Ransomware

Ransomware [1] [2] , ransomware [3] ( angl.  ransomware  - portmanteau slov ransom  - ransom a software  - software) - druh škodlivého softwaru určený k vydírání , blokuje přístup k počítačovému systému nebo znemožňuje čtení dat v něm zaznamenán (často pomocí šifrovacích metod), a poté požaduje po oběti výkupné za obnovení původního stavu.

Typy ransomwaru

V současné době existuje několik radikálně odlišných přístupů k práci ransomwaru:

Blokování nebo zasahování do práce v systému

Po instalaci Trojan.Winlock\LockScreen na počítač oběti program uzamkne počítač pomocí systémových funkcí a přidá se ke spuštění (v odpovídajících větvích systémového registru). Zároveň se uživateli na obrazovce zobrazí nějaká fiktivní zpráva, například o údajně protiprávním jednání, kterého se uživatel právě dopustil (i s odkazy na články zákonů), a žádost o výkupné, jejímž cílem je vyděsit nezkušeného uživatele – odeslat placené SMS , doplnění účtu někoho jiného [4] , a to i anonymním způsobem, jako je BitCoin. Navíc trojské koně tohoto typu často nekontrolují heslo. V tomto případě zůstane počítač v provozuschopném stavu. Často hrozí zničení všech dat, ale jde jen o snahu zastrašit uživatele [5] . Někdy jsou nástroje pro zničení dat, jako je šifrování asymetrického klíče, stále součástí viru, ale buď nefungují správně, nebo je implementace s nízkou kvalifikací. Jsou známy případy přítomnosti dešifrovacího klíče souboru v samotném kódu trojského koně a také technická nemožnost dešifrování dat samotným hackerem (i přes zaplacené výkupné) z důvodu absence nebo ztráty tohoto klíče i u něj.

Někdy je možné se viru zbavit pomocí odblokovacích formulářů na antivirových stránkách nebo speciálních programů vytvořených antivirovými společnostmi pro různé geografické oblasti, kde jsou trojské koně aktivní a zpravidla volně dostupné. Kromě toho je v některých případech v nouzovém režimu možné najít proces trojského koně ve správci úloh , najít jeho soubor a odstranit jej. Také stojí za zvážení, že trojský kůň je v některých případech schopen zůstat funkční i v nouzovém režimu. V takových případech je třeba vstoupit do nouzového režimu pomocí příkazového řádku a spustit proces průzkumníka v konzole a odstranit trojského koně nebo použít služby antivirových programů.

Šifrování souborů v systému

Po instalaci na počítač oběti program zašifruje většinu pracovních souborů (například všechny soubory s běžnými příponami). V tomto případě počítač zůstane funkční, ale všechny uživatelské soubory jsou nepřístupné. Útočník slibuje, že za peníze pošle pokyny a heslo pro dešifrování souborů.

Šifrovací viry se objevily chronologicky po winlockerech. Jejich distribuce je spojena s hotfixy UAC a Microsoft: je obtížnější se zaregistrovat do systému bez vědomí uživatelů, ale počítač je navržen pro práci s uživatelskými soubory! Mohou být poškozeny i bez oprávnění správce.

Mezi tyto podvody patří

Způsoby distribuce

Programy související s ransomwarem jsou technicky běžný počítačový virus nebo síťový červ a k infekci dochází stejným způsobem – hromadným rozesíláním pošty při spuštění spustitelného souboru nebo napadením zranitelností v síťové službě.

Hlavní distribuční cesty ransomwaru: [6]

Způsoby boje

Obecná pravidla dodržování osobních údajů:

V případě, že již k infekci došlo, vyplatí se využít nástroje a služby poskytované antivirovými společnostmi. Zdaleka ne vždy je však možné infekci zlikvidovat bez zaplacení výkupného [8] .

Historie

Ransomware viry infikují uživatele osobních počítačů od května 2005. Jsou známy následující instance: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Nejznámějším virem je Gpcode a jeho varianty Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Ten je pozoruhodný tím, že k šifrování souborů používá algoritmus RSA s 1024bitovým klíčem.

V březnu 2013 Dr. Web byl objeven ransomware ArchiveLock, který útočil na uživatele ve Španělsku a Francii , které používají legální archivátor WinRAR [9] k provádění škodlivých akcí k šifrování souborů a poté, po zašifrování, trvale odstraní původní soubory pomocí nástroje Sysinternals SDelete [10 ] .

