niedziela, 21 kwietnia, 2024
32 220 35 21biuro@omegasoft.pl
spot_img
Strona głównaOmegopediaWiedzaRodzaje oprogramowania ransomware

Rodzaje oprogramowania ransomware

Pomimo postępów w dziedzinie cyberbezpieczeństwa, oprogramowanie ransomware nadal stanowi zagrożenie dla firm każdej wielkości, a także dla prywatnych użytkowników. Wszechstronne i trudne do uniknięcia ataki ransomware to lukratywna działalność przestępcza, która może kosztować zaatakowaną firmę nawet tysiące złotych.

W cyberświecie regularnie pojawiają się nowe warianty oprogramowania ransomware. Chociaż każdy z nich jest inny, często ich działanie opiera się na podobnych taktykach, aby wykorzystać użytkowników, którzy boją się o swoje dane.

Czytaj dalej, aby poznać typowe rodzaje oprogramowania ransomware, ich sposób działania oraz przykłady najniebezpieczniejszych ransomware w historii.

Co to jest oprogramowanie ransomware?

Ransomware to rodzaj oprogramowania, które blokuje dostęp do systemu lub plików, dopóki ofiara nie zapłaci okupu. Niektóre typy ransomware opierają się na blokadzie dostępu do systemu komputerowego, inne – uniemożliwiają odczytanie zapisanych na nim danych za pomocą silnego szyfrowania.

Ransomware zwykle infekuje system, korzystając z jednego z poniższych sposobów:

  • złośliwy załącznik lub łącze w  wiadomości phishingowej (wysłanej poprzez e-mail, komunikator internetowy itp.),
  • pobieranie drive-by z zainfekowanej strony internetowej,
  • zainfekowany sprzęt,
  • robak wykorzystujący lukę w systemie.

Przebieg większości ataków ransomware w większości wypadków wygląda podobnie. Oto jak działa przeciętny atak ransomware:

  1. Użytkownik otrzymuje wiadomość phishingową i popełnia błąd, klikając złośliwy link.
  1. Ransomware po cichu instaluje się w systemie i lokalizuje docelowe dane.
  1. Program szyfruje dane w tle.
  1. Po zakończeniu szyfrowania ofiara otrzymuje wiadomość od atakujących z żądaniem okupu w zamian za klucz odszyfrowywania.

Hakerzy zazwyczaj żądają płatności w Bitcoinach lub innych kryptowalutach. Ofiara ma określony czas na zapłatę okupu – jeśli go przekroczy, atakujący albo podnoszą cenę, albo usuwają klucz deszyfrujący, przez co dane ofiary stają się bezużyteczne.

Zapłata okupu hakerom nie zawsze oznacza koniec ataku ransomware. Niektóre typy ransomware infekują również inne urządzenia w sieci, umożliwiając dalsze ataki. Inne przykłady oprogramowania ransomware infekują urządzenie ofiary również dodatkowym złośliwym oprogramowaniem, takim jak np. trojany, które kradną dane logowania.

Hakerzy wykorzystują oprogramowanie ransomware do atakowania małych i średnich firm, przedsiębiorstw, organizacji publicznych i użytkowników indywidualnych. Ten rodzaj złośliwego oprogramowania stanowi zagrożenie dla wszystkich systemów operacyjnych, w tym Windows, Linux i Mac. Konsekwencje oprogramowania ransomware mogą być miażdżące i prowadzić do:

  • utraty danych biznesowych i klientów,
  • skutków prawnych naruszenia danych wynikających z przepisów RODO,
  • przestoju w pracy i związanych z tym konsekwencji finansowych,
  • zachwiania reputacji firmy, które prowadzi do utraty klientów.
  • kosztownego procesu przywracania sieci do stanu sprzed ataku, który często zajmuje tygodnie.
  • długotrwałego uszkodzenia infrastruktury.

Rodzaje ransomware

Chociaż istnieje niezliczona ilość odmian oprogramowania ransomware, należą one głównie do trzech głównych rodzajów oprogramowania ransomware. Są to screen-locker, crypto-ransomware, oraz disk-encryptor.

Screen-locker

Ataki ransomware typu screen-locker blokują cały komputer, zamiast szyfrowania określonych plików. Atakujący obiecują odblokować urządzenie, jeśli ofiara zapłaci okup.

Atak screen-locker zazwyczaj pozwala użytkownikowi na uruchomienie urządzenia, jednak daje do niego ograniczony dostęp i umożliwia wyłącznie interakcję z atakującycm.

Atakujący stojący za oprogramowaniem ransomware typu screen-locker często wykorzystują różnego typu socjotechniki, aby zmusić ofiarę do zapłacenia okupu. Powszechną taktyką jest naśladowanie organów podatkowych lub organów ścigania.

