Vprašanja in odgovori o izsiljevalski programski opremi

Zgodovina izsiljevalske programske opreme

1989: Prva znana izsiljevalska programska oprema je trojanski konj AIDS iz leta 1989 (poznan tudi kot »PC Cyborg«), ki ga je napisal Joseph Popp
2005: Maja se pojavi izsiljevalska programska oprema, ki zahteva odkupnino
2006: Do sredine leta 2006 so črvi, kot so Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip in MayArchive, začeli uporabljati bolj zapletene načine šifriranja RSA z vedno daljšimi ključi
2011: Pojavi se izsiljevalski programski črv, ki je videti kot obvestilo o aktiviranju izdelka za sistem Windows
2013: Pojavi se izsiljevalski programski črv, ki temelji na kompletu zlonamerne programske opreme Stamp.EK, hkrati pa tudi črv z izsiljevalsko programsko opremo posebej za Mac OS X. Zlikovci s CryptoLockerjem v zadnjih štirih mesecih tega leta zaslužijo okoli 5 milijonov USD
2015: Številne različice v različnih okoljih povzročajo veliko škodo

Vrste izsiljevalske programske opreme

  • Šifrirna izsiljevalska programska oprema

Šifrira osebne datoteke in mape (dokumente, preglednice, slike in videoposnetke).

Prizadete datoteke so po šifriranju izbrisane, uporabniki pa v mapi, kjer so bile zdaj nedosegljive datoteke, običajno naletijo na besedilno datoteko z navodili za plačilo.

Težavo boste morda odkrili šele, ko poskušate odpreti eno od teh datotek.

Nekatere vrste šifrirne programske opreme prikažejo »zaklenjen zaslon«:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Izsiljevalska programska oprema za zaklenjen zaslon – WinLocker

Ta zaklene računalniški zaslon in zahteva plačilo.

Prikaže celozaslonsko sliko, ki blokira vsa druga okna.

Vendar ne šifrira nobenih osebnih datotek.

Polyransom2

  • Izsiljevalska programska oprema za glavni zagonski zapis (ang. Master Boot Record oz. MBR)

Glavni zagonski zapis je predel trdega diska v računalniku, ki omogoča zagon operacijskega sistema.

Ta izsiljevalska programska oprema spremeni glavni zagonski zapis računalnika, tako da je običajni postopek zagona prekinjen.

Namesto tega se na zaslonu prikaže zahteva za odkupnino.

Master-Boot.jpg

  • Izsiljevalska programska oprema, ki šifrira spletne strežnike

Meri na spletne strežnike in šifrira več datotek v njih.

Znane ranljivosti v sistemih za upravljanje vsebine se pogosto uporabijo za namestitev izsiljevalske programske opreme v spletnih storitvah.

Ransomware encrypting web servers

  • Izsiljevalska programska oprema za mobilne naprave (Android)

Mobilne naprave (večinoma s sistemom Android) je mogoče okužiti s t. i. »sprotnimi prenosi«.

Okužba je mogoča tudi prek lažnih aplikacij, ki so videti kot splošne storitve, na primer Adobe Flash ali protivirusni izdelki.

Mobile Ransomware

Ali naj v primeru okužbe plačam odkupnino?

Plačilo odkupnine vsekakor odsvetujemo, predvsem zato, ker ne daje nobenega jamstva, da bo težava rešena. Upoštevati je treba tudi, da se utegne pojaviti več nenamernih težav. V zlonamerni programski opremi so lahko na primer napake, zaradi katerih šifriranih podatkov ni mogoče obnoviti niti s pravim ključem.

Poleg tega, če odkupnino plačate, je to za računalniške kriminalce dokaz, da izsiljevalska programska oprema prinaša dobiček. Svojo dejavnost bodo zato nadaljevali in iskali nove načine vdora v sisteme, posledica tega pa je več okužb in večji zaslužek zanje.

Kako deluje napad z izsiljevalsko programsko opremo?

