Ransomware

Ransomware [1] [2] , ransomware [3] ( eng.  ransomware  - en samling af ordene løsesum  - løsesum og software  - software) - en type ondsindet software designet til afpresning , blokerer adgang til et computersystem eller forhindrer læsning af data optaget i den (ofte ved hjælp af krypteringsmetoder), og kræver derefter en løsesum fra offeret for at genoprette den oprindelige tilstand.

Typer af ransomware

I øjeblikket er der flere radikalt forskellige tilgange til arbejdet med ransomware:

Blokering eller forstyrrelse af arbejdet i systemet

Efter Trojan.Winlock\LockScreen er installeret på ofrets computer, låser programmet computeren ved hjælp af systemfunktioner og føjes til opstart (i de tilsvarende grene af systemregistret). Samtidig ser brugeren en fiktiv besked på skærmen, for eksempel om angiveligt ulovlige handlinger, som brugeren netop har begået (selv med links til lovartikler), og et krav om løsesum, der har til formål at skræmme en uerfaren bruger - send en betalt SMS , genopfyld en andens konto [4] , herunder på en anonym måde som BitCoin. Desuden tjekker trojanske heste af denne type ofte ikke adgangskoden. I dette tilfælde forbliver computeren i funktionsdygtig stand. Ofte er der en trussel om ødelæggelse af alle data, men dette er blot et forsøg på at skræmme brugeren [5] . Nogle gange er datadestruktionsværktøjer, såsom asymmetrisk nøglekryptering, stadig inkluderet i virussen, men de fungerer enten ikke korrekt, eller der er en implementering med lav færdighed. Der er kendte tilfælde af tilstedeværelsen af ​​en fildekrypteringsnøgle i selve den trojanske kode, såvel som den tekniske umulighed af at dekryptere data af hackeren selv (på trods af den betalte løsesum) på grund af fraværet eller tabet af denne nøgle selv af ham.

Nogle gange er det muligt at slippe af med en virus ved at bruge ophævelsesformularer på antivirussider eller specielle programmer skabt af antivirusvirksomheder for forskellige geografiske områder, hvor trojanske heste er aktive og som regel er frit tilgængelige. Derudover er det i nogle tilfælde, i sikker tilstand, muligt at finde den trojanske proces i opgavehåndteringen , finde dens fil og slette den. Det er også værd at overveje, at trojaneren i nogle tilfælde er i stand til at forblive operationel selv i sikker tilstand. I sådanne tilfælde skal du gå ind i fejlsikret tilstand med kommandolinjen og køre stifinderprocessen i konsollen og fjerne trojaneren eller bruge antivirusprogrammernes tjenester.

Kryptering af filer i systemet

Efter at være blevet installeret på offerets computer, krypterer programmet de fleste af arbejdsfilerne (for eksempel alle filer med almindelige udvidelser). I dette tilfælde forbliver computeren i drift, men alle brugerfiler er utilgængelige. Angriberen lover at sende instruktioner og en adgangskode til at dekryptere filer for penge.

Krypteringsvira dukkede op kronologisk efter winlockers. Deres distribution er forbundet med UAC og Microsoft hotfixes: det bliver sværere at registrere i systemet uden brugernes viden, men computeren er designet til at arbejde med brugerfiler! De kan blive beskadiget selv uden administrative rettigheder.

Disse svindelnumre omfatter

Distributionsmåder

Programmer relateret til ransomware er teknisk set en almindelig computervirus eller netværksorm , og infektion sker på samme måde - fra en masseudsendelse, når en eksekverbar fil lanceres, eller når de angribes gennem en sårbarhed i en netværkstjeneste.

De vigtigste ransomware distributionsruter: [6]

Måder at kæmpe på

Generelle regler for personoplysninger disciplin:

I det tilfælde, hvor infektionen allerede er opstået, er det værd at bruge de værktøjer og tjenester, der leveres af antivirusvirksomheder. Det er dog langt fra altid muligt at fjerne smitten uden at betale løsesum [8] .

Historie

Ransomware-virus har inficeret personlige computerbrugere siden maj 2005. Følgende forekomster er kendt: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Den mest berømte virus er Gpcode og dens varianter Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Sidstnævnte er bemærkelsesværdigt for det faktum, at det bruger RSA-algoritmen med en 1024-bit nøgle til at kryptere filer.

I marts 2013, Dr. Web, blev ArchiveLock ransomware opdaget, der angreb brugere i Spanien og Frankrig , som bruger den lovlige WinRAR - arkivering [9] til at udføre ondsindede handlinger for at kryptere filer , og derefter, efter kryptering, permanent sletter de originale filer med Sysinternals SDelete -værktøjet [10 ] .

