Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


RSS
piątek, 22 lipca 2016

Polski oddział globalnej firmy z rynku finansowego zamówił u pewnej firmy informatycznej przeprowadzenie pentestu. Krótko mówiąc: poprosili informatyków, by spróbowali się włamać do ich sieci, a potem ocenili, co należy poprawić, by być bardziej bezpiecznym. Pentesterzy postanowili spróbować starego, sprawdzonego sposobu. Zamiast włamywać się przez sieć, porzucili zainfekowanego pendrive’a w łazience na terenie firmy.

Już po kilku minutach znalazł go jeden z pracowników i włożył do swojego służbowego komputera, czym zainfekował maszynę. - Bingo! - krzyknęli pentesterzy. Jakież było ich zdziwienie, gdy po chwili dostali komunikat, że zainfekowany jest kolejny komputer. I kolejny, i kolejny. W sumie w ciągu dwóch minut jednym pendrivem zainfekowali dziesięć urządzeń. Jakim cudem? - Nasz pendrive nic nie wyświetlał, więc pracownik, który go znalazł, myślał, że coś jest nie tak z jego komputerem. Poprosił więc kolegę, by sprawdził tego pendrive’a na swoim. Dalej nic. Poprosił kolejnego. W ten sposób włożył pendrive’a do wszystkich dziesięciu komputerów będących w sali, w której pracował - śmieje się specjalista IT, który przeprowadzał tamten pentest.

Badacze z Uniwersytetu Illinois postanowili sprawdzić, jak zachowają się ich studenci w podobnej sytuacji. Rozrzucili po miasteczku akademickim 297 zainfekowanych pendrive’ów. Pierwszy z nich znalazł się w czyimś komputerze już po 6 minutach (gdy ja robiłem podobny test w redakcji „Gazety Wyborczej”, od pierwszego „wpięcia” minęło 11 minut). Aż 291 z nich zostało przez znalazców podpiętych do urządzeń, a 45 proc. z tych osób próbowało włączyć znajdujące się na przenośnej pamięci pliki. Gdy to zrobili, wyświetlała im się ankieta. Zdecydowana większość z nich (68 proc.) przyznała, że w ogóle nie pomyślała, iż pendrive może mieć wirusa. Zaledwie 24 proc. zaufało swemu oprogramowaniu antywirusowemu. Najciekawsze jednak jest zachowanie ostatnich 8 proc. badanych. Otóż oni, owszem, zorientowali się, że pendrive może mieć wirusa, więc... zamiast sprawdzić, co na nim jest na swoim komputerze, zrobiło to na cudzym sprzęcie - należącym do znajomego lub do uczelni.

Podobne badanie przeprowadziła firma Palo Alto Networks. Tu wyniki też nie napawają optymizmem. 39 proc. z 800 pytanych menedżerów przyznało, że podłączyłoby znalezionego pendrive’a do swego komputera w pracy. A co ósmy z nich stwierdził, że nie przyznałby się potem do tego nikomu w firmie.

„Bezpańskie” pendrive’y mogą mieć wszelkiego rodzaju wirusy. Wirus zwykle uruchomi się automatycznie po włożeniu ich do komputera, ale na monitorze nic się nie wyświetli, a sam pendrive będzie wyglądał, jakby nie było na nim żadnych plików. Użytkownik pozostanie więc nieświadomy zagrożenia, jakie na siebie sprowadził.

11:34, eprzekret
Link Dodaj komentarz »
czwartek, 21 lipca 2016

_89138788_ransomware

Bardzo ciekawy raport wypuściła właśnie fińska firma F-Secure produkująca antywirusy. Jej analitycy sprawdzili zachowania czterech grup przestępczych, które zarabiają na ransomware. To wirusy szyfrujące pliki na komputerze ofiary. W zamian za odszyfrowanie przestępcy żądają zapłaty okupu w bitcoinach. Niestety, programy antywirusowe rzadko wykrywają tego typu oprogramowanie. Non stop powstają nowe mutacje wirusa ransomware, dlatego też bardzo rzadko możliwe jest odszyfrowanie zainfekowanych plików w inny sposób niż zapłata złodziejom za otrzymanie klucza deszyfrującego. Ransomware najłatwiej jest złapać poprzez e-mail. Cyberprzestępcy wysyłają zainfekowane pliki, które po otwarciu wyświetlają na komputerze komunikat mówiący o zaszyfrowaniu i konieczności zapłaty.

Firma F-Secure sprawdziła cztery najpopularniejsze odmiany ransomware - okazuje się, że internetowi złodzieje działają już jak prawdziwe firmy. Mają swoje działy obsługi „klienta”, potrafią odroczyć płatność, a nawet można z nimi negocjować jej obniżenie.

Autorzy badania założyli fikcyjne konto, pobrali próbki złośliwych oprogramowań i poprosili kobietę nie znającą się na technologii o poprowadzenie rozmów z przestępcami. Z badania wynikło kilka ciekawych wniosków.

