728 x 90

Ransomware od podstaw – część 10, przyjmowanie płatności i obsługa „klienta”

Ransomware od podstaw – część 10, przyjmowanie płatności i obsługa „klienta”

W ostatnim już odcinku naszego cyklu pozostało już tylko zainteresować się kwestiami finansowymi (w końcu to one są ostatecznym celem), oraz przygotować dekryptor pozwalający klientom odzyskać dane. Zaczynamy.

Kryptowaluty

Jeśli doszedłeś aż do tego odcinka, zakładamy że przynajmniej pobieżnie wiesz, czym są kryptowaluty, może nawet miałeś jakąś styczność z Bitcoinem. Taka wiedza jest bardzo pomocna na początek.

Bitcoin (zwany też skrótowo BTC) jest oczywiście uważany za standard wśród kryptowalut – oba te pojęcia są zresztą w Polsce używane wymiennie, podobnie jak choćby „adidasy”. Uważaj na to, bo to pułapka! Bitcoin nie zapewnia całkowitej poufności przepływu pieniędzy, a organy ścigania mają już od kilku lat rozpracowane sposoby ścigania osób zajmujących się tą walutą i dopuszczających się takich lub innych nadużyć.

Z tego też powodu, de facto standardem w 2020 jest albo zastępowanie Bitcoina innymi kryptowalutami (przede wszystkim wspominany już w szóstej części tego cyklu Monero), albo łączenie Bitcoina z różnymi dodatkowymi technikami zapobiegania nadmiernej ciekawości służb:

  • tzw. miksery kryptowalut – ich działanie polega na zmieszaniu środków pochodzących od różnych użytkowników, po czym przekazaniu ich w kolejnych transakcjach na wskazane wallety w taki sposób, aby zerwać bezpośrednie powiązanie pomiędzy środkami wpłacanymi i wypłacanymi – w efekcie środki wypłacane nadal mają nieudokumentowane pochodzenie (w związku z czym niektóre państwa zabroniły już korzystania z mikserów, jak również można się liczyć ze stawką podatkową 75%), ale nie da się udowodnić ich powiązania z żadnym konkretnym czynem
  • samodzielne kopanie kryptowalut i ich sprzedaż lub zamiana na inne na tzw. giełdach kryptowalut, a jednocześnie inwestowanie środków przychodzących w tzw. koparki – proceder ten od co najmniej 2018 jest już mało opłacalny jako taki, natomiast ma dwie podstawowe zalety: daje absolutnie „czyste” (bo świeżo wykopane) waluty, oraz daje się dobrze połączyć z mikserami, aby móc udokumentować pochodzenie przynajmniej części środków przepuszczanych przez miksery, tym samym podnosząc poprzeczkę organom ścigania
  • tzw. kopalnie kryptowalut – a więc firmy (mające bardzo różne formy prawne i poziomy przejrzystości, zależnie od kraju – generalnie jednak znajdujące się poza Polską) inwestujące w specjalistyczną infrastrukturę zoptymalizowaną do kopania, oraz kopiące w imieniu klienta
  • techniki spoza samych kryptowalut, np. wypłata gotówki w bankomacie i ponowna wpłata na poczcie, Western Union itp. – techniki te jednak same w sobie są w Polsce nielegalne (art. 299 Kodeksu karnego, czyli pranie pieniędzy), dlatego też nie będziemy się zagłębiać w ich opisywanie

Wady i zalety Monero

Od strony „klienta” końcowego nadal częściej stosowany jest i przypuszczalnie będzie Bitcoin – z prostego powodu: Bitcoin jest standardem i jako taki jest bardzo łatwy do nabycia, podczas gdy kryptowaluty naprawdę anonimowe (takie jak Monero, ale też ZCash i Dash) są dużo trudniejsze do nabycia przez niezorientowaną osobę ze względu na procedury KYC (mające w zamyśle zapobiegać praniu pieniędzy).

