Lunavara

Lunavara ajalugu

1989: Esimene teadaolev lunavara, Joseph Popp’i poolt 1989. aastal kirjutatud AIDS Trojan (tundud ka kui “PC Cyborg”)
2005: Mais ilmub raha väljapressimis lunavara
2006: 2006. aasta keskpaigeks hakkavad pahavarad, näiteks Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, ning MayArchive, kasutama üha suurenevate võtmepikkustega RSA krüpteerimismeetodeid
2011: Ilmub lunavara, mis imiteerib Windowsi toote aktiveerimisprotsessi.
2013: Hakkab levima lunavara, mis põhineb STAMP.EK ekspluateerimisvahendil ning ilmub Mac OS X põhine lunavara. CryptoLocker teenib aasta 4 viimase kuuga ligikaudu 5 miljonit dollarit aastas.
2015: Paljud eri tüüpi krüptolunavarad põhjustavad erinevatel platvormidel suurt kahju.

Lunavara tüübid

  • Krüpteeriv lunavara

Krüpteerib personaalsed failid ja kaustad (dokumendid, pildid ja videod)

Originaalfailid kustutatakse ära kohe peale krüpteerimist ning kasutajad leiavad dekrüpteerimisjuhise samast kauastast, kus asuvad ligipääsmatud failid.

Probleemi võib avastada alles siis, kui üritad faili avada

Osa lunavarasid näitab nn ‘lukustatud akent’

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Lukustatud akna lunavara - WinLocker

Lukustab arvuti ekraani ning nõuab makset

Presenteeritud kui tervet ekraani hõlmav pilt, mis blokeerib kõik teised aknad

Personaalseid faile ei krüpteerita

Polyransom2

  • Ülemkäivituskirje (MBR) lunavara

Ülemkäivituskirje (MBR) on osa arvuti kõvakettast, mis võimaldab operatsioonisüsteemi käivitada

MBR lunavara muudab arvuti MBR’i nii, et tavaline käivitamine on katkestatud

Selle asemel näidatakse ekraani lunaraha nõuet.

Master-Boot.jpg

  • Lunavara, mis krüpteerib veebiservereid

Võtab sihtmärgiks veebiserverid ja krüpteerib sellel failid

Veebiteenustele lunavara üleslaadimiseks kasutatakse tihti teadaolevaid turvaauke sisuhaldussüsteemides (CMS)

Ransomware encrypting web servers

  • Mobiilsete seadete lunavara (Android)

Mobiilseid seadmeid (peamiselt Android) saab nakatada nn “möödasõidu allalaadimiste” teel

Samuti saab seadmeid nakatada võlts äpp’ide kaudu, mis maskeerivad ennast populaarseteks teenusteks, näiteks Adobe Flash’iks või antiviiruseks.

Mobile Ransomware

Kui mind on rünnatud, kas peaksin maksma lunaraha?

Lunaraha pole kunagi soovitatud maksta peamiselt sellepärast, et see ei garanteeri probleemile lahendust. Samuti on palju asju, mis saavad kogemata valesti minna. Näiteks pahavaras võivad olla tarkvaravead, mis ei võimalda isegi õige võtmega faile lahti krüpteerida.

Lisaks sellele kinnitab lunaraha maksmine kurjategijale, et lunavara jagamine on kasumlik. Selle tulemusena jätkavad küberkriminaalid oma tegevust ning otsivad uusi viise, kuidas süsteeme ekspluateerida ning kuidas saada rohkem nakatumisi ja selle kaudu ka rohkem raha.

Kuidas lunavara rünnak töötab?

Lunavara saadetakse tavaliselt ohvrile emaili manusena või mõne käivitatava failina, näiteks arhiiv või pilt. Manuse avamisel saab pahavara ligipääsu kasutaja süsteemile. Samuti peidavad küberkriminaalid pahavara veebilehtedele. Pahavara saab ligipääsu süsteemile selliseid veebilehti külastades.

Nakatumine ei ole kasutajatele alati märgatav. Pahavara töötab arvutis vaikselt taustal hetkeni, millal krüpteerimistarkvara aktiveeritakse. Siis ilmub kasutajale aken, kus teavitatakse, et tema andmed on krüpteeritud ning nõutakse lunaraha andmete avamiseks. Selleks ajaks on juba liiga hilja andmete taastamiseks turvameetmetega.

Lisainfo saamiseks palun vaadake allolevat videot:

Kes langevad pahavara ohvriks?

Any consumer and any business can be a victim of ransomware. Cybercriminals are not selective, and are often looking to hit as many users as possible in order to obtain the highest profit.

Kas lunavara ründed ettevõtete vastu sagenevad?

Jah, sest küberkurjategijad teavad, et ettevõtete puhul on suurem tõneäosus, et nad maksavad, kuna krüpteeritud andmed on tundlikud kui ka olulised ettevõtte tegevuse jätkamiseks. Lisaks sellele on vahel kallim andmete taastamine varukoopiast kallim kui maksta lunaraha.

Miks on raske leida lunavara vastu universaalset lahendust?

Lunavara on üha rohkem - tänaseks on liikvel rohkem kui 50 erinevat pahavara perekonda liikvel ning lisaks sellele areneb tarkvara kiiresti. Iga uue versiooniga kasutatakse tugevamaid krüpteerimisalgoritme ning uusi võimalusi. Lunavara pole midagi, mida saaks ignoreerida!

