CryptoLocker premagan
Matej Huš
11. avg 2014 ob 08:14:44
Po uničenju botneta, ki je skrbel za širjenje izsiljevalskega virusa CryptoLocker, so raziskovalci v njegovo krsto zabili še zadnji žebelj. Z vzvratnim inženiringom so uspeli sestaviti orodje, ki dešifrira šifrirane datoteke in tako žrtvam omogoči obnovitev podatkov.
CryptoLocker se je po spletu začel širiti septembra lani in kmalu je prispel tudi v Slovenijo. Uporabnika je ob okužbi obvestil, da so njegove datoteke šifrirane in da mora za njihovo obnovitev plačati odkupnino v bitcoinih protivrednosti približno 300 dolarjev. Omrežje CryptoLockerja so v okviru operacije Tovar policijske enote iz več držav s sodelovanjem IT-podjetij uspele razbiti, a to je bilo obstoječim žrtvam bolj malo v pomoč.
CryptoLocker je deloval takole. Ob okužbi se je povezal na eno izmed naključno generiranih domen (DGA) in na disk prenesel javni RSA-ključ. Potem je za vsako datoteko tvoril svoj AES-256 ključ in jo šifriral z njim. Ta ključ je potem šifriral s prenesenim javnim RSA-ključem in rezultat zapisal na začetek datoteke.
Ocenjujejo, da je približno 1,3 odstotka žrtev dejansko plačalo odkupnino, nekaj jih je imelo verjetno varnostne kopije, preostali pa so se morali sprijazniti z izgubo podatkov. Če so jih kljub temu hranili do danes, jih lahko sedaj rešijo. Podjetji FireEye in FOX-IT sta uspeli razvozlati kodo virusa in pripravili sta orodje, ki omogoča dešifriranje.
Ker CryptoLocker za razliko od primitivnih virusov uporablja različen šifrirni ključ za vsako žrtev, je odklep nekoliko bolj zapleten. Uporabnik mora na splet naložiti poljubno zaklenjeno datoteko, orodje pa mu potem po elektronski pošti posreduje ključ za odklep. CryptoLocker ima cel kup klonov in izpeljank (CryptoDefense, PowerLocker, TorLocker, CryptorBit), za katere orodje ni nujno, da bo delovalo. Približno pol milijona žrtev CryptoLockerja pa si lahko oddahne.