Soalan Lazim Perisian Tebusan (Ransomware)

Sejarah perisian tebusan

1989: Perisian tebusan pertama diketahui, 1989 AIDS Trojan (juga dikenali sebagai «PC Cyborg»), ditulis oleh Joseph Popp
2005: Pada bulan Mei, perisian tebusan pemerasan muncul
2006: Menjelang pertengahan tahun 2006, cecacing seperti Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, dan MayArchive mula menggunakan skim penyulitan RSA yang lebih canggih, dengan saiz kunci yang meningkat secara berterusan
2011: Cecacing perisian tebusan yang meniru notis Pengaktifan Produk Windows muncul
2013: Cecacing perisian tebusan berdasarkan kit eksploit Stamp.EK muncul dan cecacing perisian tebusan khusus Mac OS X menyertai kumpulan perisian itu. CryptoLocker memperoleh kira-kira $5 uta dalam masa empat bulan terakhir tahun itu
2015: Pelbagai varians di pelbagai platform telah menyebabkan kerosakan besar

Jenis perisian tebusan

  • Penyulitan Perisian Tebusan

Perisian ini menyulitkan fail dan folder peribadi (dokumen, hamparan, gambar dan video).

Fail yang dijangkiti dipadam setelah disulitkan, dan pengguna secara umumnya mendapat fail teks dengan arahan untuk membuat pembayaran dalam folder yang sama dengan fail yang kini tidak dapat diakses.

Anda mungkin menemui masalah itu hanya apabila anda mencuba untuk membuka salah satu fail ini.

Sesetengahnya, tetapi bukan semua jenis perisian penyulitan menunjukkan ‘skrin kunci’:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Perisian Tebusan Skin Kunci — WinLocker

Perisian ini mengunci skrin komputer dan meminta bayaran.

Ia menunjukkan imej skrin penuh yang menyekat semua tetingkap lain.

Tiada fail peribadi yang disulitkan.

Polyransom2

  • Perisian Tebusan Master Boot Record (MBR)

Master Boot Record (MBR) adalah bahagian pemacu keras komputer yang membolehkan sistem pengendalian untuk mengebut.

Perisian tebusan MBR menukar MBR komputer agar proses but yang biasa itu terganggu.

Sebaliknya, tuntutan tebusan dipaparkan pada skrin.

Master-Boot.jpg

  • Perisian tebusan menyulitkan pelayan web

Ia menyasarkan pelayan web dan menyulitkan beberapa fail padanya.

Kerentanan yang diketahui dalam Sistem Pengurusan Kandungan sering digunakan untuk mengerahkan perisian tebusan pada perkhidmatan web.

Ransomware encrypting web servers

  • Perisian tebusan peranti mudah alih (Android)

Peranti mudah alih (kebanyakannya Android) boleh dijangkiti melalui “muat turun pandu lalu”.

Peranti itu juga boleh dijangkiti melalui apl palsu yang menyamar sebagai perkhidmatan popular seperti Adobe Flash atau produk antivirus.

Mobile Ransomware

Jika diserang, patutkah saya membayar tebusan itu?

Membayar tebusan adalah tindakan yang tidak sekali-kali disyorkan, kerana pembayaran itu tidak menjaminkan penyelesaian kepada masalah tersebut. Terdapat juga beberapa isu yang boleh mengalami kesulitan secara tidak sengaja. Sebagai contoh, mungkin terdapat pepijat dalam perisian hasad yang menjadikan data yang disulitkan itu tidak dapat dipulihkan semula meskipun dengan menggunakan kunci yang betul.

Selain itu, jika tebusan itu dibayar, itu membuktikan kepada penjenayah siber bahawa perisian tebusan itu berkesan. Akibatnya, penjenayah siber akan meneruskan aktiviti mereka dan mencari cara baharu untuk mengeksploit sistem yang menyebabkan lebih baik jangkitan dan lebih banyak wang dalam akaun mereka.

Bagaimanakah serangan perisian tebusan itu berfungsi?

Serangan perisian tebusan biasanya dihantar melalui lampiran e-mel yang boleh jadi dalam bentuk fail boleh laku, arkib atau imej. Setelah lampiran itu dibuka, perisian hasad akan dilepaskan ke dalam sistem pengguna. Penjenayah siber boleh juga memasukkan perisian hasad pada laman web. Apabila pengguna melungsuri laman tanpa disedarinya, perisian hasad dilepaskan ke dalam sistem.

