Ransomware

typ škodlivého softvéru, ktorý blokuje počítačový systém alebo šifruje data v ňom zapísané, a potom požaduje od obete výkupné za obnovenie prístupu

Ransomware (iné názvy: ransomvér[1][2], vydieračský softvér[3][4]; angl. ransomware - zloženie anglických slov ransom "výkupné" software "softvér") je typ škodlivého softvéru, ktorý blokuje počítačový systém alebo šifruje data v ňom zapísané, a potom požaduje od obete výkupné za obnovenie prístupu. Na infikovanom počítači sa zvyčajne zobrazí správa s informáciami o výkupnom - po zaplatení je obeti poskytnuté heslo na dešifrovanie dát na počítači (každá obeť má unikátny kód). Jednoduchý ransomware zablokuje systém, no je pomerne jednoduché ho odblokovať aj bez zaplatenia výkupného. Zložitejší ransomware nezablokuje systém, ale zašifruje súbory, ktoré sú až do zaplatenia neprístupné. Zložitý ransomware je schopný okrem súborov zašifrovať pevný disk (HDD/SSD). Ransomware väčšinou nainštaluje aj iný vírus (väčšinou trójský kôň).

Ransomware je najčastejší v Rusku, no podvody s ransomware-om sa vyskytujú celosvetovo. Štatistiky hovoria, že do júna 2013 existovalo viac ako 250 000 jedinečných druhov ransomware-u.

Ochrana pred ransomware

upraviť
Bližšie informácie v hlavnom článku: Malware#Boj proti malvéru

Tak ako pri väčšine vírusov, je dôležité mať antivírusový softvér a pravidelne ho aktualizovať (aktualizácie prinášajú mnohé nové rozpoznávače vírusov). Taktiež je dôležité pravidelne si aktualizovať všetky programy a najmä operačný systém.

Šírenie

upraviť

Ransomware sa šíri najmä e-mailom, otvorením infikovanej stránky, cez webový prehliadač, klikaním na neznáme linky a reklamy. Ransomware sa môže šíriť aj pomocou počítačovej siete.

Osobitné opravy

upraviť

Na internete sú dostupné opravy na ransomware, avšak nie je múdre veriť všetkému (stiahnutý súbor môže byť infikovaný iným vírusom, alebo môže skrátiť čas na zakúpenie kódu). Avast ponúka opravné programy osobitne na rôzne typy ransomware.[5]

História

upraviť

Prvý zaznamenaný ransomware sa nazýval „AIDS Trojan“ a vyvinul ho Joseph Popp v roku 1989. Vírus skryl súbory na disku a zašifroval len názvy súborov (pridal príponu .aids). Zobrazoval správu, že používateľská licencia na využívanie istého programu skončila. Výkupné (ransom) stálo 189 USD (170 EUR). Tvorca tohoto vírusu, Joseph Popp, vyhlásil, že výkupné bolo použité na výskum liečiva proti AIDS. Popp bol neskôr označený za mentálne chorého. Heslo na dešifrovanie počítača sa však dalo jednoducho zistiť z kódu Trojan-a.

Využívanie „verejného kľúča“ pre šifrovanie uviedol v roku 1996 Adam Young a Moti Yung. Young a Yung kritizovali jednoduchosť „AIDS Trojana“, a vytvorili zložitejší šifrovací vírus (kryptovírus) na Macintosh, ktorý využíval hybridné šifrovanie z algoritmov RSA a TEA (Tiny Encryption Algorithm - Drobný šifrovací algoritmus). Tento experimentálny vírus zaslal útočníkovi náhodný kľúč a dal ho obeti (na odšifrovanie) za istú sumu.

Ikonický ransomware

upraviť

Reveton

upraviť

Reveton je ransomware, ktorý sa začal šíriť v roku 2012. Je založený na víruse ZeuS (Zeus Trojan). Reveton tvrdí, že bol počítač využívaný na nelegálne činnosti, ako napríklad sťahovanie nelegálneho softvéru a detskej pornografie. Upozornenie informuje, že používateľ musí zaplatiť čiastku pomocou anonymnej predplatenej služby, ako napríklad Paysafecard alebo Ukash. Na vytvorenie ilúzie, že ide o policajnú akciu, sa v okne zobrazuje IP adresa a zábery z webkamery (obeť si myslí, že je nahrávaná).

Reveton sa rýchlo šíril v Európe, a vytvárali sa rôzne nové variácie vírusu. Prvé verzie tvrdili, že sú z policajných staníc Metropolitan alebo PCeU (Police Central e-Crime Unit), neskoršie verzie tvrdili, že používateľ nelegálne sťahoval hudbu. Verejnosť bola varovaná o tomto víruse. Vírus doteraz infikuje počítače, no väčšina antivírusových programov je schopných zabrániť šifrovaniu. Vírus sa šíri najmä e-mailom (po otvorení emailu s vírusom sa uloží do dočasných súborov a zašifruje dáta). Aktuálne verzie požadujú 200 USD (180 EUR), a okrem šifrovania dát aj kradnú heslá z počítača.

