O tym, jak ransomware na zawsze zmieniło moje życie
Złośliwe oprogramowanie typu ransomware jest powszechnie uznawane za stosunkowo nowe zjawisko, co wydaje się logiczne, bo jego gwałtowny rozwój można było zaobserwować na przestrzeni ostatnich trzech lat. Tak naprawdę powinniśmy jednak sięgnąć wstecz dużo dalej, niż nam się wydaje. Zapraszamy do lektury ciekawej opowieści Eddy’ego Willemsa, cenionego belgijskiego specjalisty do spraw cyberbezpieczeństwa.
Cofnijmy się do początku grudnia 1989 roku. Pracowałem wtedy dla znanej belgijskiej firmy ubezpieczeniowej. Dostałem dyskietkę i miałem ocenić, czy zapisany na niej program będzie przydatny dla naszej firmy. Zawierała ona kwestionariusz, za pomocą którego określano, czy dana osoba należy do grupy ryzyka zarażenia się HIV/AIDS. Zacząłem korzystać z dyskietki na moim służbowym komputerze.
„Dzieją się dziwne rzeczy”
Następnego dnia zaczęły się problemy. Uruchomiłem komputer, ale nic się nie działo. Na monitorze wyświetlała się tylko wiadomość, że mam wysłać pieniądze na adres jakiejś skrytki pocztowej w Panamie. Wiadomość ta była też wydrukowana na mojej drukarce igłowej. Kilka razy restartowałem komputer, bo wtedy to z reguły pomagało (zresztą teraz przecież też tak jest). Cały czas jednak widać było tylko tę samą wiadomość. Restart tym razem nie pomógł.
Pomyślałem, że w programie musiał być jakiś błąd. Zdecydowałem się na uruchomienie z dyskietki systemowej i zauważyłem, że zmieniono ścieżkę, a katalogi zostały zaszyfrowane. Program zmieniał pliki znajdujące się na twardym dysku ofiary, a podczas kilkukrotnego restartu złośliwe oprogramowanie blokowało komputer. Następnie wyświetlana była wiadomość z żądaniem zapłaty za „wynajem” oprogramowania: można ją nawet było przeczytać w umowie EULA (ale tak naprawdę to kto je czyta?).
Więc prawie 30 lat temu niektórzy nie tylko korzystali ze zbawczej mocy restartu, ale też odpuszczali sobie czytanie EULA. Dobra wiadomość była taka, że po przeanalizowaniu tego, co się stało znalazłem rozwiązanie, jak obejść ten problem. Wszystko było stosunkowo łatwe do odzyskania, gdy znało się rozszerzenie i tabele kodowania nazw plików.
Występ w wiadomościach
Oglądając telewizję dowiedziałem się, że nie tylko ja otrzymałem taką dyskietkę: dysk został rozesłany do abonentów magazynu PC Business World. Na całym świecie rozesłano ponad 10 000 dyskietek, a kilka firm straciło dużo pieniędzy, bo w tamtych czasach zjawisko backupu praktycznie nie istniało. Dysk nazwano Dyskietką AIDS Information. VTM, belgijski komercyjny kanał TV, usłyszał o moim rozwiązaniu i następnego dnia przeprowadził ze mną wywiad. Wtedy po raz pierwszy pojawiłem się w telewizji.
Od tego się zaczęło
W tamtych czasach nie zdawałem sobie sprawy, że Dyskietka AIDS była pierwszym przykładem złośliwego oprogramowania typu ransomware. Nie wiedziałem też, jak duży wpływ będzie ona miała na moje późniejsze życie osobiste i zawodowe. Zdecydowałem jednak, że zatrzymam dyskietkę na pamiątkę i jako pretekst do opowiedzenia ciekawej anegdoty. Trzymałem ją przez te wszystkie lata i chroniłem. Kiedyś nawet powiesiłem ją na ścianie w salonie. Dziś Dyskietka AIDS stała się przedmiotem kolekcjonerskim. Joseph Cox, dziennikarz Vice Motherboard, podchwycił temat i napisał ciekawą historię.
Kto za tym stał?
Śledczy odkryli później, że za kampanią AIDS stał Dr Joseph Popp, wykwalifikowany biolog z Harwardu. Niestety Dr Popp podrzucił cyberprzestępcom wiele złych pomysłów. Na szczęście na kolejne przykłady złośliwego oprogramowania typu ransomware musieliśmy czekać aż do roku 2005 i 2006, kiedy to pojawiły się GpCode lub Krotten, a potem w 2012 Reveton (Police Trojan) i w 2013 Cryptolocker, a za nimi w kolejnych miesiącach rozlała się cała fala nowych przykładów ransomware.
