wtorek 07 luty 2017 | Robert Kamiński

Historia pewnego cyfrowego porwania

Ransomware jest wyj─ůtkowo z┼éo┼Ťliwym oprogramowaniem. Walka z nim jest bardzo trudna, a chwila nieuwagi mo┼╝e kosztowa─ç kilka tysi─Öcy z┼éotych lub utrat─Ö warto┼Ťciowych danych.

Wiele osób uwa┼╝a, ┼╝e ransmomware atakuje tylko ┼Ťrednie i du┼╝e firmy. Ale to nieprawda. Zach─Öcamy do zapoznania si─Ö z poni┼╝sz─ů histori─ů. To nie science fiction, podobne zdarzenia mia┼éy miejsce w globalnej sieci.

Ponury Sylwester

Sprawa nie wysz┼éaby poza salon jednego z warszawskich mieszka┼ä gdzie odbywa┼é si─Ö Sylwester grupy przyjació┼é. Rok 2016 przeszed┼é ju┼╝ do historii. Imprezowicze rozmawiali o wypadkach z poprzedniego dnia. Sylwia, jedna z paczki, rozes┼éa┼éa reszcie grupy maile ze z┼éo┼Ťliwym za┼é─ůcznikiem.  Nieumy┼Ťlnie jak s─ůdzili.

Shame, sham, shame! Ding, ding, ding!

Tylko Sylwia, ma┼éomówna jak nigdy dot─ůd, zna┼éa prawd─Ö.  Pad┼éa ofiar─ů ataku wirusa szyfruj─ůcego o nazwie Popcorn Time. Zdj─Öcie jego twórców mog┼éyby figurowa─ç w s┼éowniku pod has┼éem – wyrachowani hakerzy.

Daj─ů oni mo┼╝liwo┼Ť─ç wyboru formy ratunku zaatakowanej osobie. Za odszyfrowanie plików na zaatakowanym komputerze ┼╝─ůdaj─ů okupu w wysoko┼Ťci 1 BTC (kurs z dnia 4.01.2017 to 4703,00 PLN) lub rozes┼éania wirusa w┼Ťród swoich znajomych i zainfekowania tym samym co najmniej dwójki z nich. Sylwia wybra┼éa drug─ů, ta┼äsz─ů metod─Ö odzyskania swoich zdj─Ö─ç z wakacji czy te┼╝ prezentacji z raportem, który przygotowywa┼éa na po┼Ťwi─ůteczny powrót do Mordoru

Ransomware – a co   to?

To obecnie najbardziej medialne, najbardziej dochodowe i zarazem najbardziej przera┼╝aj─ůce zagro┼╝enie dla zwyk┼éych u┼╝ytkowników Internetu. To rodzaj z┼éo┼Ťliwego oprogramowania, które szyfruje lub blokuje dost─Öp do naszych plików celem wymuszenia op┼éaty za ich odzyskanie. Cyberporywacze najcz─Ö┼Ťciej wykorzystuj─ů 2 sprawdzone metody dostarczenia z┼éo┼Ťliwych plików na nasze komputery.

  1. Kampanie spamowe, w których wykorzystywane s─ů wcze┼Ťniej wykradzione bazy mailingowe. Ofiar─ů takiego wycieku by┼éa Sylwia. Wiadomo┼Ťci w takich kampaniach zawieraj─ů najcz─Ö┼Ťciej z┼éo┼Ťliwe za┼é─ůczniki lub przekierowania do zainfekowanych stron www.
  2. Ataki drive-by-download wykorzystuj─ůce luki w zainstalowanym oprogramowaniu. W tym przypadku nie musimy otwiera─ç za┼é─ůcznika czy te┼╝ klika─ç w link. Zainfekowana strona na której znale┼║li┼Ťmy si─Ö np. przypadkiem lub dowolny baner reklamowy w sieci zawiera skrypt, który automatycznie pobiera wirusa na nasze urz─ůdzenie.

Historia ransomware w skrócie

1990 – AIDS trojan to plik rozsy┼éany tradycyjn─ů poczt─ů z wykorzystaniem dyskietek! Komunikat z ┼╝─ůdaniem okupu drukowany by┼é w wersji papierowej na drukarce ofiary.
2005 – pierwszy ransomware z szyfrowaniem asymetrycznym. Bez klucza praktycznie nie do z┼éamania.
2013/2014 – pocz─ůtek lawinowego wzrostu liczby zagro┼╝e┼ä okre┼Ťlanych jako ransomware.
2016 – pierwszy wirus szyfruj─ůcy urz─ůdzenia z Androidem.

