Sažetak diplomskog rada - Ruđer Bošković Institute



TEHNI?KO VELEU?ILI?TE U ZAGREBUPOLITEHNI?KI SPECIJALISTI?KI DIPLOMSKI STRU?NI STUDIJSpecijalizacija informatikaMarin RakSTUDIJA SLU?AJA RANSOMWARE NAPADA NA POSLOVNI INFORMATI?KI SUSTAVDIPLOMSKI RAD br. Zagreb, sije?anj 2016.TEHNI?KO VELEU?ILI?TE U ZAGREBUPOLITEHNI?KI SPECIJALISTI?KI DIPLOMSKI STRU?NI STUDIJSpecijalizacija informatikaMarin RakJMBAG: 0035136483STUDIJA SLU?AJA RANSOMWARE NAPADA NA POSLOVNI INFORMATI?KI SUSTAV DIPLOMSKI RAD br. Povjerenstvo:Marinko ?agar, mr. sc._______________ _______________ _______________Zagreb, sije?anj 2016.Original / kopija papir od diplomskog zadatkaPrazna stranica – ovo se bri?eSa?etak diplomskog radaTema ovog rada je studija slu?aja napada kripto ransomware malicioznog softvera na poslovni informati?ki sustav. Rad je podijeljen na dvije cjeline od kojih se prva bavi op?enitom prijetnjom kripto ransomware i drugog malicioznog softvera po ra?unalne sustave, dok se druga cjelina bavi specifi?nim napadom na promatranu ustanovu. U radu su obja?njeni pojmovi kriptografije, Bitcoin valute kao i vektori ?irenja napada Filecoder kripto ransomware malvera, kronologija napada, mehanizam pristupanju i enkriptiranju datoteka te opcije za povrat enkriptiranih podataka. Rad se tako?er bavi pitanjima pove?anja sigurnosti te za?tite poslovnih informati?kih sustava od prijetnje koju predstavljaju kripto ransomware zlo?udni softveri. Sadr?aj TOC \o "1-3" \h \z \u I.Sa?etak diplomskog rada PAGEREF _Toc440889279 \h 5II.Sadr?aj PAGEREF _Toc440889280 \h 6III.Popis oznaka i kratica PAGEREF _Toc440889281 \h 8IV.Popis tablica PAGEREF _Toc440889282 \h 11V.Popis slika PAGEREF _Toc440889283 \h 121.Uvod PAGEREF _Toc440889284 \h 132.Op?enito o malicioznom softveru PAGEREF _Toc440889285 \h 142.1.Klasifikacija malicioznog softvera i specifi?nosti PAGEREF _Toc440889286 \h 172.1.1.Virusi PAGEREF _Toc440889287 \h 172.1.2.Trojanski konji PAGEREF _Toc440889288 \h 182.1.3.Crvi PAGEREF _Toc440889289 \h 192.1.4.Rootkit-ovi PAGEREF _Toc440889290 \h 212.1.5.Spyware i Adware PAGEREF _Toc440889291 \h 243.Ransomware PAGEREF _Toc440889292 \h 253.1.Kriptografija PAGEREF _Toc440889293 \h 293.2.Bitcoin PAGEREF _Toc440889294 \h 333.3.Kripto-ransomware PAGEREF _Toc440889295 \h 364.IT infrastruktura napadnute ustanove PAGEREF _Toc440889296 \h 464.1. Arhitektura ra?unalne mre?e i povezanost lokacija PAGEREF _Toc440889297 \h 464.2.Korisni?ka ra?unala PAGEREF _Toc440889298 \h 494.3Rje?enje backup sustava korisni?kih podataka PAGEREF _Toc440889299 \h 505.Napad kripto ransomware malicioznog softvera PAGEREF _Toc440889300 \h 525.1.Vektor ?irenja infekcije i kronologija napada PAGEREF _Toc440889301 \h 525.2Filecoder kripto ransomware PAGEREF _Toc440889302 \h 585.2.1Porodica, Specifikacije, Vektor infekcije PAGEREF _Toc440889303 \h 585.2.2Mehanizam pristupanju i enkriptiranju datoteka PAGEREF _Toc440889304 \h 615.2.3.Na?ini povrata enkriptiranih datoteka PAGEREF _Toc440889305 \h 646. Za?tita od kripto ransomware malicioznog softvera PAGEREF _Toc440889306 \h 736.1.Sigurnosni softver i vatrozidna za?tita PAGEREF _Toc440889307 \h 736.2.Backup PAGEREF _Toc440889308 \h 766.3.Poslovna sigurnosna politika PAGEREF _Toc440889309 \h 777. Zaklju?ak PAGEREF _Toc440889310 \h 798.Summary PAGEREF _Toc440889311 \h 809.Literatura PAGEREF _Toc440889312 \h 81III.Popis oznaka i kraticaPOJAM / KRATICAOPIS POJMA / KRATICEDDoSDistributed Denial-of-Service napadTSRTerminate and Stay Resident programMBRMaster Boot RecordDRMDigital Rights ManagementCPUCentral Processor UnitOSOperativni sustavPLCProgrammable Logic ControllersVBRVolume Boot RecordNSANational security agencyAESAdvanced Encryption Standard3DESTriple Data Encryption AlgorithmRSARivest-Shamir-Adleman cryptosystemDESData Encryption Standard cryptosystemRARRussian ARhiverPKzipPodatkovni arhiverWinZipPodatkovni arhiverOpenSSLOpen Secure Socket Layer enkripcijski algoritam otvorenog kodaIPSecInternet Protocol Security protokolNASNetwork-Attached StorageCTBCurve-Tor-Bitcoin locker kripto ransomwareC&CCommand and Control DNGADomain Name Generator AlgorithmHTTPSHyperText Transfer Protocol SecureSSLSecure Socket Layer enkripcijski algoritamTORThe Onion RouterHTTPHyperText Transfer ProtocolECDHElliptic curve Diffie–Hellman asimetri?ni algoritamAPIApplication Programming InterfaceCADComputer-Aided DesignSMSShort Message ServiceBTCBit-Torrent CurrencySADSjedinjene ameri?ke dr?aveVPNVirtual Private NetworkHQHeadQuarterDCDomain ControllerWSUSWindows Server Update ServicesDNSDomain Name ServiceDHCPDynamic Host Configuration ProtocolRAIDRedundant Array of Independent DisksMACMedia Access ControlWifiWireless Fidelity – be?i?na mre?aAAIAutentikacijska i autorizacijska infrastrukturaVlanVirtual Local Area NetworkHDDHard Disk DriveSSDSolid State DriveRDPRemote Desktop ProtocolUDPUser Datagram ProtocolCDCompact DiscDVDDigital Versatile DiskMFTMaster File TableFTPFile Transfer ProtocolIMAPInternet Message Access ProtocolSMTPSimple Mail Transfer ProtocolPOP3Post Office Protocol 3CIFSCommon Internet File SystemTCPTransmission Control ProtocolISMSInformation Security Management SystemIV.Popis tablicaTablica 1. Usporedba kripto ransomware-a prema komunikacijskim protokolima i tipu C&C domena……………………………………………………………………………….39Tablica 2. Usporedba kripto ransomware prema vrsti enkripcije koju koriste i na?inu implementacije……………………………………………………………………………..43Tablica 3. Usporedba ?est kripto ransomware malvera prema na?inu i iznosu otkupnine…………………………………………………………………………………...45Tablica 4. Pregled ransomware malvera po porodicama i pripadaju?im vrstama napada………………………………………………………….......................................61V.Popis slika TOC \h \z \c "Slika" Slika 1. Dinamika kreiranja novih malicioznih programa PAGEREF _Toc440889327 \h 15Slika 2. Distribucija malicioznog softvera prema vrsti PAGEREF _Toc440889328 \h 16Slika 3. Mehanizam ugnje??ivanja malicioznog koda virusa u legitimne datoteke PAGEREF _Toc440889329 \h 17Slika 4. Zeus botnet grafi?ko su?elje komandno-kontrolnog (C&C) centra PAGEREF _Toc440889330 \h 19Slika 5. Graf ?irenja infekcije pomo?u ra?unalnih crva PAGEREF _Toc440889331 \h 20Slika 6. Shematski prikaz instalacije malicioznog bootlodera kod Grayfish rootkita PAGEREF _Toc440889332 \h 23Slika 7. Primjer, na hrvatski lokaliziranog, su?elja locker ransomware malvera PAGEREF _Toc440889333 \h 26Slika 8. Omjeri razli?itih tipova ransomware malvera kroz zadnjih 10 godina PAGEREF _Toc440889334 \h 27Slika 9. Usporedba na?ina funkcioniranja kripto i locker ransomware malicioznog softvera PAGEREF _Toc440889335 \h 28Slika 10. Ukupan broj bitcoin-a u opticaju 2009.-2015. PAGEREF _Toc440889336 \h 34Slika 11. Kronologija razvijanja novih rodova kripto ransomware softvera: PAGEREF _Toc440889337 \h 39Slika 12. Trenuta?ni izgled povezanosti lokacija ustanove XX PAGEREF _Toc440889338 \h 46Slika 13. Izgled mre?e na lokacijama ustanove XX PAGEREF _Toc440889339 \h 47Slika 14. Izgled mre?e na lokacijama ustanove XX PAGEREF _Toc440889340 \h 50Slika 15. Ikonografija drive-by zaraze malverom u 5 faza PAGEREF _Toc440889341 \h 53Slika 16. Spam phishing e-mail koji preusmjerava korisnike zara?enu stranicu PAGEREF _Toc440889342 \h 54Slika 17. Vremenska linija napada Filecoder ransomware-a sa ozna?enim periodima napada na ustanovu XX PAGEREF _Toc440889343 \h 55Slika 18. Datum analize doti?nog Filecoder ransomware-a (28.02.2015.) PAGEREF _Toc440889344 \h 56Slika 19. Enkriptirani podaci sa jedinstvenim identifikatorom za svaku pojedina?nu ??rtvu“ napada u ustanovi XX PAGEREF _Toc440889345 \h 57Slika 20. Obavijest na zara?enim ra?unalima ustanove XX Win32/Filecoder.dg malvera o napadu uz upute kako kontaktirati kreatore PAGEREF _Toc440889346 \h 59Slika 21. Filecoder IRP zahtjevi za vrijeme enkripcije te zatim brisanja originalnih datoteka PAGEREF _Toc440889347 \h 63Slika 22. Primjer alata za dekriptiranje datoteka PAGEREF _Toc440889348 \h 66Slika 23. Personalizirana privremena stranica sa broja?em, iznosom otkupnine, BTC sustavom za uplatu otkupnine PAGEREF _Toc440889349 \h 71Slika 24. Besplatna Cryptomonitor PRO aplikacija sa uklju?enim svim modulima za?tite PAGEREF _Toc440889350 \h 751.UvodU doba informatizacije i umre?avanja svih aspekata svakodnevnog osobnog i poslovnog ?ivota eksponencijalno raste opasnost od zlo?udnog softvera kojim zlonamjernici poku?avaju ste?i nezakonitu financijsku ili drugu korist nau?trb o?te?enoga. Tako?er, usporednim razvojem ra?unalne kriptografije stvorena je pretpostavka za stvaranje novih, vrlo neugodnih i sve ra?irenijih malicioznih alata. Radi se o podskupini ransomware malicioznog softvera – kripto ransomware. U vrijeme kada na?i osobni i poslovni digitalni dokumenti, slike, filmovi po?inju definirati i predstavljati na? ?ivot, bez kojih kao da ne postojimo, kreatori zlonamjernih softvera osmislili su na?ine da upravo pomo?u kripto ransomware otmu podatke ?rtve i zatim za njih tra?e otkupninu. Stoga ?e se ovaj rad baviti studijom slu?aja napada kripto ransomware malicioznog softvera. Ova studija slu?aja fokusirati ?e se na povijest napada Filecoder kripto ransomware-a, vektore zaraze sustava, mehanizme djelovanja, vidove naplate otkupnine te ?e poku?ati odgovoriti na pitanje kako uspje?no za?titi poslovni informati?ki sustav od ove opasne vrste zlonamjernog softvera. 2.Op?enito o malicioznom softveruMaliciozni softver odnosno skra?eno malver (Malware, eng.) odnosi sa svaki softver napisan i distribuiran sa namjerom da se infiltrira u korisni?ka ra?unala, poslu?itelje i druge ra?unalne podsustave bez znanja vlasnika kako bi nanio financijsku, obavje?tajnu, materijalnu ili poslovnu vrstu ?tete. Malver moramo razlikovati od badware (lo?, neispravan softvera) koji premda je maliciozan, nenamjerno, radi lo?eg programiranja, mo?e u?initi ?tetu ra?unalnom sustavu. [1] Prvi malver programi slu?ili su prvenstveno kao ?ale, eksperimenti i vid dokazivanja u programerskoj zajednici, da bi kroz vrijeme njihova svrha postala znatno ozbiljnija te uklju?ivala kra?u osobnih, poslovnih ili financijskih informacija. Bitno je napomenuti da, premda su prvi malveri bili kreirani od strane pojedinaca, danas se situacija stubokom promijenila, kako su rasli ulozi te u dana?nje vrijeme maliciozan softver primarno proizvode grupe vrhunskih programera bilo anga?iranih ilegalno ili od strane kompanija, vojski ili ?ak dr?ava. Napretkom ra?unalne tehnologije i sve ve?oj ovisnosti civilnih, poslovnih i vojnih sustava o ra?unalnim sustavima i mre?ama, maliciozan softver se po?eo koristiti i u svrhu ?pijuna?e, nadzora nepodobnih skupina ili dr?ava te kiberneti?kog ratovanja i vojne sabota?e. Najnovija istra?ivanja pokazuju da se tempo kreiranja novih malicioznih softvera eksponencijalno raste te je ?ak nadma?io proizvodnju novih legalnih aplikacija. (Slika 1.)Slika SEQ Slika \* ARABIC 1. Dinamika kreiranja novih malicioznih programaZara?ena ra?unala ?esto postaju dio ve?e maliciozne infrastrukture (Botnet, eng) sastavljene katkad i od par miliona zara?enih strojeva nad kojima kontrolu prema ?elji preuzima tre?a strana. Upravljanje tim ra?unalima vr?i se iz komandno-kontrolnog centra te se ra?unala koriste za slanja ogromnih koli?ina ne?eljene po?te (Spam, eng) ili za realizaciju ogromnih DDoS (Distributed Denial-of-service, eng.) napada. Istra?ivanja pokazuju da je 2011. godine izme?u 100 i 150 miliona svih ra?unala u svijetu bilo ?lan botnet mre?a.[2] Usluge botneta mogu?e je za male financijske iznose iznajmiti u Deep odnosno Dark webu. Jedan od najve?ih botnetova je zloglasni Zeus koji je odgovoran za kreiranje ransomware malicioznog softverskog alata. Upravo ?e napad kripto ransomware malicioznog softvera na poslovni informati?ki sustav biti tema ovog rada.Malver mo?emo podijeliti na mnoge tipove koji se razlikuju svrhom i na?inom zaraze. Tako me?u naj?e??im malverom razlikujemo viruse, crve, trojanske konje, rootkitove po na?inu zaraze i ?irenja te spyware, adware, keyloggere, crimeware, scareware, ransomware i govware po svrsi djelovanja. (Slika 2.)Slika SEQ Slika \* ARABIC 2. Distribucija malicioznog softvera prema vrsti2.1.Klasifikacija malicioznog softvera i specifi?nosti VirusiRa?unalni virusi spadaju pod skupinu malicioznih programa koji se mogu reproducirati i zaraziti ra?unalne sustave bez znanja i dopu?tenja korisnika na na?in da kopiraju sami sebe u memoriju ili datote?ni sustav. Sam naziv, ra?unalni virusi, su dobili radi sli?nosti sa biolo?kim virusima. Da bi se ra?unalni virus replicirao, virusi se moraju ugnijezditi u .exe, odnosno izvr?ne datoteke legitimnih programa. Na taj na?in bri?u, mijenjaju ili o?te?uju programske ili podatkovne datoteke, ?to ih po samog korisnika, ?ini vrlo opasnim malverom.