Izspiedējvīruss: BUJ

Izspiedējvīrusu vēsture

1986: Džozefs Popps saraksta pirmo izspiedējvīrusu, AIDS tojieti (zināms arī kā „PC Cyborg”)1986: Džozefs Popps saraksta pirmo izspiedējvīrusu, AIDS tojieti (zināms arī kā „PC Cyborg”)
2005: Maijā parādās pirmie izspiedējvīrusi, kas pieprasa izpirkumu
2006: Gada vidū tādi tārpveidīgie vīrusi kā Gpcode, TROJ.RANSOM, Archiveus, Kotten, Cryzip un MayArchive tiek sarakstīti ar daudz sarežģītākām RSA šifrēšanas shēmām, kur šifra atslēgas lielums nepārtraukti palielinās
2011: Parādās izspiedējvīrusa tārps, kas imitē Windows produkta aktivizācijas pieprasījumu
2013: Parādās izspiedējvīrusa tārps, kas bāzēts uz Stamp.EK izmantošanas komplekta, kā arī izspiedējvīrusa tārps, kas paredzēts tieši Mac OS X. Gada pēdējos četros mēnešos ļaunprogrammatūra CryptoLocker savāc aptuveni 5 miljonus ASV dolāru
2015: Galvenās problēmas un bojājumus rada paveidu un platformu daudzveidība

Izspiedējvīrusa paveidi

  • Šifrējošais izspiedējvīruss

Tas šifrē personas datnes un mapes (dokumentus, izklājlapas, attēlus un videoklipus)

Inficētās datnes līdz ar šifrēšanu tiek izdzēstas, un lietotāji parasti saņem teksta failu ar maksājuma norādēm, kas tiek izveidots tajā pašā mapē, kur uz attiecīgo brīdi glabājas jau nepieejamās datnes.

Par šādu problēmu jūs, iespējams, uzzināsiet tikai tad, kad mēģināsiet atvērt kādu no šīm datnēm.

Dažas, bet ne visas šifrējošās programmatūras uzrāda „bloķējošo ekrānu”:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Ekrānu bloķējošais izspiedējvīruss – WinLocker

Tas bloķē datora ekrānu un pieprasa maksājumu.

Tas parādās kā pilnekrāna attēls un bloķē visus pārējos logus.

Personiskās datnes netiek šifrētas.

Polyransom2

  • Pamatpalaišanas ieraksta (MBR) izspiedējvīruss

Pamatpalaišanas ieraksts (MBR) ir daļa no datora cietā diska, kas ļauj palaist operētājsistēmu.

MBR izspiedējvīruss pamaina datora MBR datus tā, ka ierastais palaišanas process tiek pārtraukts.

Tā vietā ekrānā parādās izpirkuma pieprasījums.

Master-Boot.jpg

  • Izspiedējvīruss, kas šifrē tīmekļa serverus

Tā mērķis ir tīmekļa serveri, kur tas šifrē vairākas datnes.

Lai tīmekļa pakalpojumos iesūtītu izspiedējvīrusu, visbiežāk tiek ļaunprātīgi izmantotas iepriekš noteiktas ievainojamības Satura pārvaldes sistēmā.

Ransomware encrypting web servers

  • Mobilo ierīču izspiedējvīruss (Android)

Arī mobilās ierīces (pārsvarā Android) var tikt inficētas, veicot automātiskās neautorizētās „drive-by” lejupielādes.

Tāpat ierīces var tikt inficētas ar viltus lietotnēm, kas pēc būtības ir vīruss, kurš sevi slēpj kā populārs pakalpojumu sniedzējs, piemēram, Adobe Flash vai kāda pretvīrusu programmatūra.

Mobile Ransomware

Ja esmu kļuvis par uzbrukuma upuri, vai man maksāt izpirkuma maksu?

Izpirkuma maksāšanu lielākoties nekad neiesaka tādēļ, ka tas negarantē problēmas risinājumu. Pastāv vairāki nejaušības faktori, kas var neatgriezeniski liegt piekļuvi šifrētajiem datiem. Piemēram, ļaunprogrammatūras izstrādes posmā varēja rasties kļūmes, kas liedz atgūt šifrētos datus pat tad, ja iegūta pareizā šifra atslēga.

Pie tam, ja tiek samaksāts izpirkums, tad kibernoziedzniekiem tas kārtējo reizi apstiprina faktu, ka izspiedējvīrusa taktika darbojas. Tā rezultātā kibernoziedznieki turpinās savas darbības un meklēs jaunus veidus kā savā labā izmantot sistēmas, tādējādi inficējot vairāk ierīču un iegūstot vairāk līdzekļu savos kontos.

Kā īstenojas izspiedējvīrusa uzbrukumi?

Izspiedējvīrusa uzbrukums parasti sākas e-pasta pielikumā, kur pievienots izpildāmais fails, arhivēta datne vai attēls. Tiklīdz tiek atvērts pielikums, ļaunprogrammatūra tiek palaista lietotāja sistēmā. Kibernoziedznieki ļaunprogrammatūru vēl mēdz iestrādāt arī tīmekļa vietnēs. Ja lietotājs, neko nenojaušot, apmeklē šo vietni, viņa sistēmā tiek palaista ļaunprogrammatūra.

