Ransomware

rodzaj szkodliwego oprogramowania, które blokuje system komputerowy lub szyfruje zapisane w nim dane, a następnie żąda od ofiary okupu za przywrócenie dostępu

Ransomware (zbitka słów ang. ransom „okup” i software „oprogramowanie”[1][2]) – oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Programy typu ransomware należą do tzw. złośliwego oprogramowania (malware).

Zdjęcie ekranu komputera po przykładowym ataku ransomware

Najprostsze typy programów typu ransomware jedynie zakładają na system blokadę[3], stosunkowo łatwą do zlikwidowania dla doświadczonych użytkowników komputera[4]. Bardziej zaawansowane formy oprogramowania typu ransomware stosują natomiast technikę zwaną kryptowirusowym wymuszeniem[3] – szyfrują pliki ofiary, uniemożliwiając tym samym ich normalny odczyt, i żądają okupu w zamian za deszyfrację danych[4]. W prawidłowo przeprowadzonym ataku wymuszeniowym przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe.

W języku polskim na określenie programów typu ransomware funkcjonują terminy: „oprogramowanie wymuszające okup”[5][6], „oprogramowanie szantażujące”[5][7][8].

Działanie

edytuj

Przebieg ataku

edytuj

Oprogramowanie wymuszające okup przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Uruchomiony zostaje szkodliwy kod, który przeważnie ma formę aplikacji typu scareware(inne języki). Jedną z operacji wykonywanych przez ransomware może być wyświetlanie fałszywego ostrzeżenia, rzekomo wysłanego przez np. organy ścigania. Według tego typu ostrzeżeń system był używany w nielegalnych celach bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows[9][10][11].

Niektóre programy tego typu zawierają prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Dzieje się to zazwyczaj poprzez podmianę ścieżki powłoki systemu Windows[12], a w skrajnych przypadkach przez modyfikację głównego rekordu rozruchowego lub tablicy partycji w celu uniemożliwienia prawidłowego rozruchu systemu operacyjnego[13]. Najgroźniejsze wersje takiego oprogramowania szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu – tak, aby tylko autor oprogramowania był w stanie je odszyfrować swoim kluczem; cyberprzestępcy rzadko korzystają ze słabych szyfrów.

Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci szyfru – stwierdził Oliver Friedrichs, dyrektor do spraw bezpieczeństwa w korporacji Symantec[14].

Motywy cyberprzestępców a odzysk danych

edytuj

Złamanie większości stosowanych algorytmów szyfrujących jest praktycznie niemożliwe bez dostępu do systemów komputerowych o bardzo wysokiej mocy obliczeniowej[15][16][17]. Jeśli trojan korzysta z szyfru symetrycznego, można poddać program inżynierii odwrotnej w celu wydobycia algorytmu oraz klucza wykorzystywanego przez szkodliwe oprogramowanie i przygotować program deszyfrujący dane.

Celem cyberprzestępców posługujących się oprogramowaniem wymuszającym okup przeważnie jest próba wyłudzenia płatności, w zamian za którą obiecują ofierze usunięcie infekcji (co niekoniecznie musi nastąpić). Taka „pomoc” polega albo na dostarczeniu programu do odszyfrowania plików, albo na wysłaniu kodu odblokowującego, który cofa dokonane zmiany. Z punktu widzenia atakującego, kluczową zaletą ataku za pomocą oprogramowania typu ransomware jest wygodny i trudny do namierzenia system płatności. W celu uzyskania okupu wykorzystywano najróżniejsze metody płatności, m.in. przelewy, wiadomości SMS o podwyższonej opłacie[18], usługi pre-paidowe jak np. Paysafecard[19][20][21], a także cyfrową walutę Bitcoin[22][23][24]. Wykonany w 2016 roku raport na zlecenie Citrix wykazał, że duże firmy gromadzą Bitcoiny w ramach planu awaryjnego[25].

Historia

edytuj

Programy typu ransomware wykorzystujące kryptografię

edytuj

Pierwszym znanym programem typu ransomware był „AIDS” (znany również jako „PC Cyborg”), napisany w 1989 przez Josepha Poppa. Jego kod był odpowiedzialny za ukrywanie plików na dysku i szyfrowanie ich nazw, a także za wyświetlanie informacji, że licencja użytkownika na korzystanie z konkretnych plików wygasła. Ofiara była proszona o dokonanie wpłaty w wysokości 189$ na konto „PC Cyborg Corporation” w celu uzyskania programu do usunięcia infekcji. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał, iż cały zysk z działania wirusa przeznaczy na badania nad lekarstwem na AIDS[26].

