Хакер си посипва главата с пепел, публикува криптоключовете си
Хиляди компютри ежедневно се подлагат на криптоатаки, които унищожават файловете в тях и съсипват бизнеса. Антивирусните програми са безпомощни пред тях.
Но какво всъщност са криптоатаките? Според Hacker Lexicon – Ransomware, както е английският термин на този малуеър, е софтуер проникнал в компютъра най-често чрез прикачени файлове или линкове в електронната поща, криптиращ всички документи, независимо от вида им на поразения компютър.
Подложените на тези атаки файлове се криптират по една доста съвършена технология, която е лесна за употреба, но много е трудна за обратно декриптиране.
Какво означава офлайн архив
Офлайн архив е примерно една флашка, на която имаш архив. Тя не трябва да е включена постоянно в компютъра и се прави отделен нов архив, а не върху стария. И примерно на 3-4 архива започваш да припокриваш, защото все пак те заемат много място. Може и да е на външен харддиск. При цена 50-70-80 лв., това е нищо в сравнение с щетите, които могат да се понесат. Много часове вложен труд. Това е най-сигурният начин. Ако имаш добър архив, пораженията от атаката се свеждат до последния архив. Само, че преди това компютърът трябва да се почисти от компетентен човек, да се изтрият всички криптирани файлове и да се възстановят от архива. Това е най-добрият начин.
За съжаление това е свързано с ангажиране на потребителя и несигурно, защото може да бъде пропуснато. За автоматичните архиватори – криптолокерите започнаха да се съобразяват с тях. Последните им разработки са такива, че ако се прави автоматично архивирането отива и архивът. Защото ако файлът ти се казва burgas.doc, по-ранните версии криптираха самото съдържание на файла и той си оставаше със същото име и с някакво допълнително разширение, примерно burgas.doc.egg, но старият файл просто го няма. Докато сега правят така - burgas.doc си остава, но той е с нулева дължина. Създава се нов файл, който се казва burgas.doc.helpme @ddd.org. Това е най-модерното в Бургас в момента. И автоматичният архиватор, като хвърли новия ти файл с нулева дължина върху стария и архивът е безсмислен. Тръгват после едни процеси на възстановявания, които са несигурни общо взето като изход. Част от информацията може да бъде възстановена, но друга не.
Затова най-добър е външният оффлайн архив, който се изключва от системата и се включва, когато е сигурно, че е почистен атакуваният компютър.
Повторните атаки
Вече има случай в Бургас, когато се случиха повторни атаки на един и същи компютър. Хора, които са преживяли криптоатака, пак им се случва отново същото. Използва се психологически подход. Няма защита от такова нещо. Ако сам не се пазиш, няма кой друг да те опази.
Да не се посяга към прикачени документи и линкове преди да си се уверил по някакъв друг начин дали този човек, който потребителят познава, му е пратил такъв документ.
У нас компютърната културата на крайните потребители е изключително болезнен въпрос. В Западна Европа има страни, в които за да заемеш примерно държавна служба или пък в по-голяма корпорация, се иска документ за компютърна грамотност, за преминато обучение. И той се подновява на всеки три години. Това включва и опитност да сканираш документи, да изпращаш документи по всякакви дигитални устройства. Докато при нас е „той нашият човек си знае добре работата, те компютърджиите ще помогнат”. Ще помогнат, ама те не могат да са постоянно с него.
Наскоро се появи и Ransomware за Linux, но Linux е проектиран като OPEN SOURCE проект и е много по-защитен. Антивирусните специалисти много бързо предприеха мерки който елемирираха проблема. В друг случай специалисти от една антивирусна компания намериха слабо място в реализацията на криптиращия метод на едни вид криптолокер и декриптирането му сега е въпрос на часове.
На 1 декември т.г. се случи още нещо интересно по темата. Сайтът kaldata.com съобщи че специалисти от компанията Emsisoft са създали софтуер за декриптиране на пораженията от още един криптолокер – DecryptorMax известен и като CryptInfinite.
Бизнесът е много голям. Лошото е, че в момента се навъдиха и имитатори. Докато при истинските киберпрестъпници има шанс, ако нещата са много сериозни, да платиш и да си получиш обратно информацията от файловете, при имитаторите няма такъв шанс, защото те нямат такава цел. За тях това е някаква изкривена представа на самодоказване, нещо нелогично и ненормално. Освен имитатори вече има случай и на некъдърно направени локери, при които също няма декриптиране дори и с плащане.
Обикновено като има криптоатака, там има указания как да се свържеш през тъмната страна на мрежата, да получиш указания, къде да платиш, какво да направиш - при имитаторите няма такова нещо.
Други заплахи по интернет
Имаше материал в българска медия как северноафрикански хакери са фалирали един куп фирми у нас с подмамване. Правят се сделки по мейла, примерно контейнер трябва да пристигне от Китай. В сюблимния момент, когато се размени информацията за банковите плащания, те се включват, прекъсва се пряката комуникация с оригиналния мейл сървър и комуникацията започва да минава през техен сървър. Като мейловете изглеждат точно същите като оригиналните. Това нещо е много просто да се направи. И човекът остава убеден, че комуникира със същите хора, с които досега е уговарял сделката. И му казват – ние сега тука трябва да сменим банковата сметка защото станаха едни реформи.
Има случай, при който десетки хиляди евро си заминаха. То се знае в коя банка са, но тя е офшорна зона, има банкова тайна и .. свърши. Това са реални хора, които познавам.
Имаше един интересен случай. Един от киберпрестъпниците си беше публикувал всички ключове и извинително писмо до всички, които са засегнати от хората, работещи с неговите ключове и с неговия софтуер. Провериха го колеги и казаха, че базата е реална. Това означава да имаш бизнес за няколко десетки милиона годишно и изведнъж да се откажеш от него. Звучи абсолютно нелогично. Според мен са го докопали някои служби и не искат да го разгласят. Предложили са му да публикува ключовете си, за да послужи за назидание.
В интерес на истината има известна промяна след този случай в поведението на останалите киптолокери. Престана използването на мрежата Тор за връзка с криптолокерите. В момента се използват други методи, които са по-малко надеждни и понякога връзката просто не се осъществява.
Това беше преди два-три месеца. Аз имам и оригиналното писмо, и записа, и всичките данни. Странно продължава да стои този случай. Още по-станно е, че не се шуми около него. Може би не се шуми по принцип около криптоатаките толкова.
Автор Валентин Русалийски