Reveton vytvoril Rus žijúci v Dubaji (jeho meno nebolo zverejnené, bol zatknutý). No rôzne verzie a aktualizácie Reveton-u vytvárajú aj iné osoby. Za mrežami je už 10 ďalších osôb.

Reveton bol jeden z prvých tzv. „Policajných ransomware-ov“ (ransomware tvrdiaci, že ide o policajnú akciu).

CryptoLocker

upraviť

Šifrovací ransomware sa znova objavil v septembri 2013 s CryptoLocker-om (v preklade ŠifroZamykač), ktorý vygeneroval 2048-bitový RSA kód a nahral ho na server útočníka (tzv. Command-and-Control server), pričom zablokoval súbory so špecifickými príponami. Malvér sa vyhrážal, že kód vymaže, pokiaľ nebude zaplatená čiastka cez Bitcoin alebo predplatenú poukážku (Paysafecard) do troch dní. Kód sa však dal získať aj po konečnom termíne, ale stál 10 Bitcoinov (16 594,85 ).

Vírus bol zastavený 2. júna 2014, po zatknutí pôvodcu a vývojára - Evgeniy Bogachev, ktorý zarobil približne 2,7 milióna eur. Avšak boli vytvorené ďalšie vírusy, založené na CryptoLocker - CryptoLocker.F, TorrentLocker a ďalšie.

CryptoLocker2, CryptoLocker.F a TorrentLocker

upraviť

V septembri 2014 začala vlna vírusov v Austrálií založených na pôvodnom CryptoLocker - CryptoWall a CryptoLocker 2.0. Vírusy sa šírili pomocou e-mailu, rovnako ako Reveton alebo aj mnoho dnešných vírusov. E-maily boli od „Austrálskej pošty“, kde sa písalo o doručenom balíčku. Po kliknutí na link v emaile, používateľ musel vyriešiť CAPTCHA - aby sa mohol vírus v pozadí stiahnuť. Neskôr vznikol takmer zhodný vírus, CryptoLocker.F, ktorý nainfikoval austrálsky televízny kanál ABC News 24.

Ďalší vírus v tejto vlne bol TorrentLocker. Vírus nainfikoval viac ako 9 000 počítačov v Austrálií a 11 700 počítačov v Turecku. Vírus sa ďalej nedostal, bol zastavený v novembri 2014.

Fusob je ransomware ktorý napáda smartfóny so systémom Android, iOS a neskôr aj Windows Phone. Ako typický ransomware, Fusob žiadal výkupné na odblokovanie v sume 100 až 200 USD. Na obrazovke sa zobrazoval odpočet do konečného termínu zaplatenia. Po termíne bola čiastka navýšená. Fusob podporoval platbu cez darčekové poukážky na iTunes.

Po nainštalovaní vírusu, Fusob najprv skontroluje jazyk zariadenia. Ak má používateľ nastavený ruský jazyk, alebo akýkoľvek jazyk z východnej Európy, Fusob sa odinštaluje (aj Slováci sú pred vírusom chránení).

WannaCry

upraviť
 
Mapa rozšírenia vírusu WannaCry
Bližšie informácie v hlavnom článku: WannaCry

V máji 2017 vypukol útok ransomware-u WannaCry (taktiež známy ako WannaCryptor, WanaCrypt0r 2.0, WannaDecryptor). Tento počítačový červ žiada výkupné 300 USD (271 EUR) cez Bitcoin. Kvôli tomuto vírusu, bola vydaná aktualizácia na všetky platformy Windows (aj nepodporované, ako Windows XP). Dosiaľ nainfikoval viac ako 75 000 počítačov v 99 rôznych krajinách. Vírus nainfikoval aj počítače telekomunikačnej firmy Telefónica, NHS (National Health Service) v Spojenom kráľovstve kde minimálne 16 nemocníc muselo zrušiť naplánované operácie. WannaCry sa najviac sústreďuje na Španielsko, Britániu, Rusko a Nemecko.

Vírus sa šíri extrémne rýchlo, no na Slovensko sa zatiaľ nedostal.

Referencie

upraviť
  1. Bezpečnostný slovníček manažéra - Kyber bezpečnosť [online]. kyberbezpecnost.forbes.sk, [cit. 2017-09-26]. Dostupné online. Archivované 2017-09-27 z originálu.
  2. Ransomvér: Preteky, ktoré nechcete prehrať – Cisco [online]. www.cisco.com, [cit. 2017-09-26]. Dostupné online.
  3. Cisco Expert Talk: Ransomware - ochrana pred, počas i po útoku [online]. www.alef.com, [cit. 2017-07-30]. Dostupné online.
  4. Ransomware. Ochrana pred, počas i po útoku - Cisco [online]. www.cisco.com, [cit. 2017-07-30]. Dostupné online.
  5. Co je to Ransomware a jak ho odstranit [online]. www.avast.com, [cit. 2017-05-17]. Dostupné online.

WikiProjekt

upraviť