Przejdź do zawartości

Ransomware

Z Wikipedii, wolnej encyklopedii
Zdjęcie ekranu komputera po przykładowym ataku ransomware

Ransomware (zbitka słów ang. ransom „okup” i software „oprogramowanie”[1][2]) – oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Programy typu ransomware należą do tzw. złośliwego oprogramowania (malware).

Najprostsze typy programów typu ransomware jedynie zakładają na system blokadę[3], stosunkowo łatwą do zlikwidowania dla doświadczonych użytkowników komputera[4]. Bardziej zaawansowane formy oprogramowania typu ransomware stosują natomiast technikę zwaną kryptowirusowym wymuszeniem[3] – szyfrują pliki ofiary, uniemożliwiając tym samym ich normalny odczyt, i żądają okupu w zamian za deszyfrację danych[4]. W prawidłowo przeprowadzonym ataku wymuszeniowym przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe.

W języku polskim na określenie programów typu ransomware funkcjonują terminy: „oprogramowanie wymuszające okup”[5][6], „oprogramowanie szantażujące”[5][7][8].

Działanie

[edytuj | edytuj kod]

Przebieg ataku

[edytuj | edytuj kod]

Oprogramowanie wymuszające okup przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Uruchomiony zostaje szkodliwy kod, który przeważnie ma formę aplikacji typu scareware(inne języki). Jedną z operacji wykonywanych przez ransomware może być wyświetlanie fałszywego ostrzeżenia, rzekomo wysłanego przez np. organy ścigania. Według tego typu ostrzeżeń system był używany w nielegalnych celach bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows[9][10][11].

Niektóre programy tego typu zawierają prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Dzieje się to zazwyczaj poprzez podmianę ścieżki powłoki systemu Windows[12], a w skrajnych przypadkach przez modyfikację głównego rekordu rozruchowego lub tablicy partycji w celu uniemożliwienia prawidłowego rozruchu systemu operacyjnego[13]. Najgroźniejsze wersje takiego oprogramowania szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu – tak, aby tylko autor oprogramowania był w stanie je odszyfrować swoim kluczem; cyberprzestępcy rzadko korzystają ze słabych szyfrów.

Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci szyfru – stwierdził Oliver Friedrichs, dyrektor do spraw bezpieczeństwa w korporacji Symantec[14].

Motywy cyberprzestępców a odzysk danych

[edytuj | edytuj kod]

Złamanie większości stosowanych algorytmów szyfrujących jest praktycznie niemożliwe bez dostępu do systemów komputerowych o bardzo wysokiej mocy obliczeniowej[15][16][17]. Jeśli trojan korzysta z szyfru symetrycznego, można poddać program inżynierii odwrotnej w celu wydobycia algorytmu oraz klucza wykorzystywanego przez szkodliwe oprogramowanie i przygotować program deszyfrujący dane.

Celem cyberprzestępców posługujących się oprogramowaniem wymuszającym okup przeważnie jest próba wyłudzenia płatności, w zamian za którą obiecują ofierze usunięcie infekcji (co niekoniecznie musi nastąpić). Taka „pomoc” polega albo na dostarczeniu programu do odszyfrowania plików, albo na wysłaniu kodu odblokowującego, który cofa dokonane zmiany. Z punktu widzenia atakującego, kluczową zaletą ataku za pomocą oprogramowania typu ransomware jest wygodny i trudny do namierzenia system płatności. W celu uzyskania okupu wykorzystywano najróżniejsze metody płatności, m.in. przelewy, wiadomości SMS o podwyższonej opłacie[18], usługi pre-paidowe jak np. Paysafecard[19][20][21], a także cyfrową walutę Bitcoin[22][23][24]. Wykonany w 2016 roku raport na zlecenie Citrix wykazał, że duże firmy gromadzą Bitcoiny w ramach planu awaryjnego[25].

Historia

[edytuj | edytuj kod]

Programy typu ransomware wykorzystujące kryptografię

[edytuj | edytuj kod]

Pierwszym znanym programem typu ransomware był „AIDS” (znany również jako „PC Cyborg”), napisany w 1989 przez Josepha Poppa. Jego kod był odpowiedzialny za ukrywanie plików na dysku i szyfrowanie ich nazw, a także za wyświetlanie informacji, że licencja użytkownika na korzystanie z konkretnych plików wygasła. Ofiara była proszona o dokonanie wpłaty w wysokości 189$ na konto „PC Cyborg Corporation” w celu uzyskania programu do usunięcia infekcji. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał, iż cały zysk z działania wirusa przeznaczy na badania nad lekarstwem na AIDS[26].

