Rançongiciel (angielski RansomWare [ ɹ ć n s ə m W ɛ ɚ ] ) oprogramowania rançonneur , wykupić oprogramowanie lub oprogramowanie wymuszenie jest złośliwe , które przechwytuje dane osobowe. W tym celu ransomware szyfruje dane osobowe, a następnie prosi właściciela o przesłanie pieniędzy w zamian za klucz, który je odszyfruje.
Ransomware może również blokować dostęp dowolnego użytkownika do maszyny, dopóki klucz lub narzędzie jailbreak nie zostanie wysłane do ofiary w zamian za pewną sumę pieniędzy. Nowoczesne modele ransomware pojawiły się początkowo w Rosji , ale należy zauważyć, że liczba ataków tego typu znacznie wzrosła w innych krajach, m.in. w Australii , Niemczech , Stanach Zjednoczonych .
W listopad 2012, „ McAfee , wydawca oprogramowania zabezpieczającego, raporty o rejestrowane 120.000 nowych próbek tego typu wirusa w drugim kwartale 2012 roku, cztery razy więcej niż w analogicznym okresie rok wcześniej. ” .
Oprogramowanie ransomware odnotowało wzrost o 36% w latach 2016-2017. W pierwszej połowie 2017 roku firma Symantec , specjalizująca się w oprogramowaniu antywirusowym , ogłosiła, że zablokowała prawie 320 000 ransomware, co stanowi wzrost liczby w szczególności ze względu na różne ataki WannaCry .
Rançongiciel zazwyczaj rozprzestrzenia się w taki sam sposób jak koń trojański ( koń trojański w języku angielskim): penetruje system, na przykład poprzez Exploit Web lub złośliwe kampanie e-mailowe. Następnie wykonuje aktywne ładowanie ( payload ), na przykład plik wykonywalny, który zaszyfruje pliki użytkownika na dysku twardym. Bardziej wyrafinowane oprogramowanie ransomware wykorzystuje hybrydowe algorytmy kryptograficzne na danych ofiary, z losowym kluczem symetrycznym i stałym kluczem publicznym . W związku z tym autor szkodliwego oprogramowania jest jedynym, który zna klucz prywatny umożliwiający odszyfrowanie dokumentów.
Niektóre ransomware nie używają szyfrowania. W tym przypadku ładunek jest prostą aplikacją, która ograniczy jakąkolwiek interakcję z systemem, zwykle poprzez zmianę domyślnej powłoki ( explorer.exe ) w rejestrze Windows lub nawet zmianę głównego rekordu rozruchowego (MBR), aby uniemożliwić działanie system od uruchomienia aż do jego naprawy.
Ransomware ładowność , zwłaszcza wśród tych, którzy nie korzystają z technik szyfrowania plików, zastosowania scareware taktyki aby zmusić użytkownika do płacenia za ich odzyskiwania danych. Aktywny ładunek może na przykład wyświetlać użytkownikowi alert, fałszywie wydany przez agencję rządową, który ostrzega użytkownika, że jego system został przejęty przez hakera , który przeprowadził nielegalne działania lub przechowuje nielegalne treści, takie jak pornograficzne treści lub pirackiego oprogramowania . Niektóre oprogramowanie ransomware naśladuje wygląd aktywacji produktu Windows , wskazując, że ich wersja oprogramowania jest nielegalna lub wymaga ponownej aktywacji.
W każdym razie oprogramowanie ransomware będzie próbowało wyłudzić pieniądze od użytkownika, zmuszając go do zakupu programu do odszyfrowywania jego plików lub prostego kodu, który usuwa wszystkie blokady zastosowane do jego zablokowanych dokumentów. Płatności dokonywane są najczęściej w formie przelewu bankowego , SMS-ów premium, zakupów walut wirtualnych takich jak bitcoin czy nawet wcześniejszej wpłaty danej sumy za pośrednictwem serwisów płatności internetowych takich jak Paysafecard czy Paypal .
