Wirusy i ataki sieciowe IV-VI 2005

Przeczytaj także: Ewolucja złośliwego oprogramowania 2008

Uwzględniając to wszystko, jakie są inne możliwe wyjaśnienia? Bomba logiczna? Jest to program, który uruchamia się w momencie, gdy wybrana aplikacja - w tym przypadku aplikacja księgowa lub finansowa - osiąga wyznaczony stan. Wszystkie zainfekowane organizacje musiałyby wykorzystywać to samo oprogramowanie, aby hipoteza ta mogła być prawdziwa.

Chociaż złośliwy program szyfrujący dane usuwa się z systemu po zakończeniu procesu szyfrowania, firma Kaspersky Lab otrzymała i zanalizowała kilka różnych próbek. Program przeszukuje wszystkie foldery na komputerach ofiar przy użyciu określonego algorytmu, szyfruje wszystkie dokumenty we wszystkich formatach, jak również bazy pocztowe. Każdy folder z zaszyfrowanymi plikami zawiera plik o nazwie readme.txt - w pliku tym znajduje się adres e-mail, pod którym można skontaktować się z autorem programu. Ofierze zostaje złożona oferta: zapłać, a wtedy odszyfrujemy twoje pliki. Jest to ewidentny szantaż. Jest bardzo prawdopodobne, że cyber-przestępca, lub grupa stojąca za wirusem Gpcode pochodzi z Rosji; wskazują na to pewne ciągi tekstowe w wiadomościach, adres e-mail, jak również niektóre zaszyfrowane formaty plików, które są charakterystyczne dla Rosji.

Również na Zachodzie wykryto pliki zainfekowane wirusem GPCode, jednak w tym przypadku wiadomości od autora programu napisane były w języku angielskim. Jest to kolejny wyraźny znak, że ataki na rosyjskie, jak również inne, segmenty Internetu są zróżnicowane, tak pod względem czasu, jak i wykorzystanych wariantów programu.

Najsmutniejsza w całej tej sprawie jest ilość użytkowników, którzy skontaktowali się z autorem złośliwego programu i zapłacili żądany okup. Tym samym nie tylko stracili pieniądze, ale zachęcili autora do tworzenia nowych wersji programu szyfrującego w celu przeprowadzania nowych ataków na kolejnych użytkowników. Jest to zachowanie niedopuszczalne, a wręcz niewytłumaczalne. Algorytmy szyfrujące wykorzystane do szyfrowania plików są bardzo prymitywne, a zaszyfrowane pliki można łatwo przywrócić do oryginalnej postaci przy pomocy dobrego programu antywirusowego zawierającego odpowiednie procedury wykrywania i leczenia. Użytkownik musi tylko przesłać zaszyfrowany plik do analizy w firmie antywirusowej. Niestety, niektórzy użytkownicy wolą zapłacić za odszyfrowanie swoich plików, co podważa sens wydawania środków finansowych na tworzenie polityki bezpieczeństwa IT.

Na podstawie analizy obecnej sytuacji eksperci z branży bezpieczeństwa IT wnioskują, że sprawa szyfrowania plików może potoczyć się różnymi torami. Jeśli organy legislacyjne i egzekucyjne, zarówno w Rosji jak i na całym świecie, nie podejmą teraz zdecydowanych działań, w przyszłości mogą powstać skuteczniejsze metody szyfrowania wykorzystywane przez przestępców na skalę masową w celu uzyskania korzyści finansowych.

Kaspersky Lab zaleca wszystkim, którzy pracują w zagrożonych organizacjach, aby przeprowadzali kontrolę bieżących systemów i aplikacji. Aby zabezpieczyć się przed utratą danych, należy również regularnie sporządzać kopie zapasowe danych.

Polityka a wirusy

Złośliwe programy, które zawierają polityczne slogany lub kierują uwagę na określonego polityka lub grupę polityczną nie są żadną nowością w świecie wirusów. W roku 1990 ogromna większość takich wirusów została stworzona w Rosji i byłych republikach Związku Radzieckiego. Można to łatwo wytłumaczyć politycznym klimatem tamtego okresu. Atmosfera polityczna przemawiała nie tylko do opinii publicznej, ale również do twórców wirusów. Postacie polityczne stawały się celem karykatury zarówno graficznej, jak i słownej. Wkrótce jednak wirusy te zaczęły znikać. Ostatnim powszechnie znanym przedstawicielem tej grupy wirusów był Email-Worm.Win32.Sexer (październik 2003), który zachęcał do głosowania na jednego z kandydatów na burmistrza i zniknął ze sceny wkrótce po wyborach.

W Europie, jednak, aż do niedawna mieliśmy do czynienia z odwróconą sytuacją - w okresie gdy wirusy polityczne aktywnie rozprzestrzeniały się w Rosji i byłych republikach Związku Radzieckiego, w Europie wirusy były po prostu złośliwymi programami bez żadnych podtekstów politycznych. Sytuacja uległa zmianie wraz z wykryciem złośliwego kodu, takiego jak robak Email-Worm.Win32.Blare, który zawierał tekst krytykujący brytyjskiego lidera Tony'ego Blaira. Inne wirusy zawierały ataki na prezydenta Stanów Zjednoczonych, George'a Busha oraz komentarze dotyczące wojny z Irakiem.