CryptoLocker er en trojansk hest til afpresning, hvis mål er computere, som kører Microsoft Windows og den blev første gang observeret af Dell SecureWorks i september 2013. CryptoLocker spreder sig via inficerede e-mail vedhæftninger og via et eksisterende bot-netværk. Når den bliver aktiveret krypterer CryptoLocker bestemte typer af systemfiler, der er lagret på lokale og tilkoblede netværksdrev – den krypterede data er at betragte som stjålet eller taget som gidsel.

CryptoLocker viser så en meddelelse, som tilbyder at dekryptere den stjålne data, hvis en betaling (enten gennem Bitcoin, eller en forudbetalt bankoverførsel) bliver foretaget inden for en fastsat deadline og truer ellers med at slette brugerens data, hvis deadline overskrides. Hvis deadline ikke imødekommes, tilbyder CryptoLocker pludselig at dekryptere data via en online service tilvejebragt af udviklerne bag til en betydelig højere pris i Bitcoin.

 

Er du ramt af CryptoLocker, så læs her hvordan du får din data tilbage

 

Selv om CryptoLocker selv hurtigt kan fjernes, vedbliver data og filerne med at være krypterede på en måde, som nærmeste er umulig at bryde. Mange IT-eksperter og IT-sikkerhedsfirmer udtalte at løsesummen ikke skulle betales, men tilbød ikke nogen fremgangsmåde til at gendanne filer, som ikke var blevet sikkerhedskopierede. Nogle ofre hævdede, at betaling af løsesummen ikke altid førte til at filerne blev dekrypterede.

CryptoLocker blev isoleret i den sidste del af maj 2014 via Operation Tovar - som var målrettet Gameover ZeuS bot-netværket, som var blevet brugt til at distribuere CryptoLocker. Under operationen skaffede et sikkerhedsfirma, der var involveret i processen, sig rådighed over databasen med private nøgler, der var blevet anvendt af CryptoLocker og som nu til gengæld af sikkerhedsfirmaet blev brugt til at opbygge et onlineværktøj til gendannelse af nøglerne og filerne uden betaling af løsepenge.

 

Adfærd

CryptoLocker spreder sig typisk som en vedhæftning til en tilsyneladende uskadelig e-mail, der synes at være blevet sendt fra et legitimt firma. En ZIP-fil vedhæftet en e-mail rummer en eksekverbar fil med filnavn og ikon forklædt, som en PDF fil der drager fordel af Windows' standardadfærd med at skjule tilføjelsen til filnavne for at camouflere den virkelige EXE tilføjelse.

CryptoLocker blev også spredt ved brug af Gameover ZeuS’ trojanske hest og bot-netværk. Når malwaren først er startet installerer den sig selv i mappen med brugerprofilen og tilføjer en krypteringsnøgle til registreringsdatabasen, som bevirker at den køres ved opstart. CryptoLocker forsøger så at kontakte én blandt flere specificerede kommando- og kontrolservere. Når det éngang er opnået genererer serveren et 2048-bit RSA nøglepar og sender den offentlige nøgle tilbage til den inficerede computer. Serveren kan være en lokal proxy og virke gennem andre, som ofte bliver omdirigeret i andre lande for at gøre sporing af mere besværlig.

Det installerede malware krypterer så filer på tværs gennem lokale harddiske og netværksdrev og logger hver krypteret fil til en registernøgle. Processen krypterer kun datafiler med visse filtypenavne, indbefattet Microsoft Office, OpenDocument og lignende dokumenter, billeder og AutoCAD filer. Den installerede malware viser en besked, som meddeler brugeren at filerne er blevet krypteret og kræver sødvanligvis en betaling på 400 US$, eller Euro, via en anonym, forudbetalt kvittering (f.eks. MoneyPak eller UCash), eller en tilsvarende sum i Bitcoin´(BTC) indenfor 72 eller 100 timer – i modsat fald vil den private nøgle på serveren blive ødelagt og ingen vil nogensinde være i stand til at gendanne filerne (eller i hvert fald havde yderst svært ved det).

Betaling af løsesummen gør det muligt for brugeren at downloade det dekrypterede program, hvor brugerens private nøgle automatisk er indlæst. Nogle inficerede ofre påstår, at de betalte angriberne, men at deres filer ikke blev dekrypterede.

