Što je Ransomware i zašto nitko nije imun?
Datum objave 26.09.2016 - Sanja Ledinek
Što je Ransomware i zašto nitko nije imun?
Ransomware maliciozni program koji šifrira i zaključava datoteke i/ili čitave uređaje eskalirao je u listopadu 2013. godine. Postao je jedna od najopasnijih sigurnosnih prijetnji u svijetu. Poprima sve ozbiljne dimenzije i nitko nije imun na viktimizaciju. S druge strane donosi vrtoglave zarade napadačima. Što sve trebate znati o Ransomware malware pročitajte u nastavku.
Prvi Ransomware (ransom=otkupnina; ware=izvedenica od softvera) maliciozni kôd nastao je davne 1989. godine pod nazivom AIDS-Trojan. Prema podacima sigurnosnih stručnjaka, prvi poznat napad dogodio se u Rusiji u 2005. Tijekom proteklih 11 godina proširili su se napadi na sve krajeve svijeta. Danas Ransomware ima više od 230 varijanti i podvarijanti za napad osobnih računala, servera i mobilnih uređaje s Android operativnim sustavom. Istraživanja pokazuju da su Android ransomware prijetnje porasla 15 puta u lipnju 2016. u odnosu na travanj 2015. godine.
Izvor: KSN REPORT
S obzirom na način djelovanja, ransomware bi mogli podijeliti grubo u dva tipa. Prvi je Encrypting ransomware. Uključuje napredne algoritme šifriranja (CryptoLocker, Locky, CrytpoWall, Cryptobit, TorrentLocker, TeslaCrypt, Zepto, Calipso, Pokemon...). Drugi je Locker Ransomware. Namijenjen je zaključavanju operativnog sustava ili onemogućavanju njegova podizanja ( Master Boot Record Ransomware). Manje je raširen što ne mora značiti da će tako ostati.
Izvor: CERT-RO
Kako se postaje žrtva Ransomware napada?
Ransomware se distribuira preusmjeravanjem internet prometa na zlonamjerne web stranice, iskorištavanjem ranjivosti u Adobe Flash datotekama, putem lažnih Java ažuriranja, preuzimanjem aplikacija i nadogradnji s nelegalnih web stranica itd. Nisu niti nepoznati scenariji ubacivanja zlonamjernog kôda u računala tvrtke od strane nezadovoljnih djelatnika korištenjem USB flash memorije. Nažalost može se kupiti gotov malware koji uključuju upute i panel gdje se mogu pratiti infekcije i povrat na investiciju.
Ipak u 46% slučajeva je najučestalija distribucija e-pošta. Napadač u sadržaju baci mamac potencijalnoj žrtvi da klikne na određenu poveznicu ili otvori zaštićenu ZIP datoteku iz privitka sa zlonamjernim kodom. Ukratko, iskorištava se ljudski faktor i njegove slabosti za aktiviranje zaraza.
Izvor: KSN REPORT
Kako dolazi do ransomware infekcije uređaja?
Iako je faza infekcije malo drugačija za svaku Ransomware verziju, postoje neki ključni zajednički elementi. Jednom pokrenut zlonamjerni kôd se maskira da prođe neopaženo od strane tradicionalnih antivirusnih programa, sprema u mapu korisničkog profila (za računala npr. AppData, LocalAppData) i započinje kriptiranje (zaključavanje) cijelog sadržaja tvrdog diska. Čak podataka pohranjenih u oblak računima (Google Drive, Dropbox) sinkroniziranim na računalu.
Za kriptiranje kriminalci koriste razne algoritme uključujući i 2048 bitni RSA.
koji ima dva ključa: javni i privatni. Napadač dobiva u datom trenutku javni ključ koji služi samo za šifriranje sa svog Command & Control poslužitelja, ubacuje ga npr. u Windows Registry ključ: HKCUSoftwareCryptoLockerPublic Key ( kako bi bili sigurni da radi svaki put kada se računalo pokrene), a privatni ključ za dešifriranje se pohranjuje na nekom udaljenom napadačevom serveru. I to se događa u samo nekoliko sekundi.
Izvor: phys.org
Kada se završi kriptiranje prikazuje se poruka korisniku na zaslonu (obično pisana jezikom za određena zemljopisna područja) u kojoj se navodi da je potrebno izvrši uplatu otkupnine uz vremensko ograničenje, kako bi računalo i svi podaci bili opet funkcionalni za rad. Ne plati li se u navedenom roku zatražena svota, cijena se podiže ili će jednostavno ključ bit uništen i svi podaci izgubljeni zauvijek. Otkupnina se razlikuje. Može bit minimalno 300 dolara za privatne korisnike do 10 000 dolara i više za tvrtke, javne ustanove itd.
Što žrtva može učiniti? Treba li platiti otkupninu ili ne?
