Ransomware

Ransomware [1] [2] , ransomware [3] ( eng.  ransomware  - en samling af ordene løsesum  - løsesum og software  - software) - en type ondsindet software designet til afpresning , blokerer adgang til et computersystem eller forhindrer læsning af data optaget i den (ofte ved hjælp af krypteringsmetoder), og kræver derefter en løsesum fra offeret for at genoprette den oprindelige tilstand.

Typer af ransomware

I øjeblikket er der flere radikalt forskellige tilgange til arbejdet med ransomware:

• kryptering af filer i systemet
• blokerer eller forstyrrer systemet
• blokering eller forstyrrelse af browsere

Blokering eller forstyrrelse af arbejdet i systemet

Efter Trojan.Winlock\LockScreen er installeret på ofrets computer, låser programmet computeren ved hjælp af systemfunktioner og føjes til opstart (i de tilsvarende grene af systemregistret). Samtidig ser brugeren en fiktiv besked på skærmen, for eksempel om angiveligt ulovlige handlinger, som brugeren netop har begået (selv med links til lovartikler), og et krav om løsesum, der har til formål at skræmme en uerfaren bruger - send en betalt SMS , genopfyld en andens konto [4] , herunder på en anonym måde som BitCoin. Desuden tjekker trojanske heste af denne type ofte ikke adgangskoden. I dette tilfælde forbliver computeren i funktionsdygtig stand. Ofte er der en trussel om ødelæggelse af alle data, men dette er blot et forsøg på at skræmme brugeren [5] . Nogle gange er datadestruktionsværktøjer, såsom asymmetrisk nøglekryptering, stadig inkluderet i virussen, men de fungerer enten ikke korrekt, eller der er en implementering med lav færdighed. Der er kendte tilfælde af tilstedeværelsen af ​​en fildekrypteringsnøgle i selve den trojanske kode, såvel som den tekniske umulighed af at dekryptere data af hackeren selv (på trods af den betalte løsesum) på grund af fraværet eller tabet af denne nøgle selv af ham.

Nogle gange er det muligt at slippe af med en virus ved at bruge ophævelsesformularer på antivirussider eller specielle programmer skabt af antivirusvirksomheder for forskellige geografiske områder, hvor trojanske heste er aktive og som regel er frit tilgængelige. Derudover er det i nogle tilfælde, i sikker tilstand, muligt at finde den trojanske proces i opgavehåndteringen , finde dens fil og slette den. Det er også værd at overveje, at trojaneren i nogle tilfælde er i stand til at forblive operationel selv i sikker tilstand. I sådanne tilfælde skal du gå ind i fejlsikret tilstand med kommandolinjen og køre stifinderprocessen i konsollen og fjerne trojaneren eller bruge antivirusprogrammernes tjenester.

Kryptering af filer i systemet

Efter at være blevet installeret på offerets computer, krypterer programmet de fleste af arbejdsfilerne (for eksempel alle filer med almindelige udvidelser). I dette tilfælde forbliver computeren i drift, men alle brugerfiler er utilgængelige. Angriberen lover at sende instruktioner og en adgangskode til at dekryptere filer for penge.

Krypteringsvira dukkede op kronologisk efter winlockers. Deres distribution er forbundet med UAC og Microsoft hotfixes: det bliver sværere at registrere i systemet uden brugernes viden, men computeren er designet til at arbejde med brugerfiler! De kan blive beskadiget selv uden administrative rettigheder.

Disse svindelnumre omfatter

• Trojan -Ransom.Win32.Cryzip/Gpcode/Rector/Xorist; WannaCry 2.0 Petya ; dårlig kanin

Distributionsmåder

Programmer relateret til ransomware er teknisk set en almindelig computervirus eller netværksorm , og infektion sker på samme måde - fra en masseudsendelse, når en eksekverbar fil lanceres, eller når de angribes gennem en sårbarhed i en netværkstjeneste.