Przede wszystkim „klient”, czyli ofiara, zazwyczaj nie jest pozostawiony sam sobie. Jak w każdym szanującym się przedsiębiorstwie, cyberprzestępcom zależy na porządnej obsłudze „klientów”. Mają swoje strony internetowe, na których publikują przydatne dla ofiary informacje: w jaki sposób kupić bitcoiny, jak przelać je na konto złodzieja, jak potem odszyfrować pliki. Ba - na stronach umożliwiają „testowe” odszyfrowanie jednego pliku za darmo - tak, aby ofiara miała pewność, że po zapłacie okupu rzeczywiście odzyska zaszyfrowane pliki. - Obsługa klienta oferowana przez cyberprzestępców wydaje się być skuteczna. Wiele legalnych sklepów internetowych i tradycyjnych firm mogłoby się od nich sporo nauczyć. Z przykrością stwierdzam, że oszuści wydają się dotrzymywać słowa. Można z nimi nawet negocjować. To przestępczość na masową skalę, prowadzona na zasadzie rutynowej działalności biznesowej - mówi Erka Koivunen, doradca ds. cyberzabezpieczeń w F-Secure.

Cerber - mistrz marketingu

Zdecydowanie najciekawszą i najzabawniejszą obsługę „klienta” oferują przestępcy rozsyłający wirusa o nazwie Cerber. Strona internetowa, na której można załatwić sprawę okupu, dostępna jest w... 12 językach. Jest na niej też formularz kontaktowy, sekcja FAQ (najczęściej zadawane pytania i odpowiedzi na nie) oraz „unikalna” podstrona dla ofiary z czasem odliczanym do końca terminu na płatność.

Wiele informacji ofiara może uzyskać już zaraz po zarażeniu się Cerberem. Dostaje ona na pulpicie plik tekstowy z wieloma wskazówkami. Złodzieje, którzy używają Cerbera musieli przejść jakieś kursy akwizytorów czy konsultantów sklepowych. Plik tekstowy rozpoczynają pytaniami do „klienta”: „Nie możesz odnaleźć potrzebnych ci plików? Zawartość plików, której szukasz, jest niemożliwa do odczytania?”. Potem proponują „pomoc”: „Jako jedyni dysponujemy sekretnym kluczem pozwalającym otworzyć twoje pliki”. I wyjaśniają płynące ze skorzystania z ich usług profity: „Po zakupie pakietu oprogramowania będziesz w stanie: odszyfrować wszystkie pliki, pracować ze swoimi dokumentami, wyświetlać zdjęcia i pliki multimedialne, kontynuować wygodne korzystanie z komputera”.

To jednak nie wszystko. Najlepsze autorzy Cerbera zostawiają na końcu pliku tekstowego. Tam bowiem tłumaczą swoje motywacje, przy których nie sposób się nie zaśmiać :D

Projekt Cerber Ransomware stworzono wyłącznie w celach instruktażowych związanych z bezpieczeństwem informacji. Weryfikuje też skuteczność oprogramowania antywirusowego w zakresie ochrony danych. Razem sprawiamy, że internet staje się lepszy i bezpieczniejszy.

Ciekawą wskazówkę podają też autorzy wirusa Shade. Informują oni, że jeśli ofiara będzie próbowała samodzielnie odszyfrować pliki, lepiej niech zrobi sobie ich kopie zapasowe. Odszyfrowanie stanie się bowiem niemożliwe w przypadku jakichkolwiek zmian wewnątrz plików. To rada, której warto trzymać się w przypadku zarażenia jakimkolwiek rodzajem wirusa ransomware.

Ransomware można negocjować

Analitycy, którzy prowadzili badania, momentami mogli czuć zaskoczenie. Kobieta (o imieniu Christine) rozmawiająca z przestępcami (za pomocą maila lub czatu na ich stronie) zdołała u trzech grup wynegocjować obniżkę okupu, choć w założeniu brak wpłaty w określonym terminie oznacza jej podwyżkę. Kobieta próbowała też oferować zamiast pieniędzy zaprojektowanie grafiki na stronę przestępców lub przekazać karty podarunkowe do Amazona. Na to złodzieje się nie zgadzali, jedyną walutą, jaką akceptują jest bitcoin.

To, jak wyglądają negocjacje i sposób działania złodziei w zorganizowanych grupach świetnie przedstawia zapis rozmów kobiety z przestępcami, którzy zarazili jej komputer wirusem Jigsaw. Agent grupy przestępczej nie tylko prowadził Christine niemal za rękę po kolejnych etapach płatności, ale i na koniec... polecił jej najlepsze programy antywirusowe chroniące przed ransomware.

Agent (w odpowiedzi na kilka wiadomości przesłanych poprzez formularz internetowy): Witam. Aby odblokować swoje pliki, musisz dokonać płatności w bitcoinach. Wiesz, jak kupić bitcoiny?

