Kraftig økning i utpressingsvare

Panda har registrert en kraftig økning i virus som kaprer offerets filer og krever løsepenger.

I løpet av det siste året har flere eksperter innen IT-sikkerhet pekt på at «utpressingsvare» – «ransomware» – tegner til å bli en stadig økende plage. Utpressingsvare er virus, ormer og trojanere som brukes i utpressingsopplegg: Ofrene får sine filer kryptert eller ødelagt på andre måter, og tilbys dekrypterende kode mot å betale et beløp.

    Les også:

IT-sikkerhetsselskapet Panda Software melder at deres analyseavdeling har avdekket en 30 prosent økning i utpressingsvare i løpet av andre kvartal i år. Det har dukket opp flere nye tilfeller i det fri, og kjent utpressingsvare er blitt oppdatert og vanskeligere å knekke.

I april dukket Ransom.A opp. Den truer med å slette vilkårlige filer hver halvtime, helt til ofret betaler 10,99 dollar.

Betalingen formidles via Western Union, og skal være bortimot umulig å spore. Når utpresserne har mottatt betalingen, får ofret koden som slår av viruset og gjenoppretter de tapte filene.

I mai kom en variant som Panda har døpt Arhiveus.A. Ifølge Panda krypterer denne utpressingsvaren hele mappen «Mine dokumenter» og får det til å se ut som alt er slettet. Brukerne henvises til en russisk nettfarmasi, og får den dekrypterende koden når de har kjøpt varer der for et visst beløp.

Ifølge et annet sikkerhetsselskap, Lurhq, krypterer ikke Arhiveus (også kjent som Archiveus) filene, men slår dem sammen i én lang fil, EncryptedFiles.als, på en måte som gjør det mulig å siden gjenopprette hver fil. Kjøpskravet for å få frigjort filene er fra 75 dollar og oppover.

En kjent utpressingsvare, PGPCoder (også kalt Gpcode), er ifølge Panda kraftig oppgradert, blant annet ved å bruke kryptonøkler på opptil 660 biter, slik at det er stadig vanskeligere å dekryptere de kaprede filene på egen hånd.

I slutten av juli utga analytiker Alexander Gostev i det russiske IT-sikkerhetsselskapet Kaspersky Lab en rapport om utviklingen av ondsinnet programvare i andre kvartal. Her beskriver han kampen mot Gpcode, fra den dukket opp i januar 2006. Det var det første registrerte tilfellet der utpressingsvare brukte en avansert krypteringsalgoritme, i dette tilfellet RSA-algoritmen.

I januar holdt Gpcode seg til en 56 biters nøkkel, og krypteringen ble straks knekket av de fleste antivirusleverandørene. I juni dukket det opp en ny utgave, med en 260 biters nøkkel. Kaspersky Lab har god tilgang på kryptokompetanse, og brukte bare fem minutter på å knekke den.

Straks etter kom en ny Gpcode, med 330 biters nøkkel. Kaspersky brukte 24 timer på å knekke den, ifølge Gostev.

Det neste slaget sto 7. juni: Gpcode ble spredd til flere tusen russiske PC-er, med en 660 biters nøkkel. Den som disponerer en 2,2 GHz PC kan forvente å bruke minst 30 år på å knekke en så sterk kryptering. Kaspersky var heldig, og avdekket nøkkelen på én dag.

Gostev advarer at dersom Gpcode eller en annen utpressingsvare anvender tilsvarende lange krypteringsnøkler i tilsvarende avanserte algoritmer, er det sannsynlig at antivirusselskapene vil møte veggen.

Selv om de mobiliserer alt de har tilgang til av datakraft, vil det ta så lang tid å knekke nøkkelen at mange ofre imens vil betale utpresserne.

Kaspersky brukte også andre metoder mot Gpcode, og fikk raskt deaktivert serveren som sendte ut 660-biters varianten.

– Utpressingsvare vil utvilsomt forbli en større hodepine for antivirusbransjen, i hvert fall i overskuelig framtid, konkluderer Gostev.

Måten den mest avanserte Gpcode-varianten ble spredd på, viser at bakmennene kombinerer teknologisk innsikt med sosial manipulering. De kapret tilgangen til et populært russisk nettsted for arbeidsformidling, og besvarte alle innkommende søknader med en bekreftelse som inneholdt en trojaner.

Mange studier har det siste året bekreftet at virusmakeri er stadig mer knyttet til organisert kriminalitet. For å verne seg oppfordrer sikkerhetsselskapene til at man ikke bare bruker ajourført antivirus til enhver tid, og installerer alle sikkerhetsfikser, men også regelmessig sikkerhetskopierer alle dokumenter, databaser og e-postmeldinger.

På sin side, ifølge Gostev, må antivirusselskapene arbeide fram nye former for beskyttelse som verner brukere mot at uvedkommende krypterer deres filer.

Til toppen