Deși pe internet există peste 1 miliard de programe malițioase (malware) în căutare de victime pe care să le infecteze, o anumită clasă de malware provoacă de ani de zile pierderi financiare și probleme de securitate: ransomware. Singurul său scop este de a bloca accesul la sistemele informatice sau la fișiere până când victima plătește o răscumpărare. Aceste cereri de răscumpărare fluctuează foarte mult, de la echivalentul a câteva sute de dolari la câteva sute de mii.
Ce este un Ransomware?
Ransomware este un software periculos conceput pentru a bloca accesul la un sistem informatic până la achitarea unei sume de bani. De obicei, plata este solicitată în criptomonede, cum ar fi Bitcoin sau Monero. Victimelor li se spune să cumpere aceste active digitale și apoi să le transfere atacatorilor. Ransomware-ul a evoluat în ultimul deceniu în efortul de a viza mai multe victime, de a genera profituri uriașe pentru infractorii cibernetici și de a face aproape imposibilă recuperarea datelor, cu excepția cazului în care victima plătește răscumpărarea sau le recuperează din copiile de rezervă.
În timp ce criptarea este considerată un instrument puternic pentru asigurarea confidențialității online, permițând tuturor să comunice fără teama de a fi ascultați, dezvoltatorii de ransomware au folosit criptarea pentru a se asigura că fișierele afectate nu pot fi folosite. Unele mecanisme de criptare fac imposibilă recuperarea datelor, cu excepția cazului în care atacatorii sunt de acord să trimită victimelor cheia de decriptare, deblocând accesul la sistemul afectat după ce se plătește răscumpărarea. Imaginați-vă că cineva intră prin efracție în casa dumneavoastră, vă găsește bijuteriile, le închide într-un seif impenetrabil în mijlocul casei, apoi pleacă cu cheia după ce a pus un bilet de răscumpărare. Dacă îl contactați pe hoț și plătiți nota de răscumpărare, acesta vă va da cheia pentru a debloca seiful și a ajunge la bijuteriile dumneavoastră. În caz contrar, va trebui să spargeți seiful pe cont propriu. Știi că toate obiectele dumneavoastră de valoare sunt înăuntru, dar pur și simplu nu le puteți folosi. Ransomware-ul acționează într-un mod similar, cu excepția faptului că urmărește fișierele și datele dumneavoastră.
Până în prezent, există trei tipuri diferite de ransomware:
1. Blocarea ecranului
Cele mai "blânde" dintre toate ransomware-urile sunt screen-lockers: acestea doar împiedică utilizatorul să își acceseze dispozitivul, blocând accesul la desktop sau la ecranul principal în cazul smartphone-urilor. Deși enervante, screen locker-ele pot fi ocolite fără a plăti atacatorul, dacă aveți suficientă experiență tehnică.
2. Crypto ransomware
În timp ce primele tulpini de ransomware mai puțin maligne s-au dovedit a fi ineficiente pentru a face bani, deoarece se concentrau pe împiedicarea accesului utilizatorilor la dispozitivele lor prin utilizarea de screen lockers (nu erau criptate date), versiunile ulterioare au început să utilizeze criptarea cunoscută sub numele de crypto-ransomware. Crypto-ransomware este extrem de eficient, deoarece criptează anumite informații stocate local și, uneori, și copiile de rezervă în cloud și se oferă să le decripteze în schimbul unei taxe cuprinse între 300 și 900 de dolari. Deoarece cripto-ransomware utilizează aceeași tehnologie care ne protejează conversațiile online, tranzacțiile bancare și comunicațiile militare, fișierele criptate nu pot fi recuperate fără plata răscumpărării. Familiile de cripto-ransomware sunt responsabile pentru obținerea a peste un miliard de dolari pe an de la victime. Unele familii de cripto-ransomware, cum ar fi GandCrab, au generat chiar echivalentul a peste 2 miliarde de dolari în răscumpărări plătite în mai puțin de doi ani de activitate.
Alte familii de ransomware au început să adopte extorcarea ca o altă tactică de intimidare pentru a speria victimele și a le determina să plătească. De exemplu, înainte ca atacatorii să cripteze efectiv datele private, le fură de la victime și amenință că le vor expune online ca parte a unei campanii de rușine publică dacă nu se plătește cererea de răscumpărare.