Christine Walters: Cześć. Nie, nie wiem, jak kupić bitcoiny. Co się stało z moimi plikami? Dlaczego musiałam tak długo czekać na odpowiedź? Nie mogę pracować na moich plikach! Ile muszę zapłacić?

Agent: Napisaliśmy do Ciebie trzykrotnie z innego adresu e-mail i za każdym razem wiadomość powracała do nas jako niemożliwa do dostarczenia. Twoje pliki zostały zaszyfrowane. Wejdź na stronę www.localbitcoins.com i kup bitcoiny za 125 USD. Możesz za nie zapłacić poprzez przelew bankowy, wpłatę na konto, gotówką itp. Wyślij bitcoiny na poniższy adres. Napisz do nas wtedy wiadomość e-mail, a my prześlemy Ci hasło umożliwiające odszyfrowanie plików i wejdziemy na czata, aby w razie potrzeby Ci pomóc. Wprowadzenie hasła i odzyskanie wszystkich plików zajmie Ci 5 minut. Po dokonaniu płatności napisz do nas wiadomość e-mail. Jesteśmy online przez najbliższe 12 godzin.

Christine: Nigdzie nie zamawiałam szyfrowania plików, to musi być jakaś pomyłka. Sprawdźcie, proszę, swoją dokumentację, ponieważ wydaje mi się, że zaszyfrowaliście pliki niewłaściwej osoby. Proszę o przywrócenie moich plików, bo ich brak jest dla mnie dużym problemem. Czy jest jakiś numer telefonu, pod który mogę zadzwonić, aby porozmawiać z Waszym przedstawicielem i wyjaśnić całą sprawę?

Agent: Zaszyfrowanie plików jest efektem działania wirusa, a nie usługi. Kliknęłaś jakieś łącze lub pobrałaś program, który spowodował zaszyfrowanie plików. Teraz musisz zapłacić za ich odzyskanie. To nie jest coś, co zamówiłaś. Pobrałaś wirusa, teraz musisz więc zapłacić. Po upływie 24 godzin wysokość opłaty za odszyfrowanie zostanie podniesiona do 225 USD. Wcześniej kontaktowaliśmy się z Tobą kilkakrotnie, już teraz powinniśmy więc obciążyć Cię kwotą 225 USD. Ponieważ jednak widzę, że nie wiesz, czym jest wirus żądający okupu, dziś zostaniemy jeszcze przy 125 USD. Od jutra okup wyniesie 225 USD.

Christine: Hmm, to miło z Waszej strony. Dziękuję za pozostanie przy kwocie 125 USD, zwłaszcza że nie otrzymałam wcześniejszych wiadomości. Poszperałam trochę w Google i dowiedziałam się, czym jest ransomware. Dlaczego to robisz? Rozumiem, że po prostu dla pieniędzy, ale to bardzo nie w porządku. Może powinieneś zająć się jakąś inną działalnością? Czymś, co pozwoli Ci poczuć się dobrze? Jestem przekonana, że jesteś bardzo utalentowaną osobą. Jak nazywa się to oprogramowanie ransomware? Czy to Cryptowall?

Agent: Nie, to nie Cryptowall. Cryptowall działa całkiem inaczej. Nasze oprogramowanie nie ma nazwy. Napisz do nas wiadomość e-mail po dokonaniu płatności, a wtedy prześlemy Ci klucz do odszyfrowania plików. Przywrócenie Twojego komputera do stanu normalności zajmie Ci 5 minut.

Christine: Czy to Jigsaw? A może TorrentLocker? Weszłam na stronę localbitcoins.com, skąd jednak mam wiedzieć, którą pozycję na liście wybrać? Skąd się biorą te różne ceny?

Agent: Oprogramowanie nie ma nazwy, to kod prywatny. Różnice w cenach wynikają z różnic między poszczególnymi sprzedawcami. Podaj kraj, z którego piszesz, wtedy poszukam dla Ciebie sprzedawcy.

Christine: Jestem w Finlandii. A Ty skąd piszesz?

Agent: Twoja najlepsza opcja to ... (łącze do sprzedawcy bitcoinów w Europie). To sprzedawca, który akceptuje karty paysafecard. Kupujesz kartę, przesyłasz kod lub zdjęcie, a gdy klikniesz nazwę sprzedawcy, zobaczysz czas transakcji. Ten sprzedawca udostępnia bitcoiny średnio w ciągu 5 minut. Jeśli skorzystasz z przelewu SEPA, potrwa to 1–2 dni. 125 USD to 110 EUR.

Christine: Dziękuję za znalezienie dla mnie sprzedawcy. Skąd mam jednak wziąć kartę paysafecard? Nie wiem, co to.

Agent: Sprawdź placówki w swojej najbliższej okolicy. Kartę kupisz zwykle na stacji paliw lub w supermarkecie. Idziesz do kasy, płacisz, a w zamian otrzymujesz rachunek z kodem PIN. Wysyłasz zdjęcie sprzedawcy z localbitcoins. Wtedy on weryfikuje dostępność środków i natychmiast umieszcza bitcoiny w Twoim profilu. Miejsca, w których kupisz paysafecard, to — zgodnie ze znalezionymi przeze mnie informacjami — sklepy R-Kioski i Siwa.

