Hlavní navigace

Ransomware je na vzestupu, vydírání si můžete objednat

Roman Bořánek

Zašifrovat soubory a požadovat výkupné za dešifrování. To je ve zkratce princip ransomware. V minulém roce takto kyberzločinci „vydělali“ miliardu dolarů, mimo jiné díky rozmachu ransomware-as-a-service.

Ransomware je druh malwaru, který v posledních letechy rychle roste na popularitě. Jeho princip spočívá v tom, že uživateli zamezí v přístupu k jeho souborům Buď je to tak, že ransomware v systému postaví jednoduchou zeď, nebo tak, že rovnou zašifruje uživatelská data, takže k nim nelze přistupovat ani z jiného systému. Druhá varianta je vzhledem k dostupnosti šifrování častější a efektivnější.

Cílem je samozřejmě vylákat z oběti peníze. Žádné relevanatní statistiky sice nemáme, ale je pravděpodobné, že výnosnost ransomware oproti jiným typům malwaru bude podstatně vyšší. Zařazení počítače do botnetu útočníkovi přinese možná několik málo korun, ransomware v mnohých případech může vydělat i tisíce. Pokud uživatel nemá zálohy, tak jde o částku, kterou za obnovení dat mnohdy rád zaplatí.

Některé ransomware jsou navrženy velmi jednoduše, hlavně ze šifrovací stránky. Existují tak nástroje, které data dokážou rozšifrovat. Pokud je však šifrování implementováno správně a používají se silné šifrovací algoritmy, je skutečně nemožné se k datům bez šifrovacího klíče dostat. Ani nemluvě o tom, že některé ransomware ani s dešifrováním nepočítají a po zaplacení žádný klíč nedosanete.

Ransomware-as-a-service

Trendem posledních měsíců je ransomware-as-a-service (RaaS). V podstatě jde o to, že pokud se chcete stát internetovým kriminálníkem, můžete si od autorů malware koupit a často i personalizovat. Pokud byste čekali, že to bude stát tisíce dolarů, tak jste na omylu. Cena se typicky pohybuje v nižších stovkách dolarů. Autoři ransomware totiž nechtějí vydělávat na prodeji, ale na podílu ze zisku – zkrátka si určité procento ze získaných peněz (jak jinak než v bitcoinech) nechají. Jedinou starostí kupujícího je tak škodlivý software nějak rozšířit.

Dříve to bylo tak, že existovala možnost koupit si balíček kódu a na jeho základě ransomware postavit. Dnes už se ale dostáváme do bodu, kdy kupující nemusí umět téměř nic (doslova mu stačí proklikat se formulářem) a dostane personalizovaný ransomware za relativně nízkou cenu. Amatérskému kriminálníkovi tedy stačí vyrobit nějakou podvodnou stránku, ramsomware na ni umístit a poté jen sledovat, jak se mu na účtu objevují peníze nebohých obětí.

Přichází Satan – ransomware pro každého

Na novou úroveň celý byznys posouvá nedávno uvedený ransomware Satan. Zatímco většinu ransomware-as-a-service není až tak snadné najít, Satan se prezentuje naprosto otevřeně – i když samozřejmě v anonymizační síti Tor a na doméně .onion. Satan je průkopnický také v tom, že nevyžaduje ani žádný počáteční poplatek za zakoupení malware. Získat ho může zdarma každý, tvůrci vydělávají pouze na poplatcích, které jsou stanoveny na 30 % ze zaplaceného výkupného.

Po jednoduché registraci spočívající pouze v zadání přihlašovacího jména a hesla se kriminálník-začátečník dostane do administrátorského rozhraní pro svůj malware. Vytvoření vlastního ransomware je otázka chvíle. Stačí vyplnit výši výkupného a specifikovat systém, kterým se po uplynutí určitého období bude násobit. Docela vtipně potom působí poznámka nenahrávejte malware do VirusTotal nebo jiného on-line skeneru. Je vidět, že Satan skutečně cílí na v úvozovkách běžné uživatele. Součástí rozhraní je dokonce formulář, kde lze ransomware překládat do dalších jazyků.

