Από τα ransomware στα Windows με αγάπη…

Locky ransomware #βάλε_linux
Μια φωτογραφία λένε αξίζει όσο χίλιες λέξεις.
Μπορεί όμως να αξίζει και από μισό μέχρι ένα bitcoin, δηλαδή 345-690 ευρώ.
Όσο δηλαδή ζητάει το ransomware Locky και οι παραλλαγές του, έτσι και σας ξεγελάσει και καταφέρει να κρυπτογραφήσει τα αρχεία σας.

Γιατί όμως φωτογραφία;
Διότι οι black-hat hackers, αυτοί οι χάκερ δηλαδή που αξιοποιούν τις δεξιότητες τους για να κάνουν κακό στους υπόλοιπους και να αποκομίσουν συνήθως οικονομικά οφέλη με παράνομο τρόπο, βρήκαν νέα μέθοδο να διαδώσουν το συγκεκριμένο ransomware.
(Τι είναι ransomware και πως προστατεύουμε τα αρχεία μας από τέτοιες απειλές)

Και ο νέος τρόπος είναι κρυμμένο «πίσω» από φωτογραφίες που μπορούν να κυκλοφορούν ακόμη και στα social media.
http://arstechnica.com/security/2016/11/locky-ransomware-decoy-image-files-boobytrap-facebook-linkedin/

(Πατέρας της ορολογίας-διαχωρισμού blac-hat, white-hat hackers είναι ο Richard Stallman, ο ιδρυτής του κινήματος ελεύθερου λογισμικού και μαζί με τον Linus Torvalds που δημιούργησε τον Πυρήνα Linux, είναι εξίσου το ίδιο σημαντικό πρόσωπο για την τεχνολογική κοινότητα. Που έκανε τον διαχωρισμό αυτό για να βάλει τα πράγματα στην θέση τους για τον μέσο άνθρωπο που θεωρεί τους χάκερ εγκληματίες. Γιατί η πλειοψηφία όσων ασχολούνται με το hacking χρησιμοποιούν τις δεξιότητες τους για να προσφέρουν και αν έχουν κέρδος είναι με νόμιμο τρόπο. Έρευνα, προειδοποίηση για προβλήματα κλπ)

Μέχρι τώρα το συγκεκριμένο κακόβουλο λογισμικό κυκλοφορούσε καμουφλαρισμένο σαν αρχείο Microsoft Word, που όταν το κατεβάζεις και το ανοίγεις, αν έχεις τις μακροεντολές  ενεργοποιημένες, τρέχει ένα κώδικα που κατεβάζει το κυρίως αρχείο, αν όχι, σου ζητάει να τρέξει κάποιες μακρό-εντολές για να μπορέσεις -και καλά- να το διαβάσεις.

Πλέον έχουν βρει τρόπο να το κρύβουν και σε φωτογραφίες.

Βάζουν λοιπόν τον κατάλληλο κώδικα σε αρχεία εικόνας. Αρχεία που όταν ο χρήστης των Windows κλικάρει για να δει, αυτά κατεβαίνουν στον υπολογιστή του και όταν τα κλικάρει ξανά, με την εκτέλεση του ανοίγματος της εικόνας, εκτελείται και ο κώδικας που κρύβεται από πίσω και….ανοίγει ο δρόμος για να πει bye-bye στα αρχεία του.

Έχει επίσης αναφερθεί πως μπορούν να εκμεταλλευτούν την συνήθεια πολλών χρηστών να δέχονται άκριτα να εγκαθιστούν στον browser τους οτιδήποτε φαίνεται να προέρχεται σαν μήνυμα από αυτόν.

