Mi az a ransomware és hogyan lehet védekezni az ellen?

A Ransomware egy olyan malware, amely a cél PC-n titkosítja a médiát, a dokumentumokat és más fájlokat, és ezekhez a fájlokhoz csak akkor férhet hozzá, ha a támadó váltságdíjigénye teljesül.

Jelenleg kétféle ransomware létezik: az egyik rögzíti a fájlokat a számítógépen, a másik pedig az egész rendszert. Ez utóbbi leginkább az okostelefonokon található.

A Ransomware több mint egy évtizede létezik. Az ilyen támadások első eseteit 2005-ben Oroszországban fedezték fel a trójai GPcoder segítségével.

Korai történelem: Az Orosz Csatlakozás

Az orosz szervezett bűnözők fejlesztették ki az első ismert ransomware vírust, amely nagy problémákat okozott és 2005-ben és 2006-ban mutatták fel a figyelmet.

Ezek a rosszindulatú programok fertőzött PC-k Oroszországban, Fehéroroszországban, Ukrajnában és Kazahsztánban. Az egyik rosszindulatú program törzsét Archievusnak, a másik Troj_Cryzip.A-nak hívták.

Míg az előbbek titkosították a „My Documents” mappát, az utóbbi azonosította és áthelyezett bizonyos fájltípusokat egy PC-vel jelszóval védett Zip mappába, amelyet csak akkor lehet feloldani, ha az áldozat néhány száz dollárt átutal a támadónak az E-Goldon keresztül - elektronikus pénznem a Bitcoin előtt.

Az E-Gold használatát 2009-ben megszüntették az Egyesült Államok kormánya irányítása alatt, mivel sok bűnöző használta fel pénzmosásra. Ezt követően a Bitcoin és az előre fizetett betéti kártyákat használják a váltságdíjak összegyűjtésére.

Az első évtized vége felé számos ransomware támadás is felbukkanott a bűnüldöző szervekkel megszemélyesítő személyekkel. Ezek a támadók hamis állításokkal zaklatják az áldozatokat, például a szerzői jogok megsértését, és kiszabják a pénzbírságokat ezekért a nem létező díjakért.

A leghírhedtebb ezek közül a rendészeti megszemélyesítõk közül a Reveton volt, a helyben mûködõ ransomware. Az áldozat székhelye szerinti országtól függően Reveton megszemélyesítené a nemzeti rendőrséget.

A fejlesztők szinte minden európai országban, az Egyesült Államokban, Ausztráliában, Kanadában és Új-Zélandon tett erőfeszítéseket a lokalizációra. A ransomware nem használt titkosítást a felhasználói fájlok zárolására, ami megkönnyítette a víruskereséssel vagy biztonságos móddal történő eltávolítást.

2012-ben egy másik ransomware a Windows Master Boot Record (MBR) programot célozta meg, és rosszindulatú kóddal váltotta fel. Amikor a fertőzött rendszer elindul, a felhasználó utasításokat kap egy hatalmas összeg kifizetésére a QIWI-en keresztül - egy orosz tulajdonú fizetési rendszer segítségével - az eszközhöz való hozzáférés érdekében.

Modern Crypto-Ransomware

A mai ransomware egyik módszerét először 2012-13-ban találták meg. A CryptoLocker volt az első széles körben sikeres malware program, amely 27 millió dollárt északra keresett váltságdíjjal.

A CryptoLocker egy 256-bites AES-kulcs és egy 2048-bites RSA-kulcs segítségével van titkosítva, ami a titkosítást szinte törhetetlenné teszi még a rosszindulatú program eltávolítása esetén is - ez a támadók egyik leghatékonyabb módja.

Az ilyen támadások áldozatait legalább 400 dollár fizetésére kérték fel, hogy megkapják a dekódolási kulcsot, és a kulcs törlését fenyegetik, ha 72 órán belül nem fizetnek.

2014-ben a CryptoLockert kormányzati ügynökségek, biztonsági cégek és akadémiai intézmények konzorciuma vette le a Tovar művelet során. Később egy olyan szolgáltatást indítottak a CryptoLocker által érintett emberek számára is, amely segített nekik díjmentesen visszafejteni eszközüket.

A CryptoLocker fenyegetése nem tartott sokáig, de biztosan segített a támadóknak felfedezni a ransomware világát, és megbizonyosodni arról, hogy mennyire jövedelmezőek lehetnek - ennek eredményeként számos ransomware törzs kerül kiadásra a piacon azután.

A CryptoLockert a TorrentLocker követte, egy ransomware programként, amely e-mail mellékletként jelenik meg - általában egy rosszindulatú makrókkal ellátott szófájlban -, amely bizonyos fájlokat rögzített a számítógépen AES titkosítással.

A TorrentLocker továbbra is aktív, és sokat fejlődött az elmúlt években. Az újabb verziók átnevezik az összes fertőzött fájlt a számítógépen, ami lehetetlenné teszi a felhasználó számára a titkosított fájlok azonosítását és a fájlok biztonsági mentéssel történő visszaállítását.

A Ransomware nem csak a Windows PC-t fertőzi, hanem a Linuxot és a Mac OS-t is. 2015-ben egy ransomware törzs fertőzött számítógépeket futtatott a Linuxon futó számítógépeken, 2016-ban pedig egy törzset a Mac számítógépek támadására szánták.

Az elmúlt évtizedben a kripto-ransomware támadások drasztikusan növekedtek, mivel a hamis antivírusok és más megtévesztő alkalmazások száma csökkent. Csak 2016-ban 638 millió ransomware esetről számoltak be.

Hogyan lehet legyőzni?

Számos olyan webhely és biztonsági cég létezik, amelyek megpróbálják az embereket tájékoztatni a rosszindulatú programok fenyegetéseiről, és eszközöket szolgáltatnak számukra a megelőzésükhöz, valamint dekódolják a támadó által lezárt információkat.

Az olyan népszerű víruskereső szolgáltatás, mint az Avast, felfedezte a Windows és az Android dekódoló eszközeit, amelyek segítenek az embereket megoldani a növekvő fennakadás miatt. Ezek az eszközök szabadon használhatók, és széles választékú lefedő szoftvert fednek le, bár lehet, hogy az újak közül néhányat nem fedeznek le, ám ez mégis adhat kezdetét.

No More Ransom egy olyan weboldal, amely híreket tartalmaz a ransomware ökoszférájának legújabb fejleményeiről, és olyan eszközöket irányítja a felhasználókat, amelyek felhasználhatók ezen fenyegetések leküzdésére. A weboldal a holland rendõrség, az Europol, a Kaspersky Lab és az Intel Security közös munkája.

Ha olyan eszközt talált, amely végigvezeti a PC-t érintő ransomware visszafejtésében, akkor csak azonosítania kell azt. Az ID Ransomware egy olyan webhely, amely segít Önnek ezt megtenni, csupán annyit kell tennie, hogy feltölti a váltságdíj másolatát.

Ha olyan eszközt keres, amely valós időben védi a Windows PC-t, akkor a CyberReason Ransomfree a válasz az Ön igényeire.

A Ransomware fenyegetést jelent az internethez csatlakoztatott eszközök korszakában, és mivel az IoT megszokottá válik, ez még nagyobb kérdésnek bizonyulhat.

Jelenleg a ransomware csak az eszközére vagy a fájlokra vonatkozik, és visszavonja a felhasználói hozzáférést, amíg a váltságdíjat meg nem fizetik, de az intelligens otthoni eszközök egyre népszerűbbé válásával az eszközéhez való hozzáférés elvesztése csak az aggodalmainak kezdete.