Ransomware. Jak to działa i jak go usunąć
19 czerwca 2020
Ransomware to forma złośliwego oprogramowania, które szyfruje pliki ofiary. Atakujący żąda następnie okupu od ofiary w celu przywrócenia dostępu do danych po dokonaniu płatności.
Użytkownikom wyświetlane są instrukcje dotyczące sposobu uiszczenia opłaty za uzyskanie klucza odszyfrowywania. Koszty mogą wynosić od kilkuset dolarów do tysięcy, płatne cyberprzestępcom w Bitcoin.
Istnieje wiele wektorów, które ransomware może pobrać, aby uzyskać dostęp do komputera. Jednym z najczęstszych systemów dostarczania jest spam phishingowy – załączniki przychodzące do ofiary w wiadomości e-mail, podszywające się pod plik, któremu należy zaufać. Po pobraniu i otwarciu mogą przejąć komputer ofiary, zwłaszcza jeśli mają wbudowane narzędzia inżynierii społecznej , które nakłaniają użytkowników do uzyskania dostępu administracyjnego. Niektóre inne, bardziej agresywne formy ransomware, takie jak NotPetya , wykorzystują luki bezpieczeństwa w celu infekowania komputerów bez konieczności oszukiwania użytkowników.
W niektórych formach złośliwego oprogramowania osoba atakująca może twierdzić, że jest organem ścigania, który wyłącza komputer ofiary z powodu obecności na nim pornografii lub pirackiego oprogramowania i żąda zapłaty „grzywny”, być może w celu zmniejszenia prawdopodobieństwa ofiary zgłoś atak władzom. Ale większość ataków nie przejmuje się tym pozorem. Istnieje również odmiana zwana oprogramowaniem typu wyciek lub doxware , w której atakujący grozi opublikowaniem poufnych danych na dysku twardym ofiary, chyba że zostanie zapłacony okup. Ale ponieważ znalezienie i wyodrębnienie takich informacji jest bardzo trudną propozycją dla atakujących, oprogramowanie ransomware szyfrujące jest zdecydowanie najbardziej rozpowszechnionym typem.
Istnieje kilka różnych sposobów, w jaki atakujący wybierają organizacje, na które atakują przy użyciu oprogramowania ransomware . Czasami jest to okazja: na przykład atakujący mogą atakować uniwersytety, ponieważ zwykle mają mniejsze zespoły bezpieczeństwa i odmienną bazę użytkowników, którzy dzielą się plikami, ułatwiając penetrację ich obrony.
Z drugiej strony niektóre organizacje kuszą cele, ponieważ wydają się bardziej prawdopodobne, że szybko zapłacą okup. Na przykład agencje rządowe lub placówki medyczne często potrzebują natychmiastowego dostępu do swoich akt. Kancelarie prawne i inne organizacje posiadające wrażliwe dane mogą być skłonne zapłacić, aby nie ujawniać informacji o kompromisie – a te organizacje mogą być wyjątkowo wrażliwe na ataki typu „wyciek”.
Ale nie czuj się bezpieczny, jeśli nie pasujesz do tych kategorii: jak zauważyliśmy, niektóre oprogramowanie ransomware rozprzestrzenia się automatycznie i bezkrytycznie w Internecie.
Istnieje wiele kroków obronnych, które można podjąć, aby zapobiec infekcji ransomware . Te kroki są oczywiście ogólnie dobrymi praktykami bezpieczeństwa, więc ich przestrzeganie poprawia ochronę przed wszelkiego rodzaju atakami:
Jeśli Twój komputer został zainfekowany oprogramowaniem ransomware, musisz odzyskać kontrolę nad komputerem. Steve Ragan z CSO ma świetny film pokazujący, jak to zrobić na komputerze z systemem Windows 10:
Film zawiera wszystkie szczegóły, ale ważne kroki to:
Należy jednak pamiętać o tej ważnej rzeczy: wykonując poniższe czynności, możesz usunąć złośliwe oprogramowanie z komputera i przywrócić je do kontroli, nie odszyfruje on plików. Ich transformacja w nieczytelność już się wydarzyła, a jeśli złośliwe oprogramowanie jest w ogóle wyrafinowane, matematycznie niemożliwe będzie odszyfrowanie go bez dostępu do klucza, który posiada atakujący. W rzeczywistości usuwając szkodliwe oprogramowanie, uniemożliwiłeś przywrócenie plików, płacąc atakującym okup, o który prosili.
