Какво е рансъмуер?
Рансъмуер е вид зловреден софтуер (злонамерен софтуер), който може да се представи по няколко различни начина, засягайки отделни системи, както и мрежи от фирми, болници, летища и държавни агенции.
Рансъмуерът непрекъснато се подобрява и става все по-усъвършенстван от първото регистрирано събитие през 1989 г. Докато простите формати обикновено са рансъмуер без криптиране, модерните използват криптографски методи, за да криптират файлове, което ги прави недостъпни. Криптиращият рансъмуер може също да се използва на твърди дискове като начин за пълно заключване на компютърна операционна система, предотвратявайки достъпа на жертвата до нея. Крайната цел е да се убедят жертвите да платят откуп за декриптиране - който обикновено се иска в дигитални валути, които са трудни за проследяване (като биткойн или други криптовалути). Въпреки това, няма гаранция, че плащанията ще бъдат уважени от нападателите.
Популярността на рансъмуера нарасна значително през последното десетилетие (особено през 2017 г.) и като финансово мотивирана кибератака, в момента той е най-известната заплаха от злонамерен софтуер в света - както се съобщава от Европол (IOCTA 2018).
Как се създават жертви?
Фишинг: повтаряща се форма на социално инженерство. В контекста на рансъмуер, фишинг имейлите са една от най-често срещаните форми на разпространение на злонамерен софтуер. Жертвите обикновено се заразяват чрез компрометирани прикачени файлове към имейл или връзки, които са маскирани като легитимни. В мрежа от компютри една жертва може да бъде достатъчна, за да компрометира цяла организация.
Exploit Kits: пакет, съставен от различни злонамерени инструменти и предварително написан експлоатационен код. Тези комплекти са предназначени да използват проблеми и уязвимости в софтуерни приложения и операционни системи като начин за разпространение на злонамерен софтуер (несигурните системи, работещи с остарял софтуер, са най-честите цели).
Злонамерена реклама: нападателите използват рекламни мрежи за разпространение на рансъмуер.
Как да се предпазите от рансъмуер атаки?
Използвайте външни източници, за да архивирате редовно вашите файлове, така че да можете да ги възстановите след отстраняване на потенциална инфекция;
Бъдете внимателни с прикачени файлове и връзки в имейли. Избягвайте да кликвате върху реклами и уебсайтове с неизвестен източник;
Инсталирайте надеждна антивирусна програма и поддържайте вашите софтуерни приложения и операционна система актуални;
Активирайте опцията „Показване на файловите разширения“ в настройките на Windows, за да можете лесно да проверявате разширенията на вашите файлове. Избягвайте файлови разширения като .exe .vbs и .scr;
Избягвайте да посещавате уебсайтове, които не са защитени от HTTPS протокола (напр. URL адреси, които започват с „https://“). Имайте предвид обаче, че много злонамерени уебсайтове прилагат протокола HTTPS, за да объркат жертвите, и протоколът сам по себе си не гарантира, че уебсайтът е легитимен или безопасен.
Посетете NoMoreRansom.org, уебсайт, създаден от компании за правоприлагане и ИТ сигурност, работещи за прекъсване на рансъмуер. Уебсайтът предлага безплатни инструменти за дешифриране за заразени потребители, както и съвети за превенция.
Примери за рансъмуер
GrandCrab (2018)
Забелязан за първи път през януари 2018 г., рансъмуерът направи над 50 000 жертви за по-малко от месец, преди да бъде прекъснат от работата на румънските власти заедно с Bitdefender и Европол (наличен е безплатен комплект за възстановяване на данни). GrandCrab се разпространява чрез злонамерена реклама и фишинг имейли и е първият известен рансъмуер, който изисква плащане на откуп в криптовалута DASH. Първоначалният откуп варира от 300 до 1500 щатски долара.
WannaCry (2017)
Световна кибератака, която зарази над 300 000 компютъра за 4 дни. WannaCry се разпространява чрез експлоатация, известна като EternalBlue и насочена към операционните системи Microsoft Windows (повечето засегнати компютри работят с Windows 7). Атаката беше спряна поради спешни корекции, пуснати от Microsoft. Американски експерти по сигурността твърдят, че Северна Корея е отговорна за атаката, въпреки че не са предоставени доказателства.
Bad Rabbit (2017)
Рансъмуер, който се разпространява като фалшива актуализация на Adobe Flash, която е изтеглена от компрометирани уебсайтове. Повечето заразени компютри бяха разположени в Русия и заразяването зависи от ръчно инсталиране на .exe файл. Цената за дешифриране беше приблизително 280 щатски долара по това време (0,05 BTC).
Locky (2016)
Обикновено се разпространява по имейл като фактура, изискваща плащане, която съдържа заразени прикачени файлове. През 2016 г. холивудският презвитериански медицински център беше заразен от Locky и плати откуп от 40 BTC (17 000 щатски долара тогава), за да си възвърне достъпа до компютърните системи на болницата.