Czym jest Ransomware? Przewodnik zapoznawczy – część I

Jeszcze nie tak dawno temu, bo w 2014 roku, pewien mężczyzna popełnił samobójstwo po tym, jak otrzymał automatycznie, wygenerowane przez wirusa powiadomienie na swoim komputerze. W powiadomieniu tym zagrożono mu, że jeżeli nie wpłaci kilka tysięcy dolarów na wskazane konto, trafi do więzienia. Historia ta wydaje się, tym bardziej niesamowita, że może okazać się to pierwszy udokumentowany przypadek śmierci człowieka spowodowanej przez wirusa komputerowego. Nowa generacja wirusa okrada ludzi z pieniędzy na całym globie, a Cryptolockery wychodzą na czołówkę najpopularniejszych zagrożeń obecnych czasów, przetrzymując dane setek tysięcy użytkowników będących jego zakładnikami. Pomimo ciągłych prób obalenia zagrożenia, wraca ono ciągle w nowych formach złośliwego oprogramowania.

Wirusy cały czas są wyzwaniem ze względu na ich ciągły rozwój, zdobywają nowe poziomy złożoności i zwiększają swój zasięg. Spowodowane jest to chociażby tym, że coraz częściej decydujemy się na przechowywanie wrażliwych danych osobistych i firmowych na urządzeniach mobilnych takich jak tablety i smartfony.

Producent rozwiązań antimalware, Bitdefender, pochyla się nad tematem, aby wyjaśnić wszystkim jak działa ten typ wirusa i pragnie odpowiedzieć na zasadnicze pytanie: Jak zabezpieczyć się przed tym zagrożeniem i nie dać się szantażować?  

Czym jest ransomware?  

Ransomware to rodzaj malware (złośliwego oprogramowania), które infekując urządzenie lub komputer blokuje jego podstawowe funkcje i zmusza użytkownika do zapłacenia haraczu, w zamian za przywrócenie kontroli na systemem operacyjnym i dostępu do danych zgromadzonych na komputerze. Zagrożenie jest w stanie dostać się do komputera za pośrednictwem pobranego pliku, wykorzystując niespójności w strukturze ochrony lub nawet przez wiadomość tekstową.  

Czym się różni od typowego złośliwego oprogramowania?

• Nie kradnie danych użytkownika, lecz je szyfruje.
• Wymusza płatność okupu, zazwyczaj w dolarach lub Bitcoinach.
• Jest relatywnie łatwy do stworzenia – istnieje wiele bardzo dobrze udokumentowanych cryptobibliotek.

Blokada urządzeń.  

Najbardziej typowe ransomware blokują ekran urządzenia i wyświetlając obraz blokuje tym samym możliwość eksploatowania urządzenia. Wyświetlana wiadomość żąda od nas płatności, by rozszyfrować nasze prywatne pliki.

Szyfrujący ransomware  

Te najbardziej złośliwe rodziny szyfrujących ransomware to Cryptowall, Critroni i TorLocker.  

Cryptolocker szyfruje nasze pliki osobiste i foldery z plikami typu dokument, arkusz kalkulacyjny, zdjęcia i wideo. Po zinfiltrowaniu maszyny, oprogramowanie kontaktuje się z centrum kontroli aby wygenerować klucz szyfrowania i zaszyfrować każdy istotny plik na komputerze wykorzystując złożony algorytm szyfrowania. To powoduje, że pojmane pliki danych stają się bezużyteczne.  

Złośliwe oprogramowanie wyświetla następnie informację, często pozorowaną, że pochodzi od agencji wykonawczej takiej jak policja lub specjalne jednostki bezpieczeństwa by przestraszyć ofiary zagrożeniem dużej kary lub pozbawienia wolności, dając szanse uniknięcia kary po opłaceniu „kary” (np. przy pomocy karty płatniczej) przed określonym terminem końcowym. Cyber przestępcy wykorzystują adresy IP komputerów ofiar w celu ich lokalizacji w celu przedstawienia odpowiedniej wersji językowej informacji blokującej ekran. Wiadomości tego typu czasami straszą skasowaniem danych w przypadku nie wywiązania się z terminu płatności.  

Niektóre grupy przestępcze prowadzą sterowanie i zagrożeniem i komunikację z ofiarą w oparciu o sieć TOR. TorLocker jest rodzajem komercyjnego zestawu ransomware sprzedawanego na ukrytych forach w formie programu partnerskiego. Odnawialne, wbudowane klucze pozwalają TorLockerowi szyfrowanie plików, nawet gdy komputer lub urządzenie ofiary nie jest online, czyniąc tą operację praktycznie nie możliwą do zatrzymania.  

Bogdan Botezatu, Starszy Analityk Zagrożeń elektronicznych w Bitdefender uważa, że: „Sprawa staje się coraz bardziej poważna, gdyż liczba infekcji tego typu wzrasta z każdym dniem..”. „Gdy padniemy ofiarą ransomware, nie ma absolutnie żadnego sposobu na odzyskanie danych bez płacenia. Płacąc jednak zachęcamy przestępczość do działania i wspieramy rozwój jeszcze bardziej rozbudowanych zagrożeń. Czasami może zaistnieć sytuacja, w której przestępcy pobiorą płatność a i tak nie uwolnią naszych danych, pozostawiając nas bez pieniędzy i cennych informacji będących zaszyfrowanymi.”