Ransomware to duży biznes. W oprogramowaniu ransomware jest dużo pieniędzy, a rynek szybko się rozwija od początku dekady. W 2017 r. Oprogramowanie ransomware spowodowało straty w wysokości 5 miliardów dolarów , zarówno pod względem zapłaconych okupów, jak i wydatków oraz straconego czasu na odzyskanie po atakach. To 15 razy więcej niż w 2015 roku. W pierwszym kwartale 2018 roku tylko jeden rodzaj oprogramowania ransomware, SamSam, zebrał 1 milion dolarów w okupie .
Niektóre rynki są szczególnie podatne na oprogramowanie ransomware i płacenie okupu. Wiele głośnych ataków oprogramowania ransomware miało miejsce w szpitalach lub innych organizacjach medycznych, które stanowią kuszące cele: osoby atakujące wiedzą, że mając życie dosłownie w równowadze, przedsiębiorstwa te częściej płacą stosunkowo niski okup, aby problem zniknął. Szacuje się, że 45 procent ataków ransomware atakuje organy ochrony zdrowia , a odwrotnie, 85% infekcji złośliwym oprogramowaniem w organach opieki zdrowotnej to oprogramowanie ransomware . Kolejna kusząca branża? Sektor usług finansowych, który – jak słyszał Willie Sutton – gdzie są pieniądze. Szacuje się, że 90% instytucji finansowych zostało zaatakowanych przez atak ransomware w 2017 roku .
Twoje oprogramowanie anty-malware niekoniecznie cię ochroni. Ransomware jest stale pisane i modyfikowane przez jego twórców, więc jego sygnatury często nie są przechwytywane przez typowe programy antywirusowe. W rzeczywistości aż 75 procent firm, które padły ofiarą oprogramowania ransomware, posiadało aktualną ochronę punktów końcowych na zainfekowanych komputerach .
Ransomware nie jest tak rozpowszechnione, jak kiedyś. Jeśli chcesz trochę dobrych wiadomości, to jest to: liczba ataków ransomware, po wybuchu w połowie lat 10-tych, spadła, chociaż początkowe liczby były na tyle wysokie, że nadal. Ale w pierwszym kwartale 2017 r. Ataki oprogramowania ransomware stanowiły 60 procent wszystkich szkodliwych programów; teraz spada do 5 procent.
Co kryje się za tym dużym spadkiem? Pod wieloma względami jest to decyzja ekonomiczna oparta na wybranej walucie cyberprzestępcy: bitcoinie. Wyciąganie okupu z ofiary zawsze było trafiane lub chybione; mogą nie zdecydować się zapłacić, a nawet jeśli chcą, mogą nie być wystarczająco obeznani z bitcoinami, aby dowiedzieć się, jak to zrobić.
Jak podkreśla Kaspersky , spadekowi oprogramowania ransomware towarzyszy wzrost tak zwanego złośliwego oprogramowania kryptograficznego , które infekuje komputer ofiary i wykorzystuje jego moc obliczeniową do tworzenia (lub kopania , w języku kryptowalutowym) bitcoinów bez wiedzy właściciela. Jest to fajna droga do korzystania z cudzych zasobów, aby uzyskać bitcoiny, która omija większość trudności w zdobyciu okupu, a stała się bardziej atrakcyjna jako cyberatak, gdy cena bitcoinów wzrosła pod koniec 2017 roku.
Nie oznacza to jednak, że zagrożenie minęło. Barkly wyjaśnia, że istnieją dwa różne rodzaje atakujących oprogramowanie ransomware : ataki „towarowe”, które próbują zainfekować komputery bez rozróżnienia na podstawie ogromnej ilości i obejmują tak zwane platformy „ransomware jako usługa”, które przestępcy mogą wynająć; oraz grupy docelowe, które koncentrują się na szczególnie wrażliwych segmentach rynku i organizacjach. Powinieneś być czujny, jeśli jesteś w drugiej kategorii, bez względu na to, czy minął wielki boom ransomware.
