Co warto wiedzieć o ransomware, największym zagrożeniu w 2016 roku?

Zwykły dzień, użytkownik właśnie sprawdził pocztę. Zauważył wiadomość od znanego mu nadawcy, która zawierała załącznik w postaci pliku z rozszerzeniem ZIP. Po rozpakowaniu archiwum, nic się nie stało, więc przeszedł do następnej wiadomości dalej otwierając wiadomości i zastanawiał się, o co tak naprawdę chodzi.

Nagle zaczął wpatrywać się w powiadomienie, które pojawiło się na pulpicie. Jego tytuł brzmiał: „twój komputer został zablokowany”. Czytając pozostałą część wiadomości, zdał sobie sprawę, że musi zapłacić, aby ponownie uzyskać dostęp do swoich plików. Próbował otworzyć inne pliki, ale bezskutecznie – zostały zaszyfrowane za pomocą silnego algorytmu. Inaczej mówiąc, trafił na największe zagrożenie 2016 roku — padł ofiarą ataku ze strony oprogramowania ransomware.

Nawet, jeśli ta sytuacja cię nie dotyczy (jeszcze), pozostając obojętnym możesz zostać kolejną ofiarą rosnącej liczby ataków ransomware w 2016 roku. Jeśli już należysz do tych pechowców, z pewnością nie jesteś sam, ponieważ zidentyfikowano około 4 milionów zainfekowanych plików w drugim kwartale 2015, z czego ponad milion to ransomware. 

Co to jest ransomware?

Słowo pochodzi od składowych „ransom”(okup) oraz „malware”(złośliwe oprogramowanie), a jego podstawowym założeniem jest zablokowanie dostępu dodanych i żądanie zapłaty za jego odzyskanie.

W zależności od wariantu, istnieje wiele takich, które korzystają z różnych taktyk mających na celu skłonienie do zapłacenia, począwszy od wyświetlania terminu płatności, po którym uzyskanie dostępu nie będzie możliwe, a kończąc na podszywaniu się pod FBI i straszenie historią, że komputer brał udział w nielegalnym procederze i pozostanie zablokowany do momentu wniesienia opłaty. Jego celem jest skłonienie użytkownika do jak najszybszego zapłacenia.

Istnieją 2 główne formy ransomware krążące w sieci:

  • Locker Ransomware blokuje całkowicie dostęp do systemu operacyjnego komputera. Skutecznie zatrzymuje zwykłe operacje i pozostawia minimalną funkcjonalność wymaganą do wniesienia opłaty i przywrócenia systemu. Większość z nich jest starszym wariantem ransomware i istnieją sposoby na odzyskanie dostępu poprzez odseparowanie go od systemu.
  • Crypto Ransomware jest znacznie bardziej zaawansowanym wariantem, ponieważ korzysta z szyfrowania, które blokuje wszystkie pliki. Pomimo dostępu do systemu operacyjnego, jest zdecydowanie bardziej niebezpieczny, ponieważ zaszyfrowane pliki, poza kilkoma rzadkimi przypadkami, bez klucza są praktycznie niemożliwe do odzyskania.

To stresujące, ponieważ ransomware celuje w styl życia, który jest zależy od komputerów przechowujących cenne pliki lub ważne dane, jak również od Internetu, jako głównego źródła treści. Twórcy malware doskonale to wiedzą i zrobią absolutnie wszystko, aby wykorzystać wasze pliki do uzyskania korzyści finansowej.

Powszechne rodzaje ransomware

Cryptolocker

Cryptolocker jest rozpowszechniany poprzez załączniki email lub wtórne infekcje na komputerach, które posiadają wirusy otwierające dostęp do systemu kolejnym atakom. Po zainfekowaniu komputera, ransomware szyfruje wszystkie pliki przechowywane na lokalnych i sieciowych dyskach twardych.

Nie ma sposobu na odszyfrowanie danych we własnym zakresie, ponieważ wymagane informacje znajdują się na centralnych serwerach przestępców. Z kolei ransomware wyświetla komunikat z żądaniem zapłaty (w walucie Bitcoin lub przedpłaconym bonie pieniężnym) w określonym czasie w zamian za odszyfrowanie plików. W przeciwnym razie, grozi zniszczeniem danych po upływie określonego czasu.

Cryptowall

Cryptowall infiltruje system operacyjny komputer za pomocą spamu, reklamy, zainfekowanych wiadomości, fałszywych plików i aktualizacji. Po pomyślnej infiltracji, szyfruje niektóre pliki i w zamian za ich odszyfrowanie, żąda wniesienia opłaty w walucie Bitcoin. Kwota okupu może zależeć od lokalizacji użytkownika. Cryptowall występuje również pod innymi nazwami, takimi jak Cryptorbit, CryptoDefense, CryptoWall 2.0 o CryptoWall 3.0.