Lietotājam inficēšanās nav uzreiz pamanāma. Ļaunprogrammatūra slepus darbojas ierīces procesu fonā līdz brīdim, kad veiksmīgi izvietots datu bloķēšanas mehānisms vai sistēma. Tam seko dialoglodziņa parādīšanās ar paziņojumu, ka lietotāja dati ir bloķēti un lai tos atbloķētu, nepieciešams samaksāt izpirkumu. Tajā brīdi glābt datus jau ir par vēlu, lai arī kādus drošības pasākumus jūs nepiemērotu.

Sīkāku informāciju jūs varat uzzināt, noskatoties zemāk pievienoto videoklipu:

Kurš var kļūt par izspiedējvīrusa upuri?

Jebkurš patērētājs un uzņēmums var kļūt par izspiedējvīrusa upuri. Kibernoziedznieki nav izvēlīgi, tieši pretēji, viņi cenšas inficēt pēc iespējas vairāk lietotāju, lai spētu gūt maksimāli lielu peļņu.

Vai pieaug izspiedējvīrusu uzbrukumi uzņēmumiem?

Jā, jo kibernoziedznieki apzinās, ka organizācijas visticamāk samaksās izpirkumu, jo dati, kas tika šifrēti, parasti ir gan sensitīvi, gan īpaši svarīgi uzņēmuma saimnieciskās darbības turpināšanai. Pie tam, samaksāt izpirkumu dažreiz ir lētāk nekā atjaunot dublētos datus.

Kādēļ ir tik grūti atrast vienu risinājumu visiem izspiedējvīrusiem?

Izspiedējvīrusa popularitāte pieaug – patlaban aktīvā apritē darbojas jau vairāk nekā 50 šīs ļaunprogrammatūras paveidi – un šis skaitlis turpina strauji augt. Katra jaunā versija spēj efektīvāk šifrēt datus un tajā iestrādāti jauni mehānismi. Tādēļ katram gadījumam pieeja ir unikāla!

Viens no galvenajiem iemesliem, kādēļ ir tik grūti atrast vienu risinājumu, ir tādēļ, ka šifrēšana pati par sevi nav ļaunprātīga. Pēc būtības, tas ir labs un noderīgs izstrādājums un tas ir iestrādāts ļoti daudzās nekaitīgās programmatūrās.

Pašā pirmajā kripto ļaunatūrā tika izmantots simetriskās šifra atslēgas algoritms, proti, gan šifrēšanai, gan atšifrēšanai derēja viena un tā pati atslēga. Bloķēto informāciju parasti vienmēr bija iespējams veiksmīgi atšifrēt ar drošības uzņēmumu palīdzību. Taču laika gaitā kibernoziedznieki sāka izmantot asimetriskos kriptogrammas algoritmus, kur paredzētas divas atslēgas – publiski pieejamā šifrēšanai, un ierobežotās pieejamības, kas nepieciešama atšifrēšanai.

CryptoLocker trojietis ir viens no vislabāk atpazīstamākajiem izspiedējvīrusiem. Arī tas izmanto publiski pieejamās šifra atslēgas algoritmu. Inficējot datoru, tas pieslēdzas centrālajam vadības serverim, lai lejupielādētu šo publisko šifra atslēgu. Savukārt ierobežotās pieejamības atslēga ir pieejama tikai noziedzniekiem, kuri sarakstījuši CryptoLocker programmatūru. Uzbrukuma upurim parasti tiek dotas ne vairāk kā 72 stundas lai samaksātu izpirkumu, pirms atslēga tiek neatgriezeniski izdzēsta un bez kuras vairs nav iespējams atšifrēt nevienu datni.

Tādēļ jums visupirms ir jādomā par savu drošību. Lielākoties pretvīrusu programmatūrās jau ir iekļauts komponents, kas palīdz identificēt izspiedējvīrusa draudus jau sākotnējā inficēšanās periodā, nepieļaujot sensitīvo datu dzēšanu. Lietotājiem pretvīrusu programmatūras izvēlnē ir svarīgi pārliecināties, ka šī opcija ir iespējota.

Cik liela ir iespējamība, ka jūsu projekts spēs palīdzēt izspiedējvīrusa upuriem atgūt savus datus?

Lai gan „No More Ransom” projekts ir uzsākts pavisam nesen, mēs pastāvīgi sadarbojamies ar drošības uzņēmumiem un tiesībsargājošajām institūcijām, lai varētu identificēt pēc iespējas vairāk šifra atslēgas, pēc iespējas vairākiem ļaunatūras paveidiem. Ja jūs uzskatāt, ka jūsu rīcībā ir informācija, kas mums varētu noderēt, tad mēs labprāt to no jums saņemtu.

Kas ir Kripto Šerifs un kā man to izmantot?