Følgende kendsgerning taler om omfanget af den nye kriminelle virksomhed. I slutningen af ​​2013 brugte CryptoLocker-ransomwaren Bitcoin -betalingssystemet til at indsamle en løsesum. I december 2013 , baseret på tilgængeligheden af ​​oplysninger om Bitcoin-transaktioner, evaluerede ZDNet overførsler af midler fra inficerede brugere for perioden fra 15. oktober til 18. december. Alene ved udgangen af ​​denne periode havde CryptoLocker-operatører formået at rejse omkring 27 millioner dollars til den daværende pris på bitcoins. [elleve]

Kendte angreb

2017 : WannaCry (maj) [12] ; Petya (juni) [13] [14] ; Dårlig kanin (oktober) [15]

Geografi

Ved at bruge internettet kan angribere operere over hele verden: kun i Australien , ifølge officielle data, var der fra august til december 2014 omkring 16 tusind episoder med onlineafpresning, mens den samlede løsesum beløb sig til omkring $ 7 millioner [8] .

Russisk spor

Ifølge eksperter peger indirekte tegn på forbindelsen mellem ransomware-udviklere og Rusland og de tidligere republikker i USSR . Følgende fakta taler til fordel for denne version [16] :

Se også

Noter

  1. IT-udtryk: om professionel jargon med humor . Hentet 28. februar 2018. Arkiveret fra originalen 1. marts 2018.
  2. Ransomware - Ransomware - Anti-Malware - Cis . Hentet 28. februar 2018. Arkiveret fra originalen 3. november 2017.
  3. Terminologisøgning - Microsofts sprogportal . Hentet 16. september 2017. Arkiveret fra originalen 31. oktober 2017.
  4. Grigory Sobchenko. Svindlere taget til SMS . Kommersant . kommersant.ru (27. august 2010). Hentet 11. april 2013. Arkiveret fra originalen 17. maj 2014.
  5. Alexey Dmitriev. Ny ransomware røver os gennem populære browsere . Moskovsky Komsomolets . Moskovsky Komsomolets (2. april 2013). Hentet 9. april 2013. Arkiveret fra originalen 19. april 2013.
  6. De vigtigste trusler på nettet hedder: kinesiske hackere og ransomware-trojanske heste . Nye nyheder . newizv.ru (26. januar 2010). Hentet 11. april 2013. Arkiveret fra originalen 17. maj 2014.
  7. Vyacheslav Kopeitsev, Ivan Tatarinov. Ransomware trojanske heste . SecureList . securelist.com (12. december 2011). Hentet 11. april 2013. Arkiveret fra originalen 5. september 2012.
  8. 1 2 "Ransomware: Your money or your data", Arkiveret 23. januar 2015 på Wayback Machine The Economist , 17. januar 2015
  9. Malware krypterer filer på ofrenes computere ved hjælp af WinRAR . Anti-Malware.ru _ anti-malware.ru (15. marts 2013). Hentet 9. april 2013. Arkiveret fra originalen 17. april 2013.
  10. Andrey Vasilkov. Herd of Pacers: Ti mest originale og populære trojanske heste i moderne tid . Computerra . computerra.ru (21. marts 2013). Hentet 17. april 2013. Arkiveret fra originalen 5. maj 2013.
  11. Violet blå. CryptoLocker's crimewave: Et spor af millioner i hvidvaskede Bitcoin  (engelsk) . ZDNet (22. december 2013). Hentet 4. juli 2015. Arkiveret fra originalen 23. december 2013.
  12. Hackerangreb på globalt plan. Ransomware - virussen angreb computere over hele verden
  13. Ransomware-virussen angreb russiske virksomheder Arkivkopi af 27. juni 2017 på Wayback Machine // RG, 27/06/2017
  14. Petya-virussen angreb Tjernobyl-atomkraftværket Arkivkopi af 27. juni 2017 på Wayback Machine // RG, 27.06.2017
  15. Group-IB: Bad Rabbit-krypteringsvirus angreb russiske medier  (russisk) , TASS . Arkiveret fra originalen den 26. oktober 2017. Hentet 26. oktober 2017.
  16. Hvorfor cyberbander ikke vil bekymre sig om forhandlinger mellem USA og Rusland Arkiveret 22. juni 2021 på Wayback Machine , BBC, 20/06/2021

Links

Virksomhedens publikationer:

Artikler: