субота, 28. септембар 2013.

Crylock - Trojanac Koji Sifrira Podatke

Crylock - Trojanac Koji Sifrira Podatke




Crypto Locker ili skraceno Crylock je trojanac koji se poceo siriti u prvoj polovini septembra i ciljna grupa su mu uglavnom poslovni racunari.
Metode sirenja: u najvise slucaja emailovi poslati na poslovne email adrese, a ima i primera za drive-by download preko kompromitovanih stranica, kao i lazni zahtevi za skidanje nekog programa kako bi se navodno mogli gledati online filmovi. Takodje je prijavljeno da  se Crylock pojavio na racunarima koji su zarazeni Zeus-botnetom.


Crylock skenira hard disk i sifruje najraspostranije kancelarijske fajlove, i trazi da se plati za UCENU da bi fajlove vratio u prvobitno stanje.
Lista fajlova koju Crylock trenutno 'zaklucava' na ovaj nacin:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Za ocekivati je da ce crypto trojanci u buduce vise imati verzije i za privatne racunare, i da ce njihovi cilj biti da sifriraju sve formate filmova, muzike i slika.

Zakljucane fajlove nije moguce vratiti u normalno stanje danas postojecim dekriptujucim metodama.

Moguce resenje (samo ako je System Restore ukljucen! Ali vratiti ceo sistem u prethodno stanje od recimo pre 5 dana opet nije resenje jer otada vec ima sacuvanih novih verzija fajlova koji se mogu na zahtev vratiti, no odluka je na vama) :
    - desni klik na sifrovan fajl i odabrati Restore Previous Versions
        - u sledecem prozoru odabrati neku raniju verziju koja je dostupna i povratiti klikom na OK
    - Posto je pojedinacno vracanje fajlova na ovaj nacin dug i mukotrpan mozete koristiti program Shadow Explorer (http://www.shadowexplorer.com/downloads.html) da bi se uz pomoc njega vratile cele datoteke u prethodno stanje.
Naravno ovo vazi ako se trojanac prvo ukloni (recimo da se nezeli platiti ucena ali zeli se pokusati spasiti stovise podataka). Malwarebytes uspesno uklanja Crlock trojanca.

Nacini odbrane od bilo kojih vrsta malicioznih programa


Najbolji nacin odbrane je svakako ni ne doci do zaraze (nisakakvim virusom ili trojancem u buduce)

Par predloga da bi se to moglo postici:

1: Koristite SANDBOX tehnologiju
Sandboxie je besplatan program za kucnu upotrebu sa kojim se moze izolirati bilo koji web pretrazivac od sistema a da i dalje mozete redovno posecivati bilo koju web stranicu. Isto se moze uz pomoc njega pokrenuti skoro svaki program u izolovanom okruzenju. Najbolje resenje koje postoji.

Nazalost ima par programa sa kojima neradi, narocito sa mail, chat i voip klijentima (Thunderbird, Skype, itd.)

Ako mailove otvarate preko Outlooka (onda to batalite stopre i predjite na Thunderbird...) ili Thunderbirda onda pazite da nikada ne otvarate priloge od nepoznatih lica. U poslovnoj sferi je ovo neprakticno, ali prilozeni fajlovi se opet mogu otvoriti u Sandboxie-u!
Jos veca mera zastite je da se instalira COMODO Firewall bez njegovog antivirusa (ovako nesmeta vec instaliranom antivirusu, ali ovo ima caku tako da mi slobodno pisite kako se treba uraditi), i u njemu se moze podesiti bilo koji program da se automatski pokrene u COMODO sandbox resenju (force sandbox).
Zasto dva sandbox resenja? Jer Sandboxie po mom iskustvu je dosad apsolutno neprobojan, ali neradi bas sa svakim programom, dok koriscenje COMODO-a omogucava sandboxovanje skoro bilo koje aplikacije, ali zahteva mnogo vise strpljenja, treba se detaljno namestiti da bi osigurao sistem, jer po fabrickim podesavanjima postoji sansa da dozvoli izolovanom crypto trojancu da napravi stetu po fajlovima.

