Przewodnik po ransomware: typy złośliwego oprogramowania i ataków

Charlotte Empey, 28 lut 2018
Charlotte Empey, 28 lut 2018

Jak przebiega atak ransomware i z jakich technik korzystają atakujący przestępcy?

Typy oprogramowania ransomwaretypes_of_ransomware_avast_protects_against.png

Ransomware występuje w różnych postaciach. Ich wspólną cechą jest żądanie okupu, które otrzymuje użytkownik zaatakowanego urządzenia. (W 2017 roku wystąpiło kilka ataków na instytucje. Wydawało się, że przyczyną kłopotów jest oprogramowanie ransomware, ale ataki prawdopodobnie nie miały podłoża finansowego. Oprogramowanie ransomware mogło tutaj stanowić przykrywkę dla działań szpiegowskich lub innego rodzaju cyberataku).

  • Szyfrujące złośliwe oprogramowanie (crypto-malware)
    Najpopularniejsza odmiana ransomware to oprogramowanie szyfrujące. Jego działanie polega na zaszyfrowaniu plików użytkownika. Użytkownik może wprawdzie zalogować się na komputerze, ale nie ma dostępu do swoich plików. Przykładem tego typu oprogramowania ransomware jest WannaCry.
  • Oprogramowanie pobierające dane osobiste do nielegalnych celów (doxware)
    Oprogramowanie typu doxware pobiera kopię poufnych plików użytkownika na komputer hakera. Następnie haker grozi publicznym ujawnieniem tych plików, o ile użytkownik nie zapłaci okupu. Publiczne ujawnienie najbardziej osobistych zdjęć czy nagrań wideo z pewnością nie stanowi przyjemnej perspektywy. Przykładem tego oprogramowania jest ransomware Ransoc.
  • Oprogramowanie zastraszające (scareware)
    Jest to fałszywy program informujący, że wykrył problemy na danym komputerze, i żądający zapłaty za ich rozwiązanie. Oprogramowanie typu scareware może wyświetlać liczne wyskakujące okienka i komunikaty ostrzegawcze. Może też zablokować komputer do czasu zapłacenia okupu.

Jedną z przyczyn popularności oprogramowania ransomware jest jego dostępność do użytku online przez twórców zagrożeń. Firma Avast odkryła, że około jedna trzecia „nowych” odmian ransomware została utworzona na podstawie istniejącej wersji oprogramowania typu open-source. Co więcej, hakerzy stale udoskonalają złośliwy kod, aby tworzyć coraz bardziej zaawansowane oprogramowanie ransomware i coraz doskonalsze mechanizmy szyfrujące. W związku z tym jedna odmiana ransomware może pojawić się kilka razy (tak jak Petna).

petya_laptop_frustrated_hands.png

Głównym celem hakera jest rozprzestrzenianie oprogramowania ransomware na jak największej liczbie urządzeń w celu uzyskania jak największego okupu. W związku z tym hakerzy zaczęli stosować nową taktykę.

W przypadku ransomware Popcorn Time haker proponuje ofierze zainfekowanie dwóch innych użytkowników. Jeśli obaj użytkownicy zapłacą okup, pierwotna ofiara otrzyma z powrotem swoje pliki bez konieczności płacenia okupu.

Jak dochodzi do zainfekowania urządzenia?

Oprogramowanie ransomware jest o tyle groźniejsze od wirusa, że może zaatakować Twoje urządzenie bez jakichkolwiek działań z Twojej strony. Wirus wymaga pobrania przez użytkownika zainfekowanego pliku lub kliknięcia zainfekowanego linku, natomiast ransomware może bez niczyjej „pomocy” zainfekować komputer narażony na ataki.

Exploity

exploits_avast_orange_icon.pngHakerzy tworzą exploity zawierające gotowy kod, którego zadaniem jest wykorzystanie luk w zabezpieczeniach, takich jak wspomniana wcześniej luka EternalBlue. Ten typ oprogramowania ransomware może zainfekować każdy komputer, który jest połączony z siecią i nie ma zainstalowanych najnowszych aktualizacji oprogramowania. W takiej sytuacji któregoś dnia po włączeniu komputera może się okazać, że wszystkie pliki są zablokowane. 

Socjotechnika

anti-phishing_avast_orange_icon.pngInne rodzaje ransomware wykorzystują stare, sprawdzone metody infekowania komputera. Socjotechnika (czy też phishing) to w tym przypadku nakłonienie użytkownika za pomocą oszustwa do pobrania złośliwego oprogramowania z załącznika lub przez kliknięcie linku internetowego. Pliki te są zwykle przysyłane w wiadomości e-mail, która wydaje się pochodzić z wiarygodnego źródła. Załącznik lub link wygląda jak formularz zamówienia, rachunek, faktura lub inny ważny dokument. Rozszerzenie pliku sprawia, że plik wygląda jak PDF lub plik programu Excel albo Word, ale w rzeczywistości jest to zamaskowany plik wykonywalny. Użytkownik pobiera plik, klika go i zaczynają się problemy. (Działanie pliku może nie być widoczne od razu. Niektóre programy ransomware ukrywają się na komputerze przez określony czas, aby utrudnić wykrycie ich źródła).

Malvertising

malvertising_avast_orange_icon.pngMalvertising to kolejna metoda infekowania komputerów. W tym przypadku hakerzy rozprzestrzeniają złośliwe oprogramowanie za pomocą sieci reklamowej. Fałszywa reklama może się znaleźć nawet w zaufanych witrynach internetowych. Jeśli użytkownik kliknie link w reklamie, na jego komputer zostanie pobrane oprogramowanie ransomware.

Pobieranie złośliwych programów może odbywać się też bez jakiejkolwiek interakcji ze strony użytkownika Niektóre podejrzane witryny internetowe za pośrednictwem przestarzałych przeglądarek i aplikacji potajemnie pobierają złośliwe oprogramowanie na komputer, kiedy nieświadomy niczego użytkownik przegląda Internet. Bez względu na sposób dostania się na komputer program ransomware po uruchomieniu zwykle działa następująco: zaczyna zmieniać pliki (lub struktury plików) w taki sposób, że ich odczytanie lub użycie jest możliwe tylko po przywróceniu ich pierwotnego stanu. Komunikacja między złośliwym oprogramowaniem a komputerem sterującym (czyli komputerem, za pomocą którego haker steruje urządzeniem ofiary) jest szyfrowana. Za pomocą szyfrowania ukryty jest również klucz, który umożliwia odszyfrowanie danych lub odzyskanie klucza potrzebnego do przywrócenia oryginalnej postaci plików lub systemu plików.

Po zablokowaniu wszystkich plików na ekranie komputera zostają wyświetlone informacje: kwota okupu, po uiszczeniu której pliki zostaną odszyfrowane, miejsce i sposób przekazania wpłaty oraz czas pozostały do spełnienia żądania. Po upływie tego czasu kwota okupu rośnie. Próba otwarcia zaszyfrowanego pliku kończy się wyświetleniem komunikatu o błędzie informującym, że plik jest uszkodzony, nieprawidłowy lub że nie można go znaleźć.