Slo-Tech - Lanski hit med virusi je bil CryptoLocker, ki je ob okužbi zašifriral podatkovne datoteke in zahteval plačilo določene količine bitcoinov v zameno za ključ, ki bi odšifriral datoteke. CryptoLocker je uporabljal 2048-bitni ključ in vse do danes ga raziskovalcem ni uspelo zlomiti. Nekateri so zato dejansko plačali zahtevano odkupnino in nekateri med njimi so datoteke dobili nazaj, drugi pa bojda ne. ZDNet je raziskal dobičkonosnost tega početja in ugotovil, da so pisci virusa dobili vsaj 40.000 bitcoinov (okrog 22 milijonov dolarjev), zato ni presenetljivo, da se je na internetu pojavila vrsta posnemovalcev.
Eden izmed njih je tudi BitCrypt, ki je začel krožiti letos in je zahteval 0,4 bitcoina kot odkupnino. Toda tega pa so raziskovalci uspeli razbiti in izdelali so orodje za dešifriranje datotek. Francoza iz Airbus Defence & Space - CyberSecurity (nekdanji Cassidian) sta analizirala BitCrypt in ugotovila, da so bili pisci površni. Očitno so za šifriranje želeli uporabiti 1028-bitni ključ, a so uporabili ključ, ki je imel 1028 desetiških številk oziroma 426 bitov (podrobnosti). To pa je zadosti malo, da so ga uspeli zlomiti.
V tem primeru je torej raziskovalcem uspelo zlomiti izsiljevalski virus, a to ni razlog, da bi si lahko oddahnili, saj jim je to uspelo le zaradi površnosti piscev. CryptoLocker medtem ostaja nerešena uganka in nas opominja, da so za domačo rabo varnostne kopije podatkov, ki niso priključene v računalnik oziroma internet še vedno izjemno pomembne.
Imaš pa zaščito v obliki protekcije fajlov, Panda Cloud je imela to (čeprav so z verzijo 2.9 odstranili zaradi drugih razlogov pri razvoju), prihajajoči COmodo IS 7.0 ima tud to opcijo s tem da moraš zadevo nastavit ročno. Crypter bo sicer mislil, da je vse zakodiral, v resnici pa bo samo delal v prazno.
Sample lahko dobiš iz VT samo če si preverjeni razvijalec varnostne opreme. Tud vedi, da če VT ne zazna še ne pomeni, da dejanski samostojni produkt tud ne zazna. VT recimo cloud detekcij sploh ne uporablja.
Če dam recimo za primer avast!, ki ga najbolj poznam, DeepScreen, FileRep in Evo-Gen detekcije sploh ne delujejo. Te 3 tehnologije pa so najbolj kritične za nove sample. In podobno je z večino drugih AV-jev, kjer cloud deluje samo za on-access in ne on-demand scan. Predvsem zato, ker piscem golazni to krepko oteži delo plus nikoli ne morejo bit ziher kdaj bo nekaj zaznalo in kaj ne, ker je vse odvisno od on-th-fly analiz v cloudu.
Seveda lahko, ampak če bojo testiral sample ga bo antivirus prejel v cloud kjer ga avtomatizirani sistemi uvrstijo v detekcijo v roku nekaj minut do kakšne ure ali dveh. Če pa cloud blokirajo, da do tega ne bi prišlo pa ne bojo mogli testirat cloud detekcij. Pretty neat eh? :)
