Kas ir Ransomware?

Viens no jaunākajiem ļaunprātīgas programmatūras veidiem ir pazīstams kā izpirkuma programmatūra. Ransomware ir īpaši nepatīkams ļaunprātīgas programmatūras veids, jo tas tiek cauri un šifrē katru failu jūsu datorā, pēc tam parāda izpirkuma maksu. Lai atbloķētu ierīci, jums ir jāsamaksā izpirkuma maksa, lai pēc tam saņemtu atbloķēšanas kodu. Vēsturiski lielākā daļa izpirkuma programmatūras kampaņu faktiski atšifrē failus, tiklīdz ir samaksāta izpirkuma maksa, jo publicitāte par hakeriem, kas atbalsta viņu darījuma beigas, ir svarīga daļa, lai pārliecinātu cilvēkus maksāt.

Piezīme: parasti ir ieteicams nemaksāt izpirkuma maksu. Šāda rīcība joprojām pierāda, ka izspiedējvīrusa programmatūra var būt rentabla, kā arī negarantē, ka jūs atkal iegūsit piekļuvi saviem datiem.  

Padoms. Šifrēšana ir datu kodēšanas process, izmantojot šifrēšanas šifru un atslēgu. Šifrētos datus var atšifrēt, tikai izmantojot atšifrēšanas atslēgu.

Kā tas darbojas?

Tāpat kā jebkurai ļaunprātīgai programmatūrai, izspiedējprogrammatūrai ir jāiekļūst jūsu datorā, lai tā darbotos. Ir daudzas iespējamās inficēšanās metodes, taču dažas no visizplatītākajām metodēm ir inficētas lejupielādes tīmekļa lapās, ļaunprātīga reklamēšana un ļaunprātīgi e-pasta pielikumi.

Padoms. Ļaunprātīga reklamēšana ir ļaunprātīgas programmatūras piegāde, izmantojot reklāmas tīklus.

Kad izspiedējprogrammatūra ir lejupielādēta jūsu datorā, tā sāks šifrēt failus fonā. Daži varianti to darīs pēc iespējas ātrāk, iespējams, pamanīsit, ka tas ietekmēs jūsu sistēmas veiktspēju, taču tad jums būs maz laika, lai kaut ko darītu. Daži izspiedējprogrammatūras varianti datus šifrēs lēnām, lai samazinātu iespēju, ka tā tiks pamanīta darbībā. Daži izpirkuma programmatūras varianti neaktivizējas nedēļas vai mēnešus, lai tos iekļautu jebkuros dublējumkopijās, ko varētu izmantot sistēmas atjaunošanai.

Padoms: Ransomware parasti izvairās no kritisko sistēmas failu šifrēšanas. Sistēmai Windows joprojām vajadzētu darboties, taču visi personiskie faili utt. tiks šifrēti.

Kad izpirkuma programmatūra ir šifrējusi visu datorā, tās pēdējais uzdevums ir izveidot izpirkuma maksu, parasti darbvirsmā. Izpirkuma zīmītē parasti ir izskaidrots notikušais, sniegti norādījumi par to, kā samaksāt izpirkuma maksu un kas notiks, ja to nedarīsit. Parasti tiek noteikts arī laika ierobežojums, draudot cenu paaugstināšanai vai atslēgas dzēšanai, kas tiek izmantota, lai mudinātu cilvēkus maksāt.

Vairāki izpirkuma programmatūras varianti nodrošina funkciju, kas ļauj atšifrēt nelielu skaitu failu kā “labas gribas” žestu, lai pierādītu, ka failus var atšifrēt. Maksājuma veids parasti ir bitcoin vai dažādas citas kriptovalūtas. Izpirkuma piezīme parasti sniedz virkni saišu uz vietnēm, kurās varat iegādāties attiecīgās kriptovalūtas, cenšoties atvieglot cilvēkiem to apmaksu.

Kad esat nodrošinājis maksājumu vai dažreiz maksājuma apliecinājumu, jums parasti tiek nodrošināta atšifrēšanas atslēga, ko varat izmantot savu datu atšifrēšanai. Diemžēl ir daži varianti, kas nekad neatšifrē, pat ja maksā –  proti, NAV jāmaksā, bet jāmeklē citi risinājumi.