[5][6] (Slika 3.)Slika SEQ Slika \* ARABIC 3. Mehanizam ugnje??ivanja malicioznog koda virusa u legitimne datotekeViruse mo?emo podijeliti prema na?inu djelovanja na rezidentne i nerezidentne. Razlika izme?u njih je ?to su nerezidentni virusi u?itani u radnu memoriju ra?unala samo za vrijeme njihovog izvr?avanja, do?im ostaju u radnoj memoriji tokom cijelog rada ra?unala. Rezidenti virusi slu?e se TSR tehnikom i manipulacijom memorijskih blokova kako bi ostali u memoriji ra?unala, a koriste mehanizme operativnog sustava za svoju aktivaciju. [5]Osnovne vrste virusa su boot sektor virusi, koji upisuju maliciozni kod u MBR (Master Boot Record) i pomo?u tog principa osiguravaju svoje izvr?avanje prilikom svakog pokretanja ra?unala. Nadalje, postoje programski virusi koji se aktiviraju tijekom pokretanja zara?ene exe datoteke legitimnog programa. Pod osnovnim virusima poznajemo jo? i makro viruse koji su napisani u makro programskim jezicima te su imaju funkcionalnosti da modificiraju, kopiraju i bri?u datoteke. Kako bi ostali sakriveni od antivirusnih alata, virusi koriste razne tehnike pomo?u koji se skrivaju od antivirusa. Naj?e??e tehnike prikrivanja su stealth tehnika, tehnika polimorfnog koda i tehnika metamorfnog koda.[5][6]Trojanski konjiTrojanski konji predstavljaju gotovo tri ?etvrtine svih malicioznih programa. Razlog rasprostranjenosti jest u tome ?to za svoje ?irenje i zarazu ra?unala koriste vrlo ra?irenu korisni?ku naivnost te se korisniku predstavljaju kao legitimni, korisni softver. Upravo zato naziv potje?e iz starogr?ke mitologije o trojanskom konju, jer korisnik svojevoljno dozvoljava instalaciju trojanskog konja vjeruju?i u bezopasnost i korisnost istog. Trojanski konji naj?e??e se ?ire pomo?u instalacije zara?enog softvera( softver mo?e, uz to ?to nosi maliciozni kod u sebi, imati i korisnu funkciju), kao privitci elektroni?ke po?te, kao crackovi (alati za zaobila?enje DRM-a i piratizaciju softvera) i putem posje?ivanja zlo?udnih web stranica. Instalacijom na ra?unalo trojanski konj mo?e izmijeniti operacijski sustav i omogu?iti napada?u potpunu kontrolu nad zara?enim strojem. S obzirom da je napada? modificirao operacijski sustav, otvaraju mu se prakti?ki neograni?ene mogu?nosti za zloupotrebu zara?enog stroja. Naj?e??i se zara?eno ra?unalo koristi kao ?lana botnet mre?e, kra?u povjerljivih podataka korisnika zara?enog ra?unala, daljnje kompromitiranje sigurnosti ra?unala, slanje, primanje ili modificiranje datoteka ra?unala, pratiti aktivnosti korisnika pomo?u kontrole nad kamerom, mikrofonom ili pra?enjem rada na tipkovnici (Keylogger), koristiti resurse zara?enog ra?unala poput CPU-a (Central Processor Unit) i diskovnog podsustava. [3][5] Trojanski konji mogu instalirati i razne vrste ransomware-a koji su tema ovog rada, poput Zeus Cryptolockera.[7] (Slika 4.)Slika SEQ Slika \* ARABIC 4. Zeus botnet grafi?ko su?elje komandno-kontrolnog (C&C) centraPremda su antivirusna rje?enja uglavnom sposobna identificirati instalirane trojanske konje na zara?enom ra?unala, ?teta u vidu modifikacija koje je taj maliciozni softver napravio na ra?unalu, je gotovo nepopravljiva te je najpametnije nakon zaraze ra?unalo formatirati disk i reinstalirati ga. [5]CrviRa?unalni crvi (Worms, eng) su programi koji se za razliku od virusa samostalno umno?avaju i ?ire naj?e??e pomo?u ra?unalne mre?e. Radi se o samostalnim malver programima koji se ?ire bez uplitanja korisnika te im za funkcioniranje nije potrebno injektiranje u izvr?nu datoteku legitimnog programa. Crvi poku?avaju u ?to kra?em vremenskom periodu zaraziti ?im ve?i broj strojeva. Za ?irenje bez interakcije korisnika crvi iskori?tavaju sigurnosne rupe u samom operativnom sustavu ra?unala ili aplikacijama kojima se korisnik slu?i. ?im crv iskoristi sigurnosni nedostatak po?eti ?e tra?iti nova ra?unala na mre?i koja imaju isti sigurnosni propust u OS-u ili aplikaciji te ?e ga poku?ati zaraziti. Broj zara?enih ra?unala koje zarazi crv rastu vrlo brzo, a ?esto i eksponencijalno. Katkad su u stanju ?ak usporiti brzinu interneta na globalnoj razini poput crva Nimda iz 2001.[1][5][8] (Slika 5.)Slika SEQ Slika \* ARABIC 5. Graf ?irenja infekcije pomo?u ra?unalnih crvaBitno je spomenuti Stuxnet crva kao primjer ra?unalnog crva koji je bio specijalno dizajniran kao digitalno oru?je za cyber ratovanje te je najvjerojatnije kreiran od strane izraelskih i ameri?kih programera kako bi nanio materijalnu ?tetu iranskim nuklearnim postrojenjima kroz manipulaciju centrifugama za oboga?ivanje urana. Stuxnet je vrlo kompleksan crv sa rootkit funkcionalnostima, koji je pisan u nekoliko programskih jezika visoke razine poput c, c++ i drugih objektno orijentiranih programskih jezika. [9]S obzirom da je glavni na?in ?irenja crva iskori?tavanje zero-day napada, glavni na?in borbe protiv crva je u redovitom a?uriranju ra?unalnih sustava na najnovije verzije softvera.[5]Rootkit-oviRootkitovi su posebna vrsta malicioznog softvera koji zlonamjernoj strani omogu?uju udaljenu kontrolu nad ra?unalom ili nekim drugim sustavom. Specifi?nost ovog malvera je u tome da su rootkitovi naj?e??e kreirani kao nositelji malicioznog softvera, kojeg nakon ?to injektiraju u napadnuti ra?unalni sustav, prikrivaju od mogu?e detekcije. Rootkitovi se dijele prema razini na kojoj djeluju. Tako imamo usermode rootkitove koji djeluju na aplikacijskoj razini na na?in da napadaju korisni?ke programe. Ti rootkitovi su zapravo standardni trojanski konji koji nemaju dobru mogu?nost prikrivanja od detekcije.[5] Nadalje postoje rootkitovi koji se izvr?avaju sa najvi?om razinom administratorskih prava u operativnom sustavu i od tud im naziv kernelmode rootkitovi. Upravo je ta vrsta rootkitova danas najzastupljenija. Kernelmode rootkitove je vrlo te?ko za identificirati jer se usa?uju vrlo duboko u operacijski sustav na na?in da dodaju ili zamijene dio jezgre operacijskog sustava (kernel) ili upravlja?kog programa. Premda je programiranje kernel rootkita kompleksan i dugotrajan posao, mogu?e je da pro?u mjeseci prije nego li se otkrije da je ra?unalo zara?eno sa rootkitom. Iz svih navedenih razloga, vidljivo je da je jedini na?in da se ra?unalo o?isti od kernel rootkita da se cijelo ra?unalo formatira i zatim reinstalira. Kao primjer planetarno poznatog kernelmode rootkita je Stuxnet koji je poslu?io za sabota?u iranskog nuklearnog projekta na na?in da je mogao reprogramirati Siemensove PLC-ove za kontrolu rotacije centrifuga za oboga?ivanje urana.[9] Primjer korisnog kernelmode rootkita je rootkit koji popularna i legitimna aplikacija Dameontools instalira u svrhu zaobila?enje SecuRom i SafeDisc mehanizama protiv piratizacije softvera. [1][5][10][11]Bootkitovi zaobilaze operacijski sustav na na?in da modificiraju MBR ( Master Boot Record ), bootsektor ili VBR ( Volume Boot Record ). Modifikacijom ili zamjenom bootloadera, napada? stavlja ra?unalo pod svoju kontrolu, a napadnuta strana je posve nesvjesna napada i kompromitacije sustava. Razlog tomu je ?to se napad dogodio na razini ni?oj od operativnog sustava. Upravo zato je nemogu?e iz operativnog sustava identificirati zarazu. Jedini sigurni na?in da se ra?unalo za?titi od napada bootkitom je fizi?ka kontrola pristupa ra?unalu. Popularan bootkit koji korisnici Microsoft operativnih sustava ?esto svojevoljno instaliraju je ?Windows loader“ koji slu?i za zaobila?enje sustava aktivacije Windows operativnih sustava i piratizaciju Windows OS-a. [1][5][10][11] Postoje jo? i firmware rootkitovi koji se implementiraju u sam hardver na na?in da su u stanju modificirati firmware tvrdih diskova, usmjernika, mre?nih kartica pa ?ak i reprogramirati PLC-ove ( Programmable Logic Controllers ). Ova vrsta rootkitova je najproblemati?nija jer je gotovo nemogu?e da se otkriju i uklone nakon ?to zaraze ra?unalni sustav. Za programiranje ove vrste rootkita potrebno je znatna koli?ina vremena, resursa i znanja, a naj?e??e se koristi u financijskoj, industrijskoj i vojnoj ?pijuna?i. Firmware rootkitovi naj?e??e funkcioniraju na na?in da na hardverskoj razini implementiraju tajne ulaze ( Backdoor ) u sustav. Primjer takvog firmware rootkita je ?Grayfish“ otkriven od strane ruske firme Kaspersky Labs, koji je u stanju reprogramirati firmware tvrdog diska i ugnijezditi se u njemu. Smatra se da je za kreiranje tog rootkita odgovorna ameri?ka NSA ( National Security Agency ). Odre?eni firmware rootkitovi imaju i pozitivnih uloga poput implementacije sustava protiv kra?e prijenosnih ra?unala na razini bios-a, omogu?uju?i udaljeni pristup ukradenom ra?unalu.[12][13] (Slika 6.)Slika SEQ Slika \* ARABIC 6. Shematski prikaz instalacije malicioznog bootlodera kod Grayfish rootkitaS obzirom da je kod rootkitova fokus u prikrivanju, rootkitovi koristi mnoge na?ine prikrivanja poput regeneracije, polimorfizma, onemogu?avanja antivirusnog softvera i drugih ?stealth“ tehnika.[5]Spyware i AdwareAdware i Spyware su vrste nepo?eljnog ili malicioznog softvera koji slu?i za ?pijuniranje korisni?kih navika, kra?u osobnih informacija i napasno prikazivanje komercijalnih reklama na zara?enom ra?unalu. Razlikuju se od crva i virusa zbog njihove nemogu?nosti da se repliciraju. Naj?e??e iskori?tavaju korisni?ku naivnost i neznanje te se instaliraju prilikom posje?ivanja pornografskih i sli?nih stranica upitnogi sumnjivog porijekla. Kreatori spyware-a ?esto kreiraju i program koji ima korisne funkcionalnosti kao paravan za instalaciju samog malicioznog softvera. Postoje slu?ajevi da kreatori spyware-a pla?aju proizvo?a?ima legalnog softvera da uz svoj softver upakiraju i spyware. Primjeri takvog softvera koji uz korisne funkcionalnosti dolaze i sa spywareom i bitcoin minerom su Kazaa i Utorrent aplikacije za razmjenu sadr?aja preko interneta. [1][5]Najbolji vrsta prevencije od spyware-a i adware-a je izbjegavanje posje?ivanja sumnjivih stranica, besplatnih aplikacija koje se napasno nude za instalaciju kao i instalacija raznih programa za razmjenu piratskog softvera. Generalno podizanje informati?ke pismenosti korisnika te instalacija antivirusnog ili specijaliziranog anti-spyware softvera znatno smanjuju opasnost od ovih vrsta malicioznog softvera. [5]3.RansomwareRansomware maliciozni softver dobio je ime kombiniranjem rije?i Ransom ( otkupnina, ucjena ) i malware (maliciozni softver ). Iz samog imena vidljivo je da se radi o malicioznom softveru koji za svrhu ima financijsku iznudu. Ransomware malver mo?emo podijeliti na dvije osnovne skupine koje su trenutno u opticaju. Radi se kripto ransomware-u i locker ransomware-u koji premda imaju sli?an cilj u na?inu funkcioniranja se potpuno razlikuju. Kripto ransomware za svrhu ima enkriptirati osobne podatke ?rtve i time onemogu?iti pristup datotekama ili dokumentima do?im locker ransomware cilja na zaklju?avanje ra?unala kako ga ?rtva ne bi mogla koristiti.Povijest ransomware softvera za financijsku ucjenu se?e u davnu 1989. godinu kada je kreiran trojanski konj AIDS. Mada AIDS nije polu?io nikakve zna?ajne uspjehe kao ransomware zbog ograni?ene razvijenosti kriptografije i internetskog sustava naplate, zapo?eo je eru ransomware malicioznih softvera. U ranim 2000-itim godinama, pojavili su se mnogi programi koji premda nisu bili maliciozni, nisu bili niti korisni. Tako se pojavio cijeli niz softvera koji su slu?ili la?noj optimizaciji operacijskih sustava, pove?anju propusnosti interneta pa ?ak i la?nih antivirusnih rje?enja. Ovakvi softveri su se slu?ili zavaravanjem korisnika, obe?avaju?i bolje performanse sustava ili pla?e?i ih la?nim virusnim infekcijama ra?unala, kako bi ih nagovorili na kupovinu navedenog softvera za par desetaka ameri?kih dolara koji bi navodno rije?io prona?ene ( la?ne ) probleme. 2011. godine pojavljuju se prvi locker ransomware malveri koji su bili znatno agresivniji na?in ucjene te su korisnicima zaklju?avali prakti?ki sve funkcionalnosti grafi?kog su?elja operativnog sustava, osim onih potrebnih da izvr?e uplatu tra?enog iznosa. Naj?e??e se uplata vr?ila pomo?u elektroni?kih vau?era u iznosima izme?u 150$ ili 200$. Locker ransomware se uglavnom oslanjao na psiholo?ku komponentu i socijalni in?enjering, pla?e?i korisnika zara?enog sustava, kaznama, nemogu?no??u rada na ra?unalu, la?nim policijskim prijavama sa upozorenjima da je korisnik prekr?io zakon i sl. Locker ransomware bili su vizualno vrlo uvjerljivi te su bili poprili?no uspje?ni, a ?esto su bili i prilago?eni regiji u kojoj su zarazili ra?unalo. Nedostatak locker ransomware malvera bila je u sposobnosti ?rtve, da ukoliko prepozna poku?aj prevare, jednostavno eliminira ransomware reinstalacijom OS-a ili instalacijom sigurnosnog softvera.