Vyděračské viry: 10 nejvážnějších hrozeb, které představuje ransomware

Vyděračské viry: 10 nejvážnějších hrozeb, které představuje ransomware

  • Ransomware je jednou z největších kybernetických hrozeb
  • Šifruje uživatelům soubory a požaduje po nich výkupné
  • Představíme vám deset největších hrozeb

Jigsaw – „Zahrajeme si takovou hru!“

Ransomware Jigsaw vznikl v březnu roku 2016 a je inspirován hororovou sérií Saw. Po spuštění zobrazoval obrázek loutky, výši výkupného a červené digitální hodiny. Na rozdíl od ostatních tento malware soubory nejen šifruje, ale také je maže a každou hodinu navyšuje požadovanou částku.

Ransomware Jigsaw 
Ransomware Jigsaw

Jigsaw tak hraje s uživatelem hru, kdy během prvních 24 hodin každou hodinu smaže několik souborů. Druhý den vymaže stovky souborů, třetí den pak tisíce, dokud nebude zaplaceno výkupné. Pokud se uživatel pokusí s ransomwarem manipulovat nebo restartuje počítač, odstraní malware tisíc souborů jako „trest“.

Novější verze ransomwaru pak sice nepoužívaly obrázek ikonické postavičky, stále se však označovaly jako Jigsaw. Šíří se jako příloha nevyžádané zprávy a spoléhá tak na akci uživatele, který přiložený soubor otevře, což se skutečně v mnoha případech stalo.

Pokračování 2 / 10

WannaCry – chce se vám plakat?

Kmen ransomwaru WannaCrypt (označovaný také jako WannaCry) se začal šířit 12. května 2017 a je považován za jeden z největších útoků v historii ransomwaru. Škodlivý kód infikoval stovky tisíc zařízení po celém světě a ovlivnil jak soukromé firmy, tak i instituce jako jsou banky, telekomunikační společnosti a nemocnice v asi 150 zemích.

Ransomware WannaCry
Ransomware WannaCry

Největší dopady byly zaznamenány ve zdravotnictví, kde WannaCry odstavil z provozu důležité lékařské systémy, způsobil chaos a přímo ovlivňoval životy mnoha pacientů. I v dalších odvětvích však byly následky jeho útoku nedozírné.

Tento ransomware se stal ukazatelem smutného faktu, jak jednotlivci i síťoví administrátoři zanedbávali aktualizace operačního systému Windows. WannaCry totiž zneužíval chybu v protokolu Windows Server Message Block (SMB), označovanou jako EternalBlue. Ničivému útoku bylo možné zabránit, protože záplata bezpečnostní díry byla v tu dobu k dispozici již celé dva měsíce.

Jakmile WannaCry získal přístup k počítačům se systémem Windows, zašifroval uživatelské soubory. Následně, jak je u ransomwaru běžným zvykem, zobrazil zprávu s požadavkem na výkupné za opětovné zpřístupnění dat ve výši v přepočtu mezi 7 a 14 tisíci korunami.

Pokračování 3 / 10

Petya/NotPetya – bez návratu zpět

Pouhý měsíc po ransomwaru WannaCry proběhl další útok, který zasáhl tisíce firem a institucí po celém světě. První verze malwaru Petya se šířila jako příloha e-mailových zpráv již v roce 2016 a vyznačovala se infikací hlavního spouštěcího záznamu pevného disku (MBR).

Ransomware Petya 
Ransomware Petya

Malware následně šifroval tabulku systémového souboru (MFT) a znemožnil start operačního systému. Místo Windows se uživateli zobrazil požadavek na zaplacení výkupného v bitcoinech. V červnu 2017 se objevila nová verze, která k šíření využívala bezpečnostní díru EternalBlue. Bezpečnostní firma Kaspersky označila novou mutaci jako NotPetya.

Očividně ani měsíc poté, co bezpečnostní nedostatek EternalBlue ve velkém zneužil ransomware WannaCry, nemělo mnoho počítačů nainstalovanou příslušnou záplatu. Útok, zaměřený především na Ukrajinu, tak opět slavil úspěch v podobě mnoha napadených systémů. Upravená varianta však nebyla schopna v případě zaplacení výkupného vrátit zpět provedené změny, tedy dešifrovat soubory.

Pokračování 4 / 10

Bad Rabbit – falešný Adobe Flash

Útok ransomwaru Bad Rabbit následoval po škodlivých aplikacích WannaCry a NotPetya. V říjnu 2017 infikoval především organizace v Rusku, na Ukrajině a ve východní Evropě. K infiltraci využíval kompromitované webové stránky a vydával se za instalační program Adobe Flashe.

