7 czerwca 2006 roku w Dzienniku Analityków Kaspersky Lab pojawiła się sensacyjna wiadomość: "Nowy Gpcode z 660-bitowym kodem... został rozszyfrowany przez firmę Kaspersky Lab! Skontaktowaliśmy się już z firmą hostingową - plik wirusa został usunięty ze strony".

Analitykom firmy Kaspersky Lab udało się złamać 660-bitowy klucz szyfrujący RSA. Po raz kolejny odnieśli zwycięstwo nad cyberszantażystą, który od ponad półtora roku nękał rosyjskich użytkowników.

Szantaż prosty jak 1-2-3

Nietrudno wyobrazić sobie, jak bardzo zdenerwowaliby się użytkownicy, gdyby obudzili się pewnego słonecznego, czerwcowego ranka i stwierdzili, że ich pliki są bezużyteczne: albo nie można ich otworzyć, albo - w przypadku plików .txt - zawierają śmieci. Co więcej, nie dotyczy to tylko dokumentów MS Office, ale ponad 80 różnych typów plików.

Można natomiast otworzyć kilka plików tekstowych z podejrzanie prostymi nazwami, takimi jak readme.txt. Jednak tekst, jaki zawierają, z pewnością nie poprawia humoru: aby odzyskać dane, trzeba kupić program deszyfrujący, który odblokuje "niektóre pliki", mianowicie te, które zostały zaszyfrowane przy pomocy algorytmu szyfrowania RSA.

Niestety nie jest to scena z filmu o przestępstwach cybernetycznych, ale zdarzenie, które rozgrywało się w rzeczywistości przez ponad rok. Co gorsza, aż do niedawna, nie było nawet wiadomo, w jaki sposób komputery były infekowane.

Dzięki detektywistycznej pracy analityków antywirusowych firmy Kaspersky Lab w końcu udało się ustalić, w jaki sposób rozprzestrzenia się Gpcode; przynajmniej jeśli chodzi o falę nowych wariantów, jaka pojawiła się w Rosji na początku czerwca.

Przedstawiona poniżej wiadomość e-mail (napisana oryginalnie w języku rosyjskim) została masowo rozesłana przy pomocy technik spamerskich - był to pierwszy krok w procesie infekcji.

Witam!

Piszę odnośnie CV, które umieściłeś na stronie job.ru. 
Mogę zaoferować Ci posadę. ADC Marketing LTD (UK) otwiera filię 
w Moskwie, w związku z tym poszukuję odpowiednich kandydatów. 
Wkrótce zaproszę Cię na rozmowę kwalifikacyjną w dogodnym dla obu 
stron terminie. Jeżeli jesteś zainteresowany ofertą, wypełnij 
załączony formularz dotyczący oczekiwanego wynagrodzenia i prześlij 
go do mnie za pośrednictwem poczty elektronicznej.

Z poważaniem
Viktor Pavlov
Dyrektor działu HR

Do wiadomości e-mail dołączony był plik MS word .doc o nazwie anketa.doc (nazwa zapisana była w języku rosyjskim). Plik ten zawierał w rzeczywistości złośliwy program o nazwie Trojan-Dropper.MSWord.Tored.a. Po otwarciu załącznika wiadomości złośliwe makro instalowało na komputerze ofiary kolejnego trojana Trojan-Downloader.Win32.Small.crb. Trojan pobierał następnie Gpcode'a z [zamazano].msk.ru/services.txt i instalował go na komputerze ofiary.

Gpcode skanował następnie wszystkie dostępne foldery i szyfrował pliki o określonych rozszerzeniach, takich jak .txt, .xls, .rar, .doc, .html, .pdf. Szyfrował również bazę danych klienta pocztowego.

Następnie Gpcode i trojany, przy pomocy których został zainstalowany, ulegały samozniszczeniu, pozostawiając plik o nazwie readme.txt w każdym folderze, który zawierał zaszyfrowane pliki. Plik tekstowy informował, w jaki sposób można skontaktować się z autorem wirusa.

