Светът на компютрите там винаги има борба между доброто и злото. Докато добрите сили се опитват да задържат бисквитите и зловредните действия, лошите сили винаги измислят нещо по-добро от преди, нещо по-неудържимо и по-трудно да се счупят. Ransomware е специален вид злонамерен софтуер, но за разлика от други злонамерени програми, които просто действат като крадци, за да крадат вашите данни, или dacoits, които изтриват вашите данни, този зловреден софтуер е умен. Действа като похитител и държи системата ви отвлечена, докато не платите откуп, пари, за да освободите системата си обратно.
Какво е Ransomware?
Ransomware е един вид интелигентен злонамерен софтуер, но за разлика от други злонамерени програми, които само корумпират, изтриват файлове или извършват някакво подозрително поведение, този зловреден софтуер заключва вашата система, файлове и приложения и изисква пари от вас, ако искате да ги върнете обратно. Казах интелигентно, защото този зловреден софтуер помага директно на нападателя да печели пари. Други видове malwares, като вируси, троянски коне и т.н., просто развалят системата или крадат някои чувствителни данни, но рядко водят до някаква парична полза за нападателя (освен ако злонамереният софтуер не открадне някои чувствителна информация като номера на кредитни карти и т.н.).
Произход на Ransomware
Първоначално рансъмуерът беше до голяма степен популярен в Русия, заразявайки хиляди компютърни системи и разпространявайки се като горски пожар. Този вид зловреден софтуер е по-труден за откриване, тъй като те могат да дойдат като безвредни малки програми, прикрепени към софтуера, свободно достъпен през интерфейсите. Повечето от тях могат да влизат във вашата система чрез файлове на вече заразена система, прикачени файлове по имейл или от вече съществуващ зловреден софтуер.
След като рансъмуерът е намерил своя хост, той започва да атакува чрез заключване на потребителски достъп до файлове, папки, системни настройки или приложения. При опит за отваряне на тези файлове и програми потребителят получава съобщението, че е блокиран и не може да бъде отворен, освен ако потребителят се съгласи да плати сума. Обикновено има и начин да се свържете с нападателите, които могат да седят в друга част на света, директно да вземат контрол над вашата система.
Видове Ransomware
Ransomwares обикновено се класифицират в два типа, криптиращи рансъмуер и нешифриращ ransomware.
Шифроване на рансъмуер са тези, които криптират файловете, програмите и т.н. на вашата система и изискват откуп, за да ги разкодират. Обикновено шифроването се извършва с помощта на силен алгоритъм за хеширане, който може да отнеме няколко хиляди години, за да може обикновеният десктоп да ги разбие. Така единственият начин, по който потребителят връща своите файлове, е да даде сумата за откуп и да получи ключа за отключване. Това е най-вредният рансъмуер за явния си механизъм за атакуване.
Друг вид рансъмуер е нешифриращият. Това не криптира вашите файлове, а блокира достъпа до тях и показва дразнещи съобщения, когато се опитате да получите достъп до тях. Това е по-малко вреден рансъмуер и потребителят може лесно да се отърве от тях, като вземе резервно копие на важни файлове и отново инсталира операционната система.
Примери за атаки на Ransomware
Един от най-новите рансъмуер, причинил най-много вреди през 2013 г., е известен като CryptoLocker. Мозъкът зад този зловреден софтуер е руски хакер на име Евгений Богаче. Когато се инжектира в хост-системата, зловредният софтуер сканира твърдия диск на жертвата и се насочва към конкретни файлови разширения и ги кодира. Това могат да бъдат важни файлове или програми, от които потребителят наистина се нуждае, като документи, програми или ключове. Криптирането се извършва с помощта на 2048-битова двойка ключове RSA, като частният ключ се качва в сървъра за управление и контрол. След това програмите заплашват потребителя, че ще изтрие частния ключ, освен ако плащането под формата на биткоини не се извърши в рамките на три дни.
Ключ от 2048 RSA е наистина голяма защита и ще е нужен нормален настолен компютър няколко хиляди години, за да разчупите ключа с помощта на груба сила. Потребителят, който е безпомощен, се съгласява да плати сумата, за да получи обратно файловете.
Смята се, че този CryptoLocker Ransomware е закупил поне 3 милиона долара, преди да бъде изключен.
Макар че това е много пари, друг рансъмуер на име WinLock успя да закупи $ 16 милиона в откуп. Макар да не шифроваше системата като CryptoLocker, тя ограничаваше достъпа на потребителя и показваше порнографски изображения. След това потребителят беше принуден да изпрати SMS със специална ставка, струвайки около $ 10, за да получи код за отключване на рансъмуера.
Всички тези атаки са били още през 2013 година.
Най-новата атака обаче беше осъвременена форма на рансъмуер, наречена CryptoWall 2.0 . Според доклад на Ню Йорк Таймс, този рансъмуер атакува компютри по начин, подобен на CryptoLocker, и атакува специално важни файлове в системата на жертвата, като данъчни постъпления, сметки и т.н. След това е поискал откуп от $ 500. Цената на откупа се удвои след една седмица и още седмица по-късно ключът за отключване беше изтрит.
