Рансъмуер (ransomware) е вид злонамерен софтуер (малуер), който може да блокира достъпа до системата или да криптира потребителските файлове. Това обикновено е придружено от съобщение с искане на откуп – единственият начин според хакерите, за да получите достъп до системата си или ключ за декриптиране. Именно оттук идва и наименованието на този зловреден код – „ransom“, което от английски език буквално означава откуп.
За първи път подобен злонамерен софтуер е създаден в Русия някъде около 2005 година. През годините този малуер еволюира и става все по-труден за откриване и неутрализиране. Основен проблем е криптирането на данни – в повечето случаи възстановяването им (декриптирането им) е невъзможно. Някои от най-големите кибератаки в световен мащаб през последните години са именно от рансъмуер. Вероятно много от вас са чели или чували за вирусите CryptoLocker, CryptoWall, Petya, NotPetya и WannaCry. Последният, за който наистина много се изговори в медиите, през 2017 година поразява над 200 хил. компютри в над 150 страни.
Рансъмуерът може да бъде криптиращ данните или не, може да засегне цялата система или само определени файлове. При всички случаи целта е изнудване на засегнатия.
Какви щети може да причини т.нар. „рансъмуер“?
Истината е, че последните години станахме свидетели на няколко по-сериозни атаки, щетите от които бяха огромни. Ако смятате, че загубата на вашите снимки или документи е голяма щета, представете си какъв е ефектът за големите корпорации или държавни учреждения, засегнати от т.нар. криптовируси. „Ефектите“ от инфекция с подобен злонамерен код се изразяват в една или няколко от следните прояви:
– Криптиране на файлове върху твърдия диск. Обикновено засегнати биват често използваните файлове – снимки, офис документи, видео клипове, бази данни и т.н. Криптираните файлове са неизползваеми и декриптирането им често пъти е невъзможно.
– Криптиране на сектора за начално зареждане (Master Boot Record – MBR).
– Заключване на екрана. В този случай потребителските файлове не са криптирани, но достъпът до тях отново е невъзможен – системата по един или друг начин бива „заключена“. Обикновено „заключването“ на компютъра е придружено от съобщение с искане за откуп, след заплащане на който „засегнатия ще получи ключ“. Неслучайно използваме „“, защото такъв обикновено не получаваме.
– Кражба на лични данни. Злонамереният софтуер може да изпрати до трети страни различни данни – потребителски имена, пароли, снимки, документи и др. Потребителят дори може да бъде изнудван с тях.
– Блокиране или деинсталиране на антивирусен и антималуер софтуер. Често пъти рансъмуер кодът се опитва (и успява) да саботира инсталирания защитен софтуер, чрез цялостното му блокиране или спиране на определени модули.
– Блокиране (заключване) на интернет браузъра.
Как засегнатите биват накарани да платят откуп?
След като системата бъде поразена от рансъмуер, обикновено потребителите по един или друг начин виждат съобщение с искане за заплащане на откуп. Често пъти това съобщение гласи, че заплащането на откуп е единствения начин потребителя да получи обратно достъп до системата или файловете да бъдат декриптирани. Сумата, която може да бъде поискана може да е и под формата на виртуална валута.
Други рансъмуер атаки достигат и до още по-далеч, представяйки се за институции като ФБР, Европол и т.н. Тези програми сканират компютъра за съдържание, забранено от закона – торенти, пиратски софтуер, порно и т.н. Ако открият такова, отправят заплашително предупреждение към потребителя, че компютъра му е бил използван за забранени от закона дейности и трябва да плати глоба, за да „отърве кожата“.
Трети, просто изнудват потребителя, че данните му ще бъдат публикувани в мрежата, ако не заплати съответната сума. Последните са известни по-скоро като Leakware, но предвид искането на откуп, спокойно могат да бъдат поставени и в графа Ransomware.
