Postřehy z bezpečnosti: podivný příběh s dobrým koncem

Pavel Bašta 8. 6. 2015

V dnešním díle postřehů si povíme zvláštní příběh ransomwaru Locker, jehož autor přešel z temné Strany síly na její světlejší variantu, podíváme se na údajný hack s pomocí obrázku, na chybu Skype, nový podvod na Facebooku a jednu chvályhodnou aktivitu Facebooku a řekneme si o jednom překvapení od Microsoftu.

Toto je trochu podivný příběh. Žil, byl jeden zlý Hax0r, který připravil nový ransomware a pravděpodobně pomocí exploit kitů, ačkoliv se spekuluje i o kompromitovaných instalačních souborech Minecraftu, infikoval počítače nic netušících uživatelů. Ti o problémech svých počítačů neměli ani zdání a to až do půlnoci 25. května tohoto roku, kdy se ransomware, pojmenovaný svým tvůrcem Locker, jal šifrovat jejich důležité soubory s koncovkami .doc, .docx, .xlsx, .ppt, .wmdb, .ai, .jpg, .psd, .nef, .odf, .raw, .pem, .rtf, .raf, .dbf, .header, .wmdb, .odb, .dbf a řadou dalších. Pokud chtěl uživatel svá data zpět, musel zaplatit poplatek ve výši 0.1 bitcoinu. Pokud tak neučinil do 72 hodin, byl poplatek navýšen na 1bitcoin.

Není známo, kolik uživatelů poplatek zaplatilo. Nicméně údajný autor tohoto malware vydal 30. května na serveru pastebin omluvný text, ve kterém mimo jiné píše, že to vlastně nikdy udělat nechtěl. Kromě toho publikoval údajně kompletní databázi privátních klíčů používaných tímto ransomware. Navrch přidal slib, že uživatelům, kteří dosud samotný ransomware z počítače neodstranili, budou 2. června automaticky dešifrovány všechny zašifrované soubory. To se podle informací od samotných uživatelů také stalo. Po dešifrování se pak ještě objevil omluvný text a vzkaz „Be good to the world and don't forget to smile.“

Avšak ani uživatelé, kteří již infekci odstranili, nejsou ztraceni. Uživatel s přezdívkou Nathan vytvořil, s pomocí autorem zveřejněné databáze klíčů, nástroj pro opětovné dešifrování souborů.

Jedinou nezodpovězenou otázkou v tomto příběhu zůstává, proč se autor ransomware k tomuto kroku odhodlal. Spekulace se různí, někteří se domnívají, že už získal dost peněz, nebo že se tímto krokem chce vyhnout dopadení ze strany vyšetřovatelů či jiného zločineckého gangu. Dost možná si někdo pouze testoval, co dokáže. Každopádně je to dost neobvyklý příběh, pro mnoho uživatelů naštěstí s dobrým koncem.

Naše postřehy

Minulý týden přineslo několik serverů informaci o konferenci Hack In The Box v Amsterdamu, na níž byl prezentován údajný útok provedený pouze s pomocí obrázku. V prezentaci pojmenované „Stegosploit: Hacking With Pictures“ prezentoval její autor novou techniku, která údajně umožňuje skrýt „nebezpečný kód“ do obrázku a následně jej pomocí HTML5 elementu Canvas spustit. Jak nicméně upozornil Christian Bundy, vše je možná jinak. Při útoku byl spouštěn pouze javascript, což na celou věc vrhá úplně jiné světlo. Jak to celé je, to se nejspíš s jistotou dozvíme teprve, až bude zveřejněn proof-of-concept.

V USA došlo k úniku informací o čtyřech milionech federálních zaměstnanců. Na útok se přišlo již v dubnu, ale veřejnost o něm byla informována až v uplynulém týdnu. Zajímavé je, že USA celkem bez skrupulí označili za pravděpodobného původce incidentu Čínu, což by buď naznačovalo, že mají opravdu silné důkazy, nebo že kolem celé události a jejího vyšetřování panuje trochu chaos. Otázkou je, k čemu všemu bude možné data zneužít, zda například k vydírání státních zaměstnanců cizími mocnostmi, jak spekulují některá média, či třeba k spear phishingovým útokům.

V posledním díle postřehů jsme informovali o chybě v IOS, díky které bylo možné restartovat zařízení na dálku posláním určitých arabských znaků. Minulý týden bylo pro změnu v aplikaci Skype hitem zasílání zpráv obsahujících znaky „http://:“, které u příjemce způsobily nekonečnou smyčku pádů této aplikace. Nepomáhalo ani smazání historie zpráv, neboť Skype si zprávu po přihlášení znovu načetl ze serveru.

Nový podvod na Facebooku vyhrožuje vypnutím účtu kvůli údajné stížnosti na jeho zneužití. Ke zprávě je připojen odkaz na stránku, která má umožnit obnovení účtu. Tam je uživatel vyzván k zadání jména a hesla a následně je ještě přesměrován na stránku vyžadující jeho jméno, detaily platební karty a fakturační adresu. Nejedná se o jediný problém uživatelů Facebooku oznámený minulý týden. Aplikace „UnfriendAlert“, která má informovat uživatele, pokud si jej někdo odebere z přátel, odesílá podle analýzy společnosti Malwarebytes přihlašovací údaje k uživatelskému účtu na server yougotunfriended.com.

Společnost Facebook oznámila, že bude nově posílat citlivá data, jako jsou e-mail s odkazem na resetování hesla nebo jiné notifikace, šifrované pomocí PGP klíčů. Pokud si tedy toto šifrování nastavíte, nebude potenciální útočník schopen získat přístup do vašeho facebookového účtu ani v případě, že se mu podaří získat přístup do vaší e-mailové schránky.

Jednou těžko uvěřitelnou zprávou jsme dnes začali, tak proč se ve stejném duchu i nerozloučit. Věřte či ne, ale příští verze Windows PowerShell přinese do Windows klienta i server OpenSSH.

Ve zkratce

Pro pobavení

Tohle turné si nenechte ujít. VIP místa jsou k dispozici pouze pro administrátory.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Vyrábí boty, ve kterých neumíte chodit

Vyrábí boty, ve kterých neumíte chodit

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Lupa.cz: Měřičům síly hesla se nedá věřit. Víte proč?

Měřičům síly hesla se nedá věřit. Víte proč?

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny