• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Историческая вирусология: ранняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном

Историческая вирусология: раняя хронология программ-вымогателей - AIDS,GPcode,Arhivarius. Часть первая: или как шутка психически больного стала каноном

C6ln.gif
K6D3.gif

Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно - разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка - это вошло в историю, а о ней и поговорим.​


Предисловие
Заранее скажу, что систематизация и сбор всех данных, которые разбросаны то в английском сегменте интернета, то в русском, то в китайско-японском, была очень сложным заданием, возможно, моя версия будет слегка отличаться от того, как это было на самом деле.

Оп-оп-оп, а что это у нас здесь? А-а-а, очередная статья из цикла Историческая вирусология? Неужели, так она ведь пятая за эту неделю. Автор живой ещё писать столько?

Салют, да, живой и очень даже в здравом рассудке, и я продолжаю писать в рамках своего статейного марафона, который уже длится четвертый день, и это пятая статья по тематике вирусологии, раз это у нас уже полноценный цикл, то оставляю ссылочки на предыдущие четыре выпуска и советую их к ознакомлению:

1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm

И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.

Прежде чем начать нам нужен, по традиции, дисклеймер. Стоп, а где же он? Вот смотрю-смотрю, а нигде нет.

Ты думал, что мне не под силу то, что под силу тебе? Хм. Если уж подстраиваешь кражу, то делай это правдоподобней. (Отсылка). Вот же он:

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.


Историческая вирусология: ранняя хронология вымогателей, часть первая

Наверное, каждый в своей жизни, даже тот кто вообще никак не связан с ИБ , слышал или сталкивался с вымогателями. Как бы парадоксально не было, но о них даже говорили в новостях, правда имело это обратный эффект и приводило к ещё большему распространению.

Думаю, что объяснять ,что такое Винлокер не стоит, точнее было бы выразиться так - семейство винлокеров, ведь это отнюдь не только штука, которую вы в 2010 году генерировали с помощью программ типа win32locker.exe.

По сему - поехали. Сейчас мы не будем проводить анализ одного вредоноса, мы охватим целое семейство.

Как вы уже поняли из подраздела - это у нас ранняя хронология вымогателей. Дело все в том, что эти программы и их разнообразность, а также количество их просто дух захватывает. И если втулить в эту статью все экземпляры, их историю и хронологию распространения, то выйдет, мягко говоря, не очень.

По сему здесь мы разберем старых представителей этого семейства в период от их появления, а это 1989 год, и до начала 2010 года, когда программы подобного типа стали очень частоиспользуемыми.

Здесь не будет анализа представителей современных вымогателей, типа Пети, ВаннаКрая и тому подобных, их мы оставляем на вторую часть.

Начинаем погружение в мир с винлокерами, мир примитивной и не очень информационной безопасности. Буль-буль, все, что вы можете пускать - пузыри воздуха в кромешной тьме под водой. Резкий переход, ваше сознание уплывает, а перед глазами - картина происшествий.

Декабрь, 1989 год, Тайвань. Снова, черт возьми. Молодой ученый пишет свою диссертацию, пользуясь устройством на одной из первых винудоусов, ничего не предвещало беды.

Имя нашему сегодняшнему герою - Анос Волдигорд, несмотря на свой достаточно юный возраст, он уже преподает в местном колледже, где кстати учится молодой Де Гузман, создатель того самого легендарного червя - LoveLetter. Именно Анос отвергнет проект молодого де Гузмана, что впоследствии очень повлияет на ход истории.

Самое удивительное, что данный вымогатель не распространялся через интернет, а через обычную физическую почту, к слову, да, до сих пор существует ARPANET. Жертвам, как и нашему герою пришла посылка от некого Джона Поппа, это его реальная фамилия, не ругайте. Дискета содержала в себе информацию о СПИД’е, ну как-бы на то время актуально, так как этот биологический вирус только недавно обнаружили. А кстати рассылка происходила, используя украденные списки подписчиков на конференцию Всемирной организации здравоохранения по СПИДу и журнал PC Business World в декабре 1989 года.

Кстати, на дискете был исполняемый файл, замаскированный якобы под опрос, но это не точно, данных о нем очень мало, ведь распространения он не получил, как и денег в итоге. На диске было два файла, оба написаны на QuickBASIC 3.0. Один содержал «опрос», а другой — установщик вредоносного ПО.

И вот наш Анос, 96 дней назад получил эту дискету и , не подозревая ничего, открыл ту, без особого зазрения совести. Что произошло во время открытия?