2: Klin se klinom izbija, ako uslovi dozvoljavaju onda zastitite vama najbitnije datoteke enkripcijom!
Mozete sami praviti enkriptovane particije uz pomoc sjajnog besplatnog programa TrueCrypt.
Ovo moze biti korisno svedok autori crypto trojanaca ne pocnu sifrirati cak i TrueCryptovane volume...


3: Redovno pravite sigurnosne sacuve bitnih podataka, dali koristeci externi hard disk ili neku web uslugu, ili obicnim rezanjem na DVD, kako god vama odgovara.

4: Nemojte koristiti Windows sa Administratorskim pravima, i nemojte iskljuciti UAC u Win Vista/7/8. Napravite obicne korisnicke naloge sa razlicitim pravima.
Ovo ce bar toliko pomoci da obicni virusi nemogu da se automatski rasire na ceo sistem, a crypto trojanci nece moci da menjaju stanje fajlova za koje prijavljeni korisnik nema prava pristupa.

5: Ukljucite DEP za sve programe u Windowsu (ako slucajno neki legitimni program bude potrebovao omoguceno DEP izvrsavanje onda se moze dodati u listu izuzetaka)
Desni klik na My Computer, izaberite Advanced System Settings, u novom prozoru pod performance kliknite na dugme Settings... Idite na Tab Data Execution Prevention i obelezite Turn on DEP for all programs and services except those I select:
Ispod se nalazi dugme Add.. sa kojim se mogu dodati izuzeci ako slucajno neki program stvarno potrebuje da koristi Data Execution.

6:Posto se Crylock pokrece iz foldera %AppData% moguce je napraviti zabranu programima da se izvrsavaju iz AppData ili njegovih podfoldera:
START/RUN/gpedit.msc/Computer Configuration/Windows Settings/Security Settings/
Software Restriction Policies/desni klik na Additional Rules/New Path Rule.../ 
Ispuniti polje path sa:
%AppData%\*\*.exe
Security Level namestiti na:
 Disallowed
Restart sistema
Napomena, ovo moze imati negativan uticaj na rad nekih programa koji zahtevaju pokretanje iz AppData podfoldera


7: Slicno resenje gornjem uz pomoc programa Crypto Prevent

*****************************************************************************

U dobro staro doba prvih korisnickih racunara virusi i ostali maliciozni programi su stvarno pravili stetu, brisali podatke, unistili hard disk (terali su glavu citaca da predje u poziciju iz koje se nije znao vratiti u normalan polozaj), cak su znali i celu maticnu plocu da naprave neupotrebljivim, prepisujuci podatke u BIOS-u.

Cilj im je bio da pokazu tehnicko znanje njihovih autora, i sabotaza radi cistog LOL-a.
Ima par retkih slucajeva u svetu da se korisnici susretnu sa nekim ovakvim virusima koji uspesno osakate hardver, ali zbog velike raznolikosti komponenate ovi virusi nisu u mogucnosti da prave stete na bilo kakvom racunaru, i generalno 'nisu u modi'.

U poslednje vreme medjutim skoro ni traga tome, autori malicioznih koda su svoju paznju preneli na to da zarade uz pomoc svojih programa. Da bi to ostvarili oni na razne nacine pokusavaju zrtve namamiti ili naterati da plate za nepotrebne i lazne aplikacije ili servise. Jos par razloga za postojanje danasnjih malicioznih programa su uspostavljanje botnet-ova (mreza zarazenih 'zombi' racunara, koja se na primer moze koristi za masovni online napad na web stranice raznih institucija), kradja korisnickih podataka, i rudarenje digitalnih valuta kao sto je bitcoin koristeci resurse zrtvinog racunara (opet sve u svrhu neke potencialne zarade).