Ponieważ cena bitcoinów spadła w 2018 roku, analiza kosztów i korzyści dla atakujących może się cofnąć. Ostatecznie stosowanie ransomware lub złośliwego oprogramowania kryptowalutowego jest decyzją biznesową atakujących, mówi Steve Grobman, dyrektor ds. Technologii w McAfee. „Gdy ceny kryptowalut spadają, naturalnym jest powrót do [oprogramowania ransomware]”.
Jeśli Twój system został zainfekowany złośliwym oprogramowaniem i utraciłeś ważne dane, których nie możesz przywrócić z kopii zapasowej, czy powinieneś zapłacić okup?
Mówiąc teoretycznie, większość organów ścigania zaleca, abyś nie płacił atakującym ransomware, zgodnie z logiką, która tylko zachęca hakerów do tworzenia większej liczby ransomware. To powiedziawszy, wiele organizacji dotkniętych szkodliwym oprogramowaniem szybko przestaje myśleć w kategoriach „większego dobra” i rozpoczyna analizę kosztów i korzyści , porównując cenę okupu z wartością zaszyfrowanych danych. Według badań Trend Micro, podczas gdy 66 procent firm twierdzi , że z zasady nigdy nie zapłaciłby okupu, w praktyce 65 procent faktycznie płaci okup, gdy zostanie trafiony.
Osoby atakujące ransomware utrzymują ceny na względnie niskim poziomie – zwykle między 700 a 1300 USD, czyli kwotę, którą firmy zazwyczaj mogą zapłacić w krótkim czasie. Niektóre szczególnie wyrafinowane złośliwe oprogramowanie wykryje kraj, w którym działa zainfekowany komputer, i dostosuje okup do gospodarki tego kraju, żądając więcej od firm z bogatych krajów, a mniej od firm z biednych regionów.
Często oferowane są zniżki za szybkie działanie, aby zachęcić ofiary do szybkiego zapłacenia, zanim za dużo się nad tym zastanowią. Ogólnie rzecz biorąc, cena jest ustawiona tak, aby była wystarczająco wysoka, aby być warta przestępcy, ale wystarczająco niska, aby często była tańsza niż to, co ofiara musiałaby zapłacić za przywrócenie komputera lub odtworzenie utraconych danych. Mając to na uwadze, niektóre firmy zaczynają wykorzystywać potencjalną potrzebę zapłaty okupu w swoich planach bezpieczeństwa: na przykład niektóre duże brytyjskie firmy, które w przeciwnym razie nie są zaangażowane w kryptowalutę, przechowują trochę Bitcoinów w rezerwie specjalnie na płatności okupowe.
Jest tu kilka trudnych rzeczy do zapamiętania, pamiętając, że ludzie, z którymi masz do czynienia, to oczywiście przestępcy. Po pierwsze, coś, co wygląda jak oprogramowanie ransomware, mogło wcale nie zaszyfrować twoich danych; upewnij się, że nie masz do czynienia z tak zwanym „ przerażającym oprogramowaniem ”, zanim wyślesz komuś pieniądze. Po drugie, płacenie atakującym nie gwarantuje odzyskania plików. Czasami przestępcy po prostu biorą pieniądze i uciekają, a nawet nie mają wbudowanej funkcji odszyfrowywania złośliwego oprogramowania. Ale takie złośliwe oprogramowanie szybko zyska reputację i nie będzie generować przychodów, więc w większości przypadków – Gary Sockrider, główny technolog bezpieczeństwa w Arbor Networks,
Chociaż oprogramowanie ransomware istnieje na rynku od lat 90-tych, zaczęło działać dopiero w ciągu ostatnich pięciu lat, głównie ze względu na dostępność niewykrywalnych metod płatności, takich jak Bitcoin. Niektóre z najgorszych przestępców to:
Ta lista będzie po prostu dłuższa. Postępuj zgodnie ze wskazówkami w poście, aby się zabezpieczyć.