Ransomware

Ransomware [1] [2] , ransomware [3] ( eng.  ransomware  - portti sanoista ransom  - ransom ja software  - software) - eräänlainen haittaohjelma , joka on suunniteltu kiristykseen , estää pääsyn tietokonejärjestelmään tai estää tietojen lukemisen tallennetaan siihen (usein salausmenetelmiä käyttäen) ja vaatii sitten uhrilta lunnaita palauttaakseen alkuperäisen tilan.

Kiristysohjelmien tyypit

Tällä hetkellä kiristysohjelmien toimintaan on olemassa useita radikaalisti erilaisia ​​lähestymistapoja:

• järjestelmän tiedostojen salaus
• estää tai häiritä järjestelmää
• estää tai häiritä selaimia

Järjestelmän työn estäminen tai häiritseminen

Kun Trojan.Winlock\LockScreen on asennettu uhrin tietokoneelle, ohjelma lukitsee tietokoneen järjestelmätoimintojen avulla ja lisätään käynnistykseen (vastaaviin järjestelmärekisterin haaroihin). Samanaikaisesti käyttäjä näkee ruudulla kuvitteellisen viestin, esimerkiksi väitetysti laittomista toimista, jotka käyttäjä on juuri tehnyt (jopa linkeillä lakipykäläihin), ja kokemattoman käyttäjän pelotteluun tähtäävä lunnaita - lähetä maksettu tekstiviesti , täydentää jonkun toisen tiliä [4] , myös nimettömällä tavalla, kuten BitCoin. Lisäksi tämän tyyppiset troijalaiset eivät usein tarkista salasanaa. Tässä tapauksessa tietokone pysyy toimintakunnossa. Usein on olemassa uhka kaikkien tietojen tuhoutumisesta, mutta tämä on vain yritys pelotella käyttäjää [5] . Joskus virukseen sisältyy edelleen tietojen tuhoamistyökaluja, kuten epäsymmetrisen avaimen salaus, mutta ne joko eivät toimi kunnolla tai toteutus on heikko. Tiedossa on tapauksia, joissa itse Troijan koodissa on tiedoston salauksenpurkuavain, samoin kuin tekninen mahdottomuus purkaa tietoja hakkerin itsensä toimesta (maksetuista lunnaista huolimatta), koska jopa hän ei ole tai menettänyt tätä avainta.

Joskus on mahdollista päästä eroon viruksesta käyttämällä viruksentorjuntasivustoilla olevia estonpoistolomakkeita tai virustorjuntayritysten luomia erikoisohjelmia eri maantieteellisille alueille, joilla troijalaiset ovat aktiivisia ja pääsääntöisesti vapaasti saatavilla. Lisäksi joissakin tapauksissa vikasietotilassa on mahdollista löytää troijalainen prosessi tehtävänhallinnasta , löytää sen tiedosto ja poistaa se. On myös syytä ottaa huomioon, että troijalainen pystyy joissakin tapauksissa pysymään toiminnassa jopa vikasietotilassa. Tällaisissa tapauksissa sinun on siirryttävä vikasietotilaan komentorivillä ja suoritettava Explorer-prosessi konsolissa ja poistettava troijalainen tai käytettävä virustorjuntaohjelmien palveluita.

Tiedostojen salaus järjestelmässä

Kun ohjelma on asennettu uhrin tietokoneelle, se salaa suurimman osan työtiedostoista (esimerkiksi kaikki tiedostot, joilla on yhteiset tiedostotunnisteet). Tässä tapauksessa tietokone pysyy toimintakunnossa, mutta kaikkiin käyttäjätiedostoihin ei pääse käsiksi. Hyökkääjä lupaa lähettää ohjeet ja salasanan tiedostojen salauksen purkamiseen rahasta.

Salausvirukset ilmestyivät kronologisesti winlockersin jälkeen. Niiden jakelu liittyy UAC :n ja Microsoftin hot-fix-korjauksiin: järjestelmään rekisteröityminen ilman käyttäjien tietämättä muuttuu vaikeammaksi, mutta tietokone on suunniteltu toimimaan käyttäjätiedostojen kanssa! Ne voidaan vioittaa jopa ilman järjestelmänvalvojan oikeuksia.

Näitä huijauksia ovat mm

• Troijalainen -Ransom.Win32.Cryzip/Gpcode/Rector/Xorist; WannaCry 2.0 Petya ; paha kani

Jakelutavat

Kiristysohjelmiin liittyvät ohjelmat ovat teknisesti yleinen tietokonevirus tai verkkomato , ja tartunta tapahtuu samalla tavalla - massapostituksesta, kun suoritettava tiedosto käynnistetään, tai verkkopalvelun haavoittuvuuden kautta.