Napad z izsiljevalsko programsko opremo se običajno izvede z e-poštno prilogo, ki je lahko izvedljiva datoteka, stisnjena datoteka ali slika. Ko uporabnik prilogo odpre, zlonamerna programska oprema vstopi v njegov sistem. Računalniški kriminalci lahko zlonamerno programsko opremo skrijejo tudi na spletnih mestih. Ko nič hudega sluteči uporabnik obišče tako spletno mesto, zlonamerna programska oprema vstopi v njegov sistem.

Okužba uporabniku ni takoj vidna. Zlonamerna programska oprema neopazno deluje v ozadju, dokler se ne sproži mehanizem za zaklepanje sistema ali podatkov. Nato se odpre pogovorno okno, ki uporabniku sporoča, da so njegovi podatki zaklenjeni, in za njihovo odklepanje zahteva plačilo odkupnine.  Takrat je že prepozno, da bi bilo podatke mogoče rešiti z varnostnimi ukrepi.

Če želite več informacij, si oglejte spodnji videoposnetek:

Kdo so žrtve izsiljevalske programske opreme?

Žrtev izsiljevalske programske opreme lahko postane vsak potrošnik in vsako podjetje. Računalniški kriminalci ne izbirajo in pogosto skušajo doseči čim več žrtev ter si zagotoviti čim večji dobiček.

Ali število napadov z izsiljevalsko programsko opremo na podjetja narašča?

Da, računalniški kriminalci vedo, da bodo organizacije verjetneje plačale odkupnino, saj so nedostopni podatki pogosto občutljivi in nujni za poslovanje. Poleg tega je lahko včasih ceneje plačati odkupnino kot pa podatke obnoviti z varnostnimi kopijami.

Zakaj je tako težko najti enotno rešitev za izsiljevalsko programsko opremo?

Izsiljevalske programske opreme je vse več in trenutno je v obtoku že več kot 50 družin tovrstne programske opreme, ki se hitro razvija. Vsaka nova različica prinaša boljše šifriranje in nove funkcije. Tega ne smete prezreti.

Eden od razlogov, da je tako težko najti enotno rešitev je, da šifriranje samo po sebi ni zlonamerno. V resnici gre za pozitiven dosežek in uporabljajo ga številni koristni programi.

Prva šifrirna zlonamerna programska oprema je uporabljala algoritem s simetričnim ključem z istim ključem za šifriranje in dešifriranje. Poškodovane podatke je bilo običajno mogoče uspešno dešifrirati ob pomoči varnostnih podjetij. Sčasoma pa so računalniški kriminalci začeli uvajati algoritme, ki uporabljajo ločena ključa – javnega za šifriranje datotek in zasebnega za njihovo dešifriranje.

Trojanski konj CryptoLocker Trojan je eden najbolj razvpitih primerov izsiljevalske programske opreme. Uporablja algoritem z javnimi ključi. Okuženi računalniki se povežejo s strežnikom za nadzor in upravljanje, iz katerega prenesejo javni ključ. Zasebni ključ je dostopen samo zlikovcem, ki so razvili programsko opremo CryptoLocker. Žrtev ima navadno največ 72 ur da plača odkupnino, preden se njen zasebni ključ trajno izbriše, brez njega pa datotek ni mogoče dešifrirati.

Na prvem mestu mora zato biti preventiva. Večina protivirusne programske opreme že ima komponento, ki lahko izsiljevalsko programsko opremo prepozna že v zgodnjih fazah okužbe brez izgube občutljivih podatkov. Uporabniki morajo poskrbeti, da bo v protivirusni programski opremi ta funkcija vklopljena.

Kolikšna je verjetnost, da lahko žrtvam izsiljevalske programske opreme pomagate spet pridobiti dostop do datotek?

Projekt »No More Ransom« se je pravkar začel, vendar stalno sodelujemo z drugimi varnostnimi podjetji in organi pregona ter si prizadevamo ugotoviti čim več ključev za čim več različic te zlonamerne programe opreme. Če imate informacije, ki bi nam po vašem mnenju lahko pomagale, prosimo, da nas obvestite.

