Dostal jsem tě! Kolik dáš za svůj systém a data?

Pověstné české ručičky dávají vzniknout nejen velice praktickým vynálezům ve světě reálném i digitálním, ale také méně chvályhodným kouskům. Do posledně zmíněné kategorie spadá několik pokusů o e-mailové podvody, malwarové hrátky a v poslední době zejména také trojský kůň, na kterého upozornila společnost ESET. Jde o opravdu horké zboží, jelikož varování přišlo včera, tedy v pondělí 13. září.

ESET ve svém upozornění varuje uživatele před trojským koněm MSIL/Lockscreen.J. Ten se snaží na svých obětech vydělat tím, že je jednoduchým trikem nutí zaslat SMS na placené číslo. Cena této SMS, která momentálně funguje pouze v rámci České republiky, je 99 Kč.

Jde o tzv. ransomware – trojan vyděrač. Při typickém scénáři trojan zablokuje počítač se sdělením, podle nějž k tomu, abyste mohli pokračovat dále v práci, musíte zaslat SMS na určité číslo, čímž získáte přístupový kód. Delší historii mají podobné trojany, které zašifrují data a následně požadují zaslání poplatku za dekryptor, říká šéf virové laboratoře ESET Juraj Malcho.

Drží se své role, ale improvizuje

Analýzou posledního případu viroví analytici firmy ESET zjistili, že autor už vydal minimálně další tři podobné aplikace. ESET už na problém upozornil poskytovatele služeb audiotextového čísla. Malware zneužívající placená SMS čísla je problémem především v Rusku a na Ukrajině. Důvodem je nedbalý přístup a nezájem operátorů o problémy spojené se zneužíváním těchto čísel. Tato technika je přitom velmi často využívána i v malware pro mobilní zařízení, protože tyto přístroje přímo podporují odeslání SMS zpráv, dodává Malcho.

Ve světě bezpečnosti není žádným tajemstvím, že se techniky útočníků stále více přiklánějí k rychlému obohacení. Ty tam jsou dny, kdy hacking a další zneužívání moderních počítačových technologií sloužily zejména pro potěchu vlastního ega a zlepšení si pozice v komunitě undergroundových nadšenců.

Původ označení ransomware se váže ke spojení dvou anglických slov ransom (výkupné) a software. Na místě je v tomto případě tedy otázka, jakými cestami je požadování výkupného prováděno – útočník přece svou oběť nějak musí donutit, aby zaplatila. Typický příklad představuje podloudné šifrování uživatelských dat, kdy sice oběť data nadále vlastní, nicméně k nim samozřejmě nemá přístup. Útočník pak požaduje určitou sumu výměnou za odpovídající heslo. Princip až překvapivě jednoduchý, nicméně při kvalitním šifrování a utajení útočníkovy identity dokáže slavit úspěch. Výše zmíněný MSIL/Lockscreen.J alternuje základní vyděračskou techniku, princip se však drží již dříve odhaleného scénáře.

Šifrování vypůjčeným algoritmem

Jedním z nejdiskutova­nějších dřívějších případů ransomwaru byl například trojský kůň Cryzip, který ukázal možnosti použití i potenciální slabiny tohoto typu škodlivého kódu. Prvním zajímavým aspektem bylo upuštění od vlastního šifrovacího algoritmu a použití poněkud pohodlnějšího řešení v podobě volání již hotového šifrování archívů ZIP. Tvůrce Cryzipu si tak ušetřil práci, zároveň se vyhnul riziku vytvoření slabého, snadno prolomitelného mechanismu. Bráno z jiného úhlu pohledu, ačkoliv je šifrování novějších verzí archívů ZIP relativně spolehlivé, existují nástroje pro automatizovaný útok hrubou silou.

Odpovídající soubory pak byly zašifrovány a v aktuálním adresáři vytvořen čitelný textový soubor AUTO_ZIP_REPOR­T.TXT, který obsahoval instrukce pro zaplacení požadované sumy 300 dolarů. Odborníkům ze společnosti Sophos se však podařilo prolomit odpovídající šifrovací algoritmus a zjistili, že heslem je textový řetězec C:\Program Files\Microsoft Visual Studio\VC98. Není bez zajímavosti, že účtů, na které oběti měly zasílat výkupné, bylo hned několik. Autor Cryzipu se tak zřejmě snažil vyhnout situaci, kdy by za použití jediného čísla účtu tento mohl být zablokován a znemožněn převod peněz.

Ilustrativní případ Cryzipu ukazuje práci ransomwaru, jeho výhody i nevýhody. Automatické šifrování a vydírání ve velkém by se mohlo stát pohromou především v rozsáhlejších nezabezpečených systémech, které uchovávají data velkého počtu uživatelů. Pokud autor konkrétního ransomwaru pro šifrování použije vždy stejné heslo, je možné pak napadená data hromadně „léčit“. Horší situace by však mohla nastat v případě, kdy se použitý šifrovací algoritmus nepodaří prolomit a klíč bude odvozován pro každý napadený systém zvlášť.

Bezpečnostní n-lístek a záloha pravidlem

Nahlédneme-li pod kůži záškodnického šifrování dat hlouběji, může být zajímavé sledovat možnosti reakce antivirových společností. Jakmile je trojský kůň odhalen a analyzován, obohatí se databáze signatur o nový přírůstek. Od takové chvíle lze trojského koně detekovat ochranou v reálném čase a eliminovat ještě dříve, než se pustí do šifrování dat. Možnost pozdější kontroly a odhalení post factum však ztrácí význam, jelikož trojský kůň si již své vykonal a poctivě zašifrovaná data nelze bez hesla obnovit.

Ve srovnání s Cryzipem, který již má nějaký ten rok za sebou, zvolili tvůrci nového MSIL/Lockscreen.J o něco více instantní techniku, která funguje podobně jako falešné antiviry – riziko není tak vysoké, nicméně pocit strachu v koncových uživatelích naroste velice rychle, jelikož systém na první pohled vyžaduje okamžitou resuscitaci, aby mohl dál fungovat. To dokáže značně zapůsobit, samozřejmě v podvodníkův prospěch.

       

Slibné vyhlídky by do budoucna mohl mít také vývoj ransomwaru pro mobilní platformu, například chytré telefony. Počet útoků na tato zařízení stále stoupá a jednoho dne se možná dočkáme zašifrování důležitých kontaktů, uložených zpráv i pracovních dat – chcete svá data z mobilního telefonu zpátky? Zaplaťte výkupné a skrze SMS vám přijde odpovídající heslo… Nejde o návod, spíše pomyslnou variantu aktuálního MSIL/Lockscreen.J naruby.

V případě ransomwaru platí, že pro úspěšnou obranu je zapotřebí nebezpečí předcházet, tedy se preventivně bránit instalací všech nezbytností – firewallu, antiviru i antispywaru. Již z principu byste dále neměli vynechat pravidelnou zálohu všech osobních dat a důležitých dokumentů. Dá se totiž předpokládat, že právě takovéto soubory budou pro záškodníka prioritou a záminkou k vydírání (podobně jako v případě Cryzipu). Pokud půjde „jen“ o blokování procesů a systémových funkcí, může svou úlohu antivir splnit stoprocentně, samozřejmě s naším požehnáním.