Jdou po mně, jdou...
Na tuhle část textu jedné písničky jsem si vzpomněl, když jsem analyzoval vzorek, který díky CommunityIQ dorazil do naší virové laboratoře k hlubšímu zkoumání. Co jiného by vás napadlo, kdyby celou plochu vašeho monitoru zaplnila následující výstraha?
to vypadá vážně
Byl jsem prý přistižen při porušování autorského práva (2 až 8 let natvrdo) a sledování dětské nebo zoofilní pornografie (dokonce 4 až 12 let v chládku) a jestli nechci skončit v báni, můžu dát šesticiferný flastr. No dobře, přiznávám, že jsem si jednou stáhnul album Justina Biebera a DVD kolekci Evy a Vaška, ale s dětskou pornografií a jinou sodomií nechci mít nic společného. Ale vysvětlujte to orgánům. Že česká policie umí zločincům mého kalibru zatlačit oči, to je známá věc. Nu což, čtu dál:
světélko naděje
A hele, když to ukecám na neúmyslné, či nevědomé jednání, tak jsem v tom jenom za dva tácy a ani nemusím na služebnu, paráda. Když funguje osoba blízká, tak proč by nefungovalo tohle? Ale počkat. Tady něco nesedí. O vzdělání a kvalifikaci příslušníků se už dlouhá léta vtipkuje, ale že by byli až tak negramotní? A hned v nadpisu? Hrom do POLICE! A k tomu ještě ten zákon o zanedbaném použití osobního počítače :-D.
Tak jo. A teď vážně. Co lze k tomuto případu dodat?
- jedná se o tzv. ransomware, což je škodlivý program, který nějakým způsobem zablokuje funkčnost systému (v tomto případě celou obrazovku "uzamkne" pro svoje potřeby a nenechá vás udělat žádnou akci a to ani po restartu) a k odblokování dojde až po zaplacení výpalného
- persistence v hostitelském systému je zajištěna zápisem do systémových registrů (Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell)
- tato rodina malware obsahuje funkci zjišťování přibližné polohy (na úrovni měst) napadeného počítače, útočníkův server je díky tomu schopen doručit lokalizovanou výstrahu (i když, jak jsme viděli výše, ještě to není úplně perfektní)
- hlavním prostředkem šíření této infekce jsou tzv. exploit kity, např. NuclearPack nebo infikované emaily
- zajímavé je také použití poměrně exotických platebních metod. Krátkým poptáváním mezi známými snadno zjistíte, že mezi "normálními smrtelníky" není po Ukash nebo PaySafeCard vidu ani slechu. Podle výsledků hledání na českém internetu tyto služby používají především online hráči a sázkaři k doplnění účtů. Zlosyni je rádi používají kvůli naprosté anonymitě - proti hotovosti obdržíte pouze výtisk z terminálu s dlouhým číslem, které pak vložíte do programu. Od tohoto okamžiku mohou útočníci daný kód se slevou přeprodat na černém trhu za hotovost. V zahraničí proto již společnosti provozující tyto systémy přistoupily k tomu, že přímo na účtenku tisknou varování ohledně těchto výpalnických programů. Podle všeho se však k tomuto v ČR zatím nechystají, varování proběhlo pouze přes tiskovou zprávu.
- avast! tento malware detekuje a blokuje komunikaci se servery útočníka http://www.virustotal.com/file/b770ff5ecbc0892f16f6c683d2f62f02ce71877950d58be308b1664f86e46e11/analysis/1349434970/
Možná se zeptáte, co dělat, když už tento malware úspěšně napadl počítač. Trocha manuální magie vás může této otravné výstrahy zbavit. Využijeme jednoduchý trik. Jak jsem výše uvedl, "permanentní" zobrazení výstrahy je zajištěno prostřednictvím WinLogon shellu (což je pro podobný ransomware celkem běžné). Tento zápis ale není proveden globálně v rámci systému, ale pouze pro konkrétního uživatele. Autoři se dokonce ani netrápili se zakazováním nouzového režimu. Pokud tedy máte na daném PC jiný uživatelský účet s dostatečným oprávněním, přihlaste se pod tímto účtem v nouzovém režimu a najděte následující soubor:
%userprofile%\%appdata%\msconfig.dat (ve stejném adresáři se nachází i soubor msconfig.ini)
a tento soubor smažte, přejmenujte nebo jinak sanitizujte. Po restartu se už můžete přihlásit pod původním účtem. Pokud nějaké části tohto textu nerozumíte, raději se do čištění nepouštějte sami a využijte asistenci zkušenějšího kamaráda.