Stejně tak Satan nezahrnuje klienta zbytečnými detaily. V ovládacím panelu lze sledovat v podstatě jen to, kolik systémů bylo infikovaných a za kolik z nich bylo zaplaceno výkupné. Výkupné přistává na bitcoinových adresách provozovatele, ale partner si ho může kdykoliv vybrat. Provozovatel dokonce slibuje, že svůj procentuální poplatek s rostoucím počtem zaplacení bude snižovat. Ve všech ohledech to zkrátka vypadá jako normální byznys. Až na to, že je samozřejmě velmi nelegální.

Ransomware je miliardový byznys

Jak ukazují různé statistiky, minulý rok byl pro ransomware opravdu úspěšný. Bezpečnostní společnost Trend Micro např. v roce 2015 identifikovala 29 rodin ransomware, minulý rok to bylo 145. A to jsou čísla pouze do září. Vyděrači jsou také mnohem troufalejší a dovolují si požadovat větší výkupné. Průměrný požadavek výkupného se zvýšil více než dvojnásobně na 679 dolarů z 294 dolarů na konci roku 2015, uvedla zase Orla Cox ze Symatecu. To však může být do určité míry dáno i volatilním kurzem Bitcoinu, ve kterém se výkupné vybírá.

V roce 2016 se škody způsobené ransomware odhadují na cca jednu miliardu dolarů, a to pokud počítáme pouze zaplacené výkupné. Škody samozřejmě budou ještě podstatně větší, vezmeme-li v potaz ztrátu dat. Nicméně takové škody se velmi obtížně vyčíslují. Pro srovnání, v roce 2015 se na výkupném vybraly jen nízké desítky miliónů dolarů. Podle Osterman Research se někdy obětí ransomware stala už polovina společností ve Spojených státech.

Nejúčinnější obranou je zdravý rozum

Jak se proti ransomware bránit? Žádná nová řešení neexistují, stále platí tradiční poučky: zálohovat a nestahovat a nespouštět software z podivných zdrojů, zvlášť s administrátorskými právy. Částečně pomůže detekce malware či škodlivých stránek v prohlížeči a také antivir, ale detekce nových rodin ransomware není okamžitá a antivirový software tedy určitě neposkytne stoprocentní ochranu.

Úplně imunní není ani Linux, pro který už se několik ransomware objevilo. Zřejmě prvním byl na podzim roku 2015 Linux.Encoder.1, který jsme na Rootu podrobně rozebrali. Důležité je si uvědomit, že ransomware málokdy zneužívá nějaké zranitelnosti systému a většinou spoléhá jen na to, že ho alespoň část uživatelů do systému dobrovolně pustí. A díky blbosti uživatelů a čím dál dostupnějším řešením RaaS se zdá, že ransomware bude bujet i nadále.

Co poradit, pokud už jsou data zablokována/zašifrována? Obecné doporučení samozřejmě zní vyděračům neplatit. Pro mnoho lidí jsou však data natolik důležitá, že se rozhodnou zaplatit i s vidinou nejistého výsledku. Nicméně po zašifrování ještě nemusí být všem dnům konec. Ideální je vypnout úložiště (vyndat ho z počítače) a vyčkávat, zda se časem neobjeví nějaký nástroj, který by data dokázal rozšifrovat. V několika málo případech se dokonce stalo, že autoři ramsomware z byznysu odešli a zveřejnili instrukce/klíče pro dešifrování.

Anketa

Znáte někoho, kdo se stal obětí ransomware?

Našli jste v článku chybu?
27. 1. 2017 22:45
zerohedge (neregistrovaný)

Kde je poptávka, tam je nabídka. A jelikož je to hodně výdělečný, tak to znamená, že poptávka je velká. Lidstvo má ještě dost práce, aby dospělo...