Спазаряват главорези с биткойни* в браузъра Tor
Хиляди компютри по света ежедневно се подлагат на криптоатаки, които унищожават файловете в тях и съсипват бизнеса. Антивирусните програми са безпомощни пред тях.
Но какво всъщност са криптоатаките? Според Hacker Lexicon – Ransomware, както е английският термин на този малуеър, е софтуер проникнал в компютъра най-често чрез прикачени файлове или линкове в електронната поща, криптиращ всички документи, независимо от вида им на поразения компютър.
Подложените на тези атаки файлове се криптират по една доста съвършена технология, която е лесна за употреба, но много трудна за обратно декриптиране. Използват се много модерни методи и ключове с много голяма дължина. Практически ресурсът, който е необходим за декриптирането е толкова скъп, че е безсмислено. Атакуващият локер /киберпрестъпник/ обаче ти предлага веднага да си платиш и да получиш ключ. Ако информацията е много важна или са вложени десетки или стотици часове труд, жертвата плаща.
Лошото е, че вече има имитатори, които само криптират файловете за спорта и не предлагат дори ключове.
Годишно криптоатаките се оценяват като бизнес за десетки милиони, а разплащанията са в биткойни през тъмната част на интернет – браузъра и мрежата Tor.
Как се извършват атаките
Атаките се извършват по метода „хюман дизайн“ - фишинг. Т.е. човек бива подлъган чрез пощата си – с линкове или прикачени файлове да активира маскиран софтуер. Мислейки да речем, че отваря снимка, потребителят активира няколко процеса едновременно, защото вътре в снимката или PDF файла или друг прикачен файл има вграден програмен код, който стартира освен това, което очакваш да видиш и други процеси. И това води до една незабележима за антивирусните програми дейност, която се върши на компютъра и чрез която програмите на компютъра не биват засегнати, а само файловете, съдържащи документи - снимки, екселски таблици и файлове, генерирани от различни програми, в които човек влага труд, за да се създадат.
Това са примерно проекти, изработвани с аутокад, екселски таблици на счетоводители, бази данни. Имаме и предприятия, и счетоводни къщи, и проектантски бюра, и други кантори и офиси засегнати от такива атаки. Домашните потребители най-често не съобщават за атаките и се примиряват с преинсталиране на целия софтуер на компютъра си.
Файловете се криптират по една доста съвършена технология, която е и доста лесна за употреба, но много е трудна за обратно декриптиране. Използват се модерни методи и ключове с много голяма дължина. Например при 2048 бита ключ с методологията AES и декриптиране по „метода на грубата сила”, ресурсът, който е необходим за декриптирането е толкова скъп, че практически използването на метода е немислимо. При вложени десетки, стотици часове труд в тези документи, той трябва да бъде положен наново, което също е безсмислено. Така, че плащането на 0.7 до малко над един биткойна понякога е приемлив вариант. При сегашните цени, това е от порядъка на няколкостотин лева.
Имал съм такива случаи на плащания от името на клиентите – и тук в Бургас, и в други градове. Просто защото ситуацията е била безизходна.
Както вече отбелязах, това е бизнес, който се оценява на десетки милиони долари годишно в света. А това означава, че има възможности да се впрегне ресурс – и на психолози, и на специалисти. Ето защо продуктите, с които се извършват атаките, са много съвършени. Съвършени са и методите, с които се достига до мейлите на хората, който е най-широко разпространеният път за атака. Можеш да получиш имейл от името на познат човек, но той да не е от него, защото кибер престъпниците са стигнали до списъка ти с контакти в мейл сървъра, който използваш и са наподобили някои от тях. Особено на такива с делово съдържание на кореспонденцията. Там е сигурно, че този човек е потенциална мишена и започват да го подлъгват. Наблюдавайки разпространението, се създава впечатление, че кибер престъпниците имат помагачи и у нас.
Безнаказано ли е за киберпрестъпниците това
Ако хващането им беше толкова просто, те нямаше да го правят. За съжаление плащанията в биткойни са непроследими в сегашната технология, особено ако е извършено през мрежата Тоr. Това е тъмната страна на интернет. Официална информация от интернет е, че Гугъл индексират 16% от цялото интернет пространство. Т.е. всичко, което намираме чрез търсачките на Гугъл заема не повече от 16%. По обратния път стигаме до извода, че 84% от цялото интернет пространство е в тъмната страна. Това са хиляди сървъри, милиони потребители в една мрежа, която се смята за непроследима. Плащанията през нея не могат да се проследят. Там се продават наркотици, продава се оръжие, пазарят наемни убийци и т.н.