I november 2013 startede udviklerne bag CryptoLocker en online service, som påstod at gøre det muligt for brugere at dekryptere deres filer uden brug af CryptoLocker programmet og at de kunne købe dekrypteringsnøglen efter udløb af deadline. Processen involverede upload af den krypterede fil til servicen, som en prøve og at afvente at en identifikation ville ske, hvilket servicen påstod ville kunne ske inden for 24 timer. Så snart en identifikation var fundet, kunne brugeren betale for nøglen online.

CryptoLockers succes udløste fremkomsten af et antal uafhængige orme med samme navn, som i det store og hele arbejdede på samme måde, således CryptoLocker 2.0 - der oprindelig var tænkt som en variant af CryptoLocker, men som i sidste ende af sikkerhedsforskere blev betragtet som værende en klon på grund af iøjnefaldende forskelligheder i dens indre opbygning (således var den skrevet i et fuldstændig forskeligt programmeringssprog og anvendte en anden form for kryptering).

 

Aktion imod CryptoLocker

2. juni 2014 bekendtgjorde USAs Justitsministerium officielt, at den forudgående weekend havde et konsortium bestående af en gruppe regeringskontorer til håndhævelse af loven (indbefattet FBI og Interpol), forhandlere af sikkerhedssoftware og adskillige universiteter ført en aktion imod og demonteret Gameover ZeuS bot-netværk, som var blevet brugt til at distribuerer CryptoLocker og anden malware. Justitsministeriet udsendte også en offentlig anklage mod den russiske hacker Evgeniy Bogachev for hans påståede medvirken i dette bot-netværk.

Som en del af aktionen var det hollandske sikkerhedsfirma Fox-IT i stand til at tilvejebringe databasen med private nøgler, som var blevet brugt af CryptoLocker. I august 2014 introducerede Fox-IT og søsterfirmaet FireEye en online service, som gør det muligt for inficerede brugere at generhverve deres private nøgle ved at uploade en prøvefil og derefter modtage et værktøj til dekryptering.

 

Modstræbende opfattelser

Selv om antivirusprogrammer er designede til at spore sådanne trusler som CryptoLocker, kan de muligvis slet ikke spore CryptoLocker eller kun efter at kryptering er påbegyndt eller gennemført. Hvis der er mistanke om et angreb, eller hvis det bliver sporet i dets tidlige stadier, så tager det nogen tid, før end krypteringen kan finde sted. En øjeblikkelig fjernelse af malwaren (en forholdsvis enkel proces), førend den er blevet færdig med sin kryptering vil begrænse dens beskadigelse af data. IT-eksperter har foreslået sikkerhedsforanstaltninger, så som brug af software eller andre sikkerhedsstrategier for at blokere den installerede CryptoLocker i at starte. Symantec har anslået, at 3% af de brugere, der var inficeret af CryptoLocker, valgte at betale.

Som følge af den måde CryptoLocker opererer på, har visse eksperter modstræbende foreslået, at betaling af løsepenge var den eneste fremgangsmåde til at gendanne filer fra Cryptolocker i mangel af sikkerhedskopieringer (specielt de offline sikkerhedskopieringer foretaget før inficeringen, som er utilgængelige fra netværket og som således ikke kan blive inficeret af CryptoLocker). På grund af længden af den nøgle, der anvendes af CryptoLocker, anså eksperter det for praktisk umuligt at anvende en såkaldt ”brute force” algoritme til at få genskabt nøgle, som var nødvendig for at dekryptere filer uden at skulle betale.

 

Penge betalt

I december 2013 sporede ZDNet fire Bitcoin adresser sendt af brugere, som var blevet inficerede af CryptoLocker, i et forsøg på at vurdere CryptoLocker-udviklernes indtægter. De fire adresser viste en bevægelse på 41.928 BTC (Bitcoins) mellem 15. oktober og 18. december – det svarede til omkring 27 millioner amerikanske dollars på det tidspunkt.

En undersøgelse udført af forskere på University of Kent påviste, at 41% af britiske ofre havde besluttet at betale løsesummen, et tal der var langt større end forventet. Der var blevet formodet 3% af Symantec og 0.4% af Dell SecureWorks. Efter nedlukningen af det bot-netværk, der var blevet brugt til at distribuere CryptoLocker, er det blevet anslået, at omkring 1.3% af de inficerede havde betalt løsesummen. Mange havde været i stand til at gendanne filer, der var blevet sikkerhedskopierede og andre formodes at have mistet enorme mængder af data.

Er du ramt af CryptoLocker, så læs her hvordan du får din data tilbage