Ransomware

Ransomware [1] [2] , ransomware [3] ( ransomware  -  en portmanteau av orden ransom  - ransom and software  - software) - en typ av skadlig programvara utformad för utpressning , blockerar åtkomst till ett datorsystem eller förhindrar läsning av data spelas in i den (ofta med hjälp av krypteringsmetoder), och kräver sedan en lösensumma från offret för att återställa det ursprungliga tillståndet.

Typer av ransomware

För tillfället finns det flera radikalt olika tillvägagångssätt för arbetet med ransomware:

• kryptering av filer i systemet
• blockerar eller stör systemet
• blockerar eller stör webbläsare

Blockera eller störa arbetet i systemet

Efter att Trojan.Winlock\LockScreen har installerats på offrets dator, låser programmet datorn med hjälp av systemfunktioner och läggs till vid start (i motsvarande grenar av systemregistret). Samtidigt ser användaren något fiktivt meddelande på skärmen, till exempel om påstådda olagliga handlingar som just begåtts av användaren (även med länkar till lagar), och ett krav på lösen som syftar till att skrämma en oerfaren användare - skicka en betalda SMS , fyll på någon annans konto [4] , inklusive på ett anonymt sätt som BitCoin. Dessutom kontrollerar trojaner av denna typ ofta inte lösenordet. I det här fallet förblir datorn i fungerande skick. Ofta finns det ett hot om förstörelse av all data, men detta är bara ett försök att skrämma användaren [5] . Ibland ingår verktyg för att förstöra data, såsom asymmetrisk nyckelkryptering, fortfarande i viruset, men de fungerar antingen inte korrekt eller så finns det en implementering med låg kompetens. Det finns kända fall av närvaron av en fildekrypteringsnyckel i den trojanska koden själv, såväl som den tekniska omöjligheten att dekryptera data av hackaren själv (trots den betalda lösensumman) på grund av frånvaron eller förlust av denna nyckel även av honom.

Ibland är det möjligt att bli av med ett virus genom att använda avblockeringsformulär på antivirussajter eller specialprogram skapade av antivirusföretag för olika geografiska regioner där trojaner är aktiva och som regel är fritt tillgängliga. Dessutom, i vissa fall, i säkert läge, är det möjligt att hitta den trojanska processen i aktivitetshanteraren , hitta dess fil och ta bort den. Det är också värt att tänka på att trojanen i vissa fall kan förbli i drift även i säkert läge. I sådana fall måste du gå in i felsäkert läge med kommandoraden och köra utforskarprocessen i konsolen och ta bort trojanen, eller använda tjänsterna för antivirusprogram.

Kryptering av filer i systemet

Efter att ha installerats på offrets dator krypterar programmet de flesta av arbetsfilerna (till exempel alla filer med vanliga tillägg). I det här fallet förblir datorn i drift, men alla användarfiler är otillgängliga. Angriparen lovar att skicka instruktioner och ett lösenord för att dekryptera filer för pengar.

Krypteringsvirus dök upp kronologiskt efter winlockers. Deras distribution är associerad med UAC och Microsoft hotfixar: det blir svårare att registrera sig i systemet utan användarens vetskap, men datorn är designad för att fungera med användarfiler! De kan skadas även utan administrativa rättigheter.

Dessa bedrägerier inkluderar

• Trojan -Ransom.Win32.Cryzip/Gpcode/Rector/Xorist; WannaCry 2.0 Petya ; dålig kanin

Sätt att distribuera

Program relaterade till ransomware är tekniskt sett ett vanligt datavirus eller nätverksmask , och infektion sker på samma sätt - från ett massutskick när en körbar fil startas eller när den attackeras genom en sårbarhet i en nätverkstjänst.

De viktigaste distributionsvägarna för ransomware: [6]

• Sårbarheter i webbläsaren ( exploateringar <iframe> , XSS , etc.)
• e- postklients sårbarheter
• operativsystems sårbarheter
• ladda ner skadligt innehåll från infekterade webbplatser
• via ett botnät
• via spelservrar (Trojan-Ransom.Win32.CiDox) [7]

Sätt att slåss

Allmänna regler för personuppgiftsdisciplin:

• regelbunden säkerhetskopiering av viktiga filer;
• närvaron på datorn av ett antivirus av Internetsäkerhetsnivån med nya databaser;
• antiviruskontroll av alla nya program före deras första lansering;
• köra misstänkta program i en virtuell miljö ("säker miljö", " sandlåda "), om antiviruset ger en sådan möjlighet;
• regelbunden uppdatering av operativsystemkomponenter ( Windows Update );
• presumtion för skuld och partiskhet mot alla mottagna binära filer på något sätt.

Om infektionen redan har inträffat är det värt att använda de verktyg och tjänster som tillhandahålls av antivirusföretag. Det är dock långt ifrån alltid möjligt att eliminera infektionen utan att betala en lösen [8] .

Historik

Ransomware-virus har infekterat persondatoranvändare sedan maj 2005. Följande instanser är kända: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Det mest kända viruset är Gpcode och dess varianter Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Den senare är anmärkningsvärd för det faktum att den använder RSA-algoritmen med en 1024-bitars nyckel för att kryptera filer.

I mars 2013, Dr. På webben upptäcktes ArchiveLock ransomware som attackerade användare i Spanien och Frankrike , som använder den lagliga WinRAR -arkiveringen [9] för att utföra skadliga åtgärder för att kryptera filer , och sedan, efter kryptering, permanent raderar originalfilerna med Sysinternals SDelete- verktyget [10 ] .