Autor Gpcode'a regularnie zmieniał wersję wirusa umieszczonego na stronie WWW. Zmieniał również adres e-mail zawarty w pliku "readme.txt". Ofiarom, które skontaktowały się z nim, oferował dostarczenie programu dekodującego. Oczywiście za opłatą. Pieniądze należało wpłacić na konto Yandex (Yandex jest rosyjskim portalem internetowym, który oferuje system płatności podobny do PayPal).

Wiemy już, jak wyglądał proces infekcji i szantażu, jednak pod koniec 2004 roku, kiedy otrzymywaliśmy pierwsze zaszyfrowane pliki, nie było to jasne.

Najtrudniejsze sÄ… poczÄ…tki

Analitycy antywirusowi firmy Kaspersky Lab po raz pierwszy zetknęli się z wirusem Gpcode w grudniu 2004 roku. Użytkownicy zgłaszali nam, że ich pliki zostały zaszyfrowane. Nikt nie potrafił ustalić, jaki program szyfrujący został użyty. Jedynym śladem pozostawionym przez wirusa (oprócz zaszyfrowanych plików) był plik tekstowy o nazwie !_Vnimanie_!.txt ("vnimanie" jest fonetycznym zapisem rosyjskiego słowa oznaczającego "uwaga"). Plik ten wskazywał na rosyjskie pochodzenie wirusa; nazwa pliku i zawarty w nim tekst również były napisane w języku rosyjskim, a niektóre zaszyfrowane pliki były w formacie, który można spotkać niemal wyłącznie w Rosji.

Pierwsza fala wirusa Gpcode uderzyła głównie w rosyjskich użytkowników biznesowych: banki, agencje reklamowe i agencje nieruchomości oraz inne organizacje wykorzystujące dużą liczbę dokumentów. Poza Rosją ofiarą szantażysty padło niewiele firm.

Autor Gpcode'a próbował zwieść użytkowników i analityków, umieszczając odniesienie do programu szyfrującego PGP - "PGPcoder" w nagłówkach zaszyfrowanych plików. Na szczęście twórca wirusa zastosował własny algorytm szyfrowania, który analitycy Kaspersky Lab bez trudu złamali.

Druga fala infekcji wirusa Gpcode uderzyła w czerwcu 2005 roku. Podobnie jak poprzednio, zaatakowani zostali tylko użytkownicy w Rosji. Tym razem zastosowano bardziej skomplikowany algorytm szyfrowania niż ten zaimplementowany w grudniu 2004 roku. Mimo to złamanie go było dla analityków z Kaspersky Lab stosunkowo prostym zadaniem, tym bardziej, że widzieliśmy ponad 25 wariantów pierwszej wersji Gpcode'a. Co więcej, uzyskaliśmy kilka próbek programu wykorzystywanego do szyfrowania danych.

Pozostawało jednak pytanie, w jaki sposób wirus dostał się do komputerów ofiar. Później okazało się, że to nie jedyna zagadka, jaką nasi analitycy musieli rozwiązać.

Niekiedy wiedza może być niebezpieczna

Wygląda na to, że twórca Gpcode'a zaczął traktować szantaż jako łatwy sposób zarabiania na utrzymanie, w związku z czym uznał, że musi ulepszyć swoje "twory". 6 miesięcy dokształcał się w szyfrowaniu, po czym na początku 2006 roku postanowił wypróbować swoje nowo nabyte umiejętności.

26 stycznia 2006 roku przechwyciliśmy kolejny wariant tego wirusa szyfrującego - Gpcode.ac był pierwszym, który wykorzystywał algorytmy szyfrowania RSA. RSA jest jednym z najlepiej znanych i najbezpieczniejszych publicznych algorytmów szyfrowania.

