728 x 90

Ransomware od podstaw – część 9, informowanie użytkownika o infekcji

Ransomware od podstaw – część 9, informowanie użytkownika o infekcji

Ten odcinek będzie inny od wszystkich poprzednich. Odłożymy w nim na jakiś czas edytor kodu i zajmiemy się pisaniem… tekstu, w którym poinformujemy użytkownika, że jego pliki zostały zaszyfrowane. Tekstu, od którego zależy efektywność Twojego biznesu.

Zanim doszedłeś aż do części dziewiątej, z pewnością widziałeś niejeden komunikat o infekcji. Masz więc już w głowie jako taki obraz tego, co powinieneś stworzyć.

Stylometria

Zanim jednak zaczniesz pisać cokolwiek własnego, zapoznaj się z zagadnieniem stylometrii. Wspominaliśmy o niej już w poprzedniej części, tam jednak w kontekście kodu źródłowego. Tym razem stoi przed Tobą dużo poważniejsze zadanie: ucieczka od stylu, w jaki wypowiadasz się na co dzień. A więc od charakterystycznych słów, zwrotów, form gramatycznych, końcówek itp.

Będzie to pozornie łatwe, gdyż komunikaty tego typu w 95% przypadków pisze się w języku angielskim, gdy Twoim językiem natywnym jest polski. Jednak tylko pozornie – mnóstwo osób bezwiednie przenosi różne swoje naleciałości z języka polskiego na angielski, a dodatkowo przestawia szyk zdania na typowy dla języka polskiego. Dlaczego o tym wspominamy? Ponieważ pierwsza rzecz, jaką zrobią służby, to próba analizy Twojego komunikatu dla użytkownika i próba wyciągnięcia z niego jak najwięcej informacji o Tobie:

  • analizy osobowościowej – co jest wykonalne, jeśli komunikat będzie dostatecznie długi i wyczerpujący, a najlepiej w języku natywnym autora (co też da się z bardzo dużym prawdopodobieństwem sprawdzić!)
  • analizy stylometrycznej – czyli porównanie Twojego stylu wypowiadania się z tym, co można np. znaleźć na różnych forach w Internecie (nie tylko hakerskich, ale też np. Stack Overflow, czy choćby o hodowli psów/kotów, albo dowolnym innym hobby, ws. którego mogłeś się kiedyś wypowiedzieć)

Dobrą wiadomością jest to, że teraz przynajmniej nie jesteś bezbronny – nasz prezent świąteczny pozwoli Ci samodzielnie sprawdzić, co na temat Twojego komunikatu będzie w stanie powiedzieć polska policja.

Jak tego nie robić?

Zobacz poniższy przykład – jest to komunikat od ransomware Satana. Ma on formę tekstową, ponieważ Satana uszkadza rekord MBR na dysku twardym, czym uniemożliwia ponowny start systemu Windows – zostaje więc wyświetlenie komunikatu w formie czysto tekstowej.

Niezależnie od formy, przyjrzyj się samemu tekstowi. Zawiera on przynajmniej kilkanaście powtarzalnych elementów charakterystycznych – elementy te może i nie pozwolą na jednoznaczną identyfikację autora, ale pozwalają dość mocno zawęzić krąg podejrzanych:

Jak się już pewnie domyślasz, komunikat dla użytkownika powinien być jak najbardziej generyczny – tj. zawierać wszystkie potrzebne szczegóły, ale nic ponadto – zobacz chociażby ten niebieski komunikat powyżej, pochodzący od ransomware TeslaCrypt.

Jak wpływać emocjonalnie na użytkownika?

W wielkim skrócie, dużo bezpieczniej jest to zrobić odpowiednią grafiką, doborem kolorów itp. (patrz np. cała galeria komunikatów na stronie ransomware.pl).

Powód jest bardzo prosty: otóż jeśli w dzisiejszych czasach aktywnie funkcjonujesz w Internecie (zawodowo, hobbystycznie, towarzysko, zakupowo, zdrowotnie i w wielu innych płaszczyznach), to można w nim znaleźć setki, a może nawet tysiące różnych Twoich, choćby drobnych wypowiedzi. Dla przykładu, autor tych słów ma na swoim koncie kilkadziesiąt tysięcy różnych komentarzy i innych wypowiedzi na blogach i forach, dokonywanych sukcesywnie od 2003. Wypowiedzi tego typu najczęściej są szczere – jeśli nawet nie w treści, to przynajmniej w formie (gramatyce, szyku zdań, doborze wyrazów itd.) – a co za tym idzie, są świetnym materiałem do różnego rodzaju analiz.

Przy odpowiednio dużej ilości różnych wypowiedzi, w zupełnie różnych miejscach (w tym wymagających logowania), na zupełnie różne tematy, nie jesteś w stanie zapobiec analizie swojej osoby – ani stylometrycznej, ani osobowościowej (ten artykuł dotyczy „polubień” na Facebooku, które mówią tylko o tym, że ktoś się z czymś zgadza lub nie – z otwartej wypowiedzi można wyczytać o autorze jeszcze więcej).

