Vprašanja in odgovori o izsiljevalski programski opremi

• 1989: Prva znana izsiljevalska programska oprema je trojanski konj AIDS iz leta 1989 (poznan tudi kot »PC Cyborg«), ki ga je napisal Joseph Popp
• 2005: Maja se pojavi izsiljevalska programska oprema, ki zahteva odkupnino
• 2006: Do sredine leta 2006 so črvi, kot so Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip in MayArchive, začeli uporabljati bolj zapletene načine šifriranja RSA z vedno daljšimi ključi
• 2011: Pojavi se izsiljevalski programski črv, ki je videti kot obvestilo o aktiviranju izdelka za sistem Windows
• 2013: Pojavi se izsiljevalski programski črv, ki temelji na kompletu zlonamerne programske opreme Stamp.EK, hkrati pa tudi črv z izsiljevalsko programsko opremo posebej za Mac OS X. Zlikovci s CryptoLockerjem v zadnjih štirih mesecih tega leta zaslužijo okoli 5 milijonov USD
• 2015: Številne različice v različnih okoljih povzročajo veliko škodo

Šifrirna izsiljevalska programska oprema

• Šifrira osebne datoteke in mape (dokumente, preglednice, slike in videoposnetke).
• Prizadete datoteke so po šifriranju izbrisane, uporabniki pa v mapi, kjer so bile zdaj nedosegljive datoteke, običajno naletijo na besedilno datoteko z navodili za plačilo.
• Težavo boste morda odkrili šele, ko poskušate odpreti eno od teh datotek.
• Nekatere vrste šifrirne programske opreme prikažejo »zaklenjen zaslon«:

• 
• 
• 
• 

Izsiljevalska programska oprema za zaklenjen zaslon – WinLocker

• Ta zaklene računalniški zaslon in zahteva plačilo.
• Prikaže celozaslonsko sliko, ki blokira vsa druga okna.
• Vendar ne šifrira nobenih osebnih datotek.

• 

Izsiljevalska programska oprema za glavni zagonski zapis (ang. Master Boot Record oz. MBR)

• Glavni zagonski zapis je predel trdega diska v računalniku, ki omogoča zagon operacijskega sistema.
• Ta izsiljevalska programska oprema spremeni glavni zagonski zapis računalnika, tako da je običajni postopek zagona prekinjen.
• Namesto tega se na zaslonu prikaže zahteva za odkupnino.

• 

Izsiljevalska programska oprema, ki šifrira spletne strežnike

• Meri na spletne strežnike in šifrira več datotek v njih.
• Znane ranljivosti v sistemih za upravljanje spletnih vsebin (CMS) se pogosto uporabijo za namestitev izsiljevalske programske opreme v spletnih storitvah.

• 

Izsiljevalska programska oprema za mobilne naprave (Android)

• Mobilne naprave (večinoma s sistemom Android) je mogoče okužiti s t. i. »sprotnimi prenosi« oz. "drive-by download".
• Okužba je mogoča tudi prek lažnih aplikacij, ki so videti kot znana programska oprema, na primer Adobe Flash ali protivirusni izdelki.

• 

Plačilo odkupnine vsekakor odsvetujemo, predvsem zato, ker ne daje nobenega jamstva, da bo težava rešena. Upoštevati je treba tudi, da se utegne pojaviti več nenamernih težav. V zlonamerni programski opremi so lahko na primer napake, zaradi katerih šifriranih podatkov ni mogoče obnoviti niti s pravim ključem.

Če odkupnino plačate, je to za računalniške kriminalce dokaz, da izsiljevalska programska oprema prinaša dobiček. Svojo dejavnost bodo zato nadaljevali in iskali nove načine vdora v sisteme, posledica tega pa je več okužb in večji zaslužek zanje.

Napad z izsiljevalsko programsko opremo se običajno izvede z e-poštno priponko, ki je lahko izvršljiva datoteka, stisnjena datoteka ali slika. Ko uporabnik priponko odpre, se zlonamerna programska oprema namesti na njegov sistem. Računalniški kriminalci lahko zlonamerno programsko opremo skrijejo tudi na spletnih mestih. Ko nič hudega sluteči uporabnik obišče tako spletno mesto, se zlonamerna programska oprema namesti na njegov sistem.

Okužba uporabniku ni takoj vidna. Zlonamerna programska oprema neopazno deluje v ozadju, dokler se ne sproži mehanizem za zaklepanje sistema ali podatkov. Nato se odpre pogovorno okno, ki uporabniku sporoča, da so njegovi podatki zaklenjeni in za njihovo odklepanje zahteva plačilo odkupnine. Takrat je že prepozno, da bi bilo podatke mogoče rešiti z varnostnimi ukrepi.

Če želite več informacij, si oglejte spodnji videoposnetek:

Žrtev izsiljevalske programske opreme lahko postane vsak potrošnik in vsako podjetje. Računalniški kriminalci ne izbirajo in pogosto skušajo doseči čim več žrtev ter si zagotoviti čim večji dobiček.

Da, računalniški kriminalci vedo, da bodo organizacije verjetneje plačale odkupnino, saj so nedostopni podatki pogosto občutljivi in nujni za poslovanje. Poleg tega je lahko včasih ceneje plačati odkupnino kot pa podatke obnoviti iz varnostnih kopij.

Izsiljevalske programske opreme je vse več in trenutno je v obtoku že več kot 50 družin tovrstne programske opreme, ki se hitro razvija. Vsaka nova različica prinaša boljše šifriranje in nove funkcije. Tega ne smete prezreti!

