Kaj je Ransomware in kako se zaščititi pred njo

Ransomware je oblika zlonamerne programske opreme, ki šifrira medije, dokumente in druge datoteke na ciljnem računalniku in dostop do teh datotek je odobren šele, ko so izpolnjene napadalčeve zahteve po odkupnini.

Trenutno obstajata dve vrsti izsiljevalske programske opreme - ena, ki zaklene določene datoteke v računalniku, in druga, ki zaklene celoten sistem. Slednje večinoma najdemo na pametnih telefonih.

Ransomware je prisoten že več kot desetletje. Prvi primeri takšnega napada so bili ugotovljeni v Rusiji leta 2005 Trojanski GPcoder.

Zgodnja zgodovina: Russian Connect

Prvi znani virus izsiljevalske programske opreme, ki je povzročil težave v velikem obsegu, je bil ki so ga razvili ruski organizirani kriminalci in je prišel v ospredje v letih 2005 in 2006.

Ta zlonamerna programska oprema je okužila osebne računalnike v Rusiji, Belorusiji, Ukrajini in Kazahstanu. Imenoval se je ena od vrst zlonamerne programske opreme Archievus in drugi je poklical Troj_Cryzip. A.

Medtem ko je prvi šifriral mapo »Moji dokumenti«, je drugi identificiral in premaknil določene vrste datotek v osebnem računalniku v Zip, zaščiten z geslom. mapo, ki bi se odklenila šele, ko bi žrtev napadalcu preko E-Golda — elektronske valute prej nakazala nekaj sto dolarjev. Bitcoin.

E-Gold je bil ukinjen leta 2009 po navodilih ameriške vlade zaradi velikega števila kriminalcev, ki ga uporabljajo za pranje denarja. Po tem se Bitcoin in predplačniške debetne kartice uporabljajo kot način zbiranja odkupnine.

Proti koncu prvega desetletja so se pojavili številni napadi z izsiljevalsko programsko opremo, ki so se lažno predstavljali za organe pregona. Ti napadalci bi žrtve nadlegovali z lažnimi obtožbami, kot je kršitev avtorskih pravic, in iztržili "globe" za te neobstoječe obtožbe.

Najbolj razvpit od teh imitatorjev organov pregona je bil Reveton, ransomware, ki bi deloval lokalno. Odvisno od države, v kateri ima žrtev sedež, bi se Reveton predstavljal kot nacionalna policija.

Razvijalci so si prizadevali za lokalizacijo za skoraj vse evropske države, ZDA, Avstralijo, Kanado in Novo Zelandijo. Izsiljevalska programska oprema ni uporabila šifriranja za zaklepanje uporabnikovih datotek, kar je olajšalo odstranitev z protivirusnim programom ali v varnem načinu.

Leta 2012 še ena izsiljevalska programska oprema ciljal Windows Master Boot Record (MBR) in ga nadomestil z zlonamerno kodo. Ko se je okužen sistem zagnal, bi uporabnik prejel navodila za plačilo velikega zneska prek QIWI – plačilnega sistema v ruski lasti – za dostop do svoje naprave.

Sodobna kripto-ransomware

Ena od sodobnih metod izsiljevalske programske opreme je bila prvič najdena v letih 2012-13. CryptoLocker je bil prvi zelo uspešen program zlonamerne programske opreme, ki se je pojavil severno od 27 milijonov dolarjev odkupnine.

CryptoLocker je šifriran z uporabo 256-bitnega ključa AES in 2048-bitnega ključa RSA, zaradi česar je šifriranje skoraj nezlomljivo, tudi če je zlonamerna programska oprema odstranjena, zaradi česar je eden najučinkovitejših načinov za napadalce.

Žrtve v teh napadih so morale plačati 400 dolarjev ali več, da bi prejele ključ za dešifriranje, in grozilo jim je, da bodo ključ izbrisali, če ne bodo plačali v 72 urah.

Leta 2014 je CryptoLocker ukinil konzorcij vladnih agencij, varnostnih podjetij in akademskih institucij v Operacija Tovar. Kasneje tudi oni zagnal storitev za ljudi, na katere vpliva CryptoLocker, ki jim je pomagal brezplačno dešifrirati svoje naprave.

Čeprav grožnja CryptoLocker ni trajala dolgo, je napadalcem zagotovo pomagala raziskati svet odkupovalne programske opreme in ugotoviti, kako donosen je lahko – zaradi česar se na trgu sprostijo številne vrste izsiljevalske programske opreme potem.

CryptoLockerju je sledil TorrentLocker, ransomware program, ki se je pojavil kot priloga e-pošte – običajno besedna datoteka z zlonamernimi makri –, ki je zaklenil določene vrste datotek v računalniku s šifriranjem AES.

TorrentLocker je še vedno aktiven in se je v zadnjih nekaj letih zelo razvil. Novejše različice preimenujejo vse okužene datoteke v računalniku, zaradi česar uporabnik ne more prepoznati, katere datoteke so bile šifrirane, in obnoviti datoteke z varnostno kopijo.

V zadnjem desetletju so se napadi kripto-ransomware dramatično povečali, saj se je število lažnih protivirusnih in drugih zavajajočih aplikacij zmanjšalo. Samo v letu 2016, 638 milijonov ransomware poročali o primerih.

Kako se z njim boriti?

Obstaja veliko število spletnih mest in varnostnih podjetij, ki poskušajo obvestiti ljudi o grožnjah zlonamerne programske opreme in jim tudi oskrbe z orodji za preprečevanje in dešifriranje informacij, ki jih je zaklenil an napadalec.

Priljubljena protivirusna storitev, kot je Avast, je nastala njihova orodja za dešifriranje za Windows in za Android pomagati ljudem pri soočanju z naraščajočo grožnjo izsiljevalske programske opreme. Ta orodja so brezplačna za uporabo in pokrivajo široko paleto izsiljevalske programske opreme, čeprav nekatera nova morda niso zajeta, vendar vam še vedno lahko pomagajo.

Nič več odkupnine je spletno mesto, ki ponuja novice o najnovejših dogodkih v ekosferi izsiljevalske programske opreme in usmerja uporabnike k orodjem, ki jih je mogoče uporabiti za boj proti tem grožnjam. Spletna stran je skupna prizadevanja nizozemske policije, Europola, Kaspersky Laba in Intel Security.

Če ste našli orodje, ki vas lahko vodi skozi dešifriranje izsiljevalske programske opreme, ki trenutno vpliva na vaš računalnik, jo morate le identificirati. ID Ransomware je spletno mesto, ki vam pomaga narediti prav to, vse kar morate storiti je, da naložite kopijo odkupninskega sporočila.

Če iščete orodje, ki vašemu računalniku z operacijskim sistemom Windows nudi zaščito v realnem času, potem CyberReason Ransomfree je odgovor na vaše potrebe.

Izsiljevalska programska oprema je bila grožnja v dobi naprav, povezanih z internetom, in ker je internet stvari postal običajen, se lahko izkaže za še večjo težavo.

Trenutno odkupninska programska oprema vpliva samo na vašo napravo ali datoteke in uporabniku prekliče dostop, dokler ni plačana odkupnina, vendar z naraščajoča priljubljenost naprav pametnega doma, bi bila izguba dostopa do naprave le začetek vaših skrbi.