Üks põhjustest, miks lahendust on keerulien leida seisneb selles, et krüpteerimine ei ole iseenesest pahatahtlik tegevus. Krüpteerimine on iseenesest kasulik tehnoloogia ning paljud heatahtlikud programmid kasutavad seda.

Esimene krüptopahavara kasutas sümmeetrilise võtme algoritmi, ehk (mis kasutas) sama võtit krüpteerimiseks ja dekrüpteerimiseks. Sageli suudeti arvutiturbe ettevõtete abiga edukalt krüpteeritud failid lahti saada. Aja möödudes hakkasid küberkriminaalid kasutama asümmeetrilist krüptograafiat, mis kasutab kahte erinevat võtit - avalikku võtit selleks, et failid krüpteerida ning privaatset võtit, mida on vaja dekrüpteerimiseks.

Üks kõige kurikuulsamaid lunavara on avaliku võtme algoritmi kasutav Cryptolocker Trojan. Arvuti nakatumisel ühendub ta kontrollserveri külge ja laeb alla avaliku võtme. Privaatne võti jääb ligipääsetavaks vaid kurjategijatele, kes Cryptolocker tarkvara kirjutasid. Tavaliselt ei ole ohvril lunaraha maksmiseks aega rohkem kui 72 tundi. Mitte maksmisel privaatne võti kustutatakse ning failide taastamine muutub võimatuks.

Seetõttu tuleb kõigepealt mõelda ennetusele. Enamus antiviirustarkvarasid juba sisaldavad võimekust lunavara üsna varajases nakatumise staadiumis, mistõttu ei lähe tundlikku informatsiooni kaduma. On oluline, et see funktsionaalsus oleks antiviirustel sisse lülitatud.

Kui suur on tõenäosus, et lunavara ohvrid saavad uuesti ligipääsu oma failidele?

“No More Ransom” projekt just algas, kuid me töötame pidevalt koos arvutiturbe ettevõtete ning politseiga, et tuvastada võimalikult palju võtmeid võimalikult paljudele erinevatele lunavaradele. Kui sul on meie jaoks olulist informatsiooni, siis palun jaga seda ka meiega.

Mis on Krüpto Šerif ja kuidas seda kasutada?

Krüpto Šerif on tööriist, mis on disainitud tuvastama, millist tüüpi lunavara sinu seadmes on. See võimaldab meil kontrollida, kas juba eksisteerib dekrüpteerimislahendus. Palun vaata allolevat videot, et näha kuidas see töötab:

Minu dekrüpteerimistööriist ei tööta, kuigi olen kindel, et kasutan õiget variant - miks?

See on täiesti võimalik. Vahel võib juhtuda, et meil on olemas ainult mingi osa võtmetest, seega palun kontrolli veebilehte hiljem uuesti.

Millal on võimalik lunavara poolt krüpteeritud faile dekrüpteerida?

See on võimalik järgmistel juhtudel:

  • Pahavara loojad tegid tarkvara arendamisel vea, mis teeb võimalikuks krüpto murdmise. See oli näiteks nii Petya ning CryptXXX pahavara puhul.
  • Pahavara loojad tunnevad ennast halvasti tehtu pärast ning avaldavad võtme(d), või ühe peavõtme, näiteks nagu TeslaCrypti puhul.
  • Politsei võtab üle võtmehaldusserveri ning jagab seda avalikkusega. Üks sellistest näidetest on CoinVault.


Vahel lunaraha maksmine töötab, kuid ei ole ühtegi garantiid, et see viib failide avamiseni. Lisaks sellele toetate sellega kriminaalide ärimudelit ning olete osaliselt vastutav selle eest, et üha enamate inimeste arvutid nakatuvad.

Miks te otsustasite luua No More Ransom’i algatuse?

Ei ole saladus, et lunavara on küberturvalisuse vallas viimastel aastatel väga suur probleem. See on muutunud nii laiaulatuslikuks, et seda võiks nimetada epideemiaks. Inimeste arv, keda rünnatakse lunavaraga (lunavaraga rünnatakse), kasvab hüppeliselt - 2015 aprill - 2016 märts on olnud ligikaudu 718 000 nakatumist, mis on 5.5 korda suurem, kui võrrelda seda sama perioodiga aastatel 2014-2015.

Politsei ei ole võimeline küberkuritegevusega üksi võitlema ning samuti ei ole võimelised seda tegema turbeteadlased ilma politseita. Lunavara vastu võitlemise vastutus on jagatud politsei, prokuratuuri, Europoli ning IT-turbe ettevõtete vahel ning vaja ühist pingutust. Koos me teeme kõik endast võimaliku, et takistada kriminaalide skeeme ning tagastada failid nende õiguslikele omanikele nii, et nad ei pea selle eest suuri summasid maksma.

Kas sarnaseid algatusi on ka minu riigis?

No More Ransom on rahvusvaheline projekt, mis näitab avaliku-erasektori koostöö väärtust. See on koostöö, mis ületab geograafilised piirid. Projekti peamiseks eesmärgiks on jagada teadmisi ning õpetada inimestele üle maailma, kuidas vältida lunavara rünnakuid. Me usume, et lõpuks viib see võimaluseni, et suudame korvata kahju, mis on tehtud ohvritele üle maailma.

Alguses on portaalis neli dekürpteerimistööriista erinevate pahavara tüüpide jaoks. Kõik tööriistad veebilehel on tasuta ning need töötavad kõikide kasutajate jaoks, kes on pahavaraga nakatanud sõltumata sellest, kus kasutaja asub.