[14][15] (Slika 7. ) Slika SEQ Slika \* ARABIC 7. Primjer, na hrvatski lokaliziranog, su?elja locker ransomware malveraLocker ransomware bio je na?alost samo korak prema kreiranju opasnih i za korisnike vrlo neugodnih kripto ransomware malvera, koji su se pojavili 2013. godine. Ovi malveri, za razliku od AIDS-a, imali su sazrjele uvjete da polu?e veliki uspjeh i zadaju glavobolje kako privatnim tako i poslovnim korisnicima. Za razliku od kripto ransomware-a sa kraja 80-ih godina, novi kripto ransomware malveri imali su na raspolaganju mo?ne kriptografske algoritme poput AES-a, 3DES-a i RSA. Tako?er, Bitcoin virtualna valuta, pomo?u koje su se mogle vr?iti anonimne financijske transakcije, pokazala se kao izvrsno rje?enje za iznu?iva?e otkupnine. Nije na odmet napomenuti da je 21 stolje?e donijelo novi stil ?ivota i znatnu ovisnost prosje?nog korisnika o ra?unalnim i Internet tehnologijama te je stoga ciljana skupina potencijalnih ?rtava bila vrlo velika. Upravo radi svoje efikasnosti ova vrsta ransomware malvera preuzima primat nad drugim vrstama ransomware softvera. [16][17](Slika 8.)Slika SEQ Slika \* ARABIC 8. Omjeri razli?itih tipova ransomware malvera kroz zadnjih 10 godinaLocker ransomware je maliciozni softver koji oduzima kontrolu nad zara?enim ra?unalom na na?in da naj?e??e blokira korisni?ko su?elje, omogu?uju?i jedino minimalnu interakciju sa prozorom od samog ransomware-a. Tako primjerice korisnik mo?e u prozor malicioznog softvera samo upisati brojeve koda za otklju?avanje ra?unala koji je prethodno kupio od napada?a. Locker ransomware je benigniji tip ransomware-a, s obzirom da ne ?ini ?tetu ra?unalnom sustavu ili podacima na njemu, ve? se uglavnom bazira na psiholo?kom momentu i strahu korisnika. Katkad je dovoljno napraviti restore operativnog sustava iz prethodne nezara?ene slike ( Image, eng ). Stoga je na?in na koji locker ransomware djeluje, znatno manje efikasan i destruktivan od kripto ransomware-a.Kripto ransomware za razliku od locker ransomware-a imaju sasvim druga?iji mehanizam funkcioniranja. Nakon ?to zarazi ra?unalo, ova vrsta ransomware malicioznog softvera poku?ava ostati pritajena dokle god ne skenira ra?unalo u potrazi za svim vrijednim dokumentima i podacima koji bi mogli biti bitni i korisni korisniku. Po zavr?etku skeniranja, sustav enkriptira korisne datoteke u svega par minuta. U trenutku kad su sve datoteke enkriptirane te im je pristup onemogu?en, kripto ransomware zavr?ava sa fazom prikrivanja i obavje?tava korisnika da su mu podaci enkriptirani, odnosno oteti te tra?i otkupninu za otklju?avanje datoteka. Tijekom cijelog procesa i nakon uspje?no izvedenog napada, kripto ransomware ne ometa normalno funkcioniranje samog sustava. [16][17][18] ( Slika 9.)Slika SEQ Slika \* ARABIC 9. Usporedba na?ina funkcioniranja kripto i locker ransomware malicioznog softveraU narednim poglavljima ?u se detaljno baviti na?inom funkcioniranja kripto ransomware, metama i vektorima napada, algoritmima enkripcije, naplatom otkupnine, metodama spa?avanja podataka te prevencijom od same zaraze ra?unalnog sustava kripto ransomware.3.1.KriptografijaU ovom poglavlju pojasniti ?u osnovne pojmove u kriptografiji te objasniti osnove funkcioniranje AES i RSA ra?unalnih kriptografskih algoritma koji se naj?e??e koriste u aktualnim verzijama kripto-ransomware malicioznog softvera.Kriptologija je znanost o tajnom sporazumijevanju. Ime je dobila od gr?kih rije?i kriptos (tajan, skriven) i logos (znanost).Moderne kriptografske tehnike oslanjaju se na odre?ene matemati?ke probleme (npr. ra?unanje prostih brojeva) koji svojoj kompleksno??u osiguravaju da je gotovo nemogu?e sa dostupnom procesorskom snagom ra?unala u prihvatljivom vremenskom razdoblju probiti algoritam. Enkripcija podataka posti?e se kori?tenjem algoritama koji koriste klju? kako bi enkriptirali i dekriptirali informaciju. Takvi klju?evi pretvaraju smislenu digitalnu informaciju u beskoristan niz nula i jedinica. Proces je reverzibilan te se iz tog ?besmislenog“ digitalnog zapisa ponovno pomo?u odgovaraju?eg klju?a mogu dobiti izvorni podaci. Generalno gledaju?i ?im je klju? du?i te?e je probiti za?titu. Kako je jedini siguran na?in probijanja enkripcije brute force napad kojim napada? mora isprobati sve mogu?u klju?eve, u upotrebi su vrlo dugi klju?evi. U modernoj kriptografiji koja se bavi digitalnim podacima du?ina klju?a mjeri se u bitovima. Naj?e??e kori?tene du?ine klju?eva iznose 128 bita i 256 bita mada na tr?i?tu postoje 1024 bitni, 2048 bitni te 3072 bitni klju?evi u slu?aju kori?tenja asimetri?nih kriptografskih algoritama. Potrebno je razlikovati algoritamsku du?inu klju?a i samu kriptografsku sigurnost koja se tako?er mjeri u bitovima i koja je uvijek jednaka ili manja algoritamskoj du?ini klju?a. Ve?ina simetri?nih algoritama koji su u dana?njoj primjeni imaju jednaku algoritamsku i sigurnosnu du?inu klju?a. Enkripcijski sustavi mogu se generalno podijeliti na kriptografske sustave simetri?nim klju?em i na kriptografske sustave sa asimetri?nim klju?em. Simetri?na enkripcija je najstarija i najra?irenija tehnika kriptiranja podataka kod koje tajni klju? mo?e biti broj, slovo, rije? ili nasumi?an niz slova. Dokle god primatelj i po?iljatelj poruke znaju tajni klju?, mogu sa lako?om enkriptirati i dekriptirati sve poruke koje koriste taj klju?. Upravo je opasnost od presretanja odnosno kra?e tajnog klju?a prilikom razmjene klju?a izme?u po?iljatelja i primaoca poruke dovela do razvijanja asimetri?nih enkripcijskih algoritama. Asimetri?na enkripcija koristi par klju?eva gdje je javni klju? dostupan svakome tko ?eli poslati primaocu poruku, dok je privatni klju? tajan te ga zna samo primalac poruke. Time se izbjegava sigurnosni nedostatak simetri?nih enkripcijskih sustava koji se javlja prilikom slanja tajnog klju?a.[19]Simetri?ni kriptografski algoritmiAlgoritmi sa simetri?nim klju?em su klasa kriptografskih algoritama koji koriste isti kriptografski klju? enkripciju otvorenog teksta kao i za dekripciju kriptiranog teksta. Tajnost poruke kod simetri?noga kriptografskog sustava temelji se na tajnosti kljuca te se zbog toga simetri?na kriptografija naziva jo? i kriptografijom privatnog klju?a. Kako bi osigurali uspje?no kriptiranje i dekriptiranje poruke koju ?titimo od ne?eljenih pogleda, potrebno je da po?iljatelj i primatelj posjeduju isti klju? koji se koristio prilikom enkripcije. Kako bi se osigurala tajnost klju?a krucijalno je da klju? ostane tajan i poznat samo primaocu i po?iljatelju. Sigurnost simetri?nih kriptografskih algoritama prvenstveno ovisi o tajnosti klju?a, ali i primijenjenoj matematici te du?ini klju?a koji je upotrijebljen. Takvi algoritmi imaju vrlo veliku otpornost na kripto analiti?ke metode probijanja ukoliko osiguramo tajnost klju?a.AES (Advanced Encryption Standard) je simetri?ni kriptografski sustav koji za ?ifriranje otvorenog teksta u blokovima od po 128 bita koristi klju?eve du?ine 128,192 ili 256 bita. Sam algoritam je bio razvijen kao nasljednik DES algoritma koji je uspje?no probijen 1998. godine. AES (Rijndael) osmislili su Belgijanci Joan Daemen i Vincent Rijmen. AES je standardizirani Rijndael algoritam koji striktno operira sa blokovima veli?ine 128 bita te klju?evima du?ine 128, 192 i 256 bita. Tako da imamo AES 128, AES 192 i AES 256 nazive AES standarda. Osnovna jedinica za rad AES-a je Byte, blok od 8 bitova koji predstavlja zasebni entitet. Ulazni i izlazni blokovi otvoreno teksta i klju?a obra?uju se kao polja bytova (matrica stanja) koja nastaju dijeljenjem tih blokova u grupe po bitova. Operacije u AES-u odvijaju se tako na u dvodimenzionalnom polju bytova tj. matrici stanja. Za vrijeme ?ifriranja ulazne vrijednosti kopiraju se iz ulazne matrice u matricu stanja u kojoj se zatim vr?e operacije ?ifriranja te se nakon toga izlazne zavr?ne vrijednosti kopiraju u izlaznu matricu. Operacije koje se primjenjuju u samom AES algoritmu su SubBytes, ShiftRows, MixColumns i AddRoundKey. Operacije se, ovisno o tome da li se radi o 128 bitnom, 192 bitnom ili 256 bitnom klju?u, ponavljaju nad otvorenim tekstom 10, 12 ili 14 puta. Na po?eku ?ifriranja , ulaz se kopira u matricu stanja, zatim se nakon inicijalne runde dodavanja klju?a (AddRoundKey) matrica transformira kroz operacije unutra 10, 12 ili 14 rundi, ovisno od du?ini klju?a te se nakon toga kopira u izlaz. Sve runde su iste osim zadnje runde u kojoj se ne odvija operacija MixColumns. AES algoritam koristi se u sigurnosti be?i?nih mre?a, kod alata za komprimiranje podataka ( RAR, PKzip, WinZip…), Intelovih procesora (I3,I5,I7), alata za za?titu podataka na diskovima ( Bitlocker ), Microsoft Office paketima ( 2007, 2010, 2013 ), za?titi mre?nog prometa ( OpenSSL, IPSec ) te katkada i u maliciozne svrhe ransomware-a. Raznovrsnost podru?ja u kojima se koristi AES algoritam, ?ini ga najra?irenijim kriptografskim algoritmom dana?njice u svijetu ra?unalne komunikacije i za?tite podataka.[19]Asimetri?ni kriptografski algoritmiAsimetri?ni kriptografski sustavi nastali su kao rezultat rje?avanja problematike distribucije klju?a. Kod simetri?nih kriptografskih algoritama, da bi se poruka ?ifrirala, po?iljatelj mora imati tajni klju? koji nakon ?ifriranja mora dostaviti primatelju poruke kako bi je doti?ni mogao de?ifrirati. Upravo je trenutak slanja tajnog klju?a najranjiviji moment svakog simetri?nog algoritma jer postoji realna opasnost da tajni klju? prilikom transporta od po?iljatelja do primaoca dospije u krive ruke. U takvom slu?aju bez obzira na snagu algoritma tajnost sadr?aja poruke propada jer je bez ikakvih problema mo?e dekriptirati napada?. Kako bi se dosko?ilo tom problemu razvijeni su asimetri?ni kriptografski algoritmi. Asimetri?ni kriptografski sustavi odnosno sustavi sa javnim klju?em, su sustavi koji koriste javni i tajni klju?. Javni klju? je izveden iz tajnog i dostupan je svima koji ?ele poslati poruku. Tajni klju? je dostupan samo onome tko prima ?ifriranu poruku. Asimetri?ni kriptografski algoritmi baziraju se na slo?enosti modularne aritmetike i slo?enosti faktoriziranja umno?ka velikih prostih brojeva. Najpoznatiji asimetri?ni algoritam je RSA koji je opisan 1977. godine. Sam RSA algoritam sastoji se od tri koraka: generacije klju?a, enkripcije i dekripcije. Radi principa rada i matematike koja stoji iza asimetri?nih algoritama postoje mnoge teoretske slabosti takvih algoritama. Postoji vi?e razli?itih pristupa napada na RSA algoritam poput brute force napada, napada iskori?tavanjem malog eksponenta, napada kori?tenjem odabranog ?ifriranog teksta i vremenski baziranog napada. No uz sve prona?ene slabe to?ke i mogu?nost da se kroz napredak u teoriji velikih brojeva ugroze asimetri?ni kriptografski algoritmi, smatra se da je mno?enje velikih prostih brojeva u kombinaciji sa modularnom aritmetikom dovoljno sigurno da se asimetri?ni algoritmi koristi u modernoj kriptografiji. Sam algoritam ve? desetlje?ima odolijeva svim napadima usprkos napretku u ra?unalnoj tehnologiji i rastu sirove procesorske snage ra?unala.Upravo upotreba kriptografskih algoritama temeljni su sastojak svakog kripto ransomware malicioznog softvera, a novije verzije tog malvera naj?e??e koriste mo?ne simetri?ne AES algoritme i asimetri?ne RSA algoritme.[19]3.2.BitcoinKako bi iznuda napadnutog korisnika, kojem su podaci oteti kriptiranjem bila mogu?a, napada?u je potreban i adekvatan sustav naplate otkupnine. Upravo se Bitcoin virtualna valuta pokazala kao prvi izbor naplate otkupnine kreatora kripto-ransomware malicioznog softvera radi svojih specifi?nosti. Stoga ?u se u ovom poglavlju posvetiti analizi Bitcoin digitalne valute.Bitcoin prva decentralizirana digitalna virtualna valuta koju je osmislio Satoshi Nakamoto 2008. godine kao softver otvorenog koda. Sam sustav je peer-to-peer tipa komunikacije zbog kojeg je transakcija izme?u korisnika direktna te stoga ne treba za izvo?enje transakcije posrednika, a sam sustav funkcionira bez centralne administracije. Transakcije su verificirane od strane mre?nih ?vori?ta i zapisane u javnim blok lancima ( Block Chain ) tj. zapisima sveukupnih ekonomskih transakcija. Bitcoin je osmi?ljen kao nagrada korisnicima koji nude procesorsku snagu svojih osobnih ra?unala, poslu?itelja ili farmi servera za verifikaciju i zapisivanje transakcija u javnu knjigu sveukupnih transakcija ( Public ledger ). Ta aktivnost je bolje poznata pod nazivom rudarenje bitcoin-a ( Bitcoin mining ). Rudarenje Bitcoina je vrlo je procesorski zahtjevno i za svaki novi kreirani bitcoin potrebno je sve vi?e ulo?enog procesorskog vremena. Upravo ulaganje procesorskog vremena ra?unala, koje nije besplatno ve? zahtjeva financijska ulaganja u mo?an hardver uz naplatu potro?ene elektri?ne energije, osigurava Bitcoin valuti da ima upori?te u realnom svijetu i time onemogu?ava manipulaciju i izdavanje novih bitcoin-a bez pokri?a. Ukupna koli?ina Bitcoina jo? uvijek raste gotovo linearno od predstavljanja valute 2009. godine, no sa tendencijom usporavanja. Svake 4 godine se broj novih bitcoin-a koji ulaze u opticaj prepolovi, pa ?e izme?u 2110. i 2140. godine dose?i svoj maksimum koji ?e iznositi 21 milion bitcoin-a. [20][21] ( Slika 10.)Slika SEQ Slika \* ARABIC 10. Ukupan broj bitcoin-a u opticaju 2009.