Συγκεκριμένα, στην περίπτωση του Google Chrome τα καμουφλαρισμένα αρχεία και τα κακόβουλα link οδηγούν σε μια σελίδα όπου στον αδαή ή ανυποψίαστο φαίνεται σαν ο Chrome να ζητάει να εγκατασταθεί κάποιο πρόσθετο () σε αυτόν ώστε ο browser του και κατ επέκταση ο χρήστης να μπορεί να δει αυτό που έχει η σελίδα (συνήθως βίντεο) κάτι που πιο εύκολα κάνει, αφού οι περισσότεροι δεν θεωρούν τον περιηγητή τους κομμάτι ακριβώς του λειτουργικού. Μόνο που όταν το εγκαταστήσει, το κακόβουλο πρόσθετο ξεκινάει να κάνει στο παρασκήνιο όλη την βρώμικη δουλειά εν αγνοία του.

Κι αν αυτά τα ανακάλυψαν και τα απομάκρυναν, ο δρόμος είναι ανοιχτός για να εμφανίζονται διαρκώς νέα και αν δεν έχεις φροντίσει να αναπτύξεις τις άμυνες που πρέπει σαν χρήστης, να πέσεις στο «μάτι του κυκλώνα», στο διάστημα της νηνεμίας δηλαδή, από την κυκλοφορία μέχρι την ανακάλυψη τους.

Με τον ίδιο τρόπο δηλαδή που μεταδίδονται συνήθως και τα spam-malware μέσα από τα κοινωνικά δίκτυα. Που εγκαθιστά ο μπουμπούνας στον browser του αυτό που του ζητάει η χι σελίδα και μετά αυτοί που του το στείλανε έχουν πρόσβαση στον λογαριασμό του στο facebook που είναι συνδεδεμένος και ξεκινάει το πάρτι.

Που μπορεί να είναι κάτι από τα παρακάτω ή και όλα μαζί συνδυαστικά:
α) να μοιράζουν απλά το ίδιο αρχείο/link σε όλους τους φίλους του,
β) να ξεκινάνε να αλλάζουν τα στοιχεία του για να αλληλεπιδράσουν με ακόμη περισσότερους,
γ) να εκμεταλλεύονται το ότι οι περισσότεροι χρήστες δεν έχουν πάει ποτέ στις ρυθμίσεις ασφαλείας που τους παρέχει το facebook (και κάθε κοινωνικό δίκτυο) και έχουν -το πολύ απλό- ελεύθερη την επιλογή να τους κάνει tag όποιος θέλει και αυτό να εμφανίζεται χωρίς την έγκριση τους παντού και στο χρονολόγιο τους. Που βλέπουν ξαφνικά οι φίλοι του στις ειδοποιήσεις τους πως έγινε tag κάπου, πηγαίνουν από περιέργεια να δουν τι και πως και να πατάνε την μπανανόφλουδα…
δ) μέχρι και να του αλλάξουν το password και όταν κάνει αποσύνδεση να χάνει -έστω πρόσκαιρα- την κυριότητα του προφίλ του. Και μέχρι να το πάρει πίσω να συνεχίσουν οι κακοί το πάρτι ανενόχλητοι.

(Τρεις φίλοι από την αρχή του χρόνου με πρόσθεσαν στην λίστα των συγγενών τους και μου ζητούσε το φατσοβιβλίο επιβεβαίωση για να εμφανιστεί και σε μένα και δεν το έκαναν γιατί εδώ στην Θεσσαλονίκη όλοι είμαστε καρντάσια…) 🙂

Οι κακοί από τους χάκερ λοιπόν χρησιμοποιούν (γενικά) και τα social media γιατί είναι ο πιο εύκολος τρόπος να διαδοθεί κάτι. Παλιά υπήρχε μόνο ένας δρόμος, τα email. Που σε σύγκριση, τα σημερινά κοινωνικά δίκτυα μοιάζουν με αυτοκινητοδρόμους υψηλών ταχυτήτων.

