Ο υπολογιστής του ήταν καινούργιος, αγορασμένος πριν από δύο εβδομάδες. Σύντομα, όμως, ο φωτογράφος Χρήστος Δημητρίου διαπίστωσε ότι κάτι δεν πήγαινε καλά. Θυμάται ένα παράθυρο να ανοιγοκλείνει αστραπιαία στην οθόνη –προτού προλάβει να δει το περιεχόμενό του– και το μηχάνημα να συμπεριφέρεται πιο αργά από τις δυνατότητές του. Θεώρησε ότι ίσως ήταν κάτι το αντιμετωπίσιμο. Ωσπου στις 10 Οκτωβρίου, μόλις έφτασε στο στούντιο, βρήκε όλα τα αρχεία τού υπολογιστή του κρυπτογραφημένα. Κυβερνοεκβιαστές ζητούσαν ψηφιακά λύτρα για να τα απελευθερώσουν. Επεσε θύμα ψηφιακής ομηρίας.
Το κακόβουλο λογισμικό Gandcrab είχε προσβάλει και έναν εξωτερικό σκληρό δίσκο με αντίγραφα αρχείων (backup) που ήταν συνδεδεμένος στον μοιραίο υπολογιστή του φωτογράφου. Οι δράστες σε μήνυμά τους που εμφανιζόταν στην αρχική οθόνη του υπολογιστή παρέπεμπαν τον κ. Δημητρίου σε μια ηλεκτρονική διεύθυνση με αναλυτικές οδηγίες για τον τρόπο πληρωμής τους. Εκείνος δεν πείσθηκε. «Ακόμα και να πληρώσεις, κανείς δεν εγγυάται ότι θα σου ξεκλειδώσουν όλα τα αρχεία», λέει στην «Κ» ο φωτογράφος.
Διαδικτυακή εταιρεία με έδρα στη Βόρεια Ελλάδα που είχε προσβληθεί αρκετούς μήνες νωρίτερα από τον ίδιο ιό κλήθηκε να καταβάλει στους κυβερνοεκβιαστές περίπου 1.000 ευρώ. Ούτε εκείνη ενέδωσε στις πιέσεις, παρότι οι δράστες είχαν δεσμεύσει πολύτιμα αρχεία της (όγκο δουλειάς πέντε ετών με παρουσιάσεις, εκθέσεις και λογιστικά έγγραφα).
Τα τελευταία δύο χρόνια η «Κ» έχει καταγράψει διαδοχικά κρούσματα ψηφιακών ομηριών στην Ελλάδα: Σε ξενοδοχειακές μονάδες στην Κρήτη, στη Ρόδο και στην Κέρκυρα, σε εταιρεία που δραστηριοποιείται στον κλάδο γεωργικών και κτηνοτροφικών εγκαταστάσεων για αποθήκευση και επεξεργασία δημητριακών, ακόμη και σε υπολογιστές του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης. Το πρόσφατο παράδειγμα του κ. Δημητρίου, όμως, δείχνει πως οποιοσδήποτε ιδιώτης –και όχι απαραίτητα μία εταιρεία με ευρύ δίκτυο υπολογιστών– μπορεί να εκτεθεί στην ίδια απειλή.
Οι ειδικοί παρατηρούν έξαρση των επιμολύνσεων με Ransomware (όπως αποκαλούνται τα συγκεκριμένα κακόβουλα λογισμικά) στην Ελλάδα. Ο Δημήτρης Παπαμιχαήλ, υπεύθυνος για την προστασία και ανάκτηση δεδομένων στην εταιρεία Northwind, επισημαίνει στην «Κ» ότι οι πιο διαδεδομένοι ιοί αυτού του τύπου στη χώρα μας είναι οι Dharma, Locky, Cryptolocker, Gandcrab, Scarab. Σύμφωνα με καταγραφή της εταιρείας, το 19,6% των θυμάτων του Dharma στην Ελλάδα πλήρωσε τα λύτρα αλλά δεν κατάφερε να πάρει πίσω τα αρχεία του. Πρόσφατα ο κ. Παπαμιχαήλ συμμετείχε σε ενημέρωση στελεχών της Δίωξης Ηλεκτρονικού Εγκλήματος σε Αθήνα και Θεσσαλονίκη γύρω από τις εξελίξεις στα Ransomare. Μιλώντας στους αστυνομικούς επανέλαβε ότι όποιος μολυνθεί δεν πρέπει να πληρώσει.
Ο κ. Δημητρίου απευθύνθηκε στη Northwind για να βρει διαθέσιμο κλειδί αποκρυπτογράφησης. Αρχικά οι τεχνικοί κατάφεραν να ανακτήσουν 10.000 αρχεία του φωτογράφου που ήταν θαμμένα σε σκληρούς δίσκους. Δύο εβδομάδες αργότερα τον ενημέρωσαν ότι είχαν βρει συνολική λύση και ο υπολογιστής του μπορούσε να επανέλθει στην αρχική του κατάσταση.