Christine: OK, to wydaje się dość proste. Ale skąd mam wiedzieć, że naprawdę odzyskam pliki, gdy już Wam zapłacę? A co, jeśli po prostu weźmiecie moje pieniądze, a nie naprawicie moich plików? I czy zabierzecie to okropne roznegliżowane zdjęcie z mojego pulpitu?

Agent: Odblokowujemy każdy komputer, na 100%. Czy zrobisz to dziś? Wtedy będę mógł zostać online i Ci pomóc?

Christine: Nie mogę! Miałam bardzo pracowite popołudnie w pracy. Teraz muszę odebrać synka z przedszkola, bo zamykają je za pół godziny. Przez cały wieczór będę zajęta. Muszę zrobić to jutro. Mam nadzieję, że cena nie pójdzie w górę. A co z plikami, które wirus usunął — czy je również odzyskam?

Agent: Wszystkie pliki zostaną odszyfrowane, a wirus zniknie. Postaraj się. Nie mogę zagwarantować ceny. Nie mam nad tym kontroli. Jeśli nie, zobaczymy, co stanie się jutro.

Christine: Chodzi o to, które pliki zostaną odszyfrowane? WSZYSTKIE pliki na moim komputerze? Czy wszystkie pliki, które usunęliście?

Agent: Zaszyfrowane pliki programów, które blokują używane zwykle przez Ciebie programy, zostaną odszyfrowane. Programy, które wydają Ci się usunięte, tak naprawdę nie zniknęły. Zostały przeniesione do innej lokalizacji na Twoim komputerze i zaszyfrowane w kilku folderach. Zostaną one odszyfrowane i przeniesione do lokalizacji pierwotnej. Będę online jeszcze przez 2 godziny.

Christine (następnego dnia): Czy cena wciąż jest taka sama?

Agent: Cena wynosi 110 EUR. Tylko zrób to dziś. Sprzedawca bitcoinów, o którym pisałem wczoraj, dziś ich nie sprzedaje. Kurs bitcoina rośnie i ten sprzedawca chyba wyczerpał swoje zapasy. Kup kartę paysafecard i napisz do mnie wiadomość e-mail, znajdę dla Ciebie innego sprzedawcę. Daj znać, czy zrobisz to dziś. Znajdujemy się w całkiem różnych częściach świata, mogę więc poprosić kogoś online, żeby Ci pomógł.

Christine: Problem w tym, że u mnie w ten weekend mamy przerwę świąteczną i sklepy są pozamykane. Miałam mnóstwo na głowie przez dzieci i pracę, a mój mąż jest bardzo zajęty i nie może pomóc. Na której jesteś półkuli, zachodniej?

Agent: Jestem w Kanadzie. Odszyfrujemy Twoje pliki za 125 USD, o ile zapłacisz nam do północy 24 dnia tego miesiąca. Potem cena wzrośnie do 225 USD. Gdy tylko płatność do nas dotrze i otrzymamy powiadomienie, napiszemy do Ciebie wiadomość e-mail lub wejdziemy na czata, aby odblokować Twoje pliki. Na localbitcoins możesz kupić bitcoiny za pomocą karty paysafecard lub płatności Western Union albo Moneygram. Daj znać.

Christine: Jesteś w Kanadzie? Szukałam informacji o ransomware i odniosłam wrażenie, że wszystkie ataki są przeprowadzane z Rosji. To ciekawe. Czy to Twoje główne źródło dochodów? Północ 24 dnia miesiąca — w jakiej strefie czasowej?

Agent: Północ w Twojej strefie czasowej. Najlepiej będzie, jeśli zrobisz to rano. To ja czekałem w gotowości na Twoją odpowiedź 3 dni temu, bo wydało mi się dziwne, że napisałem do Ciebie wiadomość, a Ty odpowiadasz dopiero po 8 godzinach. Zrób to do piątku do północy, lecz jeśli zrobisz to rano (wg Twojego czasu), czyli ok. 4 lub 5 rano u mnie, otrzymam wiadomość, gdy napiszesz do mnie e-maila, a wtedy wstanę i rozwiążę Twój problem. Zwykle nawet nie negocjujemy ceny, ale rozumiem, że nie dostałaś naszych pierwszych wiadomości. Wiem, że osoba, która będzie dyżurować jutro, będzie niezadowolona, gdy zobaczy, że cena dla Ciebie wynosi w dalszym ciągu 125 USD. Postaraj się więc zrobić to rano, żebym mógł załatwić całą sprawę, a Ty nie będziesz już wtedy miała problemu. A jeśli chodzi o Twoje pytanie o dochody... nie mam pojęcia, skąd takie pytanie. Zostaliśmy zatrudnieni przez pewną korporację w celu zakłócenia codziennej działalności jej konkurencji przez cyberataki. Nigdy nie robiliśmy nic w Finlandii, a Ty wydajesz się być użytkownikiem indywidualnym, który otworzył niewłaściwą wiadomość, dlatego staram się utrzymać cenę na minimalnym poziomie.