3. Criptarea discurilor
În cele din urmă, cele mai perturbatoare forme de ransomware sunt cunoscute sub numele de criptoare de disc. Spre deosebire de criptoarele de fișiere, criptoarele de discuri îi împiedică pe utilizatori să pornească întregul sistem de operare, deoarece ransomware-ul ține "ostatică" întreaga unitate de disc.
Cum se răspândește ransomware-ul?
E-mailurile sunt unul dintre cele mai utilizate mecanisme de răspândire a ransomware-ului. Fie că păcălesc victimele să facă clic pe linkuri și să descarce fișiere infectate cu ransomware, fie că atașează documente alterate care se prezintă ca fiind CV-uri, facturi și alte tipuri de fișiere, e-mailurile spam contribuie la un număr mare de infecții cu ransomware. Dacă utilizatorul deschide mesajul și face clic pe fișierul atașat, procesul de criptare începe. Când toate informațiile sunt criptate, utilizatorul vede un mesaj de avertizare pe desktop, împreună cu instrucțiuni despre cum să plătească răscumpărarea și să obțină cheia de decriptare.
O altă tehnică pe care o folosesc atacatorii este aceea de a cumpăra dreptul de afișare de reclame pe site-uri web cu trafic mare. Aceste reclame nu sunt simple anunțuri, ci reclame concepute anume pentru a exploata vulnerabilitățile din browsere și din pluginurile browserelor. În momentul în care browserul sau pluginul respectiv se blochează, componenta ransomware este instalată automat. Mulți utilizatori au devenit reticenți în a deschide atașamente sau a da clic pe linkuri de e-mail, astfel încât această abordare elimină orice interacțiune cu utilizatorul sau componentă de inginerie socială, bazându-se pe vulnerabilități nerezolvate.
Nu în ultimul rând, infractorii cibernetici strecoară ransomware în conținutul ilegal, piratat, disponibil pentru descărcare de pe site-urile torrent sau "warez". Victimele descarcă ransomware deghizat în crack-uri, generatoare de chei și alte tipuri de software pe sistemele lor, le execută și, în consecință, instalează ransomware.
Cum ne putem proteja PC-ul împotriva atacurilor ransomware
Ransomware-ul este o afacere foarte profitabilă pentru infractorii cibernetici, iar aceștia investesc în mod constant în noi modalități de a infecta victimele și de a îngreuna lupta cu soluțiile de securitate. Cel mai bun mod de a vă proteja împotriva atacurilor ransomware este să nu vă infectați. Infectarea cu ransomware poate fi limitată și, uneori, prevenită cu ajutorul câtorva bune practici:
1. Folosiți o soluție de securitate la zi
Utilizați o soluție anti-malware cu module anti-exploit, anti-malware și anti-spam, actualizată zilnic și capabilă să efectueze scanare activă. Nu modificați setările optime de securitate.
2. Faceți copii de rezervă ale fișierelor
Programați în mod regulat backup-uri de fișiere fie în cloud, fie local, astfel încât datele să poată fi recuperate în cazul în care acestea devin criptate. Copiile de rezervă nu ar trebui să fie stocate pe o partiție diferită din computer, ci mai degrabă pe un hard disk extern care este conectat la computer numai pe durata backup-ului.
3. Actualizați Windows
Păstrați sistemul de operare Windows și programele vulnerabile - în special browserul și pluginurile pentru browser - la curent cu cele mai recente patch-uri de securitate. Ransomware-ul exploatează vulnerabilități în aceste componente pentru a se instala automat.
4. Păstrați UAC activ
UAC (User Account Control) vă anunță când urmează sa fie efectuate modificări pe computer care necesită permisiuni la nivel de administrator. Păstrați funcția UAC activă in Windows pentru a reduce sau a bloca impactul malware-ului.
5. Respectați bunele practici în materie de internet
Urmați bunele practici în materie de internet: evitați să vizitați site-uri îndoielnice, să dați clic pe link-uri sau să deschideți atașamente ale unor e-mail-uri cu sursă nesigură, asigurați-vă că nu furnizați informații care vă pot identifica personal pe chat-uri publice sau forum-uri. Evitați să descărcați aplicații de pe site-uri necunoscute - instalați numai software din surse de încredere.