Jak to wygląda w praktyce? Podczas przeglądania internetu nagle dostrzegasz wyskakujące okienko, wyglądające jak komunikat wysłany przez policję. Wygląda ono jak oficjalne powiadomienie, ostrzegające użytkownika, że naruszył autorskie, nielegalnie pobierając pliki, takie jak MP3, filmy lub oprogramowanie. Inny wariant to oskarżenie o oglądanie, przechowywanie i/lub rozpowszechnianie zakazanej pornografii. Komunikat może brzmieć np. tak:

 „Twój komputer był używany do odwiedzania stron internetowych zawierających nielegalne treści. Aby odblokować komputer, musisz zapłacić grzywnę w wysokości …”

Powyżej opisany przykład to oczywiście oszustwo – policja nie blokuje komputerów w ten sposób. W przypadku tego typu ransomware Twoim danym nic nie zagraża – haker nie szyfruje ich, a jedynie instaluje na Twoim komputerze skrypt uruchamiający wyskakujące okienko i blokujący dostęp do komputera.

Screen-locker bazuje przede wszystkim na strachu użytkownika – haker liczy na to, że ofiara uwierzy w oskarżenie i zdecyduje się na zapłatę “grzywny”. Jeśli nie dasz się nabrać i zachowasz spokój, wystarczy pomoc biegłego technicznie specjalisty, który zdejmie blokadę bez płacenia oszustom jakiejkolwiek kwoty.

Crypto-ransomware

Ataki crypto-ransomware szyfrują pliki na komputerze, aby uniemożliwić ofierze dostęp do danych. Zwykle nie dochodzi do zaszyfrowania wszystkich plików. Program na początku działa po cichu, w tle, i skanuje komputer w poszukiwaniu cennych danych. Następnie szyfruje tylko te pliki, które uzna za wartościowe – głównie informacje finansowe, projekty robocze i poufne pliki biznesowe.

Ten rodzaj oprogramowania ransomware nie blokuje całkowicie komputera. Ofiary mogą nadal korzystać ze swoich urządzeń, nawet jeśli odmówią zapłaty okupu. Nie mają jednak dostępu do swoich danych.

Z pozoru najłatwiejszym sposobem przywrócenia danych jest użycie klucza deszyfrującego, który atakujący oferują w zamian za okup. Nie jest to jednak najlepsze wyjście. Nie masz żadnej gwarancji, że po zapłaceniu okupu hakerzy nie zaatakują ponownie Twojego sprzętu, szyfrując dane za pomocą nowego klucza.

Przykładem ataku crypto-ransomware może być WannaCry. Wszystko zaczęło się w piątek, 12 maja 2017 r. Korea Północna przeprowadziła ogromny atak ransomware, który rozprzestrzenił się na cały świat. WannaCry okazał się być jednym z najbardziej rozpowszechnionych i destrukcyjnych ataków ransomware na świecie – zainfekował ponad 230 000 komputerów w 150 krajach i był wycelowany zarówno w małe firmy i organizacje, jak i osoby prywatne.

WannaCry atakował komputery z przestarzałymi wersjami systemu Microsoft Windows, wykorzystując lukę EternalBlue w protokole SMB. Po wejściu do systemu blokował pliki użytkowników i żądał zapłaty. Okupy wynosiły od 300 do 600 dolarów w Bitcoinach.

Autorstwa 황승환 – http://thegear.co.kr/14501, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=59468540

Skuteczną ochroną przed atakami typu crypto-ransomware jest regularne tworzenie kopii zapasowych i przechowywanie ich na osobnym dysku lub w chmurze. Odbiera to hakerom możliwość całkowitego zniszczenia Twoich danych. Warto jednak mieć świadomość, że skasowanie danych to nie jedyne zagrożenie.

Autorzy crypto-ransomware mogą nie tylko szyfrować pliki i żądać okupu za ich odszyfrowanie, ale też grozić opublikowaniem skradzionych danych. Ma to ogromne znaczenie zwłaszcza w przypadku firmowych plików, zawierających dane osobowe i kontaktowe pracowników lub klientów. Oznacza to, że nawet jeśli ofiara jest w stanie przywrócić swoje dane z kopii zapasowej, atakujący nadal może ją szantażować. Niestety, zapłata okupu nie gwarantuje bezpieczeństwa danych, ponieważ nie daje Ci żadnej gwarancji, że cyberprzestępca skasuje je i skończy szantaż.

Disk-encryptor

Disk-encryptor to trzeci, najnowszy typ oprogramowania ransomware. Jego działanie jest zbliżone do crypto-ransomware, jednak różni się tym, że nie szyfruje kolejnych plików, ale blokuje dostęp do całego dysku twardego, szyfrując plik MFT (master file table), przez co nie można odczytać systemu plików, a system Windows nie daje się uruchomić.

Niektóre wersje ransomware typu disk-encryptor szyfrują zarówno poszczególne pliki, jak i plik MFT — w rezultacie użytkownik nie ma dostępu do swoich danych.

Przykładem ransomware typu disk-encryptor jest robak Petya, który zaatakował pod koniec czerwca 2017 roku. Jego celem były firmy i organizacje na całym świecie. Atak rozpoczynał się od fałszywej wiadomości e-mail z podaniem o pracę, w którym znajdował się link powodujący pobranie pliku z serwisu Dropbox. Jeśli ofiara kliknęła link, pobierany zostawał plik .exe, który szyfrował dostęp do komputera ofiary.