Kaj je Kriptošerif in kako ga lahko uporabim?

Kriptošerif je orodje, ki nam pomaga ugotoviti, s kakšno vrsto izsiljevalske programske opreme je okužena vaša naprava. Tako bomo lahko preverili, ali je na voljo rešitev za dešifriranje. Spodnji videoposnetek pojasnjuje, kako deluje:

Vaše orodje za dešifriranje ne deluje, čeprav sem prepričan, da uporabljam pravo orodje – zakaj?

To je mogoče. Včasih imamo na voljo samo podmnožico ključev, zato priporočamo, da spletno mesto še naprej preverjate.

Kdaj je mogoče dešifrirati datoteke, šifrirane z izsiljevalsko programsko opremo?

To je mogoče v teh primerih:

  • Avtorji zlonamerne programske opreme so pri njeni izvedbi naredili napako, ki omogoča vpogled v šifriranje. Tako je bilo pri izsiljevalski programski opremi Petya in CryptXXX.
  • Avtorjem zlonamerne programske opreme je žal za njihova dejanja in se odločijo objaviti ključe ali glavni ključ, kot so storili pri programski opremi TeslaCrypt.
  • Organi pregona zasežejo strežnik s ključi in jih razkrijejo drugim. Primer tega je CoinVault.


Plačilo odkupnine se včasih sicer obnese, vendar ni nobenega jamstva, da boste s plačilom dosegli dešifriranje datotek. Poleg tega s tem podpirate poslovni model zlikovcev in ste tako delno odgovorni za to, da je z izsiljevalsko programsko opremo okuženih vse več ljudi.

Zakaj ste se odločili za pobudo »No More Ransom«?

Nobena skrivnost ni, da je izsiljevalska programska oprema, ki šifrira podatke v sistemih uporabnikov in nato zahteva odkupnino, v zadnjih nekaj letih postala zelo resna težava na področju računalniške varnosti. Postala je tako razširjena, da ji brez težav rečemo epidemija. Število uporabnikov, ki so žrtve tovrstnih napadov skokovito narašča in je v obdobju med aprilom 2015 in marcem 2016 doseglo 718.000, kar pomeni 5,5-kratno povečanje glede na primerljivo obdobje v letih 2014 in 2015.

Policija se ne more sama boriti proti računalniškemu kriminalu, še posebej če gre za izsiljevalsko programsko opremo. In raziskovalci na področju varnosti svojega dela ne morejo opravljati brez podpore organov pregona. Odgovornost v boju proti izsiljevalski programski opremi si delijo policija, ministrstvo za pravosodje, Europol in podjetja s področja varnosti IT – zato je potrebno sodelovanje. Skupaj si bomo prizadevali storiti vse, kar je v naši moči, da kriminalcem preprečimo služenje denarja z računalniškimi zlorabami in datoteke vrnemo njihovim lastnikom, ne da bi jim bilo treba plačati odkupnino.

Ali so podobne pobude tudi v moji državi?

»No More Ransom« je mednarodna pobuda, ki dokazuje vrednost sodelovanja javnega in zasebnega sektorja pri resnem ukrepanju proti računalniškemu kriminalu. To sodelovanje seže čez zemljepisne meje. Glavni cilj projekta je ozaveščanje uporabnikov po vsem svetu o tem, kako lahko preprečijo napade z izsiljevalsko programsko opremo. Menimo, da bo to sčasoma pripeljalo do podpore za odpravo škode, povzročene žrtvam po vsem svetu. Uporabnikom z obnovitvijo dostopa do njihovih sistemov pokažemo, da lahko ukrepajo, ne da bi kriminalce pri tem nagradili s plačilom odkupnine.

Portal v začetnem obdobju ponuja štiri orodja za dešifriranje za različne vrste zlonamerne programske opreme. Vsa orodja, ki so na voljo na spletnem mestu, so brezplačna in bodo delovala za vse uporabnike, okužene s programsko opremo, navedeno na spletnem mestu, ne glede na to, kje na svetu so.