Natomiast środki przekazane przez „klienta” końcowego w Bitcoinie można zamienić na Monero i dalej już operować wyłącznie w Monero. Waluta ta ma tę dodatkową cechę, że jest znacznie łatwiejsza do samodzielnego kopania na zwykłych komputerach klasy desktop, nie posiadających wysokiej klasy kart graficznych. A zatem zaszyfrowany komputer może wyświetlać klientowi komunikat o infekcji, jednocześnie „pod spodem” kopiąc Monero.

Jak trzymać wallety kryptowalutowe? Jak bezpiecznie wybierać z nich pieniądze? Jak zarządzać zdobytym majątkiem?

Tu dochodzimy do pytań, na które musisz odpowiedzieć sobie sam. My możemy Ci tylko doradzić kilka rzeczy:

  • Nie trzymaj wszystkich środków w jednym miejscu (choćby dlatego albo dlatego). Od samego początku (dosłownie począwszy od wielu różnych adresów do przyjmowania wpłat) zaplanuj ich podział na kilkanaście, kilkadziesiąt, lub nawet kilkaset walletów, chronionych na różne sposoby (możliwe że pod opieką różnych zaufanych osób), alokowanych pod różne cele życiowe i zawodowe.
  • Przynajmniej 20% środków zabezpiecz „na czarną godzinę” i również podziel na przynajmniej kilka walletów.
  • Przemyśl, w jaki sposób chciałbyś wypłacać gotówkę i ogólnie wyciągać środki z Bitcoina/Monero do „legalnego obiegu”.
  • Większość artykułów branżowych ostrzega przed trzymaniem środków na tzw. hot walletach, czyli walletach podłączonych do Internetu. Dla „ogółu” to dobry pomysł, natomiast Ty powinieneś mieć przynajmniej kilka takich hot walletów, które ktoś zaufany jest w stanie dla Ciebie momentalnie uruchomić w razie, gdybyś został zatrzymany z zaskoczenia i potrzebował pieniędzy na dobrego prawnika i jego nieformalne koszty związane ze sprawą. Oczywiście nie trzymaj tam milionów – wystarczy równowartość kilkudziesięciu tysięcy zł.
  • Wallety sprzętowe jak najbardziej mają sens do alokacji środków na pomniejsze cele, powierzanych zaufanym, ale mniej „technicznym” osobom. Po prostu nie przesadzaj z ilością środków składowanych na jednym urządzeniu i używaj różnych modeli (nie ograniczaj się do jednego modelu).
  • Czyli ile konkretnie środków trzymać na jednym wallecie sprzętowym? Wyobraź sobie, że ulegnie on awarii lub zagubieniu – trzymaj maksymalnie tyle, żeby taki przypadek Cię nie zabolał.
  • Stosuj się do tych zasad na wszystkich komputerach, których używasz do zarządzania kryptowalutami. Szczególnie zwróć uwagę na punkt 13.
  • Przećwicz wszystkie operacje związane z kryptowalutami (zakup, miksowanie, sprzedaż, zamiana, podział na różne wallety, budowa lub zakup koparki, kopanie, wallety sprzętowe itd.) na legalnych środkach. Upewnij się, że rozumiesz, jak to wszystko dokładnie działa, zanim weźmiesz się za cokolwiek, co faktycznie może łamać prawo. Nie żałuj pieniędzy na prowizje różnych serwisów – kilkaset czy nawet kilka tysięcy złotych nie jest warte Twojej wolności.

Tzw. anonimowość

Dlaczego „tak zwana”? Jeśli czytasz właśnie ten tekst bez użycia Tora i/lub VPN, to Twój prawdziwy adres IP już zapisał się w kilku różnych logach. I jeśli mowa o „prawdziwej” anonimowości, to jest wyłącznie kwestią ilości Twoich kroków w tył, jakie prześledzić, aby dotrzeć do momentu, zanim zacząłeś korzystać z Tor/VPN, zanim dowiedziałeś się, co to jest OPSEC itd.

