Jedna od novijih vrsta zlonamjernog softvera poznata je kao ransomware. Ransomware je posebno gadna vrsta zlonamjernog softvera jer prolazi kroz i šifrira svaku datoteku na vašem računalu, a zatim vam pokazuje bilješku o otkupnini. Da biste otključali svoj uređaj, morate platiti otkupninu da biste zatim dobili kod za otključavanje. Povijesno gledano, većina ransomware kampanja zapravo dešifriraju datoteke nakon što se otkupnina plati, kao publicitet o hakerima koji podržavaju svoj dio pogodbe važan je dio uvjeravanja ljudi platiti.
Napomena: Općenito se preporučuje da ne plaćate otkupninu. To i dalje dokazuje da ransomware može biti isplativ, a također ne jamči da ćete ponovno dobiti pristup svojim podacima.
Savjet: Šifriranje je proces šifriranja podataka šifrom i ključem za šifriranje. Šifrirani podaci mogu se dešifrirati samo korištenjem ključa za dešifriranje.
Kako radi?
Kao i svaki zlonamjerni softver, ransomware mora doći na vaše računalo da bi se pokrenuo. Postoje mnoge potencijalne metode zaraze, ali neke od najčešćih metoda su zaražena preuzimanja na web-stranicama, zlonamjerno oglašavanje i zlonamjerni privitci e-pošte.
Savjet: zlonamjerno oglašavanje je praksa isporuke zlonamjernog softvera putem reklamnih mreža.
Nakon što se preuzme na vaše računalo, ransomware će početi šifrirati datoteke u pozadini. Neke varijante će to učiniti što je brže moguće, možda ćete primijetiti da to utječe na performanse vašeg sustava, ali tada ćete imati malo vremena za bilo što poduzeti. Neke varijante ransomwarea će sporo šifrirati podatke, kako bi se smanjila mogućnost da se primijeti na djelu. Nekoliko varijanti ransomwarea neaktivno je tjednima ili mjesecima kako bi bile uključene u bilo koje sigurnosne kopije koje bi se mogle koristiti za vraćanje sustava.
Savjet: Ransomware obično izbjegava šifriranje kritičnih sistemskih datoteka. Windows bi i dalje trebao raditi, ali sve osobne datoteke itd. bit će šifrirane.
Nakon što ransomware šifrira sve na računalu, njegov konačni čin je stvaranje bilješke o otkupnini, obično na radnoj površini. Otkupnina općenito objašnjava što se dogodilo, daje upute o tome kako platiti otkupninu i što će se dogoditi ako to ne učinite. Općenito je također postavljeno vremensko ograničenje, uz prijetnju poskupljenja ili brisanja ključa koji se koristi za poticanje ljudi da plate.
Brojne varijante ransomwarea pružaju značajku koja vam omogućuje dešifriranje malog broja datoteka kao gestu "dobre volje" kojom se dokazuje da se vaše datoteke mogu dešifrirati. Način plaćanja obično će biti bitcoin ili razne druge kriptovalute. Napomena za otkupninu općenito pruža niz poveznica na web-mjesta na kojima možete kupiti relevantne kriptovalute, u nastojanju da se ljudima olakša njihovo plaćanje.
Nakon što dostavite plaćanje ili ponekad dokaz o plaćanju, općenito ćete dobiti ključ za dešifriranje koji možete koristiti za dešifriranje svojih podataka. Nažalost, postoje neke varijante koje nikada ne dešifriraju, čak i ako platite - drugim riječima, NE treba plaćati, nego tražiti druga rješenja.
Proces šifriranja na vašem računalu općenito se izvodi s nasumično generiranim simetričnim ključem za šifriranje. Taj se ključ za šifriranje zatim šifrira asimetričnim ključem za šifriranje, za koji kreator ransomwarea ima odgovarajući ključ za dešifriranje. To znači da samo kreator ransomwarea može dešifrirati lozinku koja vam je potrebna za dešifriranje vašeg računala.
Savjet: postoje dvije vrste algoritama za šifriranje, simetrični kraj asimetrični. Simetrična enkripcija koristi isti ključ za šifriranje i dešifriranje podataka, dok asimetrična enkripcija koristi drugačiji ključ za šifriranje i dešifriranje podataka. Asimetrična enkripcija omogućuje jednoj osobi da većem broju ljudi da isti ključ za šifriranje uz zadržavanje jedinog ključa za dešifriranje.
Neke varijante ransomwarea također uključuju značajke podrške koje vam omogućuju kontaktiranje osobe koja vodi prijevaru. Ovo je osmišljeno kako bi vam pomoglo da vas provede kroz proces plaćanja, međutim, neki ljudi su ga uspješno koristili kako bi pokušali sniziti cijenu.
Savjet: U nekim slučajevima, ransomware će se primijeniti kao sekundarna infekcija kako bi se pokušalo prikriti postojanje drugog virusa koji je možda tajno krao druge podatke. Namjera je, u ovom slučaju, prvenstveno šifrirati datoteke dnevnika i otežati odgovor na incident i forenzički proces. Ova vrsta napada općenito se koristi samo u visoko ciljanim napadima na tvrtke, a ne na opće korisnike računala.
Kako se zaštititi
Pažljivim na internetu možete smanjiti šanse da se zarazite ransomwareom i drugim zlonamjernim softverom. Ne biste trebali otvarati privitke e-pošte koje niste očekivali, čak i ako vjerujete pošiljatelju. Trebao bi nikada omogućite makronaredbe u uredskim dokumentima, osobito ako je dokument preuzet s interneta. Makronaredbe uredskih dokumenata uobičajena su metoda zaraze.
Blokator oglasa, kao što je uBlock Origin, može biti dobar alat za zaštitu od zlonamjernog oglašavanja. Također biste trebali osigurati da preuzimate datoteke samo s legitimnih i pouzdanih web-mjesta, jer se zlonamjerni softver često može sakriti u zaraženim preuzimanjima maskirajući se u besplatne verzije plaćenog softvera.
Posjedovanje i korištenje antivirusnog ili anti-zlonamjernog softvera općenito je dobra obrana od zlonamjernog softvera koji uspijeva proći vašu prvu liniju obrane.
Upomoć, zaražen sam!
Ako se nađete u poziciji da je ransomware preuzeo vaše računalo, možda ćete moći besplatno otključati ransomware. Priličan broj ransomware shema bio je loše osmišljen i/ili su ih već uklonile agencije za provođenje zakona.
U tim slučajevima, moguće je da je glavni ključ za dešifriranje identificiran i dostupan. Europolova EC3 (Europski centar za kibernetički kriminal) ima alat pod nazivom “Kripto šerif” koji se može koristiti za identificiranje vrste ransomwarea koji imate, a zatim vas povezati s ispravnim alatom za dešifriranje ako postoji.
Jedna od najboljih zaštita koje možete imati od ransomwarea su dobre sigurnosne kopije. Ove sigurnosne kopije trebale bi biti pohranjene na tvrdom disku koji nije povezan s računalom ili na istoj mreži kao i računalo kako bi se spriječilo da se i oni zaraze. Sigurnosna kopija treba biti povezana na zahvaćeno računalo tek nakon uklanjanja ransomwarea, inače će i ona biti šifrirana.