Наскоро според някои доклади, CryptoWall е актуализиран до версия 3.0 и очевидно е станал по-опасен от всякога. Тази версия на CryptoWall криптира потребителските файлове чрез система за интелигентно сканиране и след това генерира уникална връзка за потребителя. Като защита за запазване на анонимността на нападателите и прави по-трудно правителствените агенции да ги арестуват, този рансъмуер не само използва Tor, но и I2P, което го прави много трудно да ги проследи.
Макар да звучи иронично, но CrytoWall има наистина добро обслужване на клиентите. Тъй като те трябва да поддържат репутацията си, за да получават все повече и повече пари, те предоставят на потребителя ключове за дешифриране възможно най-бързо, често в рамките на часове след изплащането на откупа.
Друг тежък инцидент с рансъмуер се случи, когато студент-аутист се обеси след получаване на електронна поща на рансъмуера.
Според този доклад тийнейджърът е получил фалшив имейл от полицията, че е бил хванат да преглежда незаконни уебсайтове и трябва да плати сто килограма или да бъде обвинен. Тийнейджърът се паникьоса и се обеси, неспособен да посрещне трагедията.
Макар че тези видове имейли са често срещани, човек трябва да се увери, че не трябва да им се вярва, независимо колко официални са те. Често те водят потребителя към фишинг сайтове, където нападателят се придържа към банковите сметки на потребителите и други важни пароли. Правилото на парите е, че банковите агенции и правоприлагащите органи никога няма да поискат лични данни или плащания чрез интернет. Така че, ако получавате такива имейли, има голяма вероятност те да са измама. Винаги можете да се обадите, като получите официалния им номер, за да разберете дали те наистина са ви дали такова известие.
Ransomware е добър залог за черни шапки, защото обикновено има много пари, които могат да се получат само чрез създаване на малки програми, които блокират или криптират вашата система по някакъв начин. Докато повечето популярни в платформата на Windows, някои други операционни системи като OS X също са засегнати от рансъмуер, като този през юли 2013 г., който блокира браузъра на потребителя и го обвинява в изтегляне на порнография.
Няколко доклада предполагат, че рансъмуерните атаки нарастват с всеки изминал ден. Най-често те се разпространяват чрез спам имейли, често идващи като прикачени файлове. Потребителите на интернет наистина трябва да бъдат внимателни, докато разглеждат неофициални уебсайтове и отварят такива имейли.
Защо е трудно да се уловят хакери на Ransomware?
Повечето от рансъмуера са от постсъветски страни като Русия. Докато тези хора изискват откуп, но плащането е под формата на биткоини, децентрализирана крипто-валута, известна със своята анонимност и не оставяща никакви следи. Също така, хакерите са с чуждестранен произход, дипломатично си е трудно да убеди чуждите правителства да предприемат действия по тях.
Как да се защитим срещу Ransomware?
Както казва старата поговорка, превенцията е по-добра от лечение. И така, как човек може да се предпази от рансъмуер?
Ами най-лесният начин е да имате инсталиран антивирусен или антивирусен софтуер и винаги да го актуализирате. Докато безплатните антивируси са доста добри, човек не трябва да се колебае да получи платен за по-добра защита. Освен това се уверете, че не сваляте подозрителни програми от интернет. Докато изтегляте програми, винаги изтегляйте от официалните сайтове, а не от неверни от трети страни. И помнете винаги, поддържайте резервно копие на всички важни файлове. С това може да го настроите и да забравите наличните програми за архивиране, наистина лесно и безпроблемно да имате програма за архивиране. Можете също да качвате или синхронизирате файловете в Google Drive / Dropbox и т.н., така че не само да имате резервно копие, но и да имате достъп до тези файлове, без значение къде се намирате.
Не забравяйте, че бодът навреме, спестява девет. По-безопасно, отколкото съжалявам.
Как да премахнем злонамерен софтуер Ransomware?
По-рано, единственият начин да се отървете от шифроването на злонамерен софтуер от рансъмуер е било да се плаща на нападателите или да се приеме, че файловете са били изгубени завинаги. Въпреки това, в момента някои изследователи за компютърна сигурност измислят програми, които ще позволят на потребителите да разкодират файловете си с твърди дискове, без да плащат откуп. Подобно на този уебсайт, той позволява на потребителите да качват нечувствителен шифрован файл на сайта си и да въвеждат имейл адрес. След успешното декриптиране, сайтът ще ви изпрати по пощата личен ключ заедно с инструкции как да премахнете cryptolocker от вашия твърд диск.
Програмата е разработена от FireEye и FoxIT и използва методи на обратен инженеринг за разбиване на CryptoLocker. Както следва от правилото, всяко криптирано нещо може да бъде декриптирано, просто отнема време. Изглежда, че добрите сили на компютърните науки не губят всичко.