Przejdź na skróty do treści. | Przejdź do nawigacji

Zapamiętaj mnie Przypomnij hasło Rejestracja
Wersja mobilna
Newsletter
Zgłoś uwagę
RSS

Bezpieczeństwo

rozwiń
Strona główna Bezpieczeństwo Artykuły Płać lub płacz, bo nigdy nie zobaczysz swojego systemu

Przestępstwo w Windows

Płać lub płacz, bo nigdy nie zobaczysz swojego systemu

Wymuszenia, kradzieże danych, szantaże – to atmosfera, w której ekipa dochodzeniowa CHIP-a czuje się jak ryba w wodzie. Tym razem wpadliśmy na trop niezwykle niebezpiecznego konia trojańskiego, który już wkrótce może zaatakować także twój komputer. W artykule pokazujemy, jak sobie radzić w takiej sytuacji.

Warszawa, 13:00 czasu miejscowego, redakcja CHIP-a. Za oknem jesienny deszczowy dzień. Dzwoni telefon. W słuchawce zdenerwowany męski głos. To Janusz K. skarży się, że nieznany szantażysta zaszyfrował mu partycję systemową Windows:

– Nie wiem, co robić. Na dysku mam wszystkie kontakty firmowe. Jak uruchomiłem rano komputer, zobaczyłem ekran logowania po rosyjsku. Nie za bardzo rozumiem, ale chyba chodzi o to, że mam wysłać SMS-a pod wskazany numer. Wtedy przyślą mi kod do odszyfrowania. A jak nie, to to coś wykasuje mi dane na amen. Co mam robić?

– Po pierwsze nie panikować – odpowiada jeden z naszych redakcyjnych kolegów. – Po drugie nie dotykać komputera, podać swój adres i czekać. Po trzecie zgodzić się na opisanie całej sprawy w CHIP-ie – to cena naszej wizyty. – Zgodził się. A więc przed nami nowe zadanie.

Czy, wyjeżdżając w ten dżdżysty dzień w teren, byliśmy przekonani, że nam się powiedzie? Prawdę mówiąc, nie do końca. Wiedzieliśmy tylko, że czeka nas prawdziwe wyzwanie: wirus albo trojan zaszyfrował dysk. Trzeba ten kod złamać, odzyskać dane, usunąć szkodnika, a na koniec upewnić się, że komputer Janusza będzie odporny na kolejne ataki. Ale – jak to mówią – no risk no fun. A więc w drogę!

Wizja lokalna: To szantaż!

Warszawa, 13:30 czasu miejscowego, docieramy na miejsce przestępstwa – niewielkie biuro kserograficzne na Powiślu, gdzie stoi zainfekowana maszyna. Właściciel Janusz K. miota się przy komputerze. Włączamy go i zamiast ekranu powitalnego Windows widzimy komunikat w języku rosyjskim. Na szczęście jeden z nas zna jako tako cyrylicę. Tekst na monitorze brzmi: „Płać lub płacz, bo nigdy nie zobaczysz swojego systemu!”. Ponadto znajdują się tam informacje, jak postępować, aby otrzymać kod odblokowujący. Sprawa jest jasna – to szantaż.

Żarty się skończyły! Dzwonimy do zaprzyjaźnionego z redakcją specjalisty. Igor Daniłow, znany lepiej jako Dr. Web, po zapoznaniu się ze sprawą stwierdza, że to prawdopodobnie Trojan.Winlock.20 – zupełnie nowy rodzaj konia trojańskiego. Szkodnik ma tylko jeden cel: wymuszenie okupu. Na szczęście Dr. Web nie pierwszy raz spotyka się z takim przypadkiem.
– Do tej pory „dwudziestka” szalała głównie u Ruskich, ale widać do Polski miała niedaleko – śmieje się i wyjaśnia, co należy zrobić, żeby odblokować peceta.

Idziemy za radą Igora i na stronie news.drweb.com wypełniamy formularz, w którym podajemy numer, pod jaki mieliśmy wysłać SMS do szantażysty. Jakieś 3 minuty później bezpłatnie otrzymujemy kod, który odblokowuje system i partycję. Janusz K. odczuwa wyraźną ulgę. Jednak to nie znaczy, że zażegnaliśmy niebezpieczeństwo – trojan wciąż jest na dysku. Dzięki nieocenionej pomocy Dr. Weba i ten problem udaje się nam szybko rozwiązać.