Επίσης στα δίκτυα κοινωνικής δικτύωσης, θεωρείς (λανθασμένα φυσικά) σαν δικό σου άνθρωπο τον οποιοδήποτε άγνωστο σου έχεις προσθέσει στην λίστα φίλων.
Και άλλο (καθόλου άλλο φυσικά…) να σου στείλει ξαφνικά μήνυμα με φωτογραφίες ή συνδέσμους σε κάποιο site ο Γιάννης ο Παοκάρας ή ο Μήτσος ο Θύρα 7 που έκανες φίλο μόνο και μόνο λόγω ομάδας και άλλο να σου έστελνε ένα email ο χακαρισμένος λογαριασμός του ή ο (καθόλου απίθανο) ανύπαρκτος στην πραγματικότητα αυτός τύπος…

Δεν θα μιλήσω (σχήμα λόγου) για τα λιγούρια που κάνουν add κάθε εγχώρια εκδοχή της Κιμ Καρντάσιαν για:
α) να παίρνουν λίγο μάτι μέσα από την υποτιθέμενη ασφάλεια του κοινωνικού δικτύου, αντί να επισκέπτονται τα site που έχουν αυτό που θέλουν, γιατί δεν ξέρουν ποια είναι τα ασφαλή και δεν μπορούν να αποφύγουν όλα εκείνα τα παράθυρα και παραθυράκια που ξεπετιούνται μπροστά τους σαν τρελά και τους αγχώνουν μην κάνουν καμιά βλακεία…
β) να μην δίνουν (με το νου τους) στόχο στην γυναίκα, κοπέλα τους.
Ενώ ο λογαριασμός αυτός το πιο πιθανό είναι να είναι ψεύτικος και να αποσκοπεί όχι απλά να κάνει like farming αλλά μέσω social engineering τεχνικών, όπως αυτές που περιγράφονται παραπάνω, να καταφέρει να πάρει μάτι στα δικά τους πράγματα. Από τα email τους και των φίλων τους, μέχρι κωδικούς τραπεζικών λογαριασμών…

Ούτε για τις γυναίκες που πατάνε ότι παρανοϊκή προσφορά δουν.
Σαν τα 800 ευρώ δήθεν δωροεπιταγή γνωστού σουπερμάρκετ που είχαμε πρόσφατα. Που αναγκάστηκε να βγάλει και ανακοίνωση πως δεν έχει σχέση με την συγκεκριμένη σελίδα και πως πρόκειται για απάτη.

Δεν είναι τυχαίο άλλωστε πόσο αστραπιαία διαδίδεται και η τελευταία τρολιά, ψεύτικη είδηση, ηλιθιότητα. Μαζί με αυτά και με την ίδια ταχύτητα και κακόβουλα προγράμματα…

Φυσικά, για την πλειοψηφία των απειλών πρέπει να γίνουν όλα τα παραπάνω βήματα. Όμως….
α) Πόσοι μέσοι χρήστες Windows θα παραξενευτούν που μια εικόνα από κάποιο μήνυμα στο facebook κατέβηκε στον υπολογιστή τους, αντί να ανοίξει στο πρόγραμμα περιήγησης που χρησιμοποιούν;
β) Πόσοι χρήστες Windows έχουν ενεργοποιημένη την επιλογή να βλέπουν και τις κρυφές καταλήξεις των γνωστών αρχείων, ώστε να ξέρουν πως κάτι που λέει αρχείο.jpg είναι όντως αυτό και δεν είναι αρχείο.jpg.exe για παράδειγμα;

(το ίδιο με τα χωρίς κρίση κλικ στα email. Που σου έρχεται κάτι με ονομασία τραπεζα τάδε@τραπεζα.gr και το πατάς και το ίδιο κάνεις με όσα σου λέει μέσα γιατί το θεωρείς νόμιμο, ενώ αν περνούσες το ποντίκι πάνω στον τίτλο θα εμφανιζόταν η πραγματική διεύθυνση pata_me_na_tin_patisis@gmail.com)

δ) Πόσοι χρήστες Windows έχουν μετά από 1-2 μήνες ακόμη ενεργοποιημένο το UAC (User Account Control-έλεγχος λογαριασμού χρήστη);
Κι αν το έχουν, πόσοι από αυτούς το έχουν στην αυστηρότερη ρύθμιση, ώστε να τους προειδοποιήσει;
Κι αν τους προειδοποιήσει, πόσοι από αυτούς θα καταλάβουν πως μια κανονική εικόνα δεν θα χρειαζόταν να ζητάει άδεια να «εκτελεστεί»…;
Και πόσοι από αυτούς δεν πατάνε απλά Ο.Κ σε οτιδήποτε «εκνευριστικό» μήνυμα τους βγάζουν τα Windows;

