Cryzip - otmičar podataka

Cryzip - otmičar podataka

U virtuelnom svetu Interneta se sve češće javljaju brojne paralele životnih situacija. Ovoga puta je naša tema pravi kriminalistički zaplet u vidu otmice podataka. Trojan program pod imenom PGPcoder je registrovan tokom maja 2005. godine. Ovaj program je šifrovao datoteke korisnika računara i zatim zahevao novac za dešifrovanje «otetih» datoteka. Iako ovakva ideja deluje sveže, slični pokušaji su registrovani još pre 15 godina kao AIDS Trojan, ali i u današnje vreme kao potpuno novi virus pod imenom Cryzip.

Nekada - AIDS Trojan

Aids trojan je sada već 15 godina star program koji je menjao sadržaj DOS autoexec.bat datoteke tako da je posle 90-tog pokretanja računara sakrivao fascikle i šifrovao imena datoteka, pozivajući vlasnika zaraženog računara da «obnovi licencu» tako što će uplatiti 378 dolara na račun PC Cyborg Corporation u Panami. Do zaraze AIDS trojancem je dolazilo posle učitavanja diskete pod nazivom “Uvodne AIDS informacije”, koji je slat ljudima prijavljenim na određenu mail listu. Iza ove prevare je stajao Dr. Joseph Popp, koji je kasnije optužen za 11 slučajeva ucene i iznude. Dr. Popp se branio stavom da je iznuđeni novac nameravao da utoši na istraživanje AIDS-a. Iz današnje perspektive radi se o ključnim događajima koji uvode termine kao što su: kriptovirus, kriptotrojan i kriptocrv, koji šifriraju datoteke žrtve koristeći javni ključ autora. Žrtva mora da plati da bi dobila odgovarajuži ključ za dešifrovanje podataka i tako dobijamo novu oblast pod imenom Kriptovirologija.

Danas – Cryzip

Za razliku od PGPcoder-a koji koristi specijalnu šemu za šifriranje, Cryzip koristi komercijalnu ZIP biblioteku pomoću koje komprimuje i pakuje datoteke. Po pokretanju Cryzip pretražuje C: disk (preskačući sistemske zone system i system32). Datoteke koje pronađe puni tekstom «Obrisao ZIPPO, odlazi !!!», zatim ih briše, ostavljajući umesto njih šifrovane ZIP datoteke sa sufiksom _CRYPT_.ZIP. Cryzip traži i zatim «zipuje» 40 tipova datoteka, kao što su: .arh, .arj, .doc, .txt, . .xls, ... jednom rečju sve što vredi na vašem računaru. Pošto završi obradu pojedinog direktorijuma, Cryzip ostavlja tekst sa uputstvom korisniku kako da plati ucenu: OUR E-GOLD ACCOUNT: XXXXXXX INSTRUCTIONS HOW TO GET YUOR FILES BACKREAD CAREFULLY. IF YOU DO NOT UNDERSTAND, READ AGAIN.   Tekst detaljno opisuje situaciju korisniku i savetuje ga da plati 300 dolara preko e-gold naloga. Ako to uradi u roku od 24 časa primiće uplatu u vrednosti 1 dolara, uz link ka softveru koji će automatski sve otpakovati i dešifrovati. Broj e-gold naloga je očigledno glavni problem u ovoj otimici. Autor Crytip trojana je predvideo veći broj naloga, očogledno vođen idejom da ako mu vlasti zatvore neki od naloga, da nastavi da radi sa preostalim. Brojeva naloga u telu virusa ima preko 60, a sve se krije od radoznalih očiju relativno jednostavnom XOR šemom za enkripciju.  Pravo pitanje je – šta je ključ za šifrovanje podataka. Autor se ovde poigrao tako što je šifru ostavio potpuno vidljivom, a to je string «C:\Program Files\Microsoft Visual Studio\VC98» koji je standardni potpis koji nastaje kao rezultat rada razvojnog alata Visual C++. Svako ko pokuša da pronađe šifru unutar tela virusa lako će prevideti ovako lukavo podmetnuti ključ. 

Epilog

Za razliku od standardnih Email virusa i crva, kriptološke zaraze se srećom ne šire većim intenzitetom. Ovakve operacije bolje uspevaju kada rade tišini i senci, jer bi ih registrovanje u anti-virus bazama za čas izbacilo iz posla, a svaki, pa i najmanji publicitet bi doveo do zatvaranja naloga koji su predviđeni za sakupljanje novca od ucene.  Razlog zašto pišemo o oboj egzotičnoj temi je u tome što se broj incidenata ovog i sličnog tipa konstatno povećava tokom zadnjih godinu dana, što ukazuje na mogućnost eskalacije ovog problema.  Što se tiče odbrane i zaštite, najbolja odbrana od kriptotrojana je funkcionalna politika pravljenja rezervnih kopija. I kada smo već do toga došli, preostaje da vas upitamo: Kada ste poslednji put nešto od vaših podataka  bekapovali?    

A.Filip, april 2006.


Povezano

HW prikazi

Netgear FVS336G
Netgear ProSafe FVS336G je VPN Firewall/Ruter sa dva WAN porta. Dolazi u kompaktnom metalnom kućištu, sa internim napajanjem i atraktivnom cenom.
Linksys RVS4000
Linksys RVS4000 je 4-portni Gigabit ruter, sa VPN podrškom, SPI Firewall-om i cenom manjom od 150 evra. Ono što ovaj uređaj izdvaja od niza sličnih je propusna moć NAT Internet veze od čak 800 Mb/s...
Linksys WRT300N
Linksys WRT300N je širokopojasni bežični ruter, koji objedinjuje tri uređaja u jednom kućištu. Tu su bežični Access Point, 4-portni Fast Ethernet Switch i ruter sa Firewall-om.
Linksys RV042
Linksys RV042 je 4-portni Internet VPN ruter. Ono što ga razlikuje od mase sličnih uređaja je prisustvo dva WAN porta, odnosno mogućnost da istovremeno održava dve Internet veze...

Dalje

IT Novosti

Četiri jahača informacione Apokalipse
Kakve su prognoze konsultantske kuće Gartner za sledećih 5 godina pročitajte u članku "Četiri jahača informacione Apokalipse", objavljenom u Asee News br.49.
A šta posle Interneta stvari
O utiscima posle LeWeb konferencije u članku "A šta posle Interneta stvari".

Dalje

Kontakt

Telefoni
011 3239 870 (+fax)
063 855 5856
065 3239 870
Adresa
Majke Jevrosime 17, Beograd


Prodaja

Index
Po proizvođaču
Apple, Qtek, HTC, Dell
Po kategoriji
Hardver, Sofver, LAN
Kompletan katalog