Slo-Tech - Tudi po Sloveniji je začel krožiti virus z imenom Cryptolocker, sicer v protivirusnih definicijah označen kakor Trojan:Win32/Crilock, ki od uporabnikov terja plačilo 100 dolarjev. Cryptolocker sodi v družino ransomware, kakor s tujko označujemo izsiljevalsko programsko opremo. Po namestitvi namreč zašifrira ključne podatkovne datoteke na disku, potem pa od uporabnika terja plačilo odkupnine v zameno za ključ, ki naj bi omogočil odklep.
Po Sloveniji se je intenzivneje razširil danes, tako da je nanj opozoril tudi SI-CERT. Znano je, da virus poišče in zašifrira datoteke s končnicami, ki so značilne za podatkovne datoteke (odt, doc, docx, xls, xlsx, ppt, pptx, mdb, jpg in številne druge). To kaže, da je namenjen povzročanju škode. Varnostni analitiki svetujejo, da ljudje ne nasedajo prevarantom in jim ne nakazujejo denarja. V primeru, da imajo varnostne kopije podatkov, to ni problem, saj je virus enostavno odstraniti. Bistveno teže je tistim, ki nimajo varnostnih kopij. Toda v tem primeru ni nikakršnih zagotovil, da bodo ob plačilu odkupnine resnično prejeli ključ za odklep. Tudi širše gledano je najbolje ignorirati zahteve izsiljevalcev, saj bodo početje v prihodnosti opustili, če ne bo dobičkonosno (torej taktiko nepogajanja s teroristi).
Kakorkoli že, kdor je virus staknil, ima težavo. Tudi bolj slaba tolažba bo dejstvo, da ni edini niti prvi. Tovrstna zalega kroži po internetu že dlje časa. Treba jo je razlikovati od virusov, kot je bil na primer Ukash, ki je po Sloveniji lomastil poleti. Ti namreč uporabnika zaklenejo iz sistema, a podatkov ne šifrirajo. Cryptolocker pa šifrira podatke, ker je neprimerno večja nevšečnost.
Zdravila za zdaj še ni. Cryptolocker je sicer mogoče enostavno odstraniti, a podatki bodo ostali zašifrirani. Moderni ransomware se pojavlja od leta 2006, uspehi pri razbijanju pa so mešani. Nekateri uporabljajo isti ključ, ki ga je z vzvratnim inženiringom raziskovalcem uspelo razbiti. Z drugimi te sreče ni.
Nakazilo denarja verjetno ni mišljeno strogo v bančnem smislu. Lahko npr. uporabljajo Moneybookers, Western Union ali pa kaj as simple as povej mi številko mobi vrednostne kartice za XX EUR. Veliko ceneje in manj riskantno kot uporaba mule.
Zanimivo bi bilo probat, če je tale unikaten ID za userja res dovolj dober. A uporabljajo kriptografsko varen random number generator?
Hipotetično: nekomu uspe reverse engineerat algoritem za generiranje ključa. Zdaj svojo uslugo (restore podatkov) ponuja potencialnim žrtvam za recimo 50 EUR. Je s tem postal sostorilec? Kaj če gre za AV vendorja in je cena nakup ustreznega programa?
Indic je challenge–response mehanizem med tabo in izsiljevalcem. Ti mu daš naključno šifrirano datoteko in on ti pošlje plain-text (ki ga sicer ne bi imel, razen če je že prej vse skopiral k sebi). Je pa vedno problem v tem, da ne veš, če bo to, da mu daš n enot denarja dovolj in ne bo zahteval n + 1. Z varnostnega stališča je problem, ker je mašina kompromitirana in je itak potreben reinstall (ne moreš zaupati v to, da je kriptiranje podatkov edina stvar, ki jo počne malware).