Tärkeimmät kiristysohjelmien jakelureitit: [6]

• verkkoselaimen haavoittuvuudet ( hyökkäykset <iframe> , XSS jne.)
• sähköpostiohjelman haavoittuvuuksia
• käyttöjärjestelmän haavoittuvuuksia
• haitallisen sisällön lataaminen tartunnan saaneilta verkkosivustoilta
• botnetin kautta
• pelipalvelimien kautta (Trojan-Ransom.Win32.CiDox) [7]

tapoja taistella

Yleiset henkilötietokurin säännöt:

• säännöllinen varmuuskopiointi tärkeistä tiedostoista;
• Internet-suojaustason virustorjunta , jossa on tuoreet tietokannat, läsnäolo tietokoneessa ;
• kaikkien uusien ohjelmien virustorjuntatarkistus ennen niiden ensimmäistä käynnistämistä;
• epäilyttävien ohjelmien suorittaminen virtuaaliympäristössä ("turvallinen ympäristö", " hiekkalaatikko "), jos virustorjunta tarjoaa tällaisen mahdollisuuden;
• käyttöjärjestelmän komponenttien säännöllinen päivitys ( Windows Update );
• syyllisyysolettama ja puolueellisuus kaikkia vastaanotettuja binaaritiedostoja kohtaan millä tahansa tavalla.

Siinä tapauksessa, että tartunta on jo tapahtunut, kannattaa käyttää virustorjuntayritysten tarjoamia apuohjelmia ja palveluita. Tartunta ei kuitenkaan ole läheskään aina mahdollista eliminoida maksamatta lunnaita [8] .

Historia

Ransomware-virukset ovat tartuttaneet tietokoneiden käyttäjiä toukokuusta 2005 lähtien. Seuraavat tapaukset tunnetaan: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Tunnetuin virus on Gpcode ja sen muunnelmat Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Jälkimmäinen on huomionarvoinen siitä, että se käyttää RSA-algoritmia 1024-bittisellä avaimella tiedostojen salaamiseen.

Maaliskuussa 2013 Dr. Webistä löydettiin ArchiveLock-lunnasohjelma, joka hyökkäsi käyttäjiä vastaan ​​Espanjassa ja Ranskassa , joka käyttää laillista WinRAR - arkistaattoria [9] tiedostojen salaamiseen haitallisten toimien suorittamiseen , ja sitten salauksen jälkeen poistaa alkuperäiset tiedostot pysyvästi Sysinternals SDelete -apuohjelmalla [10 ] .

Seuraava tosiasia puhuu nousevan rikollisen liiketoiminnan laajuudesta. Vuoden 2013 lopussa CryptoLocker-lunnasohjelma käytti Bitcoin - maksujärjestelmää lunnaiden keräämiseen. Joulukuussa 2013 Bitcoin-tapahtumia koskevien tietojen saatavuuden perusteella ZDNet arvioi tartunnan saaneiden käyttäjien varojen siirrot 15. lokakuuta ja 18. joulukuuta välisenä aikana. Pelkästään tämän ajanjakson loppuun mennessä CryptoLocker-operaattorit olivat onnistuneet keräämään noin 27 miljoonaa dollaria bitcoinien silloisella hinnalla. [yksitoista]

2017 : WannaCry (toukokuu) [12] ; Petya (kesäkuu) [13] [14] ; Bad Rabbit (lokakuu) [15]

Maantiede

Internetin avulla hyökkääjät voivat toimia kaikkialla maailmassa: vain Australiassa virallisten tietojen mukaan elokuusta joulukuuhun 2014 tapahtui noin 16 tuhatta online-kiristysjaksoa, kun taas lunnaiden kokonaissumma oli noin 7 miljoonaa dollaria [8] .

Asiantuntijoiden mukaan epäsuorat merkit viittaavat ransomware-kehittäjien yhteyteen Venäjään ja entisiin Neuvostoliiton tasavaltoihin . Seuraavat tosiasiat puhuvat tämän version puolesta [16] :

• Suurin osa kiristysohjelmia tarjoavista mainoksista julkaistaan ​​pimeän verkon venäjänkielisillä foorumeilla .
• Hakkeriryhmien toiminta Internetissä osuu pääasiassa työaikaan Moskovan aikaa ja poissa viikonloppuisin ja pyhäpäivinä venäläisen kalenterin mukaan.
• Haittaohjelmat sisältävät usein koodia, joka estää niitä tartuttamasta järjestelmiä venäläisellä näppäimistöasettelulla.
• Kiristyksen uhrien määrä Venäjällä on vähäinen verrattuna länsimaihin.

