Cryptolocker

Wikipedia
Loikkaa: valikkoon, hakuun
Tämä artikkeli tai sen osa on käännetty tai siihen on haettu tietoja vieraskielisen Wikipedian artikkelista.
Alkuperäinen artikkeli: en:CryptoLocker

Cryptolocker on troijalainen kiristysohjelma, jonka kohteena ovat Microsoft Windows -käyttöjärjestelmällä varustetut tietokoneet,[1] ja joka havaittiin ensimmäisen kerran syyskuussa 2013. Cryptolocker voi tulla tietokoneeseen esimerkiksi sähköpostin liitetiedostona. Aktivoiduttuaan haittaohjelma salaa tietyntyyppiset tiedostot koneen paikallisilla ja verkkolevyasemilla käyttäen RSA:ta. Salauksen purkava avain on haittaohjelman hallintapalvelimilla. Ohjelma esittää käyttäjälle maksuvaatimuksen (joko bitcoineja tai maksukuponkeja), ja uhkaa tuhota salausavaimen mikäli maksua ei suoriteta määräaikaan mennessä. Määräajan täytyttyä ohjelma tarjoaa mahdollisuutta purkaa salaus ohjelman ylläpitäjien palvelussa huomattavasti alkuperäistä korkeammalla hinnalla.

Vaikka Cryptolocker itsessään voidaan poistaa saastuneesta tietokoneesta, salattuja tiedostoja ei käytännössä voida avata ilman avainparin salaista avainta. Ars Technican mukaan ainakin osa uhreista on kertonut saaneensa salaisen avaimen lupauksen mukaisesti haltuunsa maksettuaan lunnaat.[1] Toiset taas kertovat maksaneensa, mutta jääneensä silti ilman salauksen purkua.[2]

Haittaohjelman toiminta[muokkaa | muokkaa wikitekstiä]

Tyypillisesti Cryptolocker liikkuu näennäisesti uskottavan sähköpostiviestin liitetiedostona. Se voi myös asentua koneelle, joka on jo aiemmin otettu botnetin haltuun aiemman haittaohjelmatartunnan kautta.[2] Sähköpostin liitteenä oleva ZIP-tiedosto sisältää PDF-tiedostoksi naamioidun suoritettavan tiedoston. Toisinaan ensin asentuva ohjelma on Zeus-troijalainen, joka sitten asentaa Cryptolockerin.[3][4] Ohjelma asentaa Omat tiedostot -kansioon haittakuorman, jonka automaattinen käynnistys ohjelmoidaan Windowsin rekisteriin. Sitten ohjelma ottaa yhteyden johonkin hallintapalvelimistaan, ja pyytää palvelimelta 2048-bittisen RSA-avainparin julkisen avaimen, jolla tiedostot salataan.[1][3] Lähin palvelin voi olla pelkkä välityspalvelin, joka välittää pyynnön edelleen varsinaisille palvelimille. Palvelimia on ripotelty eri maihin, mikä vaikeuttaa niiden jäljittämistä.[5][6]

Haittakuorma käyttää julkista avainta paikallisten ja verkkoasemien tiedostojen salaukseen, ja kirjaa salatut tiedostot rekisteriin. Ohjelma salaa vain tietynpäätteiset tiedostot, kuten Microsoft Office -tiedostot, OpenDocument-tiedostot, kuvatiedostot ja AutoCAD-tiedostot.[4] Sen jälkeen käyttäjälle esitetään lunnasvaatimus: 400 dollaria tai euroa nimettöminä kuponkeina (MoneyPak tai Ukash) tai vastaava määrä bitcoineissa (tarkka bitcoin-määrä heijastelee valuutan kulloistakin kurssia) tulee maksaa 72 tai 100 tunnin kuluessa. Muussa tapauksessa avainparin salainen avain tuhotaan palvelimelta.[7][1][3] Lunnaat maksettuaan käyttäjä saa ladata purkuohjelman, jossa on sisäänrakennettuna hänen tiedostojensa avaamiseen soveltuva avain.[3]

Marraskuussa 2013 Cryptolockerin ylläpitäjät avasivat verkkopalvelun, jonka luvataan purkavan käyttäjien salatut tiedostot ilman Cryptolockerin ohjelmaa, vielä lunnasvaatimuksen määräajan umpeutumisen jälkeenkin. Palveluun ladataan yksi saastunut tiedosto, jonka avulla palvelun pitäisi etsiä purkuun soveltuva avain, minkä väitetään tapahtuvan vuorokauden sisällä. Kun avain on löytynyt, käyttäjän tulee maksaa saadakseen se haltuunsa. Maksu on viisinkertainen määräajan sisällä vaadittuun verraten.[8][9]

Torjunta[muokkaa | muokkaa wikitekstiä]

Haittaohjelmien torjuntaan tarkoitetut sovellukset voivat torjua Cryptolockerin, mutta muiden haittaohjelmien tavoin Cryptolockeria muunnellaan, jotta torjuntasovellukset eivät tunnistaisi sitä. Mikäli haittaohjelmaa ei tunnisteta tai se tunnistetaan liian myöhään, tiedostojen salaus voi olla jo käynnissä.[10] Mikäli haittaohjelma havaitaan ajoissa, sen välitön poistaminen (mikä on suhteellisen suoraviivaista) voi vähentää menetyksiä, sillä tiedostojen salaus vie aikaa.[11][12] Ohjelmien suorituksen rajoittamisen kaltaiset paikalliset tietoturvakäytännöt voivat estää Cryptolockerin haittakuormaa käynnistymästä.[1][3][4][6][11]