Kripto Šerifs ir rīks, kas izstrādāts ar mērķi palīdzēt identificēt izspiedējvīrusa paveidu, kas inficējis jūsu ierīci. Tas mums ļauj pārbaudīt, vai mums ir pieejams attiecīgais šifra risinājums. Lai pārskatāmi uzzinātu kā tas viss darbojas, noskatieties zemāk pievienoto videoklipu:

Jūsu atšifrēšanas rīks nedarbojas, lai gan esmu pārliecināts, ka izmantoju pareizo rīku – kāpēc?

Tāda iespējamība pastāv. Dažreiz mums izdodas iegūt tikai kādu daļu no šifra atslēgas, tādēļ aicinām ik pa laikam ielūkoties un uzzināt jaunāko informāciju mūsu tīmekļa vietnē.

Kādos gadījumos iespējams atšifrēt datnes, kuras nobloķējis izspiedējvīruss?

Tas ir iespējams šādos gadījumos:

  • Ļaunprogrammatūras veidotāji izstrādes posmā pieļāvuši kļūdu, kas ļauj uzlaust šifru. Šāda situācija bija izveidojusies ar izspiedējvīrusiem Petya un CryptXXX.
  • Ļaunprogrammatūras izstrādātāji sāk nožēlot savas darbības un publicē šifra atslēgas, vai „galveno atslēgu”, kā tas bija noticis gadījumā ar TeslaCrypt izspiedējvīrusu.
  • Tiesībsargājošās institūcijas, veicot kratīšanu, izņem serverus, kur glabājas šifra atslēga, un šo informāciju nodod tālāk. Viens šāds piemērs ir gadījumā ar CoinVault izspiedējvīrusu.


Dažreiz vēlamo rezultātu dod arī izpirkuma samaksāšana, taču nekad nav garantijas, ka pēc maksājuma veikšanas patiešām sekos jūsu datu atšifrēšana. Papildus tam, jūs atbalstāt noziedznieku kriminālās darbības modeli, tādējādi daļēji uzņematies atbildību par visiem pārējiem turpmākajiem gadījumiem, kad lietotāji tiek inficēti ar izspiedējvīrusiem.

Kādēļ jūs izlēmāt uzsākt „No More Ransom” projektu?

Nav noslēpums, ka pēdējo pāris gadu laikā izspiedējvīrusi, kas šifrē datus lietotāju sistēmā un tad pieprasa izpirkumu, ir kļuvuši par ļoti nopietnu kiberdrošības draudu. Šī taktika ir kļuvusi tik populāra, ka to pat varētu saukt par pandēmiju. Lietotāju skaits, kas cietuši no izspiedējvīrusu uzbrukumiem, ir ļoti augsts – 718 000 cietušie laikposmā no 2015. gada aprīļa līdz 2016. gada martam, kas ir 5,5 reizes lielāks skaits, ja salīdzināt ar to pašu periodu 2014.–2015. gadā.

Policija nespēj viena pati cīnīties ar kibernoziedzību vai pat atsevišķi tikai ar izspiedējvīrusu. Savukārt pētnieki nespēj efektīvi veikt savu zinātnisko darbību šajā jomā bez tiesībsargājošo institūciju atbalsta. Atbildību cīņā pret izspiedējvīrusu dalīti uzņemas policija, tieslietu ministrijas, Eiropols un IT drošības uzņēmumi, kas apvienojuši savus spēkus kopīgiem pūliņiem. Kopā mēs darīsim visu, kas ir mūsu spēkos, lai izjauktu noziedznieku naudas pelnīšanas shēmas un atgrieztu datus to likumīgajiem īpašniekiem tā, lai par to viņiem nenāktos maksāt ievērojamas naudas summas.

Vai manā valstī ir uzsākti līdzīgi projekti?

„No More Ransom” ir starptautiska iniciatīva, kas pierāda to, cik vērtīga ir valsts un privātā sektora sadarbība, kad nepieciešama nopietna rīcība pret kibernoziedzniekiem. Šī sadarbība sniedzas pāri ģeogrāfiskām robežām. Projekta galvenais mērķis ir dalīties ar zināšanām un izglītot lietotājus visā pasaulē par to, kā pasargāt sevi no izspiedējvīrusa uzbrukumiem. Mēs ticam, ka ar laiku projekts spēs vērst par labu zaudējumus, kas nodarīti izspiedējvīrusa uzbrukumu upuriem visā pasaulē. Atjaunojot cietušajiem piekļuvi savām sistēmām, mēs lietotājus iedrošinām, parādot tiem, ka ir iespēja pretrīkoties, tā vietā lai godalgotu noziedzniekus ar izpirkuma maksājumu.

Sākotnējā posmā vietnē tiks augšupielādēti četri atšifrēšanas rīki dažādiem ļaunprogrammatūras paveidiem. Visi rīki, kas pieejami tīmekļa vietnē, ir bezmaksas un darbosies ikvienam lietotājam jebkurā pasaules vietā, ja tas inficējies ar vietnē nodrošināto datorvīrusa risinājumu.