Christine: To ciekawe. Czyli to dlatego okup jest taki niski — bo jesteście już opłacani przez jakąś korporację, więc najbardziej interesuje Was utrudnianie komuś działalności biznesowej, a nie zarobienie mnóstwa pieniędzy na okupach? To jakiś obłęd. Czy ta korporacja to jakaś legalna, znana firma? Spróbuję znaleźć otwarty sklep R-Kioski lub Siwa, choć może to być trudne podczas tego świątecznego weekendu. Najprostsza byłaby dla mnie płatność Paysafe.

Agent: Okup jest niski, ponieważ zaatakował Cię wirus o najmniejszym zasięgu. Celem było tylko zablokowane plików w celu spowolnienia produkcji pewnej korporacji, co pozwoliłoby naszemu klientowi z wyprzedzeniem wprowadzić na rynek podobny produkt. Chodzi tylko o zaszyfrowanie plików. Nic więcej. Żadne pliki nie zostały przeniesione, uszkodzone ani usunięte. Na dyskach twardych nie są wykonywane żadne polecenia autodestrukcji. Tak, to znana korporacja. Firma z listy Fortune 500. W dalszym ciągu nie rozumiem, jakim sposobem Ty i jeszcze jedna osoba z Finlandii dostałyście naszą wiadomość e-mail, skoro cel znajduje się w USA, a klient zawsze podaje nam kontaktowe adresy e-mail. Musisz znajdować się na czyjejś liście mailingowej. Ta druga osoba już zapłaciła za pomocą karty paysafecard. Kupiła ją w sklepie Siwa. Dostanę powiadomienie, gdy napiszesz do mnie wiadomość e-mail, daj mi więc znać, żebym mógł odblokować Twoje pliki.

Christine (3 dni później): Nie było nas przez cały weekend z powodu świątecznego weekendu. Pojechaliśmy do domku letniskowego znajomych na wsi, w którym nie ma prądu ani Internetu. W dalszym ciągu nie powiedziałam o niczym mężowi, bo zdenerwuje się, gdy się dowie, że mam wirusa na naszym komputerze i muszę za to zapłacić. Zresztą on rzadko korzysta z tego komputera. Zapłacę w tym tygodniu. Czy takie ataki hakerskie na inne firmy są bardzo powszechne wśród wielkich korporacji? Słyszałam, że takie rzeczy robią rządy państw, nie wiedziałam jednak, że przedsiębiorstwa również.

Agent: Tak. Ataki na korporacje mają miejsce każdego dnia. Postaraj się załatwić sprawę jak najszybciej. Jeszcze nigdy nie trwało to tak długo. Dziękuję.

Christine (następnego dnia): Poszłam dziś rano do R-Kioski, żeby kupić kartę paysafecard, lecz gdy powiedziałam pracownikowi, po co ją kupuję, odmówił mi sprzedania takiej karty. Hmm. Będę chyba musiała spróbować w innym miejscu. W pobliżu nie ma sklepu Siwa. Czy cena wciąż wynosi 125 USD? To, co przytrafiło się mojemu komputerowi i moim plikom, jest oczywiście bardzo nieprzyjemne, ale miło, że chociaż Ty jesteś tak pomocny.

Agent: Tak, zapłać 125 USD. Chcemy mieć to już za sobą. Nigdy nie słyszałem o odmowie sprzedaży karty. Skoro dajesz pracownikowi pieniądze, powinien Ci ją sprzedać. Postaraj się załatwić to dziś, bo bitcoiny są notowane jak akcje, a ich kurs wzrasta. Postaraj się.

Christine: Mam dobre wieści! Porozmawiałam ze znajomym znajomego, który nieźle zna się na technologii i pomógł mi odnaleźć sporo zdjęć na moim koncie Google. Nie zdawałam sobie sprawy, że tam są! Nie wiedziałam, że część moich plików jest kopiowana na konto Gmail, ponieważ rzadko go używam. Wydaje mi się, że te odnalezione pliki to w zasadzie większość tego, co jest mi tak naprawdę potrzebne, nie muszę się więc już martwić o odszyfrowanie danych z komputera. Nie mogę uwierzyć, że to mówię, ale byłeś bardzo pomocny — choć to przecież Wy ukradliście moje pliki. Potrafisz rozmawiać z ludźmi, mógłbyś pracować w jakiejś bardziej przyzwoitej branży i świetnie się spisywać. Tak z czystej ciekawości: czy Twoja firma działa jak prawdziwe, legalne przedsiębiorstwo, z normalną stroną internetową i wszystkim, co trzeba? Nie potrafię sobie wyobrazić, jak publicznie reklamujecie usługi tego typu.