А ничего, вот именно, что ни-че-го. В отличие от современных вредоносов такого типа, этот шифровал данные не сразу. Вместо этого он заражал диск C компьютера и захватывал файл AUTOEXEC.BAT в корневом каталоге.

AUTOEXEC.BAT — это файл запуска, использовавшийся в то время для Виндоус, ну мы видели уже его в 95-й версии. Операционная система выполняла его при каждой загрузке.

Хотя вирус не влиял на саму загрузку, вместо этого он подсчитывал количество запусков файла. После определенного количества раз (обычно 90, хотя оно может варьироваться) вредоносная программа запускалась, шифруя имена всех файлов на диске C с помощью симметричного шифрования .

После того, как файлы были зашифрованы, вымогатель запускал сообщение с требованием выкупа.

p2bYLYQ1PvBR6-_Rz0ye-aaqa5iWxzUMzerfHMQiIqn5gfjgoXIluZhAdV6R1bvX5ZCiZdR3Nv_vm9kaF8c_tmDZZPHnrUEmaI3uVvtJOu9UsUsUfIPXU51v9EH9nox01TVNKWJ18PXuI76bZA


В сообщении утверждалось, что срок аренды программного обеспечения от PC Cyborg Corporation истек, и пользователь должен заплатить за его продление. Плата составляла 189 долларов за годовую «аренду» или 378 долларов за пожизненную аренду, фактически за “аренду” своего же устройства человек должен был платить. . С поправкой на инфляцию получается примерно 400 и 800 долларов соответственно. Жертвам было приказано отправить деньги на абонентский ящик в Панаме, из-за чего… Этого практически никто и не сделал.

Но урон все таки был нанесен, тысячи людей просто уничтожали все данные на своих устройствах, дабы избавиться от вымогателя.

Также поступил и Анос, он просто стер все данные. Из-за чего потерял все свои наработки.

KDyLGjZnT63d-VX9MMvnJXrGDkDLHIpoCVVIbuvEua2dcTBq4rRk2imtxpn2oZeSbBpZH1u0Lr5GZrR7swQqWa4n0ZpC7KYccX1042RQbjQA6ZxSpICQw9n68tRTeF8ZHoCFqKBbTUTIQ8oozw


К огромному сожалению, мне не удалось раздобыть исходный код этого вируса, так как он не особо популярен и вряд-ли он сохранился к данному времени. Жаль, но и разбирать его смысла немного.

Важнее обратить внимание на то, что именно из-за него появились другие вымогатели, впоследствии нанося миллиарды долларов ущерба.

Что касается самого автора, то Джон Поппа был арестован в Нидерландах в январе 1990 года после нервного срыва в аэропорту Амстердама.

Затем Нью-Скотленд-Ярд экстрадировал его в Великобританию по обвинению в шантаже.

Однако в 1992 году суд признал Поппа психически недееспособным предстать перед судом. Очевидно, ведь он начал носить бигуди в бороде, чтобы защитить себя от радиации и «микроорганизмов», носил презерватив на носу и неоднократно надевал картонную коробку на голову. Молодец, идеальное представление, во имя избежания наказания. Премия - актер уходящего столетия заслуженно.

Сам вирус было достаточно просто удалить и сделать систему снова пригодной к использованию, в ответ на появление AIDS, сразу же выходят несколько программ, типа AIDSOUT и CLEARAID.

16 лет вперед, Москва. Анос зачем-то приехал в Россию, теплый летний вечер, наш герой возвращается с работы, садится за свой ПК с Виндоус ХР и начинает играть в пасьянс. Стоп, что-то не так.

Какая беда, печаль, горе! Пасьянс не открывается! Далее он замечает, что любые его файлы непригодны для использования: либо их нельзя открыть, либо, в случае с .txt-файлами, они содержат мусор. И это касается не только документов MS Office - затрагиваются более 80 различных типов файлов.

А на рабочем столе находится какой-то текстовый файл readme.txt, открыв его можно заметить просьбу о покупки дешифратора своих файлов, ведь они закриптованы с помощью RSA.

В основном эта атака поглотила СНГ пространство, кстати.

И все дело в том, что Анос открыл ранее вложение из этого письма:

Здравствуйте! Пишем Вам по поводу резюме, которое Вы разместили на сайте job.ru. У меня есть подходящая для вас вакансия. ADC Marketing LTD (Великобритания) открывает офис в Москве, и я ищу подходящих кандидатов. Скоро я попрошу вас прийти на собеседование в удобное для обеих сторон время. Если вы заинтересованы в моем предложении, пожалуйста, заполните прилагаемую форму, связанную с вопросами компенсации, и пришлите мне результаты по электронной почте. С уважением, Виктор Павлов, Менеджер по персоналу.

