» »

Po Sloveniji se širi Cryptolocker

Po Sloveniji se širi Cryptolocker

Slo-Tech - Tudi po Sloveniji je začel krožiti virus z imenom Cryptolocker, sicer v protivirusnih definicijah označen kakor Trojan:Win32/Crilock, ki od uporabnikov terja plačilo 100 dolarjev. Cryptolocker sodi v družino ransomware, kakor s tujko označujemo izsiljevalsko programsko opremo. Po namestitvi namreč zašifrira ključne podatkovne datoteke na disku, potem pa od uporabnika terja plačilo odkupnine v zameno za ključ, ki naj bi omogočil odklep.

Po Sloveniji se je intenzivneje razširil danes, tako da je nanj opozoril tudi SI-CERT. Znano je, da virus poišče in zašifrira datoteke s končnicami, ki so značilne za podatkovne datoteke (odt, doc, docx, xls, xlsx, ppt, pptx, mdb, jpg in številne druge). To kaže, da je namenjen povzročanju škode. Varnostni analitiki svetujejo, da ljudje ne nasedajo prevarantom in jim ne nakazujejo denarja. V primeru, da imajo varnostne kopije podatkov, to ni problem, saj je virus enostavno odstraniti. Bistveno teže je tistim, ki nimajo varnostnih kopij. Toda v tem primeru ni nikakršnih zagotovil, da bodo ob plačilu odkupnine resnično prejeli ključ za odklep. Tudi širše gledano je najbolje ignorirati zahteve izsiljevalcev, saj bodo početje v prihodnosti opustili, če ne bo dobičkonosno (torej taktiko nepogajanja s teroristi).

Kakorkoli že, kdor je virus staknil, ima težavo. Tudi bolj slaba tolažba bo dejstvo, da ni edini niti prvi. Tovrstna zalega kroži po internetu že dlje časa. Treba jo je razlikovati od virusov, kot je bil na primer Ukash, ki je po Sloveniji lomastil poleti. Ti namreč uporabnika zaklenejo iz sistema, a podatkov ne šifrirajo. Cryptolocker pa šifrira podatke, ker je neprimerno večja nevšečnost.

Zdravila za zdaj še ni. Cryptolocker je sicer mogoče enostavno odstraniti, a podatki bodo ostali zašifrirani. Moderni ransomware se pojavlja od leta 2006, uspehi pri razbijanju pa so mešani. Nekateri uporabljajo isti ključ, ki ga je z vzvratnim inženiringom raziskovalcem uspelo razbiti. Z drugimi te sreče ni.

61 komentarjev

«
1
2

dr.Akula ::

Se kaj ve po katerih kanalih se to širi (za zdaj)?

edit: Drugače pa zanimiva taktika, Ukash je nič proti temu.
ni podatka

Zgodovina sprememb…

  • spremenil: dr.Akula ()

Senitel ::

Reinkarnacija tegale... :)

snow ::

dr.Akula je izjavil:

Se kaj ve po katerih kanalih se to širi (za zdaj)?


To tudi mene zanima.
Random mutation plus nonrandom cumulative natural selection - Richard Dawkins

tumare ::

ga kak antivirus zazna v času?

MajorM ::

Če je potrebno denar nakazati na račun, ali se mu ne da potem slediti do izsiljevalca?

poweroff ::

Ne.
sudo poweroff

mihor ::

MajorM je izjavil:

Če je potrebno denar nakazati na račun, ali se mu ne da potem slediti do izsiljevalca?


Najverjetneje imajo za taka opravila t.i. mule, ki dvigajo ta denar. :(

fiction ::

Nakazilo denarja verjetno ni mišljeno strogo v bančnem smislu. Lahko npr. uporabljajo Moneybookers, Western Union ali pa kaj as simple as povej mi številko mobi vrednostne kartice za XX EUR. Veliko ceneje in manj riskantno kot uporaba mule.

fiction ::

Zanimivo bi bilo probat, če je tale unikaten ID za userja res dovolj dober. A uporabljajo kriptografsko varen random number generator? ;)

Hipotetično: nekomu uspe reverse engineerat algoritem za generiranje ključa. Zdaj svojo uslugo (restore podatkov) ponuja potencialnim žrtvam za recimo 50 EUR. Je s tem postal sostorilec? Kaj če gre za AV vendorja in je cena nakup ustreznega programa?

mihec87 ::

Je sploh kak indic da se zadevo sploh da odkriptirat da zadeve ne zakriptira kr neki...Je že gdo po plačilu dobil ključ ter uspel odklenit?

fiction ::

