Zepto – Egy zsarolóvírus testközelből

Zepto - Egy zsarolóvírus testközelből
Zepto - Egy zsarolóvírus testközelből

Hogyan működik egy zsarolóvírus, és hogyan védekezhetünk.

 


A zsarolóvírusokról általában

Már évekkel ezelőtt elkezdtek terjedni a zsarolóvírusok, más néven ransomware-ek, cryptovírusok, de az idei évben robbantak be a köztudatba, amerikai és magyar kórházak is estek már áldozatul a kártevőknek. A vírus, vagy inkább trójai program jellemzője, hogy a felhasználó adatait (pl. fényképek, dokumentumok) letitkosítja egy erős kódolással, majd a kártevő készítői vátságdíjat kérnek az áldozattól a dekódolókulcsért cserébe. A pénzt bitcoinban kérik, a fizetési információkat a TOR hálózaton keresztül lehet elérni. A váltságdíj nem olcsó, egy bitcoin jelenleg 173 000 Ft, a Zepto vírus 0,5 BTC-t követel. Mind a bitcoin, mind a TOR elvileg lenyomozhatlan, visszakövethetetlen, tehát a támadókat nagyon nehéz lefülelni. Nagyon fontos, hogy ha még lenne is rá pénzünk, ne fizessünk! Egyrészt még ekkor sincs garancia az adataink visszanyerésére, másrészt ezzel további támadásokra ösztönözzük a vírus készítőit, és akár még további kártevőket is összeszedhetünk.

A Zepto vírus

Nemrég jelent meg a Zepto nevű vírus, amely szokás szerint e-mailben terjed. A levél általában angol nyelvű, megpróbálja felkelteni a figyelmünket, például banki tranzakciónk bizonylatát ajánlja fel letöltésre, esetleg arra céloz, hogy faxot kaptunk. A közös ezekben a levelekben, hogy tartalmaznak egy csatolmányt, amely általában tömörítve van. A tömörített állományban egy script található, amely még nem tartalmazza a vírustörzset, csak egy letöltőprogramot (dropper). Ez általában valamilyen scriptnyelven íródik, pl JavaScript vagy HTML application. Sajnos a Microsoft Office és egyéb szövegszerkesztők is lehetővé teszik makrók futtatását, amelyek szintén képesek dropperként viselkedni, tehát a .doc, .docx, .docm fileok is veszélyt jelenthetnek.

 

Én eddig .js, .hta, .wsh és .docm kiterjesztésű kártevőkkel találkoztam.

Az alábbi linken megtalálhatóak azok a kiterjesztések, amelyek Windows alatt futtathatóak, ezáltal potenciálisan vírusterjesztésre is használhatóak.

http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/

 

A Windows alapból elrejti a fileok kiterjesztését, ezért a hozzá nem értő felhasználó gyanútlanul le tudja futtatni a droppert, bár az is igaz, hogy a hozzá nem értő felhasználó a kiterjesztés láttán sem fog rájönni, hogy vírusról van szó.

 

Hogyan működik

„Szerencsére” én is kaptam fertőzött leveleket, és mivel kíváncsi voltam a vírus működésére, ezért felállítottam egy tesztkörnyzetet, hogy kiderítsem, pontosan mi is történik a gépen.

 

Sejtettem, hogy a csatolt állomány még nem tartalmazza a vírustörzset, csak a droppert, ezért első körben a tesztgépet elzártam az internettől egy proxy szerver segítségével. A droppert a futtatás előtt feltöltöttem a virustotal.com oldalra, amely elég ijesztő eredményt mutatott, alig néhány vírusirtó ismerte csak fel.

Elindítottam a droppert, amely egy JavaScript volt, a scripteket Windows alatt a Windows Sripting Host futtatja.

A proxy szerver naplóját figyelve kiderült, hogy a script a lefuttatása után megpróbált rákapcsolódni az internetre, és megpróbálta letölteni a vírustörzset.

Részlet a naplóból (a linkeket megváltozattam):

TCP_DENIED/403 1452 GET htp://romp2.in/czbh - NONE/- text/html

TCP_DENIED/403 1464 GET htp://videnvertermac.in/sv - NONE/- text/html

TCP_DENIED/403 1450 GET htp://onlyt76.xyz/xux - NONE/- text/html

TCP_DENIED/403 1466 GET htp://video4k.ws/p7xx - NONE/- text/html

TCP_DENIED/403 1452 GET htp://rejoi2.in/czbh - NONE/- text/html

TCP_DENIED/403 1460 GET htp://lisus.co.in/zu - NONE/- text/html

 

Ezek valószínűleg feltört szerverek, rajtuk keresztül nem lehet eljutni a vírus készítőihez, botnetek segítségével bármikor bővíthetik a hálózatot. A gépet ezután újraindítottam, újraindítás után a dropper már nem indult el automatikusan. Következő lépésben kíváncsi voltam, hogy mit is akart letölteni a JavaScript, ezért kiengedtem a gépet az internetre. Böngészőbe beírtam a naplóban talált URL-ek egyikét, de már nem volt elérhető. Egy még élő URL beírása után viszont a böngésző azonnal le is töltött egy kis méretű, véletlenszerű karakterekből álló nevű állományt, ami a vírustörzs.

