http://wyborcza.biz/biznes/1,147881,20432843,ransomware-cyberprzestepca-jak-przedsiebiorca-odroczy-oplate.html?disableRedirects=true

Ransomware: cyberprzestępca jak przedsiębiorca. Odroczy opłatę, doradzi technicznie

Możliwość odroczenia terminu płatności, pomoc w obsłudze bitcoinów. To paradoks, ale cyberprzestępcy rozumieją, że żeby zarobić na swoich ofiarach, najpierw muszą im pomóc technologicznie.

Bardzo ciekawy raport opublikowała właśnie produkująca antywirusy fińska firma F-Secure. Jej analitycy sprawdzili zachowania czterech grup przestępczych, które zarabiają na ransomware. To wirusy szyfrujące pliki na komputerze ofiary. W zamian za odszyfrowanie przestępcy żądają zapłaty okupu w bitcoinach. Niestety, programy antywirusowe rzadko wykrywają tego typu oprogramowanie. Non stop powstają nowe mutacje wirusa ransomware, dlatego też bardzo rzadko możliwe jest odszyfrowanie zainfekowanych plików w inny sposób niż zapłata złodziejom za otrzymanie klucza deszyfrującego. Ransomware najłatwiej jest złapać poprzez e-mail. Cyberprzestępcy wysyłają zainfekowane pliki, które po otwarciu wyświetlają na komputerze komunikat mówiący o zaszyfrowaniu i konieczności zapłaty.

Firma F-Secure sprawdziła cztery najpopularniejsze odmiany ransomware - okazuje się, że internetowi złodzieje działają już jak prawdziwe firmy. Mają swoje działy obsługi "klienta", potrafią odroczyć płatność, a nawet można z nimi negocjować jej obniżenie.



Klient nasz pan

Autorzy badania założyli fikcyjne konto, pobrali próbki złośliwych oprogramowań i poprosili kobietę nieznającą się na technologii o poprowadzenie rozmów z przestępcami. Z badania wynikło kilka ciekawych wniosków.

Przede wszystkim "klient", czyli ofiara, zazwyczaj nie jest pozostawiony sam sobie. Jak w każdym szanującym się przedsiębiorstwie, cyberprzestępcom zależy na porządnej obsłudze "klientów". Mają swoje strony internetowe, na których publikują przydatne dla ofiary informacje: w jaki sposób kupić bitcoiny, jak przelać je na konto złodzieja, jak potem odszyfrować pliki. Ba, na stronach umożliwiają "testowe" odszyfrowanie jednego pliku za darmo - tak, aby ofiara miała pewność, że po zapłacie okupu rzeczywiście odzyska zaszyfrowane pliki. - Obsługa klienta oferowana przez cyberprzestępców wydaje się być skuteczna. Wiele legalnych sklepów internetowych i tradycyjnych firm mogłoby się od nich sporo nauczyć. Z przykrością stwierdzam, że oszuści wydają się dotrzymywać słowa. Można z nimi nawet negocjować. To przestępczość na masową skalę prowadzona na zasadzie rutynowej działalności biznesowej - mówi Erka Koivunen, doradca ds. cyberzabezpieczeń w F-Secure.

Cerber - mistrz marketingu

Zdecydowanie najciekawszą i najzabawniejszą obsługę "klienta" oferują przestępcy, rozsyłający wirusa o nazwie Cerber. Strona internetowa, na której można załatwić sprawę okupu, dostępna jest w... 12 językach. Jest na niej też formularz kontaktowy, sekcja FAQ (najczęściej zadawane pytania i odpowiedzi na nie) oraz "unikalna" podstrona dla ofiary z czasem odliczanym do końca terminu na płatność.

Wiele informacji ofiara może uzyskać już zaraz po zarażeniu się Cerberem. Dostaje ona na pulpicie plik tekstowy z wieloma wskazówkami. Złodzieje, którzy używają Cerbera, musieli przejść jakieś kursy akwizytorów czy konsultantów sklepowych. Plik tekstowy rozpoczynają pytaniami do "klienta": "Nie możesz odnaleźć potrzebnych ci plików? Zawartość plików, której szukasz, jest niemożliwa do odczytania?". Potem proponują "pomoc": "Jako jedyni dysponujemy sekretnym kluczem pozwalającym otworzyć twoje pliki". I wyjaśniają płynące ze skorzystania z ich usług profity: "Po zakupie pakietu oprogramowania będziesz w stanie: odszyfrować wszystkie pliki, pracować ze swoimi dokumentami, wyświetlać zdjęcia i pliki multimedialne, kontynuować wygodne korzystanie z komputera".

