четвртак, 06. април 2017.

Napast zvana Ransomware


Svedoci smo u poslednje vreme sve veceg broja ransomware napada koje se šire kako u našem regionu tako i u svetu. Veoma često su pogođeni ne samo pojedinci već i računari kompanija. Ovaj blog post ima za cilj da malo detaljnije objasni kakva je zapravo ova pretnja i kako se razvijala kroz istoriju.

Istorijski osvrt
Ako pogledamo šta je to što je prethodilo ransowmare onda se moramo vratiti u 2005 godinu kada su se pojavile prvi put lažne poruke tzv. "FIX" gde je korisnik dobijao informaciju na ekranu u vidu sistemskog upozorenja gde se kaže da su određene aplikacije loše konfigurisane i da klikom na dugme "Repair Now" sve ćemo lako i jednostavno rešiti. Treba imati u vidu da klik na ovo dugme može izazvati instalaciju bilo kakvog zlonamernog softvera na računar. Sledeća stavka u istorijskom razvoju jesu lažni antivirus programi koji su se pojavili 2010 godine i koji su imali interfejs veoma sličan pravim antivirus programima. Ovde je osnovna ideja bila samo sto smo sada imali dugme "CLEAN" koje bi trebalo da navodno očisti zaražen računar. Ako uporedimo sa prethodnim ova pretnja je veoma slična. Sledeći u nizu bi bio zapravo prvi ransomware koji se pojavio 2012 godine tzv. "Locker ransomware". Ovde je ideja da se računar zaključa i da se traži otkup kako bi se računar otključao. Ono što ovde treba zapaziti jeste da u ovom momentu fajlovi na računaru nisu kriptovani već je samo desktop zaključan. Vađenjem hard diska i kačenjem na drugi računa ili butovanjem sistema sa nekog live CD/USB diska moguće je neometano pristupiti fajlovima. I na kraju negde krajem 2013 i početkom 2014 godine pojavljuje se prvi pravi ransomware kakav danas poznajemo a to je tzv. "Crypto ransomware" koji šifruje sve fajlove na hard disku zaraženog računara, postavlja ih u neku svoju ekstenziju i traži otkup u bitcoin valuti kako bi dobili pristup svojim podacima.

Kako je sve počelo - Zeus trojanac
Prvi put savremena vrsta ransomware koja kriptuje fajlove pod nazivom CryptoLocker pojavila se zajedno sa jednom ozbiljno pretnjom poznatom kao Zeus trojanac koji je gađao MS windows operativni sistem. Ovo je bio trojanac koji se pojavio krajem 2007 godine i koji se koristio primarno za krađu podataka među čijim žrtvama se nalaze i Bank of America, NASA, ABC, Oracle, Cisco, Amazon i još mnogo poznatih kompanija i vladinih institucija. Međutim pored ovoga detektovano je da je krajem 2013 godine, početkom septembra izkorišćen Zeus za skrivenu instalaciju i širenje CryptoLocker-a. To je detektovano tek polovinom 2014 godine kada je ustanovljeno da postoji napredna verzija botnet mreže pod nazivom Gameover Zeus koja je pored toga što je služila za krađu bankarskih podataka korišćenja i za širenje CryptoLocker-a.

Da li da platim ako se zarazim?
Na ovo pitanje odgovor je skoro uvek negativan iz dva razloga:

  1. samim plaćanjem finansira se od tih para dalji razvoj ovakvih grupa i alata
  2. niko ne daje garanciju da time što ćete platiti i što ćete pristupiti svojim fajlovima neko neće ponovo iskoristiti isti način da ponovo šifruje i traži otkup

Međutim ako su podaci koji su kriptovani toliko bitni da ugroze poslovanje određene firme ili rad nekog pojedinca jedino bi u tom slučaju trebalo razmisliti da li platiti otkup podataka.
Naravno pre toga je potrebno proveriti dve stvari:

  1. da li imamo neki bekap svojih podataka na nekom offline medijumu i koliko je taj bekap star odnosno od kada su nam ti podaci. Pokazalo se da za sada ovo je jedini lek, čak i online bekap sistemi mogu biti šifrovani u određenim slučajevima.
  2. da li postoji besplatan dekriptor za taj tip ransomwera kojim je zaražen računar. 


No More Ransom (NMR) inicijativa
Ova inicijativa je pokrenuta pre nekih godinu dana od strane Europola, Nemačke policije, Intel Security i Kaspersky Laba a sa ciljem da se omogući žrtvama ransomware da besplatno dekriptuju svoje fajlove. Na NMR sajtu moguće je naći veći broj besplatnih dekriptor alata. Po nekoj statistici od decembra prošle godine preko 10.000 žrtava je uspelo da besplatno povrati svoje fajlove. Trenutno platforma je na 14 jezika i na njoj se nalazi tačno 40 besplatnih dekriptor alata. Trenutno postoji trend da se veliki broj organizacija priključuje ovoj inicijativi i da je ovo baš lep primer saradnje različitih zemalja oko zajedničkog cilja, borbe protiv ransomware. Neki koji su se priključili od decembra prošle godine su: Avast, CERT Poljska, Eleven Paths kao i organizacije za sprovođene zakona iz Interpola, Australije, Belgije, Izraela, Južne Koreje, Rusije i Ukrajine.

0 коментара:

Постави коментар