Ransomware jest wyjątkowo podstępną formą złośliwego oprogramowania. Jak sugeruje nazwa, oprogramowanie ransomware pobiera dane i przechowuje je w celu uzyskania okupu, szyfrując je.
W jaki sposób oprogramowanie ransomware trafia do systemów?
Ransomware zazwyczaj dostaje się do sieci za pośrednictwem wiadomości phishingowej i rozprzestrzenia się w całej sieci, instalując złośliwe oprogramowanie.
Jak działa oprogramowanie ransomware
Gdy ransomware dostanie się do systemu, szyfruje dane w tym systemie. Atak wykorzystuje proste algorytmy szyfrowania wykorzystujące ten sam klucz szyfrowania i deszyfrowania. Jednak najsilniejsze oprogramowanie ransomware wykorzystuje kryptografię klucza publicznego/prywatnego. Używając oddzielnych kluczy do szyfrowania i deszyfrowania, użytkownik nie będzie w stanie odzyskać plików, chyba że atakujący dostarczy je po zapłaceniu okupu.
Rodzaje oprogramowania ransomware
Ransomware szyfrujące
Gdy atakujący uzyskają dostęp do systemu, złośliwe oprogramowanie blokuje dostęp do systemu i rozpoczyna szyfrowanie plików. Gdy tak się stanie, żadne oprogramowanie zabezpieczające ani przywracanie systemu nie może ich zwrócić, chyba że ofiara zapłaci okup w zamian za klucz odszyfrowywania. Nawet jeśli ofiary zapłacą, nie ma gwarancji, że cyberprzestępcy zwrócą te pliki.
Wirusy te są zaprogramowane do wyszukiwania plików z określonymi rozszerzeniami. Typowe pliki, takie jak JPEG, dokumenty Word i Excel, pliki projektów Photoshop i pliki baz danych, należą do wielu dotkniętych tym problemem. Pliki, których dotyczy problem, zwykle mają dołączone nowe rozszerzenie, na przykład „.CRYPTED„, „.VAULT” lub „.LOCKED„.
Większość wirusów ransomware używa złożonego szyfrowania AES, aby zablokować pliki. Szyfrowanie to jest niemożliwe do złamania, jedynym sposobem na złamanie szyfrowania jest zapłacić hakerom za klucz odszyfrowywania i mieć nadzieję, że dotrzymają swojego słowa i prześlą klucz.
Niektóre wirusy ransomware jednak oszukują. Używają prostszych form szyfrowania. Lub mają inne słabości, które możemy wykorzystać, aby ominąć szyfrowanie. Na przykład, nieistniejący obecnie kryptowirus TeslaCrypt twierdził, że używa znacznie silniejszej formy szyfrowania niż to, którego faktycznie używał, co dało lukę Talos do opracowania oprogramowania od szyfrującego dla ofiar TeslaCrypt.
Ransomware blokujące ekran
Po uruchomieniu komputera pojawi się okno, któremu często towarzyszy oficjalnie wyglądająca pieczęć FBI lub Departamentu Sprawiedliwości USA informująca, że na Twoim komputerze wykryto nielegalną działalność i że system pozostanie niestabilny, chyba że zapłacisz kwotę wymaganą w zawiadomieniu.
Ransomware może rozprzestrzeniać się tak, jak każdy inny rodzaj wirusa lub złośliwego oprogramowania. Przeglądanie podejrzanych stron internetowych lub otwieranie podejrzanych załączników wiadomości e-mail może zapewnić wirusowi ransomware otwarcie potrzebne do zainfekowania systemu.
Przez lata hakerzy narażali na szwank swoje ofiary, wysyłając e-maile przedstawiające się jako krewni, współpracownicy lub sysadmin, partnerzy biznesowi lub działy prawne, prosząc ich o pobranie i otwarcie załącznika do wiadomości e-mail.
