Co to jest ransomware?
Ransomware to specyficzny i niezwykle szkodliwy rodzaj złośliwego oprogramowania wykorzystywanego przez cyberprzestępców do wyłudzania pieniędzy od osób fizycznych, organizacji i firm. Infekcje blokują dostęp do danych do momentu wpłacenia przez ofiarę okupu, po uzyskaniu którego dostęp do danych powinien znów być możliwy.
Jednak w rzeczywistości 40% ofiar wpłacających okup nigdy nie odzyskuje swoich danych a 73% wpłacających żądaną kwotę staje się ponownym celem ataku. Dlatego wszyscy muszą chronić się przed oprogramowaniem ransomware.
Znane rodzaje oprogramowania ransomware
- Dharma
- Ryuk
- Sodinokibi
- Netwalker
- Maze
Skuteczność:WysokaStatus:AktywnyDharma
Dharma powstała w oparciu o ransomware CrySis w 2016 roku i jest przeważnie rozprowadzana jako złośliwe załączniki w wiadomościach spamowych przy wykorzystaniu różnych podstępów, takich jak podwójne rozszerzenia plików lub pliki instalacyjne dla legalnych pakietów oprogramowania. Ostatnio ta odmiana oprogramowania ransomware była również dystrybuowana przez ujawnione serwery RDP ze słabymi lub upublicznionymi hasłami. Żądany okup to zwykle kwota w wysokości około 1 Bitcoina na infekcję, a wiele ofiar to małe i średnie firmy lub osoby prywatne. FBI szacuje, że w 2019 r. wszystkie wersje tego oprogramowania wygenerowały łącznie ponad 8 mln USD zysku. W marcu 2020 r. kod źródłowy Dharmy został wystawiony na sprzedaż na kilku nielegalnych forach, co umożliwiło powstanie kolejnych wersji tego oprogramowania.
Wiadomości na ten temat
Skuteczność:ŚredniaStatus:AktywnyRansomware Ryuk
Ryuk jest rzekomo związany ze sponsorowaną przez państwo grupą hakerską Lazarus i wcześniejszym wariantem ransomware o nazwie Hermes. W przeciwieństwie do popularnych odmian oprogramowania ransomware, które są rozpowszechniane za pośrednictwem masowych kampanii spamowych i zestawów exploitów, ten wariant jest najczęściej stosowany w atakach ukierunkowanych. Ryuk wykorzystuje trójpoziomowy model szyfrowania, w którym klucze szyfrowania są szyfrowane przy użyciu szyfrowania RSA, a szyfrowanie AES służy do szyfrowania plików użytkownika oraz wykorzystuje techniki wstrzykiwania procesów, aby ukryć się przed rozwiązaniami antywirusowymi. Ryuk zainfekował bardzo znane podmioty i zażądał okupów rzędu milionów dolarów. FBI szacuje, że dochody generowane przez Ryuk wynoszą ok. 3 mln USD na miesiąc, co wskazuje, że strategia tego oprogramowania jest bardzo skuteczna.
Wiadomości na ten temat
Skuteczność:ŚredniaStatus:AktywnyRansomware Sodinokibi
Sodinokibi jest rzekomo rozpowszechniany przez hakerów powiązanych z podmiotami, które rozprowadzały znany ransomware GandCrab. Sodinokibi nie atakuje komputerów z Iranu, Rosji i innych krajów, które należały wcześniej do ZSRR. Sodinokibi używa zintegrowanego schematu szyfrowania krzywych eliptycznych (ECIES) do generowania i wymiany kluczy (algorytm wymiany kluczy Diffie-Hellman z krzywą eliptyczną). To oprogramowanie ransomware stosuje algorytmy AES i Salsa20, aby szyfrować odpowiednio klucze sesji i pliki użytkownika. AES jest także stosowany do szyfrowania danych sieciowych, które są wysyłane do serwera kontrolnego. Ransomware zwykle żąda okupu w wysokości ok. 0,32806964 BTC (≈ 2 500 USD) w celu odzyskania dostępu do zaszyfrowanych plików.
