Ransomware: otázky a odpovede

• 1989: Prvý známy ransomware, trójsky kôň AIDS z roku 1989 (tiež známy ako „PC Cyborg“) napísaný Josephom Poppom
• 2005: v máji sa objavuje vydieračský ransomware
• 2006: Do polovice roku 2006 červy ako Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip a MayArchive začínajú používa sofistikovanejšie šifrovacie schémy RSA s neustále sa zväčšujúcou veľkosťou kľúčov
• 2011: Objavuje sa červ ransomwaru napodobňujúci upozornenie o aktivácii produktu Windows
• 2013: Červ ransomwaru založený na exploit kite Stamp.EK sa upravuje a na scénu prichádza Mac OS X-špecifický červ. CryptoLocker za posledné štyri mesiace roka vylákal cca 5 miliónov USD
• 2015: Viaceré varianty na viacerých platformách spôsobujú veľké škody

Šifrovací ransomware

• Šifruje osobné súbory a adresáre (dokumenty, tabuľky, obrázky a videá).
• Ovplyvnené súbory sa po zašifrovaní odstránia a používatelia sa zvyčajne stretnú s textovým súborom s pokynmi na platbu, ktorý je umiestnený v rovnakom adresári ako súbory, ktoré sú teraz neprístupné.
• Problém môžete zistiť iba ak sa pokúsite otvoriť jeden z týchto súborov.
• Niektoré, ale nie všetky typy šifrovacieho softwaru, zobrazia "uzamknutú obrazovku":

• 
• 
• 
• 

Ransomware uzamykajúci obrazovku — WinLocker

• Zamkne obrazovku počítača a požaduje platbu.
• Predstavuje obraz na celú obrazovku, ktorý blokuje všetky ostatné okná.
• Žiadne osobné súbory nie sú šifrované.

• 

Master Boot Record (MBR) Ransomware

• Master Boot Record (MBR) je časť pevného disku počítača, ktorý umožňuje zavedenie operačného systému.
• MBR ransomware zmení MBR počítača tak, aby bol prerušený normálny proces zavádzania.
• Namiesto toho sa na obrazovke zobrazí výzva na zaplatenie výkupného.

• 

Ransomware šifrujúci webové servery

• Zameriava sa na webové servery a šifruje na nich množstvo súborov.
• Známe zraniteľnosti v systémoch na správu obsahu sa často používajú na nasadenie ransomwaru do webových služieb.

• 

Ransomware pre mobilné zariadenie (Android)

• Mobilné zariadenia (väčšinou Android) je možné infikovať prostredníctvom “drive-by downloads”.
• Môžu sa tiež nakaziť pomocou falošných aplikácií, ktoré sa vydávajú za populárne služby ako sú Adobe Flash alebo antivírusový produkt.

• 

Zaplatenie výkupného sa nikdy neodporúča hlavne preto, že nezaručuje riešenie problému. Množstvo vecí sa môžu náhodne pokaziť. Napríklad v malwari môžu byť chyby, vďaka ktorým sú šifrované dáta neobnoviteľné dokonca aj pomocou správneho kľúča.

Naviac, ak je výkupné zaplatené, kyberzločincom to ukáže, že ransomware je efektívny. Vďaka tomu budú pokračovať vo svojej činnosti a hľadať nové spôsoby ako preniknúť do systémov, čo vedie k väčšiemu množstvu infekcií a väčšiemu množstvu peňazí na ich účtoch.

Útok ransomwaru sa zvyčajne uskutočňuje prostredníctvom e-mailovej prílohy, ktorou môže byť spustiteľný súbor, archív alebo obrázok. Po otvorení prílohy sa malware uvoľní do systému používateľa. Kyberzločinci môžu malware tiež umiestniť na webové stránky. Keď používateľ nevedome navštívi stránku, malware vnikne do systému.

Infekcia nie je používateľovi zjavná okamžite. Malware pracuje v tichosti na pozadí, kým systém alebo mechanizmus uzamknutia dát nedokončí svoju prácu. Potom sa zobrazí dialógové okno, ktoré používateľa informuje, že údaje boli uzamknuté a požaduje výkupné za ich opätovné odomknutie. V tú chvíľu je už neskoro na ukladanie dát pomocou akýchkoľvek bezpečnostných opatrení.

Viac informácií nájdete vo videu nižšie:

Obeťou ransomwaru sa môže stať každý spotrebiteľ a každá firma. Kybernetickí zločinci nie sú vyberaví a často sa snažia zasiahnuť čo najväčší počet používateľov, aby získali čo najvyšší zisk.

Áno, pretože kyberzločinci vedia, že organizácie platia s väčšou pravdepodobnosťou, pretože šifrované dáta sú zvyčajne citlivé a životne dôležité pre kontinuitu podnikania. Naviac, niekedy môže byť drahšie obnoviť dáta zo záloha ako zaplatiť výkupné.

Ransomware je na vzostupe - v súčasnosti je v obehu viac ako 50 rodín tohto škodlivého softwaru - a toto číslo rýchlo narastá. S každým novým variantom prichádza kvalitnejšie šifrovanie a nové funkcie. To nie je niečo, čo môžete ignorovať!

Jedným z dôvodov, prečo je tak zložité nájsť jediné riešenie je skutočnosť, že samotné šifrovanie nie je škodlivé. V skutočnosti sa jedná o dobrý vynález a využíva ho mnoho benígnych programov.

