CryptoLocker – polski akcent

Istnieją poważne poszlaki, że za ransomware o nazwie CryptoLocker stoją… Polacy. Malware ów został zbadany i opisany na blogu [deadlink] (polecam lekturę całego wpisu), autor uzyskał dostęp do bazy (niestety dość pustej) i widać w kodzie tekst:

define('DBPASS', 'Be6mybCWhpFpgG4u');//Dostep do sql zamiana!!!

Swojsko brzmiący komentarz, prawda? Swoją drogą ładny przykład na to, że korzystanie z Tor nie oznacza braku możliwości namierzenia, gdzie stoi serwis, chociaż w tym przypadku autorowi wpisu nie udało się uzyskać adresu IP systemu.

UPDATE: Jak donosi Zaufana Trzecia Strona, malware nie nazywa się CryptoLocker, a CryptorBit. Polecam ich wpis – dużo więcej informacji i po polsku.

4 odpowiedzi na “CryptoLocker – polski akcent”

  1. Ten pokracznie sformułowany fragment w naszym języku wcale nie musi być dobrym tropem, równie dobrze ktoś mógł to dodać dla zmyłki. Zresztą po jakich stronach w sieci trzeba hasać, żeby złapać to świństwo? Chyba po XXX i warezach, bo jakoś jeszcze nigdy tego (i policyjnej wersji) nie złapałem. Bardziej mnie zainteresowała podatność powodująca, że – ponoć – na skutek błędu w htaccess można sobie pobrać kod źródłowy strony napisanej w PHP… Na czym ona polega?

  2. Nie sądzę, by to była zmyłka. I niekoniecznie jest tak, że całość napisali Polacy, natomiast przypuszczam, że przy tej konkretnej instancji lub którejś poprzedniej grzebał (np. konfigurował coś) ktoś z Polski. W zmyłkę tego typu nie wierzę, bo nie ma ona sensu – w przypadku namierzania ludzi stojących za tego typu działalnością nie ma sensu korzystanie z tak ogólnych wskazówek. Nawiasem, prawdopodobnie udało się ustalić IP na którym działa serwer.

    Co do stron – nie wiem. Pewnie wystarczą normalne, były już ataki tego typu przez reklamy, zwykła strona też może zostać zainfekowana i serwować różne bonusy. Pamiętaj, że w przypadku nieaktualizowanego systemu/przeglądarki/dodatków wystarczy wejście na stronę. A w zasadzie pobranie plików… Kolejny powód, by używać AdBlocka i NoScripta. 😉

    Co do podatności, nie widzę szczegółów, a do zabawy jakoś mnie nie ciągnie. Stawiam, że zły rewrite albo coś w ten deseń. Proponuję, żebyś zapytał na Zaufanej Trzeciej Stronie (więcej ludzi z większą wiedzą).

  3. Trochę prostej logiki: ktoś ma tyle wiedzy, by stworzyć własny algorytm szyfrowania plików, obsłużyć płatności, ukryć serwer, itp. Dalej: zrzuty kodu źródłowego strony z przedmiotowym komentarzem (nowszy) i bez niego (starszy) zawierają dokładnie to samo hasło do bazy danych, a dodatkowo jest to jedyny komentarz w całym kodzie – na moje albo się dodaje komentarze do kodu albo nie, poza tym jeżeli hasło się nie zmieniło to dodany komentarz nie ma sensu, bo nie ma przed czym ostrzegać. Dodając do tego „Ponglish” w jakim występuje treść komentarza pozwala mi to wszystko do kupy razem nadal uważać, że to błędny trop – inaczej musiałbym uwierzyć, że błąd w htaccess dający dostęp do kodu strony oraz feralny komentarz to jedyne rzeczy dodane przez autora (gimbusa?) ręcznie, a całą resztę wyklikał sobie w jakimś kreatorze – przecież te rzeczy zupełnie do siebie nie pasują, aż dziwne, że nikt tego nie zauważył, wszyscy woleli skupić się na „polskim akcencie” jakby to był jakiś powód do dumy.

    Na Z3S o nic nie zapytam, bo mają problem z Error 503 Service Unavailable – Guru Meditation: XID: 1339932040 by Varnish cache server…

    Odnośnie metody zarażenia: od lat nie otwieram nieznanych plików, blokuję reklamy, nie używam Javy ani Flasha (nawet nie instaluję tego), no i nie błąkam się po warezach – widocznie to wystarcza aby nie dać się zainfekować.

  4. @monter Kod trojana mogli kupić/ukraść. Podobnie jak całe rozwiązanie. Do „ukrycia” serwera nie potrzeba wiele – zwykłe hidden services Tora. Gotowce są na stronie projektu Tor. Obsługa płatności – nie dam głowy, czy to nie jest ręcznie klikane. Zauważ, że każda transakcja ma własne konto. Skala niewielka, nie trzeba wcale online tego klikać, a przy takiej kasie usiąść do kompa 2-3 razy dziennie to nie problem.

    Z3S działało w momencie pisania komentarza przeze mnie, działa teraz. Spokojnie. 😉

    Jeśli dodatkowo masz jeszcze aktualną przeglądarkę, to faktycznie ciężko Cię zainfekować w takim układzie.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *