«Snatch Ransomware: Ο εχθρός των Windows, που κρυπτογραφεί δεδομένα χρήστη χρησιμοποιώντας την δυνατότητα ασφαλούς λειτουργίας (Safe Mode)»

Από τον Γεώργιο Χαριστό,

Θυμηθείτε πόσες φορές έχουμε ακούσει ή έχουμε πέσει και οι ίδιοι θύματα κρυπτογράφησης δεδομένων στον ηλεκτρονικό υπολογιστή. Ένας άνθρωπος που δεν τον γνωρίζουμε και δεν μας γνωρίζει, κρυπτογραφεί τα δεδομένα του χρήστη, απαγορεύει την οποιαδήποτε ενέργεια με τα δεδομένα (άνοιγμα, αντιγραφή, επικόλληση, διαγραφή) και το “κλειδί” με το οποίο θα αφαιρέσουμε την κρυπτογράφηση τους, το κρατάει μέχρι να του πληρώσουμε τα λύτρα.

Εκεί που έχει γίνει καθημερινή ρουτίνα η κίνηση, ανοίγω ηλεκτρονικό υπολογιστή και διαχειρίζομαι τα δεδομένα και έγγραφα που υπάρχουν αποθηκευμένα στον χώρο αποθήκευσης, μία ημέρα ανοίγεις τον ηλεκτρονικό υπολογιστή και αντικρίζεις ένα παράθυρο με ένα μήνυμα του τύπου, «Κρυπτογραφήσαμε τα δεδομένα σας και πλέον δεν είναι προσβάσιμα για χρήση. Πληρώστε το τάδε ποσό (σε ψηφιακό νόμισμα συνήθως bitcoin) και μετά θα σας δώσουμε το κλειδί για να ξεκλειδώσετε την κρυπτογράφηση και να μπορέσετε να τα ξαναχρησιμοποιήσετε».

Κατευθείαν, μας πιάνει πανικός και λέμε τώρα τι κάνουμε ή σε άλλες περιπτώσεις λέμε εντάξει μωρέ τρελάθηκε και βγάζει λάθος μηνύματα. Μόλις όμως καταλάβουμε ότι δεν μπορούμε να εκτελέσουμε καμία ενέργεια στα δεδομένα, καταφεύγουμε στο διαδίκτυο ή σε κάποιον ειδικό και προσπαθούμε να βρούμε λύση για την απομάκρυνση του κακόβουλου λογισμικού.

 

Tι είναι το Snatch Ransomware και γιατί πρέπει να γνωρίζουμε την ύπαρξη του;  

Το Snatch Ransomware, εμφανίστηκε τα τέλη του 2018, ωστόσο έγινε αντιληπτό τον Απρίλιο του 2019 από τον Michael Gillepsie, όταν του δόθηκαν δείγματα κρυπτογραφημένων αρχείων και σημειωμάτων για λύτρα, για ανάλυση. Ο Michael Gillepsie, είναι επιστήμονας και ερευνητής τεχνικών ransomware και βασική του ενασχόληση είναι η δημιουργία δωρεάν εργαλείων αποκρυπτογράφησης των δεδομένων των ανθρώπων που έχουν πέσει θύματα.

Σημαντική σημείωση, είναι η δημιουργία της υπηρεσίας ID Ransomware, η οποία ανιχνεύει τον τύπο του ransomware που έχει μολύνει το σύστημα του θύματος. Σύμφωνα με σχετικά άρθρα και έρευνες, το συγκεκριμένο ransomware δεν στοχεύει οικιακούς χρήστες, στοχεύει συγκεκριμένα άτομα/εταιρείες ή δημόσιους/κυβερνητικούς οργανισμούς.

Ένα οποιοδήποτε τύπου Ransomware μεταδίδεται μέσω :

  • Emails που έχουν περίεργα και άγνωστα συνημμένα αρχεία
  • Μη έμπιστες ιστοσελίδες κατεβάσματος εφαρμογών και αρχείων
  • Ψεύτικες αναβαθμίσεις συστημάτων
  • Trojans που υπόσχονται κάτι καλόβουλο και τελικά έχουν άλλο στόχο κυρίως κακόβουλο

Όλα τα παραπάνω βρίσκουν ευπάθειες στο λειτουργικό σύστημα που υπάρχει εγκατεστημένο ή σε κάποια συγκεκριμένη εφαρμογή, έτσι ώστε να διεισδύσει εσωτερικά του και να έχει πρόσβαση σε αρχεία και εντολές. Το Snatch Ransomware, σύμφωνα με έρευνες και μελέτες μπορεί να επηρεάσει μόνο λειτουργικά συστήματα Windows και συγκεκριμένα τις πιο διαδεδομένες εκδόσεις (έκδοση 7 και 10)  με δυνατότητα τόσο 32 όσο και 64 bits. Ωστόσο οι επιστήμονες πιστεύουν ότι η συγκεκριμένη απειλή μπορεί να επηρεάσει και παλαιότερες εκδόσεις των Windows. Οι έρευνες έδειξαν ότι οι επιθέσεις είχαν διάρκεια και δεν κρυπτογραφούσαν απευθείας τα δεδομένα των χρηστών. Συγκεκριμένα, οι έρευνες έδειξαν ότι από την στιγμή που υπήρξε επίθεση και διείσδυση στο σύστημα ενός χρήστη, προσπαθούσαν με διάφορες απλές τεχνικές και εργαλεία, που δεν εντοπίζονταν από τα περισσότερα antivirus, να εισχωρήσουν πιο εσωτερικά του δικτύου και των υπόλοιπων χρηστών.

