Ewolucja złośliwego oprogramowania I-III 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania 2005

GpCode.ac. znacznie różnił się od swoich poprzedników, przede wszystkim tym, że wykorzystywał jeden z najbardziej znanych i bezpiecznych publicznych algorytmów szyfrowania - RSA. Wcześniej autor trojana wykorzystywał własne algorytmy szyfrowania, jednak w przypadku trojana GpCode.ac postanowił najwyraźniej wytoczyć ciężkie działo. Jednak i tym razem analitycy z Kaspersky Lab triumfowali. Zdołali uzyskać kopię głównego pliku trojana odpowiedzialnego za szyfrowanie. W większości przypadków było to wcześniej niemożliwe, ponieważ trojan usuwa się z systemu, jak tylko dostarczy swoją szkodliwą funkcję. Kilka godzin analizy kodu doprowadziło analityków do klucza, który został użyty do zaszyfrowania danych. Jednak do złamania RSA niezbędny jest klucz deszyfrujący, który oczywiście nie został umieszczony w trojanie. Na szczęście, autor trojana popełnił poważny błąd - użył 56-bitowego klucza, który pod względem bezpieczeństwa jest zbyt krótki. Wykorzystując wiedzę o działaniu algorytmu RSA i obecnych metodach łamania takich algorytmów na współczesnych komputerach PC, analitycy złamali klucz w przeciągu minut. Do antywirusowych baz danych dodano procedurę deszyfrowania pliku. Nie było potrzeby tworzenia osobnego narzędzia.

Jednak twórcy wirusów nie zamierzali się poddać. W marcu, wyciągając wnioski z nieudanych prób swoich poprzedników, ktoś (być może sam autor GpCode) wypuścił nowy program z klasy RansomWare (jest to nazwa, jaka pojawiła się na określenie podobnych trojanów w kilku artykułach opublikowanych przez branżę antywirusową oraz specjalistów z dziedziny bezpieczeństwa.

Szkodliwi użytkownicy nie wykorzystują już algorytmów szyfrowania. Cryzip.a nie stosował RSA, AES ani PGP. Trojan ten skanuje komputer ofiary w poszukiwaniu dokumentów użytkownika, takich jak dokumenty MS Office, dokumenty w formacie PDF, pliki .zip, pliki graficzne i wiele innych. Każdy znaleziony plik umieszczany jest w osobnym, chronionym hasłem pliku ZIP.

Autor trojana Cryzip.a był tak uprzejmy, że powiadomił swoje ofiary, że hasło do pliku ZIP składa się z ponad 10 symboli, dlatego nie warto próbować łamać go za pomocą metody "brute force". Dostępne obecnie programy do łamania haseł do plików ZIP za pomocą "brute force" potrafią zdobyć hasło zawierające od 1 do 5 symboli w ciągu 5-10 minut. W przypadku hasła zawierającego 6-7 symboli, potrzeba znacznie więcej czasu. i wysiłku.

Znalezienia hasła podjęło się jednocześnie kilka firm antywirusowych. Niektóre z nich zdołały uzyskać kopię pliku trojana, którego analiza pozwoliła na ustalenie hasła użytego do kompresji pliku. Nie posiadając pliku trojana, firma Kaspersky zastosowała metodę "brute force" - próbowano złamać hasło przy użyciu różnych znanych ataków kryptograficznych na archiwa ZIP. Dzięki temu udało się skrócić czas potrzebny na złamanie hasła tą metodą. Zdołano otworzyć archiwum chronione hasłem w ciągu zaledwie jednego wieczoru.

Jako hasła autor trojana użył ścieżki katalogu: C:\Program Files\Microsoft Visual Studio\VC98. Sądził najwidoczniej, że nawet jeśli firmy antywirusowe przechwycą trojana, analitycy uznają, że jest to typowy ciąg tworzony przez pliki napisane w języku Visual C++, a nie poszukiwane przez nich hasło. W każdym razie problem z przywróceniem danych użytkownika został rozwiązany. Niestety, nie dało się ich przywrócić za pomocą oprogramowania antywirusowego. Jednak, znając hasło, użytkownik mógł przywrócić dane samodzielnie.