To jednak nie wszystko. Najlepsze autorzy Cerbera zostawiają na końcu pliku tekstowego. Tam bowiem tłumaczą swoje motywacje, przy których nie sposób się nie zaśmiać:

"Projekt Cerber Ransomware stworzono wyłącznie w celach instruktażowych związanych z bezpieczeństwem informacji. Weryfikuje też skuteczność oprogramowania antywirusowego w zakresie ochrony danych. Razem sprawiamy, że internet staje się lepszy i bezpieczniejszy".

Ciekawą wskazówkę podają też autorzy wirusa Shade. Informują, że jeśli ofiara będzie próbowała samodzielnie odszyfrować pliki, lepiej niech zrobi sobie ich kopie zapasowe. Odszyfrowanie stanie się bowiem niemożliwe w przypadku jakichkolwiek zmian wewnątrz plików. To rada, której warto trzymać się w przypadku zarażenia jakimkolwiek rodzajem wirusa ransomware.

Ransomware można negocjować

Analitycy, którzy prowadzili badania, momentami mogli czuć zaskoczenie. Kobieta (o imieniu Christine) rozmawiająca z przestępcami (za pomocą maila lub czatu na ich stronie) zdołała u trzech grup wynegocjować obniżkę okupu, choć w założeniu brak wpłaty w określonym terminie oznacza jej podwyżkę. Kobieta próbowała też oferować zamiast pieniędzy zaprojektowanie grafiki na stronę przestępców lub przekazać karty podarunkowe do Amazona. Na to złodzieje się nie zgadzali, jedyną walutą, jaką akceptują, jest bitcoin.

To, jak wyglądają negocjacje i sposób działania złodziei w zorganizowanych grupach, świetnie przedstawia zapis rozmów kobiety z przestępcami, którzy zarazili jej komputer wirusem Jigsaw. Agent grupy przestępczej nie tylko prowadził Christine niemal za rękę po kolejnych etapach płatności, ale i na koniec... polecił jej najlepsze programy antywirusowe chroniące przed ransomware.

Agent (w odpowiedzi na kilka wiadomości przesłanych poprzez formularz internetowy): Witam. Aby odblokować swoje pliki, musisz dokonać płatności w bitcoinach. Wiesz, jak kupić bitcoiny?

Christine Walters: Cześć. Nie, nie wiem, jak kupić bitcoiny. Co się stało z moimi plikami? Dlaczego musiałam tak długo czekać na odpowiedź? Nie mogę pracować na moich plikach! Ile muszę zapłacić?

Agent: Napisaliśmy do ciebie trzykrotnie z innego adresu e-mail i za każdym razem wiadomość powracała do nas jako niemożliwa do dostarczenia. Twoje pliki zostały zaszyfrowane. Wejdź na stronę www.localbitcoins.com i kup bitcoiny za 125 USD. Możesz za nie zapłacić poprzez przelew bankowy, wpłatę na konto, gotówką itp. Wyślij bitcoiny na poniższy adres. Napisz do nas wtedy wiadomość e-mail, a my prześlemy Ci hasło umożliwiające odszyfrowanie plików i wejdziemy na czata, aby w razie potrzeby Ci pomóc. Wprowadzenie hasła i odzyskanie wszystkich plików zajmie Ci 5 minut. Po dokonaniu płatności napisz do nas wiadomość e-mail. Jesteśmy online przez najbliższe 12 godzin.

Christine: Nigdzie nie zamawiałam szyfrowania plików, to musi być jakaś pomyłka. Sprawdźcie, proszę, swoją dokumentację, ponieważ wydaje mi się, że zaszyfrowaliście pliki niewłaściwej osoby. Proszę o przywrócenie moich plików, bo ich brak jest dla mnie dużym problemem. Czy jest jakiś numer telefonu, pod który mogę zadzwonić, aby porozmawiać z waszym przedstawicielem i wyjaśnić całą sprawę?

