Ransomware – или вирусите, блокиращи достъпа до информация до плащането на откуп за не – са навсякъде. Поне така изглежда включително и от новините в нашия блог. Е, наистина има няколко доста добри причини, поради които този тип атаки и кибер-престъпниците, които ги създават – да са на челните страници на новините. Ето и част от тях. Като за начало – целите на атаките. Болници и цялата територия на САЩ, които не са успели да защитят информацията си. Здравето и – буквално – живота на невинни потребители са принудили не едно и две здравни заведения да платят хиляди долари на кибер-престъпнците. Добавянето на брояч за плащането на откупа – както и още няколко подобни нагли тактики с цел получаване на плащането по-скоро – също е сред причините за медийното внимание върху този тип вируси.
Сред другите причини за широкото медийно покритие на този тия атаки е огромния обем подобни вируси. Само преди месец предупредихме за криптовирус, който плъзна из мейлите на хиляди български потребители. И продължава да се разпространява, макар и вече с не толкова бързи темпове.Прикритието му – разбира се – е повече от добро. Представящ се за обикновен Word (или друг Office) файл, този вирус се опитва да примами потребителите в свалянето и инсталирането на едни от най-популярните фамилии криптовируси - TeslaCrypt или Locky. Изглежда тази тактика е повече от успешна за кибер-престъпниците, тъй като атаката бе осъществена на няколко вълни. И към нея бяха добавени още и още семейства криптовируси – например, CTBLocker or Filecoder.DG.Има обаче и едно „но“. Не всички вируси, искащи откупи са толкова опасни, колкото вече споменатите по-горе. Не малка част от кибер-престъпниците виждат успеха на тази вълна вируси и се опитват да разработят свои собствени вариации с цел да яхнат „вълната на успеха“. Което най-често завършва с не толкова „успешни“ варианти на криптовируси. Иначе казано – вируси, чието криптиране е лесно за преодоляване. За щастие на потребителите, такъв е случаят с два от новопоявилите се подобни атаки – Petya и Jigsaw. И двата идват с грешки още със създаването си, които позволяват на засегнатите потребителите да си върнат контрола върху криптираните файлове, без да платят и стотинка за това.
Да стартираш като заложник
Petya (да, точно така – Петя) става причина за появата на добре познатия „син екран на смъртта“ (blue screen of death) – след осъществяването на заразата на Windows машина. Появата на този екран означава само едно – рестартиране на компютъра. А, ако това стане, вместо да види операционната си система, потребителят ще види искане за откуп в размер на 0.99 биткоийна (или около 431 американски долара). За да постигне този ефект, вирусът модифицира т.нар. master boot record (MBR), за да може да компютърът да стартира кода на вируса, а не операционната си система. След това Petya критпира master file table (MFT), която описва всички файлове на харддиска – и на практика казва на системата кои файлове къде са – и как е структурирана всяка директория.
Пробойните на Petya
Анализът ни обаче показва, че Petya (въпреки твърдението в екрана за искане на откуп) не криптира самите файлове на заразения компютър – а само MFT. Тази пробойна позволява на потребителите да възстановят информацията си с различни инструменти за това (въпреки че и те не са съвсем безплатни). Как се разпространява вирусът? За разпространението на Petya кибер-престъпниците използват мейли, маскирани като CV-та на потенциални нови служители на различни компании. В мейла, в който се твърди че има подобно CV обаче липсват прикачени файлове – само линк, който води към легитмно изглеждащ файл, съхраняван в Dropbox. Ако жертвата кликне и свали файла Bewerbungsmappe-gepackt.exe получава не CV, а само-разархивиращ се файл, който стартира Petya. Другото вече го знаеш. Решенията за защита от вируси на ESET за дома и бизнеса засичат два варианта на заплахата: Win32/Diskcoder.Petya.A и Win32/Diskcoder.Petya.B. А междувременно, в интернет се появи безплатен инструмент за декриптиране.
Вирус, който иска да си поиграете
Друго семейство вируси, искащи откуп, които попадна в сферата на интерес е Jigsaw. С ясна референция към добре познатия филм на ужасите Убийствен пъзел (Saw), този вирус иска да… си поиграете. Правилата, разбира се, са неприятни за засегнатия потребител. Ако откаже да плати до час, вирусът, искащ откуп, изтрива един файл на системата. Ако не се плати до два часа, изтритите файлове стават два. С всеки изминат час броят на „жертвите“ расте експоненциално. Jigsaw предупреждава жертвата си, че всеки опит за рестарт на компютъра ще бъде наказан с изтриването на 1000 файла. Анализът на кода обаче показва, че Jigsaw също не е неуязвим. Защото използва един и същи статичен ключ за криптиране на всички заразени машини. И за него – логично – се появи инструмент за декриптиране.Копие на Locky Друг не особено добре написан ransomware е Win32/Filecoder.Autolocky.A или накратко Autolocky Той показва – хм – копиране на името на друго известно семейство. Или иначе казано – възползване от вече натрупана слава на този тип вируси. Имитацията на наистина опасния Locky използва същото разширение на криптираните файлове -.locky. Заради недобре написания код обаче, ключът за декриптиране се изпраща само през Internet Explorer и може да бъде проследен лесно в историята на бразуъра директно на заразената машина. Жертвите на Autolocky могат да разчитат и на инструмент за декриптиранe, за да си върнат файловете.Както показват всички тези примери – потребителите не трябва да се поддават на заплахите и да се опитват всячески да избегнат плащането на откуп за файловете си. Вече има налични инструменти за декриптирането на няколко различни вида ransomware, които макар и не напълно безплатни, са доста евтин и добра алтернатива на плащането на кибер-престъпниците. И въпреки наличието на подобни недобре написани копия на известни семейства ransomware, не забравяй едно– има кибер-престъпници, коиот наистина знаят какво правят. И вируси, искащи откуп, от които наистина спасение няма. Затова, най-ефективната стратегия в защитата ти е превенцията – иначе казано – вниманието. Следвана от използването на доказано ефективно решение за антивирусна защита.