Wiadomości na ten temat
Skuteczność:WysokaStatus:AktywnyNetwalker
NetWalker (zwany również Mailto) został odkryty przez GrujaRS i jest zaktualizowaną wersją oprogramowania ransomware Kokoklock. Po zaatakowaniu sieci i zaszyfrowaniu wszystkich podłączonych urządzeń Windows oprogramowanie to żąda wysokich okupów. Niedawno cyberprzestępcy rozpoczęli spamową kampanię e-mail związaną z koronawirusem, aby rozpowszechnić ransomware NetWalker. Pod koniec marca 2020 r. grupa rozpoczęła kampanię afiliacyjną w celu oferowania NetWalker jako Ransomware as a Service (RaaS).
Wiadomości na ten temat- Hiszpańskie szpitale były celem ataków phishingowych związanych z koronawirusem podczas ataków oprogramowania ransomware Netwalker
- Pracownicy służby zdrowia ofiarami nowej, niebezpiecznej kampanii ransomware wymierzonej w system Windows i wykorzystującej koronawirusa jako przynętę
- Oprogramowanie ransomware Netwalker infekuje użytkowników, stosując phishing związany z koronawirusem
Skuteczność:WysokaStatus:AktywnyMaze
Maze, znany wcześniej także jako ChaCha, po raz pierwszy pojawił się w 2019 r. Grupa stojąca za tym oprogramowaniem jest aktywna na całym świecie i rozpowszechnia złośliwe oprogramowanie za pomocą różnych metod, np. wiadomości spamowych, zestawów exploitów i połączeń ze zdalnym pulpitem, w których stosowane są słabe hasła. Ransomware Maze jest dość skomplikowane i zawiera różne podstępy antyanalityczne, takie jak kończenie pracy debuggerów i narzędzia inżynierii wstecznej. Maze był jedną z pierwszych rodzin ransomware, które opublikowały skradzione dane, gdy ofiary nie wpłaciły żądanego okupu. W przeciwieństwie do wielu innych podmiotów, grupa stojąca za oprogramowaniem ransomware Maze jest bardzo aktywna w mediach społecznościowych, drwiąc z badaczy i dziennikarzy.
Wiadomości na ten temat
Związek oprogramowania ransomware z cryptojackingiem
Cyberprzestępcy infekują komputery z systemem Windows i Linux złośliwym oprogramowaniem, które wykorzystuje zasoby komputerowe w celu wydobywania kryptowalut bez wiedzy użytkownika. Cryptojacking nie tylko spowalnia pracę komputera, zwiększa koszty energii i uszkadza sprzęt. Zwykle w wyniku infekcji wstrzykiwane jest także ransomware, aby zmaksymalizować rentowność złośliwego oprogramowania.
Na szczęście Acronis automatycznie wykrywa i zatrzymuje zarówno ransomware, jak i ataki typu cryptojacking w czasie rzeczywistym – zapewniając lepsze wyniki niż wiele wiodących rozwiązań do cyberbezpieczeństwa punktów końcowych.
Nasze rozwiązania w zakresie ochrony cybernetycznej chronią Twoje dane
- Dla użytkowników indywidualnych
Cyber Protect Home Office
Najlepsze na świecie rozwiązanie do osobistej ochrony cybernetycznej. W niezależnych testach potwierdzono, że jest najszybsze, najłatwiejsze w obsłudze i najbardziej bezpieczne.
Kup teraz - Dla firm
Cyber Protect
Jedyne rozwiązanie, które natywnie integruje ochronę cybernetyczną, ochronę danych i zarządzanie w celu ochrony punktów końcowych, systemów i danych. Integracja i automatyzacja zapewniają niezrównaną ochronę – zwiększając produktywność i zmniejszając TCO.
Kup teraz
Sprawdzona ochrona przed ransomware
Niezależne laboratoria, analitycy bezpieczeństwa cybernetycznego i grupy branżowe potwierdzają, że Acronis oferuje najlepszą ochronę przed współczesnymi zagrożeniami cybernetycznymi.
Nie bądź ofiarą
W jaki sposób rozwiązania Acronis zabezpieczają Twoje dane, aplikacje i systemy?
