Ransomware

Ransomware yra išpirkos reikalaujančio kenkėjiško programinio kodo šeimai priskiriami virusai. Šie virusai nuo kitų skiriasi savo agresyvumu - užvaldytoje sistemoje jie nesistengia užmaskuoti savo veiklos pėdsakų, svarbiausias jų tikslas yra užšifruoti sistemos savininkui svarbias bylas ar net visą failų sistemą, tikintis, kad savininkas bus pasiryžęs sumokėti išpirką jų atgavimui. Ransomware virusai plinta ir kompiuterines sistemas infekuoja dviem pagrindiniais būdais: platinami kartu su SPAM elektroniniais laiškais - atidarius prisegtus kenkėjiškus failus; per užkrėstas interneto svetaines (Exploit Kits) - parsiunčiami ir įrašomi išnaudojant programinės įrangos spragas. Šiuo metu ransomware šeimos kenkėjiškas programinis kodas pirmauja pasaulyje pagal paplitimą.

Pagal veikimo principą ransomware virusai skirstomi į šias pagrindines kategorijas:

  • šifruojantys (Encrypting ransomware) - užšifruoja failus, katalogus arba visą failų sistemą stipriais šifravimo algoritmais ir sukuria instrukcijas savininkui, kuriose nurodoma kaip ir kokią sumą sumokėti, norint atgauti duomenis;
  • nešifruojantys (Non-encrypting ransomware) - dar kitaip vadinami Lock Screen Ransomware arba Scareware - kompiuterio darbalaukyje išmeta langą, blokuojantį kitus langus su gąsdinančiojo pobūdžio pranešimu, iš neva teisėsaugos institucijų, dėl atseit padarytų nelegalių veiksmų su kompiuteriu. Tokie virusai kompiuteryje saugomiems failams žalos nepadaro ir yra lengvai pašalinami antivirusinėmis programomis;
  • šantažuojantys (Doxware arba Leakware) - iš užkrėsto įrenginio nutekina galimai jautrią informaciją ir grasina savininkui ją paviešinti, jei nebus sumokėta išpirka. Tam tikrais atvejais, dėl nutekintos informacijos jautrumo šie virusai gali pridaryti daugiau žalos juos paviešinant nei ištrinant, todėl manoma, kad ateityje ši ransomware rūšis populiarės labiausiai;
  • mobiliųjų įrenginių (Mobile ransomware) - mobiliesiems įrenginiams skirti ransomware virusai. Šie virusai dėl savo veikimo terpės (mobiliuosiuose įrenginiuose dažniausiai nebūna saugomi itin svarbūs duomenys ar failai) tipiškai yra blokuojantieji, kaip ir kompiuteriuose, atidarantys langą, blokuojantį įrenginio valdymą. Mobiliųjų įrenginių ransomware dažniausiai nutaikyti prieš Android operacinės sistemos vartotojus dėl jos populiarumo ir galimybės Android įrenginiuose vartotojui įsidiegti trečiųjų šalių programinę įrangą;
Ransomware prevencija

Geriausias būdas apsisaugoti nuo failų praradimo yra atsarginės duomenų kopijos (Backup) - itin svarbius duomenis, kurių praradimas sukeltų didelius nuostolius, privaloma saugiai laikyti bent dvejose atskirose laikmenose, pavyzdžiui išoriniame kietajame diske ar debesinėje duomenų saugykloje. Kitos prevencijos priemonės - antivirusinės programos, nuolat naujinama programinė įranga nevisada užkerta kelią virusų patekimui į įrenginius (jeigu virusas naujas, dauguma antivirusinių programų jo neatpažins), todėl atsarginės duomenų kopijos turėjimas minimalizuoja užsikrėtimo padarinius. Taip pat skaitant gautus elektroninius laiškus ar naršant internete būtina vadovautis nepasitikėjimo politika - neatidarinėti iš neaiškių šaltinių gautų prisegtukų ar interneto nuorodų, nenaršyti nežinomuose tinklalapiuose.

Ką daryti užsikrėtus?

Pirmas žingsnis - pačio viruso pašalinimas. Šiuolaikiniai ransomware virusai be failų užšifravimo pakeičia ir pačio įrenginio sisteminius failus, registrų įrašus, tam, kad galėtų užšifruoti naujai sukurtus failus bei paleisti kenkėjiškus procesus po įrenginio perkrovimo. Pašalinus virusą reikia jį identifikuoti - tai galima padaryti pagal užšifruotų failų plėtinį (Extension) ar sukurtose instrukcijose failų atstatymui esančius indikatorius, tokius kaip kontaktinis el. pašto adresas, URL nuorodos ar tam tikri sakiniai. Juos įvedus į Google paieškos laukelį dažniausiai pavyksta nustatyti ransomware pavadinimą. Taip pat tai galima padaryti naudojantis šia forma.

Nustačius koks virusas užšifravo failus, galima rasti daugiau informacijos apie patį virusą, jo naudojamų šifravimo raktų stiprumą ir svarbiausia, ar įmanoma šiuo metu atgauti jo užšifruotus failus. Visiems ransomware virusams, kurių užšifruoti failai šiuo metu gali būti sėkmingai atšifruoti, yra sukurti atšifravimo įrankiai, kurių pilnas sąrašas skelbiamas čia. Šie įrankiai yra nuolat papildomi naujais raktais, todėl jei vis dėlto nepavyks atgauti užšifruotų duomenų, tai gali pavykti ateityje.

CERT-LT primena, kad bet kokiu atveju nereikėtų mokėti išpirkos prarastų duomenų atgavimui, nes tai dar labiau paskatina nusikaltėlius plėtoti šį "verslą" ir negarantuoja, kad sumokėjus duomenys bus atstatyti.

Plačiau apie ransomvare virusus projekte "No More Ransom!".

Visos rekomendacijos