O hakerskom napadu na Novi Sad (+rešenje)
Ako ste pratili vesti ovih dana sigurno ste pročitali, ili čuli, da je informacioni sistem grada Novog Sada hakovan, tj. zaražen kriptomalverom (Ransomware).
Ako niste upućeni, evo nekoliko bitnih detalja:
- U ponedeljak 2. marta hakerski napad prijavljen je policiji i odeljenju za visokotehnološki kriminal
- Hakeri su enkriptovali podatke (i bekape) nekoliko IT sistema Novog Sada
- Poverenik pokrenuo nadzor nad „Informatikom“ zbog sumnje da su u hakerskom napadu bili ugroženi podaci građana
- Za ključ hakeri su tražili 50, a potom 20, bitkoina
- JKP „Informatika“ je objavila informaciju da je hakovano oko 2.000 računara i 120 servera
- Novi Sad je odbio da plati hakerima i time ostao bez podataka
- Svi izgubljeni podaci se ručno vraćaju sa papira u računare
- Prema rečima Vučevića Novi Sad će se nedeljama oporavljati od ovog napada
Sva dešavanja o ovom hakerskom napadu ispratio je portal 021.rs – link 1, link 2, link 3, link 4, link 5, link 6.
Kakav je to malver?
Radi se o tzv. kriptomalveru „PwndLocker“ koji je u poslednje vreme sve češći i napada uglavnom gradove.
Kao i svaki drugi malver ove vrste tako i ovaj enkriptuje fajlove u računaru ali i u računarima na istoj mreži. Zatim se pojavi poruka sa instrukcijama za uplatu određenog broja bitkoina.
Kada žrtva plati tu sumu novca dobija ključ kojim otključava sve fajlove i sve se vraća u normalu. Ako žrtva ne plati u predviđenom roku onda se ključ briše i više nikada ne može vratiti fajlove.
Da li vam je sve to poznato? Verovatno ste se setili WannaCry virusa o kojem sam pisao ranije. Ovaj virus radi na isti način samo koristi drugi algoritam za enkripciju.
Srećom po nas svaki kriptomalver se kad-tad krekuje, a obično se to desi u roku od nekoliko dana ili meseci (u zavisnosti od rasprostranjenosti).
Rešenje
Dobra vest za grad Novi Sad, a i druge žrtve ovog virusa, je što postoji rešenje za pwndlocker.
Kako prenosi Bleeping Comuter firma Emsisoft je pronašla način da dekriptuje pwndlocker.
Fabian Wosar, koji radi u Emsisoft, pronašao je ranjivost u ovom virusu pomoću koje može da dekriptuje fajlove bez plaćanja. Ipak, da bi to uspeo potreban mu je .exe fajl virusa.
Problem je što svaki virus ove vrste nakon završene „operacije“ briše svoj .exe fajl kako bi zaštitio svoj kod.
Ali, žrtva može pronaći kopiju tog .exe fajla pomoću programa „Shadow Explorer„. Potrebno je preko programa proveriti foldere „%Temp%„, „C:\User “ foldere i „%Appdata%„. U nekom od tih se uglavnom nalazi .exe fajl malvera.
Potom žrtva treba da pošalje taj fajl na analizu firmi Emsisoft i sačeka odgovor.
Žrtva može probati i preko njihovog servisa za otključavanje Ransom fajlova na OVOM linku. U tom slučaju potrebno je dostaviti poruku koju je haker napisao, jedan enkriptovan fajl (max. 8mb) i svoj email za dalju komunikaciju.
Emsisoft će pokušati da pronađe ključ za otključavanje fajlova i poslaće na navedeni mejl.
Na istom linku na dnu se nalazi spisak ransom virusa koje Emisoft može da krekuje, a među njima je upravo i pwndlocker.
Da li Emsisoft naplaćuje uslugu otkrivanja ključa?