Въпроси и отговори за ransomware

История на ransomware

1989: Първият известен ransomware, AIDS Trojan - 1989 (известен също като «PC Cyborg»), е написан от Джоузеф Поп
2005: През май се появява първото изнудване с ransomware
2006: В средата на 2006, червеи като Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip и MayArchive започват да използват усъвършенствани RSA схеми за криптиране, с постоянно увеличаващи се дължини на ключовете
2011: Появява се ransomware червей имитиращ съобщението за Windows Product Activation
2013: Ransomware червей базиран на Stamp.EK exploit kit основа и ransomware червей насочен към Mac OS X се появяват на сцената. CryptoLocker генерира около 5 милиона долара през последните месеци на годината
2015: Множество варианти на множество платформи предизвикват големи поражения

Типове ransomware

  • Криптиране с ransomware

Той криптира личните ви файлове и директории (документи, електронни таблици, снимки и видео).

Засегнатите файлове, след като един път са били криптирани, се изтриват и потребителите обикновено откриват текстови файл с инструкции за плащане в същата папка, в която се намират недостъпните файлове.

Може да откриете проблема едва след като опитате да отворите някой от тези файлове.

Някои, но не всеки от този тип програми показват " заключен екран":

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Заключен екран Ransomware - WinLocker

Заключва екрана на компютъра и изисква плащане.

Показва изображение на цял екран, което блокира всички останали прозорци.

Личните файлове не се криптират.

Polyransom2

  • Първи зареждащ сектор (MBR) Ransomware

Първи зареждащ сектор (MBR) е тази част от твърдия диск на компютъра, която позволява на операционната система да зареди.

MBR ransomware променя MBR на компютъра и така прекъсва процеса на нормалното зареждане на системата.

Вместо това, на екрана се появява искане за откуп.

Master-Boot.jpg

  • Ransomware криптиращ уеб сървъри

Взима на прицел уеб сървърите и криптира голям брой от файловете качени на тях.

Известни слабости в системите за управление на съдържанието често биват използвани за разгръщане на ransomware посредством уеб услуги.

Ransomware encrypting web servers

  • Ransomware на мобилни устройства (Android)

Мобилните устройства (най-вече тези с Android) могат да бъдат инфектирани през т. нар. „скрити зареждания“ (drive-by downloads).

Те също могат да бъдат заразени чрез фалшиви приложения, които се маскират като популярни услуги като Adobe Flash или антивирусен продукт.

Mobile Ransomware

Ако бъда атакуван, да платя ли откупа?

Плащането на откупа никога не е препоръчително, най-вече защото не гарантира разрешаване на проблема. Има също доста неща, които могат случайно да се объркат. Например, зловредният софтуер може да има бъгове, които да направят невъзможно възстановяването на криптираните данни, дори и със съответния ключ.

Освен това, ако откупът бъде платен, това ще е доказателство за киберпрестъпниците, че софтуерът за изнудване е ефективен. В резултат на това, те ще продължат действията си и ще търсят нови начини за експлоатиране на системите, което ще резултира в повече заразени устройства и повече пари в техните сметки.

Как се провежда една ransomware атака?

Ransomware атаката обикновено се осъществява посредством прикачен към имейл файл, който може да бъде изпълним файл, архив или изображение. Един път щом прикаченият файл бъде отворен, зловредният код се освобождава и се настанява в системата на потребителя. Киберпрестъпниците могат също да заредят зловреден софтуер на уебсайтове. Когато даден потребител посети сайта, зловредният код се освобождава и се настанява в системата му.

Заразяването не става видно за потребителя веднага. Зловредният софтуер оперира тихо във фонов режим докато системата или механизмът за блокиране на данните се разгръща. След това се появява диалогов прозорец, който съобщава на потребителя, че данните му са заключени и поисква откуп, за да ги отключи отново. Дотогава става твърде късно за опазване на данните с помощта на каквито и да е мерки за защита.

За повече информация, моля вижте видеото отдолу:

Кои са жертвите на ransomware?

Всеки потребител и всеки бизнес може да стане жертва на ransomware. Киберпрестъпниците не подбират и често се опитват да ударят максимално голям брой потребители, за да да генерират възможно най-голяма печалба.

Ransomware атаките насочени ли са срещу разрастващи се бизнеси?

Да, защото киберпрестъпниците са наясно, че организациите е по-вероятно да платят, предвид това, че задържаните данни обикновено са ценни и жизненоважни за продължаването на дейността на съответния бизнес. Освен това, понякога може да излезе по-евтино да се плати откупа, отколкото да се възстановят резервните копия.

Защо е толкова трудно да се намери универсално решение срещу ransomware?

Ransomware е в апогея си - в обращение има повече от 50 различни фамилии на този зловреден софтуер - и той бързо еволюира. С всеки нов вариант идва по-добро криптиране и нови опции. Това не е нещо, което просто можете да подминете!

