Τι είναι Λυτρισμικό/ Ransomware/ Ιός Κρυπτογράφησης;
Τι είναι Λυτρισμικό/ Ransomware/ Ιός Κρυπτογράφησης; Στο παρακάτω άρθρο η Northwind Data Recovery επίσημος συνεργάτης του NoMoreRansom Project στην Ελλάδα, θα προσπαθήσει να σας διαλευκάνει όλα τα ερωτήματα που έχουν να κάνουν με Ιούς κρυπτογράφησης.
Η ιστορία του Λυτρισμικού/ Ransomware/ Ιού Κρυπτογράφησης
- 1989: Ο Joseph Popp δημιουργεί το πρώτο γνωστό λυτρισμικό, το 1989 AIDS Trojan (επίσης γνωστό ως “PC Cyborg”)
- 2005: Το Μάιο εμφανίζεται για πρώτη φορά το λυτρισμικό εκβίασης
- 2006: Μέχρι τα μέσα του 2006, worms όπως τα Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, και MayArchive αρχίζουν να χρησιμοποιούν πιο εξελιγμένα σχήματα κρυπτογράφησης RSA, με διαρκώς αυξανόμενα μεγέθη κλειδιών
- 2011: Εμφανίζεται ένα λυτρισμικό worm που μιμείται την ειδοποίηση Ενεργοποίησης των Windows
- 2013: Εμφανίζονται λυτρισμικά worms που το ένα βασίζεται στο Stamp.EK exploit kit και το άλλο είναι ειδικά σχεδιασμένο για λειτουργικά Mac OS X. Τους τέσσερις τελευταίους μήνες του έτους, το CryptoLocker συγκεντρώνει περίπου 5 εκατομμύρια δολάρια
- 2015: Διάφορες παραλλαγές προκαλούν σοβαρά προβλήματα σε διάφορες πλατφόρμες
Ποιοί είναι οι τύποι λυτρισμικού?
1. Λυτρισμικό κρυπτογράφησης
Κρυπτογραφεί προσωπικά αρχεία και φακέλους (έγγραφα, υπολογιστικά φύλλα, εικόνες και βίντεο).
Τα σχετικά αρχεία διαγράφονται αφού κρυπτογραφηθούν και οι χρήστες βρίσκουν συνήθως ένα αρχείο κειμένου με οδηγίες πληρωμής στον ίδιο φάκελο με τα μη προσβάσιμα πλέον αρχεία.
Ενδέχεται να εντοπίσετε το πρόβλημα μόνο όταν επιχειρείτε να ανοίξετε ένα από αυτά τα αρχεία.
Μερικοί, αλλά όχι όλοι οι τύποι λογισμικού κρυπτογράφησης εμφανίζουν μια «οθόνη κλειδώματος»:
2. Λυτρισμικό κλειδώματος οθόνης
WinLocker
Κλειδώνει την οθόνη του υπολογιστή και απαιτεί πληρωμή.
Παρουσιάζει μια εικόνα πλήρους οθόνης που αποκλείει όλα τα άλλα παράθυρα.
Δεν κρυπτογραφούνται τα προσωπικά αρχεία.
3. Λυτρισμικό Master Boot Record (MBR)
Το Master Boot Record (MBR) είναι το τμήμα του σκληρού δίσκου του υπολογιστή που επιτρέπει στο λειτουργικό σύστημα να εκκινήσει.
Το λυτρισμικό MBR αλλάζει το MBR του υπολογιστή έτσι ώστε να διακόπτεται η κανονική διαδικασία εκκίνησης.
Αντίθετα, στην οθόνη εμφανίζεται μήνυμα απαίτησης λύτρων.
4. Λυτρισμικό που κρυπτογραφεί εξυπηρετητές δικτύου
Στοχεύει εξυπηρετητές δικτύου και κρυπτογραφεί αρκετά αρχεία σε αυτούς.
Γνωστές ευπάθειες στα Συστήματα Διαχείρισης Περιεχομένου (CMS) χρησιμοποιούνται συχνά για την ανάπτυξη λυτρισμικού στις υπηρεσίες ιστού.