-2015.Anonimnost Bitcoin-a digitalne valute, omogu?ena je sposobno??u da se transakcije u bitcoin-ima vr?e bez odavanja bilokakvih osobnih podataka. Adresa je zapravo alfanumeri?ka identifikacija du?ine izme?u 26 i 35 znakova, koja predstavlja odredi?te Bitcoin uplate. Svaka transakcija koja je izvr?ena sa danom adresom ostaje zauvijek upisana u javnim blok lancima. Me?utim, svaki korisnik Bitcoin valute mo?e osobno besplatno generirati novu Bitcoin adresu. Upravo radi kori?tenja Bitcoin adresa potpunu anonimnost Bitcoin-a nije lako posti?i. Kako bi se anonimnost osigurala, vrlo je va?no da se za svaku transakciju koristi novo generirana adresa jer se u tom slu?aju Bitcoin adresa zapravo pona?a kao jednokratni transakcijski token. Tako?er va?no je napomenuti da, ukoliko je anonimnost transakcije prioritet, nikako se ne smije dopustiti da se niti jedna generirana i zatim kori?tena adresa pove?e sa identitetom korisnika.S obzirom da je anonimnost financijskih transakcija pomo?u Bitcoin digitalne valute mogu?a, ukoliko se koriste prethodno navedene mjere predostro?nosti, Bitcoin valuta se po?ela ?esto koristiti za naplatu kriminalnih radnji i prodaju ilegalnih dobara.Prednost anonimnosti Bitcoin valute prepoznala su crna tr?i?ta diljem svijeta. Tako je izme?u 4.5% i 9% svih transakcija na svijetu napravljen na tzv. ?Silk road“ (Put svile) tr?i?tu sakrivenom u Dark web-u ( Mra?ni Internet ). Silk road bavio se sa raznim ilegalnom prodajom oru?ja, droge, dje?jom pornografijom, unajmljivanjem usluga profesionalnih ubojica, itd. Sve transakcije izvr?avane su u upravo Bitcoin valuti zbog svoje anonimnosti. Sama Bitcoin valuta osim za takve transakcije, involvirana je kao sredstvo pla?anja u mnoge druge sumnjive odnosno kriminalne radnje. Neautorizirano rudarenje Bitcoina jedan je od primjera iskori?tavanja Bitcoin valute u svrhu ostvarivanja ilegalnog profita. Mnoge renomirane firme poput Yahoo!-a, E-sports entertaintment-a, Utorrent-a kao i mnoge druge, ogrezle su u toj, na rubu kriminalnog djela, aktivnosti. Tako?er, mnoga malverom zara?ena ra?unala, koja su postala dio botnet mre?e, iskori?tavaju se za ilegalno rudarenje Bitcoin valute. [20][21][22]3.3.Kripto-ransomware Mete napada Kripto ransomware malver ne bira ?rtve ve? poku?ava zaraziti ?im ve?i broj ra?unala u nadi da ?e bar dio ?rtvi napada platiti otkupninu. Stoga se broj ?rtava napada kripto ransomware broji u milionima u cijelom svijetu. Mete napada podjednako su privatni korisnici, poslovni korisnici kao i razne javne institucije. Najranjivija skupina korisnika su upravo privatni korisnici koji naj?e??e nemaju dovoljno znanja da se uhvate ko?tac s prijetnjom. Tako?er, vrlo mali broj privatnih korisnika je osvije?ten po pitanju kreiranje sigurnosnih kopija svojih podataka. Me?utim, privatni korisnici koji imaju sigurnosne kopije na prijenosnim tvrdim diskovima ili ku?nim NAS (Network Attached Storage ) rje?enjima nisu u potpunosti sigurni od napada kripto ransomware-a s obzirom da su neke ina?ice tog malvera sposobne enkriptirati i oteti podatke, pa ?ak i sigurnosne kopije koje se nalaze na dijeljenim mre?nim diskovima. Kad govorimo o poslovnim subjektima, kompanije kojima je poslovanje vezano uz digitalne podatke, a takve su u ve?ini, uglavnom imaju implementirane sustave kreiranja sigurnosnih kopija i planove oporavka u slu?aju katastrofe. No naj?e??e ta rje?enja uklju?uju samo klju?ne podatke za poslovanje firme te sigurnosne kopije poslu?itelja, a ne i korisni?ke podatke uskladi?tene na lokalnim ra?unalima zaposlenika. Razlog tomu je kompleksna i financijski zahtjevna implementacija takvih sustava kao ?to je uvo?enje korisni?kih roaming profila. Iz prethodno navedenih razloga, vidljivo je da niti kompanije nisu po?te?ene napada kripto ransomware-a. Kad govorimo o javnim institucijama, niti one nisu po?te?ene napada s obzirom da se tvorci ove vrste malvera osje?aju dovoljno sigurnima da su izvan dosega zakona. Tako imamo primjere kada su enkriptirani i oteti slu?beni podaci i baze podataka policije, gradskih uprava, fakulteta i drugih institucija, od kojih su mnoge platile tra?enu otkupninu kako bi do?li do svojih klju?nih podataka. Kripto ransomware napadi napadaju uglavnom ra?unala pogonjena Microsoft Windows operativnim sustavima. Razlog tomu je ?to operativni sustavi temeljeni na Microsoft arhitekturi zauzimaju oko 90% tr?i?ta operativnih sustava, a i sama arhitektura Windows OS-ova je neusporedivo nesigurnija od onih baziranih na Unix arhitekturi. Premda su operativni sustavi bazirani na Unix arhitekturi sigurniji od OS-ova baziranih na Microsoft arhitekturi, kreatori kripto ransomware-a poku?ali su napasti i takve sustave, iskori?tavaju?i sigurnosne propuste u JavaScript jeziku te su funkcionirali na razini Internet preglednika umjesto da su iskori?tavali same sigurnosne nedostatke operativnog sustava. Takva vrsta napada nije bila toliko opasna i razorna za razliku od napada koji su iskori?tavali nedostatke OS-a. Kako je tr?i?te mobilnih ure?aja u stalnom rastu, cyber kriminalci poku?ali su iste mehanizme ransomware-a iskoristiti i na mobilnim platformama. Kreiranje ransomware malvera vrlo je kompleksno na tr?i?no dominantnim mobilnim platformama Google Android i Apple iOS, koje tako?er spadaju u skupinu Unix-ida. Te mobilne platforme naslijedile su od Unix arhitekture visoku razinu sigurnosti operativnog sustava pa su stoga korisnici tih mobilnih platformi poprili?no sigurni. Apple iOS gotovo je u potpunosti siguran od danas aktualnih kripto ransomware malvera radi zatvorenosti arhitekture. Kad govorimo o Google Android platformi, koja je znatno otvorenija od Apple iOS platforme, zlonamjerni kreatori ransomware-a, radi restrikcija samog operativnog sustava, pribjegli su prvenstveno kopiranju ideja desktop locker ransomware-a koji je zapravo samo onemogu?avao grafi?ko su?elje mobilnog ure?aja umjesto da enkripcijom otme korisni?ke podatke. [17][18][24][25]Me?utim, 2014. godine pojavio se Adroid.Simplocker kripto ransomware koji je prvi poku?ao implementirati mehanizme zaraze i enkripcije na Android mobilnoj platformi no sa ograni?enim mogu?nosti enkriptiranja samo korisni?kih podataka skladi?tenih na eksternoj microSD kartici. [16]Time je postalo jasno da prakti?ki niti jedna aktualna platforma, bilo mobilna ili ra?unalna vi?e nije u potpunosti sigurna od ransomware napada.Vektori ?irenje ransomware-a?irenje odnosno propagacija kripto ransomware malvera koristi dobro uhodane i provjerene mehanizme ?irenja. Glavna problematika ?irenja ransomware malvera je ?to koriste zapravo sve aktualne vektore ?irenja zaraze. Upravo zbog toga se vrlo te?ko boriti protiv ove vrste malvera. Dovoljan je samo jedan krivi klik, posjet sumnjivoj stranici ili sigurnosni propust u sustavu da do?e do zaraze i kompromitacije cijelog sustava. Kreatori ransomware-a se naj?e??e koriste sljede?im na?inima zaraze poput drive-by-download tehnike, malvertisement tehnike, pomo?u distribucije nepo?eljne e-po?te, downloader i botnet metode kao i socijalnog in?enjeringa. Neki ransomware malveri ?ak imaju sposobnost samopropagiranja poput ra?unalnih crva.Ipak naj?e??i na?in zaraze stroja je kori?tenje socijalnog in?enjeringa, implementiranog u vidu malicioznog privitka ili Internet poveznice na maliciozni sadr?aj, u nepo?eljnoj ( Spam ) elektroni?koj po?ti. ?irenje malicioznog softvera pomo?u socijalnog in?enjeringa koji iskori?tava neznanje, radoznalost i naivnost korisnika, nepresu?ni su i pouzdani izvor novih zaraza ra?unala. Stoga teme koje se naj?e??e koriste, radi psiholo?kog momenta, u malicioznim spam porukama su: ra?uni za elektri?nu struju, obavijesti o povratu poreza, policijskim kaznama i sl. Kako bi na upla?ene napadnute korisnike pove?ali psiholo?ki pritisak, kreatori kripto ransomware ?esto postavljaju krajnji vremenski rok za uplatu otkupnine nakon kojeg ?e podaci biti nepovratno izgubljeni odnosno uni?teni. [16][17][18][24][25]Rodovi kripto ransomware malveraKad govorimo o rodovima odnosno podtipovima kripto ransomware-a najbitnije je spomenuti ?est glavnih i dominantnih kripto ransomware tipova malvera koji su bili odgovorni za veliku ve?inu napada u periodu od 2013. do 2015. godine. To su Cryptolocker, CTB Locker, TorrentLocker, Cryptowall, Cryptographic Locker i Dirty Decrypt.Okvirna kronologija pojavljivanja u Internet bespu?ima vidljiva je na sljede?oj (Slika 11.)Slika SEQ Slika \* ARABIC 11. Kronologija razvijanja novih rodova kripto ransomware softvera:Kad je rije? o komunikacijskim protokolima koje koriste kripto ransomware malveri za komunikaciju sa svojim C&C (Command and Control ) poslu?iteljima, vidi se trend prelaska sa neza?ti?enih protokola poput HTTP-a ( HyperText Transfer Protocol ) prema enkripcijom za?ti?enih protokola poput HTTPS (HyperText Transfer Protocol Secure ), SSL-a ( Secure Sockets Layer ) i TOR-a (The Onion Router ) softvera za anonimnu komunikaciju na internetu. Kako je rasla razina sigurnosti komunikacije ransomware-a prema C&C poslu?iteljima, tako su kreatori kripto ransomware-a pre?li sa DNGA ( Domain Name Generator Algorithm ) na fiksne url-ove ( Uniform Resource Locator ) za kontaktiranje svojih C&C poslu?itelja. U tablici 1 napravljena je usporedba kripto ransomware-a prema tipu pohrane C&C domena i vrsti komunikacijskog protokola koji koriste:Tablica 1. Usporedba kripto ransomware-a prema komunikacijskim protokolima i tipu C&C domenaRazlozi za kriptiranje komunikacije le?e u te?em pra?enju paketa, s obzirom da se ne mo?e ustanoviti koja aplikacija stvara promet. ?to se ti?e odabira komunikacijskog protokola, najbolji je HTTPS protokol s obzirom da je to uobi?ajeni vid komunikacije Internet preglednika pa ?e ta vrsta enkriptirane komunikacije znatno te?e privu?i nepo?eljnu pozornost, za razliku od TOR komunikacije koja je sama po sebi sumnjiva. Ovih ?est tipova razlikuje se po odabiru trenutku kada kontaktiraju svoj C&C poslu?itelj. Ranije verzije kripto ransomware malvera poput CryptoWall-a i CryptoLocker-a prvo su kontaktirali C&C poslu?itelj a tek nakon toga bi zapo?eli enkriptiranje podataka zara?enog ra?unala, za razliku od Citroni / CTB Lockera koji prvo enkriptira sve podatke koje mo?e, a tek potom kontaktira C&C poslu?itelj. Razlog za implementaciju potonjeg je u du?em periodu prikrivenosti malvera, kako ne bi komunikacijom privukao pozornost na sebe, a koji mu omogu?uje da bez ometanja prvo enkriptira podatke. Ovih ?est, najra?irenijih tipova kripto ransomware alata za iznudu, razlikuje se i po vrsti enkripcije koju koriste za enkriptiranje odnosno otimanje podataka. I kod ovog klju?nog segmenta svakog kripto ransomware-a vidljiva su konstantna pobolj?anja u odabiru i implementaciji enkripcijskih algoritama. [16][17][18][24][25][26]Enkripcija podatakaKlju?ni sastojak svakog uspje?nog kripto ransomware-a, a koji je specifi?an za ovu vrstu malvera, su mehanizmi i odabir enkripcije koje koriste u procesu otimanja korisni?kih podatakaKripto ransomware malveri u podjednako se koriste i simetri?nim i asimetri?nim enkripcijskim algoritmima, o kojima je ve? prije bilo govora u poglavlju o kriptografiji. Kada se primjenjuje simetri?ni kriptografski algoritmi, poput AES-a, isti se klju? koristi za enkriptiranje i dekriptiranje datoteka. Kripto ransomware koji koristi simetri?ni algoritam, kontaktira C&C poslu?itelj da mu isporu?i ?eljeni klju? za enkriptiranje ili ga sam generira na zara?enom stroju te ga zatim po?alje C&C poslu?itelju. Velika prednost simetri?nih algoritama je u brzini kojom mogu enkriptirati ogromne koli?ine podataka radi male du?ine klju?a ( 128 ili 256 bitni ) uz minimalne procesorske i memorijske zahtjeve, a te su karakteristike esencijalne za uspje?no prikrivanje kripto ransomware-a.Za razliku od simetri?nih algoritama, neki kripto ransomware koriste algoritme javnog klju?a (Public key encryption ) tj. asimetri?ne algoritme koji za enkripciju koriste 2 klju?a, javni i privatni. Kripto ransomware koji ima implementiran asimetri?ni enkripcijski algoritam kao ?to je RSA, koristi javni (public ) klju? za enkriptiranje korisni?kih podataka na kompromitiranom stroja, a privatni klju? posjeduje ucjenjiva? koji je potreban da bi se enkriptirani podaci dekriptirali. Ukoliko do?e do pla?anja otkupnine od strane korisnika, napada? ?alje privatni klju? ?rtvi kako bi podaci mogli biti dekriptirani. Glavni nedostatak, iz perspektive cyber kriminalca, kori?tenja asimetri?ne kriptografije u kripto ransomware malveru je u sporosti i velikim zahtjevima tih algoritama za procesorskim vremenom i radnom memorijom. Razlog tome je ?to za enkripciju koriste vrlo duga?ke klju?eve (do 4096 bitne du?ine ). Uz du?e vrijeme enkriptiranja podataka kao i pove?ano optere?enje centralnog procesora, pove?ava se vjerojatnost da malver bude otkriven prije nego li dovr?i enkripciju svih datoteka.Najnovije verzije kripto ransomware softvera koriste kombinaciju simetri?nih i asimetri?nih enkripcijskih algoritama. Naj?e??e se koristi AES simetri?ni algoritam, generiran lokalno na zara?enom ra?unalu uz RSA ili ECDH ( Elliptic curve Diffie–Hellman ) asimetri?ne algoritme. Pritom se mo?ni i brzi simetri?ni AES algoritam koristi za enkriptiranje ?rtvinih podataka, a zatim se sam AES klju? enkriptira javnim RSA ili ECDH klju?em koji je poslan od strane C&C poslu?itelja napada?a. Na taj na?in je osigurano da korisnik zara?enog ra?unala ne mo?e do?i od simetri?nog AES klju?a, premda se on nalazi u svakoj enkriptiranoj datoteci. Jedini na?in da se AES klju? dekriptira jest da napada?, nakon uplate otkupnine, ?rtvi po?alje privatni RSA ili ECDH klju?. CTB kripto ransomware na jo? elegantniji na?in kombinira upotrebu simetri?nih i asimetri?nih algoritama za enkriptiranje. Naime, CTB kripto ransomware ve? sadr?i u sebi javni klju? pomo?u koje enkriptira, lokalno generirani simetri?ni AES klju?. Na taj na?in ovaj ransomware mo?e zapo?eti kriptiranje datoteka i prije nego li je kontaktirao C&C poslu?itelj. Tek kad je gotov sa enkriptiranjem podataka, ovaj kripto ransomware kontaktira