Ransomware Bad Rabbit 
Ransomware Bad Rabbit

„Zlý králík“ dokázal napadnout například tiskovou agenturu Interfax, mezinárodní letiště v ukrajinské Oděse, kyjevské metro či ukrajinské ministerstvo dopravy. Zaznamenán byl i v dalších zemích – například v Turecku, Německu, Polsku, Japonsku, Jižní Koreji a ve Spojených státech.

Po instalaci aplikace došlo tradičně k zašifrování dat. Uživatel byl následně směrován na webové stránky, kde byl seznámen s požadavkem na zaplacení výkupného v bitcoinech v určeném čase. Nejčastěji byla požadována částka odpovídající 6000 korunám s termínem splatnosti 40 hodin.

Pokračování 5 / 10

Locky – se svolením uživatele

Locky je jednou z nejúspěšnějších forem ransomwaru, která se objevuje opakovaně a pokaždé se vrací silnější a záludnější. Obvykle je distribuován prostřednictvím spamových kampaní, protože jde o jeden z nejjednodušších a nejlevnějších způsobů, jak doručit malware k uživateli.

Ransomware Locky 
Ransomware Locky

Také v tomto případě hraje hlavní roli uživatel – pokud vyslyší naléhavou žádost, stáhne „důležitý“ dokument a povolí makra, jak je požadováno ve zprávě, okamžitě ztratí přístup k obsahu svého počítače. Následně se dočká požadavku na zaplacení výkupného výměnou za dešifrovací klíč.

Locky šifruje důležité datové soubory, připojené síťové disky a složky, bitcoinové peněženky a soubory služby Snapshot Service (VSS). Jednou z nejznámějších obětí je Hollywood Presbyterian Medical Center, kde ransomware donutil nemocnici dočasně vypnout informační systémy, zavřít několik oddělení a směrovat pacienty jinam. Zařízení nakonec zaplatilo výkupné v přepočtu 1,6 milionu korun.

Přestože schéma šíření zní možná až příliš jednoduše, ransomware Locky jasně ukazuje, kolik uživatelů dokáže podlehnout phishingu, otevřít škodlivou přílohu a extrahovat soubory z komprimovaného archivu ZIP.

Pokračování 6 / 10

Jaff – masivní spamová kampaň

Jaff je kmen ransomwaru, který je velmi podobný Locky. Na první pohled je docela jednoduchý a přesto, nebo možná právě proto, velmi úspěšný. Šíří se také jako spam a k odesílání škodlivých e-mailů využívá botnet Necurs. Potenciální oběti oslovuje působivou rychlostí přibližně 5 milionů e-mailů za hodinu.

Ransomware Jaff 
Ransomware Jaff

Stejně, jako mnoho jiných variant ransomwaru, také Jaff přichází jako příloha ve formátu PDF. Jakmile uživatel soubor otevře, zobrazí se dokument s jedním řádkem textu a vyskakovací okno s dotazem, zda chce otevřít vložený dokument. V případě kladné odpovědi se následně otevře dokument MS Word s instrukcemi, jak vypnout ochranu proti makrům.

Jestliže i tomuto uživatel uvěří a povolí makra, dojde ke stažení binárního souboru Jaff. Pak již následuje tradiční zašifrování dokumentů a vznesení požadavku na zaplacení výkupného. Pro další podrobnosti je uživatel směrován na stránku na dark webu.

Ve srovnání s Locky a podobným ransomwarem lze Jaff označit za poměrně drahý. Pokud chtějí uživatelé získat zpět své zašifrované soubory, musí zaplatit výkupné v přepočtu bezmála 70 tisíc korun. Většina ransomwaru se přitom spokojí s výkupným v řádu tisícikorun.

Pokračování 7 / 10

Cerber – ransomware jako služba

Cerber je ukázkou, kam se vyvíjí technologie ransomwaru. Je totiž nabízen jako služba „ransomware-as-a-service“ (RaaS). V praxi to znamená, že si kdokoli může koupit útok výměnou za čtyřicet procent ze získané finanční částky.

Ransomware Cerber 
Ransomware Cerber

Cerber cílil na cloudové uživatele Office 365 a používal propracovanou phishingovou kampaň, díky které ovlivnil miliony uživatelů po celém světě. Dařilo se mu zejména v postsovětských zemích, jako jsou Arménie, Ázerbájdžán, Bělorusko, Gruzie, Kyrgyzstán, Kazachstán, Moldavsko, Rusko, Turkmenistán, Tádžikistán, Ukrajina nebo Uzbekistán.

