Kas ir Ransomware?
Ransomware ir ļaunprātīgas programmatūras veids (ļaunprātīga programmatūra), kas var parādīties dažādos veidos, ietekmējot atsevišķas sistēmas, kā arī uzņēmumu, slimnīcu, lidostu un valsts aģentūru tīklus.
Izpirkuma programmatūra tiek pastāvīgi uzlabota, un tā kļūst arvien sarežģītāka kopš pirmās reģistrētās parādības 1989. gadā. Lai gan parastie formāti parasti ir nešifrēšanas izspiedējvīrusi, mūsdienu formātos tiek izmantotas kriptogrāfijas metodes, lai šifrētu failus, padarot tos nepieejamus. Šifrēšanas izpirkuma programmatūru var izmantot arī cietajos diskos, lai pilnībā bloķētu datora operētājsistēmu, neļaujot cietušajam tai piekļūt. Pēdējais mērķis ir pārliecināt upurus maksāt par atšifrēšanas izpirkuma maksu – ko parasti prasa digitālās valūtās, kuras ir grūti izsekot (piemēram, Bitcoin vai citas kriptovalūtas). Tomēr nav garantijas, ka uzbrucēji veiks maksājumus.
Pēdējā desmitgadē (īpaši 2017. gadā) ir ievērojami augusi izspiedējprogrammatūras popularitāte un kā finansiāli motivēts kiberuzbrukums šobrīd ir visievērojamākais ļaundabīgās programmatūras drauds pasaulē – ziņo Eiropols (IOCTA 2018).
Kā tiek radīti upuri?
Pikšķerēšana: atkārtots sociālās inženierijas veids. Izpirkuma programmatūras kontekstā pikšķerēšanas e-pasta ziņojumi ir viens no visizplatītākajiem ļaunprātīgas programmatūras izplatīšanas veidiem. Upuri parasti inficējas, izmantojot apdraudētus e-pasta pielikumus vai saites, kas ir maskētas kā likumīgas. Datoru tīklā ar vienu upuri var pietikt, lai kompromitētu visu organizāciju.
Exploit Kits: pakotne, kas sastāv no dažādiem ļaunprātīgiem rīkiem un iepriekš uzrakstīta ļaunprātīgas koda. Šie komplekti ir paredzēti, lai izmantotu programmatūras lietojumprogrammu un operētājsistēmu problēmas un ievainojamības, lai izplatītu ļaunprātīgu programmatūru (visbiežāk sastopamie mērķi ir nedrošas sistēmas, kurās darbojas novecojusi programmatūra).
Ļaunprātīga darbība: uzbrucēji izmanto reklāmas tīklus, lai izplatītu izspiedējvīrusu programmatūru.
Kā pasargāt sevi no ransomware uzbrukumiem?
Izmantojiet ārējos avotus, lai regulāri dublētu failus, lai jūs varētu tos atjaunot pēc iespējamās infekcijas noņemšanas;
Esiet piesardzīgs ar e-pasta pielikumiem un saitēm. Neklikšķiniet uz nezināma avota reklāmām un vietnēm;
Instalējiet uzticamu antivīrusu un atjauniniet savas programmatūras lietojumprogrammas un operētājsistēmu;
Windows iestatījumos iespējojiet opciju Rādīt failu paplašinājumus, lai varētu viegli pārbaudīt savu failu paplašinājumus. Izvairieties no failu paplašinājumiem, piemēram, .exe .vbs un .scr;
Neapmeklējiet vietnes, kuras nav aizsargātas ar HTTPS protokolu (t.i., URL, kas sākas ar “https://”). Tomēr paturiet prātā, ka daudzas ļaunprātīgas vietnes ievieš HTTPS protokolu, lai mulsinātu upurus, un protokols vien negarantē, ka vietne ir likumīga vai droša.
Apmeklējiet vietni NoMoreRansom.org — vietni, ko izveidojuši tiesībaizsardzības un IT drošības uzņēmumi, kas strādā, lai izjauktu izspiedējvīrusu programmatūru. Vietne piedāvā bezmaksas atšifrēšanas rīku komplektus inficētiem lietotājiem, kā arī profilakses padomus.
Ransomware piemēri
GrandCrab (2018)
Pirmo reizi 2018. gada janvārī, izspiedējprogrammatūra ieguva vairāk nekā 50 000 upuru mazāk nekā mēneša laikā, pirms to pārtrauca Rumānijas iestāžu, kā arī Bitdefender un Eiropola darbs (ir pieejams bezmaksas datu atkopšanas komplekts). GrandCrab tika izplatīts, izmantojot ļaunprātīgas reklāmas un pikšķerēšanas e-pastus, un tas bija pirmais zināmais izpirkuma programmatūra, kas pieprasīja izpirkuma maksu DASH kriptovalūtā. Sākotnējā izpirkuma maksa svārstījās no 300 līdz 1500 ASV dolāriem.
WannaCry (2017)
Vispasaules kiberuzbrukums, kas 4 dienu laikā inficēja vairāk nekā 300 000 datoru. WannaCry tika izplatīts, izmantojot ekspluatāciju, kas pazīstama kā EternalBlue, un mērķēja uz Microsoft Windows operētājsistēmām (lielākā daļa ietekmēto datoru darbojās ar Windows 7). Uzbrukums tika apturēts Microsoft izdoto ārkārtas ielāpu dēļ. ASV drošības eksperti apgalvoja, ka Ziemeļkoreja ir atbildīga par uzbrukumu, lai gan pierādījumi netika sniegti.
Bad Rabbit (2017)
Izpirkuma programmatūra, kas tika izplatīta kā viltots Adobe Flash atjauninājums, kas tika lejupielādēts no apdraudētām vietnēm. Lielākā daļa inficēto datoru atradās Krievijā, un inficēšanās bija atkarīga no manuālas .exe faila instalēšanas. Cena par atšifrēšanu tajā laikā bija aptuveni 280 ASV dolāri (0,05 BTC).
Lokijs (2016)
Parasti tiek izplatīts pa e-pastu kā rēķins, par kuru ir jāveic maksājums un kurā bija inficēti pielikumi. 2016. gadā Holivudas presbiteriešu medicīnas centrs tika inficēts ar Lokiju un samaksāja 40 BTC izpirkuma maksu (toreiz 17 000 ASV dolāru), lai atgūtu piekļuvi slimnīcas datorsistēmām.
