Откровения хакера
Шифрование данных – откровения хакера
Приветствую всех, кто читает эту статью. Я хочу рассказать вам о криптографии понятным языком. Вернее о криптографии, которая направлена на злой умысел. Не хочу себя оправдывать, но у каждого из нас бывают в жизни события, которые толкают нас на те, или иные действия. Так произошло и у меня - я встал на путь незаконной деятельности.
Знакомство
Что такое шифрование данных я узнал совершенно случайно, от своего старого знакомого, который всю жизнь искал лёгких денег. Как то раз мы с ним встретились, и он мне рассказал, что есть такой способ заработка как посредничество в расшифровке данных. Суть была проста – есть люди, у которых был взломан компьютер, а файлы на компьютере зашифрованы. За расшифровку данных хакеры требуют выкуп, который может варьироваться от 10000 до 200000 рублей. Зависит лишь от ценности и объема данных. Если у вас есть 1С, большая сеть или просто куча файлов – вы лакомый кусочек для хакеров. Люди начинают искать поддержку знакомых сисадминов, а некоторые обращаются в компании, которые занимаются типа расшифровкой. В обоих случаях они находятся в проигрыше, потому что расшифровать файлы могут только сами хакеры. По крайней мере современные трояны (Dharma, Ransom Ware) имеют именно такую архитектуру. Нужно было стать посредником между хакером и жертвой, дать рекламу в интернете и получать свой профит. Эту деятельность я бы сравнил с деятельностью риэлторов.
Архитектура трояна
На компьютер жертвы попадает троян, который после запуска копирует себя в любую системную папку и начинает процесс шифрования данных. Каждый файл становится недоступным, в конце файла добавляется незнакомое расширение (например, *.wallet), а также почта для связи. Это не тупой процесс переименования файлов, а серьёзный процесс шифрования алгоритмом RSA-512 или 1024 бит. Самостоятельная расшифровка может занять несколько лет. Шифруется абсолютно всё, что можно зашифровать и на что существуют права записи – базы данных, сетевые диски, расшаренные папки в сети по NetBIOS. После завершения шифрования данных троян добавляет себя в автозагрузку и мониторит новые файлы. В некоторые трояны встроены майнеры, задача которых обеспечивать работу сети BitCoin и также получать деньги. Это встречается редко, но такие уже есть.
Первые шаги
В общем, я загорелся, сразу увидел, как можно быть первым в этом деле, нужно было лишь найти контакты хакеров. Я не буду рассказывать о том, как я нашёл контакты, лишь расскажу, что на поиск контактов ушло несколько дней. Я начал предлагать хакерам сотрудничать и просил у них скидки, т.к. поток клиентов был большой, а хакеры озвучивали от 30 до 50 тысяч рублей и не каждый клиент был готов заплатить даже и 10 тысяч. Это средние цены. Хотя есть, конечно, и совсем наглецы, которые запрашивают и по 150 тысяч.
Пока поступали заявки, я изучал криптографию, чтобы понимать глубину вопроса и запугивать клиентов сложными терминами, а через несколько дней от одного из хакеров приходит письмо с просьбой написать в Jabber.
Что такое Jabber
Я ничего не знал об анонимности в сети – никогда не пользовался TOR-браузером, не использовал Jabber, не пользовался прокси и VPN. Поэтому для меня это было всё новое и неизведанное, что тоже вызывало интерес. Связаться с хакером через Jabber я смог где-то за час. Просто создать аккаунт и запустить клиент – не сложно, сложно было установить и настроить плагин OTR (Off the record), который защищает переписку от третьих глаз. Мы достаточно мило пообщались и мне было предложено заняться заражением компьютеров, но для этого нужны были как раз таки знания и небольшие деньги.
Мне сделали экспресс-экскурс в анонимность и сказали направления, которые нужно изучить хотя бы базово. Я из тех людей, которые интересуются вопросом глубоко, поэтому за пару дней я узнал и что такое VPN, и что такое Deadicated Servers (Дедик), и как попасть на дедик, и как обойти антивирус, и как повысить права до администратора. В общем, полный букет знаний, который позволил мне неплохо разбираться в новой деятельности.
Процесс «взлома» дедика
Многие жертвы думают, что их взламывают конкуренты, некоторые подозревают бывших сотрудников, но всё это никакого к реальности отношения не имеет. Всё делается проще. Существуют два пути заражения компьютера – спам рассылки и удалённый доступ. Спам рассылки имеют долгосрочный эффект и требуют свежих баз адресов, которые сегментированы по определённым признакам. Удалённый доступ к компьютеру значительно ускоряет процесс заражения, но при этом требует именно тех знаний, которыми я уже обладал. Поэтому чаще всего троян попадает на компьютер через Remote Desktop Protocol (RDP), который есть в каждой операционной системе, начиная с Windows XP. Другой вопрос конечно как можно попасть на компьютер? Ведь ни логина, ни пароля неизвестно. Тут тоже всё просто и тоже существует два пути – покупка базы данных логинов и паролей у продавцов (их назвают селлерами) к дедикам или самостоятельный перебор паролей. Да-да, тупой брутфорс. О нём подробнее.
