Pozor na Rolfa. Rolf Drescher hledá práci, a tak na kdejaké HR oddělení míří e-maily s životopisem v PDF a XLS. PDF je snad v pořádku, ale co ten Excel? A tak jej ze zvědavosti leckterá lovkyně mozků otevře, načež vyskočí žádost o spuštění makra. Zvědavost převáží bezpečnostní pud sebezáchovy a…
A nic, namísto bohatého výčtu Rolfových pracovních zkušeností se totiž počítač z ničeho nic restartuje a spustí se program CHKDSK, který záhy začne kontrolovat pevný disk.
Zákeřný Rolf hledá práci
Leckdo by v tom okamžiku zaklel a jen odfrkl, že zase spadly Windows, vše se má ale trošku jinak. Rolf Drescher neexistuje a jeho podivný životopis v XLS nebyl ničím jiným než čerstvou modifikací viru Petya/GoldenEye, který se internetem šíří poslední rok.
Jmenuji se Rolf a jsem virus zabalený v příloze
Chování jeho poslední verze zmapovali specialisté z Check Pointu a loni pak až na samou dřen assembleru analyzovali v MalwareLabs. Pojďme se tedy podívat, jak takový útok, nákaza a nakonec i naprostá zkáza vlastně vypadá, Petya aka GoldenEye aka nešťastný Rolf Drescher je totiž tím nejzákeřnějším malwarem pod Sluncem – vyděračským ransomwarem.
Co je to ransomware?
„Ransomware je druh malwaru, která zabraňuje přístupu k počítači, který je infikován. Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za zpřístupnění počítače. Některé formy ransomware šifrují soubory na pevném disku (kryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení.“ – Česká Wikipedie
Zuzaně z HR došel e-mail
Mějme tedy jednu specialitku na HR, která zrovna hledá čerstvé síly. Říkejme ji třeba Zuzka. Zuzaně mohl virus dorazit nejrůznějšími kanály, ve všech případech se ale jednalo o žádost o práci. Zatímco loni se tak Drescherův životopis šířil především jako falešný samorozbalovací balíček ZIP (EXE) uložený na Dropboxu, nyní to je zmíněné makro pro Excel.
Letos je to Excel, loni se životopis šířil jako EXE program
Zuzka právě pro svého zaměstnavatele hledá nové inženýry, a tak mávne rukou nad podivnou distribucí a makro v Excelu přes varování spustí. V tom okamžiku se ale rozbalí malware, nahraje se do paměti a začne šifrovat dostupné soubory v uživatelské složce, kterým zamění příponu. Nakonec vytvoří soubor YOUR_FILES_ARE_ENCRYPTED.TXT s instrukcemi.
Ransomware přepíše úvodní část disku
Kdyby Zuzka v tuto chvíli počítač rychle vypnula, ještě by mohla ledacos zachránit. Jenže Zuzka je zmatená, a tak dá podivnému programu ještě pár chvil. Ten toho využije, vytvoří kopii úvodní oblasti pevného disku, kde je uložený zavaděč operačního systému, a přepíše jej vlastním maličkým programem.
Přepsání zavaděče bude mít za následek okamžité zhroucení systému, možná vyskočí BSOD, ale počítač se v každém případě restartuje.
V tuto chvíli má naše HR specialistka Zuzka poslední šanci, jak zachránit alespoň operační systém. O uživatelská data už nejspíše přišla. Nesmí počítač znovu spustit! Kdyby Zuzka okamžitě zaběhla do oddělení IT, které všechno ví, poněvadž bedlivě čte Živě.cz, technici by vytáhli disk a provedli zálohu zbývajících nepoškozených dat, protože samotné oddíly ještě existují.
Jelikož však ajťáci předchozího dne do pozdních nočních hodin probírali U tří opic problematiku podnikové síťové infrastruktury, stejně jako autor tohoto článku dnes nedorazili na pracoviště před desátou dopolední, a tak má Zuzka smůlu a nechala vše dál běžet.
Falešný CHKDSK ve skutečnosti šifruje
Počítač se restartoval, ovšem Windows už nenaběhly. Namísto toho se zobrazil onen CHKDSK a začal kontrolovat disky. Samozřejmě byl falešný a měl jen ukonejšit Zuzku, že je zatím stále vše v režii Microsoftu, a jen co program vše spočítá, prostě naběhne přihlašovací obrazovka.
Falešný CHKDSK, který ve skutečnosti šifruje většinu disku
Chyba! Falešný CHKDSK nekontroluje disk, ale právě jej pomocí techniky Salsa20 téměř celý šifruje.
A neměla by si s tímto útokem poradit funkce Secure Boot a UEFI? Na první pohled ano, ale je to složitější – viz třeba tato diskuze na blogu Naked Security.
