Ransomware: FAQ

Historia oprogramowania typu ransomware

1986: Powstał pierwszy na świecie ransomware. W 1989 Joseph Popp napisał trojana "AIDS" (znanego również jako "PC Cyborg")
2005: W maju powstał pierwszy ransomware wymuszający okup
2006: W połowie 2006 roku robaki takie jak Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip i MayArchive zaczęły wykorzystywać szyfrowanie asymetryczne RSA z coraz większym rozmiarem klucza
2011: W Internecie zaczął rozprzestrzeniać się robak szyfrujący pliki, imitujący Aktywację Produktu Windows
2013: Pojawił się robak dystrybuowany za pośrednictwem exploit kita Stamp.EK, wycelowany w system Mac OS X. CryptoLocker zapewnił przestępcom przychód w wysokości 5 milionów dolarów w ciągu ostatnich czterech miesięcy 2013 roku
2015: Wiele wariantów ransomware'u wycelowanych w różne platformy wyrządza istotne szkody

Rodzaje ransomware'u

  • Ransomware szyfrujący dane

Szyfruje pliki i foldery znajdujące się na komputerze (dokumenty, arkusze kalkulacyjne, zdjęcia i pliki wideo).

Oryginalne pliki zostają usunięte zaraz po zaszyfrowaniu, a użytkownicy otrzymują plik tekstowy z instrukcjami na temat płatności, umieszczony w tym samym folderze co pliki, do których utracili dostęp.

O problemie możesz dowiedzieć się dopiero, gdy spróbujesz otworzyć jeden z tych plików.

Niektóre, ale nie wszystkie rodzaje ransomware, wyświetlają "ekran blokady":

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Ransomware blokujący ekran

Blokuje ekran komputera i żąda okupu.

Wyświetla obraz na pełnym ekranie i blokuje dostęp do pozostałych okien.

Żadne pliki nie zostają zaszyfrowane.

Polyransom2

  • Ransomware sektora rozruchowego (MBR)

Główny sektor rozruchowy (Master Boot Record) jest częścią dysku twardego komputera, który pozwala na uruchomienie systemu operacyjnego.

Ransomware MBR zmienia sektor MBR komputera w taki sposób, że proces uruchamiania systemu zostaje przerwany.

Zamiast tego, na ekranie wyświetlane jest żądanie okupu.

Master-Boot.jpg

  • Ransomware szyfrujący dane na web-serwerach

Celuje w serwery usług webowych, na których szyfruje pliki.

Do instalacji złośliwego oprogramowania na stronach internetowych, często wykorzystywane są znane podatności w systemach zarządzania treścią (CMS).

Ransomware encrypting web servers

  • Ransomware na urządzenia mobilne (Android)

Urządzenia mobilne (głównie Android) mogą być zainfekowane metodą "drive-by download".

Oprócz tego mogą zostać zainfekowane przez fałszywe aplikacje, które udają popularne usługi, takie jak Adobe Flash czy oprogramowanie antywirusowe.

Mobile Ransomware

Jeśli zostałem zaszyfrowany, czy powinienem zapłacić okup?

Płacenie okupu nigdy nie jest zalecane, ponieważ nie gwarantuje odszyfrowania plików. Istnieje również szereg problemów, które mogą wyjść na jaw przypadkiem. Na przykład złośliwe oprogramowanie może zawierać błędy, które sprawią, że pliki są nie do odzyskania, pomimo otrzymania prawidłowego klucza.

W dodatku, opłacenie okupu utwierdza przestępców w przekonaniu, że ich ransomware działa. W rezultacie cyberprzestępcy kontynuują swoją działalność, szukając nowych metod atakowania systemów. To skutkuje większą liczbą infekcji oraz większą kwotą na ich kontach bankowych.

Jak działa oprogramowanie typu ransomware?

Złośliwe oprogramowanie typu ransomware jest zazwyczaj dostarczane jako załącznik, którym może być plik wykonywalny, archiwum lub obrazek. W momencie, gdy załącznik zostaje otwarty, złośliwe oprogramowanie zostaje zainstalowane na komputerze użytkownika. Cyberprzestępcy umieszczają również oprogramowanie na stronach internetowych. W momencie, gdy użytkownik odwiedzi taką stronę, złośliwe oprogramowanie infekuje system operacyjny.