К электронному письму был прикреплен файл anketa.doc. Этот файл на самом деле содержал вредоносную программу под названием .
Когда получатель открывает вложение, вредоносный макрос устанавливает на машину жертвы другого троянца — Затем этот троянец загружал Gpcode с [skip].msk.ru/services.txt и устанавливал его на машину жертвы.
Затем Gpcode сканирует все доступные каталоги и шифрует файлы с определенными расширениями, такими как .txt, .xls, .rar, .doc, .html, .pdf и т. д.
Примерно через месяц происходит его “эволюция” и выходит около трех версий за 5 дней .В каждом варианте использовался более длинный ключ шифрования: первый вариант, Gpcode.ae, имел 260-битный ключ RSA, а Gpcode.af уже имел 330-битный ключ. Чем длиннее ключ, тем сложнее антивирусным компаниям взломать алгоритм шифрования соответственно. А на то время это занимало от 10 часов работы.

Где-то в конце июля 2007 года выходит Gpcode.ag с 660-битным ключом. На момент распространения самый длинный факторизованный ключ на сайте RSA составляет 640 бит.
Даже на компьютере с процессором 2,2 ГГц, что на то время было много, на взлом такого ключа ушло бы лет 40, но каким-то образом все таки удалось и его расшифровать, хотя они до сих пор прикрываются коммерческой тайной. Кстати, работой над дезактивацией этого вируса занималась Лаборатория Касперского.

Ну и на этом этот вирус свое отжил, переходим к следующему.

Год спустя. После инцидента с ГПкод наш Анос решил переехать, возможно, он поступил правильно, но это никак не помогло ему уберечься от следующей напасти. Подобно магниту он собирал все существующие вирусы-вымогатели на свой ПК.
Знакомьтесь, это Архивариус.

tJdGxdscLJRJhtM835dcvqh75wlLGjAqxOUBAWaV5SF_2qvgMOzJWUTnJf-CwMVs4y4bwu2lGTrhmYdodsgABTUpAZmg25hHYxy5El7p5iJLcaZVX8OzGqEhe7zQO7GZomJlOBNsSygfZtrc0Q


Стоп, стоп-стоп. Не он. Короче это ещё одна программа вымогатель, а это была отсылка на что-то, на что - думайте.
Данный вредонос распространялся уже более привычным путем, хотя это было ещё не привычное заражение винлокером через какой-то чит из сайта типа ЧИИТТЫЫЫДЛЯКССССС1.666.КОМ.Ин.юа.ру.кз, но и не дискета с локером.

Итак, создатель неизвестен, но алгоритм распространения достаточно прост.
Господин Архивариус распространялся через вредоносные ссылки на веб-сайты из спам-писем. В этом очень много неточностей, поэтому так размыто излагаю.
В сообщениях зачастую говорилось о каких-то купонах, скидках или обновлении программного обеспечения, если сейчас для нас это кажется банальным и простым, то в то время были люди, готовые следовать указаниям из письма. Хотя после эпидемии МайДум, таких стало меньше.

Зловред в основном поражал системы на базе Виндоус, но некоторые, цитируя легендарное видео, “линуксоиды” пострадали тоже, ведь были модификации, которые работали на архитектуре их системы. Поэтому в начале 2006 года это вызвало массовую эпидемию вот таких вот пользователей:


Ну не могу я не вставить это сюда. Хихихи.
И вот наш Анос получает спам-письмо , якобы вышла новая версия виндоус, он на радостях решает быстренько обновиться, переходит по ссылке, качает программку и открывает ту. Что же происходит в этот момент на устройстве?
Вирус сканировал папку «Документы» на наличие файлов с определенными расширениями, такими как: .key, .zip, .pdf, .txt и .xls.
Затем зловред копировал и блокировал файлы в зашифрованной, защищенной паролем папке, удаляя оригиналы и оставляя текстовый файл с пометкой «как вернуть ваши файлы.txt», который запускался каждый раз , когда Анос пытался открыть свою диссертацию. Кстати, почему я считаю Архивариуса старшим братом прошлого локера, так это потому, что они действуют похожими методами, и тот, и другой проводит шифрование посредством RSA, правда здесь уже ключ был намного больше.
После нескольких минут паники и желании сделать со своего ПК фарш, наш герой решает почитать оставленное письмо вредителем.
В сообщении жертвам сообщалось, что их файлы были зашифрованы и доступ к ним можно было получить только с помощью “длинного пароля” из более 30 символов, что отпугивало жертв от попыток угадать его.
Вместо этого жертвам было предложено отправить электронное письмо на адрес restore@safemail.net или restoringfiles@yahoo.com для получения дальнейших инструкций. Когда они это делали, злоумышленники предлагали жертвам совершать покупки в нескольких интернет-магазинах. Неясно, владели ли злоумышленники интернет-магазинами или жертвы должны были отправлять злоумышленникам купленные товары. После совершения покупок злоумышленник отправлял пароль по электронной почте.
В прошлом я уже упоминал хаотическое RSA шифрование, так вот хотелось бы уточнить, почему же так сложно подобрать пароль.
При асимметричном шифровании при создании вредоносного ПО злоумышленник генерирует открытый ключ и встраивает его в программу-вымогатель.