Indic je challenge–response mehanizem med tabo in izsiljevalcem. Ti mu daš naključno šifrirano datoteko in on ti pošlje plain-text (ki ga sicer ne bi imel, razen če je že prej vse skopiral k sebi). Je pa vedno problem v tem, da ne veš, če bo to, da mu daš n enot denarja dovolj in ne bo zahteval n + 1. Z varnostnega stališča je problem, ker je mašina kompromitirana in je itak potreben reinstall (ne moreš zaupati v to, da je kriptiranje podatkov edina stvar, ki jo počne malware).

oo7 ::

Tisti, ki dela te viruse in jih okoli pošilja bi mu bilo treba zakonsko posekat vseh 10 prstov pa naj se potem dela frajerja.

mihec87 ::

fiction je izjavil:

Indic je challenge–response mehanizem med tabo in izsiljevalcem. Ti mu daš naključno šifrirano datoteko in on ti pošlje plain-text (ki ga sicer ne bi imel, razen če je že prej vse skopiral k sebi). Je pa vedno problem v tem, da ne veš, če bo to, da mu daš n enot denarja dovolj in ne bo zahteval n + 1. Z varnostnega stališča je problem, ker je mašina kompromitirana in je itak potreben reinstall (ne moreš zaupati v to, da je kriptiranje podatkov edina stvar, ki jo počne malware).


To je potrjeno ali sklepaš?

antonija ::

snow je izjavil:

dr.Akula je izjavil:

Se kaj ve po katerih kanalih se to širi (za zdaj)?
To tudi mene zanima.
Mene tudi. Kaj so najpogostejsi vektorji okuzbe?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

sleby ::


How did you become infected by Cryptlocker

CryptoLocker currently has three infection vectors:
This infection was originally spread via sent to company email addresses that pretend to be customer support related issues from Fedex, UPS, DHS, etc. These emails would contain an attachment that when opened would infect the computer.
Via exploit kits located on hacked web sites that exploit vulnerabilities on your computer to install the infection.
Through Trojans that pretend to be programs required to view online videos. These are typically encountered through Porn sites.
What happens when you become infected with Cryptlocker

Once the infection is active on your computer it will scan your drives (local & network) and encrypt the following types of files with a mix of RSA & AES encryption: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7cThe

For each file that is encrypted, a resulting registry value will be created under this key: HKCU\Software\CryptoLocker\Files

After a while, typically as long as it takes to encrypt the detected data files, you will be shown a screen titled CryptoLocker that contains a ransom note on how to decrypt your files. Depending on the version of Cryptolocker that is installed, the ransom may be for $100 or $300 USD/EUR. This payment can be made via Bitcoin, MoneyPak, Ukash, or cashU. You will also be shown a countdown that states that you need to pay the ransom with 72 hours. Failure to do so will cause the decryption tool to be deleted from your computer.

More detailed information about what this infection does when run can be found in this post by Fabian Wosnar of Emsisoft.


Are there any tools that can be used to decrypt your files?

Unfortunately at this time there is no way to retrieve the key used to encrypt your files. Brute forcing the encryption key is realistically not possibly due to the length of time required to break the key. Any decryption tools that have been released by various companies will not work with this infection. The only method you have of restoring your files is from a backup, or if you have System Restore, through the Shadow Volume copies that are created every time a system restore is performed. More information about how to restore your files via Shadow Volume Copies can be found in the next section.

If you do not have System Restore enabled on your computer or reliable backups, then you will need to pay the ransom in order to get your files back. Please note that there have been cases when people have paid the ransom and the decryption did not work for whatever reason. Furthermore, if you do not pay the ransom within the allotted time, the Cryptolocker decryption tool will be removed from your system and make it much more difficult, if not impossible, to restore your files.

Zgodovina sprememb…

  • spremenilo: sleby ()

Gregor P ::

Mogoče bi lahko NSA priskočila na pomoč, če ima že vso "mašinerijo" na voljo>:D
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Shkorc ::

Gregor P je izjavil:

Mogoče bi lahko NSA priskočila na pomoč, če ima že vso "mašinerijo" na voljo>:D


Kaj pa če so to oni in zbirajo "donacije"? :))

antonija ::

Ce ti kdo zakripta file-e samo pisi na NSA da rabis backup ki ga oni hranijo, pa je problem resen ;)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

simnov ::

dronyx ::

@x800xt Verjetno pri tej golazni ni problem sam "remove" virusa ampak kako dešifrirati datoteke, ki jih virus šifrira. Poleg tega ima ta virus kot kaže zelo grdo lastnost, da je sposoben okužiti tudi razne USB, mrežne diske itd. Veliko zlasti domačih uporabnikov ne dela backupa podatkov na kakšne trakove ali podobno, temveč večinoma samo kopirajo podatke na kakšen zunanji USB disk. V primeru tega virusa se ti zlahka lahko zgodi, da imaš tudi tak "backup" zašifriran.

Če bi se tole širilo tako učinkovito kot kakšen conflicker bi bila situacija lahko zelo neprijetna.