Agent: Cieszę się, że odzyskałaś swoje pliki. Ja sam nie widzę klucza odszyfrowującego do chwili pojawienia się płatności w portfelu z bitcoinami. To takie zabezpieczenie w systemie. Nie promujemy naszych usług. Wielkie korporacje zawsze mają dział techniczny. Zwykle w jednym z ich działów pracuje haker, który kontaktuje się z nami, aby sprawdzić ich zabezpieczenia. Przy okazji takich kontaktów informują nas o swoich potrzebach. To zresztą nie tylko korporacje. Politycy, rządy, mężowie, żony... Ludzie ze wszystkich środowisk zlecają nam włamywanie się na komputery, telefony komórkowe itp. Jeszcze raz zaznaczę, że moim zdaniem znalazłaś się na niewłaściwej liście kontaktowej, ponieważ nie mamy klientów w Finlandii, a naszym celem nie są użytkownicy indywidualni, którzy przechowują na swoich komputerach zdjęcia rodzinne czy muzykę. Zwykle jest to znacznie bardziej skomplikowane. Miałaś sporo szczęścia. Gdyby wirus miał funkcję autodestrukcji, Twój komputer uległby całkowitej awarii. Zaopatrz się w dobry program antywirusowy.

Christine: OK, to teraz zadam pewnie głupie pytanie, ale jaki program antywirusowy polecasz?

Agent: Jeśli chodzi o program antywirusowy, to nie ma wątpliwości, że żadne oprogramowanie nie daje takiej ochrony jak eset nod32. Avast, Malwarebytes, AVG — w porównaniu z nim to wszystko słabe narzędzia.

Należy z rezerwą podchodzić do wszystkich słów "Agenta" - to mimo wszystko przestępca.

 

Ransomware - jak się chronić?

  1. Rób backup danych na zewnętrzne urządzenia lub do chmury - nigdy nie będziemy do końca pewni innych zabezpieczeń. Każdy system, firewall, antywirus, wtyczka itd. może zawieść. Uwaga! Nośniki zewnętrzne podłączone do komputera podczas infekcji również zostaną bezpowrotnie zaszyfrowane. Backup do chmury jest najlepszym rozwiązaniem, gdyż realizuje się automatycznie - nie trzeba o nim pamiętać.
  2. Unikaj logowania się na konto z uprawnieniami administracyjnymi do komputera. Pracuj na koncie użytkownika, a konta administratora używaj tylko wtedy, kiedy jest to konieczne, np. do instalacji programów.
  3. Systematycznie i często aktualizuj system operacyjny i programy - niwelujesz w ten sposób luki bezpieczeństwa wykryte przez twórców oprogramowania.
  4. Unikaj wchodzenia na strony zawierające niebezpieczne treści, klikania w podejrzane linki i używania nieznanych narzędzi.
  5. Bardzo ostrożnie otwieraj załączniki e-mail, nawet od zaufanych nadawców. Adres nadawcy w wiadomości e-mail łatwo jest podmienić i podać się za dowolną osobę. Znane są też sztuczki, dzięki którym plik wyglądający np. na PDF czy ZIP faktycznie jest plikiem z wirusem.
  6. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane.
14:38, eprzekret
Link Dodaj komentarz »
środa, 13 lipca 2016

jigsawRansomware to jeden z najpopularniejszych rodzajów wirusów stosowanych przez cyberprzestępców. Jego ofiarami padają zarówno firmy, jak i prywatne osoby. Wyjaśniamy, na czym polega to zagrożenie.

„Pliki w twoim komputerze zostały zaszyfrowane - twoje dokumenty, zdjęcia, filmy, etc. Ale nie martw się - jeszcze ich nie usunąłem. Masz 24 godziny na zapłacenie 150 dolarów w Bitcoinach aby otrzymać klucz deszyfrujący. Co godzinę będę kasować kolejne pliki z twojego dysku. Za 72 godziny wszystkie znikną bezpowrotnie” - takim komunikatem i twarzą znanej postaci z horrorów wita się z użytkownikami wirus Jigsaw. To jeden z przykładów coraz częściej stosowanego oprogramowania typu ransomware (od angielskiej zbitki ransom i software - okup i oprogramowanie).

Sama opłata jest na tyle niska, by użytkownikowi bardziej opłacało spełnić żądania przestępców, niż płacić firmie profesjonalnie odzyskującej dane. Jednocześnie jest na tyle wysoka, by wysyłka przynosiła oszustom zyski przy dość niskich kosztach własnych (oprogramowanie do ataku można w sieci kupić za kilkadziesiąt dolarów, więc atakującym może być każdy). Zależnie od tego, kto pada ofiarą, okup wynosi zwykle od 200 do 10 tys. dol.