(UAC που σαν ιδέα, σε θεωρητικό επίπεδο, είναι καλό. Αλλά στημένο στην γελοία φιλοσοφία και σχεδιασμό των Windows ως λειτουργικό σύστημα, με την αμφιλεγόμενη «φιλικότητα» που διαφήμιζαν μια ζωή και την νοοτροπία με την οποία μπόλιασαν τους χρήστες τους, τα κάνει μη φιλικά και οδηγεί την πλειοψηφία των χρηστών, το πρώτο πράγμα που ψάχνουν να βρουν να είναι πως να το απενεργοποιήσουν).

Και τέλος, πόσοι χρήστες θα παραξενευτούν από όλα αυτά αλλά και από το ότι ο χι διαδικτυακός φίλος τους που συνήθως δεν τους έχει ενοχλήσει ποτέ, τους στέλνει ένα αρχείο κειμένου ή φωτογραφίας (είτε μέσω κοινωνικών δικτύων είτε μέσω email) και δεν θα το κλικάρουν από μηχανική περιέργεια και συνήθεια προτού σκεφτούν «μπας και έκανα βλακεία που το πάτησα και την πάτησα»…;

(Πολύ λακωνικά, μια εικόνα σε μορφή jpg μπορεί να κρύβει κι άλλα πράγματα γιατί πρόκειται στην ουσία για ένα συμπιεσμένο, για λόγους οικονομίας χώρου, αρχείο)

Και πόσοι δεν θα το κάνουν, ακόμη κι αν έχει περίεργη κατάληξη, όπως .svg ή κάτι άλλο;
https://en.wikipedia.org/wiki/Scalable_Vector_Graphics

Γιατί πάρα πολλά από τα αρχεία εικόνας που μεταφέρουν το Locky δεν μπαίνουν καν στον κόπο να καμουφλαριστούν με ονομασίες καταλήξεων που δεν χτυπάνε καμπανάκια και έρχονται σε αυτή την μορφή. Που δηλώνει ουσιαστικά ότι πρόκειται για αρχείο που μπορεί κάλλιστα να περιέχει javascript που περιμένει το κλικ για να εκτελεστεί.
Να τρέξει και να ανοίξει την μικρή «τρυπούλα» που χρειάζεται για να εκχυθεί στην συνέχεια ο κακόβουλος κώδικας με το ransomware στο μηχάνημα…
(επίσης πολύ λακωνικά, σκριπτ είναι στην ουσία ένα σενάριο που περιγράφει κάποιες ενέργειες τις οποίες έχει σχεδιαστεί να εκτελεί)
Γλώσσα προγραμματισμού σεναρίων

Για όλα τα παραπάνω, ακόμη και κάτι που φαίνεται ως μια αθώα εικόνα, αν δεν είμαστε υποψιασμένοι με το καθετί και αν δεν έχουμε αφήσει την ασφάλεια του μέσου με το οποίο πλοηγούμαστε στο διαδίκτυο στην τύχη, τον Θεό ή κάποιο antivirus που θεωρούμε (λανθασμένα) πως μπορεί να μπλοκάρει τα πάντα και αν δεν έχουμε φροντίσει να ψάξουμε και να πάρουμε από μόνοι μας μαθήματα ασφαλείας για το πως πρέπει να λειτουργούμε, μπορεί να μας κοστίσει όλα μας τα αρχεία…

Και να μείνουμε να την κοιτάμε που θα μας μιλάει με λιγότερες από χίλιες λέξεις.
Που θα μας λέει:
«Πήγαινε στο τάδε site και βάλε την καρτούλα σου να μας πληρώσεις για να πάρεις το κλειδί να ξεκλειδώσεις τα αρχεία σου«

#βάλε_linux

Advertisements

Σχολιάστε

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s