Ransomware: otázky a odpovede

História ransomwaru

1989: prvý známy ransomware, 1989 Trojan AIDS (tiež známy ako «PC Cyborg»), je vytvorený Josephom Poppom
2005: v máji sa objavuje vydieračský ransomware
2006: do polovice roka 2006, červy ako Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, a MayArchive začínajú používať viac sofistikované RSA šifrovacie algoritmy s neustále rastúcimi veľkosťami kľúčov
2011: objavuje sa ransomware napodobňujúci oznámenie o aktivácii produktu Windows (Windows Product Activation)
2013: na scénu prichádzajú ransomware červ založený na Stamp.EK exploit kite a špecifický červ pre Mac OS X. Za posledné štyri mesiace roku vylákal CryptoLocker cca 5 miliónov USD
2015: rôzne varianty určené pre rôzne platformy spôsobujú značné škody

Typy ransomwaru

  • Šifrovací ransomware

Zašifruje osobné súbory a adresáre (dokumenty, tabuľky, obrázky a videá).

Napadnuté súbory sú po zašifrovaní zmazané a užívatelia sa spravidla stretnú s textovým súborom s inštrukciami na zaplatenie, ktorý je umiestnený v rovnakom adresári ako teraz neprístupné súbory.

Problém odhalíte až vtedy, keď sa pokúšate otvoriť jeden z týchto súborov.

Niektoré, ale nie všetky typy týchto šifrovacích softwarov, zobrazia uzamykaciu obrazovku (‘lock screen’):

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Ransomware uzamykajúci obrazovku — WinLocker

Uzamkne obrazovku počítača a požaduje zaplatenie.

Prezentuje sa ako obrázok na celú plochu obrazovky, ktorý blokuje všetky ostatné okná.

Žiadne osobné súbory nie sú zašifrované.

Polyransom2

  • Master Boot Record (MBR) Ransomware

Hlavný spúšťací záznam (MBR) je súčasťou pevného disku počítača, ktorý umožňuje spúšťanie operačného systému.

MBR ransomware zmení pôvodné MBR počítača tak, že operačný systém nie je možné zaviesť bežným spôsobom.

Namiesto toho sa na obrazovke zobrazí výzva na zaplatenie výkupného.

Master-Boot.jpg

  • Ransomware šifrujúci webové servery

Je zameraný na webové servery a šifruje na nich veľké množstvo súborov.

Známe zraniteľnosti v systémoch správy obsahu (Content Management Systems) sú často využívané na umiestnenie ransomware do webových služieb.

Ransomware encrypting web servers

  • Ransomware pre mobilné zariadenie (Android)

Mobilné zariadenia (väčšinou Android) môžu byť napadnuté prostredníctvom “drive-by downloads”.

Môžu byť tiež napadnuté prostredníctvom falošných aplikácií, ktoré sa vydávajú za populárne služby ako sú Adobe Flash alebo antivírusový produkt.

Mobile Ransomware

Mal by som zaplatiť výkupné, keď bolo zariadenie napadnuté?

Zaplatiť výkupné sa nikdy neodporúča hlavne z dôvodu, že nie je garantované vyriešenie problému. Existuje množstvo prípadov, kedy sa môže niečo náhodne pokaziť. Napríklad, malware môže obsahovať chyby, ktoré z Vašich dát urobia neobnoviteľné, aj napriek tomu, že použijete správny kľúč.

Naviac, pokiaľ je výkupné zaplatené, ukáže to zločincom, že ransomware je efektívny. Následkom toho budú zločinci pokračovať vo svojich aktivitách a hľadaní nových ciest prienikov do systémov, čo povedie k viac nákazám a viac peniazom na ich účtoch.

Ako prebieha ransomware útok?

Útok ransomwaru je typicky šírený prostredníctvom príloh e-mailových správ, ktoré obsahujú spustiteľný súbor, archív alebo obrázok. Akonáhle je príloha otvorená, škodlivý kód je vpustený do systému užívateľa. Zločinci tiež môžu umiestniť škodlivý kód na webové stránky. Keď užívateľ nevedome navštívi stránku, škodlivý kód vnikne do systému.

Nákaza nie je užívateľom zistená vždy okamžite. Škodlivý kód pracuje v tichosti na pozadí, pokiaľ systém alebo mechanizmus uzamknutia dát nedokončí svoju prácu. Potom sa ukáže dialógové okno, ktoré užívateľovi oznámi, že dáta boli zašifrované a požaduje výkupné na ich opätovné odomknutie. V tú chvíľu je už neskoro dáta zachrániť cez bezpečnostné opatrenia.

Pre viac informácií sa prosím pozrite na video nižšie:

Kto sú obete ransomware?

Obeťou ransomwaru sa môže stať akákoľvek fyzická alebo právnická osoba. Zločinci nie sú vyberaví a často sa snažia postihnúť čo najviac užívateľov ako je to možné na to, aby získali čo najväčší profit.

Rastie počet útokov ransomwaru na právnické osoby?

Áno, pretože zločinci vedia, že organizácie rašej zaplatia, pretože zneprístupnené dáta sú typicky citlivé a životne dôležité pre fungovanie firmy. Naviac, niekedy môže byť drahšie obnoviť dáta než zaplatiť výkupné.

Prečo je tak ťažké nájsť jednoduché riešenie proti ransomware?

Ransomware je na vzostupe. V súčasnosti je v obehu viac ako 50 rodín toho škodlivého kódu a toto číslo rýchlo narastá. S každým novým variantom prichádza kvalitnejšie šifrovanie a nové funkcie. Toto nie je niečo, čo je možné ignorovať!

Jedným z dôvodov, prečo je tak zložité nájsť jednoduché riešenie je to, že šifrovanie ako také nie je zlomyseľné. V skutočnosti sa jedná o dobrý vynález a využíva ho mnoho prospešných programov.

