Išpirkos reikalaujanti kenkimo programa: klausimai - atsakymai

Išpirkos reikalaujančios kenkimo programinės įrangos istorija

1989: pirmoji žinoma išpirkos reikalaujanti kenkimo programa - 1989 „AIDS Trojan" (taip pat žinoma, kaip „PC Cyborg"), kurios autorius - Joseph Popp
2005: gegužės mėnesį, atsiranda turtui prievartauti skirta išpirkos reikalaujanti kenkimo programa
2006: iki 2006 vidurio tokie „kirminai", kaip „Gpcode", „TROJ.RANSOM.A", „Archiveus", „Krotten", „Cryzip" ir „MayArchive", pradeda naudotis įmantresnėmis RSA šifravimo schemomis su didėjančiais raktų ilgiais
2011: pasirodo išpirkos reikalaujantis „kirminas", imituojantis „Windows" produkto aktyvavimo pranešimą
2013: atsiranda išpirkos reikalaujantis „kirminas", sukurtas „Stamp.EK" sistemos pažeidžiamumus išnaudojančių programų rinkinio pagrindu, ir pasirodo "Mac OS X" skirtas išpirkos reikalaujantis „kirminas". Per paskutinius keturis šių metų mėnesius „CryptoLocker" kenkimo programa susižeria apie 5milijonus dolerių
2015: Daugybė atmainų daugybėje platformų kelia didelius nuostolius

Išpirkos reikalaujančios kenkimo programinės įrangos tipai

  • Duomenis šifruojanti išpirkos reikalaujanti kenkimo programa

Ji užšifruoja asmenines rinkmenas ir aplankus (dokumentus, lenteles, nuotraukas, vaizdo įrašus).

Užkrėstos rinkmenos po jų užšifravimo yra ištrinamos, o naudotojai paprastai pamato tekstinę rinkmeną su nurodymais susimokėti tame pačiame aplanke, kuriame buvo dabar nebepasiekiamos rinkmenos.

Gali būti, kad problemą pastebėsite tik tada, kai bandysite atidaryti vieną tų rinkmenų.

Kai kurių, bet ne visų, tipų šifruojanti programinė įranga rodo, kad „ekranas užrakintas":

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Ekraną užrakinanti išpirkos reikalaujanti kenkimo programinė įranga - „WinLocker"

Ji užrakina kompiuterio ekraną ir reikalauja susimokėti.

Ji rodo atvaizdą per visą ekraną, blokuojantį visus kitus langus ekrane.

Jokios asmeninės rinkmenos nėra užšifruojamos.

Polyransom2

  • Standžiojo disko nulinio sektoriaus (MBR) išpirkos reikalaujanti kenkimo programinė įranga

Standžiojo disko nulinis sektorius (MBR) - tai kompiuterio standžiojo disko dalis, leidžianti paleisti operacinę sistemą.

MBR išpirkos reikalaujanti kenkimo programa pakeičia kompiuterio MBR, kad įprasta sistemos paleidimo eiga būtų pertraukta.

Vietoje to, ekrane atsiranda išpirkos reikalavimas.

Master-Boot.jpg

  • Išpirkos reikalaujanti kenkimo programa, užšifruojanti tinklalapių serverius

Ji nukreipta prieš tinklalapių serverius ir užšifruoja juose esančias rinkmenas.

Žinomos turinio valdymo sistemų saugumo spragos dažnai išnaudojamos, kad užkrėsti tinklalapių serverius išpirkos reikalaujančia kenkimo programa.

Ransomware encrypting web servers

  • Išpirkos reikalaujanti kenkimo programinė įranga mobiliesiems įrenginiams („Android")

Mobilieji įrenginiai (daugiausia „Android") gali būti užkrėsti siunčiantis objektus iš interneto.

Jie taip pat gali būti užkrečiami per fiktyvias programėles, kurios dedasi esančios tokiomis populiariomis paslaugomis, kaip „Adobe Flash" ar antivirusinis įrankis.

Mobile Ransomware

Ar mokėti išpirką, jeigu tapau atakos auka?

Mokėti išpirką niekada nerekomenduojama, daugiausia dėl to, kad niekas negarantuoja, kad Jūsų problema bus išspręsta. Taip pat yra keletas nenumatytų dalykų, kurie gali nepavykti. Pavyzdžiui, kenkimo programoje gali būti virusų, dėl kurių susigrąžinti užšifruotus duomenis gali tapti nebeįmanoma net jei ir būtų tinkamas raktas.

Be to, jeigu išpirka sumokama, nusikaltėlis supranta, kad išpirkos reikalaujanti kenkimo programa yra veiksminga. Todėl nusikaltėliai tęs savo veiklą ir ieškos naujų būdų išnaudoti sistemas, kurias galima vis labiau užkrėsti, o tai reikš vis didesnes pinigų sumas jų sąskaitose.

