Nowe Technologie

Ransomware o czym powinniśmy wiedzieć?

Ostatnia aktualizacja: 25.02.2013 10:00
Głównym zadaniem oprogramowania ransomware jest uzyskanie przez cyberprzestępców okupu w zamian za odblokowanie komputera użytkownika.
Ransomware o czym powinniśmy wiedzieć?
Foto: Glow Images/East News

 

Niedawno informowaliśmy o wspólnej akcji Trend Micro oraz hiszpańskiej policji, dzięki której udało się rozbić groźny gang cyberprzestępców. W wyniku tego działania schwytano 11 osób powiązanych z rozpowszechnianiem złośliwego oprogramowania ransomware Reveton, zwanego także trojanem policyjnym. Podjęcie działań przez hiszpańską policję było spowodowane między innymi przez nasilające się skargi ze strony zaniepokojonych blokadą komputera użytkowników.

Czym właściwie jest ransomware? Czy jest to nowe zagrożenie?

Złośliwe oprogramowanie typu ransomware nie jest wcale nowym zagrożeniem. Jednak w wyniku jego ewolucji coraz większe są szkody, które powoduje. Działanie ransomware’u uniemożliwia użytkownikowi normalne korzystanie z komputera, dopóki nie uiści on fikcyjnej opłaty za rzekome poważne naruszenie prawa. Część użytkowników oskarżana jest o posiadanie nielegalnego oprogramowania, pobieranie zawartości chronionej prawami autorskimi lub też o próby uzyskania dostępu do dziecięcej pornografii. Aby uwiarygodnić swoje działania, ransomware podszywa się pod lokalne służby policyjne poprzez użycie ustawień regionalnych użytkownika – innymi słowy komunikuje się w lokalnym języku i wykorzystuje logotypy lokalnej policji. W Polsce jednym z najbardziej rozpowszechnionych wirusów typu ransoware jest "Policja Polska". Wirus może wniknąć do komputera ofiary przy okazji odwiedzenia "zakażonej"  strony. Oprogramowanie blokuje komputer uniemożliwiając wykonanie jakiejkolwiek operacji. Nie działa ctrl+alt-del, po ponownym uruchomieniu pojawia się plansza z prośbą wpłacenia 100 EUR celem odblokowania urządzenia.

Głównym zadaniem oprogramowania ransomware (ang. ransom – okup) jest infiltracja zarażonych nim urządzeń oraz żądanie uiszczenia odpowiedniej opłaty w zamian za odblokowanie komputera użytkownika. W wyniku infekcji trojan wyświetla ekran blokady z informacją o krokach, które należy podjąć, aby odzyskać kontrolę nad sprzętem. Po dokonaniu opłaty poszkodowany zazwyczaj otrzymuje klucz odblokowujący - mówi Rik Ferguson, dyrektora ds. badań nad bezpieczeństwem i komunikacji w regionie EMEA.

Twórcy oprogramowania typu ransomware w nielegalny sposób dążą do wyłudzenia pieniędzy. Niestety wielu nieświadomych użytkowników, chcąc odzyskać możliwość korzystania z komputera, dokonuje wpłaty okupu. W przypadku ochrony przed zagrożeniami mającymi swe źródło w sieci lepiej jest zapobiegać niż leczyć. Dlatego warto korzystać ze skutecznego oprogramowania zabezpieczającego, a próby wyłudzenia pieniędzy należy zgłaszać policji.

Dla przypomnienia: w wyniku współpracy Trend Micro i hiszpańskiej policji doszło do rozbicia grupy przestępczej zajmującej się tworzeniem oprogramowania typu ransomware znanego jako Reveton. Aresztowanie miało miejsce w Dubaju, obecnie wymiar sprawiedliwości w Hiszpanii pracuje nad wnioskiem o ekstradycję.

Dzięki operacji udało się zlikwidować część gangu odpowiedzialnego za spieniężenie voucherów PaySafeCard/UKash. Przestępcy działali także na terenie Hiszpanii, gdzie dokonywali wymiany tych voucherów na prawdziwą walutę, którą wysyłano następnie do głównego gangu w Rosji. Dziesięciu spośród aresztowanych było najprawdopodobniej zaangażowanych w pranie brudnych pieniędzy, sześciu z nich to Rosjanie, kolejnych dwóch to Ukraińcy, jest też dwóch Gruzinów. Policja szacuje, że grupa ta mogła w ciągu roku wyprać nawet 1 mln euro.

Jak sobie poradzić?

Najprostsza metoda usunięcia polega po prostu na wpisaniu ‘poprawnego’ kodu UKASH,którego dopomina się oprogramowanie. Z analizy malware wynika, iż malware sprawdza jedynie początek kodu, nie sprawdza natomiast czy jest to poprawny, aktywny numer vouchera. W internecie można znaleźć informację, iż poprawny kod zaczynia się od ciągu 633781 lub 718 po których następuje 13 cyfr. Prosty generator takich kodów można znaleźć tutaj.

Często jednak generator nie odblokowuje komputera. Co wtedy? 

Innym sposobem jest uruchomienie komputera w trybie awaryjnym z wierszem poleceń (zwykły tryb awaryjny nie będzie działać !) i ręczne usunięcie z dysku oraz rejestru zmian wprowadzonych przez malware. Jest to metoda zdecydowanie polecana jedynie zaawansowanym użytkownikom. Wpiszazwyczaj ukryty jest w całkiem niewinnych plikach np. Skype.dat. Wskazaniem może być data powstania wpisu.

Mniej zaawansowani użytkownicy mogą skorzystać z bootowalnych płyt ratunkowych różnych producentów oprogramowania antywirusowego i przeprowadzić kompletny skan komputera. 



autor: Robert Kamiński