Ransomware: pitanja i odgovori

1989: Joseph Popp stvara prvi poznati ransomware, AIDS Trojan iz 1989 godine (također poznat kao "PC Cyborg")
2005: U svibnju se pojavljuje ucjenjivački ransomware
2006: do sredine 2006. crvi kao što su Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, i MayArchive, počinju koristiti naprednije metode enkripcije, s veličinama ključeva koje stalno rastu
2011: Pojavljuje se ransomware koji imitira Obavijest o aktivaciji Windows proizvoda
2013: pojavljuju se ransomware temeljen na alatu za iskorištavanje Stamp.EK, i ransomware posebno izrađen za Mac OS X. U posljednja 4 mjeseca CryptoLocker je "zaradio" oko 5,000,000 USD
2015: Različite varijante čine veliku štetu na brojnim platformama

Enkirpcijski ransomware

Kriptira osobne datoteke i mape (dokumenti, tablice, slike i video).
Zaražene datoteke se brišu nakon enkripcije i korisnici obično dobiju tekstualnu datoteku s uputama za plaćanje otkupnine u istoj mapi u kojoj se nalaze datoteke kojima više ne možete pristupiti.
Poteškoću ćete obično otkriti tek kad pokušate otvoriti neku od navedenih datoteka.
Neki, ali ne svi enkripcijski softveri pokazuju i "zaslon zaključavanja":

Ransomware sa zaključavanjem zaslona - WinLocker

Zaključava zaslon korisnika i zahtijeva otkupninu.
Prikazuje sliku preko cijelog zaslona i blokira sve druge prozore.
Osobni podaci nisu kriptirani.

Master Boot Record (MBR) ransomware

Master Boot Record (MBR) dio je tvrdog diska koji omogućava učitavanje operacijskog sustava.
MBR ransomware mijenja MBR računala tako da je normalan proces učitavanja prekinut.
Umjesto učitavanja na ekranu se pokazuje zahtjev za otkupninom.

Ransomware koji kriptira web servere

Kao metu ima web servere na kojima kriptira datoteke.
Poznate slabosti u Content Management sustavima često se koriste kako bi se ransomware širio po web uslugama.

Ransomware na mobilnim uređajima (Android)

Mobilni uređaji (uglavnom Android) mogu biti zaraženi takozvanim "drive-by preuzimanjima".
Također mogu biti zaraženi i preko lažnih aplikacija koje izgledaju kao popularne usluge, kao što su Adobe Flash ili anti-virusni proizvodi.

Plaćanje otkupnine ne preporučamo, iz razloga što plaćanje ne osigurava rješavanje problema. Postoji nekoliko stvari koje mogu poći u krivom smjeru Na primjer, mogu biti problemi u zloćudnom programu koji mogu uzrokovati da se podaci ne mogu dekriptirati iako imate ispravan ključ.

Uz to, plaćanjem otkupnine kriminalcima se dokazuje da je ransomware efektivan. Rezultat toga je da će cyber kriminalci nastaviti sa svojim radom i tražiti nove načine da iskoriste sustave, što rezultira dodatnim zarazama i priljevom sredstava na račune kriminalaca.

Ransomware napad se obično šalje kroz e-mail prilog koji izgleda kao izvršna datoteka, arhiva ili slika. Kad se prilog otvori, zloćudni softver ulazi u sustav korisnika. Cyber kriminalci mogu također postaviti zloćudni softver na web stranice. Kad korisnik slučajno posjeti navedenu stranicu zloćudni softver ulazi u sustav.

Zaraza nije odmah vidljiva korisniku. Zloćudni softver radi u pozadini dok se ne pokrene mehanizam za zaključavanje podataka. Tada se pojavi prozor s obavijesti da su podaci zaključani te zahtjevom za otkupninom kako bi se otključali. U navedenom slučaju prekasno je spasiti podatke kroz sigurnosne mjere.

Za više informacija, molimo da pogledate video u nastavku:

Bilo koji korisnik ili tvrtka mogu biti žrtvom ransomware napada. Cyber kriminalci nisu selektivni, i često žele dosegnuti što više korisnika kako bi sakupili što više profita.

Da, jer cyber kriminalci znaju da kod organizacijama postoji veća vjerojatnost isplate pošto su zarobljeni podaci obično i osjetljivi i važni za nastavak rada organizacije. K tome, ponekad je skuplje pokušati vratiti podatke nego platiti otkupninu.

Ransomware je u porastu - trenutačno postoji 50 tipova ovog zloćudnog računalnog programa u opticaju -i ubrzano evoluira. Sa svakom novom varijantom pojavljuju se bolje enkripcije i nove osobine. Ovo je nešto što se ne može lako ignorirati!

Jedan od razloga zašto je teško naći jedinstveno rješenje je taj što enkripcija sama po sebi nije zabranjena i zloćudna. Enkripcija je u stvari pozitivan razvoj i mnogi dobroćudni programi se njom služe.

Prvi zloćudan kriptografski softver koristio je algoritam sa simetričnim-ključem, s istim ključem za enkripciju i dekripciju. Zbog čega, uz pomoć tvrtki za računalnu sigurnost zaražene informacije bi ubrzo bile uspješno dešifrirane. Kako je vrijeme prolazilo cyber kriminalci su počeli implementirati algoritme za asimetričnu kriptografiju. Ti algoritmi koriste dva odvojena ključa - javni za kriptiranje datoteka, i privatni, koji je potreban za dekripciju.