Agent: Zaszyfrowanie plików jest efektem działania wirusa, a nie usługi. Kliknęłaś jakieś łącze lub pobrałaś program, który spowodował zaszyfrowanie plików. Teraz musisz zapłacić za ich odzyskanie. To nie jest coś, co zamówiłaś. Pobrałaś wirusa, teraz musisz więc zapłacić. Po upływie 24 godzin wysokość opłaty za odszyfrowanie zostanie podniesiona do 225 USD. Wcześniej kontaktowaliśmy się z tobą kilkakrotnie, już teraz powinniśmy więc obciążyć cię kwotą 225 USD. Ponieważ jednak widzę, że nie wiesz, czym jest wirus żądający okupu, dziś zostaniemy jeszcze przy 125 USD. Od jutra okup wyniesie 225 USD.

Christine: Hmm, to miło z waszej strony. Dziękuję za pozostanie przy kwocie 125 USD, zwłaszcza że nie otrzymałam wcześniejszych wiadomości. Poszperałam trochę w Google i dowiedziałam się, czym jest ransomware. Dlaczego to robisz? Rozumiem, że po prostu dla pieniędzy, ale to bardzo nie w porządku. Może powinieneś zająć się jakąś inną działalnością? Czymś, co pozwoli ci poczuć się dobrze? Jestem przekonana, że jesteś bardzo utalentowaną osobą. Jak nazywa się to oprogramowanie ransomware? Czy to Cryptowall?

Agent: Nie, to nie Cryptowall. Cryptowall działa całkiem inaczej. Nasze oprogramowanie nie ma nazwy. Napisz do nas wiadomość e-mail po dokonaniu płatności, a wtedy prześlemy ci klucz do odszyfrowania plików. Przywrócenie Twojego komputera do stanu normalności zajmie ci 5 minut.

Christine: Czy to Jigsaw? A może TorrentLocker? Weszłam na stronę localbitcoins.com, skąd jednak mam wiedzieć, którą pozycję na liście wybrać? Skąd się biorą te różne ceny?

Agent: Oprogramowanie nie ma nazwy, to kod prywatny. Różnice w cenach wynikają z różnic między poszczególnymi sprzedawcami. Podaj kraj, z którego piszesz, wtedy poszukam dla ciebie sprzedawcy.

Christine: Jestem w Finlandii. A Ty skąd piszesz?

Agent: Twoja najlepsza opcja to ... (łącze do sprzedawcy bitcoinów w Europie). To sprzedawca, który akceptuje karty paysafecard. Kupujesz kartę, przesyłasz kod lub zdjęcie, a gdy klikniesz nazwę sprzedawcy, zobaczysz czas transakcji. Ten sprzedawca udostępnia bitcoiny średnio w ciągu 5 minut. Jeśli skorzystasz z przelewu SEPA, potrwa to 1-2 dni. 125 USD to 110 EUR.

Christine: Dziękuję za znalezienie dla mnie sprzedawcy. Skąd mam jednak wziąć kartę paysafecard? Nie wiem, co to.

Agent: Sprawdź placówki w swojej najbliższej okolicy. Kartę kupisz zwykle na stacji paliw lub w supermarkecie. Idziesz do kasy, płacisz, a w zamian otrzymujesz rachunek z kodem PIN. Wysyłasz zdjęcie sprzedawcy z localbitcoins. Wtedy on weryfikuje dostępność środków i natychmiast umieszcza bitcoiny w Twoim profilu. Miejsca, w których kupisz paysafecard, to - zgodnie ze znalezionymi przeze mnie informacjami - sklepy R-Kioski i Siwa.

Christine: OK, to wydaje się dość proste. Ale skąd mam wiedzieć, że naprawdę odzyskam pliki, gdy już wam zapłacę? A co, jeśli po prostu weźmiecie moje pieniądze, a nie naprawicie moich plików? I czy zabierzecie to okropne roznegliżowane zdjęcie z mojego pulpitu?

Agent: Odblokowujemy każdy komputer, na 100 proc. Czy zrobisz to dziś? Wtedy będę mógł zostać online i ci pomóc?