Prvý krypto-malware používal algoritmus symetrického šifrovania s rovnakým kľúčom na šifrovanie a dešifrovanie. Poškodené informácie sa zvyčajne dali úspešne dešifrovať pomocou bezpečnostných spoločností. Kybernetickí zločinci začali časom implementovať asymetrické kryptografické algoritmy, ktoré používajú dva samostatné kľúče - verejný na šifrovanie súborov a súkromný, ktorý je potrebný na dešifrovanie.

Trojan CryptoLocker je jedným z najslávnejších ransomwarov. Používa tiež algoritmus verejného kľúča. Každý infikovaný počítač sa pripojí k riadiaco-kontrolnému serveru, aby si stiahol verejný kľúč. Súkromný kľúč je prístupný iba zločincom, ktorí napísali software CryptoLocker. Obeť má na zaplatenie výkupného zvyčajne menej ako 72 hodín, inak je jeho súkromný kľúč navždy odstránený. A bez tohto kľúča nie je možné dešifrovať žiadne súbory.

Najskôr teda musíte myslieť na prevenciu. Väčšina antivírusových sotwarov už obsahuje komponent, ktorý pomáha identifikovať ransomwarovú hrozbu v počiatočných štádiách infekcie bez toho, aby došlo k strate citlivých údajov. Je dôležité, aby používatelia zabezpečili zapnutie tejto funkcie vo svojom antivírusovom riešení.

Projekt “No More Ransom” práve začal, ale priebežne spolupracujeme s ďalšími bezpečnostnými spoločnosťami a orgánmi činnými v trestnom konaní, aby sme identifikovali čo najviac kľúčov pre čo najväčší počet variantov. Ak máte nejaké informácie, o ktorých si myslíte, že môžu pomôcť, prosím podeľte sa o ne s nami.

Krypto šerif je nástroj, ktorý pomáha určiť typ ransomwaru, ktorý napadol Vaše zariadenie. Toto nám umožní skontrolovať, či je k dispozícii dešifrovacie riešenie. Ako funguje, nájdete vo videu nižšie:

To je možné. Niekedy dostaneme iba podmnožinu kľúčov, takže webovú stránku naďalej kontrolujte.

Je to možné v nasledujúcich prípadoch:

• Autori malwaru urobili chybu v implementácii, vďaka čomu bolo šifrovanie možné prelomiť. To bol prípad ransomwaru Petya a ransomwaru CryptXXX.
• Autori malware ľutujú svoje konanie a zverejňujú kľúče alebo "hlavný kľúč", ako v prípade TeslaCrypt.
• Orgány činné v trestnom konaní zaistia server s kľúčmi a zdieľajú ich. Jedným z takých príkladov je CoinVault.

V niektorých prípadoch môže zaplatenie výkupného pomôcť, ale neexistuje záruka, že skutočne povedie k dešifrovaniu Vašich súborov. Okrem toho podporujete obchodný model zločinca a teda čiastočne nesiete zodpovednosť za to, že sa čoraz viac ľudí nakazí ransomwarom.

Nie je žiadnym tajomstvom, že ransomware, ktorý šifruje dáta na používateľských systémoch a následne požadujúci výkupné, sa za posledných pár rokov stal obrovským problémom pre kybernetickú bezpečnosť. Stal sa tak rozšíreným, že by sa dal ľahko nazvať epidémiou. Počet používateľov napadnutých ransomwarom prudko narastá, medzi aprílom 2015 a marcom 2016 bolo zasiahnutých 718 000 používateľov: ide o 5,5 násobný nárast oproti rovnakému obdobiu v rokoch 2014-2015.

Polícia nemôže bojovať proti kybernetickej kriminalite a predovšetkým proti ransomwaru sama. A bezpečnostní vývojári to nemôžu robiť bez podpory orgánov činných v trestnom konaní. Zodpovednosť za boj proti ransomware je zdieľaná medzi políciou, justíciou, Europolom a IT bezpečnostnými spoločnosťami a vyžaduje spoločné úsilie. Spolu urobíme všetko, čo je v našich silách, aby sme narušili finančné schémy zločincov a vrátili súbory ich právoplatným vlastníkom bez nutnosti toho, aby museli platiť množstvo peňazí.

"No More Ransom" je medzinárodná iniciatíva, ktorá poukazuje na význam spolupráce medzi verejným a súkromným sektorom v boji proti závažnej kybernetickej kriminalite. Táto spolupráca prekračuje geografické hranice. Hlavným cieľom projektu je zdieľať znalosti a vzdelávať používateľov na celom svete o tom, ako predchádzať útokom ransomwaru. Veríme, že to nakoniec povedie k podpore nápravy škôd spôsobených obetiam na celom svete. Obnovením prístupu k ich systémom ukazujeme používateľom, že môžu konať a vyhnúť sa tak odmeňovaniu zločincov zaplatením výkupného.

Vo svojej úvodnej fáze portál obsahuje štyri dešifrovacie nástroje pre rôzne typy malwaru. Všetky nástroje dostupné na webovej stránke sú zadarmo a fungujú pre všetkých užívateľov infikovaných hrozbou spomenutej na webovej stránke bez ohľadu na to, kde na svete sa nachádzajú.