Zainfekowany komputer działał pod kontrolą systemu Windows XP Home PL. Uruchamiamy Wiersz polecenia, wybierając »Start | Uruchom«, i wpisujemy »reg-edit«. W edytorze Rejestru przechodzimy do gałęzi »HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer«, gdzie tworzymy nowy klucz typu »Wartość DWORD« o nazwie »NoControlPanel« i ustawiamy jego wartość na »1«. Ponownie uruchamiamy komputer. W trakcie restartu wciskamy [F8] i wybieramy tryb awaryjny. Znów otwieramy Rejestr – zgodnie z informacjami, jakie otrzymaliśmy od Dr. Weba, wirus utworzył w nim nowy klucz, który musimy usunąć ręcznie. Przechodzimy do gałęzi »HKEY__LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\”Userinit”« i kasujemy wszystkie wpisy typu »%Temp%\don[*].tmp«, gdzie etykieta [*] oznacza dowolny łańcuch znakowy. Na koniec uruchamiamy Windows w normalnym trybie. Trojan na dobre zniknął z komputera Janusza K., ale to jeszcze nie koniec naszego zadania.

Śledztwo: Jak zainfekowano peceta

Szkodniki, które znajdujemy na naszych dyskach, z reguły pochodzą z zainfekowanych stron w Sieci albo pobranych plików. Spytaliśmy Janusza, czy odwiedzał witryny ze scrakowanymi programami, np. www.cracks.am, lub używał aplikacji typu Azerus. Zaprzeczył. Nie odwiedzał także niebezpiecznych stron ani nie pobierał plików z Sieci. Twierdził również, że ma zainstalowanego antywirusa, firewalla, a system operacyjny jest na bieżąco aktualizowany.

Postanowiliśmy zweryfikować te informacje za pomocą aplikacji BTF Sniffer, która może być uruchamiana wprost z pamięci flash. Aby otrzymać jak najbardziej jasny obraz działalności Janusza na pececie, aktywowaliśmy najbardziej dokładne wyszukiwanie i nakazaliśmy programowi sporządzenie raportu w pliku tekstowym. Po chwili mieliśmy już przed oczami szczegółowe zestawienie: jakie pliki były otwierane, jakie zmieniane, jakie aplikacje były instalowane i które strony w Sieci odwiedził Janusz.

Gość IP: 83.1.54.* 2009.11.30 15:36
Nie Chce takiego wira jeszcze mi z fona 100zl wezmie ;]
Gość IP: 95.158.98.* 2009.11.30 16:17
całej historii by nie było gdyby nie windows. dziękujemy microsoftowi że dostarcza nam takich wrażeń :)
Neon1992
Neon1992 2009.11.30 16:37
Trzeba przyznać ciekawa historia, wciągnęła mnie, serio ;)
Gość IP: 68.195.249.* 2009.11.30 16:39
Przeciez to nie microsoft pisze trojany, za co im dziekujesz?
Sewer
Sewer 2009.11.30 16:50
Ani bym nie płacił ani by nie ryczał jak by mi się coś takiego przytrafiło.
isia
isia 2009.11.30 16:51
Można się poczuć jak w filmie:)
piotreker
piotreker 2009.11.30 17:07
Brawo Panowie z Chip. Dobra robota.
Jakby powiedział porucznik Columbo - najważniejsze są szczegóły.
Gość IP: 82.146.245.* 2009.11.30 18:19
Dziwię się, dlaczego ten Pan nie ma kopii bezpieczeństwa strategicznych danych dla firmy. Nawet o tym nie wspomnieliście! Największy błąd jaki można sobie wyobrazić. Co by było gdyby był to wirus czyszczący dyski !? To dopiero by była strata.
Gość IP: 193.33.125.* 2009.11.30 18:39
Nie ma się co bać bo ten trojan nie działa na L:inuksie ani Mac OS X.
adrian_28
adrian_28 2009.11.30 19:45
Najsłabszym elementem znów był człowiek, nie system; i to wewnatrz firmy.
Gość IP: 193.24.14.* 2009.11.30 20:11
wyjęcie baterii, clear cmos czy hasła audytowe biosu pozwolą każdemu na odpalenie kompa.....
Gość IP: 193.24.14.* 2009.11.30 20:13
co do szyfrowania dysku - niestety rozwiazania programowe mocno obciazaja procesor a przedewszystkim dysk...i niestety podczas padu dysku mozemy sie z danymi pozegnac nawet mając dysk ratunkowy
Gość IP: 212.51.205.* 2009.12.01 11:59
Dlaczego mam wrażenie, że ten artykuł to reklama Dr. Weba? :]

