Ževraj malvérom zašifrované súbory sa nedajú dešifrovať? Cisco Talos to skúsilo!

Roman Harák

Service Renewals Account Manager

roman.harak@alef.com

Thanatos Vám dáva na výber

Tým bezpečnostných špecialistov z teamu Cisco Talos v uplynulých mesiacoch zaznamenali výskyt malvéru Thanatos. Tento malvér je špecifický napríklad tým, že nežiada výkupné len v Bitcoinoch, ale dáva obeti na výber z viacerých platobných možností: Bitcoin Cash, Zcash, Ethereum a ďalších. Ďalšie špecifikum spočíva v tom, že aj keď obeť útočníkom zaplatí “výpalné”, k svojim dátam sa už nedostane, pretože po zašifrovaní dát, sú kľúče k dešifrovaniu zahodené.

Ako sa malvér šíri?

Na pozore by sa mali mať predovšetkým užívatelia z hráčskej komunity, nakoľko najčastejie prichádza k napadnutiu prostredníctvom kliknutia na obsah prílohy v chatovacej platforme Discord umožňujúcej posielanie textových správ a skupinové konverzácie medzi hráčmi online hier.

Po kliknutí na prílohu so závadným obsahom malvér Thanatos vyhľadá a zašifruje pomocou AES-256 štandardu nasledovné adresáre:

  • Desktop
  • Documents
  • Downloads
  • Favourites
  • OneDrive
  • Music, Pictures, Videos

Zaujímavosť

  • Malvér odvodí šifrovacie kľúče od “uptime” času infikovaného systému v milisekundách – čiže času odkedy systém naštartoval, pomocou volania funkcie GetTickCount  (https://msdn.microsoft.com/en-us/library/windows/desktop/ms724408)
  • Táto cenná informácia spolu s informáciami o čase behu systému v Event logu operačného systému Windows, pomohla v naprogramovaní utility ThanatosDecryptor. DECRYPTION LINK
  • Pracuje metódou brute-force a pri rýchlosti 100.000 pokusov za sekundu pride k odhaleniu šifrovacích kľúčov o približne 14 minút, čím je možné data považované za už navždy stratené, opätovne obnoviť

Záver: Talos prelomilo šifrovanie

Cisco Talos vyriešilo tento útok, a hoci táto demonštrácia poukazuje na možné odšifrovanie, tento pracný proces však vyžaduje množstvo kapacit na vyriešenie, preto odporúčame vyriešiť bezpečnosť preventívne.

Ako sa chrániť pred podobnými hrozbami? SKÚSTE SI DEMO:

 CISCO UMBRELLA

*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.