Ževraj malvérom zašifrované súbory sa nedajú dešifrovať? Cisco Talo...
Ževraj malvérom zašifrované súbory sa nedajú dešifrovať? Cisco Talos to skúsilo!
Thanatos Vám dáva na výber
Tým bezpečnostných špecialistov z teamu Cisco Talos v uplynulých mesiacoch zaznamenali výskyt malvéru Thanatos. Tento malvér je špecifický napríklad tým, že nežiada výkupné len v Bitcoinoch, ale dáva obeti na výber z viacerých platobných možností: Bitcoin Cash, Zcash, Ethereum a ďalších. Ďalšie špecifikum spočíva v tom, že aj keď obeť útočníkom zaplatí “výpalné”, k svojim dátam sa už nedostane, pretože po zašifrovaní dát, sú kľúče k dešifrovaniu zahodené.
Ako sa malvér šíri?
Na pozore by sa mali mať predovšetkým užívatelia z hráčskej komunity, nakoľko najčastejie prichádza k napadnutiu prostredníctvom kliknutia na obsah prílohy v chatovacej platforme Discord umožňujúcej posielanie textových správ a skupinové konverzácie medzi hráčmi online hier.
Po kliknutí na prílohu so závadným obsahom malvér Thanatos vyhľadá a zašifruje pomocou AES-256 štandardu nasledovné adresáre:
- Desktop
- Documents
- Downloads
- Favourites
- OneDrive
- Music, Pictures, Videos
Zaujímavosť
- Malvér odvodí šifrovacie kľúče od “uptime” času infikovaného systému v milisekundách – čiže času odkedy systém naštartoval, pomocou volania funkcie GetTickCount (https://msdn.microsoft.com/en-us/library/windows/desktop/ms724408)
- Táto cenná informácia spolu s informáciami o čase behu systému v Event logu operačného systému Windows, pomohla v naprogramovaní utility ThanatosDecryptor. DECRYPTION LINK
- Pracuje metódou brute-force a pri rýchlosti 100.000 pokusov za sekundu pride k odhaleniu šifrovacích kľúčov o približne 14 minút, čím je možné data považované za už navždy stratené, opätovne obnoviť
Záver: Talos prelomilo šifrovanie
Cisco Talos vyriešilo tento útok, a hoci táto demonštrácia poukazuje na možné odšifrovanie, tento pracný proces však vyžaduje množstvo kapacit na vyriešenie, preto odporúčame vyriešiť bezpečnosť preventívne.
Ako sa chrániť pred podobnými hrozbami? SKÚSTE SI DEMO:
*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.