Cryzip - otmičar podataka
Cryzip - otmičar podataka
U virtuelnom svetu Interneta se sve češće javljaju brojne paralele životnih situacija. Ovoga puta je naša tema pravi kriminalistički zaplet u vidu otmice podataka. Trojan program pod imenom PGPcoder je registrovan tokom maja 2005. godine. Ovaj program je šifrovao datoteke korisnika računara i zatim zahevao novac za dešifrovanje «otetih» datoteka. Iako ovakva ideja deluje sveže, slični pokušaji su registrovani još pre 15 godina kao AIDS Trojan, ali i u današnje vreme kao potpuno novi virus pod imenom Cryzip.
Nekada - AIDS Trojan
Aids trojan je sada već 15 godina star program koji je menjao sadržaj DOS autoexec.bat datoteke tako da je posle 90-tog pokretanja računara sakrivao fascikle i šifrovao imena datoteka, pozivajući vlasnika zaraženog računara da «obnovi licencu» tako što će uplatiti 378 dolara na račun PC Cyborg Corporation u Panami. Do zaraze AIDS trojancem je dolazilo posle učitavanja diskete pod nazivom “Uvodne AIDS informacije”, koji je slat ljudima prijavljenim na određenu mail listu. Iza ove prevare je stajao Dr. Joseph Popp, koji je kasnije optužen za 11 slučajeva ucene i iznude. Dr. Popp se branio stavom da je iznuđeni novac nameravao da utoši na istraživanje AIDS-a. Iz današnje perspektive radi se o ključnim događajima koji uvode termine kao što su: kriptovirus, kriptotrojan i kriptocrv, koji šifriraju datoteke žrtve koristeći javni ključ autora. Žrtva mora da plati da bi dobila odgovarajuži ključ za dešifrovanje podataka i tako dobijamo novu oblast pod imenom Kriptovirologija.
Danas – Cryzip
Za razliku od PGPcoder-a koji koristi specijalnu šemu za šifriranje, Cryzip koristi komercijalnu ZIP biblioteku pomoću koje komprimuje i pakuje datoteke. Po pokretanju Cryzip pretražuje C: disk (preskačući sistemske zone system i system32). Datoteke koje pronađe puni tekstom «Obrisao ZIPPO, odlazi !!!», zatim ih briše, ostavljajući umesto njih šifrovane ZIP datoteke sa sufiksom _CRYPT_.ZIP. Cryzip traži i zatim «zipuje» 40 tipova datoteka, kao što su: .arh, .arj, .doc, .txt, . .xls, ... jednom rečju sve što vredi na vašem računaru. Pošto završi obradu pojedinog direktorijuma, Cryzip ostavlja tekst sa uputstvom korisniku kako da plati ucenu: OUR E-GOLD ACCOUNT: XXXXXXX INSTRUCTIONS HOW TO GET YUOR FILES BACKREAD CAREFULLY. IF YOU DO NOT UNDERSTAND, READ AGAIN. Tekst detaljno opisuje situaciju korisniku i savetuje ga da plati 300 dolara preko e-gold naloga. Ako to uradi u roku od 24 časa primiće uplatu u vrednosti 1 dolara, uz link ka softveru koji će automatski sve otpakovati i dešifrovati. Broj e-gold naloga je očigledno glavni problem u ovoj otimici. Autor Crytip trojana je predvideo veći broj naloga, očogledno vođen idejom da ako mu vlasti zatvore neki od naloga, da nastavi da radi sa preostalim. Brojeva naloga u telu virusa ima preko 60, a sve se krije od radoznalih očiju relativno jednostavnom XOR šemom za enkripciju. Pravo pitanje je – šta je ključ za šifrovanje podataka. Autor se ovde poigrao tako što je šifru ostavio potpuno vidljivom, a to je string «C:\Program Files\Microsoft Visual Studio\VC98» koji je standardni potpis koji nastaje kao rezultat rada razvojnog alata Visual C++. Svako ko pokuša da pronađe šifru unutar tela virusa lako će prevideti ovako lukavo podmetnuti ključ.
Epilog
Za razliku od standardnih Email virusa i crva, kriptološke zaraze se srećom ne šire većim intenzitetom. Ovakve operacije bolje uspevaju kada rade tišini i senci, jer bi ih registrovanje u anti-virus bazama za čas izbacilo iz posla, a svaki, pa i najmanji publicitet bi doveo do zatvaranja naloga koji su predviđeni za sakupljanje novca od ucene. Razlog zašto pišemo o oboj egzotičnoj temi je u tome što se broj incidenata ovog i sličnog tipa konstatno povećava tokom zadnjih godinu dana, što ukazuje na mogućnost eskalacije ovog problema. Što se tiče odbrane i zaštite, najbolja odbrana od kriptotrojana je funkcionalna politika pravljenja rezervnih kopija. I kada smo već do toga došli, preostaje da vas upitamo: Kada ste poslednji put nešto od vaših podataka bekapovali?
A.Filip, april 2006.