Съвети към потребителите
Всички съмнителни мейли или поне прикачените в тях документи и включените в тях линкове не трябва да се отварят. За съжаление ниското ниво на компютърна култура в масовия потребител днес е много благоприятстващ фактор за широкото разпространение на криптоатаките. Умишлено не казвам вирус, защото това е атака, която използва фишинг метода и психологически трикове, за да подлъже човек да стартира нещо на компютъра си, което той не знае, че ще се стартира. В момента така се заобикалят антивирусните защити. Антивирусните програми практически почти нямат отношение. Те могат да открият само една малка част от този тип атаки.
Какво може да се направи? В професионална среда може да се направи следното - всички файлове да се съхраняват по начин, който не е свързан с буквено устройство на компютъра - нито С, нито D, нито нещо друго.
Трябва да се съхраняват на „шернати“ устройства, които не са „мапнати“. Влизам в терминология, но това е неизбежно. Има и скъпи методи със софтуер правещ шернатият мрежов път да изглежда малко по-нестандартен. Простият способ е едно устройство, до което операторът има достъп, но то е мрежово устройство, не е част от файловата система на работния компютър. Защото криптоатаката засяга всички устройства, свързани пряко с компютъра, които са А, B, C, D. Когато сложим една флашка, тя получава собствена буква във файловата система – F, J и т.н. Тя също е подлежаща на атака.
Ако работиш на собствения си компютър е по-сложно, ако попаднеш в криптоатака. Предлагаха продукти, тук искам специално да го отбележа, и продължават да се предлагат такива, които разчитат на виртуализацията. Истината е, че в последните си версии криптоатаките се извършват със софтуер, който разпознава дали се намира в реална или във виртуална среда. И когато е във виртуална среда преминава в латентно състояние, т.е. не прави поражения, за да не събуди подозрения. Но в момента, при който поради някаква причина попадне в реална среда, софтуерът се активира.
Затова аз лично се отнасям с недоверие към виртуализацията като средство за защита. По-скоро трябва да има реално разделяне. За малки офиси е реално да се разделят нещата – на компютътър, на който се работи да не се отварят пощи. Да има компютър за поща. Той може да се ползва от същото работно място, с помощта на отдалечен контрол, отдалечен достъп. Има такива безплатни среди. Уиндоус и Линукс имат изградена такава възможност. Въпрос е на конкретна конфигурация. Разделянето на средата напълно, физически гарантира защитата. Другият малък компютър, който може да евтин, да е само за пощите. Много колеги могат да ме упрекнат за това предложение, но това е истинско разделяне. И там няма никакъв проблем. Да, те ще са свързани по мрежата, но няма да има пряка връзка между файловите системи.
Други начин за защита на данните при криптоатака е да се правят архиви, като не са архиви с припокриване. За домашните потребители и малките офиси, използването на облачни услуги, като Dropbox и Google Drive и др., предоставя възможност за връщане към предпоследната редакция на определен документ, съхраняван в тяхната среда. Това означава, че ако работите един документ с едно и също име, облачната услуга съхранява автоматично няколко последни версии на дадения документ и след поразяването на компютъра тези документи се съхраняват, тъй като са недостъпни за файловата система. След отстраняването на проблемите, чрез интерент достъп до облачните услуги, могат да бъдат възстановени до предпоследните версии на документите.
*Биткойн (на английски: Bitcoin, получено от бит (на английски: bit) и монета (на английски: coin)) е платежна система, основана на P2P разпределена мрежова архитектура и работеща с едноименна единица биткойн, наричана виртуална валута или криптовалута, основана на сложни математически зависимости, използвани в криптографията
Автор Валентин Русалийски
*Заглавието е на редакцията на burgasdream.com
Коментари
Петя,едва днес до мен стигна информацията за коментара.
Съжалявам но са изтекли обичайните срокове който повечето криптолокери поставят като условие за контакт за откупуване на ключ.Трябва и да се види кой конкретно варинат на криптоатака имаме. В някой от случайте с точно определени варианти на криптиране има успехи(вкл. в Бургас) с декриптирането. Обадете се на редакционния мейл или телефон и ще изясним ситуацията, ако вече не затрито всичко.
RSS на коментарите по тази тема