Po ciągłym wzroście średnie żądane okupy ustabilizowały się w 2017 roku na poziomie około 550 USD.
Pierwszy wspomniany rançongiciel pojawił się w 1989 roku: trojan PC Cyborg (in) , zaszyfrowany przez Josepha Poppa, miał ładunek, który ostrzegał użytkowników, że pewna licencja na określone oprogramowanie wygasła, szyfrując pliki na dysku twardym i prosząc użytkownika o zapłacenie $ 189 do „PC Cyborg Corporation”, aby odblokować system. Jednak naukowcy odkryli, że szyfrowanie odbywało się symetrycznie , co oznacza, że klucz szyfrowania i deszyfrowania jest taki sam. Aby oprogramowanie mogło zaszyfrować zawartość dysku twardego, musi mieć przy sobie klucz. Działająca inżynieria wsteczna pozwala znaleźć algorytm i klucz. Popp został uznany za psychologicznie nieodpowiedzialnego za swoje czyny, ale obiecał przekazać dochody z tego szkodliwego oprogramowania na badania nad AIDS . Pomysł wprowadzenia kryptografii asymetrycznej do tego rodzaju ataku został wysunięty przez Adama L. Younga i Moti Yunga w 1996 roku, którzy przedstawili dowód koncepcji wirusa kryptograficznego zaprojektowanego przeciwko systemom Macintosh SE/30 , wykorzystującego algorytmy RSA lub TEA . Young i Yung nazwali takie ataki „kryptowirusem wymuszenia” nieukrytym atakiem należącym do większej rodziny kryptowirusologii (in) , która obejmuje ataki zarówno jawne, jak i ukryte. Inne przypadki oprogramowania ransomware pojawiły się wmaj 2005. Wczerwiec 2006, ransomware, takie jak GPcode (en) , TROJ.RANSOM.A, Archiveus (en) , Krotten (en) , Cryzip czy MayArchive zaczęły używać bardziej wyrafinowanych schematów szyfrowania RSA, w tym zwiększania rozmiaru kluczy szyfrujących . GPcode.AG, wykryty wczerwiec 2006, używał 660-bitowego schematu szyfrowania RSA. Wczerwiec 2008, odkryto nowy wariant tego szczepu wirusa, znany jako GPcode.AK. Używał 1024-bitowego klucza RSA, który uznano za wystarczająco duży, aby był nie do złamania bez użycia znacznej, skoordynowanej i rozproszonej mocy obliczeniowej .
Najbardziej aktywne oprogramowanie ransomware we Francji:
Ransomware wprowadza również pliki tekstowe, html lub graficzne zawierające instrukcje dotyczące płatności. Bardzo często próba płatności odbywa się za pośrednictwem stron internetowych hostowanych w sieci TOR .
W marzec 2016szalejący KeRanger pierwszy rançongiciel systemów targetowania MacOSX . Ten ostatni był oferowany do instalacji poprzez fałszywe wyskakujące okienko aktualizacji oprogramowania Transmission . Przez dewelopera certyfikat został unieważniony w celu ograniczenia efektu domina.
CryptoLockerJest to oprogramowanie działające obecnie w systemie Windows , ale także w systemie Android . Ten rodzaj oprogramowania ransomware rozprzestrzenia się głównie za pośrednictwem zainfekowanych wiadomości e-mail podszywających się pod faktury UPS , FedEx lub bankowe z USA. Po aktywacji szyfruje dane osobowe użytkownika za pomocą tajnego klucza RSA - przechowywanego na zhakowanych serwerach - i żąda okupu (płatnego w bitcoinach lub przez zewnętrzne usługi, takie jak GreenDot lub MoneyPack), aby ponownie je udostępnić. Komunikat ostrzegawczy zawiera odliczanie 72 lub 100 godzin, które grozi usunięciem danych, jeśli okup nie zostanie zapłacony. Gdy osiągnie zero, w rzeczywistości znacznie zwiększa ilość tego ostatniego.
