Ransomware [1] [2] , ransomware [3] ( ransomware - a ransom - ransom és a szoftver - szoftver szavak portképe ) - a rosszindulatú szoftverek egy fajtája, amelyet zsarolásra terveztek , blokkolja a hozzáférést egy számítógépes rendszerhez vagy megakadályozza az adatok beolvasását rögzítik benne (gyakran titkosítási módszerekkel), majd váltságdíjat követel az áldozattól az eredeti állapot helyreállításáért.
Jelenleg számos gyökeresen eltérő megközelítés létezik a zsarolóprogramok működésében:
Miután a Trojan.Winlock\LockScreen telepítve lett az áldozat számítógépére, a program a rendszerfunkciók segítségével zárolja a számítógépet, és hozzáadódik az indításhoz (a rendszerleíró adatbázis megfelelő ágaiban). Ezzel egyidejűleg a felhasználó valamilyen fiktív üzenetet lát a képernyőn, például a felhasználó által éppen elkövetett állítólagos jogellenes cselekményekről (akár törvényi cikkekre mutató hivatkozásokkal), valamint egy tapasztalatlan felhasználó megijesztését célzó váltságdíj követelésről - küldjön egy fizetett SMS , töltse fel valaki más számláját [4] , többek között olyan névtelen módon, mint a BitCoin. Ráadásul az ilyen típusú trójaiak gyakran nem ellenőrzik a jelszót. Ebben az esetben a számítógép működőképes marad. Gyakran fennáll az összes adat megsemmisítésének veszélye, de ez csak a felhasználó megfélemlítésének kísérlete [5] . Néha az adatmegsemmisítő eszközök, például az aszimmetrikus kulcsú titkosítás még mindig benne vannak a vírusban, de ezek vagy nem működnek megfelelően, vagy alacsony szintű készségeket alkalmaznak. Ismertek olyan esetek, amikor magában a trójai kódban van egy fájl visszafejtési kulcs, valamint annak technikai lehetetlensége, hogy maga a hacker (a fizetett váltságdíj ellenére) visszafejtse az adatokat, mivel ez a kulcs még ő is hiányzik vagy elveszett.
Néha meg lehet szabadulni a vírustól, ha feloldó űrlapokat használnak víruskereső webhelyeken vagy speciális programokat, amelyeket vírusirtó cégek hoztak létre a különböző földrajzi régiókban, ahol a trójaiak aktívak, és általában szabadon hozzáférhetők. Ezenkívül bizonyos esetekben csökkentett módban meg lehet találni a trójai folyamatot a feladatkezelőben , megtalálni a fájlt és törölni. Azt is érdemes megfontolni, hogy a trójai bizonyos esetekben még biztonságos módban is működőképes maradhat. Ilyen esetekben a parancssorral csökkentett módba kell lépni, és a konzolon futtatni az Explorer folyamatot, és eltávolítani a trójai programokat, vagy igénybe kell venni a vírusirtó programok szolgáltatásait.
Miután telepítették az áldozat számítógépére, a program titkosítja a legtöbb működő fájlt (például az összes közös kiterjesztésű fájlt). Ebben az esetben a számítógép működőképes marad, de az összes felhasználói fájl nem érhető el. A támadó megígéri, hogy utasításokat és jelszót küld a fájlok pénzért történő visszafejtéséhez.
A titkosító vírusok kronológiai sorrendben jelentek meg a winlockers után. Elosztásuk az UAC és a Microsoft gyorsjavításaihoz kapcsolódik: a felhasználók tudta nélkül nehezebbé válik a regisztráció a rendszerben, de a számítógépet úgy tervezték, hogy felhasználói fájlokkal működjön! Rendszergazdai jogosultságok nélkül is megsérülhetnek.
Ezek a csalások magukban foglalják
A zsarolóprogramokhoz kapcsolódó programok technikailag gyakori számítógépes vírusok vagy hálózati férgek , és a fertőzés ugyanúgy történik – tömeges levélküldésből, amikor egy végrehajtható fájl elindul, vagy amikor egy hálózati szolgáltatás biztonsági rése révén támadják meg őket.
A ransomware fő terjesztési útvonalai: [6]
A személyes adatokkal kapcsolatos fegyelem általános szabályai:
Abban az esetben, ha a fertőzés már megtörtént, érdemes igénybe venni a vírusirtó cégek által nyújtott segédprogramokat és szolgáltatásokat. A fertőzést azonban közel sem mindig lehet váltságdíj fizetése nélkül megszüntetni [8] .
Ransomware vírusok 2005 májusa óta fertőzik meg a személyi számítógép -felhasználókat. A következő példányok ismertek: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. A leghíresebb vírus a Gpcode és változatai Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Utóbbi arról nevezetes, hogy az RSA algoritmust használja 1024 bites kulccsal a fájlok titkosításához.
2013 márciusában dr. A weben felfedezték az ArchiveLock ransomware-t , amely Spanyolországban és Franciaországban támadta meg a felhasználókat, és amely a legális WinRAR archiválót [9] használja rosszindulatú műveletek végrehajtására a fájlok titkosítására , majd a titkosítás után véglegesen törli az eredeti fájlokat a Sysinternals SDelete segédprogrammal [10 ] .
A következő tény a feltörekvő bűnügyi üzletág mértékéről beszél. 2013 végén a CryptoLocker ransomware a Bitcoin fizetési rendszerét használta váltságdíj beszedésére. 2013 decemberében a Bitcoin-tranzakciókkal kapcsolatos információk rendelkezésre állása alapján a ZDNet értékelte a fertőzött felhasználók pénzátutalását az október 15. és december 18. közötti időszakban. Csak ezen időszak végére a CryptoLocker üzemeltetőinek körülbelül 27 millió dollárt sikerült összegyűjteniük a bitcoinok akkori árán. [tizenegy]
Ismert támadások2017 : WannaCry (május) [12] ; Petya (június) [13] [14] ; Bad Rabbit (október) [15]
Az internet segítségével a támadók a világ minden táján tevékenykedhetnek: hivatalos adatok szerint csak Ausztráliában 2014 augusztusától decemberig körülbelül 16 ezer online zsarolási epizód volt, míg a teljes váltságdíj körülbelül 7 millió dollárt tett ki [8] .
Orosz nyomSzakértők szerint a közvetett jelek arra utalnak, hogy a ransomware fejlesztők kapcsolatba kerülnek Oroszországgal és a volt Szovjetunió köztársaságaival . A következő tények szólnak e verzió mellett [16] :
Céges kiadványok:
Cikkek:
Rosszindulatú szoftver | |
---|---|
Fertőző rosszindulatú programok | |
Rejtős módszerek | |
Malware haszonszerzés céljából |
|
Operációs rendszerek szerint |
|
Védelem |
|
Ellenintézkedések |
|