Istnieją dwa objawy, które jednoznacznie wskazują, że komputer został zainfekowany przez Crytowall:

Po uruchomieniu niektórych plików (np. doc, xls lub pdf) za pomocą prawidłowego programu dane mogą nie wyświetlać się poprawnie lub może wyskoczyć komunikat o błędzie.Użytkownik zobaczy następujące trzy pliki znajdujące się na początku każdego katalogu zawierającego zaszyfrowane pliki

  • HELP_RECOVER_INSTRUCTIONS.PNG
  • HELP_RECOVER_INSTRUCTIONS.HTML
  • HELP_RECOVER_INSTRUCTIONS.TXT

CTB-locker

CTB-Locker rozpowszechnia się poprzez agresywny spam lub fałszywe wiadomości email. Dotyczą one zazwyczaj nieodebranego faksu, potwierdzenia zakupu lub płatności, które wymagają natychmiastowej reakcji. Po pobraniu fałszywego załącznika i uruchomieniu zainfekowanego pliku, dane są szyfrowane i jedynym sposobem na uzyskanie klucza jest zapłacenie okupu.

Podczas przeglądania sieci, należy również uważać na wyskakujące komunikaty, które oferują aktualizacje programów, takich jak Java lub Flash. One też mogą być próbą infiltracji przez CTB-Locker.

Oto skąd się wzięła nazwa tego ransomware. CTB jest skrótem od Curve-Tor-Bitcoin. Curve odnosi się do natrętnej kryptografii krzywych eliptycznych, która szyfruje plik za pomocą unikalnego klucza RSA. Z kolei Tor oznacza złośliwy serwer znajdujący się w domenie .onion (TOR), który bardzo trudno wykryć i wyłączyć. Wreszcie Bitcoin to metoda płatności, która omija tradycyjne systemy płatnicze uniemożliwiając śledzenie pieniędzy.

Locky

Locky bardzo przypomina wcześnie wymienione ransomware. Rozpowszechnia się za pośrednictwem zainfekowanych plików, takich jak .doc, .pdf. lub .xls załączonych do wiadomości spam. Email wydaje się być autentyczny dzięki podszywaniu się pod fakturę lub CV, które w firmie otrzymuje się regularnie. Kiedy użytkownik otworzy plik i włączy makra, aby go przeczytać, uruchamia się plik wykonywalny znany jako ransomware i rozpoczyna szyfrowanie plików.

Teslacrypt

TeslaCrypt jest kolejnym nowym rodzajem ransomware, który blokuje pliki z wykorzystaniem szyfrowania AES. Zazwyczaj rozprzestrzenia się poprzez exploit kit Angler, który w szczególności celuje w oprogramowanie Adobe. Po wykorzystaniu luki instaluje się w tymczasowym folderze.

Podobnie jak inne ransomware, użytkownik musi dokonać płatności (za pomocą karty PayPal My Cash lub w walucie Bitcoin), aby odszyfrować pliki.

Oprócz blokowania typowych plików, TeslaCrypt wyróżnia się spośród innych ransomware umiejętnością szyfrowania plików związanych z grami komputerowymi, takich jak zapisy stanu gry, profile gracza, niestandardowe mapy i modyfikacje przechowywane na dysku twardym. Popularne gry, takie jak MineCraft, World of Warcraft i Call of Duty są niektórymi z 40 gier będących celem TeslaCrypt.

Na szczęście, twórcy TeslaCrypt zakończyli swoją niechlubną działalność i za darmo udostępnili główny klucz deszyfrujący w połowie maja 2016 roku.

Torrentlocker

TorrentLocker rozprzestrzenia się za pomocą kampanii reklamowych i jest ukierunkowany geograficzne dostarczając wiadomości do określonych regionów. Korzysta z szyfrowania AES blokując szeroki zakres plików i żąda okupu w walucie Bitcoin po zakończeniu swojego zadania. TorrentLocker wyróżnia się umiejętnością pobierania adresów email z książki adresowej w celu dalszego rozprzestrzeniania się wśród użytkowników. Ponadto często jest określany jako „CryptoLocker” ze względu na podobną nazwę.

Jak chronić się przed ransomware?

W ciągu ostatnich kilku miesięcy ataki ransomware okupowały nagłówki wiadomości donoszące, że Uniwersytet Calgary płaci okup w wysokości 20 tys. dolarów lub Hollywood Presbyterian Medical Center płaci równowartość 17 tys. dolarów w walucie bitcoin.