W przypadku grafiki jest odwrotnie: grafika jest formą świadomej ekspresji, gdzie nie rysujemy bezwiednie tego, co nam przyjdzie do głowy, ale świadomie dobieramy narzędzia, techniki i sposób malowania sposobu odbioru, jaki chcemy sprowokować u odbiorcy. Dodatkowo grafika jest bardzo rzadką formą ekspresji (chyba że akurat ktoś jest malarzem lub innym artystą, albo grafikiem komputerowym). Oba te elementy powodują, że ciężko jest mówić o skutecznym użyciu metod stylometrycznych.

Z drugiej strony, dobór kształtów i kolorów, nawet w ramach świadomej ekspresji, ma aspekty podświadome – dlatego też możliwa jest choćby częściowa analiza psychometryczna twórcy. Z tego względu, tworząc elementy oprawy graficznej, lepiej sugeruj się przykładami sprawdzonych rozwiązań konkurencyjnych, niż tylko własną intuicją.

Istnieje też korelacja pomiędzy efektownością i charakterystycznością graficzną komunikatu o infekcji, a jego pokazywaniem w różnego rodzaju mediach – przykłady z takim komunikatem są tym chętniej pokazywane, im łatwiej rozpoznawalne jest okienko programu na tle większej całości. Przykładowo poniższe zdjęcie przedstawia komputery w bibliotece pewnego włoskiego uniwersytetu, w 2017 zainfekowane jedną z wersji wirusa WannaCrypt:

Przy czym oczywiście korelacja ta jest wtórna – korelacją pierwotną jest oczywiście efektywność działania, dzięki której media zaczynają się interesować sprawą.

Czy lokalizacja komunikatu o infekcji (a wcześniej phishingu) ma sens?

Kiedy w kontekście ransomware mówimy o lokalizacji, większość osób ma jedno skojarzenie: Google Translate. Na razie jednak zostawmy kwestię techniki tłumaczenia i skupmy się na tym, czy w ogóle warto to robić?

Jeśli tworzysz komunikat z żądaniem okupu przeznaczony dla konkretnego kraju, pamiętaj że przeciętny poziom znajomości języka angielskiego (choćby biernej i tylko słownictwa podstawowo-technicznego) dla populacji krajów, w których ofiary mają z czego płacić okup, wynosi 60% lub więcej. Oznacza to, że jeśli nie celujesz w jakąś konkretną niszę, komunikat napisany łamanym angielskim w zupełności wystarczy – ważne natomiast, aby ten „łamany” angielski był napisany stylem innym, niż Twój natywny (patrz wyżej akapity o stylometrii).

Pozostałe kraje też można pominąć, zostawiając im wyłącznie wersję angielską komunikatu – przeciętna ofiara i tak nie będzie miała z czego zapłacić. A jeśli nawet ktoś będzie miał, to najprawdopodobniej będzie też znał język angielski.

Kiedy więc lokalizowanie komunikatu o infekcji rzeczywiście ma sens? Głównie w dwóch scenariuszach:

  • wtedy, gdy celujesz w konkretną niszę lub branżę, w której „są pieniądze”, ale jednocześnie poziom znajomości języków obcych jest poniżej przeciętnej – np. w Polsce może to być branża numizmatyczna i kolekcjonerska
  • jeśli okienko z komunikatem ma nawiązywać formą graficzną do wcześniejszego phishingu, a więc ma np. imitować szatę graficzną jakiegoś banku, operatora GSM lub innej firmy

Odnośnie samej techniki wykonania lokalizacji, nasuwają się 4 podstawowe możliwości:

  • tłumaczenie samodzielne (albo po prostu napisanie lokalnej wersji jako pierwszej) będąc native speakerem – czyli np. jesteś Polakiem i tworzysz komunikat po polsku – tej możliwości powinieneś zdecydowanie unikać (patrz wyżej akapity o stylometrii)
  • Google Translate, Microsoft Translator, Amazon Translate i inne nowoczesne usługi chmurowe – z pewnością dają one najlepsze jakościowo tłumaczenia automatyczne, jednakże wszystko, co jest „przepuszczane” przez te usługi, najprawdopodobniej jest logowane wraz z informacjami o użytkowniku i może być udostępnione na żądanie służbom (a w Polsce trwają prace nad prawem umożliwiającym polskim organom proszenie o „dobrowolne” udostępnienie danych kogokolwiek, nawet gdy Polska nie ma podpisanej z danym krajem dedykowanej umowy o współpracy organów śledczych)
  • program lub urządzenie tłumaczące starszego typu, działające offline – użycie takiego rozwiązania (zwłaszcza na odizolowanej dla pewności maszynie wirtualnej) jest dużo bezpieczniejsze od użycia np. Google Translate, jednak za cenę dużo gorszej jakości tłumaczenia
  • skorzystanie z pomocy żywego tłumacza – pamiętaj jednak o ogólnej zasadzie w kryminalistyce: w grupie 2-osobowej ryzyko wpadki wzrasta o 50% z samego tylko powodu współpracy 2 osób, w grupie 3-osobowej o 75% itd.

W kolejnej części – przyjmowanie płatności i obsługa „klienta”.


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.