Η Μάστιγα του Ransomware

Υπάρχουν πολλών ειδών ιοί και Worms.’Oσοι όμως ανήκουν στην κατηγορία των ransomware,όπως το πρόσφατο WannaCry είναι πανέξυπνοι. Δεν καταστρέφουν τον υπολογιστή,ούτε αποσπούν ευαίσθητα δεδομένα. Αυτό που κάνουν ειναι να κρυπτογραφούν όλα τα σημαντικά αρχεία και να ζητούν λύτρα προκειμένουν να τα απελευθερώσουν. Τα στατιστικά δεν ειναι καθόλου καλά .Οι επιθέσεις ransomware το τελευταίο διάστημα στοχεύουν κατα κύριο λόγο τις επιχειρήσεις, διότι εκεί τα δεδομένα είναι τα πιο κρίσιμα και τα χρήματα περισσότερα.Ο λόγος για την τάση αυτή ειναι ξεκάθαρος: οι εγκληματίες θεωρούν ότι οι επιθέσεις με προγράμματα ransomware εναντίον επιχειρήσεων  έχουν προοπτικές για μεγαλύτερα κέρδη σε σχέση με τις μαζικές επιθέσεις εναντίον ιδιωτών.Μια επιτυχημένη ransomeware επίθεση εναντίον μιας εταιρίας μπορεί εύκολα να σταματήσει την εύρυθμη λειτουργεία της επιχείρησης για ώρες ακόμα και ημέρες, καθιστώντας τους ιδιοκτήτες των εταιρειών που έχουν δεχθεί επίθεση πιο πιθανούς υποψήφιους για να πληρώσουν λίτρα.

Πως μεταδίδεται το ransomware

Όπως και κάθε άλλος ιός, έτσι και το ransomware μολύνει έναν υπολογιστή από κάποιο e-mail ή αρχείο που κατέβηκε απο κάποιο website.Τα ψεύτικα αρχεία όπως media players ή αναβαθμίσεις του Flash είναι ο πιο συνηθισμένος τρόπος διάδοσης των ransomware ιών,όπως επίσης και τα e-mails με θέμα που μοιάζει κάπως έτσι: «σας στέλνουμε αποδεικτικό της πληρωμής σας», το οποίο περιέχει κάποιο επισυναπτόμενο αρχείο doc ή zip.Εαν κάποιος κάνει  το λάθος και το ανοίξει  η μόλυνση ξεκινά.

 

Απο την στιγμή που ένα ransomware βρεθεί στον υπολογιστή του θύματος θα ξεκινήσει να ψάχνει όλους τους δίσκους (εσωτερικούς,εξωτερικούς και δικτυακούς)για προσωπικά αρχεία (για παράδειγμα DOC,DO CX. XLS. PPT.PSD .PDF .EPS. AI.CDR. JPG,κ.λ.π),δηλαδή έγγραφα και αρχεία media.Δεν θα πειράξει όμως αρχεία συστήματος,διότι για να πετύχει τον σκοπό του,χρειάζεται έναν λειτουργικό υπολογιστή.Επιπλέον,θα κρυπτογραφήσει και αρχεία που βρίσκονται στο δύκτιο ,εφόσον οι δικτυακοί υπολογιστές και φακέλοι έχουν αντιστοιχιστεί με κάποιο γράμμα δίσκου.Μάλιστα,εκτός απο την ίδια την κρυπτογράφηση στο περιεχόμενο , το ransomware αλλάζει τόσο το όνομα των αρχείων όσο και τη κατάληξη με τυχαία γράμματα και αριθμούς ούτος ώστε να μην μπορεί κανείς να καταλάβει ούτε απο το όνομα για ποια αρχεία πρόκειται.Όπως προαναφέραμε οι ιοί ransomware χρησιμοποιούν το πανίσχυρο αλγόρυθμο κρυπτογράφησης RSA-2048(AES CBC 256-BIT) που σημαίνει ότι ο μόνος τρόπος να αποκρυπτογραφήσει κανείς τα αρχεία είναι με το ιδιωτικό «κλειδί» του.Μαζί με το κλείδωμα των προσωπικών του αρχείων του θύματος , οι εγκληματίες δίνουν και οδηγίες ξεκλειδώματος οι οποίες περιλαμβάνουν αναλυτικά τα βήματα πληρωμής σε Bitcoin (για να μην είανια ανιχνεύσιμη η πληρωμή προφανώς).Εαν τα λύτρα δεν δοθούν σε κάποιο χρονικό διάστημα , διπλασιάζονται.

Αποκρυπτογράφηση τώρα

Εάν κάποιος μολυνθεί με κάποιο ransomware το πρώτο πράγμα που πρέπει να κάνει είναι να το αφαιρέσει.’Ολα τα εργαλεία internet security που κυκλοφορούν στην αγορά είναι σε θέση να εντοπίζουν και να αφαιρούν το ransomware.Και φτάνουμε στο πιο σημαντικό: μπορεί κανείς να πάρει τα αρχεία του πίσω;Δυστηχώς όπως είπαμε και στην αρχή,τα πράγματα δεν είναι και τόσο απλά..Υπάρχουν διάφορα εργαλεία αποκρυπτογράφησης αλλά δεν είναι γενικής φύσεως και απευθύνονταισε συγκεκριμένα ransomware οπως για παράδειγμα το Coin Vault,το Βιtcryptor,το TeslaCrypt και το πιο πρόσφατο Wanna Cry.