C&C poslu?itelj i obavje?tava napada?a da je napad uspio. Na napada?u je samo da pri?eka uplatu otkupnine i zatim po?alje privatni klju? koji dekriptira AES simetri?ni klju? kojim su enkriptirane same datoteke na zara?enom stroju.Va?no je napomenuti da, umjesto da koriste svoja enkripcijska rje?enja, ve?ina kripto ransomware malvera koristi slu?bene, u operativni sustav unaprijed integrirane enkripcijske API-je ( Application Programming Interface ). Na taj na?in napada?i ne moraju sa malverom propagirati dodatne datoteke niti osmi?ljavati svoja enkripcijska rje?enja. Kripto ransomware malveri stoga naj?e??e koriste Microsoft CryptoAPI ili OpenSSL.U sljede?oj tablici uspore?ene su naj?e??e verzije kripto ransoware-a gdje je vidljiv napredak u programiranju novih verzija ove vrste malvera, koji u svakoj novoj verziji sve vje?tije kombiniraju mo?ne simetri?ne i asimetri?ne enkripcijske algoritme. (Tablica 2.)Tablica 2 Usporedba kripto ransomware prema vrsti enkripcije koju koriste i na?inu implementacijeVrste datoteka koje kripto ransomware malver otima enkripcijom pomno su odabrane. Broj ekstenzija odnosno tipova podataka za kojima ovi malveri tragaju kre?u se od 70 do 200 razli?itih ekstenzija. Naj?e??e napada?i tragaju za slikama, audio-video datotekama i naravno raznim vrstama dokumenata poput doc, xls, pdf. Od spomenutih datoteka, najvi?e se napadaju razni tipovi slika radi svoje o?igledne sentimentalne vrijednosti ?rtvama otmice podataka. Najnovije vrste kripto ransomware-a, za razliku od prethodnika koji su primarno ciljali privatne korisnike, sve vi?e se okre?u napadima na firme. Taj trend je vidljiv iz odabira ekstenzija me?u kojima se sve ?e??e nalaze i razne CAD, financijske i backup ekstenzije. Razlog prelaska na poslovne korisnike je u tome ?to je gubitak poslovnih podataka za bilo koju firmu katastrofalan udarac pa je za o?ekivati da ?e iste biti spremne ?e??e popu?tati otmi?arima podataka i da su spremne platiti znatno ve?e iznose otkupnine za povrat kontrole nad svojim datotekama. [16][17][18][24][25]Sustav naplate otkupnineRazlozi za bujanje kripto ransomware malvera, u zadnje 3 godine, ?isto su financijskog karaktera. Cyber kriminalci prepoznali su unosan posao u otmicama privatnih i poslovnih dokumenata sa ra?unala i poslu?itelja diljem svijeta. Na?ini naplate otkupnine mijenjali su se kroz vrijeme kako su se razvijale nove tehnologije koje su omogu?ile nove vrste financijskih Internet transakcija. U po?ecima ransomware malveri koristili su bankovne ?ekove za pla?anje otkupnine koji su se slali po?tom u tre?e zemlje, da bi se razvitkom elektroni?kih komunikacija po?eli slu?iti naplatom pomo?u pozivanja skupih telefonskih linija i slanja SMS-ova po posebnim tarifama. Pojavom elektroni?kih vau?era, poput Paysafecard servisa, iznu?iva?i su po?eli koristiti tu vrstu online financijskih transakcija. Me?utim, taj period je kratko trajao zbog pojave decentralizirane digitalne kripto valute pod nazivom Bitcoin-a (2009. godina), koja se pokazala kao odli?an vid pla?anja otkupnine kriminalcima. Glavna prednost Bitcoin digitalne valute bila je u tome da su se transakcije mogle obavljati anonimno i bez mogu?nosti opoziva transakcije. Upravo te osobine Bitcoin-a prepoznali su cyber kriminalci kao klju?ne za svoje ilegalno poslovanje te danas prakti?ki svi novi kripto ransomware malveri koriste Bitcoin valutu za naplatu otkupnine. Kad je rije? o iznosu otkupnine, cyber kriminalci pokazali su poprili?nu razinu razumijevanja osnovnih na?ela poslovanja. Po pla?enoj otkupnini kriminalci bi naj?e??e ?rtvi dekriptirali otete podatke i vratili joj kontrolu nad njima. Razlog tome je ?to im je bio bitno da se me?u ?rtvama pronese glas o njihovoj vjerodostojnosti kad je u pitanju vra?anje podataka ?rtvi. Tako?er, kreatori ove vrste malvera, prilagodili su iznose otkupnine prema financijskoj razvijenosti razli?itih regija svijeta u kojima su zarazili ra?unala i oteli podatke. Svrha takvog pristupa je na?i iznos koji je svakoj ?rtvi u financijskom dosegu i kojega je unesre?ena strana spremna i sposobna platiti kako bi vratila svoje podatke. Tako se iznosi kre?u naj?e??e od 0.2 BTC-a ( bitcoin valuta ) do 3 BTC-a, odnosno izme?u 100$ i 700$ s obzirom na velike fluktuacije BTC-a u odnosu na ameri?ki dolar. Srednji iznos otkupnine kroz cijeli period od pojave kripto ransomware-a kre?e se oko 300 ameri?kih dolara. ( Tablica 3. )Tablica 3. Usporedba ?est kripto ransomware malvera prema na?inu i iznosu otkupnineTvorci ransomware malvera su tako?er prepoznali razlike izme?u privatnih i poslovnih korisnika jer su iznosi koje su poslovni subjekti spremni platiti za kriti?ne poslovne podatke neusporedivo ve?i. Stoga su najnovije verzije kripto ransomeware-a sve ?e??e fokusirane na napade na klju?ne podatke i backup sustave javnih institucija, firmi i korporacija. Iznosi koje cyber kriminalci zahtijevaju od firmi penje se i preko 50000$, no naj?e??e se kre?e oko 10000$. Procjena ukupne otkupnine, koju su privatne i poslovne ?rtve kripto ransomware malvera uplatili u SAD-u kriminalcima za povrat svojih podataka, kre?e se oko 18 000 000$. [16][17][18][24][25]4.IT infrastruktura napadnute ustanoveRadi boljeg razumijevanja napada kripto ransomware malvera na promatranu ustanovu, u ovom poglavlju biti ?e obja?njena mre?na infrastruktura, lokalna ra?unalna mre?a, backup rje?enje kao i sama korisni?ka ra?unala i domenski group policy.4.1. Arhitektura ra?unalne mre?e i povezanost lokacijaNapadnuta ustanova X koja je predmet ove studije slu?aja nalazi se na 4 lokacije me?usobno povezane CARNet mre?nom infrastrukturom. Lokacije su me?usobno povezane dediciranim opti?kim gigabitnim vezama kroz VPN tunel. Logi?ki koncept je zasnovan na neovisnim distribucijskim to?kama ( lokacijama) koje pristup na Internet imaju osiguran kroz CARNet mre?u dok me?usobnu povezanost ostvaruju VPN tunelima kroz javnu opti?ku mre?u (CARNet) – (Slika 12.)Slika SEQ Slika \* ARABIC 12. Trenuta?ni izgled povezanosti lokacija ustanove XXKoncept distribucijskih to?aka ( lokacija) prikazan je na slici 13. i zasnovan je na zvjezdastoj topologiji, u centru koje je glavni distribucijski preklopnik na kojeg se spajaju katni preklopnici: Slika SEQ Slika \* ARABIC 13. Izgled mre?e na lokacijama ustanove XXGlavni distribucijski preklopnik ima funkciju prihvatiti sve mre?ne tokove i proslijediti ih definiranim putevima dalje.Dio IT usluga odvija se na virtualnim poslu?iteljima Srca, do?im je dio IT funkcionalnosti realiziran na lokalno smje?tenim poslu?iteljima.Tako se usluge e-po?te, web poslu?itelja i IP telefonije nalaze se virtualnim serverima u SRCU. Internu ra?unalnu mre?u u XX ustanovi, ?ine 5 poslu?itelja od kojih se tri nalaze na glavnoj lokaciji A (HQ - Headquarter) te su sa ?etvrtim i petim poslu?iteljem na lokaciji B i C spojeni preko CARNet mre?e kroz IPsec VPN tunel.Lokacija A:Domenski kontroler ( DC ) (Windows server 2008 R2) obavlja sljede?e funkcije:Active directory domenskog kontrolera, DHCP (Dynamic Host Configuration Protocol) poslu?itelja, DNS (Domain Name Service) poslu?itelja te podatkovni poslu?itelj sa diskovnim podsustavom za zajedni?ke podatke kapaciteta 600 Gb u RAID (Redundant Array of Independent Disks) 1 polju Aplikacijski poslu?itelj (Windows server 2008 R2) udomljuje sljede?e aplikacije:Microsoft Sharepoint servis (Interni portal ustanove XX), ra?unovodstvenu aplikaciju, 3 interne baze podataka, dijeljene podaci raznih ureda VPN i WSUS poslu?itelj udomljuju sljede?e servise (Windows server 2003): WSUS (Windows Server Update Services) i VPN (Virtual Private Network) servisiLokacija B:Domenski kontroler ( DC ) (Windows server 2008 R2) obavlja sljede?e funkcije:Active directory domenskog kontrolera, DHCP (Dynamic Host Configuration Protocol) poslu?itelja, DNS (Domain Name Service) poslu?itelja te podatkovni poslu?itelj sa diskovnim podsustavom za zajedni?ke podatke kapaciteta 600 Gb u RAID (redundant array of independent disks) 1 polju Lokacija C:Domenski kontroler ( DC ) (Windows server 2008 R2) obavlja sljede?e funkcije:Active directory domenskog kontrolera, DHCP (Dynamic Host Configuration Protocol) poslu?itelja, DNS (Domain Name Service) poslu?itelja te podatkovni poslu?itelj sa diskovnim podsustavom za zajedni?ke podatke kapaciteta 600 Gb u RAID (redundant array of independent disks) 1 polju. Domenski poslu?itelji su me?usobno redundantni kako bi se osigurao nesmetan nastavak funkcioniranja interne mre?e u slu?aju problema u radu jednog od domenskih poslu?itelja. Svi poslu?itelji redovito se a?uriraju na aktualne softverske ina?ice, a za?ti?eni su automatski a?uriranim ESET Nod32 antivirusnim softverom. Svi su poslu?itelji, uz vi?estruku redundanciju i raid 1 diskovna polja, osigurani IBM Tivoli backup sustavom koji je zadu?en za kreiranje inkrementalnih sigurnosnih kopija sistemskog sustava i korisni?kih podataka koje se ?uvaju godinu dana.Uz lokacije A B i C, ustanovu XX ?ine jo? jedna lokacija koja nije dijelom interne ra?unalne mre?e ustanove stoga se sa te lokacija podacima i internom portalu pristupa pomo?u Cisco VPN tunela.4.2.Korisni?ka ra?unalaUstanova XX zapo?ljava preko 160 zaposlenika na 4 lokacije. Ve?ina korisnika primarno je smje?tena na lokacija A i B te im je na raspolaganju standardna korisni?ka oprema koju ?ine stolna ra?unala sa instaliranim Windows 7 Professional SP1 x64 operativnim sustavom i 32-bitnim Microsoft Office 2007 – 2013 paketom. Operativni sustav kao i Microsoft office paketi automatski se a?uriraju pomo?u Microsoftovih slu?benog servisa ( Windows update ). Antivirusnu za?titu i za?titu od ?pijunskog i drugog potencijalno ne?eljenog softvera svakog ra?unala ?ine Microsoft Endpoint Client protection 2012 i Windows Defender aplikacija koje se tako?er redovito i automatski a?uriraju pomo?u Windows update servisa. Kao dodatak rezidencijalnoj za?titi, na svakom ra?unalu instaliran je i Malwarebytes Anti-malware softver koji se koristi za on-demand skeniranje korisni?kog sustava. Uz navedeno, kako bi se dodatno smanjila mogu?nost kompromitacije interne mre?e spajanjem nea?uriranog ili zara?enog ra?unala u internu ra?unalnu mre?u ustanove, na svim preklopnicima uklju?eno je MAC filtriranje ?ime je u potpunosti onemogu?eno spajanje neautoriziranog hardvera. Sva desktop ra?unala spojena su na preklopnike 100Mbit/s vezom.Uz stolna ra?unala korisnici ustanove koriste i 50-ak prijenosnih ra?unala koja se na mre?u spajaju pomo?u Wifi mre?e koja se nalazi u zasebnom Vlanu (Virtual Local Area Network) te se u internu mre?u ustanove mogu spajati samo pomo?u Cisco VPN klijenta uz autentifikaciju sa AAI identitetom. Tako?er va?no je napomenuti da svi korisnici imaju domenske ra?une sa isklju?ivo user pravima definiranim u group policy u Windows Aktivnom direktoriju (Active Directory) koji onemogu?ava modificiranje operativnog sustava odnosno neovla?tenu instalaciju aplikacija.4.3Rje?enje backup sustava korisni?kih podatakaKorisnici mogu dijeliti klju?ne datoteke izme?u sebe i drugih korisnika te kreirati manualno sigurnosne kopije svojih klju?nih podataka na dijeljenim diskovima poslu?itelja. Dijeljene mre?ne lokacije lokalno su mapirane na korisni?kim ra?unalima. Prava pristupa korisnika mre?nim direktorijima definirana su ponaosob za svakog od korisnika u Windows aktivnom direktoriju. Za sve dijeljene lokacije koje se nalaze na poslu?iteljima kreiraju se inkrementalne sigurnosne kopije na sredi?nje diskovno spremi?te u Srcu pomo?u IBM Tivoli Storage Manager rje?enja za pohranu podataka.[27] (Slika 14.)Slika SEQ Slika \* ARABIC 14. Izgled mre?e na lokacijama ustanove XXPremda su svi mre?ni korisni?ki podaci sigurni, situacija sa podacima pohranjenim lokalno na korisni?kim ra?unalima (HDD (Hard Disk Drive) ili SSD (Solid State Drive)) je potpuno druga?ija. Sigurnost podataka koji su lokalno pohranjeni minimalna je i ovisi prije svega o savjesnosti korisnika ra?unala i njegovo volji da redovito kreiraju sigurnosne kopije svojih podataka prijenosne diskove. Nedostatak implementacije mehanizma za?tite lokalno pohranjenih korisni?kih podataka, bilo u vidu stvaranja sigurnosnih kopija ili uvo?enja roaming korisni?kih profila koji bi se naknadno sigurnosno pohranjivali pomo?u IBM Tivoli backup rje?enja na centralno podatkovno spremi?te Srca, ostavili su korisnike i njihove lokalno pohranjene podatke potpuno neza?ti?ene od potencijalnog gubitka va?nih podataka. Samo lokalno pohranjeni podaci izlo?eni su nepovratnom gubitku kako u slu?aju kvara diskovnog podsustava ra?unala tako i u slu?aju razornih kripto ransomware napada, kao ?to ?emo vidjeti u narednim poglavljima ovog rada.5.Napad kripto ransomware malicioznog softveraU ovom poglavlju fokus ?e biti stavljen na specifi?ni napad koji se dogodio na ustanovu XX u velja?i 2015. godine. Prou?avati ?e se vektor zaraze sustava, kronologija samog napada, identifikacija doti?ne porodice kripto ransomware, njezinim specifi?nostima i mehanizmom enkriptiranja datoteka te poku?ajem spa?avanja enkriptiranih podataka. 