Sztuczki, którymi ransomware próbuje cię przechytrzyć

Dowiedz się, jakie sztuczki mają w rękawie różne rodzaje ransomware’u, które pozwalają im przechowywać dane nic niepodejrzewających ofiar.

Najczęstszym obiektem ataku ransomware’u są instytucje (np. szpitale), a nie osoby fizyczne. Korporacje mają zazwyczaj większą ilość cennych danych, a dodatkowo dysponują wyższymi kwotami na okup (oscyluje on w granicach od 500 dolarów za komputer do 15 tys. dolarów za całe przedsiębiorstwo). Cyphort zbadał różne rodzaje ransomware, by pomóc użytkownikom wejrzeć w głąb internetowych czeluści. Miej je na uwadze, zanim twoja sieć zostanie chytrze przejęta.

Jigsaw

Usuwa kolejne pliki w regularnych odstępach czasu, by jak najszybciej zmusić użytkownika do zapłacenia okupu. Jigsaw działa właśnie na takiej zasadzie: każda upływająca godzina, podczas której ofiara nie zapłaciła okupu, wiąże się z usunięciem kolejnego zaszyfrowanego pliku z komputera – to sprawia, że plików nie da się już odzyskać, nawet jeśli opłata zostanie uiszczona lub pliki zostaną odszyfrowane innym sposobem. Szkodliwe oprogramowanie usuwa ponadto 1000 innych plików za każdym razem, gdy ofiara ponownie uruchamia komputer i loguje się do systemu Windows.

Zobacz również:

Petya

By zaszyfrować cały dysk, wystarczy, że Petya zakoduje Master File Table, w którym znajdują się wszystkie informacje dotyczące rozmieszenia plików i folderów.

RansomWeb, Kimcilware

Zaszyfrowują dane na serwerach internetowych. Można powiedzieć, że RansomWeb i Kimcilware należą do tej samej rodziny ransomware’u. Oba atakują dość nietypowo – zamiast uderzać bezpośrednio w komputery użytkowników, infekują serwery sieci web poprzez liczne luki i szyfrują sieciowe bazy danych i hostowane pliki. To sprawia, że ofiara zupełnie traci dostęp do swojej strony internetowej, dopóki okup nie zostanie zapłacony.

DMA Locker, Locky, Cerber i CryptoFortress

Szyfrują dane na dyskach sieciowych, nawet na tych, które nie są zmapowane. Działanie DMA Lockera, Locky’ego, Cerbera i CryptoFortress polega na wyliczaniu wszystkich udziałów Server Message Block (SMB) i szyfrowaniu ich.

Maktub

Maktub w pierwszej kolejności kompresuje pliki, by przyspieszyć proces szyfrowania.

Nie jesteś bezpieczny w chmurze

Ransomware może też usuwać lub zastępować kopie zapasowe w chmurze. Jeszcze niedawno tworzenie kopii zapasowych w chmurze i udostępnianie plików było bezpieczne. Obecnie nowsze wersje ransomware’u są w stanie dotrzeć nawet do tych systemów udostępniania danych i je zaatakować.

Simple Locker

Jego celem są platformy inne niż Windows. Simple Locker szyfruje pliki na Androidzie, Linux.Encode.1 na Linuksie, a KeRanger na OSX.

Cerber

Przekazuje ofierze groźby przez jej głośniki. Cerber wygenerowuje VBScript, zatytułowany „DECRYPT MY FILES.vbs”, co pozwala na przekazywanie ofierze przez jej własny komputer wiadomości głosowych. Jedynym dostępnym językiem jest angielski, jednak na stronie dekodującej do wyboru jest ich aż 12. Przykładowa wiadomość może brzmieć: „Uwaga! Uwaga! Uwaga! Twoje dokumenty, zdjęcia, bazy danych i inne istotne pliki zostały zaszyfrowane!”

Tox

Ransomware udostępniany jako usługa to model dostępny na podziemnych sieciowych forach. Dostarcza ofierze złośliwy kod i infrastrukturę w celu ułatwienia transferu funduszy oraz klucz szyfrowania, by móc odzyskać dostęp do danych. Na tym właśnie polega działanie Toxa.

ID Ransomware: pomoc dla osób, którym zaszyfrowano plik

Ransomware to poważne zagrożenie, którego najświeższym przykładem jest trojan Locky wykorzystany do zaszyfrowania plików ofiar z ponad 100 krajów na całym świecie (w tym w Polsce). Osoby, które padły ofiarą podobnych szkodników, mają poważny problem, gdyż w przypadku bardzo ważnych danych trojan zmusza je do zapłacenia okupu za odblokowanie do nich dostępu. Co więcej, muszą one przy tym liczyć na uczciwość przestępców i dotrzymanie z ich strony umowy.

Jeżeli padłeś ofiarą podobnego ataku, mamy dla ciebie ważną informację. Możesz bowiem skorzystać z usprawnionego właśnie serwisu ID Ransomware (https://id-ransomware.malwarehunterteam.com). Pozwala on na identyfikację ransomware, który zaszyfrował twoje pliki, oraz niekiedy nawet skorzystanie z rozwiązań pozwalających na odblokowanie do nich dostępu bez potrzeby płacenia przestępcom.

Aby uzyskać pomoc, musisz wykonać dwie czynności:

- przesłać do ID Ransomware plik, za którego pomocą przestępcy żądają okupu (może on przybierać różne formy, np. HTML);

- przesłać jeden z zaszyfrowanych plików.

Przesłane pliki wykorzystane zostaną do identyfikacji ransomware. W zależności od tego, z czym mamy do czynienia, możliwe są następujące scenariusze:

- szczęściarze otrzymają link do narzędzia pozwalającego na odblokowanie dostępu do plików;

- pozostali przekierowani zostaną na forum pomocy BleepingComputer oraz poproszeni o wykonanie kopii zapasowej zaszyfrowanych plików w nadziei, że w przyszłości pojawi się możliwość ich odzyskania.

Obecnie strona ID Ransomware pomaga uporać się z problemami ponad 200 najpopularniejszych form ransomware, w tym m.in.: ASN1 Encoder, Cripton, DXXD, ECLR Ransomware, EduCrypt, El Polocker, EncryptorRaaS, Enigma, Exotic, Fabiansomware, Fake Maktub, Japan Locker, Jigsaw, JobCrypter, Lock93, LockLock, Locky, Lortok, Xort, XRTN, XTP Locker 5.0, zCrypt i wielu innych.

Zobacz również