Infekcja nie jest widoczna dla użytkownika natychmiast. Złośliwe oprogramowanie działa po cichu w tle, dopóki nie zostanie uruchomiony mechanizm blokujący dostęp do danych. Wtedy dopiero wyświetla się okno dialogowe, które informuje użytkownika, że jego dane zostały zaszyfrowane i program żąda okupu w zamian za ich odblokowanie. Często jest to moment, w którym jest już za późno, by ocalić dane, bez względu na zastosowane środki bezpieczeństwa.

Aby dowiedzieć się więcej, obejrzyj film znajdujący się poniżej:

Kim są ofiary oprogramowania ransomware?

Ofiarą ransomware'u może zostać dowolny konsument czy biznes. Cyberprzestępcy nie wybierają ofiar i najczęściej chcą uderzyć w możliwie jak największą liczbę użytkowników, aby uzyskać największy zarobek.

Czy ataki ransomware wycelowane w biznes są coraz częstsze?

Tak. Cyberprzestępcy wiedzą, że firmy są częściej skłonne do płacenia okup, ponieważ zablokowane dane są zazwyczaj wrażliwe i mają kluczowe znaczenie dla ciągłości działalności. Ponadto czasami przywracanie kopii zapasowych może być dla firmy droższe niż płacenie okupu.

Dlaczego tak trudno przeciwdziałać oprogramowaniu typu ransomware?

Ransomware nieustannie się rozwija. Obecnie w obiegu jest więcej niż 50 rodzin, a oprogramowanie ewoluuje bardzo szybko. Każdy kolejny wariant posiada coraz lepsze szyfrowanie i nowe funkcjonalności. Ransomware nie jest zjawiskiem, które można zignorować!

Jednym z powodów, dla których tak ciężko jest znaleźć jedno rozwiązanie tego problemu, jest fakt, że szyfrowanie samo w sobie nie jest złośliwe. Wiele pożytecznych programów również je wykorzystuje i zazwyczaj jest to pożądana funkcjonalność.

Pierwszy krypto-malware wykorzystywał szyfrowanie symetryczne, z tym samym kluczem dla szyfrowania i deszyfrowania. Zniszczone informacje zazwyczaj można było skutecznie odzyskać z pomocą firm zajmujących się bezpieczeństwem IT. Z czasem cyberprzestępcy zaczęli implementować kryptografię asymetryczną, która wykorzystuje dwa oddzielne klucze - publiczny do szyfrowania i prywatny, który jest potrzebny do odszyfrowania.

Trojan CryptoLocker był jedną z najbardziej znanych rodzin złośliwego oprogramowania typu ransomware. Szyfrowanie również oparte było na kryptografii klucza publicznego. Każdy zainfekowany komputer łączył się z serwerem command-and-control (C&C), aby pobrać klucz publiczny. Klucz prywatny był dostępny tylko dla przestępców, którzy byli autorami oprogramowania CryptoLocker. Zazwyczaj ofiara miała tylko 72 godziny na zapłacenie okupu - po tym czasie klucz prywatny był usuwany, co niwelowało szanse na odzyskanie plików.

Z tego względu powinniśmy skupić się przede wszystkim na zapobieganiu. Większość programów antywirusowych zawiera moduł, który pomaga zidentyfikować ransomware odpowiednio wcześnie, zapobiegając utracie wrażliwych danych. Warto zadbać, aby użytkownicy mieli włączoną tego typu funkcję w ustawieniach oprogramowania antywirusowego.

Jakie są szanse, że pomożecie ofiarom odzyskać dostęp do ich plików?

Projekt "No More Ransom" dopiero się rozpoczął, ale już teraz, współpracując z firmami IT security i organami ścigania, staramy się pozyskać możliwie największą liczbę kluczy dla jak największej liczby rodzin ransomware. Jeśli posiadasz informacje, które mogłyby nam w tym pomóc, podziel się z nami.

Czym jest Crypto Sheriff i jak mogę go użyć?