Pomysł na używanie kryptografii klucza publicznego do takich ataków został wprowadzony w 1996 roku przez Adama L. Younga i Mordechaia Yunga; pokazali oni, że trojan AIDS był nieskuteczny ze względu na korzystanie z Algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego, i wdrożyli eksperymentalny wirus szyfrujący na Macintoshu SE/30, który używał algorytmów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten kryptowirus/wirus-szyfrator (z ang. cryptovirus), stworzony w 1995 i opisany w dokumencie IEEE S & P w roku 1996 sprawiał, że ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący.

Young wraz z Yungiem ponadto zasugerowali, że pieniądze elektroniczne mogą również zostać wymuszone za pomocą szyfrowania, przez co „twórca wirusa może z powodzeniem zatrzymać całą sumę, dopóki połowa tej kwoty nie zostanie mu zapłacona”[15]. Nazywali te działania „kryptowirusowym wymuszeniem” – było ono jawnym atakiem należącym do większej grupy ataków z dziedziny tzw. kryptowirologii. Zawierała ona zarówno ataki jawne, jak i niejawne[15].

Przykłady ransomware „żądających” wygórowanych kwot stały się widoczne w maju 2005[27]. Do połowy 2006 roku trojany takie jak Gpcode, TROJ.RANSOM.A, Archiveus(inne języki), Krotten, Cryzip, oraz majArchive zaczęły wykorzystywać bardziej wyrafinowane algorytmy szyfrujące RSA, z kluczami o coraz większej długości. Gpcode.AG, wykryty w czerwcu 2006, był zaszyfrowany kluczem publicznym RSA o długości 660 bitów[28]. W czerwcu 2008, wykryto wariant znany jako Gpcode.AK. Korzystając z 1024-bitowego klucza RSA, sądzono iż był on wystarczająco duży, żeby w celu jego złamania konieczne było wykonanie odpowiednich obliczeń rozproszonych[29][30][31][32].

Oprogramowanie szyfrujące zaatakowało ponownie pod koniec 2013 roku wraz z rozprzestrzenianiem się CryptoLockera, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013 portal ZDNet.com przeanalizował informacje o transakcjach przeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, że twórcy CryptoLockera otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników[33]. Technika CryptoLockera była w kolejnych miesiącach rozprowadzana na szeroką skalę, w wyniku czego powstały następujące wirusy:

  • CryptoLocker 2.0 (nie był jednak powiązany z CryptoLockerem)
  • CryptoDefense (początkowo zawierał on poważną „lukę konstrukcyjną”, w wyniku której na komputerze ofiary był umieszczany klucz prywatny w dostępnej dla użytkownika lokalizacji; spowodowane to było wbudowanymi interfejsami deszyfrującymi systemu Windows)[23][34][35][36],
  • wykryty w sierpniu 2014 trojan, przeznaczony głównie do ataków na urządzenia NAS, wyprodukowanych przez firmę Synology[37].

W styczniu 2015 ogłoszono, że infekcje oprogramowaniem wymuszającego okup występowały na poszczególnych stronach za pośrednictwem hakowania, oraz poprzez ransomware przeznaczonego[styl do poprawy] na serwery linuksowe[38][39][40].

Niektóre „szczepy” oprogramowania wymuszającego okup wykorzystywały serwery pośredniczące, powiązane z usługami ukrytymi sieci Tor do łączenia się z ich serwerami kontrolnymi, utrudniając śledzenie dokładnej lokalizacji przestępców[41][42]. Ponadto sprzedawcy z ciemnych stron sieci web zaczęli w coraz większym stopniu oferować tę technologię w ramach modelu oprogramowania jako usługi[42][43][44].

Przykładowe programy

edytuj

Reveton

edytuj

Sposób działania

edytuj

Trojan Reveton zaczął się rozprzestrzeniać w Europie w 2012 roku[19]. Utworzony został na bazie trojana Citadel (który z kolei oparto na bazie trojana Zeus). Rzekomym nadawcą wyświetlanej przez niego wiadomości były organy ścigania, a jej treść oznajmiała o używaniu komputera w nielegalnych celach (np. do ściągania nielegalnego oprogramowania bądź pornografii dziecięcej). Ze względu na takie zachowanie był określany mianem „policyjnego trojana”[45][46][47].

Treść ostrzeżenia głosiła, iż w celu odblokowania systemu użytkownik musi zapłacić grzywnę za pośrednictwem usługi takiej jak Ukash lub Paysafecard. Aby wzbudzić w użytkowniku świadomość tego, iż komputer jest namierzony przez służby, trojan wyświetlał na ekranie adres IP komputera, a niektóre wersje prezentowały obraz z kamery internetowej ofiary, aby sprawić wrażenie nagrywania użytkownika[19][48].

