Igor Kabina je detekčný inžinier spoločnosti ESET, ktorému sa podarilo kompletne dešifrovať nebezpečný ransomware TeslaCrypt.
O tejto forme škodlivého kódu, ale aj o ďalších hrozbách a o tom, ako sa brániť, sme sa s ním rozprávali v centrále spoločnosti ESET.
TI: Odkedy sa stretávaš s rôznymi vydieračskými malvérmi, ktoré sa označujú ako ransomware?
I.K.: Ransomware je teraz najvýznamnejšia hrozba, ktorej čelia nielen AV spoločnosti, ale aj používatelia počítačov a mobilných zariadení. Hlavný boom začal na prelome rokov 2014/2015. Predtým sa tiež objavovali nejaké pokusy o ransomware, boli vo forme lockscreenu. Išlo o malvér, ktorý zablokoval systém počítača s tým, že zobrazil správu o tom, že sa na zariadení našli napríklad pedofilné fotografie a žiadal výkupné cez bitcoiny alebo inak. Útočníci potom prešli na šifrovanie súborov. Tento typ sa označuje ako FileCoder alebo CryptoLocker. Najznámejším ransomwareom je CryptoWall, ktorý sa objavil v roku 2014 a jeho úspech odštartoval boom ransomwaru.
TI: Na akých zariadeniach sa najčastejšie vyskytuje táto hrozba? V médiách sa často spomínajú útoky aj na Android alebo iOS zariadenia, ale tam často fungujú iným spôsobom. Napr. v prípade iOS sa zneužila služba Find my iPhone.
I.K.: Malvér, je jedno aká forma, sa vždy vyvíja na zariadenia, ktoré sú práve najrozšírenejšie. To znamená, najskôr sa objaví na bežných počítačoch. Dnes sa však migruje populácia používateľov na mobilné zariadenia, tak sa s ransomwareom stretávame aj tam. Zatiaľ iba v základných formách, ako bol lockscreen PIN locker (zablokovanie obrazovky novým PIN kódom). Ransomware, ktorý by plne šifroval dáta zatiaľ na mobilných zariadeniach nie je bežný. Sú náznaky, vieme o nich, ale ešte nie sú natoľko rozšírené. Samozrejme, existuje ransomware aj pre Linux a rovnako aj OS X. V prípade Macov sa zameriavajú najmä na projekty v CAD systémoch a podobne.
TI: Ako ransomware šifruje súbory?
I.K.: Ransomware šifruje všetko, na čo má práva. Niektoré FileCodery sa snažia na počítači získať práva k súborom, ku ktorým nemá prístup ani používateľ. V prípade mobilných zariadení zatiaľ nie je ransomware, ktorý by šifroval všetky dáta. Boli náznaky, kedy malvér zašifroval dáta, uložené na microSD karte a podobne.
TI: Na čo by si mal používateľ dávať pozor, aby si ho do zariadenia nestiahol?
I.K.: Momentálne najčastejším spôsobom, ako získať ransomware, sú emaily, konkrétne súbory v prílohe, ktoré obsahujú JavaScript downloader. Najviac rozšíreným ransomware, ktorý sa sťahuje cez emaily, je teraz Locky. Ďalším spôsobom, ako sa infikovať, sú Flashové exploity. Tie zneužívajú bezpečnostné diery v Adobe Flash. Najznámejšie balíčky takýchto exploitov sú Angler, Nuclear a Neutrino. Ransomware sa môže do vášho počítača stiahnuť, keď sledujete video na „pochybnej“ stránke, ktoré sa prehráva pomocou technológie Flash. Taktiež ho môžete nevedome stiahnuť z rôznych serverov, napr. sa môže stiahnuť spoločne s torrentom. Vo všeobecnosti si treba dávať pozor na to, aké stránky navštevujete, ale riziko môže teoreticky predstavovať hocaká webová stránka, vrátane legitímnych a dobre známych, ak by ju útočníci hackli a nasadili tam škodlivý kód.
TI: Ty si dekódoval ransomware TeslaCrypt. Ako sa ti to podarilo?
I.K.: TeslaCrypt sledujem od začiatku. Ako prvú sme zaznamenali verziu 0.2.5. vo februári 2015 a dekódovaniu som sa venoval od apríla 2015. Prvé verzie mali dosť nedostatkov, ktoré sa dali využiť na to, aby som mohol vytvoriť dekóder. ESET bol teda schopný dekódovať dáta používateľov, ktorí boli týmto ransomwareom infikovaní. Samozrejme, vývojári TeslaCryptu opravili nedostatky a učili sa na vlastných chybách. Je to taká nekonečná naháňačka. Funguje to tak pre každý škodlivý kód, nielen pre ransomware. Keď my detegujeme nejaký malvér, útočníci sa snažia upraviť ho tak, aby sme ho nerozpoznali.
