15/02/2017

Statystki roku 2016: 75% programów ransomware pochodzi z rosyjskojęzycznego podziemia przestępczego

Projekt specjalny Zagrożenia

Odbywająca się co roku konferencja RSA często przyciąga wielu użytkowników. Podczas tego wydarzenia można obejrzeć świetne wystąpienia, zwiedzić halę wystawową, wziąć udział w licznych imprezach, czy nawet pozwiedzać samo miasto San Francisco.

Zanim ocenisz jakieś wystąpienie, zazwyczaj potrzebujesz na to nieco czasu. Ja miałem na to całe sześć godzin lotu.

Na tegorocznej edycji RSAC 2017 Ransomware Summit obserwowałem wystąpienie Antona Iwanowa, starszego analityka szkodliwych programów w Kaspersky Lab, który zaskoczył mnie szokującymi informacjami.

Aż 47 z 62 rodzin programów szyfrujących pliki i żądających za nie okupu, które zostały wykryte przez naszych badaczy w zeszłym roku, utworzyli rosyjskojęzyczni cyberprzestępcy — co stanowi aż 75%. Jeszcze bardziej zdumiewające jest to, że wg telemetrii Kaspersky Lab w 2016 roku te rodziny ransomware zaatakowały ponad 1,4 miliona ludzi na całym świecie.

Podczas swojego wystąpienia Anton przytoczył wyniki badania, które przeprowadził jego zespół, obnażając strukturę siatki przestępczej zajmującej się takimi programami.

  • Tworzenie i aktualizacja rodzin programów typu ransomware.
  • Programy partnerskie rozprzestrzeniające ransomware.
  • Uczestnictwo w programie jako partner.

Gdy słuchałem jego wystąpienia, nasunęło mi się pytanie: skoro tak wiele wiemy o tej działalności przestępczej, dlaczego ona wciąż istnieje? Jak zauważył Ivanov, chodzi o pieniądze i bariery wejścia w ten biznes. Jeśli chcesz poznać szczegóły techniczne tego zagadnienia, przeczytaj nasz artykuł w serwisie Securelist, w którym to badanie zostało omówione w szerszym kontekście.

Jeśli się nad tym zastanowić, temat ten całkiem pasuje do tego miasta, gdyż w sumie mieszkało w nim kiedyś wielu złych ludzi – w izolowanym więzieniu w Bay.

Na czym polega ochrona przed programami żądającymi okupu

  1. Sumiennie rób kopie zapasowe swoich plików. Możesz wykorzystywać do tego celu chmurę lub dysk zewnętrzny. Ja robię ją na oba sposoby, ale pamiętaj, że jeśli jesteś zalogowany lub dysk zewnętrzny jest podłączony na stałe, program szyfrujący może sięgnąć i tam.
  2. Zainstaluj antywirusa, który będzie monitorować próby przedostania się do systemu ransomware. Kaspersky Total Security i Kaspersky Internet Security zawierają komponent Kontrola systemu, który monitoruje podejrzaną aktywność, często towarzyszącą atakom omawianych programów.
  3. Nie otwieraj załączników od nieznanych nadawców. Przed otwarciem danego dokumentu lub kliknięciem linku otrzymanego w wiadomości e-mail zastanów się, czy ufasz jego nadawcy.

A jeśli już padłeś ofiarą ransomware i nie masz kopii zapasowej swoich plików, nie płać okupu. Odwiedź stronę No More Ransom – jest to projekt tworzony przez Kaspersky Lab, organy ścigania, a nawet naszych niektórych konkurentów, którego celem jest zwalczanie ransomware.