 

Megpróbáltam kideríteni a file típusát.

# file 1bcpr7xx
1bcpr7xx: data

Csak egy sima adathalmaz, nincs fejléce sem, valószínűleg le van kódolva, és csak a dropper tudja dekódolni, majd utána futtatni.

A virustotal.com a törzsre még szomorúbb eredményt mutatott, egy vírusirtó sem találta gyanúsnak:

Következő lépésben lefuttattam a JavaScriptet, amely azonnal működésbe is lépett, letöltötte a vírustörzset, majd elkezdte titkosítani az adatainkat. Feladatkezelővel és Process Explorerrel nézve a futó folyamatokat látszik, hogy dolgozik a kártevő, a merevlemez 100%-os kihasználtsággal működik. Ha éppen egy mappában járunk, és hirtelen azt látjuk, hogy furcsa, véletleszerű karakterek jelennek a filenevek helyén, azonnal kapcsoljuk ki a gépet (akár áramtalanítással), bár már valószínűleg késő! Én 7GB-nyi képet helyeztem el csalinak a gépen, ezt 15 perc alatt titkosította le egy 10 éves számítógép.

Ahogy végzett az adataink titkosításával, a kártevő lecseréli a háttérképünket, minden letitkosított mappába elhelyezi a a figyelmeztetést BMP, TXT és HTML formátumban is, valamint a gép újraindításakor is megnyitja a BMP-t vagy a HTML-t, ahol az alábbi figyelmeztetés olvasható:

Védekezés

Sajnos a vírusok írói mindig egy lépéssel előrébb járnak, mint a vírusirtók, szóval hiába van a gépünkön vírusvédelem, nem szabad 100%-osan bízni benne. Persze viselkedéselemzéssel és heurisztikus módszerekkel a még nem ismert vírusokat is ki lehet szűrni, de ahogy a cikk elején láthattuk, az e-mailben terjedő zsarolóvírusok esetén a leggyengébb láncszem a felhasználó, hiszen le kell tölteni a levél mellékletét, ki kell bontani és el kell indítani, tehát legalább két darab felhasználó interakcióra van szükség. Magyarország talán olyan szempontból jobban védve van, hogy egyelőre főleg angol nyelvű levelekben támadnak, és sok felhasználó inkább meg sem nyitja az idegen nyelvű leveleket, de ez bármikor megváltozhat. A levél hitelességében a feladó nevéből/e-mail címéből sem bízhatunk, hiszen ezek is hamisíthatóak.

Még egy védekezési módszert találtam, bár ehhez már kisebb informatika hozzáértés is szükséges: le kell tiltani a Windows Scripting Hostot, ehhez létre kell hozni az alábbi karakteres registry bejegyzést:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled

majd az értékét 0-ra kell állítani.  Természetesen ha a gépen szükség van scriptek futtatására, akkor ez a megoldás nem megfelelő.

 

.hta esetén jó módszer lehet, ha ehhez a kiterjesztéshez hozzátársítunk más programot, pl. a Jegyzettömböt.

Hasonló a helyzet a szövegszerkesztők, office programok esetén is, hiszen a makrózási lehetőség miatt akár egy dokumentum is válhat dropperré. Le tudjuk tiltani a makrók futattásáat, viszont itt is igaz, hogy ha makrós dokumentumokat használunk, akkor ez nem opció, de tapasztalatom szerint a felhasználók 90%-ának nincs szüksége rájuk.

Tesztem során azt vettem észre, hogy a Zepto kártevő nem teszi be magát az automatikus indításba, tehát ahogy észleljük a fertőzést, és leállítjuk a számítógépet, akkor bekapcsolás után nem folytatja a fileok kódolását, de ilyenkor is azt javaslom, hogy egy külső mentőlemez vagy USB-re telepített Windows/Linux segítségével azonnal mentsük le a fontos adatainkat, és inkább telepítsük újra a gépet.

A kártevők akár böngészőprogramon keresztül egy feltört/preparált weboldalon keresztül is bejuthatnak a gépünkre, ha éppen egy távoli sebezhetőséggel rendelkező böngészőt, vagy elavult Flash playert használunk, tehát mindig tartsuk frissen a számítógépünkön lévő programokat!

HOZZÁSZÓLOK A CIKKHEZ

Please enter your comment!
Please enter your name here

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..