Cryptolockerin luonteen takia osa asiantuntijoista on vastentahtoisesti myöntänyt, että lunnaiden maksaminen on ainut keino saada salatut tiedot takaisin, jollei toimivia varmuuskopioita ole saatavilla.[2] Cryptolockerin käyttämä 2048-bittinen avain on niin pitkä, että salauksen avaaminen raa'alla laskentateholla on mahdotonta; jo vuonna 2008 Gpcode.AK-nimisen madon käyttämää 1024-bittistä avainta pidettiin mahdottomana murtaa ilman hajautettua laskentaa tai salausmekanismista löytyvää haavoittuvuutta.[3][9][13][14] Sophos-yhtiön Paul Ducklin on spekuloinut, että Cryptolockerin salauksenpurkupalvelu saattaa käyttää laskentatehoa avainten löytämiseen tietokannastaan (muttei avainten luomiseen uudelleen tyhjästä).[9]

Lokakuussa 2013 tietoturvayhtiö Kaspersky Labs kertoi, että osa Cryptolockerin hyödyntämistä verkkotunnuksista oli estetty nimipalvelimien avulla.[15]

Maksetut lunnaat[muokkaa | muokkaa wikitekstiä]

Joulukuussa 2013 ZDNet jäljitti neljää Cryptolockerin uhrien ilmoittamaa bitcoin-osoitetta päästäkseen selville haittaohjelman tuotoista. Lokakuun 15. ja joulukuun 18. päivän välisenä aikana osoitteiden kautta kulki yhteensä 41 928 BTC, minkä arvo tuolloin oli yhteensä 27 miljoonaa Yhdysvaltain dollaria.[7]

Kentin yliopiston tutkijoiden mukaan 41 % Yhdistyneen kuningaskunnan Cryptolocker-uhreista väitti maksaneensa lunnaat. Se olisi huomattavasti enemmän kuin Symantecin arvioima 3 %[6] ja varsinkin Dell SecureWorksin arvioima 0,4 %.[16]

Jäljittelijöitä[muokkaa | muokkaa wikitekstiä]

Cryptolockerin menestyksen myötä sille on syntynyt paljon jäljittelijöitä. Cryptolocker 2.0 havaittiin joulukuussa 2013, ja sitä pidettiin alkujaan Cryptolockerin muunnelmana. Se näyttää alkuperäiseltä, mutta siinä on myös selviä eroja: se on luotu C#:lla eikä Visual C++:lla, sen vertaisverkkosivustolle ladattu haittakuorma on naamioitu keygeniksi, siinä käytetään 1024-bittistä avainta, 3DES-algoritmia, lunnasvaatimus on yksinomaan bitcoineja, se salaa useampia eri tiedostotyyppejä ja kykenee leviämään irrotettavien asemien välityksellä. Näiden rakenteellisten ja toiminnallisten erojen takia tietoturva-analyytikot uskovat, ettei Cryptolocker 2.0 ole välttämättä kytköksissä alkuperäisen Cryptolockerin tekijöihin.[17][18]

Cryptodefense-niminen klooni ilmestyi helmikuussa 2014. Cryptolockerin tavoin sekin salaa tietyt tiedostotyypit 2048-bittisellä avaimella, mutta Cryptodefense käyttää Windowsin sisäänrakennettua salausrajapintaa. Cryptodefense vaatii käyttäjältä 500 dollarin edestä bitcoineja Tor-verkon piilopalvelussa, ja vaatimus kaksinkertaistuu, mikäli sitä ei makseta neljän päivän sisällä. Symantec löysi Cryptodefensestä heikkouden: Windowsin salausrajapinta toimii siten, että salainen avain löytyy saastuneelta koneelta. Puutteesta huolimatta Cryptodefense tuotti tekijöilleen noin 38 000 kuussa.[19][20]

Lähteet[muokkaa | muokkaa wikitekstiä]

  1. a b c d e http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/
  2. a b c http://www.securityweek.com/cryptolocker-infections-rise-us-cert-issues-warning
  3. a b c d e f http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
  4. a b c http://www.computerworld.com/s/article/9243537/Cryptolocker_How_to_avoid_getting_infected_and_what_to_do_if_you_are_
  5. http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/
  6. a b c http://www.theguardian.com/money/2013/oct/19/cryptolocker-attacks-computer-ransomeware
  7. a b http://www.zdnet.com/cryptolockers-crimewave-a-trail-of-millions-in-laundered-bitcoin-7000024579/
  8. http://www.networkworld.com/community/node/84174
  9. a b c http://www.pcworld.com/article/2060640/cryptolocker-creators-try-to-extort-even-more-money-from-victims-with-new-service.html
  10. [http://www.yumasun.com/news/local/article_f38f14e8-4f50-11e3-8165-0019bb30f31a.html
  11. a b http://www.theregister.co.uk/2013/10/18/cryptolocker_ransmware
  12. http://blog.malwarebytes.org/intelligence/2013/10/CryptoLocker-ransomware-what-you-need-to-know/
  13. http://blogs.zdnet.com/security/?p=1251
  14. http://www.securityfocus.com/news/11523
  15. http://www.securelist.com/en/blog/208214109/Cryptolocker_Wants_Your_Money
  16. http://www.cybersec.kent.ac.uk/Survey2.pdf
  17. http://www.welivesecurity.com/2013/12/19/cryptolocker-2-0-new-version-or-copycat/
  18. http://blog.trendmicro.com/trendlabs-security-intelligence/new-cryptolocker-spreads-via-removable-drives/
  19. http://www.computerworld.com/s/article/9247348/CryptoDefense_ransomware_leaves_decryption_key_accessible
  20. http://www.theregister.co.uk/2014/04/03/cryptodefense_rsa_private_key_on_disk/