Με αυτό τον τρόπο, υπήρχε καλύτερη ανάλυση των θυμάτων, έτσι ώστε να «τσιμπήσουν» και να κρυπτογραφήσουν τα δεδομένα τα οποία για τους ίδιους και τα θύματα, ήταν τα πιο σημαντικά. Επίσης, σε έρευνες που έχουν γίνει σε τέτοια συμβάντα, έχει παρατηρηθεί σε μερικές περιπτώσεις οι χάκερς να κλέβουν τα δεδομένα των χρηστών, οπότε σε πιθανή πληρωμή των λύτρων, ενώ νομίζουν ότι ξεμπερδέψαν και ότι τα δεδομένα τους αποκρυπτογραφήθηκαν, να υπάρχει η πιθανότητα τα δεδομένα να διαρρεύσουν ή να πουληθούν (αν πρόκειται για δεδομένα που επηρεάζουν αρνητικά ή καταστρέφουν την εταιρεία/οργανισμό/κυβέρνηση).

 

Μορφές του Snatch Ransomware

To Snatch Ransomware, εμφανίζει τακτικά καινούργιες εκδόσεις με νέες τακτικές επίθεσης και χαρακτηριστικά. Έχουν βρεθεί τρείς διαφορετικές εκδόσεις του Snatch Ransomware μέχρι σήμερα ενώ δεν έχουν αναφερθεί πολλά περιστατικά παραβίασης με την συγκεκριμένη επίθεση λόγω της απαίτησης χρόνου παρατήρησης και επίθεσης, ωστόσο φαίνεται ότι οι χάκερς ψάχνουν νέους τρόπους και τακτικές έτσι ώστε να παροπλίσουν την επίθεση και να είναι πιο επιτυχημένη και αποτελεσματική.

Αρχικά, το Snatch Ransomware εμφανίστηκε με την μορφή ενός κλασικού τύπου ransomware, με ένα μήνυμα κειμένου και κρυπτογράφηση των αρχείων του χρήστη. Όλα τα αρχεία του χρήστη μετά την κρυπτογράφηση είχαν την κατάληξη .snatch και ένα μήνυμα κειμένου με την ονομασία “|Readme_Restore_Files.txt” όπως φαίνεται στην παρακάτω εικόνα :

Η δεύτερη μορφή του Snatch Ransomware, κρυπτογραφούσε τα αρχεία του χρήστη με διαφορετική κατάληξη και συγκεκριμένα .wvtr0 και με διαφορετικό μήνυμα ενημέρωσης προς τον χρήστη ότι έπεσε θύμα της συγκεκριμένης επίθεσης, όπως φαίνεται στην παρακάτω εικόνα :

H ενημερωμένη έκδοση του συγκεκριμένου ransomware, εμφάνιζε στην οθόνη διαχείρισης εργασιών (δεξί κλικ στην γραμμή εργασιών και την επιλέγουμε από εκεί ή πάτημα των πλήκτρων Ctrl+Alt+Delete και επιλογή στην έναρξη διαχείρισης εργασιών), μία διεργασία με την ονομασία “wvtr0x64.exe”, αν πρόκειται για σύστημα έκδοσης 64 bits και ενδείξεις ότι χρησιμοποιείται σε μεγάλο βαθμό ο χώρος αποθήκευσης.

Η τρίτη και πιο πρόσφατη έκδοση του Snatch Ransomware, εμφάνισε έναν καινούργιο τρόπο επίθεσης, ο οποίος προσπαθεί να προσπεράσει antivirus και μοτίβα γνωστών επιθέσεων με τρόπο που θέτει το σύστημα σε ασφαλή λειτουργία. Tι σημαίνει αυτό; Το λειτουργικό σύστημα Windows έχει την δυνατότητα ασφαλούς λειτουργίας (Safe Mode), όπου υπάρχουν περιορισμένες δυνατότητες και εφαρμογές που εκτελούνται. Για να γίνει πιο κατανοητό, αν υπάρχει εγκατεστημένο antivirus, στην ασφαλής λειτουργία δεν θα εκτελεστεί, οπότε δεν θα γίνονται έλεγχοι για κακόβουλο λογισμικό και απειλές.

Τα βήματα που εκτελεί το Snatch Ransomware είναι :

  • Θέτει τον εαυτό του ως διεργασία, η οποία θα εκτελεστεί σε ασφαλή λειτουργία
  • Κάνει επανεκκίνηση το λειτουργικό σύστημα
  • Ενεργοποιεί την ασφαλή λειτουργία (Safe Mode)
  • Κάνει αυτό για το οποίο δημιουργήθηκε, κρυπτογραφεί τα δεδομένα του χρήστη

Είτε είστε εταιρεία, οργανισμός, κυβέρνηση ή ακόμα και απλός οικιακός χρήστης, η καλύτερη πρακτική κατά την γνώμη μου είναι να κρατάτε αντίγραφα των δεδομένων σας σε διαφορετικά μέσα αποθήκευσης, έτσι ώστε σε πιθανή επίθεση από χάκερ, να έχετε μία μικρή ανακούφιση ότι δεν πρόκειται να χαθεί κάτι. Ειδικά αν μιλάμε για κρίσιμα δεδομένα, πρέπει να φυλάσσονται σε σημεία που δεν έχει πρόσβαση ο καθένας χρήστης του συστήματος, όπως επίσης και τεχνικές ασφαλείας διαχείρισης των δεδομένων και συστήματα αναγνώρισης απειλών.

2019-12-21T19:27:30+00:00