» »

CryptoLocker premagan

CryptoLocker premagan

Slo-Tech - Po uničenju botneta, ki je skrbel za širjenje izsiljevalskega virusa CryptoLocker, so raziskovalci v njegovo krsto zabili še zadnji žebelj. Z vzvratnim inženiringom so uspeli sestaviti orodje, ki dešifrira šifrirane datoteke in tako žrtvam omogoči obnovitev podatkov.

CryptoLocker se je po spletu začel širiti septembra lani in kmalu je prispel tudi v Slovenijo. Uporabnika je ob okužbi obvestil, da so njegove datoteke šifrirane in da mora za njihovo obnovitev plačati odkupnino v bitcoinih protivrednosti približno 300 dolarjev. Omrežje CryptoLockerja so v okviru operacije Tovar policijske enote iz več držav s sodelovanjem IT-podjetij uspele razbiti, a to je bilo obstoječim žrtvam bolj malo v pomoč.

CryptoLocker je deloval takole. Ob okužbi se je povezal na eno izmed naključno generiranih domen (DGA) in na disk prenesel javni RSA-ključ. Potem je za vsako datoteko tvoril svoj AES-256 ključ in jo šifriral z njim. Ta ključ je potem šifriral s prenesenim javnim RSA-ključem in rezultat zapisal na začetek datoteke.

Ocenjujejo, da je približno 1,3 odstotka žrtev dejansko plačalo odkupnino, nekaj jih je imelo verjetno varnostne kopije, preostali pa so se morali sprijazniti z izgubo podatkov. Če so jih kljub temu hranili do danes, jih lahko sedaj rešijo. Podjetji FireEye in FOX-IT sta uspeli razvozlati kodo virusa in pripravili sta orodje, ki omogoča dešifriranje.

Ker CryptoLocker za razliko od primitivnih virusov uporablja različen šifrirni ključ za vsako žrtev, je odklep nekoliko bolj zapleten. Uporabnik mora na splet naložiti poljubno zaklenjeno datoteko, orodje pa mu potem po elektronski pošti posreduje ključ za odklep. CryptoLocker ima cel kup klonov in izpeljank (CryptoDefense, PowerLocker, TorLocker, CryptorBit), za katere orodje ni nujno, da bo delovalo. Približno pol milijona žrtev CryptoLockerja pa si lahko oddahne.

21 komentarjev

Blinder ::

No super. Še eno stvar so naredili, ki je code monkeyi nebi bili sposobni ustvariti.
99.991% of over-25 population has tried kissing.
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
Intel i3-12100f gtx 3050 Pismo smo stari v bozjo mater. Recesija generacija

johnnyyy ::

Zanimivo je predvsem to, da ima vsaka žrtev svoj ključ, ki ga pridobi iz strežnika. Da bi iz javnega ključa pridobili tajnega z reverznim inženiringom virusa se mi zdi malce čudno. Pri uporabi decryptolockerja jim na spletno stran ne posreduješ RSA ključa, ampak datoteko, ki vsebuje naključen ključ šifriran z RSA pub (če prav razumem novico). Zato bi bilo zanimivo vedeti na kakšen način rekonstruirajo tajni ključ, ki ti ga pošljejo po e-mailu.

Blinder je izjavil:

No super. Še eno stvar so naredili, ki je code monkeyi nebi bili sposobni ustvariti.

Glede na to da so pred kratkim razbili mrežo, so najbrž preiskali tudi strežnike na katerih so se generirali ključi. Če so pridobili bazo vseh public/private ključev, potem ni potrebno biti ravno Einstein, da preveriš s katerim ključem odkleneš šifriran del datoteke :D.

Rudolf ::

Stvar zelo spominja na slovenske občine in njih župane. S skrajnimi napori in skorajda revolucijo zamenjaš enega, ostaja jih še 211... :))

prenasalec ::

Ima virus vgrajeno tudi dešifriranje datotek ali je nujen še en program zraven?

knesz ::

prenasalec je izjavil:

Ima virus vgrajeno tudi dešifriranje datotek ali je nujen še en program zraven?

Vgrajeno dešifriranje. Če si (bil) okužen in si plačal za dešifriranje datotek, virusa nisi smel odstranti ampak počakati, da ti je dešifriral vse datoteke. Poleg tega, ti je na disk nasnel še en programčič ki si ga pognal, če je bila dekripcija kakšne datoteke slučajno neuspešna in opaziš kasneje. V kolikor si pa virus izbrisal, so ti pa poslali oz. se je dalo dobiti ločen program za dekripcijo. V glavnem, zelo profi narejeno.

Phantomeye ::

Ziher jim ni uspelo ustvariti dekriptorja, ampak so pritisnili na avtorje : P

edit: glede na slike... a to orodje lahko dejansko odklene samo vsak file posebi?

Zgodovina sprememb…

Chymera ::

V originalni novici pise (sicer ne cisto direktno) da imajo bazo z kljuci:

Are all encrypted files afflicted with CryptoLocker decryptable with this tool?
We believe we recovered everything the from the CryptoLocker database. However, we are aware that there could be a limited data chunk that could be missing which is related to either the takedown or interruptions of the CryptoLocker backend infrastructure.

Markoff ::

Rudolf je izjavil:

Stvar zelo spominja na slovenske občine in njih župane. S skrajnimi napori in skorajda revolucijo zamenjaš enega, ostaja jih še 211... :))

Ja, pri tem pa narod sproži revolucijo, ker noče plačati kazni, ki so jih dobili upravičeno zaradi zavestnega kršenja zakonodaje.
Istega župana niso zrevolucionirali zaradi rabot in njegovega polnega žepa, temveč zato, ker jim je spraznil njihovega.
Kako...slovensko.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

prenasalec ::

knesz je izjavil:

prenasalec je izjavil:

Ima virus vgrajeno tudi dešifriranje datotek ali je nujen še en program zraven?