Útok probíhá tak, že oběť obdrží e-mail s připojeným infikovaným dokumentem Microsoft Office. Jakmile je ransomware spuštěn, může během šifrovací fáze běžet tiše na pozadí, aniž by vzbudil jakékoli podezření. Po dokončení šifrování najde uživatel informace o výkupném v zašifrovaných složkách a často i v podobě tapety na pozadí.

V období svého vrcholu na začátku roku 2017 Cerber představoval 26 % všech infekcí ransomwarem. Používá silné šifrování RSA a v současné době nejsou k dispozici žádné dekodéry, které by dokázaly získat zašifrované soubory zpět.

Pokračování 8 / 10

Ryuk – benešovská vzpomínka

V našem přehledu pochopitelně nemůže chybět ransomware Ryuk, který se u nás nechvalně proslavil především úspěšným útokem na benešovskou nemocnici Rudolfa a Stefanie. Ryuk je součástí poměrně nové rodiny ransomwaru, která byla poprvé zaznamenána v srpnu 2018.

Ransomware Ryuk 
Ransomware Ryuk

Na rozdíl od ransomwarů, zneužívajících bezpečnostní díry nebo spam, je Ryuk využíván k cíleným útokům na konkrétní organizace. Zaměřuje se hlavně na velké cíle, u kterých lze předpokládat, že budou ochotné zaplatit spoustu peněz za obnovení svých souborů.

Ryuk používá k šifrování souborů robustní algoritmy, jako jsou RSA4096 a AES-256. Následně požaduje zaplacení výkupného v rozsahu od 15 do 50 bitcoinů, tedy v přepočtu mezi 3 a 10 miliony korun. Svým tvůrcům vydělal již 85 milionů korun, které získali v 52 platbách.

Odborníci na základě studia zdrojových kódů původně předpokládali, že Ryuk má kořeny v Severní Koreji. Vycházeli z toho, že většina kódu je shodná s ransomwarem Hermes, nicméně další zkoumání ukázalo, že autoři pravděpodobně pocházejí z Ruska a škodlivou aplikaci postavili na ukradeném kódu.

Pokračování 9 / 10

Dharma – zadejte heslo!

Dharma je kryptovirus, který k označení šifrovaných souborů používá kontaktní e-mail a náhodné kombinace písmen. Poprvé zasáhl svět v roce 2016, nicméně jeho autoři pravidelně vydávají nové verze. Poslední varianty z roku 2019 mění přípony souborů na .gif .AUF, .USA, .xwx, .best a .heets.

Ransomware Dharma 
Ransomware Dharma

Největšího úspěchu zaznamenal tento škodlivý kód v listopadu 2018, kdy infikoval nemocnici v Texasu a zašifroval mnoho uložených záznamů. Naštěstí se nemocnice dokázala vzpamatovat z útoku, aniž by zaplatila výkupné.

Nejnovější varianty jsou stále distribuovány prostřednictvím nevyžádané pošty, obsahující přílohu. Uživatel je obsahem zprávy přesvědčován k otevření přiloženého souboru – pokud tak učiní, je následně vyzván k zadání hesla obsaženého v textu.

Poté dojde ke stažení samorozbalovacího archivu s názvem Defender.exe a odinstalaci antivirového programu ESET (je-li v počítači nainstalován). Pozornost uživatele během šifrování odvádí grafické rozhraní aplikace ESET. Po zašifrování souborů následuje tradiční požadavek na výkupné.

Pokračování 10 / 10

Bitpaymer – oběti nešetří

Bitpaymer patří na ransomwarové scéně k novinkám – dle Symantecu byl objeven v červenci 2019. Zatímco většina autorů ransomwaru se zaměřuje na zásah velkého počtu obětí, po kterých požadují relativně nízké výkupné, Bitpaymer své oběti rozhodně nešetří. Zaměřuje se na velké organizace, po kterých požaduje částky v přepočtu od 2 do 5,5 milionů korun.

Kromě zašifrování souborů hrozí, že pokud nebudou splněny požadavky na zaplacení výkupného, předá ransomware důvěrná data médiím. Sofistikovanost a vlastnosti přivedly společnost ESET k vysledování původu – za Bitpaymerem stojí tvůrci Dridexu – nechvalně známého trojského koně, který způsobil zmatek v bankovním průmyslu.

Trojan ukončuje na napadeném počítači procesy databázových serverů a zašifruje všechny soubory, přičemž jejich příponu změní na .lock. Kromě toho odstraní všechny stínové kopie, aby zabránil obnovení počítače do předchozího stavu.

Určitě si přečtěte

Články odjinud