Pomysł na używanie kryptografii klucza publicznego do takich ataków został wprowadzony w 1996 roku przez Adama L. Younga i Mordechaia Yunga; pokazali oni, że trojan AIDS był nieskuteczny ze względu na korzystanie z Algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego, i wdrożyli eksperymentalny wirus szyfrujący na Macintoshu SE/30, który używał algorytmów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten kryptowirus/wirus-szyfrator (z ang. cryptovirus), stworzony w 1995 i opisany w dokumencie IEEE S & P w roku 1996 sprawiał, że ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący.

Young wraz z Yungiem ponadto zasugerowali, że pieniądze elektroniczne mogą również zostać wymuszone za pomocą szyfrowania, przez co „twórca wirusa może z powodzeniem zatrzymać całą sumę, dopóki połowa tej kwoty nie zostanie mu zapłacona”[15]. Nazywali te działania „kryptowirusowym wymuszeniem” – było ono jawnym atakiem należącym do większej grupy ataków z dziedziny tzw. kryptowirologii. Zawierała ona zarówno ataki jawne, jak i niejawne[15].

Przykłady ransomware „żądających” wygórowanych kwot stały się widoczne w maju 2005[27]. Do połowy 2006 roku trojany takie jak Gpcode, TROJ.RANSOM.A, Archiveus(inne języki), Krotten, Cryzip, oraz majArchive zaczęły wykorzystywać bardziej wyrafinowane algorytmy szyfrujące RSA, z kluczami o coraz większej długości. Gpcode.AG, wykryty w czerwcu 2006, był zaszyfrowany kluczem publicznym RSA o długości 660 bitów[28]. W czerwcu 2008, wykryto wariant znany jako Gpcode.AK. Korzystając z 1024-bitowego klucza RSA, sądzono iż był on wystarczająco duży, żeby w celu jego złamania konieczne było wykonanie odpowiednich obliczeń rozproszonych[29][30][31][32].

Oprogramowanie szyfrujące zaatakowało ponownie pod koniec 2013 roku wraz z rozprzestrzenianiem się CryptoLockera, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013 portal ZDNet.com przeanalizował informacje o transakcjach przeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, że twórcy CryptoLockera otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników[33]. Technika CryptoLockera była w kolejnych miesiącach rozprowadzana na szeroką skalę, w wyniku czego powstały następujące wirusy:

  • CryptoLocker 2.0 (nie był jednak powiązany z CryptoLockerem)
  • CryptoDefense (początkowo zawierał on poważną „lukę konstrukcyjną”, w wyniku której na komputerze ofiary był umieszczany klucz prywatny w dostępnej dla użytkownika lokalizacji; spowodowane to było wbudowanymi interfejsami deszyfrującymi systemu Windows)[23][34][35][36],
  • wykryty w sierpniu 2014 trojan, przeznaczony głównie do ataków na urządzenia NAS, wyprodukowanych przez firmę Synology[37].

W styczniu 2015 ogłoszono, że infekcje oprogramowaniem wymuszającego okup występowały na poszczególnych stronach za pośrednictwem hakowania, oraz poprzez ransomware przeznaczonego[styl do poprawy] na serwery linuksowe[38][39][40].

Niektóre „szczepy” oprogramowania wymuszającego okup wykorzystywały serwery pośredniczące, powiązane z usługami ukrytymi sieci Tor do łączenia się z ich serwerami kontrolnymi, utrudniając śledzenie dokładnej lokalizacji przestępców[41][42]. Ponadto sprzedawcy z ciemnych stron sieci web zaczęli w coraz większym stopniu oferować tę technologię w ramach modelu oprogramowania jako usługi[42][43][44].

Przykładowe programy

[edytuj | edytuj kod]

Reveton

[edytuj | edytuj kod]

Sposób działania

[edytuj | edytuj kod]

Trojan Reveton zaczął się rozprzestrzeniać w Europie w 2012 roku[19]. Utworzony został na bazie trojana Citadel (który z kolei oparto na bazie trojana Zeus). Rzekomym nadawcą wyświetlanej przez niego wiadomości były organy ścigania, a jej treść oznajmiała o używaniu komputera w nielegalnych celach (np. do ściągania nielegalnego oprogramowania bądź pornografii dziecięcej). Ze względu na takie zachowanie był określany mianem „policyjnego trojana”[45][46][47].

Treść ostrzeżenia głosiła, iż w celu odblokowania systemu użytkownik musi zapłacić grzywnę za pośrednictwem usługi takiej jak Ukash lub Paysafecard. Aby wzbudzić w użytkowniku świadomość tego, iż komputer jest namierzony przez służby, trojan wyświetlał na ekranie adres IP komputera, a niektóre wersje prezentowały obraz z kamery internetowej ofiary, aby sprawić wrażenie nagrywania użytkownika[19][48].