5.1.Vektor ?irenja infekcije i kronologija napadaKripto ransomware maliciozni softver spada pod skupinu trojanskih konja. Naziv trojanski konj, odnosno trojanac su dobili prema starogr?kom mitu o trojanskom konju koji premda je bio predstavljen kao poklon Grka Trojancima u ime mira, zapravo je bio zamaskirani ratni plan da se u grad Troju u veliko drvenom konju infiltriraju gr?ki ratnici. Upravo na takav na?in i trojanski malver softver funkcionira. Potrebna mu je suradnja odnosno akcija budu?e ?rtve da se infiltrira u ra?unalni sustav i izvr?i svoju malicioznu funkciju. Stoga su vektori ?irenja infekcije naj?e??e pomo?u drive-by metode, zara?enih privitaka e-po?te, instalacijom pomo?u trojan-downloader malvera koji je ve? kompromitirao sustav ?rtve kao i pomo?u infiltracije kroz RDP servis.S obzirom da se u slu?aju promatranih napada na ustanovu XX radilo o tipu ?sleeper“ (spava?) kripto ransomware-u koji je umjesto da je malicioznu radnju izvr?io odmah po zarazi ?rtvinog ra?unala, doti?ni je malver skriven u sustavu i neaktivan ?ekao unaprijed zadani termin izvr?avanja svojeg malicioznog zadatka. Upravo radi takvog pona?anja ovog kripto ransomware malicioznog softvera, vrlo je te?ko sa stopostotnom sigurno??u utvrditi vektor zaraze sustava. Me?utim, u slu?aju prvog napada, 25.2.2015. godine, sve indicije upu?uju na drive-by vektor zaraze. Drive-by vektor zaraze ra?unalnog sustava inficira sustav posje?ivanjem web stranice na kojoj se nalazi maliciozni kod. U preko 80% slu?ajeva radi se o legitimnim stranicama koje su i same postale ?rtve cyber kriminalaca. Nakon pristupanja zara?enoj legitimnoj stranici, malver preusmjerava korisni?ko ra?unalo na drugu stranicu koju kontroliraju cyber kriminalci na kojoj se nalazi sofisticirani maliciozni softver (exploit kit) koji slu?i za skeniranje ?rtvinog ra?unala u potrazi za sigurnosnom rupom u samom operativnom sustavu ili aplikacijama tre?e strane. Naj?e??e se radi o sigurnosnim propustima u nea?uriranim ina?icama Adobe Flash i Oracle Java dodacima za Internet pretra?iva?e. U slu?aju da maliciozni paket za tra?enje sigurnosnih slabosti sustava prona?e propust, iskori?tava ga i na ?rtvino ra?unalo isporu?uje maliciozni paket (payload) te ga zara?uje sa ?eljenim malicioznim kodom.[28] (Slika 15.) Slika SEQ Slika \* ARABIC 15. Ikonografija drive-by zaraze malverom u 5 fazaKronologija napada na ustanovu XX pokazuje upravo takav uzorak zaraze korisni?kih ra?unala sa kripto ransomware softverom vidimo u prvom razmatranom slu?aju. Sa adrese pt33951526@unizg.hr (Telekom), 23.02.2015. sti?e masovna spam poruka na sve korisni?ke adrese promatrane ustanove, sa naslovom RechnungOnline Februar 2015 (Buchungs-Kto.: 2134306722) tj. online ra?un za 2. mjesec 2015. godine u iznosu 362,83 eura. U samoj poruci nalazi se poveznica Abrechnungsjahr/festnetz/rechnung sa putanjom na RechnungFebruar2015 koju nekolicina neopreznih i naivnih zaposlenika otvara. ( Slika 16. )Slika SEQ Slika \* ARABIC 16. Spam phishing e-mail koji preusmjerava korisnike zara?enu stranicu Pritom su njihovi Internet pretra?iva?i preusmjereni na zara?enu stranicu koja se nalazi u gradu Dhaka u Banglade?u. Na toj web stranici nalazi malicizni kod kojim se izvr?ava drive-by napad i isporu?uju maliciozni paket sa kripto ransomware malicioznim softverom na korisni?ka ra?unala bez znanja korisnika i bez potrebe za administratorskim pravima kako bi zarazio korisni?ko ra?unalo. Na ra?unala se instalira kripto ransomware porodice Filecoder. Jedina naznaka zaraze ra?unala malicioznim softverom vidljiva je u kratkotrajnom sumnjivom mre?nom prometu za vrijeme kojeg zara?ena ra?unala generiraju mre?ni promet sa 10-ak tisu?a UDP (User Datagram Protocol) paketa veli?ine 64 do 100 byte-a kakav se naj?e??e koristi DDOS (Distributed Denial-of-service attack) napade. Me?utim svrha generiranja takvog prometa u promatranom slu?aju nije u potpunosti razja?njena ve? je samo indikator zaraze sustava. Nakon generiranja spomenutog mre?nog prometa, Filecoder kripto ransomware mirovati ?e na svim zara?enim strojevima do srijede 25.02.2015. u 11.30 kada ?e se izvr?iti maliciozni kod na zara?enim poslovnim sustavima diljem Hrvatske i enkriptirati ogromne koli?ine korisni?kih podataka u samo nekoliko minuta. (Slika 17.)Slika SEQ Slika \* ARABIC 17. Vremenska linija napada Filecoder ransomware-a sa ozna?enim periodima napada na ustanovu XXS obzirom da Filecoder kripto ransomware primarno cilja poslovne subjekte, ovaj ransomware maliciozni softver cilja jedino dijeljenje direktorije. Premisa kreatora ovog malicioznog softvera je u ideji da uglavnom samo poslovni korisnici dijele me?u sobom poslovne dokumente na lokalnim lokacijama i zajedni?kim dijeljenim mre?nim lokacijama. Lokalno pohranjeni podaci na korisni?kim ra?unalima koji nisu dijeljeni nisu enkriptirani, premda se radilo o tipovima datoteka ?ije je ekstenzije Filecoder kripto ransomware softver na dijeljenim lokacijama enkriptirao. Tako?er bitno je napomenuti da je za uspje?no pristupanje i enkriptiranje podataka na dijeljenim mre?nim lokacijama ovoj verziji Filecoder kripto ransomware-a preduvjet je da te mre?ne lokacije budu mapirane na korisni?kim ra?unalima do?im novije verzije kripto ransomware malicioznih softvera to nije potrebno ve? je dovoljno da korisnik ima prava ?itanja i pisanja po mre?nim lokacijama.U slu?aju promatrane zara?ene ustanove XX tri korisni?ka ra?unala zara?ena koja su imala dozvolu ?itanja i pisanja (R/W prava) za odre?ene mre?ne direktorije kao i dozvolu ?itanja i pisanja (R/W prava) na lokalno dijeljene direktorije kod ?etvero drugih korisnika. Rezultat u?injene ?tete nad podacima korisnika iznosio je preko 80Gb podataka na 7 razli?itih korisni?kih ra?unala te na 40-akGb podataka dva poslu?itelja na kojima su bili dijeljeni zajedni?ki korisni?ki podaci. Koraci poduzeti nakon enkripcije mre?no i lokalno pohranjenih podataka sveli su se na bezuspje?no skeniranje sustava napadnutih ra?unala te podatkovnih poslu?itelja sa a?uriranim verzijama Microsoft Endpoint Client protection 2012, Windows Defender, Malwarebytes Anti-malware i ESET Nod32 sigurnosnim aplikacijama. Sva skeniranja pokazivala su ?iste i od malvera sigurne sustave. Razlog la?no negativnim rezultatima skeniranja zara?enih sustava le?i u ?injenici da se radilo o ?zero-day“ napadu tj. o napadu nove i dotad nepoznate verzije malvera koji iz tog razloga nije bio identificiran niti od jednog proizvo?a?a sigurnosnog softvera. (Slika 18.) Slika SEQ Slika \* ARABIC 18. Datum analize doti?nog Filecoder ransomware-a (28.02.2015.)Nakon bezuspje?nog ?i??enja Filecoder ransomware-om pogo?enih ra?unala, enkriptirani korisni?ki podaci su sigurnosno arhivirani te su zatim ra?unala reinstalirana. Podaci enkriptirani na mre?nim diskovima, vra?eni su pomo?u IBM Tivoli sigurnosne kopije pohranjene na poslu?iteljima Srca.U narednom poglavlju biti ?e rije?i o poku?ajima spa?avanja odnosno dekripciji podataka za koje nije postojala sigurnosna kopija. (Slika 19. )Slika SEQ Slika \* ARABIC 19. Enkriptirani podaci sa jedinstvenim identifikatorom za svaku pojedina?nu ??rtvu“ napada u ustanovi XX5.2Filecoder kripto ransomwareOvo poglavlje biti ?e posve?eno prvenstveno kripto ransomware malicioznom softveru iz porodice Filecoder koji je odgovoran na ransomware napad ustanovu XX kao i na veliki broj drugih poslovnih subjekata u Republici Hrvatskoj u velja?i i o?ujku 2015. godine. U fokusu ?e biti specifikacije ove porodice kripto ransomware-a te Filecoder mehanizam enkriptiranja datoteka i na?ina njihovog spa?avanja odnosno dekriptiranja.5.2.1Porodica, Specifikacije, Vektor infekcijePrve verzije Filecoder kripto ransomware trojanskog konja pojavile su se ve? u drugoj polovici 2009. godine te ih je do danas kreirana 31 vrsta. ESET nod32 sigurnosna firma ih imenuje kao Win32/Filecoder.%% gdje %% predstavlja kombinaciju slova. Filecoder kripto ransomware koji je napao u velja?i i o?ujku promatranu ustanovu XX spada pod Win32/Filecoder.DG verziju. S obzirom da sigurnosne firme nemaju unificirani sustav imenovanja malicioznog softvera, ovu porodicu kripto ransomware mo?emo naj?e??e na?i i pod sljede?im nazivima: Trojan.Agent.BHRT ( Bitdefender ), Trojan.Win32.Filecoder ( Ikarus ), FileCryptor.WD, ( AVG ), Ransom:Win32/Isda.A (Microsoft), Trojan-Ransom.Win32.Aura.cj (Kaspersky), Trojan.Ransom.FileCryptor ( Malwarebytes ), Troj_CrypFud.A ( Trendmicro ), itd. Ovaj kripto ransomware trojanac zapisuje samog sebe u Windows common Startup direktorij kojim si omogu?ava automatsko pokretanje prilikom svakog podizanja operativnog sustava. Win32/Filecoder.DG zapisuje fud.bmp datoteku u sljede?e lokacije: %Application Data%\fud.bmp i %Start Menu%\Programs\Startup\fud.bmp u slu?aju da se radi o Windows 2000, Windows Server 2003 te Windows XP (32bit i x64) Ukoliko se radi o Windows Vista (32bit i x64), Windows 7 (32bit i x64), Windows 8 (32bit i x64), Windows 8.1 (32bit i x64), Windows Server 2008 (32bit i x64) i Windows Server 2012 (32bit i x64) ovaj kripto ransomeware trojanski konj upisuje fud.bmp u sljede?e lokacije:C:\Users\{user name}\AppData\Roaming\fud.bmp C:\Users\{user name}\AppData\Roaming\Microsoft\Windows\Start Menu\fud.bmpRadi se u slikovnoj datoteci koju ovaj malver postavlja kao desktop pozadinu sa obavijesti o izvr?enoj enkripciji podataka kao i sa uputama kako kontaktirati kreatore ovog malicioznog softvera. (Slika 20.)Slika SEQ Slika \* ARABIC 20. Obavijest na zara?enim ra?unalima ustanove XX Win32/Filecoder.dg malvera o napadu uz upute kako kontaktirati kreatoreKako bi mogao postaviti fud.bmp sliku kao desktop pozadinu na zara?enom ra?unalu ovaj Filecoder modificira Windows registar (registry) sa sljede?im unosom:[HKEY_CURRENT_USER\?Control Panel\?Desktop]"TileWallpaper" = "0""Wallpaper" = "%appdata%\fud.bmp"Win32/Filecoder.DG kripto ransomware pretra?uje fiksne i prijenosne diskove, memorije i mre?ne lokacije koje su mapirane od C: do Z: Ukoliko lokacije nisu mapirane nisu u opasnosti od ovog verzije kripto ransomware-a. Wind32/Filecoder.DG pretra?uje prethodno spomenute lokacije za sljede?im ekstenzijama: .1cd, .3gp, .7z, .arj, .avi, .cdr, .cer, .cpt, .csv, .db3, .dbf, .doc, .docx, .dt, .dwg, .gzip, .jpeg, .jpg, .key, .m2v, .mdb, .mdb, .mkv, .mov, .mpeg, .ods, .odt, .pdf, .ppsx, .ppt, .pptx, .pwm, .rar, .raw, .rtf, .tib, .txt, .wab, .xls, .xlsx i .zip. Ukoliko prona?e datoteke sa nekom od spomenutih ekstenzija datoteke ?e enkriptirati sa AES 256bitnom enkripcijom. Ova verzija Filecoder malvera izbjegava enkriptirati datoteke sa prethodno spomenutim ekstenzijama koje se nalaze u program files, program files (x86), programdata, system volume information, temp i windows direktorijima kako bi osigurao nesmetan i ispravan rad operativnog sustava.[29][30][31]Enkriptirane datoteke Win32/Filecoder.DG preimenuje prema sljede?em algoritmu:{ime dokumenta i ekstenzija}.id-{deseteroznamenkasti broj}_fud@Sami enkriptirani dokument Windows operativni sustav vidi kao MS-dos aplikaciju. Filecoder malver tako?er modificira Internet explorer postavke zone kako bi mogao komunicirati pomo?u HTTP protokola sa i [31] web stranicama na koje najvjerojatnije skladi?ti AES 256 bitne klju?eve inficiranih ra?unala.Vektori infekcije Filecoder.DG ransomware malverom isti su kao i kod ostalih trojanskih konja kojima je zajedni?ki nazivnik phishing i socijalni in?enjering kojim se neoprezni korisnik mami da izvr?i radnju nu?nu za zarazu ra?unala ovom vrstom malvera. Radi se o drive-by vrsti zaraze - posje?ivanjem zara?ene web stranice, otvaranjem zara?enih email privitaka, kori?tenjem crackova u svrhu piratizacije softvera, instalacijom kroz RDP Windows protokol ili zarazom pomo?u, na ra?unalu ve? postoje?eg, trojan-downloader malvera. 5.2.2Mehanizam pristupanju i enkriptiranju datotekaPremda samo mali postotak od ukupnog broja ransomware malvera za svrhu ima enkriptiranjem oteti korisni?ke podatke, upravo ova vrsta ransomware-a najkompleksnija, najunosnija te najdestruktivnija po napadnutog korisnika. Stoga ?e se ovo poglavlje rada baviti procesom manipuliranja datote?nom sustava i enkripcijom datoteka koji kripto ransomware malveri koriste pri napadu na korisni?ke podatke. (Tablica 4. )Tablica 4. Pregled ransomware malvera po porodicama i pripadaju?im vrstama napadaMehanizmi enkriptiranja podataka kod 4 dominantne porodice kripto ransomware premda su sli?ni po na?inu funkcioniranja, oni se ipak razlikuju. Tako CryptoWall i Cryptolocker porodice ransomware malvera koriste standardni Windows kriptografski API, koji je sastavni dio Windows operativnih sustava, kako bi enkriptirali korisni?ke podatke. Navedene porodice kripto ransomware malvera pozivaju preko I/O managera funkcije IRP_MJ_CREATE za otvaranje korisni?ke datoteke, zatim ?itaju sadr?aj datoteke pomo?u IRP_MJ_READ, nakon ?ega pozivaju iz Windows standardnog CryptoAPI-a CryptEncrypt funkciju koja pomo?u enkripcijskog klju?a direktno enkriptira otvoreni tekst pro?itan iz datoteke i nakraju zapisuju enkriptirani sadr?aj nazad u datoteku IRP_MJ_WRITE funkcijom. [32]Filecoder kripto ransomware poput onog koji je napao ustanovu XX 25.02.2015 i 18.03.2015. godine, za razliku prethodno navedenih Cryptolocker i Cryptowall koristi vlastiti kriptosustav. Razlozi kori?tenja vlastitog pristupa kriptiranju podataka le?i u ?injenici da su i najmanje promjene u pona?anju malvera, odnosno kori?tenje druga?ijih procedura za izvr?avanje malicioznog zadatka, ?esto dovoljne kako bi se malver prikrio od identifikacije i zavarao antivirusne alate.Filecoder malver koriste Windows Defragmentation API kako bi dobile temeljni (raw)- pristup podacima na ciljanom disku. Filecoder ransomware-a prvo generira enkriptiranu verziju datoteke uz upotrebu 256 bitnog AES klju?a, a zatim kad prona?e datoteku koja odgovara ekstenzijom odnosno koja je cyber kriminalcima interesantna za otimanje, IRP_MJ_READ funkcijom ?ita sadr?aj datoteke, u me?uspremniku enkriptira sadr?aj AES algoritmom te ga IRP_MJ_WRITE I/O funkcijom upisuje u prethodno kreiranu enkriptiranu datoteku. Nakon zavr?etka zapisivanja podataka u enkriptiranu datoteku i zatvaranja originalne datoteke, Filecoder malver preko I/O managera poziva IRP_MJ_INFORMATION pomo?u koje bri?e originalnu datoteku.