Följande fakta talar om omfattningen av den framväxande kriminella verksamheten. I slutet av 2013 använde CryptoLocker ransomware betalningssystemet Bitcoin för att samla in en lösen. I december 2013 , baserat på tillgången på information om Bitcoin-transaktioner, utvärderade ZDNet överföringarna av medel från infekterade användare för perioden 15 oktober till 18 december. Bara vid slutet av denna period hade CryptoLocker-operatörer lyckats samla in cirka 27 miljoner dollar till det då aktuella priset på bitcoins. [elva]

2017 : WannaCry (maj) [12] ; Petya (juni) [13] [14] ; Bad Rabbit (oktober) [15]

Geografi

Med hjälp av internet kan angripare verka över hela världen: endast i Australien , enligt officiella uppgifter, från augusti till december 2014 fanns det cirka 16 tusen episoder av onlineutpressning, medan den totala lösensumman uppgick till cirka 7 miljoner dollar [8] .

Enligt experter pekar indirekta tecken på anslutningen av ransomware-utvecklare med Ryssland och de tidigare republikerna i Sovjetunionen . Följande fakta talar för denna version [16] :

• De flesta annonser som erbjuder ransomware publiceras på ryskspråkiga forum på den mörka webben .
• Aktiviteten hos hackergrupper på Internet sker huvudsakligen under arbetstid Moskvatid och är frånvarande under helger och helgdagar enligt den ryska kalendern.
• Skadliga program innehåller ofta kod som hindrar dem från att infektera system med rysk tangentbordslayout.
• Antalet offer för utpressning i Ryssland är försumbart jämfört med västländer.

Se även

• Skadlig programvara

Anteckningar

1. ↑ IT-termer: om professionell jargong med humor . Hämtad 28 februari 2018. Arkiverad från originalet 1 mars 2018. (ryska)
2. ↑ Ransomware - Ransomware - Anti-Malware - Cis . Hämtad 28 februari 2018. Arkiverad från originalet 3 november 2017. (ryska)
3. ↑ Terminologisökning - Microsofts språkportal . Hämtad 16 september 2017. Arkiverad från originalet 31 oktober 2017. (ryska)
4. ↑ Grigorij Sobtjenko. Bedragare fångades för SMS . Kommersant . kommersant.ru (27 augusti 2010). Hämtad 11 april 2013. Arkiverad från originalet 17 maj 2014. (ryska)
5. ↑ Alexey Dmitriev. Ny ransomware rånar oss genom populära webbläsare . Moskovsky Komsomolets . Moskovsky Komsomolets (2 april 2013). Hämtad 9 april 2013. Arkiverad från originalet 19 april 2013. (ryska)
6. ↑ De främsta hoten på webben heter: kinesiska hackare och ransomware-trojaner . Nya nyheter . newizv.ru (26 januari 2010). Hämtad 11 april 2013. Arkiverad från originalet 17 maj 2014. (ryska)
7. ↑ Vyacheslav Kopeitsev, Ivan Tatarinov. Ransomware trojaner . SecureList . securelist.com (12 december 2011). Hämtad 11 april 2013. Arkiverad från originalet 5 september 2012. (ryska)
8. ↑ 1 2 "Ransomware: Your money or your data", Arkiverad 23 januari 2015 på Wayback Machine The Economist , 17 januari 2015
9. ↑ Skadlig programvara krypterar filer på offrens datorer med WinRAR . Anti-Malware.ru _ anti-malware.ru (15 mars 2013). Hämtad 9 april 2013. Arkiverad från originalet 17 april 2013. (ryska)
10. ↑ Andrey Vasilkov. Herd of Pacers: Ten Most Original and Popular Trojans of Modern Times . Computerra . computerra.ru (21 mars 2013). Hämtad 17 april 2013. Arkiverad från originalet 5 maj 2013. (ryska)
11. ↑ Violett blå. CryptoLocker's crimewave: Ett spår av miljoner i tvättad Bitcoin  (engelska) . ZDNet (22 december 2013). Hämtad 4 juli 2015. Arkiverad från originalet 23 december 2013.
12. ↑ Hackerattack i global skala. Ransomware - viruset attackerade datorer runt om i världen
13. ↑ Ransomware-viruset attackerade ryska företag Arkivkopia av 27 juni 2017 på Wayback Machine // RG, 2017-06-27
14. ↑ Petya-viruset attackerade kärnkraftverket i Tjernobyl Arkivkopia av den 27 juni 2017 på Wayback Machine // RG, 2017-06-27
15. ↑ Group-IB: Bad Rabbit-krypteringsvirus attackerade rysk media  (ryska) , TASS . Arkiverad från originalet den 26 oktober 2017. Hämtad 26 oktober 2017.
16. ↑ Varför cybergäng inte kommer att oroa sig för samtal mellan USA och Ryssland Arkiverad 22 juni 2021 på Wayback Machine , BBC, 2021-06-20

Länkar

• Crypto ransomware på Amigo A-bloggen
• Tjänst för att fastställa 270 ransomware  (engelska) av det visade meddelandet ( instruktioner för användning på ryska från Helpsetup.ru)
• "Blackmailer" - Cryptanalysis of Gpcode på Kaspersky Lab , 16 juni 2006
• winlock. Exempel och metoder för kamp. // JustPC, 2012

Företagspublikationer:

• Särskild rapport: Ransomware and Businesses 2016 (Symantec  )
• Förstå Ransomware och strategier för att besegra den (McAfee Labs of Intel Security, 2016  )
• The Current State of Ransomware ( Sophos , dec 2015  )

Artiklar:

• CryptoLock (och släpp det ) : Stoppa Ransomware-attacker på användardata / 2016 IEEE 36:e internationella konferensen om distribuerade datorsystem 
• Ransomware Whitepaper / CERT.be  Internet Crime Complaint Center