De vigtigste ransomware distributionsruter: [6]

• Webbrowsersårbarheder ( exploitationer , XSS osv .)<iframe>
• sårbarheder i e -mailklienter
• operativsystems sårbarheder
• downloading af ondsindet indhold fra inficerede websteder
• gennem et botnet
• via spilservere (Trojan-Ransom.Win32.CiDox) [7]

Måder at kæmpe på

Generelle regler for personoplysninger disciplin:

• regelmæssig backup af vigtige filer;
• tilstedeværelsen på computeren af ​​et antivirus på internetsikkerhedsniveauet med friske databaser;
• antiviruskontrol af alle nye programmer før deres første lancering;
• at køre mistænkelige programmer i et virtuelt miljø ("sikkert miljø", " sandkasse "), hvis antivirussen giver en sådan mulighed;
• regelmæssig opdatering af operativsystemkomponenter ( Windows Update );
• formodning om skyld og partiskhed over for alle modtagne binære filer på nogen måde.

I det tilfælde, hvor infektionen allerede er opstået, er det værd at bruge de værktøjer og tjenester, der leveres af antivirusvirksomheder. Det er dog langt fra altid muligt at fjerne smitten uden at betale løsesum [8] .

Historie

Ransomware-virus har inficeret personlige computerbrugere siden maj 2005. Følgende forekomster er kendt: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Den mest berømte virus er Gpcode og dens varianter Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Sidstnævnte er bemærkelsesværdigt for det faktum, at det bruger RSA-algoritmen med en 1024-bit nøgle til at kryptere filer.

I marts 2013, Dr. Web, blev ArchiveLock ransomware opdaget, der angreb brugere i Spanien og Frankrig , som bruger den lovlige WinRAR - arkivering [9] til at udføre ondsindede handlinger for at kryptere filer , og derefter, efter kryptering, permanent sletter de originale filer med Sysinternals SDelete -værktøjet [10 ] .

Følgende kendsgerning taler om omfanget af den nye kriminelle virksomhed. I slutningen af ​​2013 brugte CryptoLocker-ransomwaren Bitcoin -betalingssystemet til at indsamle en løsesum. I december 2013 , baseret på tilgængeligheden af ​​oplysninger om Bitcoin-transaktioner, evaluerede ZDNet overførsler af midler fra inficerede brugere for perioden fra 15. oktober til 18. december. Alene ved udgangen af ​​denne periode havde CryptoLocker-operatører formået at rejse omkring 27 millioner dollars til den daværende pris på bitcoins. [elleve]

2017 : WannaCry (maj) [12] ; Petya (juni) [13] [14] ; Dårlig kanin (oktober) [15]

Geografi

Ved at bruge internettet kan angribere operere over hele verden: kun i Australien , ifølge officielle data, var der fra august til december 2014 omkring 16 tusind episoder med onlineafpresning, mens den samlede løsesum beløb sig til omkring $ 7 millioner [8] .

Ifølge eksperter peger indirekte tegn på forbindelsen mellem ransomware-udviklere og Rusland og de tidligere republikker i USSR . Følgende fakta taler til fordel for denne version [16] :

• De fleste annoncer, der tilbyder ransomware, er udgivet på russisksprogede fora på det mørke web .
• Aktiviteten af ​​hackergrupper på internettet falder hovedsageligt i arbejdstiden Moskva-tid og er fraværende i weekender og helligdage ifølge den russiske kalender.
• Ondsindede programmer indeholder ofte kode, der forhindrer dem i at inficere systemer med et russisk tastaturlayout.
• Antallet af ofre for afpresning i Rusland er ubetydeligt sammenlignet med vestlige lande.