[32] Nove verzije kripto ransomware-a, uklju?uju?i i Win32/Filecoder.DG koji je odgovoran za napad na ustanovu XX, poku?avaju otkriti i zatim enkriptirati podatke na svim dijeljenim mre?nim lokacijama na koje imaju pristup, kako bi smanjile mogu?nost povrata podataka. Kako bi to otkrili dijeljene mre?ne lokacije kripto ransomware maliciozni softver naj?e??e poziva GetLogicalDrives, GetDriveType ili neku od sli?nih sistemskih funkcija.[32]Tipovi IRP zahtjeva Filecoder prilikom kripto ransomware napada (Slika 21.)Slika SEQ Slika \* ARABIC 21. Filecoder IRP zahtjevi za vrijeme enkripcije te zatim brisanja originalnih datotekaU slu?aju specifi?nog WIN32\Filecoder.dg malvera, odgovornog za napada na ustanovu XX va?no je napomenuti da, kako bi osigurao ?im ve?u brzinu enkriptiranja korisni?kih datoteka, ovaj Filecoder malver koristi vrlo brzu AES enkripciju te samo enkriptira prvih 30kb datoteke, ?ime zapravo enkriptira samo zaglavlje (Header ) datoteke. S obzirom da se u zaglavlju nalaze podaci nu?ni za ispravno otvaranje i interpretiranje datoteke, enkriptiranje samo prvih 30kb datoteke dovoljno je da datoteku u?ini neupotrebljivom bez prethodnog dekriptiranja zaglavlja. Jedini dobar moment u enkripciji samo prvih 30kb datoteke je ?to je u slu?aju Microsoft Outlook ekstenzije .pst mogu?e scanpst.exe aplikacijom, koja je sastavni dio Microsoft Outlook aplikacije, popraviti .pst bazu i vratiti je u funkcionalno stanje. Sli?ni poku?aji na uobi?ajenim .pdf, .jpeg, jpg te Microsoft Office Word, Exel i Access tipovima datoteka nije mogu?e. Upravo brzina realizirana ovakvim pristupom kriptiranja podataka omogu?ila je ovom Filecoder malveru da u svega 5-6 minuta izvr?i enkripciju preko 120gb korisni?kih podataka na 7 ra?unala i 2 poslu?itelja.Kako bi se ?im vi?e smanjila potencijalna ?teta kripto ransomware malvera koji napadaju dijeljene lokacije, treba izbjegavati dijeljenje podataka na na?in da se prava ?itanja i pisanja (Read/Write) na dijeljenu lokaciju daju svim korisnicima (share with everyone), ve? da se dijeljenju podataka treba pristupiti na individualnoj osnovi, odnosno da se podaci dijele samo izme?u korisnika kojima uistinu treba pristup odabranom direktoriju.5.2.3.Na?ini povrata enkriptiranih datotekaKao ?to je prethodnim poglavljima spomenuto, napadi Win32/Filecoder.DG malvera u srijedu 25.02.2015. u 11.30 i u srijedu 18.03.2015. u 13.30 na ustanovu XX ostavili su iza sebe cca. 120Gb enkriptiranih podataka u prvom i cca. 80Gb enkriptiranih podataka u drugom napadu. Nakon izvr?enog napada na raspolaganju su ?etiri opcije povrata enkriptiranih podataka, koje su zapravo univerzalne za sve vrste kripto ransomware napada. Radi se u ?etiri mogu?e opcije: Vratiti enkriptirane podatke iz sustava za izradu sigurnosnih kopija, dekriptirati podatke koriste?i softverska rje?enja tre?ih strana, ne poduzeti ni?ta i platiti otkupninu za otete podatke iznu?iva?ima.[33]Vratiti podatke iz sigurnosne kopije podatakaPodsustav za izradu sigurnosnih kopija podataka od neprocjenjive je va?nosti za svaki kako poslovni te u zadnje vrijeme sve vi?e i privatni ra?unalni sustav. Premda se detaljni koraci o povratu podataka iz backup sustava razlikuju od rje?enja do rje?enja, u slu?aju da postoji backup enkriptiranih podataka, iz njega se vrlo lako, u usporedbi sa drugim opcijama spa?avanja podataka, radi povrat, iz bilo kojeg razloga izgubljenih, datoteka.U slu?aju ustanove XX, od cca. 120Gb enkriptiranih podataka u prvom i cca. 80Gb enkriptiranih podataka u drugom napadu samo se 80Gb podataka nalazilo na dijeljenim direktorijima na poslu?iteljima koji su imali konfiguriranu inkrementalnu izradu sigurnosnih kopija pomo?u IBM Tivoli sustava na poslu?itelje Srca. Povrat tih podataka bio je zavr?en unutar nekoliko sati od trenutka napada.U slu?aju napada neke od verzija kripto ransomware-a poput Win/Filecoder.DG malvera, koji ne bri?u ili kriptiraju Windows System restore point odnosno Shadow Copy, mogu?e je podatke povratiti iz to?ke prije same zaraze sustava i enkripcije datoteka. Ukoliko je System restore uga?en na ra?unalu kao u slu?aju ustanove XX gdje za 120Gb podataka na 7 ra?unala, to?ke oporavka nisu postojale, nije mogu?e povratiti podatke u stanje prije zaraze sustava i enkripcije istih. U tom slu?aju jedina alternativa je isku?ati preostale prethodno navedene opcije.Dekriptirati podatke pomo?u dekriptor alata razvijenih od strane antivirusnih kompanijaUkoliko za korisni?ke podatke ne postoji neka verzija sigurnosne kopije, poku?aj spa?avanja podataka nekim od dekriptorskih alata antivirusnih kompanija sljede?i je razumni korak. Me?utim, ?anse za spa?avanje odnosno dekriptiranje podataka zapravo su vrlo male. Naime, razlog tome je da su ti alati pisani za specifi?nu verziju odre?enog kripto ransomware malvera te da jednostavno ne funkcioniraju u slu?aju poku?aja dekriptiranja podataka enkriptiranih ?ak i minimalno razli?itom verzijom kripto ransomware-a, a kamoli malverom iz druge porodice kripto ransomware-a koji koriste druga?ije vrste enkripcije, poput RSA. Takvi alati naj?e??e funkcioniraju na na?in da su im za uspje?no izvla?enje klju?a kojim je enkriptirana datoteka potrebna originalna i enkriptirana datoteka. (Slika 22.)Slika SEQ Slika \* ARABIC 22. Primjer alata za dekriptiranje datotekaU promatranom slu?aju napada na ustanovu XX za potrebe spa?avanja preostalih 120Gb enkriptiranih podataka isprobano je 15-ak softverski rje?enja za dekripciju otetih datoteka poput dekripcijskih softverskih rje?enja od Kaspersky Lab-a, Eset-a, Panda i Bitdefender-a sigurnosnih firmi. Svi poku?aji izvla?enja klju?a bili su bezuspje?ni.Poku?aj brute force napada na AES 256 bitnu enkripciju koju koristi promatrani Filecoder malver, pri ?emu se isku?avaju svi mogu?i klju?evi (2256 opcija) u praksi nije mogu?a jer procijenjeno vrijeme isprobavanja svih klju?eva na super-ra?unalima iznosi 3.31x1056 godina. Za RSA 2048 bitnu enkripciju koja se koristi u drugim rodovima kripto ransomware malvera, procijenjeno vrijeme brute-force napada je kra?e od AES 256 enkripcije i iznosi 6.4x1015 godina.[34][35]Ne u?initi ni?ta po pitanju spa?avanja enkriptiranih podatakaNakon ?to su iscrpljena sva potencijalna tehni?ka rje?enja, jedina opcija je arhivirati enkriptirane podatke i pri?ekati odre?eni vremenski period u vjeri da ?e se u nekom trenutku pojaviti dekriptorski softver sposoban dekriptirati datoteke, a novac umjesto za otkupninu ulo?iti u novo backup rje?enje i efikasniji antivirusni softver.Platiti tra?enu otkupninu za povrat podatakaNove verzije kripto ransomware malvera prvenstveno ciljaju poslovne sustave kao svoje primarne ?rtve, a razlog tome je ?isto financijske prirode. U dana?nje doba ICT tehnologije duboko su prodrle u sve pore poslovanja gotovo svakog poslovnog subjekta. Stoga su digitalni podaci poslovnim subjektima prakti?ki najvrijednije posjed jer o njima ovisi cijelo poslovanje firme i njihov gubitak mogao bi imati katastrofalne posljedice po poslovanje, pa ?ak i opstojnost firme. Toga je svjesno i dobro organizirano kriminalno podzemlje, naj?e??e iz isto?ne Europe [33] koje iz prethodno navedenih razloga, kao i ve?e financijske sposobnosti poslovnih subjekata, s pravom vjeruje da je ?ansa da ?e iznuditi otkupninu za enkriptirane podatke neusporedivo ve?a kod poslovnih subjekata nego li kod privatnih. ?rtve napada kripto ransomware softvera, koje se odlu?e za pla?anje otkupnine ?esto postavljaju pitanje da li ?e kriminalci nakon ?to se napravi uplata dekriptirati otete podatke. Odgovor je uglavnom pozitivan s obzirom da kriminalci prvenstveno imaju financijsku korist na umu i da im je kredibilitet vrlo bitan kako bi osigurali da se ?im vi?e ?rtava napada odlu?i za pla?anje otkupnine.[33]Kako bi ?im vi?e olak?ali pla?anje otkupnine, tvorci kripto ransomware-a pobrinuli su se da ?rtvama isporu?e upute kako izvr?iti uplatu. Razli?ite porodice ransomware isporu?uju upute na razli?ite na?ine. Tako neke od kripto ransomware porodica malvera imaju ?ak i vlastito grafi?ko su?elje, dok primjerice promatrani Filecoder.DG malver, odgovoran za napad na ustanovu XX samo ostavlja sliku tekstualne upute (Slika 20.) sa e-mail adresom na koju ?rtva treba kontaktirati kreatore malvera kako bi dobili daljnje upute za uplatu otkupnine. Novije verzije Filecoder ransomware-a po tom pitanju jo? su sofisticiranije pa, kako bi izbjegli nepotrebnu inicijalnu komunikaciju i mogu?u kompromitaciju, generiraju u enkriptiranim direktorijima tekstualne i/li HTML datoteke sa detaljnim uputama. Primjer takve upute u tekstualnoj datoteci naziva how_to_recover.txt, nabavljene sa napadnutog ra?unala (CryptoWall malver ) jednog zagreba?kog arhitektonskog ureda u prosincu 2015., mo?emo vidjeti u nastavku: __!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#! NOT YOUR LANGUAGE? USE What happened to your files ?All of your files were protected by a strong encryption with RSA-4096.More information about the encryption keys using RSA-4096 can be found here: (cryptosystem)How did this happen ?!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.What do I do ?So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:1. . . . 5. 6. If for some reasons the addresses are not available, follow these steps:1. Download and install tor-browser: 2. After a successful installation, run the browser and wait for initialization.3. Type in the address bar: t7r67vsrpjcm5dfc.onion/7954F1FECF14F8D 4. Follow the instructions on the site.!!! IMPORTANT INFORMATION:!!! Your personal pages: !!! Your personal page in TOR Browser: t7r67vsrpjcm5dfc.onion/7954F1FECF14F8D !!! Your personal identification ID: 7954F1FECF14F8D========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!Bez obzira na na?in dostave uputa, glavni sastojci su uvijek isti. Koliko iznos kriminalci tra?e za dekripciju podataka, kome izvr?iti uplatu i preostalo vrijeme za izvr?enje uplate.[33]Upute sadr?e vi?e privremenih adresa, kratkog ?ivotnog vijeka koje vode ?rtvu na stranicu personaliziranu za doti?nu ?rtvu napada. Na samoj stranici se nalazi broja? vremena, sa zahtijevanim iznosom otkupnine u Bitcoin valuti, uz prijetnju da ?e se iznos otkupnine udvostru?iti ukoliko se inicijalni iznos otkupnine ne uplati do zadanog roka. Ispod broja?a se obi?no nalaze upute kako najjednostavnije kupiti bitcoin valutu te bitcoin adresa na koju je potrebno izvr?iti uplatu. Kako bi se uplata mogla izvr?iti ?rtva u slobodno polje mora unijeti prethodno nabavljeni ID transakcije (jednokratni token ) i klikom na ?PAY“ finalizirati uplatu. (Slika 23.)Slika SEQ Slika \* ARABIC 23. Personalizirana privremena stranica sa broja?em, iznosom otkupnine, BTC sustavom za uplatu otkupnineVa?no je napomenuti da ukoliko web adresama iz uputa ?rtva ne uspije pristupiti kroz normalni Internet pretra?iva?, potrebno je da instalira TOR pretra?iva? i iz njega pristupi dostavljenim adresama.Nakon ?to je uplata izvr?ena, potrebno je pri?ekati odre?eno vrijeme kako bi cyber kriminalci koji stoje iza otmice podataka imali vremena poslati download link za preuzimanje dekriptorskog alata i klju?a potrebnog za dekripciju ?rtvinih podataka. Vrijeme ?ekanja naj?e??e se kre?e oko nekoliko sati od vremena uplate otkupnine. [33] Kad govorimo o razmatranom slu?aju napada 25.02.2015. na ustanovu XX, tra?eni iznos otkupnine iznosio je 2BTC odnosno oko 500$ na dan napada. [36]Donesena je odluka da se ne izvr?i uplata otkupnine za enkriptirane podatke, tako da je ukupan finalni rezultat oba kripto ransomware napada na promatranu ustanovu XX iznosio 120Gb izgubljenih dokumenata.Kako se za?titi od ovakvih napada razmatrati ?e se u sljede?em poglavlju ovog rada. 6. Za?tita od kripto ransomware malicioznog softvera. Kad govorimo o prevenciji i za?titi ra?unalnog sustava od kripto ransomware malvera vrlo va?no je biti proaktivan jer je i u ovom slu?aju bolje sprije?iti nego lije?iti. Bez obzira na nepostojanje idealnog sigurnosnog softverskog rje?enja i sigurnosne politike koje ?e omogu?iti stopostotnu sigurnost ra?unalnih sustava poslovnih i privatnih subjekata, a u isto vrijeme omogu?iti neometan korisni?ki rad, postoji mno?tvo koraka i pristupa koje svaki korisnik i firma mogu poduzeti kako bi se obranili od ove, vrlo opasne vrste malvera. Ti koraci biti ?e razmotreni u nastavku ovog poglavlja.6.1.Sigurnosni softver i vatrozidna za?titaPotpuna za?tita sigurnosnih softvera od kripto ransomware malvera nije mogu?a. Detaljni razlozi tome su mnogi, no mogu se sumirati u jednoj re?enici. Antivirusna rje?enja su odgovor na prijetnju, reagiraju retroaktivno i ne mogu uvijek predvidjeti sve sigurnosne prijetnje koje vrebaju u bespu?ima interneta te su stoga uvijek korak iza inventivnih i vrlo motiviranih kreatora malvera. Premda savr?eni sigurnosni softver ne postoji, to ni u kojem slu?aju ne zna?i da sigurnosni alati nisu od ogromne va?nosti u obrani ra?unalnih sustava poslovnih i privatnih subjekata, u kako od ove vrste malvera, tako i od drugih malicioznih softvera. Naprotiv, potreba za takvim softverskim alatima iz dana u dan je sve ve?a, s obzirom na sve ve?u sofisticiranost i ra?irenost malicioznih softvera. Antivirusna rje?enja nove kripto ransomware malvere te?ko mogu identificirati, s obzirom da kripto ransomware malveri zapravo na ra?unalu ne poduzimaju (iz perspektive aktivnosti diskovnog podsustava) neuobi?ajene radnje. Kripto ransomware zapravo samo pristupaju podatkovnom sustavu te vr?e radnje ?itanja i pisanja. Me?utim, novija istra?ivanja pokazuju da ipak postoje na?ini razlikovanja maliciozne aktivnosti diskovnog podsustava od benigne. Tako analize pokazuju da, u slu?aju kripto ransomware napada, diskovni podsustav pokazuje povi?enu i abnormalnu aktivnost poput velikog broja sli?nih poziva I/O funkcija kao ?to su enkripcijska funkcija i funkcija brisanja datoteka u vrlo kratkom vremenu. Tako?er je mogu?e pomnim nadzorom MFT (Master File Table) tablice detektirati kreiranje, enkripciju i brisanje datoteka. Kod enkripcije datoteka vidljiv je ogroman broj MFT zapisa sa enkriptiranim sadr?ajem u $DATA atributu enkriptiranih datoteka koje ne dijele istu putanju direktorija.