Anonimowość w Internecie opiera się na pewnej zbiorowej ułudzie: że jest tak duży i dzieje się w nim tyle, że jeśli ktoś „wie jak”, to się skutecznie ukryje. Bo koszty przeszukiwania wszystkich możliwych logów i baz danych, aby znaleźć konkretną osobę, będą zbyt wielkie w przypadku, gdy mówimy o np. złośliwych komentarzach, czy nawet jakiejś działalności przestępczej na skalę mikro.

Przyjrzyj się jednak temu przypadkowi ataku ransomware na koncern medyczny Merck:

  • prawie 40 tysięcy zaszyfrowanych maszyn (laptopów i serwerów łącznie)
  • wstrzymanie produkcji szczepionek m.in. na HPV na kilka miesięcy, mające wpływ na cały świat
  • same straty finansowe Merck rzędu 5 miliardów złotych – koszty wtórne (np. straconego czasu po stronie klientów Merck, aż po końcowych odbiorców szczepionek) są w zasadzie nie do policzenia
  • określanie sprawy przez polityków USA wysokiego szczebla jako aktu terroryzmu lub wręcz wojny – co przekłada się na maksymalny możliwy poziom zaangażowania różnych służb w śledztwo, często bez względu na koszty i przymykając oko na trzymanie się prawa

Dlatego właśnie, jeśli już decydujesz się zacząć swoją przygodę z ransomware, przygotuj się na to, że możesz potencjalnie spowodować dużo większe straty, niż jesteś teraz w stanie sobie wyobrazić – a co za tym idzie, możesz sprowokować użycie przeciwko sobie sił i środków dużo większych, niż w przypadku przysłowiowej kradzieży roweru.

Co w takim razie?

Mając wiedzę potrzebną do zbudowania od podstaw naprawdę skutecznego ransomware, masz zarazem wiedzę wystarczającą, aby zarabiać bardzo dobre pieniądze całkowicie legalnie. Przeszkodą może być ew. osobowość, ale w dobie koronawirusa, nawet będąc widocznym toksykiem/socjopatą/psychopatą, czy mając inne widoczne „niewłaściwe” skłonności, można założyć działalność gospodarczą i sprzedawać swoje legalne usługi jako firma.

Jeśli jednak uparłeś się na działanie wbrew prawu – przede wszystkim nie rób niczego ad hoc i naucz się wszystko dokładnie planować.

O czym jeszcze powinieneś w takiej sytuacji pomyśleć:

  • przemyśl, jak to zrobić, aby nigdzie nie używać swoich kont z „dziennego życia” – jakichkolwiek: pocztowych, bankowych, kont na różnych stronach – wszystko zakładaj od nowa
  • jeśli robisz jakieś zakupy związane z nielegalną działalnością, przeczytaj raz jeszcze fragment „Unikanie wpadek” z tego artykułu – mówi on właśnie o zakupach (np. każda sztuka osobno, w różnych sklepach, za gotówkę itd.)
  • jeśli zamierzasz przećwiczyć operacje związane z kryptowalutami, rób to od samego początku z użyciem Tor/VPN i bez ujawniania swojej prawdziwej tożsamości
  • używaj sieci Tor, gdzie się da (gdzie jest to związane nie tylko bezpośrednio z jakimś czynem zabronionym, ale również ze zdobywaniem kompetencji w jakiejś dziedzinie – np. po co ktokolwiek ma wiedzieć, że masz doświadczenie z mikserami kryptowalut?)
  • podchodź z dużą rezerwą do komercyjnych dostawców usług VPN – są one dobre do obrony przed „zwykłymi” złodziejami lub innymi ciekawskimi osobami, ale jednocześnie większość tego typu firm współpracuje ze służbami (jawnie lub niejawnie, we wszystkich sprawach lub tylko tych poważniejszych – dla Ciebie to bez różnicy, bo ransomware to właśnie ta poważniejsza)
  • generalnie nie przyznawaj się do posiadania jakiejś wiedzy lub kompetencji, które mogą być uznawane za kontrowersyjne – chyba że masz konkretny plan, w jaki sposób na takiej wiedzy oficjalnie i w pełni jawnie zarabiać
  • przeczytaj raz jeszcze zasadę 13 – jest ona o tyle krytyczna, że jedną z metod szukania przestępców, kompletnie niezależną od podążania za śladami, jest po prostu wyszukiwanie w społeczeństwie osób, które żyją na stopie dużo wyższej, niż wynikająca z udokumentowanych dochodów (a kolejną, to) – z tego samego powodu wyżej napisaliśmy „nie trzymaj wszystkich środków w jednym miejscu”, o czarnej godzinie itd.