Poszczególne warianty

[edytuj | edytuj kod]

Warianty zostały zlokalizowane przy użyciu wzorów oficjalnych logo różnych organów ścigania na podstawie kraju ofiary; przykładowo, wersja trojana, która atakowała w Wielkiej Brytanii, zawierała logo m.in. Metropolitan Police Service oraz wydziału PCeU. Inna wersja prezentowała logo royalty collection society PRS for Music(inne języki) (która przeważnie zarzucała użytkownikowi nielegalne ściąganie muzyki)[49]. W oświadczeniu, mającym na celu ostrzec obywateli przed trojanem Policja wyjaśniła, iż w ramach śledztwa funkcjonariusze nie mają prawa zablokować systemu na komputerze podejrzanego[10][19].

W maju 2012 analitycy zagrożeń z Trend Micro odkryli szablony wariantów trojana skierowanego na Kanadę i USA, które sugerowały, iż jego autorzy mogli obrać na cel mieszkańców Ameryki Północnej[50]. Przed sierpniem 2012 nowa wersja trojana Reveton zaczęła się rozprzestrzeniać w USA, nakłaniając użytkowników do uiszczenia grzywny w wysokości 200 dolarów na konto FBI za pomocą karty MoneyPak[48][51][52]. W lutym 2013 obywatel Rosji został aresztowany w Dubaju przez władze Hiszpanii za udział w grupie przestępczej, która używała Revetona; dziesięć innych osób zostało aresztowanych pod zarzutem prania brudnych pieniędzy[53]. W sierpniu 2014 firma antywirusowa Avast ogłosiła wykrycie nowych wersji Revetona, w których payload zawierał program do kradzieży hasła[54].

CryptoLocker

[edytuj | edytuj kod]

Kryptowirusy zaatakowały ponownie we wrześniu 2013 – wówczas odkryto trojana CryptoLocker, który generował 2048-bitową parę kluczy RSA, wysyłał je na serwer i używał ich w celu szyfrowania plików za pomocą białej listy konkretnych rozszerzeń plików. Ten program typu ransomware groził usunięciem klucza prywatnego, jeżeli płatność w postaci bitcoinów lub kuponu nie zostanie dokonana w ciągu 3 dni od zainfekowania komputera. Ponieważ trojan używał bardzo długiego klucza, badacze oraz same ofiary uznali go za bardzo trudny do pokonania[22][55][56][57]. Nawet po upłynięciu terminu „ultimatum” uzyskanie klucza prywatnego w dalszym ciągu było możliwe za pomocą narzędzia dostępnego online, lecz wówczas cena wzrastała do 10 BTC — co w listopadzie 2013 roku dawało równowartość ok. 2300 dolarów amerykańskich[58][59].

CryptoLocker został wyizolowany w wyniku działania botneta „Gameover ZeuS” w ramach Operacji Tovar, co zostało oficjalnie ogłoszone przez Departament Sprawiedliwości Stanów Zjednoczonych 2 czerwca 2014. Departament ponadto publicznie oskarżył rosyjskiego hakera Jewgienija Bogaczewa o udział w tworzeniu botneta[60][61]. Oszacowano, że do momentu unieszkodliwienia trojana przestępcy wymusili za jego pomocą co najmniej 3 mln dolarów[62].

Zobacz też

[edytuj | edytuj kod]

