Ransomware, Die Eerste Keer

Door Blokker_1999 op maandag 24 mei 2021 18:53 - Reacties (8)
Categorie: /var, Views: 7.289

Ik heb even moeten nadenken over de titel, dacht er een tijdje over na om een andere titel te gebruiken in de trend van AIDS, opgelost sinds 1989 maar heb besloten om toch niet die clickbait tour op te gaan. Ook al omdat sommige mensen die met de ziekte te maken hebben het waarschijnlijk niet zo leuk zouden vinden.

Want hoewel er een link is in dit verhaal met de ziekte, gaat deze blogpost wel degelijk over ransomware en duik ik weer even wat geschiedenis in. En de alternatieve titel zal voor sommigen direct al wat verbazing teweegbrengen. Ja, de eerste ransomware dateert alweer uit 1989.

In December van dat jaar werden vanuit het VK naar schatting 20 000 floppy’s de wereld rondgestuurd met een begeleidende brief. De titel was “AIDS Information” en op de floppy stond een interactieve vragenlijst. Het doelwit van die disks waren voor een groot deel deelnemers aan een conferentie in Stockholm in Oktober 1988 over de ziekte, maar ook andere mailinglijsten werden gebruikt om de floppy naartoe te sturen zoals abonnees van PC Business World magazine.



Deze diskette bevatte naast de vragenlijst ook het eerste virus dat op grote schaal probeerde om geld afhandig te maken van computergebruikers door hen de toegang te ontzeggen tot hun bestanden. Wie er exact allemaal aan deze ransomware heeft meegewerkt en wat het exacte doel was is niet bekend.

Is de dader dan niet gevonden? Dr. Joseph Popp wordt over het algemeen aanzien als de maker van deze malware en zeker de verspreider ervan. Hoewel hij zelf lid was van de Vliegende Dokters in Afrika en consultant voor de WHO in Kenia waarvoor hij in 1989 zelfs een AIDS conferentie had georganiseerd hield hij er ook enkele vreemde ideeën op na en was hij zeker niet de hoogst aangeschreven wetenschapper. Na zijn arrestatie op Schiphol en uitlevering aan het VK is hij wel in staat van beschuldiging gesteld voor 11 feiten van afpersing maar tot een veroordeling is het nooit gekomen. De man werd ontoerekeningsvatbaar verklaard en teruggestuurd naar de VS.

De trojan zelf werd geschreven in QuickBASIC 3.0 en hoewel het op sommige gebieden technisch zeer goed in elkaar stak, had je andere delen die weer zeer slordig waren uitgevoerd wat bij onderzoekers begin jaren 90 het vermoeden gaf dat er minstens 2 mensen aan gewerkt hebben. Het zijn ook de zwakke punten in de software die uiteindelijk de schade beperkt hebben voor velen, hoewel menig persoon, menig onderzoeker een deel van zijn/haar data verloren heeft door deze trojan.

Het belangrijkste punt is dat deze trojan geen virus was in het opzicht dat er geen onherstelbare schade werd aangericht. Bijkomend duurde het een tijdje voordat de software aan het werk ging. Vermoedelijk om ervoor te zorgen dat de software zich eerst zo goed mogelijk kan verspreiden. Bij installatie werd de autoexec.bat verplaatst en een alternatieve versie in de plaats gezet die uiteindelijk de originele weer zou starten zolang het virus niet actief was. Tot op dat punt deed die alternatieve versie welgeteld 1 ding, een tellertje verhogen. Wanneer de teller op 90 kwam, dan pas ging het virus aan het werk.

De trojan wist zichzelf en alle bestanden te verbergen door een directory aan te maken met ASCII-karakter 255. Dit wordt op de meeste systemen afgebeeld als een spatie. Daarnaast werd deze directory ook als verborgen weggezet waardoor deze niet opvalt in een directory listing. Maar het maakt ook andere technieken mogelijk. Zoals eerder gezegd werd autoexec.bat initieel vervangen. De inhoud van het nieuwe bestand zag eruit als volgt:

code:
1
2
3
4
5
6
 echo off
C:
cd\#
rem# PLEASE USE THE auto.bat FILE INSTEAD OF
     autoexec.bat FOR CONVENIENCE
auto.bat

Merk op dat de # in dit geval ASCII-karakter 255 voorstelt omdat een spatie gebruiken redelijk zinloos is.

Als je snel over dit script kijkt is het enige opmerkelijke de line break in de rem lijn. Voor de rest lijkt het erop alsof dit bestand gewoon auto.bat uitvoert waarvan ook een kopie in de root van de C: schijf werd geplaatst. Maar door het verborgen karakter voer je niet uit wat er in de root van C: stond. Meer zelfs, je voert een programma uit genaamd REM#.EXE in de directory #. Dit is het programma dat, als de teller op 90 staat, aan het werk gaat. Tot het zover is sluit het gewoon weer af en wordt de backup van autoexec.bat uitgevoerd.