Kaip veikia išpirkos reikalaujančios kenkimo programos ataka?

Išpirkos reikalaujančios kenkimo programos ataka dažniausiai vykdoma per elektroninio pašto prisegtukus, kurie gali būti vykdomosios bylos, archyvo rinkmenos ar paveikslėliai. Atidarius prisegtuką, kenkimo programa patenka į naudotojo sistemą. Kenkimo programą kibernetiniai nusikaltėliai gali įdiegti taip pat ir svetainėse. Kai naudotojas to nežinodamas apsilanko svetainėje, kenkimo programinė įranga patenka į jo sistemą.

Naudotojas gali ne iš karto pastebėti užkratą. Kenkimo programa veikia tyliai antrame plane tol, kol įdiegiama sistema ar duomenų užrakinimo mechanizmas. Tada atsiranda langas, kuriame rašoma, kad duomenys buvo užrakinti ir kad jeigu pageidaujama jų atrakinimo, reikia sumokėti išpirką. Nuo to momento jau per vėlu imtis saugumo priemonių duomenims išsaugoti.

Norėdami sužinoti:

Kas tampa išpirkos reikalaujančios kenkimo programinės įrangos aukomis?

Bet kuris naudotojas ar įmonė gali tapti išpirkos reikalaujančios kenkimo programos auka. Kibernetiniai nusikaltėliai nėra išrankūs ir siekia paveikti kiek įmanoma daugiau naudotojų, kad gautų didžiausią pelną.

Ar išpirkos reikalaujančios kenkimo programos atakų prieš įmones skaičius auga?

Taip, kadangi kibernetiniai nusikaltėliai žino, kad bendrovės yra labiau linkusios sumokėti, nes užvaldyti duomenys dažniausiai yra jautrūs ir gyvybiškai svarbūs įmonės veiklos tęstinumui užtikrinti. Be to, kartais gali būti brangiau atkurti atsargines kopijas, negu sumokėti išpirką.

Kodėl taip sunku rasti tą vienintelį sprendimą kovoje su išpirkos reikalaujančia kenkimo programa?

Šiuo metu yra išpirkos reikalaujančios kenkimo programinės įrangos klestėjimo metas - apyvartoje yra daugiau nei 50 šios kenkimo programinės įrangos šeimų ir jos greitai tobulėja. Kiekviena nauja kenkimo programinės įrangos versija pasižymi efektyvesniu šifravimu ir naujomis savybėmis. To negalite ignoruoti!

Viena iš priežasčių, kodėl taip sudėtinga rasti tą vienintelį sprendimą, - ta, kad šifravimas savaime nėra kenkėjiškas. Iš tikrųjų, tai teigiamas išradimas ir daugelyje teisėtų programų ji naudojama.

Pirmojoje šifruojančioje kenkimo programoje buvo naudotas simetrinio rakto algoritmas, kai užšifravimui ir dešifravimui naudojamas tas pats raktas. Pažeista informacija, paprastai, galėjo būti dešifruota padedant IT saugumo įmonėms. Su laiku kibernetiniai nusikaltėliai pradėjo naudoti asimetrinį kriptografijos algoritmą, kai naudojami du atskiri raktai - viešas raktas rinkmenoms užšifruoti ir privatus raktas, reikalingas joms dešifruoti.

CryptoLocker Trojos arklys yra vienas labiausiai žinomų išpirkos reikalaujančios kenkimo programos pavyzdžių. Jame taip pat naudojamas viešo rakto algoritmas. Kompiuteriui užsikrėtus, jis kreipiasi į komandų ir kontrolės serverį, iš kurio parsisiunčia viešą raktą. Prieigą prie privataus rakto turi tik kibernetiniai nusikaltėliai, sukūrę „CryptoLocker" programinę įrangą. Dažniausiai, nukentėjusiajam duodamos ne daugiau kaip 72 valandos išpirkai sumokėti iki jų privatus raktas yra visiškai ištrinamas, o be šio rakto jokių rinkmenų dešifruoti nebeįmanoma.

Taigi, pirmiausia turite galvoti apie prevenciją. Dauguma antivirusinių programų jau dabar turi galimybę aptikti išpirkos reikalaujančios kenkimo programos keliamas grėsmes ankstyvame užkrėtimo etape, neprarandant jautrių duomenų. Svarbu, kad naudotojai pasirūpintų, kad ši funkcija įjungta jų naudojamoje antivirusinėje programoje.

Kokia tikimybė, kad Jūs padėsite nukentėjusiems nuo išpirkos reikalaujančios kenkimo programos atgauti prieigą prie jų rinkmenų?