Screenshot_5.png


Как только зловред получит доступ к устройству, она шифрует файлы жертвы, используя случайно сгенерированный закрытый ключ.
Да, наличие двух ключей, емае. Как же много слова ключ, ключ, ключ.. Ладно.
Программа-вымогатель зашифрует этот код с помощью открытого ключа.
Злоумышленник может использовать открытый ключ для расшифровки случайно сгенерированного ключа и, таким образом, расшифровать файлы, гарантируя, что тот же ключ нельзя будет использовать в случае повторной атаки на жертву. Это также означает, что кто-то не может просто перепроектировать ключ из кода шифрования.
Ключи RSA, в частности, трудно взломать, потому что они используют алгоритм RSA для генерации обоих ключей. Алгоритм основан на двух случайно сгенерированных простых числах.
Прошу простить, но иными словами это не объяснить. :D

Вот Архивариус и ГПкод внесли что-то новое в сегмент развития вымогателей, ведь это был огромный шаг вперед по сравнению с тем же AIDS, в котором любой школьник мог взломать симметричное шифрование и файлы могли быть довольно легко расшифрованы без необходимости платить выкуп. Может по сему Джон Поппа не получил ни единой выплаты, а после и сошел с ума.
Но “гениальный” план разработчика этого вируса потерпел крах из-за банальной лени, кстати, гениальным я бы его действительно хочу назвать, революция в подходе и реализации все таки.
В то время ГПкод продолжал активно наращивать обороты, хотя его ключ было подобрать проще, но с каждым днем появлялись новые и новые версии.

Архивариус потерпел крах через месяц после выпуска в сеть, а причиной стало то, что на всех версиях использовался один и тот же пароль - 38-символьная комбинация клавиш «mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw». Как только этот пароль стал широко распространяться, вредоносное ПО потеряло большую часть своей удерживающей способности и на этом все закончилось для него. Фатально.

Тем не менее, имея более совершенные методы шифрования, он подсказал в какую степь вредоносным-вымогателям нужно двигаться.

Ну что же.. Далее хронология уже заходит за рамки периода, который был выбран для этой статьи, как по мне, достаточно интересно вышло, даже для меня, писавшего этот бред сумашедшего. Двигаемся к итогам, господа.

Итоги

Ну что же. Сегодня мы не разбирали детально работу, устройство, и не устроили практические тесты всех этих вирусняков, хотя их распространения нельзя назвать глобальным - они внесли огромный вклад в последующее развитие.
Все эти зловреды изменили ход истории, а ведь в рамках цикла мы то и делаем, что рассматриваем ключевые события в вирусологии прошлого. Их место здесь вполне заслужено.
Передовые методы шифрования на то время, в том числе асимметричное шифрование, неизменно остануться в этом типе вредоносов, и они окажутся проблематичными как для жертв, так и для фирм, производящих антивирусное ПО, поскольку подвергают безопасность данных большему риску.
Думаете эта шишка как-то отразилась на развитии и они усвоили урок? Не совсем, маловато оказалось. Ведь именно мы, находясь в современности, можем судить. Объективно? Покажет время, рассудим тогда, когда окажемся в прошлом.

Рассмотрев 22 года существования и работы вымогателей в хронологическом порядке, на следующую статью мы оставляем 10. Но каких десять? Ой-й, каких насыщенных. И я думаю, что это выйдет отнюдь не на две части. А тем и лучше.
С вами был, как всегда, какой-то парень под ником DeathDay, а мы с вами неизменно движемся к современности, рано или поздно мы её настигнем. Или все таки никогда? Ведь мгновение, называемое “сейчас” - это одновременно прошлое, будущее и настоящее. А каждое настоящее превращается в историю, к слову как раз о истории и этот цикл, только не о мгновении, а о былом прогрессе. Историческая вирусология.

Не прощаюсь, мира всем.

1989, 2005, 2006. AIDS/GPcode/Arhivarius​
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!