Poszczególne warianty

edytuj

Warianty zostały zlokalizowane przy użyciu wzorów oficjalnych logo różnych organów ścigania na podstawie kraju ofiary; przykładowo, wersja trojana, która atakowała w Wielkiej Brytanii, zawierała logo m.in. Metropolitan Police Service oraz wydziału PCeU. Inna wersja prezentowała logo royalty collection society PRS for Music(inne języki) (która przeważnie zarzucała użytkownikowi nielegalne ściąganie muzyki)[49]. W oświadczeniu, mającym na celu ostrzec obywateli przed trojanem Policja wyjaśniła, iż w ramach śledztwa funkcjonariusze nie mają prawa zablokować systemu na komputerze podejrzanego[10][19].

W maju 2012 analitycy zagrożeń z Trend Micro odkryli szablony wariantów trojana skierowanego na Kanadę i USA, które sugerowały, iż jego autorzy mogli obrać na cel mieszkańców Ameryki Północnej[50]. Przed sierpniem 2012 nowa wersja trojana Reveton zaczęła się rozprzestrzeniać w USA, nakłaniając użytkowników do uiszczenia grzywny w wysokości 200 dolarów na konto FBI za pomocą karty MoneyPak[48][51][52]. W lutym 2013 obywatel Rosji został aresztowany w Dubaju przez władze Hiszpanii za udział w grupie przestępczej, która używała Revetona; dziesięć innych osób zostało aresztowanych pod zarzutem prania brudnych pieniędzy[53]. W sierpniu 2014 firma antywirusowa Avast ogłosiła wykrycie nowych wersji Revetona, w których payload zawierał program do kradzieży hasła[54].

CryptoLocker

edytuj

Kryptowirusy zaatakowały ponownie we wrześniu 2013 – wówczas odkryto trojana CryptoLocker, który generował 2048-bitową parę kluczy RSA, wysyłał je na serwer i używał ich w celu szyfrowania plików za pomocą białej listy konkretnych rozszerzeń plików. Ten program typu ransomware groził usunięciem klucza prywatnego, jeżeli płatność w postaci bitcoinów lub kuponu nie zostanie dokonana w ciągu 3 dni od zainfekowania komputera. Ponieważ trojan używał bardzo długiego klucza, badacze oraz same ofiary uznali go za bardzo trudny do pokonania[22][55][56][57]. Nawet po upłynięciu terminu „ultimatum” uzyskanie klucza prywatnego w dalszym ciągu było możliwe za pomocą narzędzia dostępnego online, lecz wówczas cena wzrastała do 10 BTC — co w listopadzie 2013 roku dawało równowartość ok. 2300 dolarów amerykańskich[58][59].

CryptoLocker został wyizolowany w wyniku działania botneta „Gameover ZeuS” w ramach Operacji Tovar, co zostało oficjalnie ogłoszone przez Departament Sprawiedliwości Stanów Zjednoczonych 2 czerwca 2014. Departament ponadto publicznie oskarżył rosyjskiego hakera Jewgienija Bogaczewa o udział w tworzeniu botneta[60][61]. Oszacowano, że do momentu unieszkodliwienia trojana przestępcy wymusili za jego pomocą co najmniej 3 mln dolarów[62].

