Popcorn Time - wyjątkowy typ ransomware

Przeczytaj także: Cyberprzestępcy celują w Europę, ale nie w Polskę?

Sylwester, czyli it's time for Popcorn Time

Miejscem zdarzeń był salon jednego z warszawskich mieszkań. Czasem - Sylwester, który z pewnością przeszedłby do historii bez większego echa, gdyby nie maile, które rozesłała imprezującym Sylwia, jedna z uczestniczek zabawy. Okazało się jednak, że w załączniku wiadomości znajduje się złośliwy załącznik. Wszyscy adresaci byli przekonani, że stali się przypadkowymi ofiarami ataku hakerów. Tymczasem...

Shame, shame, shame! Ding, ding, ding!

Tylko Sylwia, wyjątkowo tym razem małomówna, znała prawdę. Dziewczyna padła ofiarą ataku ransomware o dość wdzięcznej nazwie Popcorn Time. Jego twórcy mogliby pretendować o pierwsze miejsce w rankingu najbardziej wyrafinowanych hakerów.

Pod jakim względem Popcorn Time okazał się wyjątkowy? Otóż dawał od Sylwii możliwość wyboru. Za odszyfrowanie swoich plików mogła zapłacić okup w wysokości 1 BTC (kurs z dnia 4.01.2017 to 4703,00 PLN) albo też rozesłać Popcorn Time do swoich znajomych tak, aby zainfekować co najmniej dwójkę z nich. Dziewczyna nie wahała się długo i wybrała drugą, tańszą metodę. W ten sposób odzyskała swoje zdjęcia z wakacji czy też prezentację z raportem, który przygotowywała na poświąteczny powrót do Mordoru, a jej znajomi zostali postawieni przed dylematem: płacić czy rozsyłać Popcorn Time w świat.

Ransomware – a co to?

To obecnie najbardziej medialne, najbardziej dochodowe i zarazem najbardziej przerażające zagrożenie dla zwykłych użytkowników Internetu. To rodzaj złośliwego oprogramowania, które szyfruje lub blokuje dostęp do naszych plików celem wymuszenia opłaty za ich odzyskanie. Cyberporywacze najczęściej wykorzystują 2 sprawdzone metody dostarczenia złośliwych plików na nasze komputery.

1. Kampanie spamowe, w których wykorzystywane są wcześniej wykradzione bazy mailingowe. Ofiarą takiego wycieku była Sylwia. Wiadomości w takich kampaniach zawierają najczęściej złośliwe załączniki lub przekierowania do zainfekowanych stron www.
2. Ataki drive-by-download wykorzystujące luki w zainstalowanym oprogramowaniu. W tym przypadku nie musimy otwierać załącznika czy też klikać w link. Zainfekowana strona na której znaleźliśmy się np. przypadkiem lub dowolny baner reklamowy w sieci zawiera skrypt, który automatycznie pobiera wirusa na nasze urządzenie.

Historia ransomware w skrócie

1990 – AIDS trojan to plik rozsyłany tradycyjną pocztą z wykorzystaniem dyskietek! Komunikat z żądaniem okupu drukowany był w wersji papierowej na drukarce ofiary.

2005 – pierwszy ransomware z szyfrowaniem asymetrycznym. Bez klucza praktycznie nie do złamania.

2013/2014 – początek lawinowego wzrostu liczby zagrożeń określanych jako ransomware.

2016 – pierwszy wirus szyfrujący urządzenia z Androidem.

Bezużyteczny pomagier

Z kilku powodów przyjaciele Sylwii nie dołączyli do powiększającego się grona ofiar cyberprzestępców. Parę osób ostatni dzień roku spędziło z dala od komputerów, część zastosowała zasadę ograniczonego zaufania nawet w kwestii maila od zaufanej osoby. Natomiast o kilkoro uczestników Sylwestra zadbały odpowiednie pakiety antywirusowe zainstalowane na ich komputerach.

Jak to działa?

Twórcy ransomware nie ustają w wysiłkach, by ulepszyć swoje produkty przynoszące im niemałe dochody. Wiele grup hakerskich przerzuciło się z trojanów bankowych na dystrybucje wirusów szyfrujących, które przynoszą większy zwrot z inwestycji.

Mowa nie tylko o ulepszaniu złośliwego kodu, ale także metodach jego rozprzestrzeniania oraz coraz bardziej zaskakujących metodach socjotechnicznych. Hakerzy usiłują zastraszyć swoje ofiary sugerując odnalezienie na ich dyskach pirackich plików lub zakazanych treści pornograficznych. Z kolei twórcy Popcorn Time, który zaszyfrował pliki Sylwii podają się za syryjskich rebeliantów zmuszonych do pozyskiwania funduszy w ten niecny sposób. Obie metody mają przyśpieszyć podjęcie decyzji o zapłacie.

W przypadku technologii także mamy do czynienia z tzw. dwiema szkołami. Bardziej zaawansowane grupy wciąż doskonalą swoje złośliwe oprogramowanie. Przykładem może być wirus Petya szyfrujący nie pliki, a powiedzmy spis treści czyli tablicę MFT (master file table) pozwalającą na dotarcie do plików na dysku. Natomiast ransomware Locky był pierwszym zagrożeniem potrafiącym szyfrować pliki w sieci lokalnej oraz pliki zapisane w chmurze. Oznacza to coraz mniej bezpiecznych miejsc na umieszczenie najważniejszych kopii naszych plików.

Mniej biegli w kodowaniu tzw. script kiddies idą na ilość rozprzestrzeniając wirusy szyfrujące na które dość często możemy znaleźć w sieci antidotum w postaci deszyfratorów.

Co robić, jak żyć?

Prewencja to podstawa! Poniżej prezentujemy 7 sposobów na uniknięcie ransomware:

1. Fundament to sprawdzone oprogramowanie antywirusowe
2. Kopie zapasowe najważniejszych dla nas plików (zdjęcia, arkusze z pracy itp.)
3. Aktualizacja głupcze! Oprogramowanie na Twoim komputerze powinno być zawsze możliwie najbardziej aktualne. Dzięki temu zamkniesz luki bezpieczeństwa.
4. Sprawdzaj dokładnie korespondencje mailową.
5. Nie klikaj w przekierowanie bez uprzedniego zastanowienia.
6. Jeżeli kliknąłeś to sprawdź czy jesteś na stronie na która chciałeś trafić.
7. Pracuj na koncie użytkownika, nigdy administratora (UAC – user account control)

Nigdy nie płać okupu!

Hakerzy to nie postacie z filmu. Obecnie to prawdziwi gangsterzy, którzy pieniądze pozyskane na przestępstwach w sieci mogą wykorzystać w prawdziwym świecie krzywdząc niewinne osoby.