Ransomware

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania
Ten artykuł dotyczy oprogramowania używanego w przestępczości. Zobacz też: ransomware (licencja).

Ransomware (inne określenie: oprogramowanie szantażujące[1][2][3]; ang. ransomware – zbitka słów ransom „okup” i software „oprogramowanie”[4][5]) – typ szkodliwego oprogramowania, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego.

Najprostsze typy programów typu ransomware jedynie zakładają na system blokadę[6], stosunkowo łatwą do zlikwidowania dla doświadczonych użytkowników komputera[7]. Bardziej zaawansowane formy oprogramowania szantażującego stosują natomiast technikę zwaną kryptowirusowym wymuszeniem[6] – szyfrują pliki ofiary, uniemożliwiając tym samym ich normalny odczyt, i żądają okupu w zamian za deszyfrację danych[7]. W prawidłowo przeprowadzonym ataku wymuszeniowym przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe.

Działanie[edytuj | edytuj kod]

Przebieg ataku[edytuj | edytuj kod]

Oprogramowanie szantażujące przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Uruchomiony zostaje szkodliwy kod, który przeważnie ma formę aplikacji typu scareware. Jedną z operacji wykonywanych przez ransomware może być wyświetlanie fałszywego ostrzeżenia (rzekomo wysłanego przez np. organy ścigania). Według tego typu ostrzeżeń system był używany w nielegalnych celach, bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows[8][9][10].

Niektóre programy tego typu zawierają prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Dzieje się to zazwyczaj poprzez podmianę ścieżki powłoki systemu Windows[11] lub nawet przez modyfikację głównego rekordu rozruchowego i/lub tablicy partycji w celu uniemożliwienia prawidłowego rozruchu systemu operacyjnego[12]. Najgroźniejsze wersje takiego oprogramowania szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu – tak, aby tylko autor oprogramowania był w stanie je odszyfrować swoim kluczem; hakerzy rzadko korzystają ze słabych szyfrów.

Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci szyfru – stwierdził Oliver Friedrichs, dyrektor do spraw bezpieczeństwa w korporacji Symantec[13].

Motywy cyberprzestępców a odzysk danych[edytuj | edytuj kod]

Złamanie większości stosowanych algorytmów szyfrujących jest praktycznie niemożliwe bez dostępu do systemów komputerowych o bardzo wysokiej mocy obliczeniowej[14][15][16]. Jeśli trojan korzysta z szyfru symetrycznego, można poddać program inżynierii odwrotnej w celu wydobycia algorytmu oraz klucza wykorzystywanego przez szkodliwe oprogramowanie i przygotować program deszyfrujący dane.

Celem cyberprzestępców posługujących się oprogramowaniem szantażującym przeważnie jest próba wyłudzenia płatności, w zamian za którą obiecują ofierze usunięcie infekcji (co niekoniecznie musi nastąpić). Taka „pomoc” polega albo na dostarczeniu programu do odszyfrowania plików, albo na wysłaniu kodu odblokowującego, który cofa dokonane zmiany. Z punktu widzenia atakującego, kluczową zaletą ataku za pomocą oprogramowania szantażującego jest wygodny i trudny do namierzenia system płatności. W celu uzyskania okupu wykorzystywano najróżniejsze metody płatności, m.in. przelewy, wiadomości SMS o podwyższonej opłacie[17], usługi pre-paidowe jak np. Paysafecard[18][19][20] a także cyfrową walutę Bitcoin[21][22][23]. Wykonany w 2016 roku raport na zlecenie Citrix wykazał, że duże firmy gromadzą Bitcoiny w ramach planu awaryjnego[24].

Historia[edytuj | edytuj kod]

Programy szantażujące wykorzystujące kryptografię[edytuj | edytuj kod]

Pierwszym znanym oprogramowaniem szantażującym był „AIDS” (znany również jako „PC Cyborg”), napisany w 1989 przez Josepha Poppa. Jego kod był odpowiedzialny za ukrywanie plików na dysku i szyfrowanie ich nazw, a także za wyświetlanie informacji, że licencja użytkownika na korzystanie z konkretnych plików wygasła. Ofiara była proszona o dokonanie wpłaty w wysokości 189$ na konto „PC Cyborg Corporation” w celu uzyskania programu do usunięcia infekcji. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał, iż cały zysk z działania wirusa przeznaczy na badania nad lekarstwem na AIDS[25].

