I podvodníci mají srdce a zlevňují Ransomware

Vánoce se blíží a tak jsem to ve vánočním duchu zkusil i na jednoho podvodníka s ransomware a ejhle, on dal slevu!

Ale hezky od začátku. Jeden zákazník se obrátil na službu nešlape.cz s tím, že má na počítači zašifrováné veškeré dokumenty a že se stal obětí havěti, kterou obecně nazýváme ransomware. Je to taková ta havěť, kterou když uživatel nějakým způsobem spustí, tak ona mu obratem znehodnotí veškeré dokumenty, fotografie a další věci na pevném disku. Vše lze vrátit do puvodního použitelného stavu pouze tak, že útočníkovi zaplatíte tučnou částku a on vám pošle (ale nemusí) aplikaci, kterou to celé dešifrujete. Existuje i lepší způsob, jak to vrátit do původního použitelného stavu – obnovit soubory ze zálohy. Kdo ale zálohuje, že? 🙂 Při troše štěstí pak lze ještě dohledat správnou jednorázovou aplikaci od antivirových společností, která si s tím taktéž dokáže poradit. Ale takových případů je stále méně.

Kromě toho, že všechny zašifrované soubory dostaly další příponu .wallet, na ploše se objevil i tento obrázek. Hned tedy bylo jasné, kam napsat.

V tomto konkrétním případě šlo o ransomware s označením Win32/Crysis.NFY (dle názvosloví ESET). U starších variant přitom existovala možnost dešifrování bez nutnosti platit, neboť útočníci na závěr „éry“ zveřejnili způsob šifrování i hlavní klíč (viz. článek na BleepingComputer). Zřejmě si už přišli na dostatek peněz a nechtěli inkasovat další. To se však netýkalo varianty .NFY. Tak jsem napsal útočníkovi na uvedenou adresu stopper@india.com očekávajíc další instrukce. Něco z toho, co dorazilo, je opravdu úsměvné. Příklady některých částí e-mailu:

We are not liars or cheaters. You pay – we help. (Nejsme lháři nebo podvodníci. Vy zaplatíte – my pomůžeme.)
The more time you wait before you pay = the more expensive price. It’s simple. Be reasonable. (Čím déle budete otálet s platbou, tím vyšší cena bude. Je to jednoduché.)
Now the price is 4 BTC. After 24 hours, the price will grow. Hurry up! (Nyní je cena 4 BTC. Po 24 hodinách cena poroste. Rychle!)

Že jsou ty Vánoce, svátky pohody, klidu, tak jsem odpověděl něco v tom smyslu, že bychom si měli navzájem pomáhat a jestli není k dispozici nějaká ta vánoční sleva. A on mi nabídl slevu z 4 BTC na 3 BTC. I tak je to brutální částka, jelikož 1 bitcoin je dnes v přepočtu kolem 20 tisíc Kč, tudíž zlevnil z 80 tisíc Kč na 60 tisíc Kč. Takže nějaké srdce mají, ale laťku drží vysoko. Nabídku na 1 BTC totiž odmítl 🙂

Takže co říci k té havěti závěrem? Cena za odšifrování dat obecně stoupá, protože lidi jsou za to ochotni platit. Zde 4 BTC, přičemž určitě to lze ukecat na 3 BTC, myslím si, že i na 2,5 BTC. Jistou nápovědou mohou být transakce na danou peněženku útočníka, jenž jsou v případě měny Bitcoin opravdu dokonale zaznamenány. Pokud je tam k vidění nižší částka, typicky 1 BTC, tak to je údajně za každý další zavirovaný počítač v rámci firemní sítě. Tj. první počítač 4 BTC, každý další za 1 BTC. V pěněžence s ID 1FwHxzFFGbAmmdkxhUUTEjocuDhEowDyuU bylo k této chvíli přijato kolem 62 BTC (útočník může mít přitom neomezené množství peněženek), tudíž si na obětech vydělal v přepočtu minimálně 1 200 000 Kč.

A co říci závěrem obecně? Zálohujte! Ideálně však na síťový disk, který není připojen do Windows pod písmenem. Pokud používáte na zálohy externí USB disk, pak je ho potřeba po záloze fyzicky odpojit, jinak existuje vysoké riziko, že i záloha může být zašifrována! No a malá reklama na závěr: pokud s tím chcete pomoci, můžete využít této služby v rámci nešlape.cz.