W ubiegłym miesiącu holenderska policja, Europol oraz firmy Intel Security i Kaspersky Lab zawiązały współpracę pod szyldem No More Ransom, zakładając serwis online, który umożliwia odzyskanie dostępu do plików ofiarom szkodliwych programów żądających zapłacenia okupu (tzw. ransomware). Najnowszym efektem współpracy jest zlokalizowanie i zamknięcie cyberprzestępczego serwera odpowiedzialnego za infekowanie komputerów szkodliwym programem WildFire. Co ciekawe, kod szkodliwego programu posiada fragmenty napisane w języku polskim.
Cyberprzestępcy stojący za szkodliwym programem WildFire wydają się koncentrować na użytkownikach z Holandii – przynajmniej 90% ofiar zidentyfikowano właśnie w tym kraju. Mechanizm infekcji jest typowy dla zagrożeń ransomware – atakujący podszywają się pod firmę transportową i wysyłają wiadomości e-mail ze zhakowanych serwerów. Odbiorca jest informowany, że dostawa przesyłki nie powiodła się i aby umówić się na nowy termin, musi otworzyć załączony dokument programu MS Word. Po uruchomieniu pliku i włączeniu obsługi makr (na ekranie pojawia się odpowiedni komunikat informujący, że jest to konieczne do wyświetlenia treści) szkodnik WildFire jest instalowany na komputerze ofiary i rozpoczyna się szyfrowanie plików. Następnie użytkownik widzi żądanie okupu z informacją, że za odzyskanie danych należy zapłacić równowartość około 300 dolarów. Jeżeli pieniądze nie dotrą do atakujących w ciągu ośmiu dni, kwota ta jest potrajana.
Specjaliści z holenderskiej policji zamknęli serwer kontrolowany przez cyberprzestępców stojących za operacją WildFire, zatem na chwilę obecną kolejni użytkownicy nie są atakowani. Zamiast żądania okupu ofiary szkodnika zobaczą informację, że cyberprzestępcy zostali powstrzymani i w celu odzyskania danych bez płacenia pieniędzy należy skorzystać z bezpłatnego narzędzia dostępnego w serwisie https://NoMoreRansom.org. Na chwilę obecną narzędzie obejmuje niemal 1 600 kluczy deszyfrujących, a kolejne zostaną dodane w najbliższym czasie.
Kod szkodliwego makra wykorzystywanego do pobierania szkodnika WildFire na komputery ofiar zawiera dwie ciekawostki. Pierwszą z nich jest fragment tekstu utworu „Money” zespołu Pink Floyd – jak widać, atakujący nie ukrywają faktu, że koncentrują się na zarabianiu pieniędzy. Ponadto kilka zmiennych w kodzie zapisano w języku polskim (np. „Czeladnik18”, „Czeladnik 12” czy „Czeladnik6”).
John Fokker, koordynator zespołu National High Tech Crime Unit (NHTCU) holenderskiej policji, powiedział: „Przejęcie kluczy deszyfrujących szkodliwego programu WildFire po raz kolejny udowadnia, że walka z cyberprzestępczością, a szczególnie z ransomware, jest znacznie efektywniejsza dzięki współpracy różnych organizacji. Holenderska policja będzie w dalszym ciągu pomagać ofiarom tego typu zagrożeń, identyfikując serwery przestępców i udostępniając narzędzia umożliwiające bezpłatne odzyskanie zaszyfrowanych danych. Należy jednak pamiętać, że najskuteczniejszą metodą zabezpieczenia przed szkodliwymi programami ransomware pozostaje posiadanie aktualnej kopii zapasowej najcenniejszych informacji”.
„To kluczowe, by do walki z zagrożeniami ransomware przyłączyło się jak najwięcej organizacji z różnych sektorów” – komentuje Jornt van der Wiel, badacz ds. bezpieczeństwa IT, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab. „Robimy coraz większe postępy, jednak jest to dopiero początek i jestem przekonany, że dzięki bliskiej współpracy możemy osiągnąć znacznie więcej”.
Dostępny bezpłatnie serwis NoMoreRansom.org zawiera narzędzia pozwalające odszyfrować dane ofiarom różnych rodzajów szkodliwych programów ransomware, które szyfrują pliki i żądają zapłacenia okupu. Serwis pomaga także w zidentyfikowaniu szkodliwego programu, który zablokował dostęp do danych użytkownika. Aby skorzystać z tych narzędzi, wystarczy wejść na stronę https://www.nomoreransom.org.
Więcej informacji na temat szkodliwych programów żądających okupu za odblokowanie dostępu do danych, wraz z poradami bezpieczeństwa, znajduje się na oficjalnym blogu Kaspersky Lab – Kaspersky Daily: http://r.kaspersky.pl/blog_ransomware.