Christine: Nie mogę! Miałam bardzo pracowite popołudnie w pracy. Teraz muszę odebrać synka z przedszkola, bo zamykają je za pół godziny. Przez cały wieczór będę zajęta. Muszę zrobić to jutro. Mam nadzieję, że cena nie pójdzie w górę. A co z plikami, które wirus usunął - czy je również odzyskam?

Agent: Wszystkie pliki zostaną odszyfrowane, a wirus zniknie. Postaraj się. Nie mogę zagwarantować ceny. Nie mam nad tym kontroli. Jeśli nie, zobaczymy, co stanie się jutro.

Christine: Chodzi o to, które pliki zostaną odszyfrowane? WSZYSTKIE pliki na moim komputerze? Czy wszystkie pliki, które usunęliście?

Agent: Zaszyfrowane pliki programów, które blokują używane zwykle przez ciebie programy, zostaną odszyfrowane. Programy, które wydają ci się usunięte, tak naprawdę nie zniknęły. Zostały przeniesione do innej lokalizacji na twoim komputerze i zaszyfrowane w kilku folderach. Zostaną one odszyfrowane i przeniesione do lokalizacji pierwotnej. Będę online jeszcze przez 2 godziny.

Christine (następnego dnia) : Czy cena wciąż jest taka sama?

Agent: Cena wynosi 110 euro. Tylko zrób to dziś. Sprzedawca bitcoinów, o którym pisałem wczoraj, dziś ich nie sprzedaje. Kurs bitcoina rośnie i ten sprzedawca chyba wyczerpał swoje zapasy. Kup kartę paysafecard i napisz do mnie wiadomość e-mail, znajdę dla ciebie innego sprzedawcę. Daj znać, czy zrobisz to dziś. Znajdujemy się w całkiem różnych częściach świata, mogę więc poprosić kogoś online, żeby ci pomógł.

Christine: Problem w tym, że u mnie w ten weekend mamy przerwę świąteczną i sklepy są pozamykane. Miałam mnóstwo na głowie przez dzieci i pracę, a mój mąż jest bardzo zajęty i nie może pomóc. Na której jesteś półkuli, zachodniej?

Agent: Jestem w Kanadzie. Odszyfrujemy twoje pliki za 125 USD, o ile zapłacisz nam do północy 24 dnia tego miesiąca. Potem cena wzrośnie do 225 USD. Gdy tylko płatność do nas dotrze i otrzymamy powiadomienie, napiszemy do ciebie wiadomość e-mail lub wejdziemy na czata, aby odblokować twoje pliki. Na localbitcoins możesz kupić bitcoiny za pomocą karty paysafecard lub płatności Western Union albo Moneygram. Daj znać.

Christine: Jesteś w Kanadzie? Szukałam informacji o ransomware i odniosłam wrażenie, że wszystkie ataki są przeprowadzane z Rosji. To ciekawe. Czy to twoje główne źródło dochodów? Północ 24 dnia miesiąca - w jakiej strefie czasowej?

Agent: Północ w twojej strefie czasowej. Najlepiej będzie, jeśli zrobisz to rano. To ja czekałem w gotowości na twoją odpowiedź 3 dni temu, bo wydało mi się dziwne, że napisałem do ciebie wiadomość, a ty odpowiadasz dopiero po 8 godzinach. Zrób to do piątku do północy, lecz jeśli zrobisz to rano (wg twojego czasu), czyli ok. 4 lub 5 rano u mnie, otrzymam wiadomość, gdy napiszesz do mnie e-maila, a wtedy wstanę i rozwiążę twój problem. Zwykle nawet nie negocjujemy ceny, ale rozumiem, że nie dostałaś naszych pierwszych wiadomości. Wiem, że osoba, która będzie dyżurować jutro, będzie niezadowolona, gdy zobaczy, że cena dla ciebie wynosi w dalszym ciągu 125 USD. Postaraj się więc zrobić to rano, żebym mógł załatwić całą sprawę, a ty nie będziesz już wtedy miała problemu. A jeśli chodzi o twoje pytanie o dochody... nie mam pojęcia, skąd takie pytanie. Zostaliśmy zatrudnieni przez pewną korporację w celu zakłócenia codziennej działalności jej konkurencji przez cyberataki. Nigdy nie robiliśmy nic w Finlandii, a ty wydajesz się być użytkownikiem indywidualnym, który otworzył niewłaściwą wiadomość, dlatego staram się utrzymać cenę na minimalnym poziomie.

