Ransomware: pitanja i odgovori

Povijest ransomware zloćudnih računalnih programa

1989: Joseph Popp stvara prvi poznati ransomware, AIDS Trojan iz 1989 godine (također poznat kao "PC Cyborg")
2005: U svibnju se pojavljuje ucjenjivački ransomware
2006: do sredine 2006. crvi kao što su Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, i MayArchive, počinju koristiti naprednije metode enkripcije, s veličinama ključeva koje stalno rastu
2011: Pojavljuje se ransomware koji imitira Obavijest o aktivaciji Windows proizvoda
2013: pojavljuju se ransomware temeljen na alatu za iskorištavanje Stamp.EK, i ransomware posebno izrađen za Mac OS X. U posljednja 4 mjeseca CryptoLocker je "zaradio" oko 5,000,000 USD.
2015: Različite varijante čine veliku štetu na brojnim platformama

Tipovi ransomware zloćudnih računalnih programa

  • Enkirpcijski ransomware

Kriptira osobne datoteke i mape (dokumenti, tablice, slike i video).

Zaražene datoteke se brišu nakon enkripcije i korisnici obično dobiju tekstualnu datoteku s uputama za plaćanje otkupnine u istoj mapi u kojoj se nalaze datoteke kojima više ne možete pristupiti.

Poteškoću ćete obično otkriti tek kad pokušate otvoriti neku od navedenih datoteka.

Neki, ali ne svi enkripcijski softveri pokazuju i "zaslon zaključavanja":

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Ransomware sa zaključavanjem zaslona - WinLocker

Zaključava zaslon korisnika i zahtijeva otkupninu.

Prikazuje sliku preko cijelog zaslona i blokira sve druge prozore.

Osobni podaci nisu kriptirani.

Polyransom2

  • Master Boot Record (MBR) ransomware

Master Boot Record (MBR) dio je tvrdog diska koji omogućava učitavanje operacijskog sustava.

MBR ransomware mijenja MBR računala tako da je normalan proces učitavanja prekinut.

Umjesto učitavanja na ekranu se pokazuje zahtjev za otkupninom.

Master-Boot.jpg

  • Ransomware koji kriptira web servere

Kao metu ima web servere na kojima kriptira datoteke.

Poznate slabosti u Content Management sustavima često se koriste kako bi se ransomware širio po web uslugama.

Ransomware encrypting web servers

  • Ransomware na mobilnim uređajima (Android)

Mobilni uređaji (uglavnom Android) mogu biti zaraženi takozvanim "drive-by preuzimanjima".

Također mogu biti zaraženi i preko lažnih aplikacija koje izgledaju kao popularne usluge, kao što su Adobe Flash ili anti-virusni proizvodi.

Mobile Ransomware

Ako je moj sustav napadnut, trebam li platiti otkupninu?

Paying the ransom is never recommended, mainly because it does not guarantee a solution to the problem. There are also a number of issues that can go wrong accidentally. For example, there could be bugs in the malware that makes the encrypted data unrecoverable even with the right key.

Uz to, plaćanjem otkupnine kriminalcima se dokazuje da je ransomware efektivan. Rezultat toga je da će cyber kriminalci nastaviti sa svojim radom i tražiti nove načine da iskoriste sustave, što rezultira dodatnim zarazama i priljevom sredstava na račune kriminalaca.

Kako funkcionira ransomware napad?

Ransomware napad se obično šalje kroz e-mail prilog koji izgleda kao izvršna datoteka, arhiva ili slika. Kad se prilog otvori, zloćudni softver ulazi u sustav korisnika. Cyber kriminalci mogu također postaviti zloćudni softver na web stranice. Kad korisnik slučajno posjeti navedenu stranicu zloćudni softver ulazi u sustav.

Zaraza nije odmah vidljiva korisniku. Zloćudni softver radi u pozadini dok se ne pokrene mehanizam za zaključavanje podataka. Tada se pojavi prozor s obavijesti da su podaci zaključani te zahtjevom za otkupninom kako bi se otključali. U navedenom slučaju prekasno je spasiti podatke kroz sigurnosne mjere.

Za više informacija, molimo da pogledate video u nastavku:

Tko su žrtve ransomware napada?

Bilo koji korisnik ili tvrtka mogu biti žrtvom ransomware napada. Cyber kriminalci nisu selektivni, i često žele dosegnuti što više korisnika kako bi sakupili što više profita.

Raste li broj ransomware napada na tvrtke?

Da, jer cyber kriminalci znaju da kod organizacijama postoji veća vjerojatnost isplate pošto su zarobljeni podatci obično i osjetljivi i važni za nastavak rada organizacije. K tome, ponekad je skuplje pokušati vratiti podatke nego platiti otkupninu.

Zašto je tako teško pronaći jedinstveno rješenje protiv ransomware zloćudnog računalalnog programa?

Ransomware je u porastu - trenutačno postoji 50 obitelji ovog zloćudnog računalnog programa u opticaju -i ubrzano evoluira. Sa svakom novom varijantom pojavljuju se bolje enkripcije i nove osobine. Ovo je nešto što se ne može lako ignorirati!

Jedan od razloga zašto je teško naći jedinstveno rješenje je što je enkripcija sama po sebi bezopasna. To je u stvari pozitivan razvoj i mnogi dobroćudni programi se njom služe.