- Wykrywa ataki
Za pomocą sztucznej inteligencji Acronis monitoruje Twój system w czasie rzeczywistym i analizuje stos procesów w celu identyfikowania działań wykazujących wzorce zachowań, które są zwykle obserwowane w atakach typu ransomware i cryptojacking.
- Zatrzymuje szyfrowanie
Jeśli jakiś proces próbuje zaszyfrować dane lub wstrzyknąć złośliwy kod, Acronis bezzwłocznie go zatrzymuje i natychmiast informuje użytkownika, że wykryto podejrzane działanie. Wówczas użytkownik może zablokować to działanie lub zezwolić na jego kontynuację.
- Przywraca zaatakowane pliki
Jeśli jakiekolwiek pliki zostaną zmienione lub zaszyfrowane przed zatrzymaniem ataku, rozwiązania Acronis Cyber Protection automatycznie przywrócą te pliki z kopii zapasowej lub cache – niemal bezzwłocznie odwracając efekty ataku.
- Pięć wektorów ochrony cybernetycznej
Nowoczesna ochrona cybernetyczna musi zapewnić bezpieczeństwo, dostępność, prywatność, autentyczność i ochronę (z ang. SAPAS) wszystkich danych. Tylko Acronis łączy wszystkie niezbędne technologie – chmurę hybrydową, sztuczną inteligencję, szyfrowanie i blockchain – w jedno proste, wydajne i bezpieczne rozwiązanie.
Ochraniamy branżę
Dumny członek AMTSO
Jako członek organizacji Anti-Malware Testing Standards Organization (AMTSO) Acronis pomaga opracować odpowiednie standardy testowania rozwiązań zapewniających bezpieczeństwo oraz uczestniczy w testach, które są zgodne ze standardami AMTSO.
Dostawca uczenia maszynowego w VirusTotal
Członkostwo w AMTSO pozwoliło Acronis na udostępnienie utworzonego przez firmę silnika uczenia maszynowego organizacji VirusTotal, dzięki czemu wszyscy użytkownicy na całym świecie mogą korzystać z naszej technologii do wykrywania różnych zagrożeń danych online.
Joel S.
Administrator sieci
„Dzięki innowacyjnym funkcjom, takim jak Acronis Active Protection, która chroni przed ransomoware, wprowadzamy najsilniejszą ochronę cybernetyczną, jaka jest obecnie dostępna na rynku”.
Potrzebujesz pomocy?
Często zadawane pytania
- Co to jest ransomware?
Ransomware to rodzaj złośliwego oprogramowania wykorzystywanego przez cyberprzestępców do wyłudzania pieniędzy od osób fizycznych, organizacji i firm. Chociaż istnieje wiele rodzajów oprogramowania ransomware, typowy atak szyfruje dane ofiary, a następnie wysyła użytkownikowi wiadomość z żądaniem zapłaty okupu – zwykle w postaci cyfrowej waluty, takiej jak Bitcoin lub Monero.
Gdy okup zostanie wpłacony, przestępcy mają dostarczyć klucz odszyfrowujący – chociaż w rzeczywistości prawie 40% ofiar, które płaci okup, nigdy nie odzyskuje dostępu do swoich danych.
- Jak zapobiegać ransomware?
Ransomware jest zwykle rozpowszechniany przez e-maile i zainfekowane strony internetowe. Większość instancji ransomware rozprowadzanych jest przy użyciu techniki infekcji złośliwym oprogramowaniem zwanej „phishing”, w ramach której użytkownik otrzymuje wiadomość e-mail wyglądającą tak, jakby pochodziła od kogoś, kogo użytkownik zna lub komu ufa. Celem jest nakłonienie użytkownika do otworzenia załącznika lub kliknięcie w link w wiadomości, co spowoduje wprowadzanie ransomware do systemu użytkownika.
Zachowanie czujności i unikanie podejrzanych linków lub załączników to pierwsza linia obrony, ale cyberprzestępcy doskonale potrafią oszukiwać nawet najbardziej ostrożne osoby. Posiadanie oprogramowania chroniącego Twój system przed ransomware ma kluczowe znaczenie.
