5 najbardziej znanych ransomware’ów

Firma Stormshield zajmująca się bezpieczeństwem systemów komputerowych przygotowała niezwykły ranking.

Na łamach CHIP-a sporo miejsca poświęciliśmy ostatnio zagrożeniom typu ransomware. Nic dziwnego. Są one nie tylko popularne, ale też, niestety, często skuteczne. Żądaniom okupu wystosowanym przez cyberprzestępców ulega wielu użytkowników, co tylko zachęca hakerów do tworzenia kolejnych szkodliwych programów.

Piotr Kałuża, z firmy Stormshield, która przygotowała ranking mówi: – Zachęceni rentownością zagrożeń ransomware przestępcy weszli niedawno na kolejny poziom rozgrywki – oferują usługę ransomware-as-a-service. Każdy więc, niezależnie od umiejętności i wiedzy programistycznej może zarabiać na plikach ransomware. Dodatkowo hakerzy wprowadzają kolejne funkcje do szkodliwych plików, aby jeszcze bardziej skutecznie skłonić ofiary do zapłacenia okupu. Są to np. limity czasowe, po upływie których zaszyfrowane pliki zostają skasowane z zainfekowanej maszyny (np. ransomware Jigsaw, Koolova), kwota okupu podnosząca się wraz z upływem czasu (np. Cerber), a nawet opcję odszyfrowywania plików za darmo, jeśli tylko ofiara zgodzi się na atakowanie i infekowanie innych użytkowników (np. Popcorn Time) 

Oczywiście przeciwko ransomware’om można się skutecznie bronić. Wykonywanie regularnych aktualizacji systemu operacyjnego, klienta poczty, przeglądarki internetowej oraz antywirusa powinno ustrzec nas przed większością z nich.

A jakie z ransomware’ów wywołały jak dotąd najwięcej zamieszania?

5 – Satan

Na miejscu piątym iście diaboliczny program. I to nie tylko jeśli chodzi o nazwę. To pierwszy program udostępniany w modelu RaaS (ransomware-as-a-service), któremu towarzyszy szczegółowa instrukcja obsługi. W tym przypadku – dla domorosłych hakerów. Jak działa? Szyfrując pliki na zainfekowanym komputerze zmienia ich rozszerzenia na .stn i wyświetla żądanie okupu. Po zakończeniu szyfrowania Satan nadpisuje wszystkie dane kasowane na twardym dysku, uniemożliwiając próby ich odzyskania z wcześniejszych wersji plików.

Satan to pierwszy ransomware dla hakerów, którzy… nie znają się na hackingu (fot. SensorsTechForum)

Jeśli przestraszona ofiara wpłaci oczekiwany haracz, to na swojej podstronie cyberprzestępca zobaczy informację o pojawieniu się środków. Satan ma nawet specjalną opcję powiadomień, dzięki którym cyberprzestępcy-amatorzy mogą otrzymywać od twórców programu powiadomienia o aktualizacjach.

4 – WannaCry

W światłach reflektorów ten program znalazł się w maju tego roku. Wraz ze swoimi mutacjami zwanymi WannaCryptor oraz WannaCrypt soft ten pojawił się w aż 150 krajach, infekując tysiące komputerów na świecie. Ransomware, gdy już dostał się do sieci lokalnej, rozprzestrzeniał się na pozostałe maszyny w tej sieci. Tym samym najbardziej narażone były duże firmy o rozbudowanych sieciach komputerowych. Program najpierw szyfrował dane zaatakowanego komputera, a następnie wymuszał okup za przywrócenie ofierze dostępu do nich. Na szczęście okazało się, że ma on swoistą lukę, umożliwiającą pozbycie się zagrożenia. Smaczku historii z pokonaniem wirusa WannaCry dodaje fakt, że człowiek, który jako pierwszy odkrył tę metodę został kilka dni temu aresztowany za… pisanie i rozpowszechnianie wirusów.

3 – Petya

Prawdziwy antybohater czerwca 2017. Ten złośliwy ransomware działa bardzo podobnie jak WannaCry, szyfrując dysk ofiary i domagając się okupu za przywrócenie danych. O Petyi pisaliśmy dość szeroko na łamach CHIP-a. 

Taki obraz zobaczyło wielu użytkowników komputerów w czerwcu b.r.

Ten ransomware rozpoczął swoją karierę na Ukrainie, od ataku na firmę oferującą oprogramowanie księgowe. Tym sposobem szybko zyskał dostęp do komputerów wielu ukraińskich firm i instytucji, by błyskawicznie rozprzestrzenić się po całym świecie. By dowiedzieć się więcej o tym wirusie polecamy wywiad ze specjalistą z firmy F-Secure. 

2 – Locky

Ransomware Locky ruszył na podbój świata  lutym 2016. Od tego czasu został rozesłany do milionów użytkowników na całym świecie, w tym do 30 milionów użytkowników Amazona. Mimo upływu czasu wirus nie zniknął i ma się całkiem dobrze. Rozprzestrzenia się za pomocą wiadomości e-mail. W załączniku znajduje się plik .doc o różnych tytułach i treści. W pliku zawarto zakodowany tekst, który wydaje się być niewinnym makrem. Gdy użytkownik włączy ustawienia makr w programie Word, pobierany jest plik wykonywalny, a pliki użytkownika są szyfrowane.

Locky zmienia także nazwy plików na unikalną 16-literową i cyfrową kombinację z rozszerzeniami .aesir, .thor, .locky, .zepto lub .odin. (widać hakerzy są miłośnikami mitologii nordyckiej), co uniemożliwia zidentyfikowanie oryginalnych plików. Aby odszyfrować pliki, ofiara musi zapłacić okup o wartości około 235 – 470 dolarów w bitcoinach.

1 – KillDisk

Dziwnym trafem, podobnie jak Petya, KillDisk pojawił się najpierw na Ukrainie, atakując głównie tamtejsze instytucje finansowe. Od wybuchu konfliktu we wschodniej Ukrainie kraj ten jest dość częsta ofiarą hakerów. Widać separatyści mają nie tylko czołgi i rakiety, ale także hakerów.

KillDisk pojawił się w grudniu 2016 roku. Hakerzy usuwali za jego pomocą zawartość dysku zaatakowanego komputera. Widać było, że cyberprzestępcy byli fanami seriali. Wirus usuwał pliki o zdefiniowanych rozszerzeniach, a w ich miejsce tworzył nowe pliki o treści mrR0b07 (mrrobot) lub fS0cie7y (fsociety). Obie nazwy nawiązywały do serialu Mr. Robot.

Na początku 2017 roku pojawił się nowy wariant tego zagrożenia. Jego celem były nie tylko komputery z systemem Windows, ale również stacje robocze i serwery z systemem Linuks. Nowy KillDisk nie tylko sprawiał, że niemożliwym stało się uruchomienie systemu na zainfekowanym urządzenia, ale dodatkowo szyfrował wybrane pliki, a za ich odblokowanie żądał zapłaty – 222 bitcoinów. Tak, to naprawdę dużo pieniędzy, zwłaszcza przy obecnym kursie kryptowaluty.   | CHIP

Źródło: Stormshield