Zaszyfrowanie partycji nie jest takie proste i nie trwa parę sekund więc nie przejmował bym się takim komunikatem o zaszyfrowaniu na dzień dobry. Wystarczy odpalić ERD Commandera (do XP) i wywalić śmieci, które podmieniły nasz ulubione okienku logowania lub nie.
Gość IP: 79.97.83.* 2009.12.01 12:39
Byloby lepiej gdybyscie podali bezposredni link do tego formularza by moc otrzymac taki kod odblokowujacy.
Gość IP: 195.242.183.* 2009.12.01 12:58
Historia rzeczywiście bardzo ciekawa, szczególnie część o poszukiwaniu dowodów, zbyt często nie spotyka się opisów takich aplikacji. Tylko te hasło na BIOS jakoś nie wydaje się zbyt dobrym zabezpieczeniem (hasła standardowe BIOSów), oczywiście jest lepsze niż jego brak. Mam nadzieję, że zaktualizujecie, jak coś się wyjaśni w tej sprawie przed sądem.
piotrek1375
piotrek1375 2009.12.01 18:58
I TO JEST KOLEJNY PRZYKŁAD ŻE LEPSZY JEST MAK TAM CO TAKIEGO NAPEWNO SIE NIE ZDARZY
Lucas83
Lucas83 2009.12.01 19:07
Już to widzę, szczególnie jak na dysku byłby dane, których utrata kosztowałaby parę (parenaście, dziesiąt lub set) tysięcy zł
adek915
adek915 2009.12.01 20:08
obudowy są zwykle zamknięte, a raczej nikt nie będzie ze śrubokrętem latał, więc hasło na BIOS to jako takie zabezpieczenie, no ale hasła uniwersalne (WTF? skąd to się w ogóle wzięło, uniwersalny pass...)
lepiej dodać hasło dodatkowo do boot managera (przynajmniej pod GRUB'em jest), no ale Windows ma jednak swoje zalety oprócz DX, kryminalne zagadki luk, no ale ten elastyczny system w końcu upadnie, brakuje jeszcze jednego kamienia milowego, DirectX, bo nakładki graficzne mają dużo ładniejsze okienka od Okien, jest stabilniejszy (samo jądro jest nie do zawieszenia, ale nakładki graficzne czy inne rzeczy tego typu mogą zawiesić system, ale tryb tekstowy i tak działa ;P, ale to i tak dosłownie 100-200 razy rzadziej niż XP czy Vista), szybszy, stabilniejszy, admin (root właściwie), to rzeczywiście admin, nawet jądro usuniesz, a ograniczony to rzeczywiście ograniczony UAC, to taka tandetna podróbka tego co w np.: Ubuntu jest standardem, ale gdyby nie zacofany system to byśmy nie mieli tak dramatycznych sytuacji i dawki adrenaliny ;P
Gość IP: 89.72.83.* 2009.12.01 21:44
Ok, tez nie znam cyrylicy dobrze, ale gdzie ten ekspert wyczytal „Płać lub płacz, bo nigdy nie zobaczysz swojego systemu!”?? Teraz wiem, ze naprawde nie znam tego jezyka :D :D :D
piotrrz
piotrrz 2009.12.01 23:30
Na szczęście da się odzyskać pliki - gorzej by było, gdyby były one szyfrowane tak, że naprawdę byłyby nie do odzyskania w krótkim czasie...
AUTOR: edward krzywy
DODANO: 30.11.2009
LICZBA WYŚWIETLEŃ: 14693


Co:
Gdzie:
Kraj:
praca IT Polska njobs IT praca
vacatures IT Netherlands njobs IT vacatures
arbeit IT Deutschland njobs IT arbeit
work IT United Kingdom njobs IT jobs
Lavoro IT Italia njobs IT lavoro
Emploi IT France njobs IT emploi
trabajo IT Espana njobs IT trabajo

CENEO Kup Najtaniej
Tumax DSL983AFZ Nikon Tumax DSL983AFZ Nikon
Dostępny w 1 sklepach
Sprawdź CENY tego produktu
Asus X550Cc-Xo164 Asus X550Cc-Xo164
Dostępny w 1 sklepach
Sprawdź CENY tego produktu
Remington NE 3350 Duo Remington NE 3350 Duo
Dostępny w 26 sklepach
Sprawdź CENY tego produktu
Siemens SN 66L081EU Siemens SN 66L081EU
Dostępny w 51 sklepach
Sprawdź CENY tego produktu
Delta Optical Mikroskop BioLight Delta Optical Mikroskop BioLight
Dostępny w 2 sklepach
Sprawdź CENY tego produktu