Ransomware: Decenija maltretiranja, zastrašivanja i iznuđivanja

Tekstovi o zaštiti, 01.06.2015, 01:00 AM

Ransomware: Decenija maltretiranja, zastrašivanja i iznuđivanja

Prošla je skoro decenija od pojave prvog ransomwarea, malicioznog softvera koji kao taoce drži važne fajlove na računaru tražeći otkup od žrtve, vlasnika računara, da bi ih vratio. Ovaj neslavni jubilej bio je povod da kompanija Trend Micro podseti korisnike na istorijat jednih od najpohlepnijih malvera koji godinama maltretiraju korisnike računara.

Iako su mediji o prvim slučajevima napada ransomwarea izveštavali još sredinom 2005. godine, sofisticiraniji malveri ove vrste koji su na neki način šifrovali fajlove počeli su da se pojavljuju godinu dana kasnije.

Jedan od prvih među njima bio je ransomware Cryptzip koji je pretraživao hard disk zaraženog računara tražeći fajlove sa određenim ekstenzijama i zatim ih zipovao u arhive zaštićene lozinkom pre nego što bi obrisao originalne fajlove. Bez backupa na sigurnom, korisniku zaraženog računara ostajali bi samo fajlovi zarobljeni u arhivama. Cryptzip bi kreirao notepad fajl koji bi služio kao obaveštenje o otkupu za korisnika kome je za lozinku za zipovane fajlove traženo da plati 300 dolara.

Ipak, Cryptzip je bio vrlo trapavi početnički pokušaj iznude novca od korisnika zaraženih računara jer sama prevara nije osmišljena baš najbolje. Lozinka za koju su prevaranti tražili novac ustvari se mogla naći u jednom od fajlova malvera, tačnije u njegovom .DLL fajlu.

Pet godina kasnije, ransomware, ili bar metodi plaćanja su uznapredovali tako da su uključivali i mobilne platne sisteme. 2011. TROJ_RANSOM.QOWA je napao korisnike u Rusiji. Umesto zarobljavanja određenih fajlova, ovaj ransomware je sprečavao korisnike da pristupe radnoj površini prikazujući im stranicu sa zahtevom da plate 12 dolara. Žrtve su morale da pozovu određeni premium broj i prihvate da plate da bi mogle da opet da pristupe svojim sistemima.

Za razliku od čudovišta koje će ransomware uskoro postati tražeći velike svote novca za zarobljene fajlove, 12 dolara koliko je tražio ovaj ransomware nije bilo previše, ali je ipak bilo dovoljno da kriminalci sakupe najmanje 30000 dolara od oko 2500 žrtava za samo pet nedjelja. Utvrđeno je da je malver preuzet sa pornografskog web sajta više od 137000 puta samo mesec dana ranije, i da su ga preuzimali uglavnom ruski korisnici. Niska cena otkupa i jednostavan način plaćanja izgleda da je bio prihvatljiv žrtvama.

Ovi brojevi pokazuju kolike su mogućnosti ransomwarea za zaradu. Prevariti ljude da preuzmu malver i zatim ih sprečiti da pristupe sopstvenim fajlovima i računarima dok ne plate - bio je recept za uspeh. S druge strane, i način distribucije malvera igra značajnu ulogu - ovaj slučaj je pokazao kako je pornografija bila dobar mamac za korisnike iz Rusije koji su preuzeli malver.

2012. godina je bila godina procvata za ransomware. Tokom te godine, ransomware je promenio način na koji uzima fajlove i računare za taoce i kako zahteva otkup. Osim toga, ranosmware je te godine napadao i korisnike izvan Rusije. Te godine pojavio se i takozvani “policijski” ranosmware Reveton koji je napadao računare korisnika širom Evrope i SAD.

Reveton je iznuđivao novac od žrtava tako što bi ih ubedio da su uradili nešto nezakonito (npr. instalirali piratski softver), i da zbog toga treba da plate kaznu ukoliko žele da izbegnu zatvor. Reveton je znao gde se nalaze žrtve što je koristio da bi im poslao odgovarajući zahtev o otkupu fajlova na njihovim maternjim jezicima. Ova obaveštenja su imala i oznake lokalnih policija (npr. FBI u SAD, ili Nacionalna žandarmerija u Francuskoj) da bi sve izgledalo uverljivije i da bi se žrtve zastrašile.

Čak i kada bi žrtva bila skeptična prema ovom obaveštenju, nije imala mnogo izbora nego da plati navodnu kaznu u iznosu od 200 dolara preko servisa kao što je Ukash, jer je Reveton zaključavao ceo sistem da bi sprečio pristup bilo kom sadržaju ili programu na računaru.