Christine: To ciekawe. Czyli to dlatego okup jest taki niski - bo jesteście już opłacani przez jakąś korporację, więc najbardziej interesuje was utrudnianie komuś działalności biznesowej, a nie zarobienie mnóstwa pieniędzy na okupach? To jakiś obłęd. Czy ta korporacja to jakaś legalna, znana firma? Spróbuję znaleźć otwarty sklep R-Kioski lub Siwa, choć może to być trudne podczas tego świątecznego weekendu. Najprostsza byłaby dla mnie płatność Paysafe.

Agent: Okup jest niski, ponieważ zaatakował Cię wirus o najmniejszym zasięgu. Celem było tylko zablokowane plików w celu spowolnienia produkcji pewnej korporacji, co pozwoliłoby naszemu klientowi z wyprzedzeniem wprowadzić na rynek podobny produkt. Chodzi tylko o zaszyfrowanie plików. Nic więcej. Żadne pliki nie zostały przeniesione, uszkodzone ani usunięte. Na dyskach twardych nie są wykonywane żadne polecenia autodestrukcji. Tak, to znana korporacja. Firma z listy Fortune 500. W dalszym ciągu nie rozumiem, jakim sposobem ty i jeszcze jedna osoba z Finlandii dostałyście naszą wiadomość e-mail, skoro cel znajduje się w USA, a klient zawsze podaje nam kontaktowe adresy e-mail. Musisz znajdować się na czyjejś liście mailingowej. Ta druga osoba już zapłaciła za pomocą karty paysafecard. Kupiła ją w sklepie Siwa. Dostanę powiadomienie, gdy napiszesz do mnie wiadomość e-mail, daj mi więc znać, żebym mógł odblokować twoje pliki.

Christine (3 dni później): Nie było nas przez cały weekend z powodu świątecznego weekendu. Pojechaliśmy do domku letniskowego znajomych na wsi, w którym nie ma prądu ani internetu. W dalszym ciągu nie powiedziałam o niczym mężowi, bo zdenerwuje się, gdy się dowie, że mam wirusa na naszym komputerze i muszę za to zapłacić. Zresztą on rzadko korzysta z tego komputera. Zapłacę w tym tygodniu. Czy takie ataki hakerskie na inne firmy są bardzo powszechne wśród wielkich korporacji? Słyszałam, że takie rzeczy robią rządy państw, nie wiedziałam jednak, że przedsiębiorstwa również.

Agent: Tak. Ataki na korporacje mają miejsce każdego dnia. Postaraj się załatwić sprawę jak najszybciej. Jeszcze nigdy nie trwało to tak długo. Dziękuję.

Christine (następnego dnia) : Poszłam dziś rano do R-Kioski, żeby kupić kartę paysafecard, lecz gdy powiedziałam pracownikowi, po co ją kupuję, odmówił mi sprzedania takiej karty. Hmm. Będę chyba musiała spróbować w innym miejscu. W pobliżu nie ma sklepu Siwa. Czy cena wciąż wynosi 125 USD? To, co przytrafiło się mojemu komputerowi i moim plikom, jest oczywiście bardzo nieprzyjemne, ale miło, że chociaż ty jesteś tak pomocny.

Agent: Tak, zapłać 125 USD. Chcemy mieć to już za sobą. Nigdy nie słyszałem o odmowie sprzedaży karty. Skoro dajesz pracownikowi pieniądze, powinien Ci ją sprzedać. Postaraj się załatwić to dziś, bo bitcoiny są notowane jak akcje, a ich kurs wzrasta. Postaraj się.