Zobacz też

edytuj

Przypisy

edytuj
  1. Co to jest ransomware i jak się zabezpieczyć przed złośliwym oprogramowaniem? [online], Poradnik Orange, 25 lutego 2019 [zarchiwizowane z adresu 2020-04-09].
  2. Pavel Čepský, Dostal jsem tě! Kolik dáš za svůj systém a data? [online], Lupa.cz, 14 września 2010 [zarchiwizowane z adresu 2020-04-09] (cz.).
  3. a b Nezmar Luděk, GDPR: Praktický průvodce implementací, Grada Publishing a.s., 3 listopada 2017, s. 228, ISBN 978-80-271-0920-3 [dostęp 2020-04-09] (cz.).
  4. a b Jack Schofield, How can I remove a ransomware infection?, „The Guardian”, 28 lipca 2016, ISSN 0261-3077 [dostęp 2020-04-09] (ang.).
  5. a b oprogramowanie szantażujące – Tłumaczenie po angielsku. [w:] Słownik polsko-angielski Diki [on-line]. [dostęp 2017-07-24].
  6. Terminology Search. Microsoft Language Portal. [dostęp 2021-07-27]. [zarchiwizowane z tego adresu (2020-10-19)]. (ang.).
  7. oprogramowanie szantażujące - tłumaczenie na angielski. [w:] słownik polsko-angielski bab.la [on-line]. [dostęp 2017-09-01].
  8. Trend Micro: Bezpieczeństwo informatyczne w drugim kwartale 2012 roku. [dostęp 2017-07-13].
  9. Ransomware squeezes users with bogus Windows activation demand [online], Computerworld [dostęp 2012-03-09] (ang.).
  10. a b Police warn of extortion messages sent in their name [online], Helsingin Sanomat [dostęp 2012-03-09] [zarchiwizowane z adresu 2014-07-03].
  11. Robert McMillian, Alleged Ransomware Gang Investigated by Moscow Police [online], PC World [dostęp 2012-03-10] (ang.).
  12. Ransomware: Fake Federal German Police (BKA) notice [online], SecureList (Kaspersky Lab) [dostęp 2020-07-29] (ang.).
  13. And Now, an MBR Ransomware [online], SecureList (Kaspersky Lab) [dostęp 2020-07-29] (ang.).
  14. D. Maikowski, Zaszyfrują ci komputer, zażądają 300 dol. i co zrobisz? Ransomware - nowa plaga. Jak się chronić? [online], 16 marca 2016 (ang.).
  15. a b c Adam Young, Moti Yung, Cryptovirology: extortion-based security threats and countermeasures, [w:] IEEE Symposium on Security and Privacy, 1996, s. 129–140, DOI10.1109/SECPRI.1996.502676, ISBN 0-8186-7417-2 (ang.).
  16. Adam Young, Building a Cryptovirus Using Microsoft's Cryptographic API, Jianying Zhou, Javier Lopez (red.), „Information Security: 8th International Conference, ISC 2005”, Springer-Verlag, 2005, s. 389–401 (ang.).
  17. Adam Young, Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?, „International Journal of Information Security”, 5 (2), Springer-Verlag, 2006, s. 67–76, DOI10.1007/s10207-006-0082-7 (ang.).
  18. Dancho Danchev, New ransomware locks PCs, demands premium SMS for removal [online], ZDNet, 22 kwietnia 2009 [dostęp 2009-05-02] [zarchiwizowane z adresu 2009-04-26] (ang.).
  19. a b c d John E. Dunn, Ransom Trojans spreading beyond Russian heartland [online], TechWorld [dostęp 2012-03-10] [zarchiwizowane z adresu 2014-07-02] (ang.).
  20. Ransomware plays pirated Windows card, demands $143 [online], Computerworld [dostęp 2012-03-09].
  21. Jacqui Cheng, New Trojans: give us $300, or the data gets it! [online], Ars Technica, 18 lipca 2007 [dostęp 2009-04-16] (ang.).
  22. a b You’re infected—if you want to see your data again, pay us $300 in Bitcoins, [w:] Ars Technica [online] [dostęp 2013-10-23] (ang.).
  23. a b CryptoDefense ransomware leaves decryption key accessible, [w:] Computerworld [online], IDG [dostęp 2014-04-07] (ang.).
  24. What to do if Ransomware Attacks on your Windows Computer? [online], Techie Motto [dostęp 2016-04-25] [zarchiwizowane z adresu 2016-05-23] (ang.).
  25. Luke Parker, Large UK businesses are holding bitcoin to pay ransoms [online], 9 czerwca 2016 [dostęp 2016-06-09] (ang.).
  26. Michael Kassner, Ransomware: Extortion via the Internet [online], TechRepublic [dostęp 2012-03-10] (ang.).
  27. Susan Schaibly, Files for ransom [online], Network World, 26 września 2005 [dostęp 2009-04-17] (ang.).
  28. John Leyden, Ransomware getting harder to break [online], The Register, 24 lipca 2006 [dostęp 2009-04-18] (ang.).
  29. Ryan Naraine, Blackmail ransomware returns with 1024-bit encryption key [online], ZDNet, 6 czerwca 2008 [dostęp 2009-05-01] [zarchiwizowane z adresu 2008-08-03] (ang.).
  30. Robert Lemos, Ransomware resisting crypto cracking efforts [online], SecurityFocus, 13 czerwca 2008 [dostęp 2009-04-18] (ang.).