Във всички тези случаи заплащането на какъвто и да е откуп би било единствено загуба на пари за засегнатите и стимул за хакерите. Ето защо не бива при никакви обстоятелства да се заплаща какъвто и да е откуп! Няма никаква гаранция, че при заплащане на сумата ще получите достъп до файловете си. Практиката показва, че повечето засегнати, които са изпълнили исканията, не са получили обратно ключ за достъп до своите данни. В същото време заплащането на исканите суми насърчава хакерите да произвеждат нови злонамерени програми.
Как атакува рансъмуер кодът?
В повечето познати случаи атаката се извършва посредством троянски кон, който отговаря за изтеглянето, инсталирането в системата и разпространението на зловредния код. Не малко са случаите, когато потребители биват подлъгани от фалшиви интернет страници, изглеждащи „уж легитимно“ да кликнат на определен линк или бутон, след което следва заразяване.
Разпространението на рансъмуера става по много различни начини: чрез прикачени файлове или линкове по имейл (фишинг), чрез локалната мрежа (когато вече има заразен компютър), чрез фалшиви интернет страници, чрез инсталиране на пиратски софтуер, чрез свързване на вече заразени външни носители на данни и др.
Как да се предпазим от рансъмуер?
На първо място инсталирайте надеждна антивирусна програма. Убедете се, че продуктът, който използвате е лицензиран (не кракнат) и разполага с механизъм за откриване на подобен тип злонамерен код.
Уверете се, че операционната система и инсталираните приложения са актуални (обновени до последната версия). Тук от решаващо значение е инсталирането на всички критични обновления на Windows. Обновяването на операционната система в повечето случаи е с цел „закърпване“ на пропуски в сигурността, както и отстраняване на различни проблеми. Същото важи и за инсталираните програми.
Бъдете внимателни към съмнителни имейли, особено ако към същите има прикачени файлове или линкове. Не отваряйте прикачени файлове от непознати податели, проверявайте имейл адреса дори и на тези, които изглеждат надеждни.
Винаги сканирайте с подходящ антивирусен софтуер всички външни носители на данни, които поставяте – USB флаш памети, карти памет, компакт дискове, DVD и т.н.
Правете периодичен бекъп (резервно копие) на най-важните си файлове на външен носител – преносим твърд диск, който не е постоянно свързан или флаш памет. В последните години актуални станаха т.нар. облачни услуги, които са отлична алтернатива. Въпреки това не препоръчваме използването им за качване на строго конфиденциална информация. Практиката ни показва, че компакт дисковете и DVD дисковете са може би най-надеждният носител на данни, що се отнася до създаване на периодични резервни копия на най-важните файлове. Записаните данни на диск (CD или DVD, без опция за повторен запис) не могат да бъдат неволно изтрити, модифицирани и напрактика не могат да бъдат заразени от вируси или друг зловреден код.
От голяма полза е ръководителите на фирми и ведомства периодично да организират обучения на служителите си относно безопасното използване на мрежовите услуги. Създаването на определен вид „интернет култура“ е най-добрата превенция срещу загубата на данни, резултат от вируси и друг злонамерен софтуер.
© PCGuide.bg. Автор: Светослав Миронов.
Казвам се Светослав Миронов и съм администратор на PCGuide.bg. Автор съм на материалите, публикувани тук. Интересите ми са преди всичко в областта на информационните технологии и по-конкретно операционни системи Microsoft Windows, софтуер и антивирусна защита.
Здравейте, от My nickname in darknet is Insomniola. I hacked this mailbox more than six months ago, through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time. Поиска разбира се хиляди в биткойн и срокове! Адреса му -terry643@d.anonymousobservers.tk – Anonymous Hacker – Terry
Много колеги ме успокоиха, но аз не се …! От две места преди дни ми се обадиха, не приемат съобщения от мен като компроментиран компютър от адреса ми! Следя всички препоръки в горните текстове от десетилетия! Но винаги има пропуски.
КАКВО ПРЕПОРЪЧВАТЕ? Аз съм предприел нещо, но.
в google има достатъчно инфо за този вид имейли. Напишете в търсачката част от текста и ще видите, че не сте единствен, получил такова съобщение