CryptoLocker virus jedan je od najpoznatijih ransomware zloćudnih računalnih programa. On također koristi algoritam sa javnim ključem. Pri zarazi nekog računala povezuje se sa command-and-control (upravljačkim) serverom i skida javni ključ. Privatni ključ je dostupan samo kriminalcima koji su napisali CryptoLocker softver. Žrtva obično ima manje od 72 sata da plati otkupninu prije nego se privatni ključ, bez kojega je nemoguće dekriptirati datoteke, zauvijek briše.

Zbog toga najprije morate razmišljati o prevenciji. Većina antivirusnog programa sa sobom ima dio koji pomaže u identifikaciji ransomware zloćudnog računalnog programa pri ranim stadijima zaraze, bez gubitka osjetljivih podataka. Važno je da korisnici uključe tu funkciju u antivirusnom programu.

Projekt "No More Ransom" je tek započeo, no unatoč tome neprestano radimo sa drugim računalnim tvrtkama i agencijama za provedbu zakona, na identifikaciji što većeg broja ključeva, sa što većim brojem varijanata. Ako imate informacije ili mislite da možete pomoći, molimo vas da to podijelite s nama.

Crypto Šerif je alat dizajniran da nam pomogne pri definiciji tipa ransomware zloćudnog računalnog programa kojim je vaš uređaj zaražen. Omogućuje nam da provjerimo postoji li rješenje dekripcije. Za objašnjenje o načinu rada pogledajte video u nastavku:

To je moguće. Nekad dobijemo samo dio varijante ključeva. Zbog toga nastavite redovito provjeravati na web stranici.

Moguće je u sljedećim slučajevima:

Autori zloćudnog računalnog programa su napravili grešku pri implementaciji, što omogućuje razbijanje enkripcije. Takav slučaj je Petya ransomware računalnog programa i CryptXXX ransomware računalnog programa.
Autori zloćudnog računalnog programa žale zbog onog što su napravili i objave ključeve, ili "glavni ključ", kao u slučaju TeslaCrypt.
Agencije za provedbu zakona zaplijene server sa ključevima i javno podijele ključeve. Jedan takav primjer je CoinVault.

Nekad plaćanje otkupnine djeluje, ali nema jamstva da će plaćanje stvarno rezultirati dekripcijom datoteka. K tome, podupirete poslovni model kriminalaca i time ste dijelom odgovorni za širenje zaraze ransomware zlonamjernim računalnim programom.

Poznato je da je ransomware zlonamjerni računali program, kriptira podatke na korisnikovom operativnom sustavu i onda zahtijeva otkupninu, i to postaje ogroman problem za cyber sigurnost u posljednjih nekoliko godina. Također je postao toliko raširen da bi ga se s lakoćom moglo prozvati epidemijom. Broj korisnika zaraženih ransomware zlonamjernim računalnim programima je u naglom porastu, i to s 718.000 korisnika zaraženih između travnja 2015. godine i ožujka 2016. godine što je 5.5 puta više nego u istom razdoblju 2014.-2015. godine.

Policija se ne može boriti sama protiv cyber kriminala, a posebno s ransomware zlonamjernim računalnim programima. Razvojni timovi za osiguranje ne mogu djelovati bez potpore tijela za provedbu zakona. Policija, pravosuđe, Europol i IT tvrtke za računalnu sigurnost dijele odgovornost u borbi protiv ransomware zlonamjernog računalnog programa, što zahtijeva i zajednički trud. Zajedno ćemo napravit sve što možemo da spriječimo moguće aktivnosti brze zarade i vratimo datoteke njihovim pravim vlasnicima, a da isti nisu prisiljeni isplatiti velike novčane iznose.

"No More Ransom" je međunarodna inicijativa koja okuplja suradnike iz javno-privatnog sektora kako bi se suprotstavili cyber kriminalitetu. Ta suradnja nadilazi geografske granice. Glavni cilj projekta je dijeljenje znanja i edukacija korisnika diljem svijeta kako spriječiti ransomware napade. Vjerujemo da će to s vremenom dovesti do podrške pri nastanku štete učinjene oštećenima diljem svijeta. Povratom podataka i pristupa sustavu korisnika, ohrabrujemo korisnika na način da im pokazujemo da mogu sami poduzeti povrat podatka te time izbjeći pomaganje kriminalu i isplaćivanje otkupnine.

U svojem početnom stadiju portal sadržava četiri alata za dekripciju različitih vrsta zlonamjernih računalnih programa. Svi alati koji su dostupni na stranici su besplatni i djelovati će kod svakog korisnika čiji sustav je zaražen prijetnjom navedenom na stranici - bez obzira gdje u svijetu se korisnik nalazi.

Povijest ransomware zloćudnih računalnih programa

Tipovi ransomware zloćudnih računalnih programa

Enkirpcijski ransomware

Ransomware sa zaključavanjem zaslona - WinLocker

Master Boot Record (MBR) ransomware

Ransomware koji kriptira web servere

Ransomware na mobilnim uređajima (Android)

Ako je moj sustav napadnut, trebam li platiti otkupninu?

Kako funkcionira ransomware napad?

Tko su žrtve ransomware napada?

Raste li broj ransomware napada na tvrtke?

Zašto je tako teško pronaći jedinstveno rješenje protiv ransomware zloćudnog računalnog programa?

Koja je vjerojatnost da možete pomoći žrtvama ransomware zloćudnog računalnog programa pri vraćanju pristupa datotekama?

Što je to Crypto Šerif i kako se mogu služiti njime?

Vaš alat za dekripciju ne radi, iako sam siguran da koristim ispravan alat - zašto?

Kada je moguće dekriptirati datoteke koje su kriptirane ransomware zloćudnog računalnog programa?

Zašto ste odlučili započeti sa "No More Ransom" inicijativom?

Postoje li slične inicijative u mojoj državi?