24/06/2016

Historia i ewolucja ransomware – fakty i liczby

Porady Zagrożenia

Ostatnio z wielką pompą powróciły programy żądające okupu. Czy te szkodliwe programy są kolejnym gorącym tematem, o którym każdy zapomni, zanim pojawi się kolejne duże zagrożenie? Niestety, ale tym razem to raczej niemożliwe: infekcje programów żądających okupu osiągają rozmiar pandemii, a ten rodzaj szkodliwego programu nie zniknie tak szybko. Nie próbuję Cię przestraszyć — no może troszkę, ale na pewno nie dla zabawy. Statystyki zebrane przez Kaspersky Security Network pokazują, że mamy do czynienia z naprawdę niebezpiecznym zagrożeniem.

ransomware-template-1-FB

Pierwsza fala: blokery

Historię programów wymuszających zapłatę można podzielić na dwie części: przed szyfrowaniem i po nim. Przodkami nowoczesnych programów szyfrujących były blokery. Programy te blokowały dostęp do systemu operacyjnego lub przeglądarki do momentu, aż ofiara zapłaciła okup. Płatność zazwyczaj polegała na wysłaniu wiadomości SMS na krótki numer (alternatywna numeru telefonu, często używana do celów charytatywnych) lub przesłaniu pieniędzy do elektronicznego portfela.

To szkodliwe oprogramowanie było całkiem dochodowe, dlatego chętnie wykorzystywali je przestępcy. Jednak eksperci bezpieczeństwa i organy ścigania szybko rozwiązały ten problem.

Wynaleźli oni skuteczne rozwiązanie i uderzyli w biznes cyberprzestępczy systemami płatności. Gdy zmieniły się zasady regulujące płatności elektroniczne, cyberprzestępczość stała się mniej dochodowa i bardziej ryzykowna, przez co wielu sprawców zostało złapanych.

Druga fala: kryptory

Kilka lat temu wszystko się zmieniło. Dużą popularność zdobyła waluta bitcoin, także wśród cyberprzestępców. Kryptowaluta ta jest zarówno aktywem cyfrowym, jak i systemem płatności, którego nie można wyśledzić czy poddać jakimkolwiek regulacjom, za co pokochali ją przestępcy. Ponadto złoczyńcy zaczęli stosować nowe podejście: nie blokują już dostępu do przeglądarek i systemów operacyjnych, ale szyfrują pliki przechowywane na dysku twardym komputera ofiary.

Dlaczego szyfrowanie jest takie skuteczne? Bo pliki prywatne są unikatowe, więc ponowna instalacja systemu na niewiele się zda. Jeśli szkodliwy program używa silnego szyfrowania, plików nie można przywrócić (odszyfrować), a to jest woda na młyn cyberprzestępców, którzy żądają za nie ogromnych kwot: kilkaset dolarów od konsumentów i tysiące dolarów od firm i korporacji.

Przez jakiś czas ta młoda generacja programów szyfrujących była mniej rozprzestrzeniona od starszych blokerów. Ale przestawienie się na nowe szkodliwe programy nie zajmie przestępcom zbyt dużo czasu: do końca 2015 roku liczba ataków programów żądających okupu rosła jak na drożdżach.

01

Według naszych analiz opartych na statystykach Kaspersky Security Network w ciągu jednego roku liczba ataków wzrosła ponad pięciokrotnie: od 131 111 prób zainfekowania użytkowników w okresie 2014–2015 do 718 536 w 2015–2016.

Globalna dystrybucja ataków i najbardziej aktywne rodziny ransomware

Pierwsza dziesiątka krajów, w których programów ransomware jest najwięcej, to: Indie, Rosja, Kazachstan, Włochy, Niemcy, Wietnam, Algieria, Brazylia, Ukraina i Stany Zjednoczone. Chociaż w Indiach, Algierii, Rosji, Wietnamie, Kazachstanie, Ukrainie i Brazylii są to w większości starsze i stosunkowo łagodne odmiany blokerów, to w Stanach Zjednoczonych 40% ofiar miało do czynienia z naprawdę niebezpiecznymi kryptorami. We Włoszech i Niemczech sytuacja jest jeszcze gorsza: w krajach tych określenie „program żądający okupu” stało się synonimem „programu szyfrującego dane”.

W okresie 2015–2016 najbardziej aktywne były cztery trojany: TeslaCrypt (odpowiedzialny za prawie połowę ataków, ale na szczęście stworzyliśmy dla niego narzędzie deszyfrujące), CTB-Locker, Scatter, i Cryakl (również udało nam się znaleźć dla niego program odszyfrowujący). Te cztery rodziny posiadały niemal 80% „rynku” szkodliwych programów.

1

Kolejny faktem wartym odnotowania jest to, że początkowo ransomware atakowało w większości użytkowników domowych, natomiast po „zaktualizowaniu” o funkcje szyfrujące zaczęło atakować także firmy: udział użytkowników korporacyjnych atakowanych ransomware wzrosła ponad dwukrotnie w okresie 2014–2015 w stosunku do 2015–2016, z 6,8% do 13,13%.

234

Więcej informacji na temat ewolucji programów wymuszających zapłaty w okresie 2014-2016  znajduje się w serwisie SecureList.com.

Jak się chronić

  1. Regularnie twórz kopie zapasowe.
  2. Używaj solidnego programu zabezpieczającego. Na przykład Kaspersky Internet Security, a także pozostałe nasze flagowe produkty, wykrywają i blokują wszystkie znane rodziny ransomware. Ponadto produkt ten posiada wbudowany moduł, który chroni przed najnowszymi, a nawet nieznanymi kryptorami.
  3. Regularnie aktualizuj oprogramowanie: łaty eliminują luki w oprogramowaniu, a im mniej luk, tym trudniej jest zainfekować system.
  4. Śledź wiadomości z cyberświata – na przykład tu, na Kaspersky Daily, lub w serwisie SecureList.pl— mając świadomość zagrożenia dzisiaj, unikniesz problemu jutro. Dziel się informacjami, rozmawiaj ze swoimi znajomymi, krewnymi i kolegami w pracy o najnowszych zagrożeniach.
  5. Jeśli padłeś ofiarą programu żądającego zapłaty, nie płać okupu, zanim nie wypróbujesz wszystkich możliwości. Jeśli z kolei Twój sprzęt zostanie zainfekowany programem blokującym, użyj naszego darmowego narzędzia WindowsUnlocker. A jeśli walczysz z programem szyfrującym, sprawdź naszą stronę NoRansom.kaspersky.com– może znajdziesz tam odpowiednie lekarstwo.