Firma Check Point zhakowała hakerów łamiąc oprogramowanie ransomware „DirCrypt”

przez | 29/09/2014

Check Point® Software Technologies Ltd. (Nasdaq: CHKP), światowy lider w dziedzinie bezpieczeństwa Internetu, ogłosił dzisiaj, że udało mu się złamać kod DirCrypt, bardzo popularnego złośliwego oprogramowania typu ransomware, dzięki czemu możliwe było odzyskanie danych i plików należących do osób prywatnych i przedsiębiorstw – bez konieczności płacenia przestępcom okupu.

Ransomware w ciągu ostatnich kilku lat stał się największym zagrożeniem. Coraz nowsze odmiany i techniki tego ataku powstawały w zawrotnym tempie. W typowym scenariuszu, cyberprzestępcy infekują sieć i niepostrzeżenie szyfrują pliki, skutkiem czego użytkownicy tracą do nich dostęp. Następnie wystosowują żądanie okupu w celu odblokowania danych – grożą, że w przypadku braku szybkiej wpłaty, pliki pozostaną zaszyfrowane na zawsze. Ten popularny atak dotknął ogromnej liczby komputerów. Przykładowo cieszący się złą sławą CryptoLocker, wg badań firmy Check Point, zainfekował ponad 530 000 urządzeń, ukazując w ten sposób jak szybko tego typu oprogramowanie ransomware może się rozprzestrzeniać.

Badacze firmy Check Point chcąc zwalczyć ten coraz częściej pojawiający się problem, postanowili znaleźć sposób na odzyskanie straconych danych bez potrzeby płacenia okupu. W tym przypadku odkryli proces, w jaki powstawał ransomware o nazwie DirCrypt. W szczególności chodzi tutaj o sposób implementacji elementów kryptograficznych w tym złośliwym oprogramowaniu. Wykorzystanie słabych punktów pozwoliło badaczom odwrócić proces szyfrowania i odzyskać większość niedostępnych wcześniej plików.

Ransomware stał się bardzo popularną taktyką stosowaną przez przestępców, gdyż ofiary często nie miały pojęcia, jak poradzić sobie z tego typu atakiem w sposób inny niż opłacenie okupu. Prawdopodobnie największym ‘atutem’ tego złośliwego oprogramowania jest wykorzystanie aspektów psychologicznych, wywieranie presji na ofiarach. Niestety, im więcej wpłat, tym większa motywacja dla twórców ransomware do przeprowadzania kolejnych ataków”, mówi Michael Shalyt, kierownik zespołu ds. badań nad złośliwym oprogramowaniem w Check Point Software Technologies. „W wirusach często można znaleźć pewne słabe punkty, które wykorzystane w odpowiedni sposób dają szansę na odwrócenie poczynionych przez nie szkód. W przypadku DirCrypt, udało nam się właśnie takie podatności znaleźć”.

Dokument przedstawiający sposób, w jaki badacze Check Point zneutralizowali ransomware DirCrypt oraz kroki, jakie trzeba podjąć, gdy padnie się ofiarą ataku, dostępny jest tutaj: http://www.checkpoint.com/download/public-files/TCC_WP_Hacking_The_Hacker.pdf

*Ransomware – rodzaj oprogramowania używanego w przestępczości internetowej.

Działanie ransomware polega na wniknięciu do wnętrza atakowanego komputera i zaszyfrowaniu danych należących do użytkownika. Potem program umieszcza w komputerze notatkę. Przestępca pisze w niej, co musi zrobić właściciel cennych plików, aby je odzyskać. Zwykle internetowy bandyta domaga się przelania pieniędzy na konto w banku elektronicznym i obiecuje, że w zamian wyśle klucz oraz instrukcje jak odszyfrować dane.