Następnie, pierwszą oznaką obecności programu Petya było pojawienie się w systemie Windows „błękitnego ekranu śmierci”. W tym czasie robak szyfrował plik MTF, po czym wyświetlał ekran ostrzegawczy – czaszkę na czerwonym tle – oraz komunikat z żądaniem płatności w walucie bitcoin w zamian za przywrócenie dostępu do komputera.

Screen-locker, crypto-ransomware, disk-encryptor – różnice

Screen-locker, crypto-ransomware i disk-encryptor to trzy główne typy oprogramowania ransomware. Najważniejsze różnice i podobieństwa między nimi prezentuje poniższa tabela:

Screen-lockerCrypto-ransomwareDisk-encryptor
Ransomware infiltruje system.Ransomware infiltruje system.Ransomware infiltruje system.
Program blokuje urządzenie i uniemożliwia użytkownikowi dostęp do niego.Program skanuje komputer w poszukiwaniu danych docelowych.Program szyfruje plik MFT (master file table), przez co nie można odczytać systemu plików.
Program nie szyfruje danych. Program szyfruje cenne dane, działając w ukryciu.Program zaszyfrowuje cały dysk ofiary.
Urządzenie można uruchomić, ale wyświetla ono tylko komunikat o okupie.Urządzenie można uruchomić i korzystać z niego, jednak dostęp do części plików pozostaje zablokowany za pomocą szyfrowania.System nie daje się uruchomić.
Haker stosuje socjotechniki, aby zmusić ofiarę do zapłaty “grzywny”.Haker nie ukrywa się i wysyła wiadomość z żądaniem okupu.Haker nie ukrywa się i wysyła wiadomość z żądaniem okupu.
Jeśli ofiara zapłaci okup, napastnicy odblokowują urządzenie.Jeśli ofiara zapłaci okup, atakujący wysyłają klucz deszyfrujący.Jeśli ofiara zapłaci okup, atakujący przywracają dostęp do komputera.

Czy można chronić się przed ransomware?

Ochrona przed ransomware jest trudna, jednak nie jest niemożliwa. Aby uniknąć zakażenia lub zmniejszyć jego negatywne skutki, stosuj się do poniższych zasad bezpieczeństwa:

  • Korzystaj z aktualnego oprogramowania antywirusowego znanej i sprawdzonej marki, np. Norton, Bitdefender, McAfee, AVG, Panda czy ESET. Współczesna technologia antywirusowa umożliwia wykrycie i usunięcie oprogramowania ransomware różnego typu, jeszcze zanim wyrządzi ono szkody na Twoim urządzeniu.
  • Nigdy nie otwieraj podejrzanych załączników do wiadomości e-mail czy tych wysyłanych przez komunikatory internetowe, nawet jeśli znasz nadawcę i mu ufasz.
  • Uważaj na reklamy, które wyświetlają się w przeglądarce – mogą prowadzić do fałszywych stron. Unikaj klikania w nie.
  • Pilnuj regularnych aktualizacji. Aktualizowanie systemu za pomocą najnowszych poprawek zabezpieczeń chroni przed lukami w zabezpieczeniach, które często wykorzystują programy ransomware.
  • Skonfiguruj zaporę sieciową (firewall). Zapora ogniowa to pierwsza oparta na oprogramowaniu linia obrony przed oprogramowaniem ransomware. Zapory sieciowe skanują ruch przychodzący i wychodzący pod kątem potencjalnych zagrożeń, umożliwiając monitorowanie pod kątem oznak złośliwych programów.
  • Pamiętaj o regularnym tworzeniu kopii zapasowych swoich najważniejszych plików na odrębnym dysku lub w chronionej chmurze. Dzięki temu bez trudu odzyskasz i przywrócisz ostatnie wersje zapisanych plików w przypadku zablokowania urządzenia. Dobrym wyborem jest korzystanie ze specjalnego programu do tworzenia kopii zapasowych, np. Acronis True Image.
  • Jeśli dojdzie do ataku ransomware i pliki zostaną zaszyfrowane, spróbuj znaleźć program odszyfrowujący je. Nigdy nie płać okupu – nie masz żadnej pewności, że atakujący wywiąże się ze swojej obietnicy i odblokuje dostęp do danych. Solidne środki zapobiegawcze i kopie zapasowe powinny zapobiegać utracie danych w przypadku ataku.

Korzystając z sieci, nie możesz ignorować niebezpieczeństwa ransomware – niezależnie od tego, czy chodzi o Twoją firmę, czy prywatne urządzenie. Aktywne podejście do zatrzymania oprogramowania ransomware to najlepszy sposób na zapewnienie bezpieczeństwa. Zastosuj powyższe sugestie, aby wyprzedzić hakerów i uniknąć niepotrzebnych strat finansowych i stresu.

PODOBNE ARTYKUŁY

Popularne artykuły

Recent Comments

komputerowiec z sacza on KTO CHCE NADGRYŹĆ JABŁKO?