Kilka rzadkich skrytek kryptograficznych, dla których istnieje rozwiązanieW przypadku niewielkiej liczby skrytek kryptograficznych istnieją rozwiązania umożliwiające odszyfrowanie niektórych plików:
Kryptowaluta | Firma, która dostarczyła rozwiązanie (częściowe lub kompletne) |
---|---|
Amnezja | Emsisoft |
Oprogramowanie BTC | Avast |
Cry9, Cry128 i Crpton | Emsisoft |
Jaff | Kaspersky Lab |
Blokada lambda | Avast |
MacRansom | Trend Micro |
Kret | Polska organizacja Cert-pl ( en ) |
NemucodAES | Emsisoft |
W sierpień 2010, władze rosyjskie aresztowały dziesięciu hakerów powiązanych z WinLock, oprogramowaniem ransomware wyświetlającym obrazy pornograficzne, prosząc ofiary o wysłanie SMS-a premium (około 8 euro za dopłatą), aby otrzymać kod do odblokowania ich komputerów. Duża liczba użytkowników z Rosji i krajów sąsiednich została dotknięta tym wirusem, a kwota łupu szacowana jest na ponad 14 milionów euro. W przeciwieństwie do swoich poprzedników typu GPCode, WinLock nie używał szyfrowania, a jedynie prostszy program proszący o kod aktywacyjny.
W 2011 r. oprogramowanie ransomware naśladujące powiadomienie o aktywacji produktu Windows ; który poinformował użytkownika, że jego system operacyjny Windows musi zostać ponownie aktywowany, ponieważ zostałby zhakowany ( ofiara oszustwa ). Oferowana była aktywacja online (podobnie jak prawdziwa procedura uwierzytelniania), ale była niedostępna. Ofiara musiała następnie zadzwonić na jeden z sześciu międzynarodowych numerów, aby uzyskać sześciocyfrowy kod. Złośliwe oprogramowanie błędnie podało, że połączenie było bezpłatne. W rzeczywistości został przekierowany przez pirackiego operatora do kraju o wysokich kosztach dodatkowych, co spowodowało zawieszenie użytkownika. To generowało bardzo wysokie koszty komunikacji.
Reveton Reveton
Środowisko | Okna |
---|---|
Rodzaj | wirus |
W 2012 roku pojawiło się ważne nowe oprogramowanie ransomware: znane jako „Reveton” lub „ trojan policyjny ”. Ten ostatni był propagowany przez złośliwe reklamy ( malvertising ), których celem jest załadowanie Web Exploita na komputer, jego aktywne ładowanie wyświetla fałszywe ostrzeżenie od organu rządowego, wskazując, że zainfekowany komputer zostanie wykorzystany do nielegalnych celów, takich jak pobieranie złamanego oprogramowania . A pop-up informuje użytkownika, aby odblokować system, to musi kupić kupon za pośrednictwem usług takich jak prepaid Ukash (w) lub Paysafecard . Aby zwiększyć złudzenie, że komputer jest obserwowany przez policję, oprogramowanie wyświetla również adres IP komputera, a nawet podgląd z kamery internetowej, aby ofiara uwierzyła, że policja nagrywa jej twarz w czasie rzeczywistym.
Inne warianty, bardziej specyficzne dla Wielkiej Brytanii, mają pochodzić od Metropolitan Police Service , DPRS (Perception Society and Distribution of Rights) PRS for Music (w) (dokładniej oskarżając użytkownika o nielegalne pobieranie muzyki) lub policji krajowej wydział ds. cyberprzestępczości ( krajowa jednostka policji ds. e-przestępczości (w) ). W odpowiedzi na rozprzestrzenianie się wirusa Metropolitan Police Service dała jasno do zrozumienia, że nigdy nie zablokowała komputera w celu przeprowadzenia dochodzenia.
Reveton rozprzestrzenił się na Europę na początku 2012 roku maj 2012, dział wykrywania zagrożeń firmy Trend Micro odkrył warianty szkodliwego oprogramowania przeznaczone dla Stanów Zjednoczonych i Kanady , co sugeruje, że jego autorzy starali się atakować użytkowników w Ameryce Północnej. WSierpień 2012Nowy wariant Reveton wreszcie pojawił się w Stanach Zjednoczonych, żądając okupu w wysokości 200 dolarów do FBI o typie karty MoneyPak (w) .
