Ostatnio pojawiły się w całej Polsce fałszywe maile od Poczty Polskiej. Kolorystyka oraz treść wydają się nie wzbudzać podejrzeń potencjalnych ofiar. Całość jednak jest wyrafinowaną grą psychologiczną, którym najważniejszym elementem jest straszenie potencjalną karą. Niczego nieświadomi odbiorcy chcąc wyjaśnić nieporozumienie z znanym operatorem pocztowym bez zastanowienia klikają w guzik ?Zobacz informacje?.  Potem zaczyna się najgorsze?

Zdjęcie z profilu fb Mediarecovery – informatyka śledcza.

Z terrorystami się nie negocjuje

Ramsoware to nikt inny jak typowy tyle, że cyfrowy terrorysta. Uzyskanie okupu (ransom)  jest jego podstawową funkcją. Za zakładnika bierze komputer, który zainfekował. Bądź, co bądź jest to rodzaj malware?u. Przeważnie użytkownik maszyny go pobiera nie wiedząc o tym ? tak jak w medialnej aferze z fałszywymi mailami od Poczty Polskiej. To znaczy nie jest świadomy niebezpieczeństwa ? sam malware bowiem szyfruje nam pliki i wyświetla informacje o konieczności zapłaty okupu w celu ich odszyfrowania. W przeciwieństwie do swojego młodszego rodzeństwa (na przykład LockSreen?a, który podszywał się pod polską policję) nie da się go obejść. Cryptolocker bowiem naprawdę szyfruje pliki stosując algorytm kryptograficzny RSA-2048. Szyfrowanie RSA (pierwsze litery nazwisk twórców: R ? Rivesta, S ? Shamira, A- Adleman) opiera się dwóch elementach, które czynią je praktycznie niemożliwym do złamania (szczególnie, że na zapłacenie okupu mamy zaledwie kilkadziesiąt godzin) – kryptografię asymetryczną oraz faktoryzację. Pierwszy element daje nam jakąś nadzieję, bo kryją się za tym pojęciem dwa klucze: prywatny i publiczny. Klucz publiczny podczas instalacji jest ukryty w systemie. Tyle tylko, że odtworzenie klucza prywatnego na jego podstawie jest bardzo trudne. W ten sposób dochodzimy do drugiego elementu ? faktoryzacji.  Proces, w którym dla danego obiektu znajdują się obiekty takie, że ich iloczyn jest jemu równy, przez co są one w pewnym sensie od niego prostsze. Brzmi w miarę zrozumiale ? jeżeli nikogo nie zniechęciliśmy i operacje jednokierunkowe kogoś nie zrażają to podajemy ścieżkę dostępu do klucza publicznego:

HKEY_CURRENT_USER\Software\CryptoLocker_0388\Files

RSA-2048 love SHA-256

Jak Cryptolocker ma się do Bitcoina? Otóż oprócz tego, że obydwa ciągi kodu opierają swoje działanie na kryptografii to od niedawna są nierozłączne. Sam opisywany ransomware działa od 2013 roku i dość szybko jego sposób szantażowania opisało wielu informatyków. Tyle tylko, że przez ten okres Cryptolocker się rozwijał. W między czasie pojawiła się bowiem opcja zapłacenia okupu w bitmonetach. Bardzo szalony pomysł ? biorąc pod uwagę, jak bardzo mało anonimowy jest Bitcoin. Doświadczył tego na przykład Rafał W. ? programista, który okradł platformę wymiany kryptowalut w Polsce i został aresztowany przez policję. Jakkolwiek pojawienie się Bitcoina nie jest dziełem przypadku lub brakiem rozsądku kryminalistów. Przełom lat 2013/2014 to okres pytań o anonimowość użytkowników Bitcoina. Pojawiają się takie pojęcia jak ? usługi miksujące, adresy poufne, czy portfele w głębokiej sieci. Szybko też okazuje się, że do każdego Cryptolockera powstaje oddzielny portfel. Śledzenie ich działalności staje się coraz bardziej utrudnione.