Przypisy

[edytuj | edytuj kod]
  1. Co to jest ransomware i jak się zabezpieczyć przed złośliwym oprogramowaniem? [online], Poradnik Orange, 25 lutego 2019 [zarchiwizowane z adresu 2020-04-09].
  2. Pavel Čepský, Dostal jsem tě! Kolik dáš za svůj systém a data? [online], Lupa.cz, 14 września 2010 [zarchiwizowane z adresu 2020-04-09] (cz.).
  3. a b Nezmar Luděk, GDPR: Praktický průvodce implementací, Grada Publishing a.s., 3 listopada 2017, s. 228, ISBN 978-80-271-0920-3 [dostęp 2020-04-09] (cz.).
  4. a b Jack Schofield, How can I remove a ransomware infection?, „The Guardian”, 28 lipca 2016, ISSN 0261-3077 [dostęp 2020-04-09] (ang.).
  5. a b oprogramowanie szantażujące – Tłumaczenie po angielsku. [w:] Słownik polsko-angielski Diki [on-line]. [dostęp 2017-07-24].
  6. Terminology Search. Microsoft Language Portal. [dostęp 2021-07-27]. [zarchiwizowane z tego adresu (2020-10-19)]. (ang.).
  7. oprogramowanie szantażujące - tłumaczenie na angielski. [w:] słownik polsko-angielski bab.la [on-line]. [dostęp 2017-09-01].
  8. Trend Micro: Bezpieczeństwo informatyczne w drugim kwartale 2012 roku. [dostęp 2017-07-13].
  9. Ransomware squeezes users with bogus Windows activation demand [online], Computerworld [dostęp 2012-03-09] (ang.).
  10. a b Police warn of extortion messages sent in their name [online], Helsingin Sanomat [dostęp 2012-03-09] [zarchiwizowane z adresu 2014-07-03].
  11. Robert McMillian, Alleged Ransomware Gang Investigated by Moscow Police [online], PC World [dostęp 2012-03-10] (ang.).
  12. Ransomware: Fake Federal German Police (BKA) notice [online], SecureList (Kaspersky Lab) [dostęp 2020-07-29] (ang.).
  13. And Now, an MBR Ransomware [online], SecureList (Kaspersky Lab) [dostęp 2020-07-29] (ang.).
  14. D. Maikowski, Zaszyfrują ci komputer, zażądają 300 dol. i co zrobisz? Ransomware - nowa plaga. Jak się chronić? [online], 16 marca 2016 (ang.).
  15. a b c Adam Young, Moti Yung, Cryptovirology: extortion-based security threats and countermeasures, [w:] IEEE Symposium on Security and Privacy, 1996, s. 129–140, DOI10.1109/SECPRI.1996.502676, ISBN 0-8186-7417-2 (ang.).
  16. Adam Young, Building a Cryptovirus Using Microsoft's Cryptographic API, Jianying Zhou, Javier Lopez (red.), „Information Security: 8th International Conference, ISC 2005”, Springer-Verlag, 2005, s. 389–401 (ang.).
  17. Adam Young, Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?, „International Journal of Information Security”, 5 (2), Springer-Verlag, 2006, s. 67–76, DOI10.1007/s10207-006-0082-7 (ang.).
  18. Dancho Danchev, New ransomware locks PCs, demands premium SMS for removal [online], ZDNet, 22 kwietnia 2009 [dostęp 2009-05-02] [zarchiwizowane z adresu 2009-04-26] (ang.).
  19. a b c d John E. Dunn, Ransom Trojans spreading beyond Russian heartland [online], TechWorld [dostęp 2012-03-10] [zarchiwizowane z adresu 2014-07-02] (ang.).
  20. Ransomware plays pirated Windows card, demands $143 [online], Computerworld [dostęp 2012-03-09].
  21. Jacqui Cheng, New Trojans: give us $300, or the data gets it! [online], Ars Technica, 18 lipca 2007 [dostęp 2009-04-16] (ang.).
  22. a b You’re infected—if you want to see your data again, pay us $300 in Bitcoins, [w:] Ars Technica [online] [dostęp 2013-10-23] (ang.).
  23. a b CryptoDefense ransomware leaves decryption key accessible, [w:] Computerworld [online], IDG [dostęp 2014-04-07] (ang.).
  24. What to do if Ransomware Attacks on your Windows Computer? [online], Techie Motto [dostęp 2016-04-25] [zarchiwizowane z adresu 2016-05-23] (ang.).
  25. Luke Parker, Large UK businesses are holding bitcoin to pay ransoms [online], 9 czerwca 2016 [dostęp 2016-06-09] (ang.).
  26. Michael Kassner, Ransomware: Extortion via the Internet [online], TechRepublic [dostęp 2012-03-10] (ang.).
  27. Susan Schaibly, Files for ransom [online], Network World, 26 września 2005 [dostęp 2009-04-17] (ang.).
  28. John Leyden, Ransomware getting harder to break [online], The Register, 24 lipca 2006 [dostęp 2009-04-18] (ang.).
  29. Ryan Naraine, Blackmail ransomware returns with 1024-bit encryption key [online], ZDNet, 6 czerwca 2008 [dostęp 2009-05-01] [zarchiwizowane z adresu 2008-08-03] (ang.).
  30. Robert Lemos, Ransomware resisting crypto cracking efforts [online], SecurityFocus, 13 czerwca 2008 [dostęp 2009-04-18] (ang.).
