Η Μάστιγα του Ransomware

Υπάρχουν πολλών ειδών ιοί και Worms.’Oσοι όμως ανήκουν στην κατηγορία των ransomware, όπως το πρόσφατο WannaCry είναι πανέξυπνοι. Δεν καταστρέφουν τον υπολογιστή, ούτε αποσπούν ευαίσθητα δεδομένα. Αυτό που κάνουν είναι να κρυπτογραφούν όλα τα σημαντικά αρχεία και να ζητούν λύτρα προκειμένου να τα απελευθερώσουν. Τα στατιστικά δεν είναι καθόλου καλά. Οι επιθέσεις ransomware το τελευταίο διάστημα στοχεύουν κατά κύριο λόγο τις επιχειρήσεις, διότι εκεί τα δεδομένα είναι τα πιο κρίσιμα και τα χρήματα περισσότερα. Ο λόγος για την τάση αυτή είναι ξεκάθαρος: οι εγκληματίες θεωρούν ότι οι επιθέσεις με προγράμματα ransomware εναντίον επιχειρήσεων έχουν προοπτικές για μεγαλύτερα κέρδη σε σχέση με τις μαζικές επιθέσεις εναντίον ιδιωτών. Μια επιτυχημένη ransomeware επίθεση εναντίον μιας εταιρίας μπορεί εύκολα να σταματήσει την εύρυθμη λειτουργία της επιχείρησης για ώρες ακόμα και ημέρες, καθιστώντας τους ιδιοκτήτες των εταιρειών που έχουν δεχθεί επίθεση πιο πιθανούς υποψήφιους για να πληρώσουν λίτρα.

Πως μεταδίδεται το ransomware

Όπως και κάθε άλλος ιός, έτσι και το ransomware μολύνει έναν υπολογιστή από κάποιο e-mail ή αρχείο που κατέβηκε από κάποιο website. Τα ψεύτικα αρχεία όπως media players ή αναβαθμίσεις του Flash είναι ο πιο συνηθισμένος τρόπος διάδοσης των ransomware ιών, όπως επίσης και τα e-mails με θέμα που μοιάζει κάπως έτσι: “σας στέλνουμε αποδεικτικό της πληρωμής σας”, το οποίο περιέχει κάποιο επισυναπτόμενο αρχείο doc ή zip. Εάν κάποιος κάνει  το λάθος και το ανοίξει  η μόλυνση ξεκινά.

 

Από τη στιγμή που ένα ransomware βρεθεί στον υπολογιστή του θύματος θα ξεκινήσει να ψάχνει όλους τους δίσκους (εσωτερικούς, εξωτερικούς και δικτυακούς) για προσωπικά αρχεία (για παράδειγμα DOC, DOCX. XLS. PPT. PSD. PDF. EPS. AI. CDR. JPG, κ.λ.π), δηλαδή έγγραφα και αρχεία media. Δεν θα πειράξει όμως αρχεία συστήματος, διότι για να πετύχει τον σκοπό του, χρειάζεται έναν λειτουργικό υπολογιστή. Επιπλέον, θα κρυπτογραφήσει και αρχεία που βρίσκονται στο δίκτυο, εφόσον οι δικτυακοί υπολογιστές και φάκελοι έχουν αντιστοιχιστεί με κάποιο γράμμα δίσκου. Μάλιστα, εκτός από την ίδια την κρυπτογράφηση στο περιεχόμενο, το ransomware αλλάζει τόσο το όνομα των αρχείων όσο και τη κατάληξη με τυχαία γράμματα και αριθμούς ούτως ώστε να μην μπορεί κανείς να καταλάβει ούτε από το όνομα για ποια αρχεία πρόκειται. Όπως προαναφέραμε οι ιοί ransomware χρησιμοποιούν το πανίσχυρο αλγόριθμο κρυπτογράφησης RSA-2048(AES CBC 256-BIT) που σημαίνει ότι ο μόνος τρόπος να αποκρυπτογραφήσει κανείς τα αρχεία είναι με το ιδιωτικό “κλειδί” του. Μαζί με το κλείδωμα των προσωπικών αρχείων του θύματος, οι εγκληματίες δίνουν και οδηγίες ξεκλειδώματος οι οποίες περιλαμβάνουν αναλυτικά τα βήματα πληρωμής σε Bitcoin (για να μην είναι ανιχνεύσιμη η πληρωμή προφανώς). Εάν τα λύτρα δεν δοθούν σε κάποιο χρονικό διάστημα, διπλασιάζονται.

Αποκρυπτογράφηση τώρα

Εάν κάποιος μολυνθεί με κάποιο ransomware το πρώτο πράγμα που πρέπει να κάνει είναι να το αφαιρέσει. Όλα τα εργαλεία internet security που κυκλοφορούν στην αγορά είναι σε θέση να εντοπίζουν και να αφαιρούν το ransomware. Και φτάνουμε στο πιο σημαντικό: μπορεί κανείς να πάρει τα αρχεία του πίσω; Δυστυχώς όπως είπαμε και στην αρχή, τα πράγματα δεν είναι και τόσο απλά. Υπάρχουν διάφορα εργαλεία αποκρυπτογράφησης αλλά δεν είναι γενικής φύσεως και απευθύνονται σε συγκεκριμένα ransomware όπως για παράδειγμα το Coin Vault, το Βιtcryptor, το TeslaCrypt και το πιο πρόσφατο Wanna Cry.