Една от причините да е толкова трудно да се намери универсално решение е фактът, че криптирането само по себе си не е зловредно. То всъщност е отлична разработка и много качествени програми го използват.

Първият крипто-зловреден софтуер използва алгоритъм със симетрични ключове, с един и същ ключ за криптиране и декриптиране. Увредените данни обикновено могат да се дешифрират успешно с помощта на компании предлагащи киберзащита. С времето, киберпрестъпниците започнаха да имплементират алгоритми за асиметрично криптиране, които използват два различни ключа - публичен за криптиране на файловете и личен за декриптиране.

Троянецът CryptoLocker е един от най-известните ransomware. То също използва алгоритъм с публични ключове. Всеки заразен компютър се свързва със сървъра за управление и контрол, за да свали публичния ключ. Личният ключ е достъпен само за киберпрестъпниците, които са написали CryptoLocker софтуера. Обикновено жертвата има не повече от 72 часа да плати откупа преди личният ключ да бъде изтрит завинаги, а без него става невъзможно да се декриптира който и да е от криптираните файлове.

Така че, първо трябва да помислите за предотвратяване. Повечето антивирусни програми вече включват компонент, който помага да се идентифицира ransomware заплахата в ранните стадии на инфектирането, без загуба на важни данни. Важно е потребителите да се уверят, че тази функционалност в техните антивирусни програми е включена.

Какви са шансовете да можете да помогнете на жертвите на ransomware да си върнат достъпа до своите файлове?

Проектът “No More Ransom” едва започна, но ние работим непрекъснато с други компании осигуряващи защита, както и с правоохранителните агенции, за да идентифицираме колкото може повече ключове, за възможно най-много варианти. Ако разполагате с информация, която мислите, че може да е от полза, моля споделете я с нас.

Какво е Crypto Sheriff и как да го използвам?

Crypto Sheriff е инструмент, създаден да помага за идентифициране на типа ransomware, засегнал вашето устройство. Това ще ни позволи да проверим дали има налично решение за декриптиране. Моля вижте видеото отдолу, за да разберете как работи.

Вашият декриптиращ инструмент не работи, макар да съм сигурен, че използвам правилния - защо?

Възможно е. Понякога получаваме само допълнителен пакет с ключове, затова, моля, продължете да проверявате уебсайта.

Кога е възможно да се декриптират файлове, криптирани с ransomware?

Това е възможно в следните случаи:

  • Авторите на зловреден код допускат грешка при имплементирането, като оставят възможност да се разбие шифъра. Такъв бе случаят със софтуерите за изнудване Petya и CryptXXX.
  • Авторите на зловреден код се разкаят за действията си и публикуват ключовете, или главния ключ, както е в случая с TeslaCrypt.
  • Правоохранителните агенции прихващат сървър с ключове на него и ги споделят. Такъв пример е CoinVault.


Понякога плащането на откупа също сработва, но няма никаква гаранция, че като платите ще получите файловете си декриптирани. Освен това, така ще подкрепите криминалния бизнес модел и по този начин ще сте отчасти отговорни за заразяването и на други с ransomware.

Защо решихте да подемете инициативата "No More Ransom"?

Не е тайна, че ransomware софтуерът, който криптира системите на потребителите и след това иска откуп, се е превърнал в огромен проблем за киберзащитата през последните няколко години. Той се е разпространил толкова много, че лесно би могъл да се определи като епидемия. Броят на атакуваните главоломно расте с 718 000 потребители засегнати между април 2015 и март 2016: 5.5 пъти повече спрямо същия период за 2014-2015 г.

Полицията не може да се бори сама с киберпрестъпленията, и ransomware в частност. А разработчиците в сферата на сигурността не могат да се справят без подкрепата на правоохранителните агенции. Отговорността за борбата с ransomware е споделена между полицията, Министерството на правосъдието, Европол и компаниите за IT сигурност, и изисква обединени усилия. Заедно ще направим всичко по силите си да разтурим криминалните схеми за правене на пари и да върнем данните на законните им притежатели, без да се налага последните да плащат големи суми за това.

Има ли подобни инициативи в моята страна?

"No More Ransom" е интернационална инициатива, която показва колко ценно може да бъде публично-частното партньорство при предприемане на сериозни действия срещу киберпрестъпленията. Това партньорство се разпростира отвъд географските граници. Основната цел на проекта е да се споделят знания и да се обучат потребителите от цял свят как да предотвратяват ransomware атаки. Вярваме, че това евентуално ще доведе до подкрепа за поправяне на щетите, нанесени на потребители от цял свят. С възстановяване на достъпа до техните системи, ние насърчаваме потребителите, като им показваме, че могат да предприемат конкретни действия и да избегнат осребряването на търсения от престъпниците откуп.

В първоначалния си етап, порталът съдържа четири инструмента за декриптиране на различни типове зловреден софтуер. Всички налични инструменти на уебсайта са безплатни и работят за всеки потребител срещу споменатата в сайта заплаха - независимо къде се намират на глобуса.