5. Λυτρισμικό φορητών συσκευών (Android)
Οι κινητές συσκευές (κυρίως Android) μπορούν να μολυνθούν μέσω “κατευθυνόμενων λήψεων”.
Μπορούν επίσης να μολυνθούν μέσω ψεύτικων εφαρμογών που μεταμφιέζονται ως δημοφιλείς υπηρεσίες όπως το Adobe Flash ή ένα προϊόν προστασίας από ιούς.
Εάν δεχθώ επίθεση από Λυτρισμικό/ Ransomware/ Ιός Κρυπτογράφησης, θα πρέπει να πληρώσω τα λύτρα;
Η πληρωμή των λύτρων δεν συνιστάται σε καμία περίπτωση, κυρίως επειδή δεν εγγυάται μια λύση στο πρόβλημα. Υπάρχουν επίσης ορισμένα θέματα που δε θα εξελιχθούν όπως αναμένονται. Για παράδειγμα, ενδέχεται να υπάρχουν σφάλματα στο κακόβουλο λογισμικό που καθιστά τα κρυπτογραφημένα δεδομένα ανεπανόρθωτα ακόμη και με το σωστό κλειδί.
Επιπλέον, εάν καταβληθεί το λύτρο, αποδεικνύεται στους εγκληματίες του κυβερνοχώρου ότι το λυτρισμικό είναι αποτελεσματικό. Ως εκ τούτου, οι κυβερνοεγκληματίες θα συνεχίσουν τη δραστηριότητά τους και θα αναζητήσουν νέους τρόπους εκμετάλλευσης των συστημάτων που οδηγούν σε περισσότερες μολύνσεις και περισσότερα χρήματα στους λογαριασμούς τους.
Πώς λειτουργεί μια επίθεση από Λυτρισμικό/ Ransomware/ Ιός Κρυπτογράφησης;
Μια επίθεση λυτρισμικού συνήθως πραγματοποιείται μέσω ενός συνημμένου αρχείου σε μήνυμα ηλεκτρονικού ταχυδρομείου, το οποίο θα μπορούσε να είναι ένα εκτελέσιμο αρχείο, ένα συμπιεσμένο αρχείο ή μια εικόνα. Μόλις ανοίξει το συνημμένο, το κακόβουλο λογισμικό εισέρχεται στο σύστημα του χρήστη. Οι εγκληματίες του κυβερνοχώρου μπορούν επίσης να τοποθετήσουν το κακόβουλο λογισμικό σε ιστότοπους. Όταν ένας χρήστης επισκέπτεται τον ιστότοπο, τότε εν αγνοία του το κακόβουλο λογισμικό εισέρχεται στο σύστημα.
Η μόλυνση δεν είναι άμεσα εμφανής στον χρήστη. Το κακόβουλο λογισμικό λειτουργεί κρυφά στο παρασκήνιο μέχρι να αναπτυχθεί ο μηχανισμός ή το σύστημα κλειδώματος δεδομένων. Στη συνέχεια, εμφανίζεται ένα παράθυρο διαλόγου που δηλώνει στον χρήστη ότι τα δεδομένα έχουν κλειδωθεί και απαιτεί λύτρα για να το ξεκλειδώσει. Τότε είναι πολύ αργά για να αποθηκευτούν τα δεδομένα μέσω οποιωνδήποτε μέτρων ασφαλείας.
Μπορείτε να δείτε το παρακάτω βίντεο για να πάρετε μια ιδέα για το πως λειτουργεί:
Ποιός μπορεί να είναι θύμα από Λυτρισμικό/ Ransomware/ Ιός Κρυπτογράφησης;
Οποιοσδήποτε καταναλωτής και οποιαδήποτε επιχείρηση μπορεί να είναι θύματα του λυτρισμικού. Οι εγκληματίες του κυβερνοχώρου δεν είναι επιλεκτικοί και συχνά προσπαθούν να χτυπήσουν όσο το δυνατόν περισσότερους χρήστες για να επιτύχουν το υψηλότερο κέρδος.