Zbog ovog sasvim drugacijeg cilja danasnji maliciozni kodovi zapravo nezele napraviti nikakvu stetu u radu racunara. Onemoguce neke zastitne funkcije operativnog sistema, ali se trude ostaviti sistem dovoljno operativnim da bi se mogla odrzavati kontrola nad napadnutim racunarem. Trude se da ostanu neotkriveni, ili zele da prepadnu korisnika kako bi on uradio neki ishitreni potez (plati za nista).
Kada ih uspesno otkrijemo i otklonimo onda nema trajnih posledica.

Bilo tako do nedavno.

Trojanac o kojem sada citate je jedan od mnogih koji ponovo upotrebljavaju staru ali usavrsenu i izuzetno efektivnu tehnologiju koja je trenutno neprobojna.

Crylock sifrira dokumente koji se nalaze na hard disku uz pomoc kombinacije RSA i AES enkripcije, svako ko je makar cuo za ove termine jasno zna da tu nije rec o sali, posto su u pitanju metode koje se koriste za enkripciju i na najvisim drzavnim nivoima.

Drugim recima sadrazaji svih fajlova koji su tretirani na ovaj nacin postanu neprepoznatljiva gomila slova i simbola, a JEDINSTVENI kljuc za njihovo desifriranje se nalazi na udaljenom serveru.

Sam trojanac nije izazov za ukloniti, ali na njegovom crvenom prozoru sve jasno pise, da ako se on slucajno otkloni ili osteti onda nema nacina da se fajlovi ikada vise dekriptuju.

Vrlo velikodusno ponudi da se odabere nacin isplate za UCENU da bi posle ti sporni fajlovi bili automatski desifrirani. Mozda (nekad oce, nekad nece).

Iznos ucene varira od verzije Crylocka, uglavnom je rec o 100 ili 300 dolara / eura, ili jedan bitcoin, a drugi slicni trojanci ponekada traze cak i 4000$ za 'uslugu' desifrovanja.

Naravno nema nikakve garancije da posle isplate fajlovi stvarno budu desifrovani, kod nekih slicnih trojanaca je bilo vec potvrdjeno da je 'posao bio ispostovan' i da su fajlovi stvarno bili vraceni u normalno stanje, ali i da ima slucaja da kod nekoliko korisnika sve ipak 'ne upali'.
To se desava i zbog pokusaja da se ukinu serveri preko kojih Crylock komunicira sa njegovim glavnim C&C serverom.

Ali da se plati za ovakvo nesto samo ohrabruje autore trojanaca da nastave ovim putem, jer i oni vide koliko je efektivna ova metoda. Neki vec kazu da je ovo prava buducnost malware-a.

I za ocekivati su bezbrojni klonovi Crylock-a i njemu slicnim trojancima tako da ce era laznih antivirusa i laznih policijskih ucena polako zamreti, a vrlo moguce da ce biti dosta i laznih kriptujucih trojanaca, tako da u slucaju zaraze ove vrste prvo treba proveriti dali su fajlovi stvarno sifrovani ili ne, pa posle postupati po najboljoj mogucnosti.

U slucaju Crylocka nema sumnje, jasno se vidi lista fajlova koju on enkriptuje, i zrtva moze biti sigurna da to nije laz, i da nema leka, kljuc se nemoze otkriti u doglednom vremenu koristeci brute force tehniku (na silu da se programski trazi kljuc) jer bio to sa danasnjom tehnologijom moglo da uspe tek u roku od 15 ili mnogo vise godina (prema jako optimisticnim procenama i sa najboljom opremom, a za danasnje prosecne racunare se mogu citati veseli podaci da taj zadatak moze portajati i 6.4 kvadrilion godina)

Neki stariji crypto trojanci su imali slabiju tehniku i vec ima programa sa kojima se moze probiti njihova enkripcija, ali za novu generaciju ovo vise ne vazi.