Wycena okupu i proces negocjacji

Istnieją dwa podstawowe podejścia do problemu wyceny okupów – oba są powiązane z całą resztą strategii działania ransomware:

Wycena stała

Robiona najczęściej „pod kraj”, lub nieco rzadziej „pod branżę”, a więc pod zakładane realia ekonomiczne w danym kraju. Takie podejście wiąże się z mniejszymi zarobkami, zarazem jednak oszczędza przynajmniej 80% pracy związanej z obsługą „klientów” i drastycznie redukuje ryzyko popełnienia jakiegoś błędu pozwalającego na identyfikację autora (bądź osoby obsługującej kontakty z „klientami” i płatności).

Co ważne, aby poprawnie podejść do tej metody i nie przyciąć sobie zarobków bardziej niż to konieczne, nadal mieć pewne pojęcie o realiach biznesowych w poszczególnych branżach w danym kraju – patrz choćby przypadki specjalne wymienione poniżej.

Dodatkowym problemem wiążącym się z tą metodą jest fakt pozostawienia większości niedoszłych „klientów” samym sobie z nierozwiązanym problemem – nawet gdyby chcieli zapłacić jakąś realistyczną dla nich kwotę, to nie stać ich na okup wyceniony grubo powyżej ich możliwości, z myślą o najbardziej prężnych firmach z branży. Takie podejście na dłuższą metę skutkuje powiększaniem się grupy osób nastawionych negatywnie do ransomware i traktujących je już nie jako po prostu biznes przestępczy, ale jako osobistego wroga (a więc np. doradzających potem innym ofiarom, aby za wszelką cenę nie płacić).

Wycena indywidualna

A więc robiona pod konkretną firmę lub konkretny przypadek infekcji – maksymalizująca zarobki, ale również koszty związane z obsługą „klientów” i ilość pracy. Każdy przypadek trzeba bowiem obsłużyć indywidualnie.

Jeśli decydujesz się pójść w tym kierunku, zacznij od przypomnienia sobie fragmentu dotyczącego rozróżniania „klientów” z części piątej – znajdziesz tam komplet wskazówek, jak odróżnić pojedyncze komputery domowe, bądź niewielkie skupiska komputerów w małych i średnich firmach, od większych firm. Od tego powinieneś zacząć, aby nie utonąć w niepotrzebnej pracy manualnej.

Znając już szacunkowy rozmiar potencjalnego celu, pora wziąć się za realizację kolejnych, bardziej szczegółowych kroków:

  • przejrzeć posiadane dane (jeśli zadbałeś o ich zbieranie z zaszyfrowanych komputerów)
  • wykonać tzw. biały wywiad (OSINT) i ew. dodatkowy rekonesans IT (polecamy ten świetny materiał autorstwa Michała Wnękowicza opublikowany na Sekurak.pl: część pierwsza, część druga – a jeśli ktoś chciałby przećwiczyć pracę na wspomnianych narzędziach na żywo – również to szkolenie), oceniając np. skalę posiadanej przez firmę infrastruktury
  • rozpoznać charakter ekonomiczny działania firmy (czyli jakimi pieniędzmi dysponuje ona sama, a nie tylko jej klienci) – w szczególności uważając na przypadki „specjalne”:
    • firma typowo handlowa może obracać bardzo dużymi pieniędzmi, sama na tym zarabiając relatywnie niewiele (marża 1% w przypadku sklepów wysyłkowych z częściami komputerowymi nie jest w Polsce niczym niezwykłym)
    • biuro rachunkowe może obsługiwać firmę obracającą milionami, ale samo zarabiać na tym raptem setki złotych
    • w niektórych branżach regulacje prawne mogą powodować, że osobom decyzyjnym bardziej opłaca się z dnia na dzień pod jakimś pozorem całkowicie zlikwidować firmę, niż ujawnić, że doszło do incydentu bezpieczeństwa IT – a co za tym idzie, o ile uruchomienie „po cichu” niedużego okupu w budżetu na „wydatki ogólne” jest możliwe, o tyle osiągnięcie stawki na prawdziwą skalę możliwości tej firmy, już niekoniecznie
  • rozpoznać, jakiego rodzaju dane zostały zaszyfrowane, w jaki sposób dotyka to firmę (czy „tylko” zabolało, czy realnie zagraża jej istnieniu) i ile jest ona w stanie zapłacić, aby przetrwać

Jakie firmy są w stanie zapłacić najwięcej?

Realia co do takich firm mogą się różnić pomiędzy krajami, a zwłaszcza pomiędzy kontynentami – generalnie jednak, największe możliwości radzenia sobie z „nieprzewidzianymi wydatkami” mają:

  • firmy usługowe, w których usługi oparte są na bardzo specjalistycznej i drogiej do zdobycia wiedzy i doświadczeniu (a więc pracujące za relatywnie duże stawki) – czyli przede wszystkim prawnicze, a zaraz potem doradcze o wysokim stopniu specjalizacji (raczej takie, które doradzają zarządom innych firm, niż „doradcy finansowi” dla zwykłego Kowalskiego)
  • firmy produkcyjne dysponujące własnym know-how i mające pozycję rynkową pozwalającą samodzielnie kształtować łańcuch partnerów
  • firmy projektowe, podwykonawcze (w ramach holdingu) lub inne, dysponujące własnym know-how i zarabiające bezpośrednio na nim (czyli generalnie wszystkie te firmy, które pełnią kluczową rolę w jakimś większym łańcuchu – branża dowolna: od budowlanej po produkcję gier komputerowych)

Dobrym pomysłem jest też research lokalnych rankingów największych 50..100..200 przedsiębiorstw w danym kraju – nie pod kątem tych konkretnych firm, ale pod kątem konkretnych branż, które w danym kraju skupiają największe pieniądze.

Dlaczego klient nie płaci?

Istnieje 5 podstawowych grup powodów, dla których „klient” albo w ogóle nie będzie zainteresowany płaceniem czegokolwiek, albo zrezygnuje w trakcie procesu negocjacji:

  • zaszyfrowanie niewłaściwego komputera: takiego, na którym nie było istotnych danych lub były jedną z wielu kopii, albo klient może sobie te dane samodzielnie odtworzyć z kopii zapasowej, odbudować od zera, czy też po prostu o nich zapomnieć (bo np. były to jakieś stare dane, które zostały już wykorzystane w konkretnym celu i nie będą więcej potrzebne)
  • klient nie zamierza współpracować z przestępcami ze względów ideologicznych (patrz zjawisko opisane nieco wyżej), albo ma wątpliwości, czy po zapłacie rzeczywiście dane zostaną odszyfrowane
  • wycena jest mocno przestrzelona
  • w procesie negocjacji wysokości okupu lub obsługi klienta popełniono poważne błędy
  • istnieje ryzyko narażenia osoby decyzyjnej na prywatną odpowiedzialność karną (patrz powyższa uwaga o „wydatkach ogólnych” – natomiast wypracowanie strategii postępowania z takimi przypadkami, zaczynając od ich odróżnienia od zwykłego blefowania w celu obniżenia okupu, należy już do Ciebie)

W pierwszych dwóch grupach powodów, niedoszły klient w ogóle się do Ciebie nie zgłosi, bo albo nie ma po co, albo jest ideologicznie przekonany, że „nie bo nie”. We wszystkich pozostałych przypadkach, tj. nawet w przypadku mocno przestrzelonej wyceny, jest bardzo duża szansa, że jednak się zgłosi i będzie próbował coś wynegocjować.