Ποιά είναι τα ποσοστά επίθεσης Λυτρισμικού/ Ransomware/ Ιού Κρυπτογράφησης σε επιχειρήσεις;
Οι κυβερνοεγκληματίες γνωρίζουν ότι οι οργανισμοί είναι πιο πιθανό να πληρώσουν, καθώς τα δεδομένα που κρατούνται είναι συνήθως τόσο ευαίσθητα όσο και ζωτικά για τη συνέχεια της επιχείρησης. Επιπλέον, μερικές φορές μπορεί να είναι πιο δαπανηρή η αποκατάσταση των αντιγράφων αντί της πληρωμής λύτρων.
Γιατί δεν μπορεί να βρεθεί μια κοινή λύση κατά των Λυτρισμικών/ Ransomware/ Ιών Κρυπτογράφησης;
Το λυτρισμικό/ Ransomware/ Ιός Κρυπτογράφησης βρίσκεται σε έξαρση (υπάρχουν περισσότερες από 50 οικογένειες αυτού του κακόβουλου λογισμικού σε κυκλοφορία) και εξελίσσεται γρήγορα. Με κάθε νέα παραλλαγή προσφέρονται καλύτερη κρυπτογράφηση και νέα χαρακτηριστικά. Αυτό είναι κάτι που δε μπορείτε να αγνοήσετε!
Ένας από τους λόγους για τους οποίους είναι τόσο δύσκολο να βρεθεί μια ενιαία λύση είναι επειδή η κρυπτογράφηση από μόνη της δεν είναι κακόβουλη. Είναι στην πραγματικότητα μια καλή εξέλιξη και πολλά χρήσιμα προγράμματα τη χρησιμοποιούν.
Το πρώτο crypto-malware χρησιμοποίησε έναν αλγόριθμο συμμετρικού κλειδιού, με το ίδιο κλειδί για κρυπτογράφηση και αποκρυπτογράφηση. Οι αλλοιωμένες πληροφορίες μπορούσαν συνήθως να αποκωδικοποιηθούν με επιτυχία με τη βοήθεια εταιρειών ασφαλείας. Με την πάροδο του χρόνου, οι κυβερνοεγκληματίες άρχισαν να εφαρμόζουν ασύμμετρους αλγόριθμους κρυπτογραφίας που χρησιμοποιούν δύο χωριστά κλειδιά – ένα δημόσιο για την κρυπτογράφηση αρχείων και ένα ιδιωτικό, το οποίο απαιτείται για αποκρυπτογράφηση.
Ο Trojan CryptoLocker είναι ένα από τα πιο διάσημα λυτρισμικά. Χρησιμοποιεί επίσης έναν αλγόριθμο δημόσιου κλειδιού. Καθώς κάθε υπολογιστής είναι μολυσμένος, συνδέεται με τον command-and-control διακομιστή για τη λήψη του δημόσιου κλειδιού. Το ιδιωτικό κλειδί είναι προσβάσιμο μόνο στους εγκληματίες που έγραψαν το λογισμικό CryptoLocker. Συνήθως, το θύμα δεν έχει πάνω από 72 ώρες για να πληρώσει τα λύτρα πριν το ιδιωτικό κλειδί του διαγραφεί για πάντα. Χωρίς αυτό το κλειδί, είναι αδύνατο να αποκρυπτογραφηθούν τα αρχεία.
Τι είναι Λυτρισμικό/ Ransomware/ Ιός Κρυπτογράφησης;
Έτσι πρέπει πρώτα να σκεφτείτε την πρόληψη. Τα περισσότερα λογισμικά προστασίας από ιούς περιλαμβάνουν ήδη μια λειτουργία που βοηθά στον εντοπισμό μιας απειλής λυτρισμικού στα πρώτα στάδια της μόλυνσης, χωρίς να προκύψει απώλεια ευαίσθητων δεδομένων. Είναι σημαντικό για τους χρήστες να διασφαλίσουν ότι αυτή η λειτουργία είναι ενεργοποιημένη στο λογισμικό προστασίας που χρησιμοποιούν.