Jangkitan itu tidak segera diketahui oleh pengguna. Perisian hasad beroperasi secara senyap di latar belakang sehingga sistem atau mekanisme penguncian data dikerahkan. Kemudian kotak dialog muncul yang memberitahu pengguna bahawa datanya telah dikunci dan menuntut wang tebusan untuk membuka kuncinya semula.  Pada ketika sudah terlambat untuk menyelamatkan data melalui sebarang langkah keselamatan.

Untuk mendapatkan maklumat lanjut, sila tonton video di bawah:

Siapakah mangsa perisian tebusan?

Mana-mana pengguna dan mana-mana perniagaan boleh menjai mangsa perisian tebusan? Penjenayah siber tidak memilih, dan seringkali berusaha untuk mengenakan sebanyak pengguna yang mungkin untuk mendapatkan keuntungan yang tertinggi.

Adakah serangan perisian tebusan terhadap perniagaan semakin meningkat?

Ya, sebab penjenayah siber tahu bahawa organisasi lebih berkemungkinan untuk membayar kerana data yang ditahan biasanya adalah data sensitif dan penting untuk kesinambungan perniagaan. Selain itu, kadangkala adalah lebih mahal untuk memulihkan sandaran daripada membayar tebusan.

Mengapakah amat sukar untuk mencari penyelesaian tunggal terhadap perisian tebusan?

Perisian hasad semakin meningkat – kini terdapat lebih daripada 50 keluarga perisian hasad ini yang sedang beredar — dan perisian ini cepat berkembang. Dengan setiap varian yang baru, tercipta juga penyulitan yang lebih baik dan ciri yang baharu. Ini bukan sesuatu yang boleh anda abaikan!

Salah satu sebab mengapa sukar untuk mencari penyelesaian tunggal adalah kerana penyulitan itu sendiri tidak berniat jahat. Alat penyulitan itu sebenarnya adalah pembangunan yang baik dan banyak program yang tidak berbahaya menggunakannya.

Perisian hasad kripto pertama menggunakan algoritma kunci simetri dengan kunci yang sama untuk penyulitan dan penyahsulitan. Maklumat yang rosak biasanya boleh berjaya ditafsirkan dengan bantuan syarikat keselamatan. Semakin lama, penjenayah siber mula melaksanakan algoritma kriptografi asimetri yang menggunakan dua kunci berasingan — kunci awam untuk menyulitkan fail, dan kunci peribadi, yang diperlukan untuk penyahsulitan.

CryptoLocker Trojan adalah salah satu daripada cebisan perisian tebusan yang sangat terkenal. Ia juga menggunakan algoritma kunci awam. Apabila setiap komputer dijangkiti, ia enyambung kepada pelayan perintah-dan-kawal untuk memuatkan kunci awam. Kunci awam boleh diakses hanya kepada penjenayah yang menulis perisian CryptoLocker. Biasanya, mangsa mempunyai tidak lebih dari 72 jam untuk membayar tebusan itu sebelum kunci peribadi mereka dipadamkan buat selama-lamanya, dan apa-apapun fail mustahil dapat dinyahsulitkan tanpa kunci ini.

Jada anda perlu memikirkan tentang pencegahan dahulu. Kebanyakan perisian antivirus sudah memasukkan komponen yang membantu mengenal pasti ancaman perisian tebusan pada peringkat awal jangkitan, tanpa menyebabkan kehilangan sebarang data yang sensitif. Pengguna perlu memastikan bahawa kefungsian ini dihidupkan dalam penyelesaian antivirus mereka.

Apakah kemungkinannya anda boleh membantu mangsa perisian tebusan untuk mendapatkan kembali akses kepada fail mereka?

Projek “No More Ransom” baru sahaja bermula, tetapi kami telah berusaha secara berterusan dengan syarikat keselamatan lain dan agensi penguatkuasaan undang-undang untuk mengenal pasti sebanyak mana kunci yang mungkin, untuk sebanyak mana varian yang mungkin.  Jika anda mempunyai apa-apa maklumat yang anda fikir boleh membantu, sila kongsikannya dengan kami.

Apakah itu Crypto Sheriff dan bagaimanakah boleh saya menggunakannya?