Pored ovoga, Reveton se širio sa kompromitovanih web sajtova, što je takođe bila novina za ovu vrstu malvera.

2013. pojavio se vesnik najopasnijeg oblika ransomwarea - Cryptolocker. Osim što blokira sistem čineći ga beskorisnim, ovaj malver šifruje fajlove na takav način da je nemoguće vratiti ih u upotrebljivo stanje bez plaćanja otkupa.

Cryptolocker koristi AES enkripciju za šifrovanje fajlova na sistemu (jedan ključ za šifrovanje i dešifrovanje podataka). Ali Cryptolocker se ne zaustavlja ovde. On koristi i RSA da bi šifrovao AES ključ (dva odvojena ključa za šifrovanje i dešifrovanje, pri čemu je ključ za dešifrovanje u rukama sajber kriminalaca). Tako Cryptolocker primorava žrtve da izaberu - ili da plate ili da izgube sve. Na žalost, to nije nešto što se može popraviti sa 12 dolara. Suma koju traže kriminalci u ovom slučaju je neverovatnih 300 dolara.

2013. je bila i godina kada su zabeleženi novi načini širenja ransomwarea. Tako se Cryptolocker širio u spam kampanjama, uz pomoć malvera Upatre i Zbot, a kasnije je otkrivena i verzija malvera koja se širila preko prenosivih diskova na način koji je uobičajen za kompjuterske crve, pa otuda i naziv ove verzije malvera - Worm_Crilock.A.

Posle toga, razvoj ransomwarea je počeo polako da stagnira pošto je izgleda pronađen savršen model, ali je ipak usput dodato nekoliko novina. Početkom 2014., ranosmware Cryptrbit, koji je funkcionisao na sličan način kao i Cryptolocker, tražio je od žrtava da otkup plate bitcoinima umesto da se koriste do tad uobičajeni načini plaćanja. Posle toga, pojavio se i Cribit koji je krao bitcoine iz bitcoin novčanika žrtava, kao i CBTLocker koji je svoje tragove prikrivao uz pomoć mračnog weba. Jedan od najnovijih ranosmwarea, TorrentLocker, koristi CAPTCHA kod i preusmeravanja za fišing web sajtove da bi inficirao računare.

Vredni spomena su i CryptoFortress koji šifruje fajlove u deljenim mrežnim resursima, i Ransomweb koji šifruje web sajtove i web servere. Manje više, i ova dva malvera funkcionišu na isti način kao i prethodni. Ipak, iako je zaključavanje porodičnog kućnog računara loše, malveri koji blokiraju firme onemogućavajući korišćenje računara su prava katastrofa.

Stručnjaci su izričito protiv plaćanja kriminalcima, jer ih to ohrabruje da nastave da se bave ovim unosnim biznisom. U ovom trenutku ne postoji jedan čarobni lek za sve infekcije ovim malverima. Baš zato, infekciju treba sprečiti, a preporuke stručnjaka su da redovno pravite rezervne kopije fajlova; da ažurirate softver na računaru čim proizvođač objavi zakrpu, jer do infekcija ransomwareom često dolazi tako što se iskoriste bezbednosni propusti u softveru; na sajtove idite direktno, a nikako klikom na sumnjive linkove; email priloge možete preuzimati samo ako stižu od poznatih; i skenirajte redovno računar antivirusnim programom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako da prepoznate da vam je računar zaražen malverom

Kako da prepoznate da vam je računar zaražen malverom

Uključujete računar i čekate. Čekate. I dalje čekate. Najzad se pojavljuje desktop ali stvari ne izgledaju mnogo bolje. Internet je spor, program... Dalje

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

I to se dešava... Vaš nalog je napadnut. Vidite zahtev za promenom lozinke, email ili SMS obaveštenje o pokušaju neovlašćenog prijavljivanja na ... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Grupe koje se bave sajber kriminalom organizovane su na sličan način kao i bilo koja IT kompanija. Ključne uloge u tim grupama igraju programeri ko... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Rusko sajber podzemlje, kome pripadaju sajber kriminalci iz Ruske Federacije i nekih država bivšeg SSSR-a, pre svih, iz Ukrajine i baltičkih zemalj... Dalje

Kako da se zaštitite od fišinga

Kako da se zaštitite od fišinga

Ako malo razmislite, mala je razlika između pecanja na internetu poznatog pod nazivom fišing, i stvarnog pecanja. Jedna od glavnih razlika je to št... Dalje