[32] S obzirom da gotovo svi kripto ransomware malveri za vrijeme napada stvaraju ovakvu aktivnost diskovnog sustava [32] mogu?e je ( za razliku od standardnih metoda detektiranja malicioznog koda koje uglavnom funkcioniraju samo za poznate vrste kripto ransomware-a), stvoriti znatno mo?nije aplikacije za detekciju ove vrste malvera koje bi bile u stanju detektirati i blokirati ?ak i nove, nepoznate vrste kripto ransomware malvera. Uz nadziranje aktivnosti diskovnog podsustava, dodatnu razinu za?tite predstavlja kori?tenje posebno nadziranih mamaca u vidu datoteka u, za malver najinteresantnijim diskovnim lokacijama, , kojima kripto ransomware malver ne mo?e odoljeti.[32] Te datoteke mamci (decoy) bile bi u stalnoj komunikaciji sa sigurnosnim softverom te ukoliko bi se dogodio poku?aj enkripcije tih datoteka, sigurnosni softver bi automatski blokirao pristup diskovnom podsustavu. Iako se inicijalno antivirusna industrija na?la zate?ena i nespremna za pandemiju kripto ransomware malvera, stvari su se znatno promijenile na bolje, tako da u ovom trenutku postoje mnoga softverska rje?enja za za?titu ra?unalnog sustava od kripto ransomware malvera. Jedan od najpopularnijih softvera za borbu protiv ove vrste malvera je Cryptomonitor kojeg preporu?uje i Nacionalni CERT.[37] Cryptomonitor tako ?titi ra?unalni sustav nadziranjem CryptoAPI-a te Entrapment i Count za?titnim [38] metodama koje predstavljaju upravo prethodno opisane pristupe za?tite diskovnog podsustava od enkripcije podataka. Korisno je napomenuti da je u trenutku pisanja ovog rada profesionalna ina?ica Cryptomonitor softvera tako?er potpuno besplatna i da uklju?uje sve nabrojane vrste za?tite sustava. (Slika 24.)Slika SEQ Slika \* ARABIC 24. Besplatna Cryptomonitor PRO aplikacija sa uklju?enim svim modulima za?titeOsim samostalnih aplikacija (standalone) poput Cryptomonitora, sve ve?e antivirusne firme poput Bitdefendera, Eseta, Microsofta i drugih, izdale su sli?ne anti-ransomware module za svoja sigurnosna softverska rje?enja koja uspje?no ?tite diskovni sustav istim principima poput Cryptomonitora.Za?tita i nadziranje mre?nog prometa tako?er ima vrlo zna?ajnu ulogu u prevenciji napada svih vrsta malicioznog softvera, uklju?uju?i i kripto ransomware malver. Stoga je preporu?ljivo primijeniti inspekciju HTTP, FTP, IMAP, SMTP, POP3, CIFS/Netbios i TCP mre?nih tokova i onemogu?iti transfer Zip datoteka za?ti?enih zaporkom, MS Office dokumenata koji sadr?e makro naredbe ( VBA 5 ili vi?e) i naravno datoteka sa izvr?nim ili arhivskim ekstenzijama zip, .jar, .tar, .7z, .msi, .com, .exe, .scr, .bat, .js, .jse, .vb, .vbe, .wsf, .wsh, .cmd i drugih. [39] U vatrozidu je tako?er preporu?ljivo blokirati pristup poznatim C&C poslu?iteljima koje koriste malveri i onemogu?iti TOR komunikaciju koju neki ransomware malveri koriste za komunikaciju sa svojim C&C poslu?iteljima kako bi pribavili klju?eve potrebne za enkripciju podataka ?rtve. [40]Nije na odmet postaviti prikazivanje skrivenih (poznatih) ekstenzija datoteka kako bi se lak?e primijetile ekstenzije poput *.exe. Korisnik tako?er mo?e zabraniti pokretanje datoteka sa pokreta?kim ekstenzijama iz mapa poput Temp, Appdata ili LocalAppData, koje neki kripto ransomware malveri koriste kao ishodi?ne mape za svoje maliciozne exe datoteke. S obzirom da se neki ransomware alati oslanjaju na Windows RDP ( Remote Desktop Protocol ) kako bi zarazili ra?unalo, preporu?ljivo je taj servis ugasiti ukoliko ga korisnik ne upotrebljava. Vrlo bitno je da se poslu?iteljske i korisni?ke aplikacije i operativni sustavi odr?avaju redovitim nadogradnjama na nove verzije softvera. Kori?tenje softvera nadogra?enog na aktualnu verziju smanjuje mogu?nost infekcije ra?unalnog sustava iskori?tavanjem nekog od sigurnosnih propusta u operativnom sustavu ili aplikaciji. Uz sve navedeno, kao vid proaktivne za?tite preporu?a se koristiti kompleksne i slojevite sigurnosne softverske pakete renomiranih antivirusnih kompanija na poslu?iteljima i korisni?kim ra?unalima, koje radi svoje ekspertize i resursa, mogu br?e i kvalitetnije reagirati na pojavu novih, nepoznatih tipova razmatranog malvera.6.2.BackupBackup sustavi, zadnja su, no najva?nija linija obrane od potencijalnog katastrofi?nog gubitka podataka Stoga va?nost implementacije sustava za izradu sigurnosnih kopija ra?unalnog sustava i korisni?kih podataka ne treba posebno nagla?avati jer backup sustavi ne ?tite korisnike i firme samo od gubitaka podataka uzrokovanih kripto ransomware napadom ve? i svih ostalih izvora uni?tenja podataka uklju?uju?i i elementarne nepogode i prirodne katastrofe. S obzirom na opse?nost teme implementacije i izrade backup sustava, u ovom radu se ne?e ulaziti u detalje ve? ?e se samo ponoviti osnovne 3-2-1 smjernice izrade sigurnih kopija koje vrijede i za slu?aj napada kripto ransomware napada na poslovni informati?ki sustav.Redovito, po mogu?nosti inkrementalno kreiranje sigurnosnih kopija ( Backup ) va?nih podataka jedino rje?enje za povrat enkriptiranih podataka. Kako lokalni backup-ovi, lokalne restore to?ke i dijeljeni mre?ni diskovi vi?e nisu sigurni od napada novih vrsta kripto ransomware-a, va?no je imati ?im kvalitetnije backup rje?enje i kod izrade sigurnosnih kopija obratiti pozornost na sljede?a 3-2-1 pravila3 kopije: Imati bar 3 kopije svojih podataka radi ostvarivanja redundancije2 medija: dr?ati podatke na minimalno 2 razli?ita medija- kopirati sigurnosne kopije na medije kojima je nemogu?e naknadno promijeniti sadr?aj poput CD-a ( Compact Disc ) ili DVD-a ( Digital Versatile Disc ) te na bar jo? 1 jednom mediju poput trake, internih ili eksternih diskova i usb memorija.1 udaljena sigurnosna kopija: napraviti sigurnosnu kopiju podataka koji bi trebala biti ?im vi?e udaljena od primarne lokacije, po mogu?nosti na drugom kontinentu i odspojena od ra?unalnog sustava.6.3.Poslovna sigurnosna politika Kao ?to smo vidjeli u prethodnim poglavljima, glavni vektori zaraze poslovnih i privatnih informati?kih sustava, raznim tipovima malvera, uklju?uju?i i kripto ransomware malvere naj?e??e se realiziraju putem drive-by napada, zara?enim privitkom elektroni?ke po?te i kori?tenjem ?crackova“ za piratizaciju softvera i igara. Zajedni?ko svim spomenutim tipovima napada je potrebna asistencija od strane naivnog zaposlenika kako bi kripto ransomware zarazio ra?unalni sustav. Upravo stoga se cyber kriminalci masovno koriste socijalnim in?enjeringom u svrhu ?irenja svojih malicioznih programa. Sinergija korisni?ke znati?elje, naivnosti, neznanja pa katkad ?ak i gluposti nevjerojatno je opasan i vrlo potentan izvor sigurnosnih propusta i rupa u ra?unalnom sustavu koji ?e se kreatori malvera potruditi iskoristiti.Stoga je klju?an moment podi?i op?e informati?ko znanje zaposlenika i upoznati ih pomo?u sigurnosnih treninga i seminara sa prijetnjama koje vrebaju na internetu, prevencijom kompromitacije sustava, sigurnim radom na ra?unalu i adekvatnom reakcijom u slu?aju napada na ra?unalni sustav. Tako?er poslovni subjekti trebali bi uvesti sustav upravljanja informacijskom sigurno??u (ISMS - Information Security Management System ) koji je jo? poznat kao ISO 27001 standard. [40]ISMS odnosno ISO 27001 standard bazira se na sljede?im na?elima:Povjerljivost: Informacije je uvijek potrebno ?tititi od neovla?tenog pristupaIntegritet: Uvijek je potrebno ?uvati to?nost i cjelovitost informacija i procesaDostupnost: Uvijek je potrebno osigurati raspolo?ivost informacija autoriziranim osobama kada za to postoji potreba [42]Uloga ISMS-a je definirati sigurnosne procedure i instrukcije za za?titu informacija koja se ?primjenjuje na sve ra?unalne sustave, aplikacije, korisnike informacijskog sustava, organizacijske dijelove i zaposlenike tvrtke, te ugovorne strane koje osiguravaju podr?ku pojedinim segmentima informacijskog sustava tvrtke.“ [42] Kako bi sve navedeno bilo mogu?e implementirati, imperativ je da IT odjel ima potpunu podr?ku i razumijevanje uprave.7. Zaklju?akKako je ova studija slu?aja pokazala, pojava kripto ransomware malvera, koja je pogodila cijeli svijet u zadnjih 3 godine, pokazala se kao no?na mora, za privatne, a posebno za poslovne korisnike i njihove IT odjele. Sigurnosne kompanije i dalje kaskaju za inventivno??u, agilno??u i visokom motivirano??u kreatora ransomware malvera te je stoga vrlo vjerojatno da ?e se trend ?irenja zaraze ra?unala, sa poznatim i novim verzijama kripto ransomware-a, nastaviti i pove?ati. U tome nema ni?ta neobi?no s obzirom da su cyber kriminalci prona?li vrlo unosan na?in financijske iznude, prepoznav?i zna?aj privatnih i poslovnih digitalnih informacija za suvremeno volatilno tr?i?te. Jedini na?in da se privatni i poslovni subjekti za?tite od opasnosti jest da se prijetnji, kakvu predstavlja kripto ransomware malver, pristupi sveobuhvatnom strategijom koja treba objediniti poslovne sigurnosne politike, sigurnosne softvere i hardvere uz podizanje informati?ke pismenosti korisnika kao i ukupne svijesti o novim opasnostima digitalnog doba na adekvatnu razinu.8.SummaryThe scope of this case study are the cases of ransomware malicious code infections. The study is separated into two wholes. The first one deals with the threat of ransomware in general, while the second examines a specific attach on the institution in question. The paper covers terms of cryptography, the Bitcoin currency, the Filecoder vectors of attack, the chronology of the attack, as well as the means of accessing, encrypting and recovering the data. It also deals with the question of security improvements and the protection of IT systems from the threat that the ransomware malicious code presents.9.LiteraturaWikipedia, . 6.12.2015.WebRoot, , 6.12.2015.FBI, Gameover zeus and cryptolocker poster, 2014.Panda Security, , 6.12.2015.Nacionalni CERT, , 6.12.2015.Aman Hardikar .M, Malvare 101 – Viruses, 2008.Abuse.ch , , 6.12.2015.4BA2, , 7.12.2015.?agar Marinko, Napadi zlonamjernim programima na ra?unalno upravljanja industrijska postrojenja, 2015.Wikipedia, , 7.12.2015.Kasperski Labs, Equation group questions and answers, 2015.Symantec, Windows Rootkit Overview, 2013.BrightHub, Wikipedia, , 8.12.2015.Young Adam, Yung Moti, Malicious Cryptography Exposing Cryptovirology, 2004.Symantec, Evolution of Ransomware, 2015.Gazet Alexandre, Comparative analysis of various ransomware virii, 2008.Kotov, Rajpal; Bromium report, Understanding Crypto-Ransomware, 2015.Rak Marin, pristupni rad Kriptografija - algoritmi, 2013.Bitcoin, , 9.12.2015.Wikipedia, 10.12.2015.Wikipedia, 11.12.201.WeLiveSecurity, 11.1.plete Computers Tech Blog, , 12.12.2015.McAfee, Cryptolocker Update RevD , 2015.McAfee, Threat Advisory Ransom Cryptolocker, 2014.Sa?a Drnjevi?, Implementacija novog sredi?njeg diskovnog spremi?ta u Srcu, 2013.Sophos, ,10.1.2016.ESET, , 11.1.2016.TrendMicro, , 12.1.2016.Kharraz A., Robertson W., Balzarotti D., Bilge L., Kirda E., Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks, 2014.Alessandrini A, RansomwareHostageRescueManual, 2015.EE Times, , 12.1.2016.DigiCert, 12.1.2016.CoinDesk, 13.1.2016.Nacionalni CERT, 14.1.2016.Bleeping Computer, , , 14.1.2016.Mi?evi? P., Sustav upravljanja informacijskom sigurno??u (ISMS), 2015. ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download