Šifrēšanas process jūsu datorā parasti tiek veikts ar nejauši ģenerētu simetrisku šifrēšanas atslēgu. Pēc tam šī šifrēšanas atslēga tiek šifrēta ar asimetrisku šifrēšanas atslēgu, kurai ransomware radītājam ir atbilstošā atšifrēšanas atslēga. Tas nozīmē, ka tikai izspiedējvīrusa veidotājs var atšifrēt paroli, kas nepieciešama datora atšifrēšanai.

Padoms. Ir divu veidu šifrēšanas algoritmi, simetriskais gals asimetrisks. Simetriskā šifrēšana izmanto vienu un to pašu šifrēšanas atslēgu, lai gan šifrētu, gan atšifrētu datus, savukārt asimetriskajai šifrēšanai datu šifrēšanai un atšifrēšanai tiek izmantota cita atslēga. Asimetriskā šifrēšana ļauj vienai personai piešķirt vairākiem cilvēkiem vienu un to pašu šifrēšanas atslēgu, vienlaikus saglabājot vienīgo atšifrēšanas atslēgu.

Dažos ransomware variantos ir iekļautas arī atbalsta funkcijas, kas ļauj sazināties ar personu, kas veic krāpniecību. Tas ir izstrādāts, lai palīdzētu jums veikt maksājuma procesu, taču daži cilvēki to ir veiksmīgi izmantojuši, lai mēģinātu pazemināt cenu.

Padoms. Dažos gadījumos izspiedējprogrammatūra tiks izvietota kā sekundāra infekcija, lai mēģinātu slēpt cita vīrusa esamību, kas, iespējams, ir slēpti nozagt citus datus. Šajā gadījumā galvenais nolūks ir šifrēt žurnālfailus un apgrūtināt reaģēšanu uz incidentu un kriminālistikas procesu. Šāda veida uzbrukumi parasti tiek izmantoti tikai ļoti mērķtiecīgiem uzbrukumiem uzņēmumiem, nevis vispārējiem datoru lietotājiem.

Kā sevi pasargāt

Esiet piesardzīgs internetā, lai samazinātu iespēju tikt inficētam ar izspiedējvīrusu un citu ļaunprātīgu programmatūru. Nedrīkst atvērt e-pasta pielikumus, ko negaidījāt, pat ja uzticaties sūtītājam. Nekad nevajadzētu iespējot makro biroja dokumentos, it īpaši, ja dokuments ir lejupielādēts no interneta. Biroja dokumentu makro ir izplatīta inficēšanās metode.

Reklāmu bloķētājs, piemēram, uBlock Origin, var būt labs līdzeklis aizsardzībai pret ļaunprātīgu izmantošanu. Jums arī jānodrošina, ka lejupielādējat failus tikai no likumīgām un uzticamām vietnēm, jo ​​ļaunprātīgās programmatūras bieži var būt paslēptas inficētās lejupielādes, kas tiek maskētas kā maksas programmatūras bezmaksas versijas.

Pretvīrusu vai pretļaunatūras programmatūras izmantošana un izmantošana parasti ir laba aizsardzība pret ļaunprātīgu programmatūru, kas spēj pārvarēt jūsu pirmo aizsardzības līniju.

Palīdziet, esmu inficēts!

Ja atrodaties situācijā, kad jūsu datoru ir pārņēmusi izspiedējprogrammatūra, iespējams, varēsit bez maksas atbloķēt izspiedējvīrusu. Liela daļa izspiedējvīrusu shēmu bija slikti izstrādātas un/vai tiesībaizsardzības iestādes tās jau ir likvidējušas.

Šādos gadījumos ir iespējams, ka galvenā atšifrēšanas atslēga ir identificēta un ir pieejama. Eiropola EC3 (Eiropas Kibernoziegumu centram) ir rīks ar nosaukumu “ Cripto Sheriff ”, ko var izmantot, lai identificētu jūsu rīcībā esošās izspiedējvīrusa veidu, un pēc tam saistīt jūs ar pareizo atšifrēšanas rīku, ja tāds ir.

Viens no labākajiem aizsardzības līdzekļiem pret izspiedējprogrammatūru ir labas dublējumkopijas. Šīs dublējumkopijas jāglabā cietajā diskā, kas nav savienots ar datoru, vai tajā pašā tīklā, kur dators, lai arī tie netiktu inficēti. Dublējums ir jāpievieno ietekmētajam datoram tikai tad, kad izspiedējprogrammatūra ir noņemta, pretējā gadījumā arī tā tiks šifrēta.