Prvi zloćudan kriptografski softver koristio je algoritam sa simetričnim-ključem, s istim ključem za enkripciju i dekripciju. Zbog čega, uz pomoć zaštitarskih društava zaražene informacije bi ubrzo bile uspješno dešifrirane. Kako je vrijeme prolazilo cyber kriminalci su počeli implementirati algoritme za asimetričnu kriptografiju. Ti algoritmi koriste dva odvojena ključa - javni za kriptiranje datoteka, i privatni, koji je potreban za dekripciju.

CryptoLocker virus pod imenom Trojan jedan je od najpoznatijih ransomware zloćudnih računalnih programa. On također koristi algoritam sa javnim ključem. Pri zarazi nekog računala povezuje se sa command-and-control serverom i skida javni ključ. Privatni ključ je dostupan samo kriminalcima koji su napisali CryptoLocker softver. Žrtva obično ima manje od 72 sata da plati otkupninu prije nego se privatni ključ, bez kojega je nemoguće dekriptirati datoteke, zauvijek briše.

Zbog toga najprije morate razmišljati o prevenciji. Većina antivirusnog programa sa sobom ima dio koji pomaže u identifikaciji ransomware zloćudnog računalnog programa pri ranim stadijima zaraze, bez gubitka osjetljivih podataka. Važno je da korisnici uključe tu funkciju u antivirusnom programu.

Koja je vjerojatnost da možete pomoći žrtvama ransomware zloćudnog računalnog programa pri vraćanju pristupa datotekama?

Projekt "No More Ransom" je tek započeo, no unatoč tome neprestano radimo sa drugim zaštitarskim društvima i agencijama za provedbu zakona, na identifikaciji što većeg broja ključeva, sa što većim brojem varijanata. Ako imate informacije ili mislite da možete pomoći, molimo vas da to podijelite s nama.

Što je to Crypto Šerif i kako se mogu služiti njime?

Crypto Šerif je alat dizajniran da nam pomogne pri definiciji tipa ransomware zloćudnog računalnog programa kojim je vaš uređaj zaražen. Omogućuje nam da provjerimo postoji li rješenje dekripcije. Za objašnjenje o načinu rada pogledajte video u nastavku:

Vaš alat za dekripciju ne radi, iako sam siguran da koristim ispravan alat - zašto?

To je moguće. Nekad dobijemo samo dio varijanta ključeva. Zbog toga nastavite redovito provjerevati na web stranici.

Kada je moguće dekriptirati datoteke koje su kriptirane ransomware zloćudnog računalalnog programa?

Moguće je u sljedećim slučajevima:

  • Autori zloćudnog računalnog programa su napravili grešku pri implementaciji, što omogućuje razbijanje enkripcije. Takav slučaj je Petya ransomware računalnog programa i CryptXXX ransomware računalnog programa.
  • Autori zloćudnog računalnog programa žale zbog onog što su napravili i objave ključeve, ili "glavni ključ", kao u slučaju TeslaCrypt.
  • Agencije za provedbu zakona zaplijene server sa ključevima i ključeve objave . Jedan takav primjer je CoinVault.


Nekad plaćanje otkupnine djeluje, ali nema jamstva da će plaćanje stvarno rezultirati dekripcijom datoteka. K tome, podupirete poslovni model kriminalaca i time ste dijelom odgovorni za širenje zaraze ransomware zlonamjernim računalnim programom.

Zašto ste odlučili započeti sa "No More Ransom" inicijativom?

Poznato je da je ransomware zlonamjerni računali program, kriptira podatke na korisnikovom operativnom sustavu i onda zahtijeva otkupninu, i to postaje ogroman problem za cyber sigurnost u posljednjih nekoliko godina. Također je postao toliko raširen da bi ga se s lakoćom moglo prozvati epidemijom. Broj korisnika zaraženih ransomware zlonamjernim računalnim programima je u naglom porastu, i to s 718.000 korisnika zaraženih između travnja 2015. godine i ožujka 2016. godine što je 5.5 puta više nego u istom razdoblju 2014.-2015. godine.

Policija se ne može boriti sama protiv cyber kriminala, a posebno s ransomware zlonamjernim računalnim programima. Razvojni timovi za osiguranje ne mogu djelovati bez potpore tijela za provedbu zakona. Policija, pravosuđe, Europol i IT osiguravajuća društva dijele odgovornost u borbi protiv ransomware zlonamjernog računalnog programa, što zahtijeva i zajednički trud. Zajedno ćemo napravit sve što možemo da spriječimo moguće aktivnosti brze zarade i vratimo datoteke njihovim pravim vlasnicima, a da isti nisu prisiljeni isplatiti velike novčane iznose.

Postoje li slične inicijative u mojoj državi?

"No More Ransom" je međunarodna inicijativa koja okuplja suradnike iz javno-privatnog sektora kako bi se suprotstavili cyber kriminalitetu. Ta suradnja nadilazi geografske granice. Glavni cilj projekta je dijeljenje znanja i edukacija korisnika diljem svijeta kako spriječiti ransomware napade. Vjerujemo da će to s vremenom dovesti do podrške pri nastanku štete učinjene oštećenima diljem svijeta. Povratak podataka korisnika na njihovim sustavima ojačavamo ih na način da im pokazujemo da mogu sami poduzeti povrat podatka te time izbjeći pomaganje kriminalu i isplaćivanje otkupnine.

U svojem početnom stadiju portal sadržava četiri alata za dekripciju različitih vrsta zlonamjernih računalnih programa. Svi alati koji su dostupni na stranici su besplatni i djelovati će kod svakog korisnika čiji sustav je zaražen prijetnjom navedenom na stranici - bez obzira gdje u svijetu se korisnik nalazi.