Zgodovina sprememb…

  • spremenil: dronyx ()

ttommy ::

Je pa ja že pred dvema letoma lomastil tak virus. Mojemu bratrancu je zakodiral vse datoteke. Sem mu uspel rešiti vse, ampak se ne spomnim kako.
Gamer

Seljak ::

oo7 je izjavil:

Tisti, ki dela te viruse in jih okoli pošilja bi mu bilo treba zakonsko posekat vseh 10 prstov pa naj se potem dela frajerja.


Kaj pa na nogah?

ttommy je izjavil:

Je pa ja že pred dvema letoma lomastil tak virus. Mojemu bratrancu je zakodiral vse datoteke. Sem mu uspel rešiti vse, ampak se ne spomnim kako.


Jaz sem 1x prišel domov tako pijan,ampak ne vem kako.

Zgodovina sprememb…

  • spremenilo: Seljak ()

residual ::

sem laik glede enkripcije zato enostavno vprašanje:
kaj če postavim virtualko, naložim na sistem N datotek znanih romanov, namenoma okužim fajle (se zakodirajo), ter pričnem reverse inženiring ključa... poznam tisoče stavkov in njihove hashe, zapletenih besednih zvez v romanih, vsaj nekaj fraz bo enakih... kakšne so realne možnosti za uspeh saj to ni klasični blind ali brute force...

Hayabusa ::

Kako pa misliš da delajo decrpytorje ?
Odvisno od tega, kako je napisan encrypt algo...
In RE ne zna vsak delati, večina sploh ne ve da je to mogoče.

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

residual ::

Se strinjam. Obstajajo različni pristopi. A kdo ve ali je običajno encript engine zajet v priponki emaila (virus program), ali ga virus naloži z remote lokacije.. in če je v priponki a bi se ga dalo reversat kljub hex kodi

metalc ::

@residual
Poleg tebe so na to mislili že kriptoanalitiki in snovalci algoritmov. Pri bločnih algoritmih je tako, da se mora izvorni del že tako in tako razbiti na bloke, ki jih je algoritem zmožen "prebaviti", izhod šifriranja posameznega bloka pa je poleg samega algoritma in ključa odvisen tudi od vseh prejšnjih blokov. Kako točno pa se zgodovina vključi v ta proces (ali se XORa pred/po šifriranju ipd.), pa pove t.i. "način" (angl. mode) šifriranja, največkrat v obliki tričrkovne kratice, npr. ECB (najbolj enostaven, brez upoštevanja zgodovine in kot tak še najlažji za razbijanje, če poznaš del originala), OFB, CFB in še cel kup drugih. Še več, poleg samega simetričnega ključa spada zraven še od njega neodvisni t.i. "inicializacijski vektor", ki predstavlja "zgodovino" pri obdelavi prvega blokua.

Upam, da ni povedano prezapleteno :D

MrStein ::

simnov je izjavil:

http://malwarefixes.com/remove-cryptolo...

Tu opisuje tudi en tool od Pande, ki baje zna dekriptirati, če je kdo spregledal.

Tu je tudi en opis tega tool-a: http://www.pandasecurity.com/slovenia/h...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

residual ::

@metalc hvala za osnovno razlago ;) bom dalje razmišljal v smeri določitve init vektorja

S Pando pa so baje probali pa ni šlo... rabi private key od hackerjev ;)

PrimozR ::



Cryptolocker?

tony1 ::

Po moje ne, gre za stari MNZ virus.

dr.Akula ::

@PIPI
Pomojem tudi ne, ukash virus, ki sem ga sam odstanjeval pred par meseci je zgledal enako kot to na tvojem zaslonu.
Če rabiš navodila za odstanitev: http://www.malwareexperts.com/how-to-re...
ni podatka

fiction ::

residual: To kar predlagaš je known-plaintext attack oz. do neke mere chosen-plaintext attack. Če zadeva uporablja simetrično enkripcijo, je lažje v debuggerju gledati, kako program pride do tega, da bo šifriral datoteko in lepo izluščiš geslo oz. postopek za izračun gesla za posamezno datoteko. Težava je v tem, da malware ponavadi uporablja anti-debugging trike. Večina jih tudi ugotovi, če tečejo v virtualki in takrat po možnosti sploh ne delujejo pravilno.

Ampak v tem primeru je govora o RSA, torej asimetričnem šifriranju.

Oz. bolj natančno zadeva baje uporabi AES z nekim naključno generiranim ključem. Potem se ta AES ključ zašifrira z RSA in odloži nekam. Če si spremljal šifriranje, znaš dešifrirati datoteke, če nisi in dobiš samo datoteko s tem (temi ključi?) pa nimaš več nobene možnosti. Rabil bi namreč zasebni (RSA) ključ, ki pa ga ima le avtor programa.