Niestety tradycyjne rozwiązania antywirusowe, które wyszukują znane odmiany ransomware, nie są w stanie nadążyć za dzisiejszymi, stale ewoluującymi zagrożeniami. Niezależnie od tego, czy potrzebujesz ochrony przed ransomware dla urządzeń z Windows 10 czy Mac, pamiętaj, aby stosować technologię zwalczającą ransomware, która wykrywa ataki na podstawie złośliwych działań, ponieważ mechanizmy obronne oparte na analizie zachowania są znacznie skuteczniejsze w identyfikowaniu i powstrzymywaniu ataków typu „zero day”.
- Jak usunąć ransomware?
Jeśli jesteś ofiarą ataku ransomware, usunięcie tego oprogramowania będzie trudne. W zasadzie masz do wyboru trzy opcje.
Po pierwsze, możesz odzyskać swój system z kopii zapasowej. Musisz wówczas upewnić się, że kopia zapasowa nie została naruszona, ponieważ nowe odmiany oprogramowania ransomware atakują pliki kopii zapasowych i oprogramowanie do tworzenia kopii zapasowych.
Drugą opcją jest sformatowanie dysku twardego, usunięcie wszystkich danych (w tym infekcji), a następnie ponowna instalacja systemu operacyjnego i aplikacji. Jednak bez kopii zapasowych utracisz wszystkie prywatne dane i Twój system będzie narażony na przyszłe ataki ransomware.
W końcu, możesz wpłacić okup i mieć nadzieję, że klucz deszyfrujący zadziała, a Twoje dane zostaną przywrócone. Pamiętaj jednak, że 40% osób, które wpłaca okup nigdy nie odzyskuje dostępu do swoich danych, więc o wiele lepszym podejściem jest zapobieganie atakom zanim dojdzie do strat.
- Kto tworzy ransomware?
Ogólnie podmioty tworzące i rozpowszechniające ransomware to albo zorganizowane grupy przestępcze albo podmioty państwowe.
Zorganizowani przestępcy mają na celu zebranie jak największej kwoty pieniędzy. Coraz częściej rozpowszechniają swoje złośliwe oprogramowanie jako zestawy oprogramowania ransomware, z których może korzystać każdy – nawet bez dużej wiedzy technicznej. Ten model ransomware as a service (RaaS) bardzo szybko rozpowszechnia ich oprogramowanie. Przestępcy ułatwiają płatności, odszyfrowanie i inne wymagania operacyjne, a także pobierają prowizję od zebranego okupu.
Podmioty państwowe stosujące ransomware to zwykle nieuczciwe kraje, które często podlegają surowym sankcjom społeczności międzynarodowej. Korzystają z ransomoware, aby zdobyć pieniądze od ofiar oraz zakłócić dobre funkcjonowanie ekonomii, społeczeństwa i rządu swoich rywali.
- Jak odszyfrować pliki?
Biorąc pod uwagę szeroki zakres rodzin oprogramowania ransomware i poszczególne odmiany w tych rodzinach, metoda odszyfrowywania danych po ataku może być różna.
W niektórych przypadkach w Internecie dostępne są pakiety oprogramowania do odszyfrowywania pewnych rodzajów ransomware. Utworzono je, ponieważ odmiana oprogramowania została już dokładnie przebadana od czasu jej pojawienia się, albo dlatego, że osoba badającą oprogramowanie znalazła błąd w szyfrowaniu używanym przez przestępców. Jeśli możesz określić rodzaj oprogramowania ransomware, które zaszyfrowało Twoje pliki, możesz sprawdzić, czy dostępny jest deszyfrator.
Jednak w wielu przypadkach popularne odmiany ransomware mają tak silne szyfrowanie, że odszyfrowanie plików nie jest możliwe, a w większości przypadków nie ma opcji odszyfrowywania nowoczesnych rodzajów oprogramowania ransomware.
Najlepszą opcją jest przywrócenie systemu z bezpiecznej kopii zapasowej, które umożliwi odzyskanie plików i najczęściej usunie także złośliwe oprogramowanie, więc nie będzie Ci grozić ponowna infekcja.
Stosowanie blokera oprogramowania ransomware opartego na analizie zachowania również zapobiegnie przyszłym infekcjom.