Analzia Crylock-a:

Prevod poruke koja se vidi u njegovom prozoru (sa sve greskama kako i jeste napisano, autor najverovatnije nije englez, ili...) :

"Vasi licni fajlovi su enkriptovani!

Vas vazni enkripter fajlova je napravio na vasem kompjuteru: slike, video snimke, dokumente, itd. Ovde se nalazi gotova lista vasih enkriptovanih fajlova, i vi ovo mozete licno proveriti.

Enkripcija je izvrsena koristeci jedinstveni javni RSA-2048 kljuc koji je napravljen za ovaj racunar. Da biste dekriptovali fajlove koji su vama potrebni morate doci u posed privatnog kljuca.

Jedna jedina kopija privatnog kljuca, koji dozvoljava da desifrujete fajlove se nalazi na tajnom serveru na Internetu; ovaj server ce unistiti kljuc posle isteka vremena koji je oznacen u ovom prozoru. Posle toga, nikad, niko nece biti u mogucnosti da vrati fajlove...

Da biste nabavili privatni kljuc za ovaj kompjuter, koji automatski desifruje fajlove, morate platiti 300 USD /300 EUR / ili slican iznos u drugim valutama.

Kliknite na <<Dalje>> da izaberete metodu placanja i valutu.

Svaki pokusaj da se ukloni ili osteti ovaj softwer ce uzrokovati trenutnim unistavanjem privatnog kljuca od strane servera."
Nece doci do unistavanja kljuca ako se recimo jednostavno prekine veza sa internetom, ili ako se iskljuci racunar, kljuc se brise samo ako se Crylock pokusa ukloniti ili ako istekne rok ucene (to se broji sa strane servera, nema smisla pokusavati da se namesta sat u BIOS-u).

Nisam probao ni metodu vracanja originalnih fajlova uz pomoc Recuva ili slicnih programa, ali prema nekim clancima to ni ne pomaze jer se sifrirana verzija fajla prepisuje ravno preko originala.


Ako se klikne na "Here" otvorice se novi prozor u kojem ce biti prikazani svi fajlovi koji su sifrirani.
Ovi podaci se nalaze u registry upisu:
HKCU\Software\CryptoLocker\Files

Pod registry kljucem HKCU\Software\CryptoLocker
se nalaze dva upisa, jedan sadzi javni kljuc, a drugi verziju torjanca, jezik sistema, i identifikator korisnika i korisnicke grupe.


U TaskManageru se vide dva procesa sa istim imenom:
{34285B07-372F-121D-311A-1A15AAD0CEF3}.exe
(ovo ime je naravno nasumicno generisano, razlikuje se od racunara do racunara)

Ako se jedan pokusa ponistiti drugi ce ga vratiti a oba su procesa zapravo vezani za jedan te isti file:
C:\Users\KORISNICKO_IME\AppData\Roaming\{34285B07-372F-121D-311A-1A15AAD0CEF3}.exe

Autostart lokacija:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\CryptoLocker

Nema vise registry upisa ni fajlova vezanih za Crylock trojanca osim gore navedenih.

Crylock za razliku od drugih njegovih srodnika ninakoji nacin ne onemogucava koriscenje redovnih programa, ne blokira TaskManager ili pristup internetu ili bilosta slicno.

Kada posle prvog pokretanja Crylock dobije pristup internetu onda ostvari komunikaciju sa skrivenim C&C (command and control) serverom na koji se posalju podaci koji identifikuju 'slucaj', a vraca mu se javni RSA kljuc.
Fajlovi se sifriraju mesanom RSA i AES metodom, zapravo svaki fajl dobija SVOJ POSEBAN AES 256 kljuc, i posle se svi AES kljucevi sifriraju pomocu RSA kljuca poslatog sa C&C servera.



Korisceni clanci:
http://www.bleepingcomputer.com/forums/t/506924/cryptolocker-hijack-program/page-26#entry3165383
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
http://en.wikipedia.org/wiki/Key_size
http://www.ecrypt.eu.org/documents/D.SPA.13.pdf