Wild guess: sklepam, da je tisto iz "how to get data.txt" v bistvu šifriran AES ključ za tvoje datoteke.

Zgodovina sprememb…

  • spremenil: fiction ()

fiction ::

Se pravi je treba najti napako v implementaciji. Po možnosti je random beden in lahko po času šifriranja omejiš iskalni prostor.

Edit: bah verzija 2 (http://blogs.quickheal.com/wp/cryptoloc... aka tista ki zahteva 300 $ je še bolj izpopolnjena. RSA-2048. Server zgenerira keypair in public key dostavi clientu (okuženemu računalniku). Server tudi sam poskrbi za uničenje private keya po določenem času.

Zgodovina sprememb…

  • spremenil: fiction ()

Phantomeye ::

sem si ze mislu kao heh, sej itak nimam na kompu nič pomembnega. pol pa itak Dropbox, google drive, itd.

Bo treba en backup nardit počas.

bbf ::

kaj pa brute attack na enem primerno majhnem znanem tekstu, preimenovanem v virusu prijetno končnico? bi dalo preveč outputa?

tumare ::

Če si povezan na NAS, ti ta virus utegne zakriptirat vse kar je na njem?

poweroff ::

Da.
sudo poweroff

levaky ::

Kar naenkrat se mi zdi ZFS in snapshoti na NASu nuja;)

dronyx ::

tumare je izjavil:

Če si povezan na NAS, ti ta virus utegne zakriptirat vse kar je na njem?

Verjetno zakriptira vse, do česar imaš dostop s pravico pisanja in je ob okužbi virusu "vidno" (predvidevam da če obstaja na NAS-u nek share, do katerega imaš sicer dostop, ni pa mapiran v Windowsih, ga po moje ne okuži). Na NAS-ih ki jih jaz poznam obstaja tudi "network recycle bin" (koš po domače), kamor gredo vse brisane datoteke. Če virus najprej naredi novo šifrirano datoteko, staro pa pobriše, gre morda v to mapo, čeprav dvomim, ker potem bi se dalo datoteke rešiti tudi na računalniku s kakšnim programom za reševanje pobrisanih datotek.

Ima morda kdo že kakšne praktične izkušnje s tem virusom?

Zgodovina sprememb…

  • spremenil: dronyx ()

OK.d ::



ta pravi da je verjetno dobil v mailu od fedexa
LPOK.d

Zgodovina sprememb…

  • spremenil: OK.d ()

mtosev ::

upam, da imajo Av updajtan, firewall on, in vse updajte nameščene
jaz npr že dolgočasa nisem nič fasal:))
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

techfreak :) ::

Kvecjemu ze dolgo casa nisi nicesar odkril.

alro ::

če znaš uporabljat komp virusou sploh ni šans da boš dobu, mam komp že 4 leta brez antivirusnega in nimam nobenga virusa...

kriko1 ::

Aha.
Kaj pa pravi kak malwarebytes scan npr?

black ice ::

Ljudje še vedno zmotno mislijo, da virusi in ostala nesnaga dela BLING BLING BLING KABOOOM.

LightBit ::

kriko1 je izjavil:

Aha.
Kaj pa pravi kak malwarebytes scan npr?

Tudi nimam AV, ampak na vsake tolk časa poskeniram z Emsisoft Anti-Malware in nisem še nič našel.

KoKi ::

Malo sem razmišljal kaj bi bilo, če bi pisec Blaster-ja kaj takšnega kombiniral s svojim črvom.
# hackable

techfreak :) ::

alro je izjavil:

če znaš uporabljat komp virusou sploh ni šans da boš dobu, mam komp že 4 leta brez antivirusnega in nimam nobenga virusa...

Tudi ce znas uporabljati racunalnik in se zavedas nevarnosti, je se vseeno moznost da dobis malware. Prav tako brez programov za preverjanje naceloma ne mores vedeti ce si okuzen, v nobenem primeru pa ne mores trditi da nisi.

Pithlit ::

techfreak :) je izjavil:

v nobenem primeru pa ne mores trditi da nisi.

Ignorance is bliss.
Life is as complicated as we make it...
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

FBI: izsiljevalskim virusom kar plačajte (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5235291 (29667) Mare2
»

Izsiljevalska virusa Coinvault in Bitcryptor zlomljena, na pohodu že novi

Oddelek: Novice / Kriptovalute
55827 (4918) Markoff
»

CryptoLocker premagan

Oddelek: Novice / Kriptovalute
2115952 (11098) Mare2
»

Prvi izsiljevalski virus za Android

Oddelek: Novice / Varnost
2211480 (8887) boolsheat
»

Raziskovalci razbili izsiljevalski BitCrypt

Oddelek: Novice / Kriptovalute
1310298 (8240) MrStein

Več podobnih tem