Czym jest Ransomware?

07.12.2018

Ransomware jest rodzajem złośliwego oprogramowania (ang. malicious software), które obecnie może występować pod kilkoma różnymi postaciami, wpływając na poszczególne systemy lub ich elementy, ale także na sieci firmowe, szpitali, lotnisk czy agencji rządowych.

Ransomware jest ciągle ulepszane i staje się coraz bardziej wyrafinowane patrząc na nie od czasu pierwszego zarejestrowanego zdarzenia z oprogramowaniem tego typu, które odnotowane zostało w 1989 roku. Podczas gdy pierwsze przykłady wykorzystania wirusów typu ransomware nie korzystały z szyfrowania, te nowoczesne używają już metod kryptograficznych w celu szyfrowania plików, co sprawia, że dotknięte nimi pliki stają się niedostępne lub co gorsza bezpowrotnie zniszczone.

Wirus ransomware wykorzystujące szyfrowanie może również posłużyć do zaszyfrowania całych dysków twardych, a tym samym służyć jako sposób całkowitego zablokowania systemu operacyjnego komputera, kompletnie uniemożliwiając ofierze dostęp do niego. Celem nadrzędnym dla którego infekuje się ofiary oprogramowaniem typu ransomware jest przekonanie ofiary, by zapłaciła ona okup za odszyfrowanie swoich danych - okup zwykle jest żądany w walutach cyfrowych, które są trudne do wykrycia i późniejszej identyfikacji odbiorcy (jak Bitcoin lub inne kryptowaluty).
W przypadku zapłaty okupu nie ma jednak gwarancji, że atakujący  uhonorują płatność i odblokują zaszyfrowane dane ofiary.

Popularność złośliwego oprogramowania typu ransomware znacznie wzrosła w ciągu ostatniego dziesięciolecia (a już szczególnie w 2017 r.). Ransomware, a więc motywowany finansowo atak na zasoby komputerowe jest obecnie najbardziej popularnym zagrożeniem z dziedziny złośliwego oprogramowania na świecie - jak podaje Europol (IOCTA 2018).


W jaki sposób można stać się ofiarą?

  • Phishing: czyli metoda wykorzystująca inżynierię społeczną. W kontekście oprogramowania ransomware, wiadomości phishingowe są jedną z najczęstszych form dystrybucji tego typu złośliwego oprogramowania. Ofiary zazwyczaj zostają zainfekowane za pośrednictwem załączników w wiadomościach e-mail lub linków, które do złudzenia przypominają te prawidłowe i prawdziwe (przykład: Binance.com - Blnance.com - dostrzegasz różnicę?). W tzw. sieciach komputerów (np. w firmie, szkole) jedna ofiara może wystarczyć, by zarazić całą organizację złośliwym oprogramowaniem.

  • Exploit Kity: pakiet złożony z różnych złośliwych narzędzi i wstępnie napisanego kodu exploita. Exploit Kity zostały zaprojektowane w taki sposób, aby wykorzystywać problemy i luki w aplikacjach i systemach operacyjnych, jako sposób na rozprzestrzenianie szkodliwego oprogramowania (najczęstszymi celami są słabo lub wcale niezabezpieczone systemy z nieaktualnym oprogramowaniem).

  • Malvertising: atakujący często wykorzystują również szeroko pojęte sieci reklamowe do rozprzestrzeniania swojego oprogramowania ransomware.

Jak chronić się przed atakami ransomware?

  • Używaj zewnętrznych źródeł / dysków / zasobów w chmurze do regularnego tworzenia kopii zapasowych swoich plików, dzięki czemu będziesz mógł łatwo je przywrócić po usunięciu potencjalnej infekcji;

  • Obchodź się ostrożnie z załącznikami i linkami znajdującymi się w wiadomościach e-mail. Unikaj klikania w reklamy i odwiedzania stron o nieznanym pochodzeniu;

  • Zainstaluj znany i polecany program antywirusowy oraz na bieżąco dbaj o to, aby Twój system operacyjny oraz zainstalowane w nim aplikacje były aktualne;

  • Włącz opcję "pokaż rozszerzenia plików" w ustawieniach systemu Windows - jeżeli z niego korzystasz - aby łatwo sprawdzić rozszerzenia ściąganych plików. Unikaj ściągania, a tym bardziej uruchamiania plików o rozszerzeniach takich jak .exe .vbs i .scr;

  • Unikaj odwiedzania witryn internetowych, które nie są zabezpieczone protokołem HTTPS (czyli adresów URL, które nie rozpoczynają się od "https: //"). Miej jednak na uwadze, że wiele złośliwych witryn wykorzystuje już protokół HTTPS w celu dezorientacji swoich potencjalnych ofiar oraz uśpienia ich czujności. Sam protokół nie gwarantuje, że witryna jest legalna lub bezpieczna.

  • Odwiedź stronę NoMoreRansom.org, stworzoną przez organy ścigania z całego świata i firmy zajmujące się bezpieczeństwem branży IT. Inicjatywa działa na polu zakłócania  działań oprogramowania typu ransomware. Strona oferuje bezpłatne zestawy narzędzi do odszyfrowywania zainfekowanych plików, a także porady dotyczące zapobiegania infekcji.


Przykłady oprogramowania Ransomware

GrandCrab (2018)

Po raz pierwszy zaobserwowane w styczniu 2018, ransomware GrandCrab dokonało infekcji ponad 50 000 ofiar w mniej niż miesiąc, zanim zostało zneutralizowane dzięki pracy rumuńskich władz oraz Bitdefendera i Europolu (udostępniony został bezpłatny zestaw narzędzi służący do odzyskiwania zaszyfrowanych danych). GrandCrab rozprzestrzeniał się przez wiadomości e-mail zawierające phishing i był pierwszym znanym oprogramowaniem ransomware wymagającym zapłaty okupu w kryptowalucie DASH. Okup za odszyfrowanie danych wahał się od 300 do 1500 dolarów amerykańskich.


WannaCry (2017)

Ogólnoświatowy cyberatak, który zainfekował ponad 300 000 komputerów w ciągu zaledwie 4 dni. WannaCry propagowany był za pomocą exploita znanego jako EternalBlue i ukierunkowany był na systemy operacyjne Microsoft Windows (najbardziej dotknięte atakiem były komputery z systemem Windows 7). Atak został zatrzymany dzięki awaryjnie wydanymi łatkami (ang. patches) przygotowanymi przez firmę Microsoft - firmę odpowiedzialną za system operacyjny Windows. Amerykańscy eksperci od bezpieczeństwa twierdzą, że odpowiedzialną za atak była bezpośrednio Korea Północna, chociaż nie dostarczono na to żadnych dowodów.


Bad Rabbit (2017)

Ransomware, które zostało rozpowszechnione pod osłoną fałszywej aktualizacji programu Adobe Flash, która pobierana była ze specjalnie spreparowanych przez atakujących stron internetowych. Większość zainfekowanych komputerów znajdowała się w Rosji, a infekcja zależała od manualnej instalacji pliku .exe. Cena za odszyfrowanie dysku wynosiła wówczas 280 dolarów (0,05 BTC).


Locky (2016)

Robak zazwyczaj wysyłany pocztą e-mail jako wiadomość ze specjalnie spreparowaną fakturą (dołączaną jako załącznik). W 2016 roku Centrum Medyczne Hollywood Presbyterian Medical Center zostało zainfekowane przez Locky'ego, a jego szefostwo postanowiło zapłacić okup w wysokości 40 BTC (wówczas 17 000 USD), aby odzyskać dostęp do systemów komputerowych szpitala, co ostatecznie się udało.


Loading