Falešný CHKDSK zvesela šifruje a šifruje, načež je dílo definitivně dokonáno, disk zašifrovaný a na displeji se už jen zobrazí žlutá pirátská lebka (proto GoldenEye) a posléze sdělení, že se Zuzana stala obětí ransomware a co má dělat.
Jakmile malware zašifruje disk, spustí uvítací program s lebkou (aktuální verze a červená z loňského roku) – toto všechno uložil na úvodní část disku ještě na Windows
Zuzko, chci bitcoin!
Autor nabádá Zuzku, aby si stáhnula Tor Browser a navštívila některou ze skrytých webových stránek na torovém alternativním webu, třeba: http://petya5koahtsf7sv.onion.
Zde se posléze dozví, že má zaplatit poplatek ve výši 1,3-1,39 BTC. Dolary se samozřejmě neplatí, záškodníci všeho druhu preferují těžko identifikovatelné bitcoinové transakce. Přesná částka kampaň od kampaně trošku osciluje a zdá se, že záškodníci reagují na aktuální kurz bitcoinu k americkému dolaru, pokaždé se totiž jedná zhruba o tisíc dolarů, což asi bude jejich cíl. Tisíc dolarů za každý úspěšný útok!
Dobrý den, jste obětí ransomwaru. Děkujeme, že využíváte našich služeb a teď nám prosím zaplaťte asi 1 000 dolarů. Máte na to pár dnů, pak už se s vámi nebudeme bavit.
Nyní má Zuzka na výběr. Buď zaplatit odmítne a smíří se s tím, že jen co se technici vyspí z kocoviny, prostě ji přeinstalují celý operační systém, anebo rozbije všechna porcelánová prasátka. V takovém případě později obdrží dešifrovací klíč, který zadá do formuláře po startu počítače. Malware v tom případě nejprve ze zálohy obnoví onu přepsanou úvodní část disku se zavaděčem a posléze i zbytek souborů na celém disku.
A opravdu mi dorazí klíč?
Leckdo si jistě položí otázku, jestli budou záškodníci vůbec komunikovat, ale je to v jejich zájmu. Pokud by totiž po zaplacení výkupného nepředali oběti klíč, brzy by se to rozkřiklo a peníze by jim už příště nikdo neposlal.
„Copyright © 2016 Janus Cybercrime Solutions ™“ píše se v patičce na torové stránce ransomwaru Petya. Nu, ochrannou známku nemají, ale smysl pro humor a copyright asi ano...
Na stranu druhou, internetem se mohou šířit i různé starší a již neaktivní ransomwarové kampaně, kdy viry samotné sice pochopitelně stále fungují, ale záškodníci už žádné dešifrovací klíče dávno neposílají. Díky analýze ransomwaru i policejním zátahům se však specialistům čas od času podaří šifru rozlousknout a antivirové firmy poté nabízejí nejrůznější nástroje, které se pokusí data obnovit.
Zuzka se naštvala a o vše přišla
No dobrá, toto je ale čerstvá kampaň, a tak věřme, že vše funguje. Přesto to stále může skončit naprostou katastrofou. Jakmile si Zuzka přečte, že má poslat jakýsi bitcoin a kolik že to po přepočtu činí korun, naštve se a do formuláře na žlutočerné obrazovce napíše nějaké velmi vulgární a před desátou hodinou večerní zcela nepublikovatelné slovíčko.
Poté klepne na Enter a…
A je konec, v ten okamžik totiž ransomware Petya/GoldenEye v prvním kroku provede onu obnovu zavaděče, ale samotná data na disku dešifruje špatným klíčem. Jeden nesmysl tedy převede na druhý a už není cesty zpět, protože z hlavičky disku mezitím zmizel i onen úvodní záškodnický program, který se spouštěl po startu.
Ransomware z rodiny Petya ve skutečnosti nešifruje každý bajt na disku. Při forenzní analýze se ukázalo, že i poté zůstávají tu a tam původní data včetně textových řetězců. Integrita diskového oddílu je ale pryč a snadná obnova bez znalosti klíče nemožná.
Co tedy na závěr poradit imaginární Zuzaně? Jistě, na podnikovém počítači to bude slušet některému z antivirovému programu, provařené viry Petya by dnes totiž měly znát opravdu všechny. Ovšem jak už tomu bývá, nejlepším antivirem je nakonec především starý dobrý selský rozum a bystrý úsudek.
Nelze totiž než doufat, že by opravdu nikoho, ani naši imaginární Zuzanu, nikdy v životě nenapadlo spouštět pochybné makro v už od pohledu pochybném tabulkovém dokumentu.
A tak přejme všem HR oddělením, ať se nenechají nachytat ani v novém roce a v nové kampani.
Zdroje obrázků:
- Malwarebytes Labs (podrobná analýza)
- Check Point (aktuální ransomwarová kampaň)