Indic je challenge–response mehanizem med tabo in izsiljevalcem. Ti mu daš naključno šifrirano datoteko in on ti pošlje plain-text (ki ga sicer ne bi imel, razen če je že prej vse skopiral k sebi). Je pa vedno problem v tem, da ne veš, če bo to, da mu daš n enot denarja dovolj in ne bo zahteval n + 1. Z varnostnega stališča je problem, ker je mašina kompromitirana in je itak potreben reinstall (ne moreš zaupati v to, da je kriptiranje podatkov edina stvar, ki jo počne malware).
CryptoLocker currently has three infection vectors: This infection was originally spread via sent to company email addresses that pretend to be customer support related issues from Fedex, UPS, DHS, etc. These emails would contain an attachment that when opened would infect the computer. Via exploit kits located on hacked web sites that exploit vulnerabilities on your computer to install the infection. Through Trojans that pretend to be programs required to view online videos. These are typically encountered through Porn sites. What happens when you become infected with Cryptlocker
Once the infection is active on your computer it will scan your drives (local & network) and encrypt the following types of files with a mix of RSA & AES encryption: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7cThe
For each file that is encrypted, a resulting registry value will be created under this key: HKCU\Software\CryptoLocker\Files
After a while, typically as long as it takes to encrypt the detected data files, you will be shown a screen titled CryptoLocker that contains a ransom note on how to decrypt your files. Depending on the version of Cryptolocker that is installed, the ransom may be for $100 or $300 USD/EUR. This payment can be made via Bitcoin, MoneyPak, Ukash, or cashU. You will also be shown a countdown that states that you need to pay the ransom with 72 hours. Failure to do so will cause the decryption tool to be deleted from your computer.
More detailed information about what this infection does when run can be found in this post by Fabian Wosnar of Emsisoft.
Are there any tools that can be used to decrypt your files?
Unfortunately at this time there is no way to retrieve the key used to encrypt your files. Brute forcing the encryption key is realistically not possibly due to the length of time required to break the key. Any decryption tools that have been released by various companies will not work with this infection. The only method you have of restoring your files is from a backup, or if you have System Restore, through the Shadow Volume copies that are created every time a system restore is performed. More information about how to restore your files via Shadow Volume Copies can be found in the next section.
If you do not have System Restore enabled on your computer or reliable backups, then you will need to pay the ransom in order to get your files back. Please note that there have been cases when people have paid the ransom and the decryption did not work for whatever reason. Furthermore, if you do not pay the ransom within the allotted time, the Cryptolocker decryption tool will be removed from your system and make it much more difficult, if not impossible, to restore your files.
Mogoče bi lahko NSA priskočila na pomoč, če ima že vso "mašinerijo" na voljo
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
@x800xt Verjetno pri tej golazni ni problem sam "remove" virusa ampak kako dešifrirati datoteke, ki jih virus šifrira. Poleg tega ima ta virus kot kaže zelo grdo lastnost, da je sposoben okužiti tudi razne USB, mrežne diske itd. Veliko zlasti domačih uporabnikov ne dela backupa podatkov na kakšne trakove ali podobno, temveč večinoma samo kopirajo podatke na kakšen zunanji USB disk. V primeru tega virusa se ti zlahka lahko zgodi, da imaš tudi tak "backup" zašifriran.
Če bi se tole širilo tako učinkovito kot kakšen conflicker bi bila situacija lahko zelo neprijetna.
sem laik glede enkripcije zato enostavno vprašanje: kaj če postavim virtualko, naložim na sistem N datotek znanih romanov, namenoma okužim fajle (se zakodirajo), ter pričnem reverse inženiring ključa... poznam tisoče stavkov in njihove hashe, zapletenih besednih zvez v romanih, vsaj nekaj fraz bo enakih... kakšne so realne možnosti za uspeh saj to ni klasični blind ali brute force...