Wariant we Francji wymaga centrali ds. walki z przestępczością związaną z technologiami informacyjno-komunikacyjnymi i Hadopi . Zarzuca jej pedofilię / zoofilię oraz nielegalne udostępnianie danych chronionych prawem autorskim . Wariant zakłada również, że brak ochrony komputera jest karalny, co zniechęca ofiarę do złożenia skargi. Możliwe, że to ransomware ma motywy homofobiczne, ponieważ ten wariant można znaleźć głównie na stronach pobierania gejowskiego porno.
Większość z tych wirusów jest łatwa do zauważenia, zwłaszcza te oskarżające pedofilię: pedofilię karaną od czterech do dwunastu lat więzienia, trudno sobie wyobrazić, aby zapłacenie zwykłej grzywny w wysokości 100 euro mogło wymazać skargę.
Następnie Reveton stał się również oprogramowaniem ransomware atakującym przeglądarkę internetową „BrowLock” (od „ Browser Locker ”), które blokuje zamykanie strony za pomocą nieustannych wyskakujących okienek. Ten nowy wariant umożliwia dotknięcie wszystkich systemów operacyjnych. Zaprzestanie dystrybucji wersji trojana dla wersji Browlock zbiega się z końcem Web ExploitKit BlackHole . Wreszcie w 2015 roku, Reveton zaatakowany również Android komórkowych i tabletów poprzez wariantu Koler.
WinwebsecWinwebsec to kategoria złośliwego oprogramowania, które działa na platformach Windows i generuje wyskakujące okienka, twierdząc, że jest prawdziwym oprogramowaniem antywirusowym. Ich wyskakujące okienka oferują użytkownikowi przeskanowanie systemu w poszukiwaniu złośliwego oprogramowania, a następnie wyświetlenie fałszywych wyników, takich jak „ 32 wirusy i trojany wykryte na twoim komputerze. Kliknij przycisk Napraw teraz, aby wyczyścić te zagrożenia ” („Na komputerze wykryto 32 wirusy i trojany. Kliknij „Napraw teraz”, aby usunąć te zagrożenia ”). Następnie wyświetlany jest komunikat z prośbą o zapłatę za aktywację oprogramowania w celu wyeliminowania hipotetycznych zagrożeń.
System szyfrowania skrytki kryptograficznej jest przeznaczony dla niektórych rozszerzeń plików, w szczególności Microsoft Office , Open Document , plików AutoCAD , ale także obrazów. Atakuje dyski twarde, dyski współdzielone w sieci, dyski USB, a czasami pliki synchronizowane w chmurze .
Zalecane sposoby walki z krypto-szafką to:
Firmy FireEye i Fox-IT, specjalizujące się w bezpieczeństwie komputerowym, udostępniły online usługę, która umożliwia ofiarom krypto-szafki odszyfrowanie ich plików za darmo. Usługa ta przestała funkcjonować w wyniku dokonanego na niej porwania. Rzeczywiście, wielu hakerów imitowało to narzędzie w nieuczciwych celach. Ofiary tego ransomware mogą próbować odzyskać swoje pliki za pomocą innych rozwiązań, takich jak natychmiastowe kopie zapasowe systemu Windows, jeśli te ostatnie nie zostaną usunięte przez krypto-szafkę.
Aby walczyć z cyberprzestępcami, wykorzystującymi oprogramowanie ransomware, połączyły siły organy ścigania i firmy zajmujące się bezpieczeństwem IT. Na przykład platforma No More Ransom to inicjatywa holenderskiej policji, Europolu i firm zajmujących się cyberbezpieczeństwem Kaspersky Lab i McAfee , której celem jest pomoc ofiarom w znalezieniu zaszyfrowanych danych bez konieczności płacenia przestępcom pieniędzy.