Christine: Mam dobre wieści! Porozmawiałam ze znajomym znajomego, który nieźle zna się na technologii i pomógł mi odnaleźć sporo zdjęć na moim koncie Google. Nie zdawałam sobie sprawy, że tam są! Nie wiedziałam, że część moich plików jest kopiowana na konto Gmail, ponieważ rzadko go używam. Wydaje mi się, że te odnalezione pliki to w zasadzie większość tego, co jest mi tak naprawdę potrzebne, nie muszę się więc już martwić o odszyfrowanie danych z komputera. Nie mogę uwierzyć, że to mówię, ale byłeś bardzo pomocny - choć to przecież wy ukradliście moje pliki. Potrafisz rozmawiać z ludźmi, mógłbyś pracować w jakiejś bardziej przyzwoitej branży i świetnie się spisywać. Tak z czystej ciekawości: czy Twoja firma działa jak prawdziwe, legalne przedsiębiorstwo, z normalną stroną internetową i wszystkim, co trzeba? Nie potrafię sobie wyobrazić, jak publicznie reklamujecie usługi tego typu.

Agent: Cieszę się, że odzyskałaś swoje pliki. Ja sam nie widzę klucza odszyfrowującego do chwili pojawienia się płatności w portfelu z bitcoinami. To takie zabezpieczenie w systemie. Nie promujemy naszych usług. Wielkie korporacje zawsze mają dział techniczny. Zwykle w jednym z ich działów pracuje haker, który kontaktuje się z nami, aby sprawdzić ich zabezpieczenia. Przy okazji takich kontaktów informują nas o swoich potrzebach. To zresztą nie tylko korporacje. Politycy, rządy, mężowie, żony... Ludzie ze wszystkich środowisk zlecają nam włamywanie się na komputery, telefony komórkowe itp. Jeszcze raz zaznaczę, że moim zdaniem znalazłaś się na niewłaściwej liście kontaktowej, ponieważ nie mamy klientów w Finlandii, a naszym celem nie są użytkownicy indywidualni, którzy przechowują na swoich komputerach zdjęcia rodzinne czy muzykę. Zwykle jest to znacznie bardziej skomplikowane. Miałaś sporo szczęścia. Gdyby wirus miał funkcję autodestrukcji, twój komputer uległby całkowitej awarii. Zaopatrz się w dobry program antywirusowy.

Christine: OK, to teraz zadam pewnie głupie pytanie, ale jaki program antywirusowy polecasz?

Agent: Jeśli chodzi o program antywirusowy, to nie ma wątpliwości, że żadne oprogramowanie nie daje takiej ochrony jak eset nod32. Avast, Malwarebytes, AVG - w porównaniu z nim to wszystko słabe narzędzia.

Ransomware - jak się chronić?

1. Rób backup danych na zewnętrzne urządzenia lub do chmury - nigdy nie będziemy do końca pewni innych zabezpieczeń. Każdy system, firewall, antywirus, wtyczka itd. może zawieść. Uwaga! Nośniki zewnętrzne podłączone do komputera podczas infekcji również zostaną bezpowrotnie zaszyfrowane. Backup do chmury jest najlepszym rozwiązaniem, gdyż realizuje się automatycznie - nie trzeba o nim pamiętać.

2. Unikaj logowania się na konto z uprawnieniami administracyjnymi do komputera. Pracuj na koncie użytkownika, a konta administratora używaj tylko wtedy, kiedy jest to konieczne, np. do instalacji programów.

3. Systematycznie i często aktualizuj system operacyjny i programy - niwelujesz w ten sposób luki bezpieczeństwa wykryte przez twórców oprogramowania.

4. Unikaj wchodzenia na strony zawierające niebezpieczne treści, klikania w podejrzane linki i używania nieznanych narzędzi.

5. Bardzo ostrożnie otwieraj załączniki e-mail, nawet od zaufanych nadawców. Adres nadawcy w wiadomości e-mail łatwo jest podmienić i podać się za dowolną osobę. Znane są też sztuczki, dzięki którym plik wyglądający np. na PDF czy ZIP faktycznie jest plikiem z wirusem.

6. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane.

Jakub Wątor: Jesteś ofiarą przekrętu internetowego, chcesz się przed nim uchronić? A może interesuje cię tematyka cyberbezpieczeństwa? Zapraszam na mój profil na Facebooku, bloga oraz do kontaktu mailowego jakub.wator@wyborcza.biz.