Przykłady ofiar są często dość spektakularne. W grudniu 2013 roku departament policji w Swansea w stanie Massachusetts zapłacił 750 dol. autorom wirusa CryptoLocker. To jeden z najbardziej znanych wirusów typu ransomware. Według McAfee Labs na jednej wysyłce CryptoLockera przestępcy zarobili 325 milionów dolarów. Ataku i zapłaty okupu nie ustrzegło się nawet FBI...

W maju lokalne media w Lubelskiem donosiły, że ofiarą ransomware padli pracownicy Urzędu Gminy z tamtejszego... Urzędowa. Nie wiadomo, czy instytucja zapłaciła okup. Choć polskie firmy nie lubią się przyznawać do szkód, jakie wyrządzają im wirusy, specjaliści od IT nieoficjalnie podają wiele takich przypadków. Na ransomware złapał się jeden z czołowych ubezpieczycieli specjalizujących się w ubezpieczeniach komunikacyjnych w Polsce, dwa sklepy internetowe plasujące się w czołowej dziesiątce polskiego e-commerce czy kilka prywatnych zakładów opieki medycznej. - Niemal codziennie dostajemy zgłoszenia od firm, które padły ofiarą ataku. Niestety w większości przypadków było już za późno - mówi Jakub Wychowański z firmy Vecto.

Ransomware - jak to działa?

Najczęściej zaczyna się od otwarcia załącznika z maila. Oszuści podszywają się na przykład pod pocztę, informując o nieodebranej przesyłce. W ten sposób namawiają do otwarcia załącznika z niebezpiecznym oprogramowaniem. - 60 proc. wirusów ukrywa się w normalnych plikach multimediów. Najczęściej antywirusowe programy nie zwracają na nie uwagi. Przez luki w oprogramowaniu można dostać się do komputera - tłumaczy Michał Jarski z firmy Trend Micro. Wirusa można tez złapać z innych źródeł: przez złośliwe reklamy wyskakujące w przeglądarce internetowej, strony www z treściami pornograficznymi czy na zewnętrznych nośnikach USB.
Potem złośliwe oprogramowanie w ciągu kilku minut szyfruje dysk i wyświetla informację z żądaniem okupu. Podczas szyfrowania na naszym komputerze wykonywana jest na nim duża ilość operacji, przez co urządzenie może zwolnić. Może to potrwać od 5 do 10 minut. Często w tym czasie wyłączenie sprzętu i odłączenie go od sieci może zablokować proces szyfrowania. Nie pomoże to w usunięciu samego oprogramowania, ale może uratować nasze dane.

Pieniądze z oszustwa trafiają na konta „słupów”, a potem do osób rozsyłających takie oprogramowanie. Okup wypłacany jest najczęściej w bitcoinach lub w kodach serwisów przedpłaconych takich jak PaySafeCard. W ten sposób łatwiej jest „upłynnić” i wyprać pieniądze - na przykład w kasynach (podobnie jak cyberwłamywacze, którzy okradli bank centralny Bangladeszu).

Jeszcze kilka lat temu cyberprzestępcy tylko straszyli. Logo policji, informacja o znalezionej przez nią pornografii dziecięcej, blokada możliwości zrobienia czegokolwiek na komputerze i prośba o zapłacenie okupu w zamian za rezygnację ze śledztwa. Wystarczyło więc podłączyć dysk do innego sprzętu i skopiować pliki. Dziś pliki są szyfrowane - bez podania klucza właściwie nie mamy szans na odzyskanie danych. - To odwrócenie klasycznych form ataku. Zamiast wynosić dane na zewnątrz, atakujący zużywają je po stronie użytkownika. To tak jakby zamknąć komuś sejf i za dwieście dolarów podać klucz - mówi Jarski.

Ransomware - czy warto płacić?

Zdaniem Jarskiego - nie. - Atakujący wie już, że znalazł czuły punkt, w który może uderzyć po raz kolejny. A każdy okup finansuje kolejne ataki. Poza tym zapłacenie okupu nigdy nie oznacza końca problemów. Oprócz ransomware na naszym komputerze znaleźć się bowiem mogło oprogramowanie na przykład śledzące wszystkie wpisane z klawiatury znaki (dzięki któremu przestępcy będą mogli zdobyć nasze hasła) lub takie, które wyświetli na naszym komputerze spreparowaną stronę banku, by przekonać nas do wykonania przelewu na ich konto. Często po takiej infekcji konieczne jest całkowite sformatowanie dysku (usunięcie z niego wszystkich plików) i odzyskanie plików z kopii zapasowej - mówi.

Z kolei Arkadiusz Krawczyk z Intel Security zwraca uwagę na jeszcze inne skutki ataku ransomware: - Oczywiście cyberprzestępcom zależy na tym, aby ich biznes przynosił jak największe zyski, dlatego w większości przypadków po opłaceniu okupu przesyłają użytkownikowi klucz do odszyfrowania plików. Gdyby tego nie zrobili, ludzie przestaliby im płacić. Sprawę może rozwiązać dobry backup, który sprawi, że stracone dane będzie można odzyskać bez konieczności wpłacania okupu. Ale i to zabezpieczenie cyberprzestępcy potrafią dziś obejść, strasząc nie tylko zaszyfrowaniem danych, ale i - tak jest w przypadku ataków na urządzenia mobilne - przesłaniem historii wyszukiwania użytkownika do wszystkich kontaktów.