Najczęściej popełniane błędy w procesie negocjacji

Klient „trafiony” przez ransomware na ogół nie oczekuje uprzejmości rodem z legalnych sklepów – większość ludzi ma bowiem lepsze lub gorsze wyobrażenie (najczęściej budowane przez filmy o porwaniach ludzi dla okupu) tego, z kim „współpracują”. Nie chodzi więc o to, aby silić się na uprzejmości, odpowiednie formy gramatyczne w odpowiedziach itp. W zupełności wystarczy „być profesjonalistą”.

Najczęściej popełniane błędy na tym tle:

  • brak w miarę szybkich i konkretnych odpowiedzi na próby kontaktu ze strony „klienta”
  • osobista zniewaga w trakcie procesu negocjacji (na tle honoru, religii, wyznawanych wartości itp. – j/w klient nie oczekuje uprzejmości rodem ze sklepów, ale też nie należy go wyzywać, śmiać się z niego, sugerować swojej wyższości itp.)
  • zbyt sztywne podejście względem pierwotnej wyceny

Ten ostatni błąd jest o tyle istotny, że stosunkowo często „klienci” dysponują mniej lub bardziej starymi kopiami zapasowymi, oraz kompletem dokumentacji (np. księgowej) w formie papierowej – w takim przypadku mowa jest już nie o „ratowaniu firmy”, ale zaledwie o wyborze najtańszego i najszybszego wariantu odzyskania danych. Tym zaś może być:

  • zapłacenie okupu i odtworzenie świeżych danych
  • odtworzenie starych danych z kopii zapasowej i ręczne przepisanie do systemu papierowych dokumentów

Tego typu przypadków brzegowych może być dużo więcej – dlatego właśnie istotna jest pewna doza elastyczności. W niektórych kulturach dobrym pomysłem jest też lekkie ustąpienie „klientowi”, aby np. płacąc 80% pierwotnej ceny, miał poczucie wygranej.

Na koniec, polecamy Ci lekturę tego i tego artykułu nt. ciekawego procesu negocjacji – warte obejrzenia jako źródło inspiracji.

Dekryptor

Na sam koniec wróćmy jeszcze do kodu i omówmy bardzo ważny element każdego ransomware, jakim jest dekryptor – czyli narzędzie, które po załadowaniu klucza zajmie się odszyfrowaniem danych „klienta”.

Przede wszystkim, o ile sam ransomware powinien działać w tle, bez jakiekolwiek interfejsu użytkownika, o tyle dekryptor ten interfejs musi mieć. Nie musi to być nic wymyślnego – wystarczy małe okienko, z poziomu którego można otworzyć dialog wyboru pliku z kluczem deszyfrującym, oraz wskazać literę dysku (lub drzewo katalogów) do odszyfrowania. Z kolei już po starcie procesu deszyfrowania powinien w jakiś sposób sygnalizować użytkownikowi, że nadal aktywnie pracuje, lub że zakończył.

Taki minimalistyczny interfejs jest niezbędny, ponieważ przekazywanie parametrów przez linię poleceń, przekracza możliwości wielu „klientów”, wymagając późniejszych tłumaczeń i dodatkowej pracy po Twojej stronie, oraz powodując ryzyko niezadowolenia („zapłaciłem a przysłali mi coś co nie działa”).