Prva opcija je potražiti pomoć od profesionalnog informatičara koji će pokušati napraviti dekripciju, vratiti datoteke koristeći Safe Mod, Sistemske točke, Decryptolocker alat itd. Imajte na umu da većina metoda koje se bave uklanjanjem problema nastalih Ransomware zarazom zastarijevaju nevjerojatnim brzinama, pa čak i profesionalni alati. Nije zajamčeno da će IT stručnjak biti u mogućnosti spasiti sve datoteke .
Druga opcija je probati nabaviti nekakav softver treće strane za dekodiranje koji se može kupiti online, ali nije preporučljivo. Postoji velika vjerojatnost da upravo programeri malicioznog koda stoje iza softvera za dekodiranje kako bi dobili više prihoda, a nije funkcionalan.
Treća mogućnost, ujedno najučinkovitija, je pomoću sigurnosne kopije datoteka (backup) vratiti podatke na točku prije infekcije. Ali povrat je moguć samo ako je sigurnosna kopija nastala metodom periodičke izrade, nije nastala automatski stalnom povezanošću s Internetom. Zašto? U slučaju automatske izrade kopije podataka, šifrirane datoteke biti će automatizmom zamijenjene s regularnim.
Ako ništa od navedenog nije uspjelo, jedini izlaz iz ove nevolje je platiti otkupnina cyber kriminalcima. Globalno gledano, više od 40 posto žrtava plati otkupninu. Američki Savezni ured za istrage je objavio da su u prva tri mjeseca 2016. godine tvrtke koje su pretrpjele napad isplatile kriminalcima 209 milijuna dolara otkupnine. Pridodamo li iznose koji nisu prijavljeni, suma je znatno veća.
Plaćanja nije jednostavno jer kriminalci vole virtualnu Bitcoin valutu kako bi izbjegli praćenje od strane agencija za provedbu zakona oko uplate otkupnine. Često se u kratkom roku ne može nabaviti dovoljna količina bitcoina i stresna situacija se još više pojačava.
Nakon što se podmire financijska potraživanja prema napadaču, žrtvi bi se trebale dekriptirati datoteke. Kažemo, trebale, jer jamstva nema da će to i učiniti. Mogu tražiti još novca. Pokažu li se cyber kriminalci i poslovno korektni, realno žrtva ne može biti mirna. Često ransomware može usput izvući podatke poput korisničkih imena, e-mail adresa, lozinke, itd. i poslati na server kriminalaca. Također ostaje otvoreno pitanje jesu li napadači očistili zlonamjerni kod ili je dalje ostao prikriven kako bi ga za nekoliko mjeseci opet aktivirali. Takvih slučaja je bilo.
Kako se zaštititi – prevencija
Iskreno, nema sto posto pouzdane metode za zaštitu od Ransomware zaraze. Još jedna loša vijest je da cyber kriminalci uče iz svojih pogrešaka i osmišljavaju sofisticiranije, jače i nametljivije ransomware maliciozne kodove iz dana u dan. Ono što ipak možete napraviti je sljedeće:
- redovno ažurirajte operacijski sustav i aplikacije
- ne pohranjujte važne podatke samo na PC-u ili tabletu ili pametnim telefonu Spremite ih ne DVD, USB flash disk, vanjski disk…
- Spremate li podatke u oblak ( Dropbox / Google Drive / OneDrive / etc.) nemojte imati uključenu automatsku sinkronizaciju prema postavkama. Pokrenite ju ručno jednom dnevno ili tjedno i isključite po provedenoj akciji.
- ne otvarajte poveznice u e-pošti i ne preuzimajte privitke dobivene od sumnjivih, neočekivanih izvora, čak i ako izvor izgleda poznato.
- za svakodnevnu upotrebu ne koristite se administratorskim računom na računalu. Koristite račun za goste s ograničenim ovlastima.
- isključite makronaredbe u Microsoft Office - Word, Excel, PowerPoint i sl.
- instalirajte neki od anti-ransomware alata (CryptoPrevent, CryptoMonitor) i pouzdan anti-spyware te svakodnevno pokrećite skeniranje cijelog sustava s njim.
- zanemarite neželjene pop-up oglase ili upozorenja da bi trebali nadograditi neku aplikaciju ili "uzbunjivanja" od tvrtki kao što su Microsoft, jer imate problem na računalu, za vrijeme posjeta nepoznatim ili čak poznatim web stranicama
- uklonite sljedeće dodatke iz web preglednika: Adobe Flash, Adobe Reader, Java i Silverlight. Ako ih baš morate koristiti, uključite opciju da vas preglednik pita želite li aktivirati dodatak kada je to potrebno.
- Koristite blokiranje oglasa kako bi izbjegli opasnost od potencijalno zlonamjernih oglasa.