TI: V prípade TeslaCryptu však táto naháňačka skončila…
I.K.: Áno, 27. apríla 2016 sme zaznamenali ich poslednú kompiláciu, išlo o verziu TeslaCryptu 4.2. 29. apríla sme si však všimli, že sa prestala distribuovať cez ich distribučnú sieť. Začal som teda monitorovať ich support stránku – tá ponúkala infikovaným používateľom možnosť dešifrovania jedného súboru zadarmo a takisto obsahovala informácie o tom, kam poslať koľko peňazí a ako. Support ešte fungoval a všimol som si, že začali dávať zľavy na výkupné za dáta. Cez jeden svoj profil „infikovaného“ som ich oslovil, či by mohli zverejniť štyri privátne univerzálne kľúče, ktoré používali. Na druhý deň mi odpovedali s tým, že zverejnili kľúč, ktorý bol špecifický pre daný profil. Znovu som im napísal s tým, aby zverejnili aspoň posledný univerzálny kľúč , keďže sa už TeslaCrypt nešíri. Predchádzajúce verzie sme už dokázali dešifrovať a posledný kľúč by nám pomohol pri dešifrovaní najnovšej verzie. Po 1,5 dni zverejnili na hlavnej stránke oznam s daným kľúčom. Overil som ho, bol pravý a začal som vyvíjať dekóder.
TI: Je to štandardné, že takýmto spôsobom komunikujú ľudia, ktorí chcú prelomiť malvér s jeho vývojármi?
I.K.: Nie je to štandardné, aby AV spoločnosti takto anonymne komunikovali s vývojármi malvéru. Toto bola skôr taká hodená príležitosť, ktorú som vyskúšal. Všimol som si totiž, že aj v minulosti boli oblomní, ak im obeť napísala citovo zafarbenú správu. Buď jej dali zľavu alebo v niektorých prípadoch poskytli kľúč zadarmo.
TI: V akých cenových reláciách sa pohybuje výkupné za dešifrovanie dát?
I.K.: Je to individuálne. V prípade TeslaCryptu to bolo 500 dolárov a po 166 hodinách sa to zvýšilo na 1000 dolárov. Aktuálne teraz sa to pohybuje od 0,5 až 1,5 bitcoinu. V prípade Lokyho, ktorý je založený na tom, koľko súborov zašifroval, to môže ísť aj do 5 až 8 bitcoinov. (pozn. 1 bitcoin = približne 600 eur)
TI: Kam bude trh s malvérom smerovať?
I.K.: Ten trend bol stanovený už v roku 2014. Celé je to o tom získať nejaké peniaze a predpokladáme, že ransomware ako taký sa bude rozširovať. V poslednej dobe sme zaznamenali veľký nárast FileCoderov, mnohé z nich však neboli profesionálne spravené. Boli urobené „na kolene“ a dalo sa ich ľahko dešifrovať. Keď je niečo úspešné, všetci sa to snažia napodobniť a ransomware teraz má úspech, lebo je to najrýchlejší spôsob, ako zameniť škodlivý kód za peniaze.
TI: Asi najdôležitejšia otázka – ako sa môže používateľ brániť?
I.K.: Používateľ sa môže brániť tak, že má aktualizovaný antivírusový systém, ktorý používa cloud alebo inú formu rýchlej odozvy. Ďalej samozrejme neotvárať emaily, ktoré sú buď od neznámych osôb alebo sú od známej osoby, avšak majú v prílohe podozrivý archív, exe súbor alebo niečo podobné. Pri surfovaní po internete si treba dávať pozor na to, na čo používateľ kliká a ak je to možné, vypnúť skripty. A nezabúdať zálohovať.
TI: Čo mám robiť, ak som už infikovaný ransomwarom?
I.K.: Ak používateľ zaznamená, že jeho počítač bol infikovaný, ideálne je hybernovať počítač – ak hybernácia už bola zapnutá. Pokiaľ nebola, vtedy je najlepšie vypnúť počítač a zálohovať zašifrované dáta pre prípad, že je dostupný dekodér, alebo že bude dostupný v budúcnosti. Netreba zabúdať na pravidelné zálohy citlivých dát, ktoré majú pre danú osobu alebo firmu cenu.
TI: Ochráni ma ESET?
I.K.: Áno, pokiaľ je používaná aktuálna verzia ESET Smart Security alebo firemnej verzie ESET Endpoint Security, je zapnutý ESET LiveGrid, rozšírená heuristika a zároveň sú zapnuté aj všetky sieťové detekcie, ESET je schopný ochrániť voči FileCoderom a to vrátane tých, ktoré zatiaľ nepoznáme.
Ďakujeme za rozhovor
Prečítajte si aj:
Karel Šimek: „Malvér nemá na starosti jeden útočník, je to prepracovaný biznis“