6. Blocați anunțurile
Activați extensii de blocare a reclamelor și de confidențialitate (cum ar fi AdBlock Plus) pentru a reduce afișarea anunțurilor rău intenționate in browser. Sporiți-vă protecția online ajustând setările de securitate ale browserului web. Alternativ, vă recomandăm o extensie de browser care blochează JavaScript (cum ar fi NoScript).
7. Folosiți filtre anti-spam
Implementați și utilizați un filtru anti-spam pentru a reduce numărul de e-mailuri spam infectate care ajung în Mesaje primite - Inbox.
8. Dezactivați Flash
Când este posibil, virtualizați sau dezactivați complet funcția Adobe Flash, deoarece este folosită în mod repetat ca vector de infecție.
9. Activați politicile de restricție software
Dacă PC-ul rulează o ediție Windows Professional sau Windows Server sau dacă sunteți administrator de sistem în echipa IT a companiei, activați politica de grup în Registry pentru a bloca fișierele executabile din anumite locații.
Aceasta se poate realiza doar atunci când rulează o ediție Windows Professional sau Windows Server. Opțiunea Software Restriction Policies se regăsește în editorul pentru Local Security Policy. După ce dați clic pe butonul New Software Restriction Policies de sub Additional Rules, trebuie să folosiți următoarele Reguli privind calea, cu opțiunea Security level având valoarea Disallowed:
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\\*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
"%userprofile%\\*.exe”
"%username%\\Appdata\\*.exe”
"%username%\\Appdata\\Local\\*.exe”
"%username%\\Application Data\\*.exe”
"%username%\\Application Data\\Microsoft\\*.exe”
"%username%\\Local Settings\\Application Data\\*.exe”
Ce trebuie să faceți dacă un ransomware v-a criptat fișierele
De obicei, în cazul ransomware-ului de criptare, fișierele locale sunt criptate cu ajutorul unei perechi de chei generate la aleatoriu care este asociată cu calculatorul infectat. În timp ce cheia publică este copiată pe computerul infectat, cheia privată poate fi obținută doar prin plata acesteia într-un interval de timp alocat. În cazul în care plata nu este livrată, cheia privată este ștearsă, nelăsând nicio metodă posibilă de decriptare pentru recuperarea fișierelor blocate.
Autoritățile recomandă să nu cedați cererilor de răscumpărare. Plata unei răscumpărări nu garantează că vă veți recupera fișierele și nu face decât să alimenteze financiar dezvoltarea unor familii noi și mai sofisticate de ransomware, ajută la finanțarea altor activități ale infractorilor cibernetici și, în cele din urmă, legitimează afacerea ransomware, făcând-o profitabilă pentru hackeri. Înfrângerea atacurilor ransomware este dificilă, dar nu imposibilă. Forțele de ordine și companiile de securitate colaborează de ani de zile pentru a ajuta victimele să-și recupereze fișierele.
Sfaturi pentru a recupera datele criptate de ransomware:
- Dacă funcția de Remediere Ransomware din Bitdefender este activă în momentul unui atac cibernetic de tip ransomware, fișierele dvs. vor fi restaurate automat.
- De asemenea, este posibil să recuperați fișierele criptate de ransomware prin restaurarea fișierelor originale dintr-o copie de rezervă externă sau din cloud.
- Inițiative precum site-ul nomoreransom.org pot ajuta victimele ransomware să își recupereze datele, în cazurile în care forțele de ordine sau furnizorii de securitate au găsit o modalitate de decriptare a fișierelor pentru anumite familii de ransomware.
- FBI are următoarele recomandări pentru victimele ransomware:
-
- Trimiteți un pont online sau contactați biroul local FBI pentru a solicita asistență.
- Depuneți o solicitare la Centrul de reclamații pentru infracțiuni pe internet (IC3) al FBI.
Nu uitați! Este important să realizați frecvent copii de siguranță ale datelor, să fiți atenți la e-mailurile nesolicitate, să vă actualizați în mod constant toate programele și sistemele de operare, să instalați o soluție de securitate care dispune de mai multe niveluri de protecție împotriva ransomware și să nu cedați în fața șantajului.