Eden od razlogov, da je tako težko najti celovito rešitev je, da šifriranje samo po sebi ni zlonamerno. V resnici gre za koristno funkcionalnost vgrajeno v številno legitimno programsko opremo.

Prva šifrirna zlonamerna programska oprema je uporabljala algoritem s simetričnim ključem z istim ključem za šifriranje in dešifriranje. Poškodovane podatke je bilo običajno mogoče uspešno dešifrirati ob pomoči varnostnih podjetij. Sčasoma pa so računalniški kriminalci začeli uvajati algoritme, ki uporabljajo ločena ključa – javnega za šifriranje datotek in zasebnega za njihovo dešifriranje.

Trojanski konj CryptoLocker Trojan je eden najbolj razvpitih primerov izsiljevalske programske opreme. Uporablja algoritem z javnimi ključi. Okuženi računalniki se povežejo s strežnikom za nadzor in upravljanje, iz katerega prenesejo javni ključ. Zasebni ključ je dostopen samo zlikovcem, ki so razvili programsko opremo CryptoLocker. Žrtev ima navadno največ 72 ur da plača odkupnino, preden se njen zasebni ključ trajno izbriše, brez njega pa datotek ni mogoče dešifrirati.

Na prvem mestu mora zato biti preventiva. Večina protivirusne programske opreme že vsebuje komponento, ki lahko izsiljevalsko programsko opremo prepozna že v zgodnjih fazah okužbe brez izgube občutljivih podatkov. Uporabniki morajo poskrbeti, da bo v protivirusni programski opremi ta funkcija vklopljena.

Projekt »No More Ransom« je še relativno v začetni fazi, vendar stalno sodelujemo z drugimi varnostnimi podjetji in organi pregona ter si prizadevamo identificirati čim več ključev za čim več različic te zlonamerne programe opreme. Če imate informacije, ki bi nam po vašem mnenju lahko pomagale, prosimo, da nas obvestite.

Kriptošerif je orodje, ki nam pomaga ugotoviti, s kakšno vrsto izsiljevalske programske opreme je okužena vaša naprava. Tako bomo lahko preverili, ali je na voljo rešitev za dešifriranje. Spodnji videoposnetek pojasnjuje, kako deluje:

To je mogoče. Včasih imamo na voljo samo podmnožico ključev, zato priporočamo, da naše spletno mesto še naprej preverjate.

To je mogoče v teh primerih:

• Avtorji zlonamerne programske opreme so pri njeni izvedbi naredili napako, ki omogoča vpogled v šifriranje. Tako je bilo pri izsiljevalski programski opremi Petya in CryptXXX.
• Avtorjem zlonamerne programske opreme je žal za njihova dejanja in se odločijo objaviti ključe ali glavni ključ, kot so storili pri programski opremi TeslaCrypt.
• Organi pregona zasežejo strežnik s ključi in jih razkrijejo drugim. Primer tega je CoinVault.

Plačilo odkupnine se včasih sicer obnese, vendar ni nobenega jamstva, da boste s plačilom datoteke uspešno dešifrirali. Poleg tega s tem podpirate poslovni model napadalcev in ste tako delno odgovorni za to, da je z izsiljevalsko programsko opremo okuženih vse več ljudi.

Nobena skrivnost ni, da je izsiljevalska programska oprema, ki šifrira podatke v sistemih uporabnikov in nato zahteva odkupnino, v zadnjih nekaj letih postala zelo resna težava na področju računalniške varnosti. Postala je tako razširjena, da ji brez težav rečemo epidemija. Število uporabnikov, ki so žrtve tovrstnih napadov skokovito narašča in je v obdobju med aprilom 2015 in marcem 2016 doseglo 718.000, kar pomeni 5,5-kratno povečanje glede na primerljivo obdobje v letih 2014 in 2015.

Policija se ne more sama boriti proti računalniškemu kriminalu, še posebej če gre za izsiljevalsko programsko opremo. Raziskovalci na področju varnosti pa svojega dela ne morejo opravljati brez podpore organov pregona. Odgovornost v boju proti izsiljevalski programski opremi si delijo policija, ministrstvo za pravosodje, Europol in podjetja s področja varnosti IT – zato je potrebno sodelovanje. Skupaj si bomo prizadevali storiti vse, kar je v naši moči, da kriminalcem preprečimo služenje denarja z računalniškimi zlorabami in datoteke vrnemo njihovim lastnikom, ne da bi jim bilo za to potrebno plačati odkupnino.

»No More Ransom« je mednarodna pobuda, ki dokazuje vrednost sodelovanja javnega in zasebnega sektorja pri resnem ukrepanju proti računalniškemu kriminalu. To sodelovanje seže čez zemljepisne meje. Glavni cilj projekta je ozaveščanje uporabnikov po vsem svetu o tem, kako lahko preprečijo napade z izsiljevalsko programsko opremo. Menimo, da bo to sčasoma pripeljalo do podpore za odpravo škode, povzročene žrtvam po vsem svetu. Uporabnikom z obnovitvijo dostopa do njihovih sistemov pokažemo, da lahko ukrepajo, ne da bi kriminalce pri tem nagradili s plačilom odkupnine.

Portal v začetnem obdobju ponuja štiri orodja za dešifriranje za različne vrste zlonamerne programske opreme. Vsa orodja, ki so na voljo na spletnem mestu, so brezplačna in bodo delovala za vse uporabnike, okužene s programsko opremo, navedeno na spletnem mestu, ne glede na to, kje na svetu se nahajajo.