Ransomware [1] [2] , ransomware [3] ( eng. ransomware - en samling af ordene løsesum - løsesum og software - software) - en type ondsindet software designet til afpresning , blokerer adgang til et computersystem eller forhindrer læsning af data optaget i den (ofte ved hjælp af krypteringsmetoder), og kræver derefter en løsesum fra offeret for at genoprette den oprindelige tilstand.
I øjeblikket er der flere radikalt forskellige tilgange til arbejdet med ransomware:
Efter Trojan.Winlock\LockScreen er installeret på ofrets computer, låser programmet computeren ved hjælp af systemfunktioner og føjes til opstart (i de tilsvarende grene af systemregistret). Samtidig ser brugeren en fiktiv besked på skærmen, for eksempel om angiveligt ulovlige handlinger, som brugeren netop har begået (selv med links til lovartikler), og et krav om løsesum, der har til formål at skræmme en uerfaren bruger - send en betalt SMS , genopfyld en andens konto [4] , herunder på en anonym måde som BitCoin. Desuden tjekker trojanske heste af denne type ofte ikke adgangskoden. I dette tilfælde forbliver computeren i funktionsdygtig stand. Ofte er der en trussel om ødelæggelse af alle data, men dette er blot et forsøg på at skræmme brugeren [5] . Nogle gange er datadestruktionsværktøjer, såsom asymmetrisk nøglekryptering, stadig inkluderet i virussen, men de fungerer enten ikke korrekt, eller der er en implementering med lav færdighed. Der er kendte tilfælde af tilstedeværelsen af en fildekrypteringsnøgle i selve den trojanske kode, såvel som den tekniske umulighed af at dekryptere data af hackeren selv (på trods af den betalte løsesum) på grund af fraværet eller tabet af denne nøgle selv af ham.
Nogle gange er det muligt at slippe af med en virus ved at bruge ophævelsesformularer på antivirussider eller specielle programmer skabt af antivirusvirksomheder for forskellige geografiske områder, hvor trojanske heste er aktive og som regel er frit tilgængelige. Derudover er det i nogle tilfælde, i sikker tilstand, muligt at finde den trojanske proces i opgavehåndteringen , finde dens fil og slette den. Det er også værd at overveje, at trojaneren i nogle tilfælde er i stand til at forblive operationel selv i sikker tilstand. I sådanne tilfælde skal du gå ind i fejlsikret tilstand med kommandolinjen og køre stifinderprocessen i konsollen og fjerne trojaneren eller bruge antivirusprogrammernes tjenester.
Efter at være blevet installeret på offerets computer, krypterer programmet de fleste af arbejdsfilerne (for eksempel alle filer med almindelige udvidelser). I dette tilfælde forbliver computeren i drift, men alle brugerfiler er utilgængelige. Angriberen lover at sende instruktioner og en adgangskode til at dekryptere filer for penge.
Krypteringsvira dukkede op kronologisk efter winlockers. Deres distribution er forbundet med UAC og Microsoft hotfixes: det bliver sværere at registrere i systemet uden brugernes viden, men computeren er designet til at arbejde med brugerfiler! De kan blive beskadiget selv uden administrative rettigheder.
Disse svindelnumre omfatter
Programmer relateret til ransomware er teknisk set en almindelig computervirus eller netværksorm , og infektion sker på samme måde - fra en masseudsendelse, når en eksekverbar fil lanceres, eller når de angribes gennem en sårbarhed i en netværkstjeneste.
De vigtigste ransomware distributionsruter: [6]
Generelle regler for personoplysninger disciplin:
I det tilfælde, hvor infektionen allerede er opstået, er det værd at bruge de værktøjer og tjenester, der leveres af antivirusvirksomheder. Det er dog langt fra altid muligt at fjerne smitten uden at betale løsesum [8] .
Ransomware-virus har inficeret personlige computerbrugere siden maj 2005. Følgende forekomster er kendt: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Den mest berømte virus er Gpcode og dens varianter Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Sidstnævnte er bemærkelsesværdigt for det faktum, at det bruger RSA-algoritmen med en 1024-bit nøgle til at kryptere filer.
I marts 2013, Dr. Web, blev ArchiveLock ransomware opdaget, der angreb brugere i Spanien og Frankrig , som bruger den lovlige WinRAR - arkivering [9] til at udføre ondsindede handlinger for at kryptere filer , og derefter, efter kryptering, permanent sletter de originale filer med Sysinternals SDelete -værktøjet [10 ] .
Følgende kendsgerning taler om omfanget af den nye kriminelle virksomhed. I slutningen af 2013 brugte CryptoLocker-ransomwaren Bitcoin -betalingssystemet til at indsamle en løsesum. I december 2013 , baseret på tilgængeligheden af oplysninger om Bitcoin-transaktioner, evaluerede ZDNet overførsler af midler fra inficerede brugere for perioden fra 15. oktober til 18. december. Alene ved udgangen af denne periode havde CryptoLocker-operatører formået at rejse omkring 27 millioner dollars til den daværende pris på bitcoins. [elleve]
Kendte angreb2017 : WannaCry (maj) [12] ; Petya (juni) [13] [14] ; Dårlig kanin (oktober) [15]
Ved at bruge internettet kan angribere operere over hele verden: kun i Australien , ifølge officielle data, var der fra august til december 2014 omkring 16 tusind episoder med onlineafpresning, mens den samlede løsesum beløb sig til omkring $ 7 millioner [8] .
Russisk sporIfølge eksperter peger indirekte tegn på forbindelsen mellem ransomware-udviklere og Rusland og de tidligere republikker i USSR . Følgende fakta taler til fordel for denne version [16] :
Virksomhedens publikationer:
Artikler:
Ondsindet software | |
---|---|
Infektiøs malware | |
Gemme metoder | |
Malware for profit |
|
Af operativsystemer |
|
Beskyttelse | |
Modforanstaltninger |
|