Se strinjam. Obstajajo različni pristopi. A kdo ve ali je običajno encript engine zajet v priponki emaila (virus program), ali ga virus naloži z remote lokacije.. in če je v priponki a bi se ga dalo reversat kljub hex kodi
@residual Poleg tebe so na to mislili že kriptoanalitiki in snovalci algoritmov. Pri bločnih algoritmih je tako, da se mora izvorni del že tako in tako razbiti na bloke, ki jih je algoritem zmožen "prebaviti", izhod šifriranja posameznega bloka pa je poleg samega algoritma in ključa odvisen tudi od vseh prejšnjih blokov. Kako točno pa se zgodovina vključi v ta proces (ali se XORa pred/po šifriranju ipd.), pa pove t.i. "način" (angl. mode) šifriranja, največkrat v obliki tričrkovne kratice, npr. ECB (najbolj enostaven, brez upoštevanja zgodovine in kot tak še najlažji za razbijanje, če poznaš del originala), OFB, CFB in še cel kup drugih. Še več, poleg samega simetričnega ključa spada zraven še od njega neodvisni t.i. "inicializacijski vektor", ki predstavlja "zgodovino" pri obdelavi prvega blokua.
@PIPI Pomojem tudi ne, ukash virus, ki sem ga sam odstanjeval pred par meseci je zgledal enako kot to na tvojem zaslonu. Če rabiš navodila za odstanitev: http://www.malwareexperts.com/how-to-re...
residual: To kar predlagaš je known-plaintext attack oz. do neke mere chosen-plaintext attack. Če zadeva uporablja simetrično enkripcijo, je lažje v debuggerju gledati, kako program pride do tega, da bo šifriral datoteko in lepo izluščiš geslo oz. postopek za izračun gesla za posamezno datoteko. Težava je v tem, da malware ponavadi uporablja anti-debugging trike. Večina jih tudi ugotovi, če tečejo v virtualki in takrat po možnosti sploh ne delujejo pravilno.
Ampak v tem primeru je govora o RSA, torej asimetričnem šifriranju.
Oz. bolj natančno zadeva baje uporabi AES z nekim naključno generiranim ključem. Potem se ta AES ključ zašifrira z RSA in odloži nekam. Če si spremljal šifriranje, znaš dešifrirati datoteke, če nisi in dobiš samo datoteko s tem (temi ključi?) pa nimaš več nobene možnosti. Rabil bi namreč zasebni (RSA) ključ, ki pa ga ima le avtor programa.
Wild guess: sklepam, da je tisto iz "how to get data.txt" v bistvu šifriran AES ključ za tvoje datoteke.
Se pravi je treba najti napako v implementaciji. Po možnosti je random beden in lahko po času šifriranja omejiš iskalni prostor.
Edit: bah verzija 2 (http://blogs.quickheal.com/wp/cryptoloc... aka tista ki zahteva 300 $ je še bolj izpopolnjena. RSA-2048. Server zgenerira keypair in public key dostavi clientu (okuženemu računalniku). Server tudi sam poskrbi za uničenje private keya po določenem času.
Če si povezan na NAS, ti ta virus utegne zakriptirat vse kar je na njem?
Verjetno zakriptira vse, do česar imaš dostop s pravico pisanja in je ob okužbi virusu "vidno" (predvidevam da če obstaja na NAS-u nek share, do katerega imaš sicer dostop, ni pa mapiran v Windowsih, ga po moje ne okuži). Na NAS-ih ki jih jaz poznam obstaja tudi "network recycle bin" (koš po domače), kamor gredo vse brisane datoteke. Če virus najprej naredi novo šifrirano datoteko, staro pa pobriše, gre morda v to mapo, čeprav dvomim, ker potem bi se dalo datoteke rešiti tudi na računalniku s kakšnim programom za reševanje pobrisanih datotek.
Ima morda kdo že kakšne praktične izkušnje s tem virusom?
če znaš uporabljat komp virusou sploh ni šans da boš dobu, mam komp že 4 leta brez antivirusnega in nimam nobenga virusa...
Tudi ce znas uporabljati racunalnik in se zavedas nevarnosti, je se vseeno moznost da dobis malware. Prav tako brez programov za preverjanje naceloma ne mores vedeti ce si okuzen, v nobenem primeru pa ne mores trditi da nisi.
