Ransomware Î&R

• 1989: Primul ransomware cunoscut, troianul SIDA din 1989 (cunoscut și sub denumirea de "PC Cyborg"), este scris de Joseph Popp
• 2005: În luna mai apare ransomware-ul de extorcare
• 2006: La mijlocul anului 2006, viermii, cum ar fi Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip și MayArchive, încep să utilizeze scheme RSA de criptare mai sofisticate, cu dimensiuni ale cheilor de decriptare tot mai mari
• 2011: Apare un vierme de tip ransomware care imită notificarea Windows Product Activation
• 2013: Un vierme ransomware care are la bază kitul de exploatare Stamp.EK și un vierme de ransomware specific Mac OS X ajung pe scena digitală. CryptoLocker a câștigat în jur de 5 milioane de dolari în ultimele patru luni ale anului
• 2015: Variante multiple pe mai multe platforme cauzează daune majore

Encryption Ransomware

• Criptează fișierele și folderele personale (documente, foi de calcul, imagini și videoclipuri).
• Fișierele afectate sunt șterse odată ce au fost criptate, iar utilizatorii primesc un fișier text cu instrucțiuni de plată în același folder în care se află și fișierele inaccesibile.
• S-ar putea să descoperi problema numai atunci când încerci să deschizi unul dintre aceste fișiere.
• Unele, dar nu toate tipurile de programe de criptare, arată un „ecran de blocare":

• 
• 
• 
• 

Lock Screen Ransomware — WinLocker

• Blochează ecranul computerului și solicită plata.
• Acesta prezintă o imagine pe tot ecranul care blochează toate celelalte ferestre.
• Nu sunt criptate fișierele personale.

• 

Master Boot Record (MBR) Ransomware

• Master Boot Record (MBR) este partea din hard disk-ul computerului care permite sistemului de operare să pornească.
• MBR ransomware modifică MBR-ul calculatorului, astfel încât procesul normal de pornire să fie întrerupt.
• În schimb, pe ecran este afișată o cerere de răscumpărare.

• 

Ransomware de criptare a serverelor web

• Acesta vizează serverele web și criptează un număr de fișiere de pe el.
• Vulnerabilitățile cunoscute în sistemele de gestionare a conținutului sunt adesea folosite pentru a implementa ransomware pe serviciile web.

• 

Mobile device ransomware (Android)

• Dispozitivele mobile (mai ales Android) pot fi infectate prin „descărcări drive-by".
• De asemenea, dispozitivele se pot infecta prin aplicații false care simulează servicii populare, cum ar fi Adobe Flash sau un produs antivirus.

• 

Plata răscumpărării nu este niciodată recomandată, în principal pentru că nu garantează o rezolvare a problemei. Există, de asemenea, o serie de probleme care pot apărea din greșeală. De exemplu, ar putea exista erori în malware-ul care fac ca datele criptate să nu poată fi recuperate chiar și cu cheia corectă.

În plus, în cazul în care răscumpărarea este plătită, infractorii cibernetici vor fi convinși de faptul că ransomware-ul este eficient. În consecință, infractorii cibernetici își vor continua activitatea și vor căuta noi modalități de a exploata sistemele pentru a orchestra mai multe atacuri și pentru a obține mai mulți bani în conturile lor.

Un atac ransomware este de obicei livrat printr-un fișier atașat unui e-mail, care ar putea fi un fișier executabil, o arhivă sau o imagine. Odată ce fișierul este deschis, malware-ul este lansat în sistemul utilizatorului. Infractorii cibernetici pot, de asemenea, să instaleze malware-ul pe site-uri web. Când un utilizator vizitează site-ul, fără să știe, malware-ul este lansat în sistem.

La început, infectarea nu este vizibilă pentru utilizator. Malware-ul funcționează silențios în fundal până când se instalează mecanismul de blocare a sistemului sau a datelor. Apoi apare o casetă de dialog care spune utilizatorului că datele au fost blocate și prin care i se cere o răscumpărare pentru a le debloca. Din acest moment este prea târziu să salveze datele prin orice măsuri de securitate.

Pentru mai multe informații, vizualizați videoclipul de mai jos:

Orice consumator și orice companie poate deveni o victimă a ransomware-ului. Infractorii cibernetici nu sunt selectivi și încearcă adesea să lovească cât mai mulți utilizatori pentru a obține cel mai mare profit.

Da, deoarece infractorii cibernetici știu că organizațiile sunt mai predispuse să plătească, dat fiind faptul că datele deținute sunt de obicei sensibile și vitale pentru continuitatea afacerii. În plus, uneori poate fi mai costisitor să restabilească copii de siguranță decât să plătească o răscumpărare.

Atacurile de tip ransomware sunt în creștere – acum există mai mult de 50 de familii ale acestui malware în circulație — și se dezvoltă repede. Cu fiecare variantă nouă, apare o criptare mai bună și noi caracteristici. Nu poți ignora acest tip de atac cibernetic!

Unul dintre motivele pentru care este atât de dificil să găsești o singură soluție se datorează faptului că criptarea în sine nu este periculoasă. Poate fi de fapt o îmbunătățire și multe programe o folosesc.