Pomysł na używanie kryptografii klucza publicznego do takich ataków został wprowadzony w 1996 roku przez Adama L. Younga i Mordechaia Yunga; pokazali oni, że trojan AIDS był nieskuteczny ze względu na korzystanie z Algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego, i wdrożyli eksperymentalny wirus szyfrujący na Macintoshu SE/30, który używał algorytmów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten kryptowirus/wirus-szyfrator (z ang. cryptovirus), stworzony w 1995 i opisany w dokumencie IEEE S & P w roku 1996 sprawiał, że ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący.

Young wraz z Yungiem ponadto zasugerowali, że pieniądze elektroniczne mogą również zostać wymuszone za pomocą szyfrowania, przez co „twórca wirusa może z powodzeniem zatrzymać całą sumę, dopóki połowa tej kwoty nie zostanie mu zapłacona”[14]. Nazywali te działania „kryptowirusowym wymuszeniem” – było ono jawnym atakiem należącym do większej grupy ataków z dziedziny tzw. kryptowirologii. Zawierała ona zarówno ataki jawne, jak i niejawne[14].

Przykłady ransomware „żądających” wygórowanych kwot stały się widoczne w maju 2005.[26] Do połowy 2006 roku trojany takie jak Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, oraz majArchive zaczęły wykorzystywać bardziej wyrafinowane algorytmy szyfrujące RSA, z kluczami o coraz większej długości. Gpcode.AG, wykryty w czerwcu 2006, był zaszyfrowany kluczem publicznym RSA o długości 660 bitów[27]. W czerwcu 2008, wykryto wariant znany jako Gpcode.AK. Korzystając z 1024-bitowego klucza RSA, sądzono iż był on wystarczająco duży, żeby w celu jego złamania konieczne było wykonanie odpowiednich obliczeń rozproszonych[28][29][30][31].

Oprogramowanie szyfrujące zaatakowało ponownie pod koniec 2013 roku wraz z rozprzestrzenianiem się CryptoLockera, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013 portal ZDNet.com przeanalizował informacje o transakcjach przeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, że twórcy CryptoLockera otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników[32]. Technika CryptoLockera była w kolejnych miesiącach rozprowadzana na szeroką skalę, w wyniku czego powstały następujące wirusy:

  • CryptoLocker 2.0 (nie był jednak powiązany z CryptoLockerem)
  • CryptoDefense (początkowo zawierał on poważną „lukę konstrukcyjną”, w wyniku której na komputerze ofiary był umieszczany klucz prywatny w dostępnej dla użytkownika lokalizacji; spowodowane to było wbudowanymi interfejsami deszyfrującymi systemu Windows)[22][33][34][35],
  • wykryty w sierpniu 2014 trojan, przeznaczony głównie do ataków na urządzenia NAS, wyprodukowanych przez firmę Synology[36].

W styczniu 2015 ogłoszono, że infekcje oprogramowaniem szantażującym występowały na poszczególnych stronach za pośrednictwem hakowania, oraz poprzez ransomware przeznaczonego na serwery linuksowe[37][38][39].

Niektóre „szczepy” oprogramowania szantażującego wykorzystywały serwery pośredniczące, powiązane z usługami ukrytymi sieci Tor do łączenia się z ich serwerami kontrolnymi, utrudniając śledzenie dokładnej lokalizacji przestępców[40][41]. Ponadto sprzedawcy z ciemnych stron sieci web zaczęli w coraz większym stopniu oferować tę technologię w ramach modelu oprogramowania jako usługi[41][42][43].

Przykładowe programy[edytuj | edytuj kod]

Reveton[edytuj | edytuj kod]

Sposób działania[edytuj | edytuj kod]

Trojan Reveton zaczął się rozprzestrzeniać w Europie w 2012 roku[18]. Utworzony został na bazie trojana Citadel (który z kolei oparto na bazie trojana Zeus). Rzekomym nadawcą wyświetlanej przez niego wiadomości były organy ścigania, a jej treść oznajmiała o używaniu komputera w nielegalnych celach (np. do ściągania nielegalnego oprogramowania bądź pornografii dziecięcej). Ze względu na takie zachowanie był określany mianem „policyjnego trojana”[44][45][46].

