φορτώνει στην εκκίνηση.
  • Αν είστε αναγκασμένοι να χρησιμοποιείτε Windows XP, μην μπαίνετε στο ίντερνετ με τον Internet Explorer. Κατεβάστε και χρησιμοποιείστε Firefox ή Chrome.
  • Για το Antivirus ούτε λόγος: Πρέπει να είναι ενημερωμένο. Μην χρησιμοποιείτε το Antivirus της Microsoft -έχει κοπεί σε όλα τα τεστ που έχουν γίνει. Αν θέλετε να την βγάλετε με τα δωρεάν, χρησιμοποιείστε AVG, Avira ή το εξελληνισμένο Avast ή αντίστοιχο.
  • Αν είστε σε τοπικό δίκτυο, κόψτε τους shared folders (κοινόχρηστους φακέλους) με τεράστιο περιεχόμενο. Βάλτε στους κοινόχρηστους φακέλους μόνο ότι είναι πραγματικά ανάγκη να είναι κοινόχρηστο.
  • Backup, backup και πάλι backup! Κάντε backup τα δεδομένα σας, και μην σβήνετε καν το παλιό. Αν έχετε ένα φάκελο "Εγγραφα" και τον αντιγράφετε στον USB δίσκο, κάθε φορά που θα παίρνετε backup, κάντε νέο φάκελο με την ημερομηνία που πήρατε το backup. Έτσι θα έχετε πολλές εκδόσεις της δουλειάς σας, σε διαφορετικά χρονικά σημεία.
  • Τριπλό backup: Πάρτε backup με διαφορετικά μέσα. Πολλοί χρήστες έχουν π.χ. τα αρχεία τους σε ένα NAS, και αυτό το παίρνουν backup σε ένα εξωτερικό δίσκο ενώ παίρνουν τα ποιο σημαντικά αρχεία και 3ο backup σε USB stick!
  • Ένας έμπειρος χρήστης δεν θα ανοίξει ποτέ επισύναψη από κάποιο ξέμπαρκο e-mail. Μην ανοίγετε ΠΟΤΕ επισυνάψεις από mails που δεν ξέρετε γιατί έφτασαν στο mailbox σας. Ειδικά η τεχνική των zip αρχείων που περιέχουν εκτελέσιμα προγράμματα μεταμφιεσμένα ως Word, PDF κ.λπ., είναι ιδιαίτερα διαδεδομένη.
  • Μην τρέχετε πειρατικά προγράμματα και κυρίως key generators κ.λπ. σε υπολογιστή ή δίκτυο που έχει κρίσιμα δεδομένα. Στην καλύτερη περίπτωση, χρησιμοποιείστε τη λειτουργία Sandbox που κάποια Antiviruses διαθέτουν.
Γιατρειά

Σε γενικές γραμμές, δεν υπάρχει γιατρειά. Αν χάσατε κρίσιμα δεδομένα, το μόνο που μπορείτε να κάνετε είναι να πληρώσετε τα λύτρα, αν και αυτό με την σειρά του δεν εγγυάται τίποτα ενώ χρηματοδοτείτε με αυτόν τον τρόπο τους απατεώνες. Τα Windows 7 και 8 έχουν μια ρύθμιση Volume Shadow που παίρνει backup όλο το δίσκο. Αν λοιπόν έχετε χτυπηθεί από τον ιό, μπορείτε να επιστρέψετε τα αρχεία σας σε μια ημερομηνία πριν την καταστροφή και να σώσετε τα δεδομένα σας. Από εκεί και πέρα λίγα μπορούν να γίνουν, καθώς οι αλγόριθμοί είναι πρακτικά αδύνατο να σπάσουν ακόμη και από υπερυπολογιστή.

1.5-volume-shadow

Συμπεράσματα

Η μετεξέλιξη / μετάλλαξη των ιών από αστεία προγράμματα σε κίνδυνο για την εργασία μας και τα προσωπικά μας δεδομένα πλέον έχει φτάσει σε ένα νέο επίπεδο. Δεν μιλάμε για διαγραφή αρχείων ή για κάποιο αστείο τρόπο κρυπτογράφησης. Οι ψηφιακοί εγκληματίες βρήκαν τρόπους να εκβιάσουν εκατομμύρια χρήστες, και αν κρίνουμε από την επιτυχία του εγχειρήματος, θα υπάρξουν πολλοί που θα τους αντιγράψουν. Δεν υπάρχει πλέον μία μαγική λύση. Ο χρήστης πρέπει να μεριμνεί τόσο για την πρόληψη (Antivirus, προσοχή στο άνοιγμα επισυνάψεων, προσοχή στις σελίδες που επισκέπτεται κ.λπ.), όσο και για την περίπτωση που το κακό συμβεί δια μέσω των αντιγράφων ασφαλείας. Αν όχι, στο άμεσο μέλλον προβλέπεται πως πολλοί χρήστες θα χάσουν τα αρχεία και τον ύπνο τους. Οι ιοί της δεύτερης δεκαετίας του 2000 δεν αστειεύονται καθόλου...

 


Πηγες:

NakedSecurity.Sophos.com | Wikipedia.org | BBC.com

δημοψήφισμα

Νέα επικαιρότητας: Ποιότητα ή ποσότητα;