Archiwum Marzec 2016

Od Javascriptu do ransomware’u

Od kilku dni w mojej skrzynce pojawiają się wiadomości, które rzekomo sam do siebie wysłałem.
e-mail
Takich maili przychodzi coraz więcej, najwyraźniej włamywacze komputerowi nauczyli się sprawniej omijać filtry antyspamowe. W załączniku takiego maila, zamiast pliku wykonywalnego lub dokumentu z eksploitem znalazłem coś innego – jest tam pojedynczy plik ze skryptem:
zrzut_ekranu-CUT3261123725.js (-tmp-.fr-LJvW3c) - gedit
Jak widać jest to zaciemniony kod Javascript, który ma za zadanie pobranie dalszych składników złośliwego oprogramowania. Trudno odmówić twórcom poczucia humoru – główna funkcja, która składa i pobiera malware nazywa się „instability”.
Niestety obfuskacja Javascriptu jest dość skutecznym narzędziem, bo nie każdy antywirus potrafi zablokować sam skrypt pobierający malware. Oto analiza z Virustotal.com, proszę zwrócić uwagę których producentów NIE ma na liście:
zrzut_ekranu-66
Końcowym etapem będzie instalacja złośliwego oprogramowania, które zaszyfruje dokumenty użytkownika i zażąda za nie okupu. Wyniki analizy w środowisku piaskownicy nie pozostawiają wątpliwości – to jest znany wirus o nazwie Locky:
locky
Pamiętajcie – nawet zwykły plik tekstowy w pospolitym archiwum ZIP może przynieść szkody, jeśli tylko pozwoli się na uruchomienie zawartego w nim skryptu. Wirus działa w ukryciu i wyświetla komunikaty dopiero wtedy, gdy już jest za późno. Oto taki komunikat (źródło – blog F-Secure):
locky-recover-instructions
Niestety Locky, podobnie jak Teslalocker oraz Cryptolocker coraz częściej infekują komputery w polskich firmach. Obecne wersje nie mają już błędu w implementacji algorytmu szyfrującego i odtworzenie kluczy jest już znacznie trudniejsze. Złodzieje nauczyli się także usuwać kopie migawkowe na woluminie, zatem odtworzenie danych za pomocą przywrócenia stanu sprzed infekcji będzie o wiele trudniejsze. Na szczęście nie potrafią usuwać plików z systemów obiegu dokumentów, a w kilku przypadkach pomaga sprytna sztuczka, polegająca na dołożeniu do profilu naprawdę dużego pliku (2GB) zawierającego losowe dane, opatrzonego odpowiednią nazwą. Za złośliwym oprogramowaniem Locky prawdopodobnie stoją ci sami ludzie, którzy rozsiewają konie trojańskie z serii Dridex.

Postęp techniki – składowanie danych

Gdy dziś ogląda się reklamy takie jak na przykład dysków firmy XCOMP, wśród młodszych wiekiem specjalistów technicznych pojawia się zdziwienie. Dysk po pojemności 10MB przeznaczony do niewielkiego komputera kosztował prawie 4 tysiące USD za 10MB, co po uwzględnieniu inflacji odpowiada ponad 9000 dzisiejszych dolarów!

Dysk XCOMP, 10MB

Jeszcze ciekawiej wygląda porównanie samych komputerów – przykładowy system Cromemco Z-2 wyprodukowany w 1977 r. posiadał procesor Z80 firmy Zilog taktowany zegarem 4MHz. O ile sam system nie był nadzwyczajnie kosztowny (około 1000USD), wszystkie najważniejsze elementy, takie jak pamięć, oraz urządzenia wejścia/wyjścia były zamawiane osobno, a następnie instalowane jako karty rozszerzeń. Instalacja podobnego komputera z dyskiem twardym 14MB kosztowała prawie 14 tysięcy ówczesnych dolarów (co odpowiada prawie 30 tys USD dziś).

Komputery Cromemco_Z-2 przy obsłudze giełdy towarowej w Chicago

Komputery Cromemco_Z-2 przy obsłudze giełdy towarowej w Chicago, rok 1984.


Komputery Z-2 obsługiwały różne profesjonalne instalacje, w tym giełdę towarową Chicago Mercantile Exchange i zostały zastąpione przez IBM PS/2 dopiero w 1992r.

Ponad 600 takich komputerów używano do wspierania misji bojowych samolotów F-15, F-16 i F-111 w siłach powietrznych USA, w tym także w pierwszej wojnie w Zatoce Perskiej. Komputery te miały jednak inny procesor (Motorola 68020) i dysponowały wymiennym dyskiem twardym.


Cromemco Z-2H dla USAF, 1986

Cromemco Z-2 z wymiennym dyskiem, wersja dla US Air Force, 1986.


Postęp techniki, automatyzacja i masowa produkcja sprawiły, że koszt składowania tej samej porcji danych jest dziś miliardy razy niższy. Tworzymy ogromne ilości danych – użytkownicy samego Youtube’a publikują dane, które wymagają petabajta surowej pojemności dziennie. Nic dziwnego, że Google szuka alternatyw dla klasycznych dysków twardych.

Disaster bez recovery

27 lutego firma Adweb napisała na swoim profilu Facebookowym i stronie 2be.pl o tym, że w wyniku włamania straciła kontrolę nad wszystkimi usługami hostingowymi świadczonymi dla prawie 2 tys domen. Procedura disaster recovery nie została zaimplementowana poprawnie, po dwóch tygodniach pracy udało się odtworzyć backup z czerwca ubiegłego roku. Na odtworzenie danych klientów tuż sprzed zniszczeń praktycznie nie ma szans. Dodatkowo negatywny przekaz wzmacnia totalnie nieprofesjonalny PR właściciela przedsiębiorstwa.

Więcej »