Katso myös

• Haittaohjelma

Muistiinpanot

1. ↑ IT-termit: ammattislangista huumorilla . Haettu 28. helmikuuta 2018. Arkistoitu alkuperäisestä 1. maaliskuuta 2018. (Venäjän kieli)
2. ↑ Ransomware - Ransomware - Anti-Malware - Cis . Haettu 28. helmikuuta 2018. Arkistoitu alkuperäisestä 3. marraskuuta 2017. (Venäjän kieli)
3. ↑ Terminologiahaku - Microsoft Language Portal . Haettu 16. syyskuuta 2017. Arkistoitu alkuperäisestä 31. lokakuuta 2017. (Venäjän kieli)
4. ↑ Grigori Sobtšenko. Huijarit jäivät kiinni tekstiviestistä . Kommersant . kommersant.ru (27. elokuuta 2010). Haettu 11. huhtikuuta 2013. Arkistoitu alkuperäisestä 17. toukokuuta 2014. (Venäjän kieli)
5. ↑ Aleksei Dmitrijev. Uudet kiristysohjelmat ryöstävät meidät suosittujen selainten kautta . Moskovsky Komsomolets . Moskovsky Komsomolets (2. huhtikuuta 2013). Haettu 9. huhtikuuta 2013. Arkistoitu alkuperäisestä 19. huhtikuuta 2013. (Venäjän kieli)
6. ↑ Webin tärkeimmät uhat on nimetty: kiinalaiset hakkerit ja kiristysohjelmat troijalaiset . Uusia uutisia . newizv.ru (26. tammikuuta 2010). Haettu 11. huhtikuuta 2013. Arkistoitu alkuperäisestä 17. toukokuuta 2014. (Venäjän kieli)
7. ↑ Vjatšeslav Kopetsev, Ivan Tatarinov. Ransomware-troijalaiset . SecureList . securelist.com (12. joulukuuta 2011). Haettu 11. huhtikuuta 2013. Arkistoitu alkuperäisestä 5. syyskuuta 2012. (Venäjän kieli)
8. ↑ 1 2 "Ransomware: Your money or your data", arkistoitu 23. tammikuuta 2015 Wayback Machinessa The Economist , 17. tammikuuta 2015
9. ↑ Haittaohjelmat salaavat uhrien tietokoneilla olevat tiedostot WinRAR:n avulla . Anti-Malware.ru _ anti-malware.ru (15. maaliskuuta 2013). Haettu 9. huhtikuuta 2013. Arkistoitu alkuperäisestä 17. huhtikuuta 2013. (Venäjän kieli)
10. ↑ Andrei Vasilkov. Herd of Pacers: Kymmenen nykyajan omaperäisintä ja suosituinta troijalaista . Computerra . computerra.ru (21. maaliskuuta 2013). Haettu 17. huhtikuuta 2013. Arkistoitu alkuperäisestä 5. toukokuuta 2013. (Venäjän kieli)
11. ↑ Violettisininen. CryptoLockerin rikosaalto: miljoonien pestyjen Bitcoinien jälki  (englanniksi) . ZDNet (22. joulukuuta 2013). Haettu 4. heinäkuuta 2015. Arkistoitu alkuperäisestä 23. joulukuuta 2013.
12. ↑ Hakkerihyökkäys maailmanlaajuisesti. Ransomware - virus hyökkäsi tietokoneisiin ympäri maailmaa
13. ↑ Kiristysohjelmavirus hyökkäsi venäläisiä yrityksiä vastaan. Arkistokopio 27.6.2017 Wayback Machinessa // RG, 27.06.2017
14. ↑ Petya-virus hyökkäsi Tšernobylin ydinvoimalaan Arkistokopio 27.6.2017 Wayback Machinessa // RG, 27.6.2017
15. ↑ Ryhmä-IB: Bad Rabbit -salausvirus hyökkäsi venäläistä mediaa  (venäläinen) TASSia vastaan . Arkistoitu alkuperäisestä 26. lokakuuta 2017. Haettu 26. lokakuuta 2017.
16. ↑ Miksi kyberjengit eivät välitä Yhdysvaltain ja Venäjän välisistä keskusteluista Arkistoitu 22. kesäkuuta 2021 the Wayback Machine , BBC, 20.6.2021

Linkit

• Crypto ransomware Amigo A -blogissa
• Palvelu 270 kiristysohjelman  (englanniksi) määrittämiseksi näytetyn viestin perusteella ( venäjänkieliset käyttöohjeet osoitteesta Helpsetup.ru)
• "Blackmailer" - Gpcoden salausanalyysi Kaspersky Labissa , 16. kesäkuuta 2006
• winlock. Esimerkkejä ja tapoja taistelusta. // JustPC, 2012

Yrityksen julkaisut:

• Erikoisraportti: Ransomware and Businesses 2016 (Symantec  )
• Ransomwaren ymmärtäminen ja sen voittamisen strategiat (McAfee Labs of Intel Security, 2016  )
• Ransomwaren nykytila ​​( Sophos , joulukuu 2015  )

Artikkelit:

• CryptoLock (ja pudota se ) : Käyttäjätietoihin kohdistuvien kiristysohjelmien hyökkäysten pysäyttäminen / IEEE:n 36. kansainvälinen konferenssi hajautetuista tietokonejärjestelmistä 
• Ransomware Whitepaper / CERT.be  Internet Crime Complaint Center