Ransomware - jak uniknąć zarażenia? (porady przygotowane przez firmę Vecto)

  1. Rób backup danych na zewnętrzne urządzenia lub do chmury - nigdy nie będziemy do końca pewni innych zabezpieczeń. Każdy system, firewall, antywirus, wtyczka itd. może zawieść. Uwaga! Nośniki zewnętrzne podłączone do komputera podczas infekcji, również zostaną bezpowrotnie zaszyfrowane. Backup do chmury jest najlepszym rozwiązaniem gdyż realizuje się automatycznie - nie trzeba o nim pamiętać.
  2. Unikaj logowania się na konto z uprawnieniami administracyjnymi do komputera. Pracuj na koncie użytkownika, a konto administratora używaj tylko wtedy, kiedy jest to konieczne, np. do instalacji programów.
  3. Systematycznie, często aktualizuj system operacyjny i programy - niwelujesz w ten sposób luki bezpieczeństwa wykryte przez twórców oprogramowania.
  4. Unikaj wchodzenia na strony zawierające niebezpieczne treści, klikania w podejrzane linki i używania nieznanych narzędzi.
  5. Bardzo ostrożne otwieraj załączniki e-mail, nawet od zaufanych nadawców. Adres nadawcy w wiadomości e-mail łatwo jest podmienić i podać się za dowolną osobę. Znane są też sztuczki, dzięki którym plik wyglądający np. na PDF czy ZIP faktycznie jest plikiem z wirusem.
  6. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane.

Poniższy artykuł napisałem razem z Arkiem Przybyszem z "Gazety Wyborczej".

13:35, eprzekret
Link Dodaj komentarz »

28-letni Edward Majerczyk z Chicago przyznJennifer Lawrenceał się do tego, że wykradał gwiazdom Hollywood nagie zdjęcia z ich kont internetowych. Grozi mu 5 lat więzienia.

O wycieku nagich zdjęć celebrytek głośno było jesienią dwa lata temu. Do sieci trafiły fotografie kilkuset gwiazd z pierwszych stron gazet - m.in. gwiazdy tabloidów Kim Kardashian, laureatki Oscara Jennifer Lawrence, laureatki Złotej Palmy Kirsten Dunst, piosenkarek Rihanny, czy serialowej gwiazdki Victorii Justice. Autentyczność zdjęć potwierdziła m.in. Lawrence. Internauci szybko zaczęli kopiować pliki i można je było znaleźć w tysiącach miejsc w sieci. O sprawie pisały media na całym świecie.

Początkowo specjaliści podejrzewali, że włamywacz wybierał konta gwiazd i potem metodą prób i błędów zgadywał prawidłowe hasła. Ale Apple (to do niego należy usługa iCloud, z której pochodziła większość zdjęć) zaprzeczył temu, twierdząc, że jego zabezpieczenia nie zostały złamane.

Dziś wszystko jest już jasne. Apple miał rację - nikt nie próbował odgadywać haseł celebrytek. Za włamaniami stało dwóch mężczyzn i posłużyli się oni metodą phishingu. Ryan Collins i Edward Majerczyk przyznali się do zarzucanych mu czynów. O Majerczyku niewiele wiadomo poza tym, że ma 28 lat, mieszka w Chicago i - sądząc po imieniu i nazwisku - jest Polakiem. Collins zaś ma 36 lat i pochodzi z Pensylwanii.

Obaj używali prostego oszustwa - wysyłali gwiazdom fałszywe maile, które wyglądały jak komunikaty o naruszeniu bezpieczeństwa na kontach w iCloud lub poczcie Gmail. W wiadomości był link, który ofiara miała kliknąć, by „zabezpieczyć swoje konto”. Ale skutek był odwrotny - link prowadził do stron identycznie wyglądających, jak wyżej wspomniane usługi, ale wyłudzających loginy i hasła do iCloud oraz Gmaila. A mając hasła, przestępcy mogli swobodnie buszować po prywatnych danych gwiazd i wykradać ich sekretne zdjęcia.
Ryan Collins w marcu poszedł z amerykańskim sądem na ugodę i musi odsiedzieć 18 miesięcy. Edward Majerczyk dopiero będzie sądzony - grozi mu 5 lat więzienia.

Przed tego rodzaju włamaniem, jakiego ofiarą padły celebrytki, można się łatwo zabezpieczyć. Wystarczy - wszędzie, gdzie to możliwe - włączyć tzw. dwuskładnikowe uwierzytelnianie (kliknij, by zobaczyć, jak to się robi).

Tagi: włamanie
13:29, eprzekret
Link Dodaj komentarz »