„No More Ransom“ projektas ką tik prasidėjo, bet mes nuolat dirbame su kitomis saugumo bendrovėmis ir teisėsaugos institucijomis, kad nustatytume kuo daugiau raktų kuo didesniam skaičiui kenkimo programos variantų. Jeigu turite, Jūsų nuomone, galinčios padėti informacijos, prašome ja pasidalinti su mumis.

Kas yra „Kriptošerifas" ir kaip juo naudotis?

Kripto šerifas - tai įrankis skirtas padėti mums nustatyti, koks išpirkos reikalaujančios kenkimo programos tipas paveikė Jūsų įrenginį. Tai įgalina mus patikrinti, ar turime dešifravimo sprendimą. Kad pamatytumėte, kaip tai veikia, pažiūrėkite vaizdo įrašą žemiau:

Jūsų dešifravimo įrankis neveikia, nors aš esu įsitikinęs (-usi), kad naudoju tinkamą įrankį - kodėl?

Gali būti. Kartais gauname tik rakto poaibį, taigi, prašome ir toliau tikrintis tinklalapyje.

Kada įmanoma dešifruoti rinkmenas, kurios buvo užšifruotos išpirkos reikalaujanti kenkimo programa?

Tai įmanoma šiais atvejais:

  • Kenkimo programinės įrangos kūrėjai padaro klaidą ją kurdami ir dėl to įmanoma įveikti šifravimą. Taip nutiko Petya ir CryptXXX kenkimo programų atveju.
  • Kenkimo programų kurėjai gailisi dėl savo veiksmų ir patys paviešina raktus arba visraktį, kaip TeslaCrypt atveju.
  • Teisėsaugos institucijos paima serverį, kuriame yra patalpinti raktai ir jais pasidalina. Vienas tokių pavyzdžių yra Coin Vault.


Kartais išpirkos sumokėjimas taip pat suveikia, bet niekas negarantuoja, kad sumokėjus, Jūsų rinkmenos bus atšifruotos. Be to, tokiu būdu remiate nusikalstamo verslo modelį ir iš dalies prisidedate prie to, kad vis daugiau žmonių įrenginių yra užkrečiama išpirkos reikalaujančiu virusu.

Kodėl nusprendėte imtis „No More Ransom“ iniciatyvos?

Ne paslaptis, kad per pastaruosius metus, išpirkos reikalaujanti kenkimo programinė įranga, kuri užšifruoja naudotojo sistemoje esančius duomenis ir vėliau reikalauja išpirkos už šių duomenų dešifravimą, tapo didžiuliu kibernetinio saugumo skauduliu. Ši problema taip plačiai paplito, kad ją neabejotinai galima vadinti epidemija. Naudotojų, prieš kuriuos įvykdyta ataka, skaičius bado akis; tarp 2015 m. balandžio mėn. iki 2016 m. kovo mėn., paveiktų naudotojų skaičius pasiekė 718.000, o tai yra 5,5 karto daugiau negu tuo pačiu laikotarpiu 2014-2015 metais.

Policija negali viena pati nugalėti kibernetinio nusikalstamumo, ypatingai išpirkos reikalaujančių kenkimo programų. Lygiai taip pat, saugumo srities analitikai negali to padaryti be teisėsaugos institucijų pagalbos. Atsakomybe kovoti prieš išpirkos reikalaujančius virusus dalinasi policija, teisingumo institucijos, Europolas bei IT saugumo bendrovės, ir tam reikalingos bendros pastangos. Kartu stengsimės, kad išardytume nusikalstamas finansinio uždarbio schemas ir grąžintume užvaldytas rinkmenas jų teisėtiems savininkams, kad šie neturėtų mokėti krūvos pinigų.

Ar mano šalyje yra panašių iniciatyvų?

„No More Ransom“ yra tarptautinė iniciatyva, kuri parodo, koks vertingas yra viešojo ir privataus sektorių bendradarbiavimas imantis rimtų veiksmų prieš kibernetinį nusikalstamumą. Šis bendradarbiavimas peržengia bet kokias geografines ribas. Pagrindinis šio projekto tikslas - dalintis žiniomis ir šviesti naudotojus visame pasaulyje, kaip apsisaugoti nuo išpirkos reikalaujančių virusų atakų. Mes tikime, kad anksčiau ar vėliau, ši iniciatyva padės atstatyti nukentėjusių naudotojų patirtą žalą visame pasaulyje. Grąžindami naudotojams prieigą prie jų sistemų, parodome jiems, kad jie gali imtis priemonių ir nemokėti išpirkos nusikaltėliams.

Pradiniame etape, tinklalapyje pateikiami keturi dešifravimo įrankiai skirtingiems kenkimo programų tipams. Visi tinklalapyje esantys įrankiai yra nemokami ir veikia bet kurio naudotojo įrenginiui, kuris užkrėstas tinklalapyje nurodytais virusais, nepriklausomai nuo to, kuriame pasaulio taške naudotojas yra.