Izsiljevalski Wildfire zlomljen
Matej Huš
24. avg 2016 ob 20:48:27
Projekt No More Ransomware je uspešno zlomil izsiljevalski virus Wildfire, ki se je širil po zahodni Evropi, zlasti po Belgiji in Nizozemski. Žrtvam tega virusa tako ne bo treba plačati do 1,5 bitcoina (okrog 800 evrov, a so se bili pisci pripravljeni pogajati tudi za nižje cene) za odklep podatkov, temveč lahko to storijo kar sami. Podobne nesnage na internetu kar mrgoli, a je Wildfire vseeno pomemben zaradi dveh točk - ker so se pisci ali bolje rečeno prikrojevalci zelo potrudili, da je okužena elektronska pošta videti verodostojna, in ker so njegovi skrbniki drugi kakor pisci. Širi se namreč ransomware-as-service, kar bi lahko prevedli v najem izsiljevalske programske opreme oziroma franšizo.
Iniciativo No More Ransomware so zagnali Evropol, nizozemska policija, Intel Security in Kaspersky Lab ter na enem mestu nudi informacije, ki so žrtvam v pomoč pri reševanju situacije. No More Ransomware zna odkleniti podatke iz že kar nekaj različnih izsiljevalskih virusov (med drugim Shade, Coinvault, Rannoh, Rakhn), stran pa je dovolj inteligentna, da iz vzorca zaklenjene datoteke sama ugotovi, kdo oziroma kaj nam jo je zagodlo.
Če se vrnemo k Wildfiru, ugotovimo, da so se upravljavci zelo potrudili, s čimer so si "zaslužili" okrog 70.000 evrov. Virus se je širil v elektronskem sporočilu, ki je bilo napisano v tekoči nizozemščini in z ustrezno grafiko, da je bilo videti legitimno. V njem so prejemnika obvestili o domnevno neuspeli dostavljeni pošiljki in mu ponudili dogovor o ponovni dostavi. Povezava v sporočilu je vodila na stran, ki je poskrbela za okužbo.
Toda analize kode je pokazala, da je bila sama koda verjetno napisana nekje v Vzhodni Evropi, ker vsebuje navodila, naj se sistemi v Rusiji in okoliških vzhodnoevropskih in rusko govorečih državah ne okužijo. To ni tako neobičajno, saj si s tem pisci zagotovijo, da jim lokalna policija ne diha preveč za vrat že sama po sebi, temveč morajo k njej potrkati tuji organi pregona. Wildfire je zelo verjetno del ransomware-as-service, kjer lahko vsakdo najame osnovno infrastrukturo ransomwara, ki ga potem prikroji lokalnim potrebam. Pisci programa za to uslugo običajno poberejo 30-40 odstotkov izsiljenih bitcoinov, preostanek pa obdrži najemnik.