W porównaniu z prostymi technikami szyfrowania, jakie szantażysta stosował na początku, wykorzystanie szyfrowania RSA stanowiło ogromny krok naprzód. Mimo to poradziliśmy sobie również tym razem. Jednak kolejna wersja Gpcode'a, która pojawiła się w kwietniu, dowiodła niezbicie, że autor wciąż szlifuje swoje umiejętności szyfrowania. Tak jak poprzednie wersje, ostatni wariant wykorzystywał częściowo algorytm RSA, jednak zamiast 56-bitowego klucza szyfrowania stosował klucz 67-bitowy. Być może nie była to rewolucja, niosła jednak zapowiedź tego, czego możemy się spodziewać w przyszłości.

Na początku czerwca 2006 roku nowe warianty zostały wykorzystane do przeprowadzenia masowego ataku na użytkowników rosyjskiego Internetu.

Ostatnia runda?

Na początku czerwca 3 warianty Gpcode'a pojawiły się w przeciągu 5 dni. Każdy z nich wykorzystywał dłuższy klucz szyfrowania: podczas gdy pierwszy wariant, Gpcode.ae, posiadał 250-bitowy klucz RSA, Gpcode.af miał już 330-bitowy klucz. Im dłuższy klucz, tym trudniejsze byłoby dla branży antywirusowej złamanie algorytmu szyfrowania.

Sytuacja nie była łatwa. Złamanie 330-bitowego klucza wykorzystanego przez Gpcode.af zajęło nam 10 godzin. Potem dodaliśmy procedurę deszyfrowania do naszych sygnatur zagrożeń i odetchnęliśmy z ulgą.

Nasza radość okazała się jednak przedwczesna; następny dzień przyniósł ze sobą wirusa Gpcode.ag z 660-bitowym kluczem. Zgodnie z informacjami na internetowej stronie o RSA, najdłuższy klucz ma obecnie 640 bitów. Nawet przy pomocy komputera z procesorem 2,2 GHz złamanie takiego klucza zajęłoby 30 lat. My jednak opublikowaliśmy procedury wykrywania i deszyfrowania w tym samym dniu, w którym Gpcode.ag został wykryty.

Jak nam się to udało? No cóż, to nasza tajemnica. Co przyniesie nam przyszłość? Nie jest to ani łatwe, ani przyjemne pytanie.

Za garść rubli

Nigdy nie należy lekceważyć przeciwnika; nawet jeśli przegrywa. Autor Gpcode'a dokładnie zaplanował ataki, wykorzystując socjotechnikę w celu rozprzestrzeniania wirusa.

Spam zawierający złośliwy program został wysłany na adresy e-mail zebrane ze strony job.ru - jednego z największych internetowych portali pracy. Osoby, które zostawiły tam swoje dane kontaktowe, otrzymały wiadomość e-mail, która wyglądała, jakby pochodziła od dużej firmy zachodniej. Oczywiście odbiorcy wiadomości klikali załączniki, które miały rzekomo zawierać szczegóły dotyczące wynagrodzenia. Na ich miejscu prawie każdy dałby się nabrać.

Otwarcie załącznika pozornie nie spowodowało uruchomienia żadnej złośliwej funkcji. W rzeczywistości jednak na komputerze zainstalował się trojan, który następnie pobrał Gpcode'a. To oznacza, że bardzo niewiele osób połączyło wiadomość zawierającą ofertę pracy z zaszyfrowanymi plikami, co znacznie utrudniło określenie pierwotnego wektora infekcji.

To prawdziwy wstyd, że tak dużo energii wykorzystano do celów przestępczych. Zważywszy na to, że za odszyfrowanie plików autor żądał 2 tys. rubli (około 70 dolarów), zaskakujące jest to, że autor wciąż tworzył kolejne warianty. Na początku, w grudniu 2004 roku żądana cena wynosiła 1000 rubli, jednak z informacji zamieszczonych w Internecie wynika, że szantażysta skłonny był zgodzić się nawet na 500 rubli (około 20 dolarów).