Treść ostrzeżenia głosiła, iż w celu odblokowania systemu użytkownik musi zapłacić grzywnę za pośrednictwem usługi takiej jak Ukash lub Paysafecard. Aby wzbudzić w użytkowniku świadomość tego, iż komputer jest namierzony przez służby, trojan wyświetlał na ekranie adres IP komputera, a niektóre wersje prezentowały obraz z kamery internetowej ofiary, aby sprawić wrażenie nagrywania użytkownika[18][47].

Poszczególne warianty[edytuj | edytuj kod]

Warianty zostały zlokalizowane przy użyciu wzorów oficjalnych logo różnych organów ścigania na podstawie kraju ofiary; przykładowo, wersja trojana, która atakowała w Wielkiej Brytanii, zawierała logo m.in. Metropolitan Police Service oraz wydziału PCeU. Inna wersja prezentowała logo royalty collection society PRS for Music (która przeważnie zarzucała użytkownikowi nielegalne ściąganie muzyki)[48]. W oświadczeniu, mającym na celu ostrzec obywateli przed trojanem Policja wyjaśniła, iż w ramach śledztwa funkcjonariusze nie mają prawa zablokować systemu na komputerze podejrzanego[18][9].

W maju 2012 analitycy zagrożeń z Trend Micro odkryli szablony wariantów trojana skierowanego na Kanadę i USA, które sugerowały, iż jego autorzy mogli obrać na cel mieszkańców Ameryki Północnej[49]. Przed sierpniem 2012 nowa wersja trojana Reveton zaczęła się rozprzestrzeniać w USA, nakłaniając użytkowników do uiszczenia grzywny w wysokości 200 dolarów na konto FBI za pomocą karty MoneyPak[50][51][47]. W lutym 2013 obywatel Rosji został aresztowany w Dubaju przez władze Hiszpanii za udział w grupie przestępczej, która używała Revetona; dziesięć innych osób zostało aresztowanych pod zarzutem prania brudnych pieniędzy[52]. W sierpniu 2014 firma antywirusowa Avast ogłosiła wykrycie nowych wersji Revetona, w których payload zawierał program do kradzieży hasła[53].

CryptoLocker[edytuj | edytuj kod]

Kryptowirusy zaatakowały ponownie we wrześniu 2013 – wówczas odkryto trojana CryptoLocker, który generował 2048-bitową parę kluczy RSA, wysyłał je na serwer i używał ich w celu szyfrowania plików za pomocą białej listy konkretnych rozszerzeń plików. To oprogramowanie szantażujące groziło usunięciem klucza prywatnego, jeżeli płatność w postaci bitcoinów lub kuponu nie zostanie dokonana w ciągu 3 dni od zainfekowania komputera. Ponieważ trojan używał bardzo długiego klucza, analitycy oraz same ofiary uznali go za bardzo trudny do pokonania[21][54][55][56]. Nawet po upłynięciu terminu „ultimatum” uzyskanie klucza prywatnego w dalszym ciągu było możliwe za pomocą narzędzia dostępnego online, lecz wówczas cena wzrastała do 10 BTC— co w listopadzie 2013 roku dawało równowartość ok. 2300 dolarów amerykańskich[57][58].

CryptoLocker został wyizolowany w wyniku działania botneta „Gameover ZeuS” w ramach Operacji Tovar, co zostało oficjalnie ogłoszone przez Departament Sprawiedliwości Stanów Zjednoczonych 2 czerwca 2014. Departament ponadto publicznie oskarżył rosyjskiego hakera Jewgienija Bogaczewa o udział w tworzeniu botneta[59][60]. Oszacowano, że do momentu unieszkodliwienia trojana przestępcy wymusili za jego pomocą co najmniej 3 mln dolarów[61].

Zobacz też[edytuj | edytuj kod]

Przypisy[edytuj | edytuj kod]

