Дори НАСА се зарази с рансъмуер „CryptoLocker“.

Образ: Едуин Гийв /Shutterstock

Между септември 2013 г. и юни 2014 г., a вирус, известен като CryptoLocker заразени наоколо 500 000 компютъра по света. Създаден да заключва данни в компютъра на жертвата и да ги държи за откуп, той в крайна сметка изнудва приблизително 3 милиона долара от жертви, които са се съгласили да платят, вместо да загубят файловете си.



Сред тези жертви на Cryptolocker са два компютъра на НАСА, според an вътрешен документ получен от Motherboard.






The ransomware вирусът зарази компютър в изследователския център на НАСА Еймс в Калифорния на 23 октомври 2013 г., „което доведе до загуба на достъп до данните на НАСА“, според документа. Удари и друг компютър в центъра за посетители на космическия център Кенеди във Флорида два дни по-късно.



Документът е изготвен от Службата на генералния инспектор на НАСА и е оскъден с подробности. Но източник, запознат с инцидентите, който говори при условие за анонимност, каза, че двата компютъра са били лаптопи, които са били напълно архивирани. Това е стандартна практика в НАСА, където „95% от данните са SBU [чувствителни, но некласифицирани] и всичко се архивира в три екземпляра“, каза източникът пред Motherboard.

Инфекцията с CrytpoLocker в изследователския център на Ames причини „загуба на достъп до данни“.






И все пак, както се казва в документа, инфекцията в изследователския център на Еймс наистина е причинила „загуба на достъп до данни“, въпреки че степента на загубата е неясна и е възможно НАСА да е успяла да възстанови някои данни от резервно копие . Във всеки случай, както отбелязва източникът, НАСА никога не се е съгласявала да плати откупа, когато бъде заразена от този вид зловреден софтуер.



НАСА не отговори на молбата на Motherboard за коментар преди публикуването.

В първия случай жертвата вероятно е бил Сърба Йович, изследовател, който работи в изследователския център на Еймс, според него Профил в Linkedin .

Въпреки че името на жертвата е редактирано, документът разкрива местоположението на файла, който е породил инфекцията Cryptolocker, показвайки, че е намерен в потребителска папка с име „sjovic“. (Йович не отговори на молбата на Motherboard за коментар.)

  Екранна снимка 2015-06-05 at 10.48.47 AM.png

Тим Макгъфин, служител по сигурността на информацията в Държавния университет Сам Хюстън в Тексас, който е анализирал CrytoLocker в миналото, каза, че двата инцидента изглеждат стандартни инфекции на CryptoLocker и че НАСА изглежда е реагирала правилно.

„Това нещо може да се случи“, тъй като CrytpoLocker е „наистина труден за защита“, каза Макгъфин пред Motherboard.

Във втория случай заразеният компютър е бил свързан към мрежа на НАСА и по този начин е имал IP адрес на НАСА, според документа. Но всъщност е бил управляван и притежаван от Delaware North Companies Parks and Resorts (DNCPR). Като се има предвид това, рискът от загуба на важни данни вероятно е по-малък. DNCPR премахна компютъра от системата, изтри го и го върна в експлоатация, според документа.

„Това почти не е проблем, защото беше просто машина за център за посетители, вероятно използвана за планиране“, каза Макгъфин, който прегледа документа за Motherboard.

Въпреки че точният размер на щетите в тези два случая не е ясен, CrytoLocker не е програмиран да се разпространява като червей към други компютри в мрежата, така че не би трябвало да зарази други компютри, според Макгъфин.

Във всеки случай изглежда, че нищо не излезе от разследването на главния инспектор за тези две инфекции на CryptoLocker.

На 21 февруари 2014 г., според документа, някой от НАСА (подробностите са редактирани) се е срещнал със служител от Службата на генералния инспектор за здравеопазването и човешките услуги (HHS), член на работната група, която по това време разследваше случаи на CryptoLocker в САЩ.

Човекът от HHS разкри на срещата, че „в резултат на CryptoLocker“, неговата агенция е претърпяла „20-25 инцидента“.

Здравните и човешки услуги (HSS) претърпяха 20 до 25 „инцидента в цялата агенция в резултат на CryptoLocker“.

„Но стана ясно, че той няма да може да ги разреши в момента“, пише НАСА и затова той затвори случая и предложи на НАСА да направи същото.

Документът завършва с препоръка за прекратяване на разследването на двата инцидента, предвид „общата ниска цена на щетите“, понесени от НАСА поради двете инфекции на CryptoLocker.

Няколко месеца по-късно, в началото на юни 2014 г., международна коалиция от правоприлагащи органи свали ботнетът, който беше използван за разпространение на CrytoLocker. Те иззеха компютри и сървъри, които действаха като командни и контролни центрове за зловредния софтуер. Наречен „Операция Товар“, това беше краят на вируса CrytoLocker.

Копие от оригиналния документ е вградено по-долу.

Документ на Службата на главния инспектор на НАСА относно CryptoLocker

Джейсън Кьоблър допринесе за докладването на тази история.