  31. Brian Krebs, Ransomware Encrypts Victim Files with 1,024-Bit Key, [w:] The Washington Post [online], 9 czerwca 2008 [dostęp 2009-04-16] (ang.).
  32. Kaspersky Lab reports a new and dangerous blackmailing virus [online], Kaspersky Lab, 2008 [dostęp 2008-06-11] [zarchiwizowane z adresu 2016-04-02] (ang.).
  33. Violet Blue, CryptoLocker's crimewave: A trail of millions in laundered Bitcoin [online], ZDNet, 22 grudnia 2013 [dostęp 2013-12-23] (ang.).
  34. Encryption goof fixed in TorrentLocker file-locking malware [online], PC World [dostęp 2014-10-15] (ang.).
  35. Cryptolocker 2.0 – new version, or copycat?, [w:] WeLiveSecurity [online], ESET [dostęp 2014-01-18] (ang.).
  36. New CryptoLocker Spreads via Removable Drives [online], Trend Micro [dostęp 2014-01-18] (ang.).
  37. Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files, [w:] ExtremeTech [online], Ziff Davis Media [dostęp 2014-08-18] (ang.).
  38. File-encrypting ransomware starts targeting Linux web servers, [w:] PC World [online], IDG [dostęp 2016-05-31] (ang.).
  39. Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks [online], SecurityWeek [dostęp 2016-05-31] (ang.).
  40. Hackers holding websites to ransom by switching their encryption keys. „The Guardian”. [dostęp 2016-05-31]. (ang.). 
  41. New ransomware employs Tor to stay hidden from security. „The Guardian”. [dostęp 2016-05-31]. (ang.). 
  42. a b The current state of ransomware: CTB-Locker, [w:] Sophos Blog [online], Sophos [dostęp 2016-05-31] (ang.).
  43. Chris Brook, Author Behind Ransomware Tox Calls it Quits, Sells Platform [online], 4 czerwca 2015 [dostęp 2015-08-06] (ang.).
  44. Roland Dela Paz, Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block [online], 29 lipca 2015 [dostęp 2015-08-06] [zarchiwizowane z adresu 2016-05-16] (ang.).
  45. Gardaí warn of ‘Police Trojan’ computer locking virus [online], TheJournal.ie [dostęp 2016-05-31] (ang.).
  46. Barrie computer expert seeing an increase in the effects of the new ransomware, [w:] Barrie Examiner [online], Postmedia Network [dostęp 2016-05-31] [zarchiwizowane z adresu 2017-08-10] (ang.).
  47. Fake cop Trojan 'detects offensive materials' on PCs, demands money [online], The Register [dostęp 2012-08-15] (ang.).
  48. a b Reveton Malware Freezes PCs, Demands Payment [online], InformationWeek [dostęp 2020-07-29] (ang.).
  49. John E. Dunn, Police alert after ransom Trojan locks up 1,100 PCs [online], TechWorld [dostęp 2012-08-16] [zarchiwizowane z adresu 2014-07-02] (ang.).
  50. Lucian Constantian, Police-themed Ransomware Starts Targeting US and Canadian Users [online], PC World [dostęp 2012-05-11] (ang.).
  51. New Internet scam: Ransomware... [online], FBI, 9 sierpnia 2012 [zarchiwizowane z adresu 2012-10-17] (ang.).
  52. Citadel malware continues to deliver Reveton ransomware... [online], Internet Crime Complaint Center (IC3), 2012 (ang.).
  53. Reveton 'police ransom' malware gang head arrested in Dubai [online], TechWorld [dostęp 2014-10-18] [zarchiwizowane z adresu 2014-12-14] (ang.).
  54. 'Reveton' ransomware upgraded with powerful password stealer [online], PC World [dostęp 2014-10-18] (ang.).
  55. Disk encrypting Cryptolocker malware demands $300 to decrypt your files, [w:] Geek.com [online] [dostęp 2013-09-12] [zarchiwizowane z adresu 2016-11-04] (ang.).
  56. CryptoLocker attacks that hold your computer to ransom, [w:] The Guardian [online] [dostęp 2013-10-23] (ang.).
  57. Destructive malware "CryptoLocker" on the loose - here's what to do, [w:] Naked Security [online], Sophos [dostęp 2013-10-23] (ang.).
  58. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service, [w:] NetworkWorld [online] [dostęp 2013-11-05] [zarchiwizowane z adresu 2013-11-05] (ang.).
  59. CryptoLocker creators try to extort even more money from victims with new service, [w:] PC World [online] [dostęp 2013-11-05] (ang.).
  60. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet, [w:] Computerworld [online], IDG [dostęp 2014-08-18] [zarchiwizowane z adresu 2014-07-03] (ang.).
  61. U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator, [w:] Justice.gov [online], U.S. Department of Justice [dostęp 2014-08-18] (ang.).
  62. Cryptolocker victims to get files back for free [online], BBC News, 6 sierpnia 2014 [dostęp 2014-08-18] (ang.).