Primul crypto-malware a folosit un algoritm symmetric-key, cu aceeași cheie pentru criptare și decriptare. Informațiile afectate de acesta ar putea fi descifrate cu succes, cu ajutorul companiilor de securitate. De-a lungul timpului, infractorii cibernetici au început să implementeze algoritmi de criptografie asimetrică care utilizează două chei separate - una publică pentru criptarea fișierelor și una privată, care este necesară pentru decriptare.

Troianul CryptoLocker este unul dintre cele mai faimoase atacuri de tip ransomware. De asemenea, utilizează un algoritm cu cheie publică. Pe măsură ce fiecare computer este infectat, se conectează la serverul de comandă și control pentru a descărca cheia publică. Cheia privată este accesibilă numai infractorilor care au scris software-ul CryptoLocker. De obicei, victima nu are mai mult de 72 de ore să plătească răscumpărarea înainte de ștergerea definitivă a cheii private, iar după această perioadă, este imposibil de decriptat fișierul fără această cheie.

Mai întâi trebuie să te gândești la prevenire. Majoritatea software-urilor antivirus includ deja o componentă care ajută la identificarea unui ransomware în stadiile incipiente ale infectării, fără a surveni pierderea oricăror date sensibile. Este important ca utilizatorii să se asigure că această funcționalitate este activată în programul antivirus pe care îl utilizează.

Proiectul "No More Ransom" tocmai a început, dar colaborăm în mod continuu cu alte companii de securitate și cu agențiile de aplicare a legii pentru a identifica cât mai multe chei, pentru cât mai multe variante posibil. Dacă aveți anumite informații despre care credeți că pot ajuta, vă rugăm să le împărtășiți cu noi.

Crypto Sheriff este un instrument care este proiectat pentru a ne ajuta să definim tipul de ransomware care îți afectează dispozitivul. Acest lucru ne va permite să verificăm dacă există o soluție de decriptare disponibilă. Consultă videoclipul de mai jos pentru a vedea cum funcționează:

Este posibil. Uneori obținem doar un subset de chei, astfel că te rugăm să continui să verifici site-ul pentru actualizări.

Este posibil în următoarele cazuri:

• Autorii malware-ului au făcut o greșeală de implementare, făcând posibilă ruperea criptării. Acesta a fost cazul cu Petya ransomware și cu ransomware-ul CryptXXX.
• Autorii malware-ului regretă acțiunile lor și publică cheile sau cheia master, ca în cazul TeslaCrypt.
• Agențiile de aplicare a legii pun sechestru pe un server cu chei și le împărtășesc. Un astfel de exemplu este CoinVault.

De asemenea, uneori plata răscumpărării funcționează, dar nu există nicio garanție că plata va duce de fapt la decriptarea fișierelor. În plus, susțineți modelul de afaceri al infractorului și astfel sunteți în parte responsabil pentru faptul că tot mai mulți oameni devin victime ale acestui tip de atac.

Nu este un secret faptul că ransomware-ul care criptează datele și sistemele utilizatorilor și apoi cere o răscumpărare, a devenit o problemă enormă pentru securitatea cibernetică în ultimii ani. A devenit atât de răspândită încât poate fi ușor numită o epidemie. Numărul de utilizatori atacați cu ransomware crește, 718.000 de utilizatori fiind afectați între aprilie 2015 și martie 2016: o creștere de 5,5 ori față de aceeași perioadă din 2014-2015.

Poliția nu poate lupta împotriva criminalității cibernetice, în special împotriva atacurilor ransomware, singură. Nici cercetătorii din domeniul securității nu pot face acest lucru fără sprijinul agențiilor de aplicare a legii. Responsabilitatea pentru lupta împotriva ransomware-ului este împărțită între poliție, departamentul de justiție, Europol și companiile de securitate IT și necesită un efort comun. Împreună vom face tot ce ne stă în putință pentru a destabiliza activitățile producătoare de bani ale infractorilor și pentru a returna fișierele proprietarilor lor de drept, fără ca aceștia din urmă să fie nevoiți să plătească o sumă de bani.

„No More Ransom” este o inițiativă internațională care demonstrează valoarea parteneriatului public-privat atunci când se iau măsuri împotriva criminalității informatice. Această colaborare depășește granițele geografice. Scopul principal al proiectului este de a împărtăși cunoștințele și de a educa utilizatorii din întreaga lume cu privire la modul de prevenire a atacurilor ransomware. Credem că, în cele din urmă, inițiativa noastră va conduce la repararea daunelor cauzate victimelor din întreaga lume. Prin restabilirea accesului la sistemele lor, îi încurajăm pe utilizatori, arătându-le că pot lua măsuri și pot evita plata răscumpărării.

În stadiul lui inițial, portalul conține patru instrumente de decriptare pentru diferite tipuri de programe malware. Toate instrumentele disponibile pe site sunt gratuite și vor funcționa pentru orice utilizator infectat cu un tip de ransomware precizat pe website- indiferent unde se află în lume.