Treść sponsorowana:

Kilka nieaktywnych portfeli utworzonych na potrzeby Cryptolockera:

https://blockchain.info/address/18iEz617DoDp8CNQUyyrjCcC7XCGDf5SVb

https://blockchain.info/address/1KP72fBmh3XBRfuJDMn53APaqM6iMRspCh

Niezależnie od wszystkiego – trzeba podkreslić, że autor ransomware’a zadbał, aby jego dzieło był skutecznym narzędziem w rękach każdego, kto nie posiada specjalistycznej wiedzy w zakresie kryptografii, ale zna podstawy informatyki i socjotechniki.

Źródło grafiki: http://labs.bitdefender.com/%5B/caption%5D

Nieszczęścia chodzą parami

Po zapłaceniu okupu problemy posiadacza niedawno wziętej za zakładnika maszyny się nie kończą. Przeważnie wraz z ransomware instaluje się coś jeszcze. Cryptolockerowi towarzyszy ZeuS ? niezbyt przyjemny trojan. Dzięki niemu dopiero co uwolniony zakładnik nie jest wierny swojemu właścicielowi. Trojan, który w nim działa między innymi zbiera hasła i certyfikaty oraz wyłudza dane.

Analiza prawna

Samo zaszyfrowanie podchodzi pod art. 268a Kodeksu Karnego (dalej KK), który mówi: Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. W przypadku maila raczej zaryzykowałbym podciągnięcia tego typu działania, jako oszustwo komputerowe tzn. art. 287 §1 KK. Pozostaje kwestia okupu tzn. kradzieży. Czy wedle sądu Bitcoin będzie programem komputerowym? Inaczej nie możemy mówić o kradzieży, bo rzeczą bitmoneta na pewno nie jest. Rozważania nad art. 278 KK wydają się trudne. Dużo łatwiej mówić o art. 282 KK – Kto, w celu osiągnięcia korzyści majątkowej, przemocą, groźbą zamachu na życie lub zdrowie albo gwałtownego zamachu na mienie, doprowadza inną osobę do rozporządzenia mieniem własnym lub cudzym albo do zaprzestania działalności gospodarczej, podlega karze pozbawienia wolności od roku do lat 10. Występujące tu słowo ?mienie? w ujęciu doktryny może być rozumiane szeroko tzn. może zawierać się w nim określona ilość monet kryptograficznych. Powody do takich rozważań daje nam art. 115 KK, który jedynie określa rodzaje mienia, ale ich nie definiuje. W ten sposób jeżeli przepisy KK nie zawężą pojęcia mienia w niedalekiej przyszłości to Bitcoin mógłby się wpasować w jej ramy w ocenie sądu.

Oszukać przeznaczenie

Pierwszy raz o Cryptolockerze wspomniałem 11 kwietnia 2014 roku w Olsztynie. Wtedy był to ciekawy temat, ale nie groźny. Nie przyszło mi nawet do głowy, że połączenie Cryptolockera z oszustwem (klasycznym lub komputerowym) ziści się i będzie tak skuteczne. Poważnie potraktowaliśmy jako zespół temat 19 marca 2015 roku, kiedy Bitcoinet.pl na konferencji ?Kryminalistyczne aspekty cyberprzestępczości i teleinformatyki? w ramach Ogólnopolskich Dni Nauk Sądowych w Opolu ostrzegał przed  Cryptolockerem i jego toksycznych związkach z Bitcoinem. Mimo zainteresowania studentów i doktorantów nikt więcej nie był chętny, aby prewencyjnie nagłośnić sprawę. Można więc śmiało powiedzieć ? mądry Polak po szkodzie.

Wpis powstał na podstawie prelekcji ?Nieuprawnione szyfrowanie danych w celu popełnienia czynu zabronionego? autorstwa Rafała Prabuckiego i Rafała Nagadowskiego zaprezentowanego podczas Ogólnopolskich Dni Nauk Sądowych w Opolu 19 marca 2015 roku.

Obrazek z nagłówka: Flickr (CC)