Ransomware, Die Eerste Keer

Door Blokker_1999 op maandag 24 mei 2021 18:53 - Reacties (8)
Categorie: /var, Views: 7.291

Ik heb even moeten nadenken over de titel, dacht er een tijdje over na om een andere titel te gebruiken in de trend van AIDS, opgelost sinds 1989 maar heb besloten om toch niet die clickbait tour op te gaan. Ook al omdat sommige mensen die met de ziekte te maken hebben het waarschijnlijk niet zo leuk zouden vinden.

Want hoewel er een link is in dit verhaal met de ziekte, gaat deze blogpost wel degelijk over ransomware en duik ik weer even wat geschiedenis in. En de alternatieve titel zal voor sommigen direct al wat verbazing teweegbrengen. Ja, de eerste ransomware dateert alweer uit 1989.

In December van dat jaar werden vanuit het VK naar schatting 20 000 floppy’s de wereld rondgestuurd met een begeleidende brief. De titel was “AIDS Information” en op de floppy stond een interactieve vragenlijst. Het doelwit van die disks waren voor een groot deel deelnemers aan een conferentie in Stockholm in Oktober 1988 over de ziekte, maar ook andere mailinglijsten werden gebruikt om de floppy naartoe te sturen zoals abonnees van PC Business World magazine.



Deze diskette bevatte naast de vragenlijst ook het eerste virus dat op grote schaal probeerde om geld afhandig te maken van computergebruikers door hen de toegang te ontzeggen tot hun bestanden. Wie er exact allemaal aan deze ransomware heeft meegewerkt en wat het exacte doel was is niet bekend.

Is de dader dan niet gevonden? Dr. Joseph Popp wordt over het algemeen aanzien als de maker van deze malware en zeker de verspreider ervan. Hoewel hij zelf lid was van de Vliegende Dokters in Afrika en consultant voor de WHO in Kenia waarvoor hij in 1989 zelfs een AIDS conferentie had georganiseerd hield hij er ook enkele vreemde ideeën op na en was hij zeker niet de hoogst aangeschreven wetenschapper. Na zijn arrestatie op Schiphol en uitlevering aan het VK is hij wel in staat van beschuldiging gesteld voor 11 feiten van afpersing maar tot een veroordeling is het nooit gekomen. De man werd ontoerekeningsvatbaar verklaard en teruggestuurd naar de VS.

De trojan zelf werd geschreven in QuickBASIC 3.0 en hoewel het op sommige gebieden technisch zeer goed in elkaar stak, had je andere delen die weer zeer slordig waren uitgevoerd wat bij onderzoekers begin jaren 90 het vermoeden gaf dat er minstens 2 mensen aan gewerkt hebben. Het zijn ook de zwakke punten in de software die uiteindelijk de schade beperkt hebben voor velen, hoewel menig persoon, menig onderzoeker een deel van zijn/haar data verloren heeft door deze trojan.

Het belangrijkste punt is dat deze trojan geen virus was in het opzicht dat er geen onherstelbare schade werd aangericht. Bijkomend duurde het een tijdje voordat de software aan het werk ging. Vermoedelijk om ervoor te zorgen dat de software zich eerst zo goed mogelijk kan verspreiden. Bij installatie werd de autoexec.bat verplaatst en een alternatieve versie in de plaats gezet die uiteindelijk de originele weer zou starten zolang het virus niet actief was. Tot op dat punt deed die alternatieve versie welgeteld 1 ding, een tellertje verhogen. Wanneer de teller op 90 kwam, dan pas ging het virus aan het werk.

De trojan wist zichzelf en alle bestanden te verbergen door een directory aan te maken met ASCII-karakter 255. Dit wordt op de meeste systemen afgebeeld als een spatie. Daarnaast werd deze directory ook als verborgen weggezet waardoor deze niet opvalt in een directory listing. Maar het maakt ook andere technieken mogelijk. Zoals eerder gezegd werd autoexec.bat initieel vervangen. De inhoud van het nieuwe bestand zag eruit als volgt:

code:
1
2
3
4
5
6
 echo off
C:
cd\#
rem# PLEASE USE THE auto.bat FILE INSTEAD OF
     autoexec.bat FOR CONVENIENCE
auto.bat

Merk op dat de # in dit geval ASCII-karakter 255 voorstelt omdat een spatie gebruiken redelijk zinloos is.

Als je snel over dit script kijkt is het enige opmerkelijke de line break in de rem lijn. Voor de rest lijkt het erop alsof dit bestand gewoon auto.bat uitvoert waarvan ook een kopie in de root van de C: schijf werd geplaatst. Maar door het verborgen karakter voer je niet uit wat er in de root van C: stond. Meer zelfs, je voert een programma uit genaamd REM#.EXE in de directory #. Dit is het programma dat, als de teller op 90 staat, aan het werk gaat. Tot het zover is sluit het gewoon weer af en wordt de backup van autoexec.bat uitgevoerd.

Wanneer je dan eindelijk aan 90 zit gaat het programma dus aan het werk. Na eerst wat housekeeping voor zichzelf begint het daarna over alle bestanden van je harde schijf te gaan. Het zal deze bestanden op zich niet versleutelen zoals moderne ransomware doet. Wat er gebeurd is dat het een evaluatie van de bestandsnaam doet. Als het bestand niet op een lijst van bestanden staat die het met rust moet laten (systeembestanden om te kunnen opstarten) en als de extentie van het bestand in een lijst met gekende extensies voorkomt dan zal de bestandsnaam worden aangepast volgens een vaste tabel, gewoon dus een substitutie van het ene karakter voor een ander. Daarnaast zullen ook de attributen worden aangepast. Bestanden worden verborgen en op alleen lezen gezet. Directories worden wel verborgen, maar de namen worden ongemoeid gelaten.

Als de aanpassingen eenmaal voltooid zijn krijgt de gebruiker een prompt te zien met de melding dat de licentie vernieuwd moet worden en dat men een cheque moet opsturen naar een postbus in Panama.



Mocht de gebruiker toch herstarten door een power cycle uit te voeren, dan zal deze onmiddellijk terug in REM#.EXE terecht komen. Ook een ctr+alt+del werd afgevangen waarna je een valse reboot te zien kreeg om je daarna opnieuw dezelfde boodschap te geven. Sommigen dachten hierdoor dat deze trojan veel complexer zou zijn dan hij werkelijk is. Het afvangen van een reboot request in QB3 is mogelijk en ook gedocumenteerd door Microsoft.

Nu denk je al snel: dan starten we toch gewoon met een bootdisk op? Dat kon je inderdaad doen. Maar deed je dan een dirlisting van je C: schijf, kreeg je welgeteld 1 bestand te zien. CYBORG.DOC met daarin dezelfde vraag om te betalen. Enkel als je wist dat bestanden en directories verborgen konden worden kon je ze gaan terughalen maar dan had je nog altijd geen enkele bestandsnaam. Daarvoor was een uitgebreidere analyse van de trojan noodzakelijk. Floppy’s met het AIDSOUT en AIDSCLEAR werden in 1990 door verschillende organisaties gratis ter beschikking gesteld van getroffen gebruikers. Het eerste programma deed de opkuis van het virus voordat het geactiveerd was, het tweede kon al je bestanden terug de juiste naam geven en opnieuw zichtbaar maken.

Een iets uitgebreidere samenvatting van de technische analyse van dit virus kan je terugvinden in het Januari nummer uit 1990 van Virus Bulletin.

Ransomware, meer dan 30 jaar oud, ouder dan vele bezoekers van deze site, en nog hebben we er geen goede oplossing voor.