Napast zvana ransomware

Svedoci smo sve većeg broja ransomware napada koji se u poslednje vreme šire kako u našem regionu tako i u svetu. Veoma često su pogođeni ne samo pojedinci već i računari kompanija. Ovaj članak ima za cilj da malo detaljnije objasni kakva je zapravo ova pretnja i kako se razvijala kroz istoriju.

Svedoci smo sve većeg broja ransomware napada koji se u poslednje vreme šire kako u našem regionu tako i u svetu. Veoma često su pogođeni ne samo pojedinci već i računari kompanija. Ovaj članak ima za cilj da malo detaljnije objasni kakva je zapravo ova pretnja i kako se razvijala kroz istoriju.

Istorijski osvrt

Ako pogledamo šta je to što je prethodilo ransomware-u onda se moramo vratiti u 2005. godinu kada su se prvi put pojavile lažne poruke, tzv. „fix“, gde je korisnik dobijao informaciju na ekranu u vidu sistemskog upozorenja gde se kaže da su određene aplikacije loše konfigurisane i da će klikom na dugme „Repair Now“ sve lako i jednostavno rešiti. Treba imati u vidu da klik na ovo dugme može izazvati instalaciju bilo kakvog zlonamernog softvera na računar. Sledeća stavka u istorijskom razvoju jesu lažni antivirus programi koji su se pojavili 2010. godine i koji su imali interfejs veoma sličan pravim antivirus programima. Ovde je osnovna ideja bila dugme „Clean“ koje bi trebalo da navodno očisti zaražen računar. Ako uporedimo sa prethodnim ova pretnja je veoma slična. Sledeći u nizu bi bio zapravo prvi ransomware koji se pojavio 2012. godine, tzv. „Locker Ransomware“. Ovde je ideja da se računar zaključa i da se traži otkup kako bi se računar otključao. Ono što ovde treba zapaziti jeste da u ovom momentu fajlovi na računaru nisu kriptovani već je samo desktop zaključan. Priključivanjem hard diska na drugi računar ili boot-ovanjem sistema sa nekog live CD/USB diska moguće je neometano pristupiti fajlovima. I na kraju, negde krajem 2013. i početkom 2014. godine pojavljuje se prvi pravi ransomware kakav danas poznajemo a to je tzv. „Crypto Ransomware“ koji šifruje sve fajlove na hard disku zaraženog računara, postavlja ih u neku svoju ekstenziju i traži otkup u bitcoin valuti kako bi dobili pristup svojim podacima.

Kako je sve počelo – Zeus trojanac

Savremena vrsta ransomware-a koja kriptuje fajlove, pod nazivom CryptoLocker, pojavila se prvi put zajedno sa jednom ozbiljnom pretnjom poznatom kao Zeus trojanac koji je gađao Microsoft Windows operativni sistem. Ovo je bio trojanac koji se pojavio krajem 2007. godine i koji se koristio primarno za krađu podataka. Među žrtvama trojanca se nalaze i Bank of America, NASA, ABC, Oracle, Cisco, Amazon i još mnogo poznatih kompanija i vladinih institucija. Međutim, pored ovoga detektovano je da je početkom septembra 2013. godine izkorišćen Zeus za skrivenu instalaciju i širenje CryptoLocker-a. Polovinom 2014. godine je ustanovljeno da postoji napredna verzija botnet mreže pod nazivom Gameover Zeus koja je pored toga što je služila za krađu bankarskih podataka korišćena i za širenje CryptoLocker-a.

Da li da platim ako se zarazim?

Na ovo pitanje odgovor je skoro uvek negativan iz dva razloga:

  • samim plaćanjem finansira se dalji razvoj ovakvih grupa i alata;
  • niko ne daje garanciju da time što ćete platiti i što ćete pristupiti svojim fajlovima neko neće ponovo iskoristiti isti način da ponovo šifruje i traži otkup.

Međutim, ako su podaci koji su kriptovani toliko bitni da ugroze poslovanje određene firme ili rad nekog pojedinca u tom slučaju bi trebalo razmisliti da li platiti otkup podataka.

Naravno, pre toga je potrebno proveriti dve stvari:

  • da li imamo neki backup svojih podataka na nekom offline medijumu i koliko je taj backup star, odnosno od kada su nam ti podaci (pokazalo se da je za sada ovo jedini lek, čak i online backup
  • sistemi mogu biti šifrovani u određenim slučajevima);
    da li postoji besplatan dekriptor za taj tip ransomware-a kojim je zaražen računar.

No More Ransom (NMR) inicijativa

Ova inicijativa je pokrenuta pre nekih godinu dana od strane Europol-a, nemačke policije, Intel Security-ja i Kaspersky Lab-a a sa ciljem da se omogući žrtvama ransomware-a da besplatno dekriptuju svoje fajlove. Na NMR sajtu moguće je pronaći veći broj besplatnih dekriptor alata. Po nekoj statistici od decembra prošle godine preko 10.000 žrtava je uspelo da besplatno povrati svoje fajlove. Platforma je trenutno dostupna na 14 jezika i na njoj se nalazi tačno 40 besplatnih dekriptor alata. Postoji trend da se veliki broj organizacija priključuje ovoj inicijativi i da je ovo baš lep primer saradnje različitih zemalja oko zajedničkog cilja, borbe protiv ransomware-a. Neki koji su se priključili inicijativi od decembra prošle godine su Avast, CERT Poljske, ElevenPaths, kao i organizacije za sprovođene zakona iz Interpola, Australije, Belgije, Izraela, Južne Koreje, Rusije i Ukrajine.

Author: Igor Franc
Scroll