Wanneer je dan eindelijk aan 90 zit gaat het programma dus aan het werk. Na eerst wat housekeeping voor zichzelf begint het daarna over alle bestanden van je harde schijf te gaan. Het zal deze bestanden op zich niet versleutelen zoals moderne ransomware doet. Wat er gebeurd is dat het een evaluatie van de bestandsnaam doet. Als het bestand niet op een lijst van bestanden staat die het met rust moet laten (systeembestanden om te kunnen opstarten) en als de extentie van het bestand in een lijst met gekende extensies voorkomt dan zal de bestandsnaam worden aangepast volgens een vaste tabel, gewoon dus een substitutie van het ene karakter voor een ander. Daarnaast zullen ook de attributen worden aangepast. Bestanden worden verborgen en op alleen lezen gezet. Directories worden wel verborgen, maar de namen worden ongemoeid gelaten.

Als de aanpassingen eenmaal voltooid zijn krijgt de gebruiker een prompt te zien met de melding dat de licentie vernieuwd moet worden en dat men een cheque moet opsturen naar een postbus in Panama.



Mocht de gebruiker toch herstarten door een power cycle uit te voeren, dan zal deze onmiddellijk terug in REM#.EXE terecht komen. Ook een ctr+alt+del werd afgevangen waarna je een valse reboot te zien kreeg om je daarna opnieuw dezelfde boodschap te geven. Sommigen dachten hierdoor dat deze trojan veel complexer zou zijn dan hij werkelijk is. Het afvangen van een reboot request in QB3 is mogelijk en ook gedocumenteerd door Microsoft.

Nu denk je al snel: dan starten we toch gewoon met een bootdisk op? Dat kon je inderdaad doen. Maar deed je dan een dirlisting van je C: schijf, kreeg je welgeteld 1 bestand te zien. CYBORG.DOC met daarin dezelfde vraag om te betalen. Enkel als je wist dat bestanden en directories verborgen konden worden kon je ze gaan terughalen maar dan had je nog altijd geen enkele bestandsnaam. Daarvoor was een uitgebreidere analyse van de trojan noodzakelijk. Floppy’s met het AIDSOUT en AIDSCLEAR werden in 1990 door verschillende organisaties gratis ter beschikking gesteld van getroffen gebruikers. Het eerste programma deed de opkuis van het virus voordat het geactiveerd was, het tweede kon al je bestanden terug de juiste naam geven en opnieuw zichtbaar maken.

Een iets uitgebreidere samenvatting van de technische analyse van dit virus kan je terugvinden in het Januari nummer uit 1990 van Virus Bulletin.

Ransomware, meer dan 30 jaar oud, ouder dan vele bezoekers van deze site, en nog hebben we er geen goede oplossing voor.

Volgende: Waterstof, een oud verhaal. 10-04 Waterstof, een oud verhaal.

Reacties


Door Tweakers user Qwerty-273, dinsdag 25 mei 2021 09:32

In die tijd was een vergelijkbare melding op het scherm bij gebruik van tal van applicaties heel gewoon. Stuur een check ter waarde van x of y naar dit adres voor het verlengen of aankopen van een licentie. Maar die zag je dan alleen als je van applicatie x gebruik wilde maken, of na het afsluiten.

Tot op heden heb ik geen ransomware gehad, maar ik heb des tijds wel vriendjes huilend gezien omdat Byte Bandit hun Amiga om zeep hielp, en gefrustreerde mensen waar Ping Pong op de PC een balletje over het scherm aan het stuiteren was (buiten een eventuele crash van het systeem was het verder niet kwaadaardig).

Door Tweakers user itlee, dinsdag 25 mei 2021 14:54

met een ander diskette kon je wel opstarten en als je even attrib.exe op de diskette meekopieerde kon je met attrib.exe je bestanden zichtbaar maken en dus ook weer renamen daarna.

goeie oude tijd,... De jeugd van nu heeft t een stuk makkelijker in ieder geval. wij moesten alle kennis nog van floppies of technet cd's halen (die we maandelijks via de post kregen). de enige manier om te leren,... er was simpel weg geen google.

Door Tweakers user Mattie112, dinsdag 25 mei 2021 22:52

Toevallig laatst bij een episode van DarknetDiaries eea over gehoord. Heel interessant die oude virussen
Op the internet archive kan je ze ook uitproberen in een online dosbox :)

Door Tweakers user alwinuzz, donderdag 27 mei 2021 11:44

Leuke blogpost dit! Stukje computerhistorie

Door Tweakers user Fluttershy, maandag 31 mei 2021 01:37

Ransomware, meer dan 30 jaar oud, ouder dan vele bezoekers van deze site, en nog hebben we er geen goede oplossing voor
Bedankt voor het natrappen... 😭

Door Tweakers user KatInHetBakkie, maandag 31 mei 2021 09:30

Mooi stukje internethistorie. Dank :)

De eerste keer dat ik mcafee op een flop kreeg (eind jaren 80), bleek dat ik op elke diskette op z'n minst het (c) BRAIN label had gekregen. Dat was het begin van mijn viruskennis. Yay :)

Door Tweakers user Blokker_1999, maandag 31 mei 2021 12:25

Fluttershy schreef op maandag 31 mei 2021 @ 01:37:
[...]


Bedankt voor het natrappen... 😭
Niets mis met oud worden. Als ik het over de maanlanding zou hebben zou die disclaimer trouwens nog voor meer tweakers gelden ;)

Door Tweakers user Eagle Creek, vrijdag 4 juni 2021 09:25

Dank voor het leuken, zulke stukjes nostalgie zijn vermakelijk :).

Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.