  1. oprogramowanie szantażujące – Tłumaczenie po angielsku, [w:] Słownik polsko-angielski Diki [online] [dostęp 2017-07-24].
  2. oprogramowanie szantażujące - tłumaczenie na angielski, [w:] słownik polsko-angielski bab.la [online] [dostęp 2017-09-01].
  3. Trend Micro: Bezpieczeństwo informatyczne w drugim kwartale 2012 roku [dostęp 2017-07-13].
  4. Co to jest ransomware i jak się zabezpieczyć przed złośliwym oprogramowaniem?, Poradnik Orange, 25 lutego 2019 [zarchiwizowane z adresu 2020-04-09].
  5. Pavel Čepský, Dostal jsem tě! Kolik dáš za svůj systém a data?, Lupa.cz, 14 września 2010 [zarchiwizowane z adresu 2020-04-09] (cz.).
  6. a b Nezmar Luděk, GDPR: Praktický průvodce implementací, Grada Publishing a.s., 3 listopada 2017, s. 228, ISBN 978-80-271-0920-3 [dostęp 2020-04-09] (cz.).
  7. a b Jack Schofield, How can I remove a ransomware infection?, „The Guardian”, 28 lipca 2016, ISSN 0261-3077 [dostęp 2020-04-09] (ang.).
  8. Ransomware squeezes users with bogus Windows activation demand, Computerworld [dostęp 2012-03-09] (ang.).
  9. a b Police warn of extortion messages sent in their name, Helsingin Sanomat [dostęp 2012-03-09] [zarchiwizowane z adresu 2014-07-03].
  10. Robert McMillian, Alleged Ransomware Gang Investigated by Moscow Police, PC World [dostęp 2012-03-10] (ang.).
  11. Ransomware: Fake Federal German Police (BKA) notice, SecureList (Kaspersky Lab) [dostęp 2020-07-29] (ang.).
  12. And Now, an MBR Ransomware, SecureList (Kaspersky Lab) [dostęp 2020-07-29] (ang.).
  13. D. Maikowski, Zaszyfrują ci komputer, zażądają 300 dol. i co zrobisz? Ransomware - nowa plaga. Jak się chronić?, 16 marca 2016 (ang.).
  14. a b c Adam Young, Moti Yung, Cryptovirology: extortion-based security threats and countermeasures, [w:] IEEE Symposium on Security and Privacy, 1996, s. 129–140, DOI10.1109/SECPRI.1996.502676, ISBN 0-8186-7417-2 (ang.).???
  15. Adam Young, Building a Cryptovirus Using Microsoft's Cryptographic API, Jianying Zhou, Javier Lopez (red.), „Information Security: 8th International Conference, ISC 2005”, Springer-Verlag, 2005, s. 389–401 (ang.).
  16. Adam Young, Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?, „International Journal of Information Security”, 5 (2), Springer-Verlag, 2006, s. 67–76, DOI10.1007/s10207-006-0082-7 (ang.).
  17. Dancho Danchev, New ransomware locks PCs, demands premium SMS for removal, ZDNet, 22 kwietnia 2009 [dostęp 2009-05-02] (ang.).
  18. a b c d John E. Dunn, Ransom Trojans spreading beyond Russian heartland, TechWorld [dostęp 2012-03-10] (ang.).
  19. Ransomware plays pirated Windows card, demands $143, Computerworld [dostęp 2012-03-09].
  20. Jacqui Cheng, New Trojans: give us $300, or the data gets it!, Ars Technica, 18 lipca 2007 [dostęp 2009-04-16] (ang.).
  21. a b You’re infected—if you want to see your data again, pay us $300 in Bitcoins, [w:] Ars Technica [online] [dostęp 2013-10-23] (ang.).
  22. a b CryptoDefense ransomware leaves decryption key accessible, [w:] Computerworld [online], IDG [dostęp 2014-04-07] (ang.).
  23. What to do if Ransomware Attacks on your Windows Computer?, Techie Motto [dostęp 2016-04-25] [zarchiwizowane z adresu] (ang.).
  24. Luke Parker, Large UK businesses are holding bitcoin to pay ransoms, 9 czerwca 2016 [dostęp 2016-06-09] (ang.).
  25. Michael Kassner, Ransomware: Extortion via the Internet, TechRepublic [dostęp 2012-03-10] (ang.).
  26. Susan Schaibly, Files for ransom, Network World, 26 września 2005 [dostęp 2009-04-17] (ang.).
  27. John Leyden, Ransomware getting harder to break, The Register, 24 lipca 2006 [dostęp 2009-04-18] (ang.).
  28. Ryan Naraine, Blackmail ransomware returns with 1024-bit encryption key, ZDNet, 2008 [dostęp 2009-05-03] (ang.).
  29. Robert Lemos, Ransomware resisting crypto cracking efforts, SecurityFocus, 13 czerwca 2008 [dostęp 2009-04-18] (ang.).
  30. Brian Krebs, Ransomware Encrypts Victim Files with 1,024-Bit Key, [w:] The Washington Post [online], 9 czerwca 2008 [dostęp 2009-04-16] (ang.).