Z pewnością nikt nie chciałby zapłacić takiej sumy pieniędzy za odszyfrowanie danych, ale najczęściej robi się to w akcie desperacji, gdy dostęp do plików jest naprawdę ważny i nie ma innego wyjścia jak tylko je odzyskać. Niemniej jednak, zagrożenie typu ransomware można z łatwością uniknąć. 

Świadomość i edukacja

Użytkownik nie musi zmieniać się w eksperta do spraw bezpieczeństwa, aby zrozumieć zasady działania ransomware, ale powinien wykształcić w sobie najlepsze praktyki w tym zakresie i szczególnie zwracać uwagę na aktualnie dostępne zagrożenia.

Warto podnosić swoją świadomość czytając o tym jak działają i rozprzestrzeniają się najnowsze ransomware. Powszechną tendencją są sztuczki socjotechnicznych z wykorzystaniem wiadomości email. Istnieje mnóstwo sposobów na dotarcie do potencjalnej ofiary, dlatego wiedza na ten temat pozwala całkowicie uniknąć kłopotów.

Regularna kopia zapasowa

Zdecydowanie najprostszy i najłatwiejszy nawyk, który warto sobie wyrobić. Rzecz w tym, aby nie zapomnieć o utworzeniu kopii zapasowej plików na dysku zewnętrzny, który nie jest podłączony do Internetu i odłączyć go zaraz po zakończeniu tego procesu.

Nawet jeśli haker włamie się do sieci użytkownika, nie będzie w stanie zainfekować kopii zapasowej i zablokować do niej dostęp. Nie trzeba wykonywać tej czynności codziennie (chyba że ważne pliki są tworzone regularnie), ale na przykład co tydzień lub co dwa. Po zainfekowaniu komputera przez ransomware, można wymazać dane z dysku i przywrócić system z kopii zapasowej.

Zawsze aktualne oprogramowanie

Twórcy malware mogą bez problemu wykorzystać luki w przestarzałym oprogramowaniu, aby uzyskać dostęp do systemu użytkownika. Dobrą praktyką jest częsta aktualizacja aplikacji, która zmniejsza ryzyko ataku ze strony ransomware. Jeśli to możliwe, należy włączyć automatyczne aktualizacje lub odwiedzić oficjalną stronę internetową producenta i ręcznie pobrać najnowszą wersję, ponieważ twórcy malware czasami ukrywają ransomware pod postacią aktualizacji oprogramowania.

Uwaga na załączniki i linki w email

Sprawdzanie poczty wymaga pewnego rodzaju skupienia. Z pomocą przychodzą ewidentne oznaki, które umożliwiają skuteczne rozpoznanie ransomware w wiadomości email.

Dla przykładu, jeśli użytkownik odbiera email z banku lub od przyjaciela twierdzący, że otrzymali coś od niego, powinien zatrzymać się, pomyśleć i to zweryfikować. To może być spam, wykorzystujący socjotechnikę mającą na celu przekonanie potencjalnej ofiary do pobrania załącznika lub kliknięcia linka. Po otrzymaniu wiadomości od nieznajomego lub renomowanej firmy zagranicznej posługującej się obcą domeną, również należy unikać klikania linków lub otwierania załączników.

Jeśli ktoś koniecznie chce sprawdzić podejrzany link, wystarczy najechać kursorem myszy na adres URL lub tekst. Powinien wyświetlić się adres strony docelowej, który można zweryfikować we własnym zakresie. Natomiast, gdy strona docelowa jest skróconym adresem URL, (np., bit.ly/adrde), należy unikać ich za wszelką cenę, ponieważ wiarygodne źródła nie stosują takich praktyk. To prawdopodobnie znak, że ktoś podjął starania, aby ukryć prawdziwą stronę docelową.

Dodatkowy pakiet bezpieczeństwa

Posiadanie programu antywirusowego i zapory sieciowe to bardzo dobry pomysł, szczególnie pomocny przy identyfikowaniu zagrożeń. Raport PandaLabs z 2016 roku wykazał, że dziennie powstaje 227 tys. nowych próbek malware i ta liczba nieustannie będzie wzrastać.

Przez pierwsze kilka godzin nie ma możliwości wykrycia większości z nich, a niektóre potrafią unikać detekcji nawet przez dłuższy okres czasu. To oznacza, że obecna wykrywalność danego antywirusa może nie być wystarczająco skuteczna i dokładna, aby chronić komputer użytkownika.

Zalecane jest wyposażenie się w dodatkową warstwę ochrony. Najczęściej ransomware działa w tajemnicy i po cichu szyfruje pliki bez wiedzy użytkownika, by po zakończeniu zadania wyświetlić żądanie wniesienia zapłaty. Pakiet bezpieczeństwa z funkcją białej listy skutecznie zablokuje każdą podejrzaną aplikację, która uruchomiła się bez wiedzy użytkownika.




Dodaj komentarz