  31. Brian Krebs, Ransomware Encrypts Victim Files with 1,024-Bit Key, [w:] The Washington Post [online], 9 czerwca 2008 [dostęp 2009-04-16] (ang.).
  32. Kaspersky Lab reports a new and dangerous blackmailing virus [online], Kaspersky Lab, 2008 [dostęp 2008-06-11] [zarchiwizowane z adresu 2016-04-02] (ang.).
  33. Violet Blue, CryptoLocker's crimewave: A trail of millions in laundered Bitcoin [online], ZDNet, 22 grudnia 2013 [dostęp 2013-12-23] (ang.).
  34. Encryption goof fixed in TorrentLocker file-locking malware [online], PC World [dostęp 2014-10-15] (ang.).
  35. Cryptolocker 2.0 – new version, or copycat?, [w:] WeLiveSecurity [online], ESET [dostęp 2014-01-18] (ang.).
  36. New CryptoLocker Spreads via Removable Drives [online], Trend Micro [dostęp 2014-01-18] (ang.).
  37. Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files, [w:] ExtremeTech [online], Ziff Davis Media [dostęp 2014-08-18] (ang.).
  38. File-encrypting ransomware starts targeting Linux web servers, [w:] PC World [online], IDG [dostęp 2016-05-31] (ang.).
  39. Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks [online], SecurityWeek [dostęp 2016-05-31] (ang.).
  40. Hackers holding websites to ransom by switching their encryption keys. „The Guardian”. [dostęp 2016-05-31]. (ang.). 
  41. New ransomware employs Tor to stay hidden from security. „The Guardian”. [dostęp 2016-05-31]. (ang.). 
  42. a b The current state of ransomware: CTB-Locker, [w:] Sophos Blog [online], Sophos [dostęp 2016-05-31] (ang.).
  43. Chris Brook, Author Behind Ransomware Tox Calls it Quits, Sells Platform [online], 4 czerwca 2015 [dostęp 2015-08-06] (ang.).
  44. Roland Dela Paz, Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block [online], 29 lipca 2015 [dostęp 2015-08-06] [zarchiwizowane z adresu 2016-05-16] (ang.).
  45. Gardaí warn of ‘Police Trojan’ computer locking virus [online], TheJournal.ie [dostęp 2016-05-31] (ang.).
  46. Barrie computer expert seeing an increase in the effects of the new ransomware, [w:] Barrie Examiner [online], Postmedia Network [dostęp 2016-05-31] [zarchiwizowane z adresu 2017-08-10] (ang.).
  47. Fake cop Trojan 'detects offensive materials' on PCs, demands money [online], The Register [dostęp 2012-08-15] (ang.).
  48. a b Reveton Malware Freezes PCs, Demands Payment [online], InformationWeek [dostęp 2020-07-29] (ang.).
  49. John E. Dunn, Police alert after ransom Trojan locks up 1,100 PCs [online], TechWorld [dostęp 2012-08-16] [zarchiwizowane z adresu 2014-07-02] (ang.).
  50. Lucian Constantian, Police-themed Ransomware Starts Targeting US and Canadian Users [online], PC World [dostęp 2012-05-11] (ang.).
  51. New Internet scam: Ransomware... [online], FBI, 9 sierpnia 2012 [zarchiwizowane z adresu 2012-10-17] (ang.).
  52. Citadel malware continues to deliver Reveton ransomware... [online], Internet Crime Complaint Center (IC3), 2012 (ang.).
  53. Reveton 'police ransom' malware gang head arrested in Dubai [online], TechWorld [dostęp 2014-10-18] [zarchiwizowane z adresu 2014-12-14] (ang.).
  54. 'Reveton' ransomware upgraded with powerful password stealer [online], PC World [dostęp 2014-10-18] (ang.).
  55. Disk encrypting Cryptolocker malware demands $300 to decrypt your files, [w:] Geek.com [online] [dostęp 2013-09-12] [zarchiwizowane z adresu 2016-11-04] (ang.).
  56. CryptoLocker attacks that hold your computer to ransom, [w:] The Guardian [online] [dostęp 2013-10-23] (ang.).
  57. Destructive malware "CryptoLocker" on the loose - here's what to do, [w:] Naked Security [online], Sophos [dostęp 2013-10-23] (ang.).
  58. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service, [w:] NetworkWorld [online] [dostęp 2013-11-05] [zarchiwizowane z adresu 2013-11-05] (ang.).
  59. CryptoLocker creators try to extort even more money from victims with new service, [w:] PC World [online] [dostęp 2013-11-05] (ang.).
  60. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet, [w:] Computerworld [online], IDG [dostęp 2014-08-18] [zarchiwizowane z adresu 2014-07-03] (ang.).
  61. U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator, [w:] Justice.gov [online], U.S. Department of Justice [dostęp 2014-08-18] (ang.).
  62. Cryptolocker victims to get files back for free [online], BBC News, 6 sierpnia 2014 [dostęp 2014-08-18] (ang.).