  31. Kaspersky Lab reports a new and dangerous blackmailing virus, Kaspersky Lab, 2008 [dostęp 2008-06-11] [zarchiwizowane z adresu 2016-04-02] (ang.).
  32. Violet Blue, CryptoLocker's crimewave: A trail of millions in laundered Bitcoin, ZDNet, 22 grudnia 2013 [dostęp 2013-12-23] (ang.).
  33. Encryption goof fixed in TorrentLocker file-locking malware, PC World [dostęp 2014-10-15] (ang.).
  34. Cryptolocker 2.0 – new version, or copycat?, [w:] WeLiveSecurity [online], ESET [dostęp 2014-01-18] (ang.).
  35. New CryptoLocker Spreads via Removable Drives, Trend Micro [dostęp 2014-01-18] (ang.).
  36. Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files, [w:] ExtremeTech [online], Ziff Davis Media [dostęp 2014-08-18] (ang.).
  37. File-encrypting ransomware starts targeting Linux web servers, [w:] PC World [online], IDG [dostęp 2016-05-31] (ang.).
  38. Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks, SecurityWeek [dostęp 2016-05-31] (ang.).
  39. Hackers holding websites to ransom by switching their encryption keys. „The Guardian” (ang.). [dostęp 31 maj 2016]. 
  40. New ransomware employs Tor to stay hidden from security. „The Guardian” (ang.). [dostęp 31 maj 2016]. 
  41. a b The current state of ransomware: CTB-Locker, [w:] Sophos Blog [online], Sophos [dostęp 2016-05-31] (ang.).
  42. Chris Brook, Author Behind Ransomware Tox Calls it Quits, Sells Platform, 4 czerwca 2015 [dostęp 2015-08-06] (ang.).
  43. Roland Dela Paz, Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block, 29 lipca 2015 [dostęp 2015-08-06] [zarchiwizowane z adresu 2016-05-16] (ang.).
  44. Gardaí warn of ‘Police Trojan’ computer locking virus, TheJournal.ie [dostęp 2016-05-31] (ang.).
  45. Barrie computer expert seeing an increase in the effects of the new ransomware, [w:] Barrie Examiner [online], Postmedia Network [dostęp 2016-05-31] [zarchiwizowane z adresu 2017-08-10] (ang.).
  46. Fake cop Trojan 'detects offensive materials' on PCs, demands money, The Register [dostęp 2012-08-15] (ang.).
  47. a b Reveton Malware Freezes PCs, Demands Payment, InformationWeek [dostęp 2020-07-29] (ang.).
  48. John E. Dunn, Police alert after ransom Trojan locks up 1,100 PCs, TechWorld [dostęp 2012-08-16] (ang.).
  49. Lucian Constantian, Police-themed Ransomware Starts Targeting US and Canadian Users, PC World [dostęp 2012-05-11] (ang.).
  50. New Internet scam: Ransomware..., FBI, 9 sierpnia 2012 [zarchiwizowane z adresu 2012-10-17] (ang.).
  51. Citadel malware continues to deliver Reveton ransomware..., Internet Crime Complaint Center (IC3), 2012 (ang.).
  52. Reveton 'police ransom' malware gang head arrested in Dubai, TechWorld [dostęp 2014-10-18] (ang.).
  53. 'Reveton' ransomware upgraded with powerful password stealer, PC World [dostęp 2014-10-18] (ang.).
  54. Disk encrypting Cryptolocker malware demands $300 to decrypt your files, [w:] Geek.com [online] [dostęp 2013-09-12] (ang.).
  55. CryptoLocker attacks that hold your computer to ransom, [w:] The Guardian [online] [dostęp 2013-10-23] (ang.).
  56. Destructive malware "CryptoLocker" on the loose - here's what to do, [w:] Naked Security [online], Sophos [dostęp 2013-10-23] (ang.).
  57. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service, [w:] NetworkWorld [online] [dostęp 2013-11-05] [zarchiwizowane z adresu 2013-11-05] (ang.).
  58. CryptoLocker creators try to extort even more money from victims with new service, [w:] PC World [online] [dostęp 2013-11-05] (ang.).
  59. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet, [w:] Computerworld [online], IDG [dostęp 2014-08-18] [zarchiwizowane z adresu 2014-07-03] (ang.).
  60. U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator, [w:] Justice.gov [online], U.S. Department of Justice [dostęp 2014-08-18] (ang.).
  61. Cryptolocker victims to get files back for free, BBC News, 6 sierpnia 2014 [dostęp 2014-08-18] (ang.).