Poprosił ChatGPT o pomoc w odzyskaniu pliku. Skończyło się reinstalacją systemu

cert.orange.pl 14 godzin temu

Kto dziś nie korzysta z ChatGPT? Sztuczna inteligencja w błyskawicznym tempie weszła do naszego codziennego życia. Używamy jej jako asystenta wyszukiwania informacji, do podpowiadania pomysłów na codzienny jadłospis, jako trenera biegowego, niektórzy choćby pytają AI o sprawy zdrowotne. Czy warto ufać sztucznej inteligencji? Gdy przeczytacie historię Marcina, poważnie się nad tym zastanowicie.

Opisywana kampania jest przez cały czas aktywna. Zamiast na konkretnych adresach i nazwach plików, skupiam się na samym mechanizmie, aby pomóc Wam samodzielnie rozpoznawać podobne zagrożenia w przyszłości.

Chyba każdemu pracującemu w branży IT zdarza się od czasu do czasu pełnić rolę „pogotowia komputerowego” dla rodziny i znajomych. Tak też było w tym przypadku. Ze swoim problemem zgłosił się do mnie Marcin (17 lat, imię zmienione). Opisana przez niego historia zaczyna się nieudaną próbą odzyskania nagrań z karty pamięci, a kończy… instalacją koparki kryptowalut na jego urządzeniu, potencjalnie wykradzionymi ciastkami przeglądarki i koniecznością reinstalacji całego systemu operacyjnego.

To nie był phishing ani podejrzany załącznik z maila. Link pochodził od modelu AI, który polecił go, nazywając w dodatku „bezpiecznym” i „oficjalnym”. Opisuję kampanię, w której przestępcy nie tylko podszywają się pod popularne oprogramowanie, ale celowo konstruują fałszywe strony tak, żeby trafiały do odpowiedzi modeli językowych.

Koparka kryptowalut zamiast szukanego programu

Oddajmy głos Marcinowi:

Wszystko zaczęło się podczas przenoszenia nagrań z karty SD na komputer, kiedy wystąpił błąd zapisu. Ponieważ użyłem funkcji „wytnij” zamiast „kopiuj”, pliki zniknęły z karty, a na dysku pozostały jedynie ich uszkodzone fragmenty. Wiedziałem jednak, iż istnieją narzędzia do odzyskiwania takich danych, więc o propozycję najlepszego z nich zapytałem ChatGPT.

Sztuczna inteligencja zasugerowała naszemu rozmówcy kilka rozwiązań. Wybrał PhotoRec. To program o publicznym kodzie, co wzmacnia wiarygodność. Poprosił ChatGPT o link do pobrania i od razu go dostał.

Zasugerowana przez ChatGPT domena (photorec[.]cc) oraz sama strona na pierwszy rzut oka wyglądają wiarygodnie. Strona jest choćby bardziej dopracowana niż oryginał (screeny poniżej) z nowoczesnym designem, pięcioma wersjami językowymi i szczegółowym FAQ.

Marcin, wierząc iż ChatGPT jest godny zaufania, pobrał plik i uruchomił instalator.

Program nie zadziałał. Odzyskane filmy wciąż były uszkodzone. Sięgnąłem więc po kolejną aplikację z listy, tym razem pobierając ją z Microsoft Store. Ten program zadziałał bez zarzutu.

Gdy Marcin wrócił do komputera po około godzinie, zobaczył, iż Microsoft Defender wyświetla komunikat z pytaniem o dostęp do sieci dla procesu o nazwie SRBMiner-MULTI – popularnej koparki kryptowalut.

Sam jej nie instalowałem, więc byłem pewny, iż zrobił to jeden z pobranych wcześniej programów. Sprawdziłem plik instalacyjny PhotoRec w serwisie VirusTotal: został oznaczony jako złośliwy. Zacząłem zgłębiać temat w sieci. gwałtownie okazało się, iż koparka to tylko wierzchołek góry lodowej – trafiłem na złośliwe oprogramowanie, które potrafi wyciągnąć z przeglądarki nie tylko zapisane hasła, ale przede wszystkim aktywne tokeny sesji. To oznaczało, iż hakerzy mogli wejść na moje konta bez podawania loginu, całkowicie omijając dwuetapową weryfikację. Kolejne dziesiątki godzin poświęciłem na manualne wylogowanie każdej sesji, przenoszenie ważnych plików na inny dysk oraz reinstalację całego systemu wraz z BIOS-em.

Jak AI proponuje wirusy

Ponieważ Marcin prowadził konwersację w sesji prywatnej, nie udało się pozyskać oryginalnej rozmowy. Spróbowałem jednak samodzielnie odtworzyć podobny scenariusz. Jak się okazało – z sukcesem…

Jak odzyskać pliki, które przypadkowo skasowałem z karty pamięci.

Odzyskanie plików z karty pamięci jest często możliwe — ale kluczowe jest szybkie działanie. Najważniejsze: nie zapisuj nic nowego na tej karcie, bo możesz nadpisać utracone dane.