Crypto Sheriff ialah alat yang direka khusus untuk membantu kami menentukan jenis perisian tebusan yang menjejaskan peranti anda. Ini akan membolehkan kami memeriksa sama ada terdapat penyelesaian penyulitan yang tersedia. Sila tonton video di bawah untuk melihat sama ada penyelesaian itu berkesan:

Alat penyulitan anda tidak berkesan, meskipun saya pasti saya telah menggunakan alat yang betul - mengapa?

Ini boleh jadi. Kadangkala kami hanya menggunakan subset kunci tersebut, jadi sila teruskan melungsurii laman web itu.

Bilakah fail yang telah disulitkan oleh perisian tebusan itu boleh dinyahsulitkan?

Tindakan itu dapat dilakukan dalam kes yang berikut:

  • Pengarang perisian hasad membuat kesilapan pelaksanaan, menjadikan penyulitan itu dapat dipecahkan. Itulah keadaannya dengan perisian tebusan Petya dan dengan perisian tebusan CryptXXX .
  • Pengarang perisian hasad berasa bersalah atas perbuatan mereka dan telah menerbitkan kuncinya, atau kunci induk, seperti dalam kes TeslaCrypt.
  • Agensi penguatkuasaan undang-undang telah merampas pelayan yang mengandungi kunci padanya dan telah dikongsikan kunci tersebut. Salah satu contohnya ialah CoinVault.


Kadangkala membayar tebusan juga berkesan, tetapi tiada jaminan bahawa fail anda akan benar-benar dinyahsulitkan dengan membuat bayaran. Selain itu, anda menyokong model perniagaan penjenayah dan oleh itu sebahagiannya bertanggungjawab ke atas semakin ramai orang yang dijangkiti dengan perisian tebusan

Mengapakah anda memutuskan untuk memulakan inisiatif No More Ransom?

Tiada rahsia lagi bahawa perisian tebusan, yang menyulitkan data pada sistem pengguna dan kemudiannya menuntut tebusan, telah menjadi masalah besar untuk keselamatan siber sejak beberapa tahun yang lalu. Keadaan ini telah tersebar luas sehingga boleh dikatakan telah berlaku epidemik. Bilangan pengguna yang diserang dengan perisian tebusan semakin meningkat, dengan 718,000 pengguna yang dijangkiti antara bulan April 2015 dan Mac 2016: peningkatan sebanyak 5.5 kali ganda berbanding tempoh yang sama dalam tahun 2014-2015.

Pihak polis tidak dapat membanteras jenayah siber, dan perisian tebusan terutamanya, tanpa bantuan. Dan penyelidik keselamatan tidak dapat melakukannya tanpa sokongan daripada agensi penguatkuasaan undang-undang. Tanggungjawab untuk membanteras perisian tebusan telah dikongsi antara polis, jabatan keadilan, Europol dan syarikat keselamatan IT, dan memerlukan usaha bersama. Bersama-sama kita boleh lakukan apa-apa sajaya yang terdaya untuk mematahkan skim membuat wang penjenayah dan mengembalikan fail kepada pemilik asalnya, tanpa beliau perlu membayar wang yang banyak.

Adakah terdapat sebarang inisiatif yang serupa di negara saya?

No More Ransom ialah inisiatif antarabangsa yang menunjukkan nilai kerjasama awam-peribadi semasa mengambil tindakan serius terhadap jenayah siber. Kerjasama ini menjangkaui lebih daripada sempadan geografi. Tujuan utama projek ini adalah untuk berkongsi pengetahuan dan mendidik pengguna di seluruh dunia tentang cara mengelakkan serangan perisian tebusan. Kami percaya bahawa usaha ini akhirnya akan menyebabkan sokongan untuk membaiki kerosakan yang berlaku kepada mangsa di serata dunia. Dengan memulihkan akses kepada sistem mereka, kami memberi kuasa kepada pengguna dengan menunjukkan kepada mereka bahawa mereka boleh mengambil tindakan dan mengelakkan daripada memberi ganjaran kepada penjenayah dengan bayaran tebusan.

Pada peringkat awalnya, portal ini mengandungi empat alatan penyahsulitanuntuk jenis perisian hasad yang berbeza. Semua alatan yang tersedia pada laman web adalah percuma, dan alatan itu berkesan untuk mana-mana pengguna yang dijangkiti dengan ancaman yang disebutkan di laman web itu - tanpa mengira lokasi ancaman itu di dalam dunia.