O rozsahu vznikajícího kriminálního byznysu hovoří následující skutečnost. Na konci roku 2013 ransomware CryptoLocker použil platební systém Bitcoin k výběru výkupného. V prosinci 2013 ZDNet na základě dostupnosti informací o bitcoinových transakcích vyhodnotil převody finančních prostředků od infikovaných uživatelů za období od 15. října do 18. prosince. Jen do konce tohoto období se provozovatelům CryptoLocker podařilo získat zhruba 27 milionů dolarů za tehdy aktuální cenu bitcoinů. [jedenáct]

Známé útoky

2017 : WannaCry (květen) [12] ; Péťa (červen) [13] [14] ; Bad Rabbit (říjen) [15]

Geografie

Pomocí internetu mohou útočníci operovat po celém světě: pouze v Austrálii došlo podle oficiálních údajů od srpna do prosince 2014 k asi 16 tisícům epizod online vydírání, přičemž celkové výkupné činilo asi 7 milionů dolarů [8] .

Ruská stopa

Podle odborníků nepřímé známky poukazují na spojení vývojářů ransomwaru s Ruskem a bývalými republikami SSSR . Ve prospěch této verze hovoří následující skutečnosti [16] :

Viz také

Poznámky

  1. IT termíny: o odborném žargonu s humorem . Staženo 28. 2. 2018. Archivováno z originálu 1. 3. 2018.
  2. Ransomware – Ransomware – Anti-Malware – Cis . Staženo 28. února 2018. Archivováno z originálu 3. listopadu 2017.
  3. Hledání terminologie – jazykový portál Microsoft . Získáno 16. září 2017. Archivováno z originálu 31. října 2017.
  4. Grigorij Sobčenko. Podvodníci dopadení na SMS . Kommersant . kommersant.ru (27. srpna 2010). Získáno 11. dubna 2013. Archivováno z originálu 17. května 2014.
  5. Alexej Dmitrijev. Nový ransomware nás okrádá prostřednictvím oblíbených prohlížečů . Moskovskij Komsomolec . Moskovsky Komsomolets (2. dubna 2013). Získáno 9. dubna 2013. Archivováno z originálu 19. dubna 2013.
  6. Hlavní hrozby na webu se jmenují: čínští hackeři a ransomwarové trojské koně . Nové zprávy . newizv.ru (26. ledna 2010). Získáno 11. dubna 2013. Archivováno z originálu 17. května 2014.
  7. Vjačeslav Kopejcev, Ivan Tatarinov. Ransomwarové trojské koně . SecureList . securelist.com (12. prosince 2011). Získáno 11. dubna 2013. Archivováno z originálu 5. září 2012.
  8. 1 2 „Ransomware: Vaše peníze nebo vaše data“, Archivováno 23. ledna 2015 na Wayback Machine The Economist , 17. ledna 2015
  9. Malware šifruje soubory na počítačích obětí pomocí WinRAR . Anti-Malware.ru _ anti-malware.ru (15. března 2013). Získáno 9. dubna 2013. Archivováno z originálu 17. dubna 2013.
  10. Andrej Vasilkov. Stádo Pacerů: Deset nejoriginálnějších a nejoblíbenějších trojských koní moderní doby . Computerra . computerra.ru (21. března 2013). Získáno 17. dubna 2013. Archivováno z originálu 5. května 2013.
  11. Fialová modrá. CryptoLocker's crimewave: Stopa milionů v vypraných bitcoinech  (anglicky) . ZDNet (22. prosince 2013). Získáno 4. července 2015. Archivováno z originálu 23. prosince 2013.
  12. Hackerský útok v globálním měřítku. Virus ransomware napadl počítače po celém světě
  13. Virus ransomware napadl ruské společnosti Archivní kopie z 27. června 2017 na Wayback Machine // RG, 27.06.2017
  14. Virus Petya napadl jadernou elektrárnu v Černobylu Archivní kopie z 27. června 2017 na Wayback Machine // RG, 27.06.2017
  15. Skupina-IB: Šifrovací virus Bad Rabbit napadl ruská média  (ruská) , TASS . Archivováno z originálu 26. října 2017. Staženo 26. října 2017.
  16. Proč se kybernetické gangy nebudou starat o rozhovory mezi USA a Ruskem Archivováno 22. června 2021 na Wayback Machine , BBC, 20.6.2021

Odkazy

Firemní publikace:

články:

 Škodlivý software
Infekční malware
Metody skrývání
Malware
pro zisk
Podle operačních systémů
Ochrana
Protiopatření
  • Anti Spyware koalice
  • počítačový dohled
  • hrnec medu
  • Operace: Bot Roast