Być może autor Gpcode'a liczył na to, że ofiary będą wolały zapłacić stosunkowo niewielką sumę niż skontaktować się z firmą antywirusową lub organami ścigania.

Sukces najwyraźniej motywował szantażystę (lub szantażystów) do powtarzania ataków. Według rosyjskiego prawa, policja nie może rozpocząć śledztwa, dopóki ofiara nie zgłosi oficjalnej skargi. Niestety, w większości ofiary albo nie były tego świadome, albo nie chciały zgłaszać problemu z powodów osobistych. To wielka szkoda, ponieważ właśnie to powoduje, że cyberprzestępcy, tacy jak autor Gpcode'a, wciąż przebywają na wolności.

Chroń swoje dane

Jednym z najbardziej zaskakujących aspektów historii Gpcode'a jest to, że spora część ofiar, które skontaktowały się z firmą Kaspersky Lab w czasie czerwcowych ataków, posiadała zainstalowane oprogramowanie Kaspersky Anti-Virus. Było to dość niespodziewane, ponieważ Kaspersky Anti-Virus blokuje takie ataki trzy razy. Po raz pierwszy, gdy zainfekowany załącznik wykrywany jest jako Trojan-Dropper.MSWord.Tored.a. Po raz drugi, gdy szkodnik, który pobiera Gpcode'a, wykrywany jest jako Trojan-Downloader.Win32.Small.crb. Po raz trzeci, gdy wykrywany jest sam Gpcode. Nawet użytkownicy, którzy nie posiadali najnowszych uaktualnień, powinni byli być chronieni, ponieważ sygnatury większości modyfikacji Gpcode'a dostępne były już od stycznia 2006 roku.

Oczywiście, ofiary albo wyłączyły rozwiązanie antywirusowe, albo postanowiły zignorować wyświetlane ostrzeżenia. Analitycy antywirusowi z firmy Kaspersky Lab opublikowali procedury deszyfrowania i leczenia wraz z uaktualnieniami sygnatur zagrożeń. Stworzyliśmy nawet specjalne narzędzia do przywracania pocztowych baz danych, które zostały uszkodzone, gdy klienty pocztowe nie potrafiły rozpoznać formatu zaszyfrowanych plików. Mimo to niektórzy użytkownicy utracili ważne dane.

W ciągu minionych kilku lat firmy antywirusowe natrafiły na inne rodzaje złośliwego kodu, który wykorzystywany jest do szantażowania użytkowników. Przykładem są Cryzip i MayArchive, które w 2006 roku zainfekowały użytkowników w Stanach Zjednoczonych i Wielkiej Brytanii. Oba programy archiwizują pliki przy użyciu nieznanego hasła, który jest tak samo trudny do złamania jak algorytmy szyfrowania Gpcode'a.

Programy te świadczą o tym, że wykorzystanie złośliwego kodu do szantażowania użytkowników nie jest wyłącznie rosyjskim zjawiskiem. Ukazują także, jak ważne jest regularne sporządzanie kopii zapasowych posiadanych danych. Po co ułatwiać życie cyberprzestępcom?

Historia Gpcode'a uczy kilku rzeczy. Po pierwsze, nigdy nie wiadomo, skąd nadejdzie następne zagrożenie, ani jakie szkody wyrządzi Twojemu komputerowi. Po drugie, pod żadnym pozorem nie należy spełniać żądań szantażystów; w takiej sytuacji użytkownicy powinni skontaktować się z firmą antywirusową, która na pewno będzie w stanie pomóc. Po trzecie, regularnie aktualizowane oprogramowanie antywirusowe, chociaż może trochę spowolnić Twój komputer, jest absolutną koniecznością, jeśli zależy Ci na twoich danych.

Źródło: Kaspersky Lab