Рансъмуер е вирус със зловреден код, който пречи на нормалния достъп до системата или файловете, освен ако жертвата не плати откуп.
Рансъмуер датира от почти десет години и подобно на много заплахи за компютърната сигурност, той произхожда от Русия. За съжаление, този зловреден код еволюира и днес е много по-мощен, а злосторниците искат все по-големи откупи.
В началото
Рансъмуер е регистриран за първи път в Русия между 2005 и 2006 година. Зловредният код бил създаден от руски организирани престъпници и бил насочен предимно към руснаци, както и към някои от съседните страни като Беларус, Украйна и Казахстан.
Един от рансъмуер вариантите се нарича TROJ_CRYZIP.A. Той е бил открит през 2006 година, много преди терминът да е бил измислен. До голяма степен били засегнати машини, работещи с Windows 98, ME, NT, 2000, XP и Server 2003. За да възстанови своите файлове, жертвата трябвало да плати $300 в E-Gold сметка.
E-Gold може да бъде описан като предшественик на Bitcoin. E-Gold е виртуална валута, която се управлява от компания, базирана във Флорида, но регистрирана в Сейнт Китс и Невис. Тя бързо се превръща в предпочитана валута от организираните престъпници като метод за пране на мръсни пари. По тази причина правителството на САЩ през 2009 година забрани дейността на компанията. Ето защо по-късните варианти рансъмуер вече използват анонимни крипто валути като Bitcoin, предплатени дебитни карти и дори телефонни номера с добавена стойност като метод на плащане.
TROJ_RANSOM.AQB е друг рансъмуер вариант идентифициран от Trend Micro през 2012 година. Неговият начин на заразяване е да замени Master Boot Record (MBR) на Windows със свой злонамерен код. Master Boot Record е раздел на твърдия диск на компютъра, който позволява на операционната система да се зареди. MBR рансъмуер променя MBR на компютъра така, че нормалният процес на зареждане се прекъсва и вместо това на екрана се появява искане за откуп.
Когато компютърът се рестартира, потребителят вижда съобщение за искан откуп, написано на руски. То иска от жертвата да плати 920 украински гривни („гри́вня“ или „гри́вна“ е националната парична единица в Украйна, въведена през 1996 г.) през QIWI – руска система за разплащания, базирана в Кипър. Щом жертвата плати откупа, получава код, който му позволява да възстанови нормалната работа на своя компютър.
Заплахата се разраства
През 2010 година заплахата вече засяга целия свят, а не само Русия и съседните ѝ държави. По това време, създателите на рансъмуер се представяха като служители на закона, за да вземат откупа. Те обвиняваха жертвата, че е замесена в престъпление – като нарушение на авторски права или незаконна порнография – и обявяваха компютъра за обект на разследване, с което обясняваха факта, че е заключен. След това на жертвата се дава избор – да плати „глоба“ или арест и затвор. Най-широко разпространения вариант на този вид рансъмуер беше Reveton. Reveton обаче не криптираше файловете на потребителя и можеше да бъде отстранен без никакви странични ефекти.
CryptoLocker: първият крипто-рансъмуер
Крипто рансъмуер използва почти неразбиваемо криптиране на файловете на потребителя, така че дори и злонамереният софтуер да бъде отстранен, файловете остават заключени и се налага жертвата да плати откупа. CryptoLocker е първият широко разпространен крипто-рансъмуер, който се появява към края на 2013 година. Той се разпространява чрез заразени прикачени в имейла файлове. От жертвата се иска да плати $ 400 или € 400, или чрез Bitcoin, или чрез GreenDot MoneyPak – предплатена ваучер система предпочитан от кибер престъпниците. През месец юни 2014 година, FireEye и Fox-IT получили достъп до база данни с частни ключове, използвани от CryptoLocker. След това те пуснаха услуга, която позволява на жертвите да декриптират своите файлове безплатно.
TorrentLocker и CryptoWall: рансъмуер става по-интелигентен
TorrentLocker е един от първите подобрени варианти на рансъмуер, който се появи малко след падането на CryptoLocker. Подобно на повечето форми на крипто-рансъмуер, заразата става със зловредни прикачени файлове към имейл, най-вече Word документи със злонамерени макроси. След като машината е заразена, кода криптира файловете с AES криптиране.
CryptoWall 4.0 е най-новият щам в семейството на крипто-рансъмуер. Злонамереният код преименува всички заразени файлове, като по този начин затруднява потребителя и той не може да определи кои файлове са криптирани и затруднява възстановяването им от резервни копия.
Discussion about this post