Crypto Sheriff jest narzędziem, które pomaga określić jakiego typu złośliwe oprogramowanie zainfekowało Twoje urządzenie. Dzięki temu jesteśmy w stanie sprawdzić czy możemy zdeszyfrować Twoje pliki. Aby dowiedzieć się w jaki sposób działa, obejrzyj film znajdujący się poniżej:

Narzędzie deszyfrujące nie działa, a jestem pewien, że wybrałem je prawidłowo – dlaczego?

Niestety, jest to możliwe. Czasem dla danej rodziny posiadamy wyłącznie pewien podzbiór kluczy deszyfrujących. Mimo to, warto regularnie sprawdzać naszą stronę, ponieważ w każdej chwili zbiór kluczy może zostać uzupełniony.

Kiedy można odszyfrować pliki zaszyfrowane przez ransomware?

Jest to możliwe w następujących przypadkach:

  • Autorzy złośliwego oprogramowania popełnili błąd w implementacji szyfrowania, który umożliwia złamanie klucza. Tak było m.in. w przypadku ransomware'u Petya i CryptXXX.
  • Cyberprzestępcy żałują wyrządzonych szkód i publikują klucze lub tzw. master key, który umożliwia odszyfrowanie danych, tak jak przypadku oprogramowania TeslaCrypt.
  • Organy ścigania przejmują serwer zawierający klucze i udostępniają je poszkodowanym. Przykładem tego typu sytuacji jest oprogramowanie CoinVault.


Czasami zapłata okupu działa, ale nie ma gwarancji, że wpłacenie środków doprowadzi do skutecznego odszyfrowania plików. Co więcej, opłacając okup, wspierasz działalność przestępczą i stajesz się częściowo odpowiedzialny za ataki, które prowadzą do zainfekowania coraz większej liczby ofiar.

Dlaczego zdecydowaliście się na uruchomienie inicjatywy "No More Ransom"?

Nie jest tajemnicą, że ransomware, który szyfruje dane i w zamian za dostęp do nich wymaga okupu, w ciągu ostatnich kilku lat stał się ogromnym problemem dla cyberbezpieczeństwa. Infekcje stały się na tyle rozpowszechnione, że bez wątpienia można nazwać je epidemią. Liczba użytkowników zaatakowanych przez ransomware jest zastraszająca - od kwietnia 2015 do marca 2016 roku zainfekowanych zostało 718 tysięcy użytkowników. To pięć i pół raza więcej infekcji niż w tym samym okresie w latach 2014-2015.

Policja nie może walczyć z cyberprzestępcami i ransomwarem samodzielnie. Specjaliści od cyberbezpieczeństwa również nie mogą tego dokonać bez wsparcia organów ścigania. Przeciwdziałanie tego rodzaju atakom wymaga współnego wysiłku, a odpowiedzialność spoczywa zarówno na policji, jak i organach sprawiedliwości, Europolu czy firmach zajmujących się bezpieczeństwem IT. Razem możemy zrobić wszystko, co w naszej mocy, aby przeciwdziałać przestępstwom, zarabianiu pieniędzy z użyciem tego rodzaju środków i umożliwić przywrócenie dostępu do plików ich właścicielom, bez konieczności wydawania pieniędzy.

Czy istnieją podobne projekty, które działają w moim kraju?

"No More Ransom" jest międzynarodową inicjatywą, która pokazuje wartość współpracy między podmiotami prywatnymi i publicznymi przy zwalczaniu cyberprzestępczości. Współpraca ta wykracza poza podział geograficzny. Głównym celem projektu jest wymiana wiedzy i edukacja użytkowników na całym świecie na temat tego, w jaki sposób zapobiegać atakom ransomware. Wierzymy, że będzie to istotnym wsparciem przy naprawianiu szkód wyrządzonych ofiarom z całego świata. Przy odzyskiwaniu dostępu do systemów, wzmacniamy użytkowników, pokazując im, że są w stanie przeciwdziałać atakom bez konieczności płacenia okupu.

Na samym początku portal zawierał cztery narzędzia deszyfrujące dla różnych rodzajów złośliwego oprogramowania. Wszystkie narzędzia dostępne na stronie są darmowe i zadziałają dla każdego użytkownika zainfekowanego przez dane zagrożenie - bez względu na to z jakiej części świata pochodzi.