Ransomware jest rodzajem szkodliwego oprogramowania, którego celem jest zainfekowanie urządzenia blokujac do niego dostęp lub blokując zawarte na nim dane lub programy. Osoba zaatakowana chcąc przywrócić dostęp do komputera lub jego zawartości jest zmuszona do opłacenia okupu w jednej z e-walut jak na przykład bitcoin.
Wirus ransomewear wyróżnia się dwoma typami szkodliwego oprogramowania. Pierwszym z nich jest blokujący za pomocą wyskakujących okien blocker systemu Windows, którego celem ataku jest system operacyjny i przeglądarki. Drugim jest coraz bardziej popularny i stosowany również na zamówienie (RaaS-Ransomewear as a Service) typ wirusa szyfrującego dane, który należy do grup trojanów downloaderów, czyli takich, które po infekcji pobierają oprogramowanie, którego celem jest zaszyfrowanie komputera i żądanie okupu. Jako ciekawostka i przykład pierwszych odnotowany wirusów ransomewear jest wykryty w 1989 roku trojan AIDS. A w połowie pierwszej dekady XXI wieku badacze bezpieczeństwa wykryli kolejne szkodliwe oprogramowanie żądające okupu. Gpcode wirus posiadający własny algorytm szyfrowania który wykorzystywał w szyfrowaniu plików. Jedna z pierwszych większych epidemii ataków wirusa odbyła się w 2010 roku. Ogarnęła ona Rosję i kraje sąsiadujące atakując tysiące użytkowników blokując ich systemy operacyjne i przeglądarki.
Poniżej przedstawiona jest lista nazw crypto-ransomewear, które w latach 2015-2016 zostały odnotowane jako najczęściej wykorzystywane do ataków. Należy zwrócić uwagę na fakt, że liczba autorskich wirusów szyfrujących nie powiększa się. Wygląda na to, że przestępcy wolą kupować wirusy, które mogą użyć jako gotowe.
Lista ponumerowana jest od najczęściej wykorzystywanych wirusów do ataku:
- Teslacrypt
- CTB-Locker
- Scatter
- Cryakl
- CryptoWall
- Shade
- Mor
- Aura
- Locky
- Lortok
Pierwsza czwórka wirusów jest odpowiedzialna razem za ponad 86% ataków na użytkowników, którzy mieli pierwszy raz styczność z tego typu zagrożeniem.
W walce z cyberprzestępcami nie jesteśmy w pełni bezbronni. Poniżej przedstawiam listę kilku ogólnodostępnych narzędzi, dzięki którym jest szansa na odzyskanie danych po ataku niektórych z wirusów, nie koniecznie wymienionych na liście:
- RakhniDecryptor
- RannohDecryptor
- ScatterDecryptor
- XoristDecryptor
W celu ochrony biernej przed zagrożeniami typu Locky, TeslaCrypt i CTB-Locker lub z wirusami o podobnym mechanizmie ataku przychodzi nam z pomocą Bitdefender Anti-Ransomware, który uniemożliwi atak unieszkodliwiając program szyfrujący.
Wymienione narzędzia możemy znaleźć pod linkami:
- http://support.kaspersky.com/pl/viruses/utility
- http://bitdefender.pl/uzytkownicy-domowi1/narzedzia/bitdefender-anti-ransomware
Artykuł został napisany dzięki pomocy firmy Kaspersky, dzięki której zostały uzyskane źródła do informacji. Jeżeli spotkasz się z nowymi źródłami skąd można pobrać aktualną bazę wirusów ransomewear lub znalazłeś inne narzędzia do walki z tym zagrożeniem napisz w komentarzu, aby lista mogła być rozbudowywana i aktualizowana na bieżąco.
Autor: Kostek