Se også

• Malware

Noter

1. ↑ IT-udtryk: om professionel jargon med humor . Hentet 28. februar 2018. Arkiveret fra originalen 1. marts 2018. (Russisk)
2. ↑ Ransomware - Ransomware - Anti-Malware - Cis . Hentet 28. februar 2018. Arkiveret fra originalen 3. november 2017. (Russisk)
3. ↑ Terminologisøgning - Microsofts sprogportal . Hentet 16. september 2017. Arkiveret fra originalen 31. oktober 2017. (Russisk)
4. ↑ Grigory Sobchenko. Svindlere taget til SMS . Kommersant . kommersant.ru (27. august 2010). Hentet 11. april 2013. Arkiveret fra originalen 17. maj 2014. (Russisk)
5. ↑ Alexey Dmitriev. Ny ransomware røver os gennem populære browsere . Moskovsky Komsomolets . Moskovsky Komsomolets (2. april 2013). Hentet 9. april 2013. Arkiveret fra originalen 19. april 2013. (Russisk)
6. ↑ De vigtigste trusler på nettet hedder: kinesiske hackere og ransomware-trojanske heste . Nye nyheder . newizv.ru (26. januar 2010). Hentet 11. april 2013. Arkiveret fra originalen 17. maj 2014. (Russisk)
7. ↑ Vyacheslav Kopeitsev, Ivan Tatarinov. Ransomware trojanske heste . SecureList . securelist.com (12. december 2011). Hentet 11. april 2013. Arkiveret fra originalen 5. september 2012. (Russisk)
8. ↑ 1 2 "Ransomware: Your money or your data", Arkiveret 23. januar 2015 på Wayback Machine The Economist , 17. januar 2015
9. ↑ Malware krypterer filer på ofrenes computere ved hjælp af WinRAR . Anti-Malware.ru _ anti-malware.ru (15. marts 2013). Hentet 9. april 2013. Arkiveret fra originalen 17. april 2013. (Russisk)
10. ↑ Andrey Vasilkov. Herd of Pacers: Ti mest originale og populære trojanske heste i moderne tid . Computerra . computerra.ru (21. marts 2013). Hentet 17. april 2013. Arkiveret fra originalen 5. maj 2013. (Russisk)
11. ↑ Violet blå. CryptoLocker's crimewave: Et spor af millioner i hvidvaskede Bitcoin  (engelsk) . ZDNet (22. december 2013). Hentet 4. juli 2015. Arkiveret fra originalen 23. december 2013.
12. ↑ Hackerangreb på globalt plan. Ransomware - virussen angreb computere over hele verden
13. ↑ Ransomware-virussen angreb russiske virksomheder Arkivkopi af 27. juni 2017 på Wayback Machine // RG, 27/06/2017
14. ↑ Petya-virussen angreb Tjernobyl-atomkraftværket Arkivkopi af 27. juni 2017 på Wayback Machine // RG, 27.06.2017
15. ↑ Group-IB: Bad Rabbit-krypteringsvirus angreb russiske medier  (russisk) , TASS . Arkiveret fra originalen den 26. oktober 2017. Hentet 26. oktober 2017.
16. ↑ Hvorfor cyberbander ikke vil bekymre sig om forhandlinger mellem USA og Rusland Arkiveret 22. juni 2021 på Wayback Machine , BBC, 20/06/2021

Links

• Crypto ransomware på Amigo A-bloggen
• Tjeneste til at bestemme 270 ransomware  (engelsk) ved den viste besked ( instruktioner til brug på russisk fra Helpsetup.ru)
• "Blackmailer" - Krypteringsanalyse af Gpcode hos Kaspersky Lab , 16. juni 2006
• winlock. Eksempler og metoder til kamp. // JustPC, 2012

Virksomhedens publikationer:

• Særrapport: Ransomware and Businesses 2016 (Symantec  )
• Forstå ransomware og strategier til at besejre det (McAfee Labs of Intel Security, 2016  )
• The Current State of Ransomware ( Sophos , dec. 2015  )

Artikler:

• CryptoLock (og slip det ) : Stop ransomware-angreb på brugerdata / 2016 IEEE 36. internationale konference om distribuerede computersystemer 
• Ransomware Whitepaper / CERT.be  Internet Crime Complaint Center