Vgrajeno dešifriranje. Če si (bil) okužen in si plačal za dešifriranje datotek, virusa nisi smel odstranti ampak počakati, da ti je dešifriral vse datoteke. Poleg tega, ti je na disk nasnel še en programčič ki si ga pognal, če je bila dekripcija kakšne datoteke slučajno neuspešna in opaziš kasneje. V kolikor si pa virus izbrisal, so ti pa poslali oz. se je dalo dobiti ločen program za dekripcijo. V glavnem, zelo profi narejeno.

To je nenavadno, če me spomin ne vara, sem nekaj mesecev nazaj prebral novico, da ti ključa ne dajo, tudi če plačaš. Zato se mi je zdelo nenavadno, da je vgrajeno dešifriranje, če ključev ne pošiljajo niti proti plačilu.

knesz ::

prenasalec je izjavil:

knesz je izjavil:

prenasalec je izjavil:

Ima virus vgrajeno tudi dešifriranje datotek ali je nujen še en program zraven?

Vgrajeno dešifriranje. Če si (bil) okužen in si plačal za dešifriranje datotek, virusa nisi smel odstranti ampak počakati, da ti je dešifriral vse datoteke. Poleg tega, ti je na disk nasnel še en programčič ki si ga pognal, če je bila dekripcija kakšne datoteke slučajno neuspešna in opaziš kasneje. V kolikor si pa virus izbrisal, so ti pa poslali oz. se je dalo dobiti ločen program za dekripcijo. V glavnem, zelo profi narejeno.

To je nenavadno, če me spomin ne vara, sem nekaj mesecev nazaj prebral novico, da ti ključa ne dajo, tudi če plačaš. Zato se mi je zdelo nenavadno, da je vgrajeno dešifriranje, če ključev ne pošiljajo niti proti plačilu.

Informacija je iz prve roke. Kolega (firma) je fasal virus in so mu kriptirali vse datoteke vključno na serverju, ker je imel mapirane pogone. Plačali smo 0.3BTC, takrat okoli 300€ in zadevo smo uspešno (za nas in za napadalce) rešili.

prenasalec ::

Toliko bolje. Hvala za infomacijo.

grex ::

Trenutno je aktiven CBT locker, ki zahteva 3.0 BTC - isti problem, vendar nerešljiv brez plačila - glej mojo temo na podforumu Informacijska varnost.

Bellzmet ::

A to zadevo se da dobit preko Gmaila?

SeMiNeSanja ::

Bellzmet je izjavil:

A to zadevo se da dobit preko Gmaila?

Preko maila DA.
Preko Gmaila - če imaš smolo. Odvisno od tega, kako dober AV imajo na Gmailu, če prepozna okuženo datoteko ali ne. Problem Cryptolockerja je v tem, da uporablja različne tehnike, da bi se skril pred AV rešitvami. Različne variante, ki že nekaj časa krožijo, bodo z večjo verjetnostjo zaznane. Problem so lahko 'sveže' variante.

Zato je bolje uporabiti pamet in ne klikati po vseh živih priponkah. Odpiraj samo priponke od znanih pošiljateljev od katerih pričakuješ določene datoteke. Če nisi prepričan, pošlješ sporočilu pošiljatelju "kaj mi to pošiljaš?" - če je kaj legitimnega, ti bo že odgovoril za kaj se gre. Vse ostalo pa sodi v koš za smeti!
Tako se ne boš zaščitil samo pred Cryptolockerjem ampak še pred celim kupom druge golazni 'tam zunaj'.

Bellzmet ::

No sej vprašanje je šlo v smislu ali so pametnejši od Googla in njihovih varnostnih rešitev?

Daniel ::

A zašifrira tudi datoteke na Dropboxu, če je le ta povezan z računalnikom? Ker sam imam vse pomembnejše dokumente shranjene kar tam, da jih lahko obnovim če slučajno crkne disk.

wanderer ::

Daniel je izjavil:

A zašifrira tudi datoteke na Dropboxu, če je le ta povezan z računalnikom? Ker sam imam vse pomembnejše dokumente shranjene kar tam, da jih lahko obnovim če slučajno crkne disk.


If you have DropBox mapped to a drive letter on an infected computer, CTB Locker will attempt to encrypt the files on the drive!

CTB Locker will encrypt data files on network shares only if that network share is mapped as a drive letter on the infected computer. If it is not mapped as a drive letter, then CTB Locker will not encrypt any files on a network share.

Uporabiš pa lahko Previous Versions, da podatke obnoviš

SeMiNeSanja ::

Ali kdo ve, če zakriptira tudi datoteke, ki so označene kot read-only?

knesz ::

SeMiNeSanja je izjavil:

Ali kdo ve, če zakriptira tudi datoteke, ki so označene kot read-only?

Vse datoteke.

levaky ::

ZFS snapshots to the rescue:)

Matej

Mare2 ::

levaky je izjavil:

ZFS snapshots to the rescue:)

Matej


Ne razumem, pojasni prosim. :)
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

FBI: izsiljevalskim virusom kar plačajte (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5235289 (29665) Mare2
»

CryptoLocker premagan

Oddelek: Novice / Kriptovalute
2115952 (11098) Mare2
»

Prvi izsiljevalski virus za Android

Oddelek: Novice / Varnost
2211478 (8885) boolsheat
»

Raziskovalci razbili izsiljevalski BitCrypt

Oddelek: Novice / Kriptovalute
1310297 (8239) MrStein
»

Po Sloveniji se širi Cryptolocker (strani: 1 2 )

Oddelek: Novice / Varnost
6131822 (18818) alro

Več podobnih tem