Bezu┼╝yteczny pomagier                                                                   

Z kilku powodów przyjaciele Sylwii nie do┼é─ůczyli do powi─Ökszaj─ůcego si─Ö grona ofiar cyberprzest─Öpców.  Par─Ö osób ostatni dzie┼ä roku sp─Ödzi┼éo z dala od komputerów, cz─Ö┼Ť─ç zastosowa┼éa zasad─Ö ograniczonego zaufania nawet w kwestii maila od zaufanej osoby. Natomiast o kilkoro uczestników Sylwestra zadba┼éy odpowiednie pakiety antywirusowe zainstalowane na ich komputerach.

Jak to dzia┼éa?                                                                                              

Twórcy ransowmare nie ustaj─ů w wysi┼ékach, by ulepszy─ç swoje produkty przynosz─ůce im niema┼ée dochody. Wiele grup hakerskich przerzuci┼éo si─Ö z trojanów bankowych na dystrybucje wirusów szyfruj─ůcych, które przynosz─ů wi─Ökszy zwrot z inwestycji.

Mowa nie tylko o ulepszaniu z┼éo┼Ťliwego kodu, ale tak┼╝e metodach jego rozprzestrzeniania oraz coraz bardziej zaskakuj─ůcych metodach socjotechnicznych. Hakerzy usi┼éuj─ů zastraszy─ç swoje ofiary sugeruj─ůc odnalezienie na ich dyskach pirackich plików lub zakazanych tre┼Ťci pornograficznych. Z kolei twórcy Popcorn Time, który zaszyfrowa┼é pliki Sylwii podaj─ů si─Ö za syryjskich rebeliantów zmuszonych do pozyskiwania funduszy w ten niecny sposób. Obie metody maj─ů przy┼Ťpieszy─ç podj─Öcie decyzji o zap┼éacie.

W przypadku technologii tak┼╝e mamy do czynienia z tzw. dwiema szko┼éami. Bardziej zaawansowane grupy wci─ů┼╝ doskonal─ů swoje z┼éo┼Ťliwe oprogramowanie. Przyk┼éadem mo┼╝e by─ç wirus Petya szyfruj─ůcy nie pliki, a powiedzmy spis tre┼Ťci czyli tablic─Ö MFT (master file table) pozwalaj─ůc─ů na dotarcie do plików na dysku. Natomiast ransomware Locky by┼é pierwszym zagro┼╝eniem potrafi─ůcym szyfrowa─ç pliki w sieci lokalnej oraz pliki zapisane w chmurze. Oznacza to coraz mniej bezpiecznych miejsc na umieszczenie najwa┼╝niejszych kopii naszych plików.

Mniej biegli w kodowaniu tzw. script kiddies id─ů na ilo┼Ť─ç rozprzestrzeniaj─ůc wirusy szyfruj─ůce na które do┼Ť─ç cz─Östo mo┼╝emy znale┼║─ç w sieci antidotum w postaci deszyfratorów.

Co robi─ç, jak  ┼╝y─ç?

Prewencja to podstawa! Poni┼╝ej prezentujemy 7 sposobów na unikni─Öcie ransomware:

  1. Fundament to sprawdzone oprogramowanie antywirusowe
  2. Kopie zapasowe najwa┼╝niejszych dla nas plików (zdj─Öcia, arkusze z pracy itp.)
  3. Aktualizacja głupcze! Oprogramowanie na Twoim komputerze powinno być zawsze możliwie najbardziej aktualne. Dzięki temu zamkniesz luki bezpieczeństwa.
  4. Sprawdzaj dok┼éadnie korespondencje mailow─ů.
  5. Nie klikaj w przekierowanie bez uprzedniego zastanowienia.
  6. Je┼╝eli klikn─ů┼ée┼Ť to sprawd┼║ czy jeste┼Ť na stronie na która chcia┼ée┼Ť trafi─ç.
  7. Pracuj na koncie u┼╝ytkownika, nigdy administratora (UAC – user account control)

Nigdy nie p┼éa─ç okupu! 

      
Hakerzy to nie postacie z filmu. Obecnie to prawdziwi gangsterzy, którzy pieni─ůdze pozyskane na przest─Öpstwach w sieci mog─ů wykorzysta─ç w prawdziwym ┼Ťwiecie krzywdz─ůc niewinne osoby.

G DATA