Ce este Ransomware?

Ransomware este un tip de malware (software rău intenționat) care se poate prezenta în câteva moduri diferite, afectând sistemele individuale, precum și rețelele de întreprinderi, spitale, aeroporturi și agenții guvernamentale.

Ransomware-ul este îmbunătățit constant și devine din ce în ce mai sofisticat de la prima apariție înregistrată, în 1989. În timp ce formatele simple sunt, de obicei, ransomware fără criptare, cele moderne folosesc metode de criptare pentru a cripta fișierele, făcându-le inaccesibile. Ransomware-ul de criptare poate fi folosit și pe hard disk-uri ca o modalitate de a bloca complet sistemul de operare al unui computer, împiedicând victima să-l acceseze. Scopul final este de a convinge victimele să plătească pentru o răscumpărare de decriptare - care este de obicei cerută în monede digitale care sunt greu de urmărit (cum ar fi Bitcoin sau alte criptomonede). Cu toate acestea, nu există nicio garanție că plățile vor fi onorate de către atacatori.

Popularitatea ransomware-ului a crescut semnificativ în ultimul deceniu (mai ales în 2017) și, ca atac cibernetic motivat financiar, este în prezent cea mai proeminentă amenințare de malware din lume – după cum a raportat Europol (IOCTA 2018).


Cum se fac victimele?

  • Phishing: o formă recurentă de inginerie socială. În contextul ransomware-ului, e-mailurile de tip phishing sunt una dintre cele mai comune forme de distribuire a programelor malware. Victimele se infectează de obicei prin atașamente sau link-uri de e-mail compromise care sunt deghizate ca fiind legitime. Într-o rețea de computere, o singură victimă poate fi suficientă pentru a compromite o întreagă organizație.

  • Seturi de exploatare: un pachet format din diverse instrumente rău intenționate și cod de exploatare pre-scris. Aceste kituri sunt concepute pentru a exploata problemele și vulnerabilitățile din aplicațiile software și sistemele de operare ca o modalitate de a răspândi programe malware (sistemele nesigure care rulează software învechit sunt cele mai comune ținte).

  • Malvertising: atacatorii folosesc rețelele de publicitate pentru a răspândi ransomware.


Cum să te protejezi de atacurile ransomware?

  • Utilizați surse externe pentru a face copii de siguranță ale fișierelor în mod regulat, astfel încât să le puteți restaura după ce o potențială infecție este eliminată;

  • Fiți atenți la atașamentele și linkurile de e-mail. Evitați să faceți clic pe anunțuri și site-uri web de sursă necunoscută;

  • Instalați un antivirus de încredere și mențineți aplicațiile software și sistemul de operare la zi;

  • Activați opțiunea „Afișați extensiile de fișiere” în setările Windows, astfel încât să puteți verifica cu ușurință extensiile fișierelor dvs. Evitați extensiile de fișiere precum .exe .vbs și .scr;

  • Evitați să vizitați site-uri web care nu sunt securizate de protocolul HTTPS (adică adrese URL care încep cu „https://”). Rețineți, totuși, că multe site-uri web rău intenționate implementează protocolul HTTPS pentru a deruta victimele, iar protocolul în sine nu garantează că site-ul web este legitim sau sigur.

  • Vizitați NoMoreRansom.org, un site web creat de agenții de aplicare a legii și companii de securitate IT care lucrează pentru a distruge ransomware. Site-ul oferă seturi de instrumente de decriptare gratuite pentru utilizatorii infectați, precum și sfaturi de prevenire.


Exemple de ransomware

GrandCrab (2018)

Văzut pentru prima dată în ianuarie 2018, ransomware-ul a făcut peste 50.000 de victime în mai puțin de o lună, înainte de a fi perturbat de activitatea autorităților române împreună cu Bitdefender și Europol (este disponibil un kit gratuit de recuperare a datelor). GrandCrab a fost răspândit prin e-mailuri de malvertising și phishing și a fost primul ransomware cunoscut care a cerut o plată de răscumpărare în criptomoneda DASH. Răscumpărarea inițială a variat de la 300 la 1500 de dolari SUA.


WannaCry (2017)

Un atac cibernetic la nivel mondial care a infectat peste 300.000 de computere în 4 zile. WannaCry sa propagat printr-un exploit cunoscut sub numele de EternalBlue și a vizat sistemele de operare Microsoft Windows (cele mai multe computere afectate rulau Windows 7). Atacul a fost oprit din cauza patch-urilor de urgență lansate de Microsoft. Experții americani în securitate au susținut că Coreea de Nord a fost responsabilă pentru atac, deși nu au fost furnizate dovezi.


Iepure rău (2017)

Un ransomware care a fost răspândit ca o actualizare Adobe Flash falsă care a fost descărcată de pe site-uri web compromise. Cele mai multe computere infectate se aflau în Rusia, iar infecția depindea de instalarea manuală a unui fișier .exe. Prețul pentru decriptare era de aproximativ 280 de dolari SUA la acea vreme (0,05 BTC).


Locky (2016)

De obicei, distribuită prin e-mail sub formă de factură care necesită plată care conținea atașamente infectate. În 2016, Hollywood Presbyterian Medical Center a fost infectat de Locky și a plătit o răscumpărare de 40 BTC (17.000 de dolari SUA atunci) pentru a recăpăta accesul la sistemele informatice ale spitalului.