Kwestie techniczne (do ogarnięcia na poziomie kodu)

  • dekryptor może być zapisany w całkiem innym języku niż sam ransomware – np. jeśli nie potrafisz ogarnąć interfejsu użytkownika w „czystym” C++, spróbuj napisać dekryptor w C# dla środowiska .NET
  • zdecydowanie unikaj jakichkolwiek zależności (bibliotek DLL, zewnętrznych plików konfiguracyjnych itp.) poza systemowymi – całe rozwiązanie powinno składać się z jednego pliku wykonywalnego i jednego pliku zawierającego klucz deszyfrujący
  • zależności od systemowych bibliotek DLL, oraz komponentów .NET w standardowych wersjach są jak najbardziej dopuszczalne, aczkolwiek jeśli zdecydowałeś się na środowisko .NET, to nie linkuj dekryptora z jego najnowszą wersją – wybierz wersję, która jest na rynku 2-3 lata, co w zupełności wystarczy, a spowoduje, że 95% lub więcej „klientów” będzie miało ją już zainstalowaną
  • jeśli zdecydowałeś się na inny język, niż dla samego ransomware, przeczytaj raz jeszcze to, co w ósmej części pisaliśmy o stylometrii (czy jesteś autorem jakiegoś kodu open source itd.)
  • pamiętaj o obsłudze przypadków brzegowych:
    • obsługa bardzo dużych plików (również takich, których rozmiar idzie w terabajty)
    • potencjalnym braku miejsca na dysku
    • dziwnie ustawionych uprawnieniach na katalogu
    • plików, które Windows lub inny program stworzy od nowa w miejsce brakujących, po tym gdy ransomware zmieni im rozszerzenia
    • blokad na plikach zakładanych przez inne procesy (głównie w połączeniu z poprzednim przypadkiem) – czy to działające jako ten sam użytkownik (np. Outlook i pliki PST lub inne z pocztą), czy to jako inny użytkownik, o potencjalnie większych uprawnieniach (np. SQL Server i pliki MDF/LDF z bazami danych)

Wykorzystaj tą przewagę dekryptora, że w tej fazie nie trzeba się już spieszyć i jeśli jest jakikolwiek problem, którego nie można ogarnąć automatycznie, lepiej po prostu zostawić w spokoju zaszyfrowany plik i wypisać użytkownikowi możliwie szczegółowo (ale zarazem „po ludzku”) przyczynę problemu – tak aby mógł on spróbować rozwiązać problem manualnie (np. przerzucić zaszyfrowane pliki na inny, większy dysk) i uruchomić dekryptor ponownie.

Kwestie funkcjonalne (do ogarnięcia poza samym kodem)

  • skąd i jak najbezpieczniej udostępniać ten program „klientom”:
    • prawie wszystkie systemy pocztowe blokują dzisiaj załączniki wykonywalne
    • jeśli jakieś konto hostingowe lub VPS, to co z kwestią ograniczeń dostępu i logów serwera www, aby kontrolować, kto pobierał ten plik?
    • jeśli konto typu Google Drive, to jak dawać uprawnienia, bądź jak inaczej kontrolować, kto pobierał? i jak takie konto w ogóle bezpiecznie założyć?
    • jeśli ukryta usługa w sieci Tor, to jak uniknąć ataków korelacyjnych?
    • a może go spakować z użyciem hasła i jednak wysyłać pocztą? ile osób sobie z tym nie poradzi?
  • jak udostępniać klucze deszyfrujące? w przeciwieństwie do dekryptora, każdy klucz będzie inny…
  • a może lepszy będzie jakiś schemat, w którym klucz jest generowany na szyfrowanym komputerze? ale jak wówczas uniknąć nadużyć i deszyfrowania danych bez płacenia?
  • a może klucz powinien mieć formę hasła do wpisania do dekryptora, zamiast pliku?

Koniec

To wszystko. Jeśli skrupulatnie przerobiłeś cały materiał opisany we wszystkich 10 częściach, znasz już na poziomie praktycznym wszystkie powody, dla których nie powinieneś tworzyć własnego ransomware.

Jeśli masz jakieś pytania lub komentarze do tego materiału, pisz do nas mailem kontakt@payload.pl, lub na Twitterze.


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.