Οι δύο Ιρανοί του ιού SamSam
Οπως λέει ο κ. Παπαμιχαήλ, δεν συνέβη το ίδιο σε άλλες έξι περιπτώσεις ψηφιακών ομηριών μέσα στο 2018. Ελληνες των οποίων τα μηχανήματα προσβλήθηκαν από το κακόβουλο λογισμικό SamSam δεν μπόρεσαν να λύσουν το πρόβλημα. Σε αυτά τα θύματα περιλαμβάνονται δύο ελεύθεροι επαγγελματίες, ένας ταξιδιωτικός πράκτορας, μία μεταφραστική υπηρεσία, ένα κέντρο διά βίου μάθησης και ένα μικροβιολογικό εργαστήριο.
Πρόσφατα το αμερικανικό υπουργείο Δικαιοσύνης ανακοίνωσε ότι δύο Ιρανοί κρύβονται πίσω από τη δημιουργία του SamSam. Πρόκειται για τον 34χρονο Φαραμάρζ Σαβαντί και τον 27χρονο Μοχάμεντ Μανσούρι.
Σύμφωνα με την έρευνα του FBI, η δράση των δύο Ιρανών ξεκίνησε τον Δεκέμβριο του 2015. Τον Ιούνιο και τον Οκτώβριο του 2017 βελτίωσαν το κακόβουλο λογισμικό και χτύπησαν –μόνο στις ΗΠΑ– περισσότερους από 200 στόχους. Στα θύματά τους περιλαμβάνονται νοσοκομεία, φορείς Τοπικής Αυτοδιοίκησης και εκπαιδευτικά ιδρύματα. Στο αμερικανικό κατηγορητήριο αναφέρεται ότι οι δύο χάκερ κατάφεραν να συγκεντρώσουν πάνω από 6 εκατ. δολάρια σε λύτρα. Λόγω της αδυναμίας πρόσβασης σε κρίσιμα αρχεία τους, τα θύματά τους στις ΗΠΑ υπέστησαν ζημίες που ξεπερνούν τα 30 εκατ. δολάρια. Ερευνα της βρετανικής εταιρείας ασφαλείας δικτύων Sophos, δείχνει ότι μια τυπική αξίωση λύτρων για όσους χρησιμοποιούν τον ιό SamSam φτάνει σε 40.000 δολάρια.
Ολα από το μηδέν
Προτού δεχθεί την επίθεση των κυβερνοεκβιαστών, ο Χρήστος Δημητρίου είχε μεριμνήσει να διαφυλάξει όλα τα αρνητικά από τις φωτογραφικές του δουλειές σε ξεχωριστούς σκληρούς δίσκους. Ο,τι είχε φωτογραφίσει ήταν αποθηκευμένο και ασφαλές. Η ψηφιακή ομηρία δεν θα έπληττε άμεσα το έργο του. Θα χρειαζόταν όμως παραπάνω χρόνο και κόπο για να επεξεργαστεί ξανά όλες αυτές τις εικόνες από το μηδέν και να τις παραδώσει. Γι’ αυτό και ήταν απαραίτητη για τον ίδιο η ανάκτηση των δεδομένων από τον υπολογιστή και τον εξωτερικό σκληρό δίσκο που είχαν κρυπτογραφηθεί στις αρχές Οκτωβρίου.
Μετά την επίλυση του προβλήματος παίρνει ακόμη πιο αυστηρά μέτρα ασφαλείας. «Εφοδιαστήκαμε με καινούργια antivirus, φροντίζουμε να αφαιρούμε τους σκληρούς δίσκους μόλις τελειώσει η εργασία και κάνουμε δεύτερο και τρίτο backup», λέει. Μέχρι και σήμερα δεν γνωρίζει πώς μπορεί να μολύνθηκε ο υπολογιστής του. Δεν μπορεί να ανακαλέσει κάποια συγκεκριμένη κίνηση που δεν έπρεπε να είχε κάνει. Συνήθως τα Ransomware διασπείρονται μέσω ηλεκτρονικής αλληλογραφίας. Ο ιός μπορεί να είναι κρυμμένος ακόμη και σε ένα συνημμένο αρχείο τύπου .doc ή .pdf που θα σταλεί σε παραπλανητικό email. Η μόλυνση μπορεί να γίνει όμως και από επίσκεψη σε ιστοσελίδες αμφιβόλου ποιότητας. Τα εκτεθειμένα αρχεία αποκτούν περίεργες επεκτάσεις στα ονόματά τους και είναι αδύνατο να χρησιμοποιηθούν.
«Ολες οι διαδικτυακές απειλές μου φαίνονταν στο παρελθόν ίδιες», λέει ο κ. Δημητρίου. «Τα είχα λίγο θολά στο μυαλό μου. Είχα την πεποίθηση ότι δεν μπορεί να συμβεί σε εμένα κάτι αντίστοιχο».