O malwarze, klasyfikowanym obecnie jako ransomware (od angielskiej zbitki słów ransom i software – okup i oprogramowanie), głośno zrobiło się już kilka lat temu. W 2013 roku najgłośniejszy wirus należący do tej kategorii – CryptoLocker – pozwolił swoim twórcom podczas pierwszego swojego ataku „zarobić” aż 27 milionów dolarów. Jak szacuje McAfee Labs na jednej kampanii rozsyłania CryptoLockera przestępcy są w stanie uzyskać nawet 325 mln dol. Ataku i żądania zapłaty okupu nie ustrzegło się nawet FBI.
Czym zatem jest ransomware? Bardzo dobrze wyjaśnia to już sama jego nazwa. Ten rodzaj złośliwego oprogramowania ma na celu wyłudzić pieniądze od swojej ofiary. Atak wirusa polega na zablokowaniu dostępu do plików, dokumentów lub nawet na przejęciu całego komputera bądź firmowego serwera. Wszystkie dane, do których ten rodzaj malware’u blokuje dostęp są zazwyczaj szyfrowane, a na ekranie pojawia się komunikat, co musi zrobić właściciel cennych plików, aby je odzyskać. Zwykle cyberprzestępcy domagają się przelania pieniędzy na ich konto i w zamian obiecują wysłanie ofierze klucza oraz instrukcji jak odszyfrować dane. Coraz częściej, do pozyskiwania okupu wykorzystuje się platformę cyfrowej waluty Bitcoin. Pozwala to cyberprzestępcom ominąć oficjalny obieg pieniądza. Jest to dla nich bezpieczniejsze i często uniemożliwia policji wykrycie, kto fizycznie stoi za przeprowadzonym atakiem.
Rodzaje ransomware
Obecnie znane są trzy różne rodzaje złośliwego oprogramowania typu ransomware. Pierwszy z nich to tzw. screen-locker. Malware ten blokuje użytkownikowi dostęp do urządzenia poprzez zablokowanie ekranu. Jest to dość irytujące, ale można się pozbyć samodzielnie tego złośliwego oprogramowania, jeżeli ofiara posiada wystarczającą wiedzę techniczną lub dysponuje odpowiednim pakietem antywirusowym.
Ponieważ ten rodzaj ransomware’u okazał się mało skuteczny w wyłudzaniu pieniędzy, dlatego cyberprzestępcy zaczęli stosować malware typu crypto-ransomware. Szyfruje on wybrane typy plików, np. zdjęcia i dokumenty Word, na lokalnym dysku ofiary. Coraz częściej zakodowuje on również pliki w innych lokalizacjach, do których ma dostęp – w tym pliki znajdujące się na serwerach oraz w chmurze. Następnie oferowany jest klucz do odszyfrowania danych, który przekazywany jest przez cyberprzestępców ofierze po uiszczeniu odpowiedniej opłaty. Przeważnie wartość żądanego okupu oscyluje w przedziale od 150 do 900 dolarów.
Niestety, crypto-ransomware wykorzystuje ten sam typ szyfrowania co oprogramowanie chroniące transakcje bankowe lub wojskową komunikacje. Pliki szyfrowane są przy użyciu algorytmów AES 256 dlatego realnie dane są nie do odzyskania (chyba, że jest się gotowym na atak, ale o tym później). Szacuje się, że oprogramowanie crypto-ransomware jest odpowiedzialne za wyłudzenie od ofiar ponad miliarda dolarów rocznie. Trzeci rodzaj ransomware to tzw. disk-encryptor. W odróżnieniu od crypto-ransomware oprogramowanie typu disk-encryptor zaszyfrowuje cały dysk ofiary i w ten sposób blokuje dostęp do całego komputera nie pozwalając na uruchomienie się systemu operacyjnego.
W tym miejscu należy wspomnieć o wirusie Spora, który pojawił się pod koniec zeszłego roku. Działa on nietypowo. Malware typu ransomware niemal zawsze korzysta z serwerów CnC (Command-and-Control). Serwer taki odpowiedzialny jest za wygenerowanie klucza prywatnego i publicznego. Zainstalowany na komputerze ransomware pobiera klucz publiczny i szyfruje za jego pomocą dane, klucz prywatny, służący do odszyfrowania informacji przechowywany jest cały czas przez serwer CnC i udostępniany jest ofierze w momencie, gdy ta zapłaci okup.
Spora atakuje swoje ofiary nie kontaktując z serwerów CnC, a pliki są szyfruje w trybie offline. Korzysta przy tym z publicznego klucza RSA, zaszytego w programie, ale nie używa go do szyfrowania plików przechowywanych na komputerze ofiary, lecz do zaszyfrowania unikalnego klucza AES, który jest generowany lokalnie na komputerze ofiary. Chcąc zapłacić okup, ofiara musi wysłać zaszyfrowany klucz AES do witryny wskazanej przez cyberprzestępców. Ci wykorzystują wówczas prywatny klucz RSA do odszyfrowania klucza AES i odsyłają go z powrotem do ofiary, która może już przy jego pomocy odszyfrować swoje pliki.
Niebezpieczeństwo czai się wszędzie
Najczęściej oprogramowanie ransomware dostaje się na nasz komputer po otworzeniu załącznika z maila lub kliknięciu w odnośnik, kierujący do specjalnie spreparowanej strony. Oszuści mają różne psychologiczne metody, aby zachęcić nas do otworzenia załącznika lub kliknięcia na link. Może to być np. informacja o przesyłce kurierskiej lub o zaległościach podatkowych, bądź też śmieszny filmik z kotkiem czy link do nagich zdjęć celebrytki. W ten sposób namawiają nas do otworzenia załącznika z niebezpiecznym oprogramowaniem, lub kliknięcia w link prowadzący do instalatora wirusa. Według firmy Trend Micro, 60 proc. ransomware ukrywa się w normalnych plikach multimedialnych. Co gorsza, programy antywirusowe, nie zawsze są w stanie wychwycić taki atak.
Ransomware przenosi się też przez złośliwe reklamy wyskakujące w przeglądarkach internetowych, poprzez strony WWW, najczęściej z treściami pornograficznymi i nielegalnym oprogramowaniem bądź wykorzystywane są do tego zewnętrzne nośniki danych, takie jak klucze USB. W ostatnim wypadku, bardzo często atak jest profilowany pod konkretną ofiarę – osobę lub firmę. Twórcy ransomware dołączają też swoje złośliwe oprogramowania do pirackiego kontentu, który użytkownicy komputerów chętnie pobierają z torrentów lub stron internetowych z warezami czy też z filmami, muzyką i telewizyjnymi serialami.
O tym, że nie można czuć się bezpiecznym, nawet jeśli w ogóle nie odwiedza się podejrzanych stron, świadczy fakt, że ransomware trafiał również na bardzo popularne strony internetowe z wiadomościami. Wśród stron WWW, które zostały w swojej historii zaatakowane ransomware’em wymienić można m.in. msn.com, nytimes.com, bbc.com, theweathernetwork.com czy newsweek.com.