Prvý krypto-škodlivý kód používal algoritmus symetrického šifrovania s rovnakým kľúčom pre zašifrovanie a rozšifrovanie dát. Zašifrované dáta bolo možné rozšifrovať s pomocou bezpečnostných spoločností. Časom začali zločinci používať asymetrické šifrovanie, ktoré používa dva samostatné kľúče - verejný pre zašifrovanie súborov a súkromný, ktorý je potrebný pre dešifrovanie.

Trojan CryptoLocker je jedným z najznámejších typov ransomwaru. Taktiež používa algoritmus verejného kľúča. Vždy, keď je počítač napadnutý, pripojí sa na riadiaco-kontrolný server na to, aby stiahol verejný kľúč. Súkromný kľúč je prístupný iba zločincom, ktorí CryptoLocker vytvorili. Obeť obvykle nemá viac ako 72 hodín na to, aby zaplatila výkupné, inak bude jej súkromný kľúč navždy zmazaný a tak bude nemožné dáta dešifrovať.

Preto by ste mali najskôr premýšlať o prevencii. Väčšina antivírusových riešení už obsahuje súčasť napomáhajúcu identifikácii hrozby ransomwaru v počiatočnom štádiu nákazy bez rizika straty citlivých dát. Pre užívateľov je dôležité presvedčiť sa, že je táto funkcia v ich antivírusovom programe zapnutá.

Aké sú šance, že môžete pomôcť obetiam ransomwaru získať späť prístup k ich súborom?

Projekt “No More Ransom” je na svojom začiatku, ale priebežne spolupracujeme s ďalšími bezpečnostnými spoločnosťami a orgánmi presadzovania práva za účelom nájdenia maximálneho počtu dostupných kľúčov na čo najširšie spektrum variantov. Pokiaľ máte informácie, o ktorých si myslíte, že by mohli pomôcť, prosím podeľte sa o ne s nami.

Čo je Krypto šerif a ako ho využijem?

Krypto šerif je nástroj, ktorý je navrhnutý za účelom pomoci určenia typu ransomwaru, ktorý napadol Vaše zariadenie. To nám umožní skontrolovať, či je k dispozícii dešifrovacie riešenie. Prosím, pozrite si video nižšie, ako pracuje:

Váš dešifrovací nástroj nefunguje, napriek tomu, že ste si istí, že používate správny nástroj - prečo?

To je možné. Niekedy máme iba podskupinu kľúčov, tak prosím aj naďalej sledujte túto webovú stránku.

Kedy je možné dešifrovať súbory, ktoré boli zašifrované ransomwarom?

Je to možné v nasledujúcich prípadoch:

  • Autori malwaru urobili implementačnú chybu, ktorá umožnila prelomiť šifrovanie. Takým prípadom bol ransomware Petya a ransomware CryptXXX.
  • Autori malware prejavili ľútosť a zverejnili príslušné kľúče alebo hlavný kľúč, ako v prípade TeslaCrypt.
  • Orgány presadzovania práva zaistili server s uloženými kľúčmi a podelili sa o ne. Jedným takým príkladom je CoinVault.


V niektorých prípadoch môže zaplatenie výkupného pomôcť, ale neexistuje záruka opätovného sprístupnenia dát. Naviac podporujete zločinecké aktivity a teda sa čiastočne stávate zodpovednými za čoraz viac ľudí napadnutých ransomware.

Prečo ste sa rozhodli spustiť projekt "No More Ransom"?

Nie je tajomstvom, že ransomware šifrujúci užívateľské dáta a následne požadujúci výkupné sa v posledných rokoch stal obrovským problémom pre kybernetickú bezpečnosť. Stal sa tak rozšíreným, že sa dá ľahko nazvať epidémiou. Počet užívateľov napadnutých ransomwarom prudko narastá: 718 000 napadnutých užívateľov medzi aprílom 2015 a marcom 2016: ide o 5,5 násobný nárast oproti rovnakému obdobiu v rokoch 2014-2015.

Polícia nemôže bojovať s kybernetickou trestnou činnosťou a predovšetkým s ransomware sama. A bezpečnostní vývojári to nemôžu robiť bez podpory orgánov presadzovania práva. Zodpovednosť za boj proti ransomware sa delí medzi políciu, justíciu, Europol a IT bezpečnostné spoločnosti, a vyžaduje spoločné úsilie. Spolu urobíme všetko, čo je v našich silách, aby sme pretrhli systémy zločincov na ich obohatenie a vrátili dáta oprávneným užívateľom bez nutnosti platiť množstvo peňazí.

Existuje v mojej krajine nejaká podobná iniciatíva?

"No More Ransom" je medzinárodnou iniciatívou, ktorá demonštruje význam spolupráce medzi verejným a súkromným sektorom v boji proti závažnej počítačovej kriminalite. Táto vzájomná spolupráca prekračuje geografické hranice. Hlavným cieľom projektu je zdieľať znalosti a vzdelávať užívateľov v predchádzaní útokom ransomwaru. Veríme, že to naozaj povedie k podpore nápravy škôd spôsobených obetiam po celom svete. Vďaka obnove prístupu k ich systémom dávame užívateľom nádej s poukázaním na to, že môžu prijať opatrenia a vyhnúť sa tak odmeňovaniu zločincov zaplatením výkupného.

Vo svojej úvodnej fáze portál obsahuje štyri dešifrovacie nástroje pre rôzne typy malwaru. Všetky nástroje dostupné na webovej stránke sú zadarmo a fungujú pre všetkých užívateľov infikovaných hrozbou spomenutej na webovej stránke bez ohľadu na to, kde na svete sa nachádzajú.