Тупой брутфорс
Всё сводится к бруту. Существует софт, который направлен на перебор пар логинов и паролей. Мне довелось и покупать дедики, и брутить их самому. Сам брут процесс глупый и абсолютно не интересный, а вот подготовка к нему требует знаний о стране и об её народе. К примеру, в России сисадмины создают логины типа «user1» и задают ему какой-нибудь простой пароль, например, «12345». А в Австралии чаще используют пароли типа «Password123». Также не забывайте что у каждого компьютера есть встроенная учётная запись «Администратор», поэтому можно направить брутфорс только на подбор «админок». Мотайте на ус. При хороших знаниях о нации можно набрутить 20 аккаунтов с правами администратора компьютера всего за сутки. Однако этот процесс длительный и томительный, к тому же некоторые разумные люди меняют пароль после того как их «выкинуло». Это разумно.
Покупка дедов
Поэтому проще покупать их. Средняя цена доступа к такому дедику – 2$. Но существуют селлеры, которые сегментируют их по назначению. Таким образом дедик под крипт стоит уже 5-10$, в зависимости от страны. Россия и Украина, страны СНГ, Прибалтика дешевле всех, потому эти страны неплатёжеспособны. Если говорить о США, Великобритании или Австралии, то там люди расстаются с деньгами проще и платят охотнее.
Запускаем троян
И так, получили мы доступы, неважно каким способом, но они у нас есть. Чтобы подключиться к дедику много ума не нужно. В каждую операционную систему зашита программа, которая обеспечивает доступ к удалённому рабочему столу (mstsc.exe). Запускаем программу, вводим IP-адрес, логин, пароль и вот мы «рабочем» месте. Теперь нужно поселить троян на компьютере. Существует несколько способов.
1. Копипаста. Нажимаем «Копировать», а затем «Вставить». Да, вот так просто можно скопировать троян на компьютер жертвы.
2. Скачивание через браузер. Заливаем троян в виде архива на бесплатный файлообменник и скачиваем на компьютер жертвы.
3. Подключаем сетевой диск и вообще не переживаем о файлообмене.
Чаще всего этот процесс не вызывает проблем или вопросов, хотя за всю мою практику я встретил всего 2 компьютера, у которых были закрыты все эти уязвимости. После копирования трояна происходит его запуск. Копировать троян в системные папки нет смысла, он это сделает самостоятельно.
Как спасти свою Ж
72% компьютеров имеют антивирусы, которые несколько усложняют процесс запуска трояна. Однако существуют такие хакеры, которые за 30$ могут создать крипт-версию трояна, который будет запущен на любом компьютере, даже с самым свежим антивирусом. Поэтому антивирусы можно обойти. Сложнее повысить права до администратора. Лично мне это не всегда удаётся сделать, но даже в этом случае, запустив трояна я могу закриптовать файлы, на которые выданы права на запись. Помните, что любая 1C с файловой системой (не MSSQL) имеет права на запись, а значит она будет зашифрована.
Но самое базовое – это пароль. Вы можете использовать простые логины, вроде «user1» или «менеджер1», но создать нормальный пароль вам очень необходимо. В России чаще всего используют следующие пароли:
1. 1
2. 123
3. 123321
4. 111
5. 12345
6. 123456
7. 1234567
8. 12345678
9. 123456789
10. 654321
11. 1234567890
12. 1q2w3e
13. qwert
14. Qwert
15. 123123
16. Password123
17. Qwerty123
18. 1q2w3e4r5t
19. 7412369
20. 1qaz@WSX
21. Qw123456
22. пароль
23. gfhjkm
24. password
25. Password
И если вы используете RDP и один из этих паролей – ждите гостей. Ещё замечу, что подключение чаще всего происходит через порт 3389. Поэтому важно спрятать себя под другим портом. Только не используйте 3390, 3391, даже 33889. Они все также под мониторингом и рано или поздно будут обнаружены обычным сканером портов.
Основы безопасности
1. Придумываем сложный пароль
2. Используем нестандартный порт для RDP
3. Используем антивирус с Endpoint технологией
4. Ограничиваем права обычных пользователей
5. Базы 1С лучше хранить в MSSQL формате
6. Включить контроль учётных записей (UAC)
Зачем это мне
Свою жизненную ситуацию я так и не разрешил, а заниматься мошенничеством глупо. Во-первых, рано или поздно всё тайное станет явным, а во-вторых – на душе после каждого запуска становится грустно и очень пусто. Таких эмоций я не желаю никому. Простите меня.
dennysmith@hmamail.com