Ransomware

druh škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu

Ransomware (jiné názvy: vyděračský software,[1][2][3] vyděračský program;[4] angl. ransomware – složení anglických slov ransom „výkupné“ a software) je druh škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Některé formy ransomware šifrují soubory na pevném disku (kryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení.

Činnost

editovat

Ransomware se typicky šíří jako trojský kůň, případně jako červ, vstupující do systému například přes stažený soubor (nejčastěji jako příloha emailu) nebo skrze chybu v zabezpečení (například WannaCry). Program pak zatíží systém: například začne šifrovat data na disku.[5][6] Více sofistikované typy ransomware zašifrují data oběti pomocí náhodného symetrického klíče a fixního veřejného klíče. Pouze autor malware zná privátní klíč, pomocí kterého lze data rozšifrovat. Některé typy ransomware počítač jednoduše zamknou, typicky nastavením Windows Shell [7] nebo pomocí změny Master boot record či změny diskového oddílu[8], a umožní uživateli pouze zaplatit poplatek. Rozšiřování ransomware významně pomáhá expanze kryptoměn, které znemožňují dohledání útočníka podle platby.

Wiper na rozdíl od ransomwaru nevydírá, ale přímo odstraňuje data a soubory z počítačů a zařízení, která infikuje.

Historie

editovat
 
Brněnská Nemocnice Bohunice byla 13. března 2020 ochromena kyberútokem. Vzhledem k faktu, že se tato nemocnice podílí na testování vzorků krve odebrané lidem s podezřením na koronavirus a zároveň vyhlášenému stavu nouze na území ČR hrozí pachateli (či pachatelům) až výjimečný trest.

Historie ransomwaru se začala psát v roce 1989, kdy se trojan nazývaný AIDS začal rozšiřovat za pomoci disket i klasické pošty. Trojan AIDS uživateli nabízel databázi nakažených touto chorobou, ovšem také v pozadí počítal spuštění. Po dosažení 90 spuštění byl disk zašifrován a začal po uživateli vyžadovat tzv. licenční poplatek (výkupné) ve výši 189 dolarů. Tvůrcem prvního ransomwaru byl Dr. Joseph Popp, který nakonec unikl soudu díky své mentální nezpůsobilosti.

Na počátku 10. let byly známé ransomware Citadel či Reveton.[9][10] V červnu 2012 poskytovatel zabezpečení McAfee vydal zprávu, že nasbíral přes 250 000 unikátních vzorků ransomware. Pouze za první čtvrtletí 2013 se toto číslo zdvojnásobilo oproti roku 2012.[11]

Na počátku 20. let je ročně kolem půl miliardy útoků.[12]

Šifrovací ransomware

editovat

První známý ransomware byl objeven roku 1989 pod názvem „AIDS“ trojan (také znám jako „PC Cyborg“). Autorem byl Joseph Popp, jehož software prohlašoval, že určitému softwaru v počítači vypršela licence, zašifroval soubory na disku, a vyžadoval po uživateli platbu ve výši 189 amerických dolarů firmě „PC Cyborg Corporation“ za odemknutí systému. Popp byl prohlášen za duševně chorého, aby nemusel stanout před soudem, ale slíbil věnovat finanční prostředky, které vydělal svým malwarem, na podporu výzkumu AIDS.[13] Představa o použití asymetrického šifrování pro takový typ útoků byla představena v roce 1996 Adamem L. Youngem a Moti Yungem. Tito dva věřili, že „AIDS trojan“ byl neefektivní vzhledem k použití symetrického šifrování a představili koncept kryptoviru s použitím RSA a TEA. Young a Yung označovali tento útok jako „kryptovirální vydírání“ a jako „viditelný“ útok, který je součástí větší třídy útoků s označením kryptovirologie, která se zabývá jak skrytými tak viditelnými útoky.

Případy vyděračského ransomwaru se staly hlavním typem ransomwaru v květnu 2005.[14] V polovině roku 2006 červi jako Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip a MayArchive začaly využívat sofistikovanější RSA šifrování, pokaždé se zvyšující se velikostí klíče. Gpcode.AG, který byl zaznamenán v červnu 2006, byl zašifrován 660bitovým RSA veřejným klíčem[15]. V červnu roku 2008 byla objevena varianta známa jako Gpcode.AK využívající 1024bitový RSA klíč. Věřilo se, že je to dostatečně velký klíč, aby nebylo možné ho výpočetně prolomit bez distribuovaného úsilí.[16][17][18][19]

Nešifrovací ransomware

editovat

V srpnu 2010 ruské úřady zatkly deset jednotlivců napojených na ransomwarového červa známého jako WinLock. Na rozdíl od předchozího červa Gpcode, WinLock nepoužíval šifrování. Místo toho WinLock jednoduše zamezil přístupu do systému zobrazením pornografických obrázků, a vyzval uživatele k zaslání prémiové SMS za cenu okolo 10 dolarů. Za tuto SMS uživatel získal kód, který mohl být použit k odemčení počítače. Podvod zasáhl velký počet uživatelů po celém Rusku a sousedních zemích. Podle zpráv získala skupina okolo 16 milionů dolarů. [20]

V roce 2011 ransomwarový červ vydávající se za upozornění Windows Product Activation, které informovalo uživatele systému Windows, že by systém měl být reaktivován a že se uživatel „stal obětí podvodu“. Program nabízel online aktivaci (jako skutečná aktivace Windows), ale byla nefunkční a vyžadovala po uživateli, aby zatelefonoval na jedno ze šesti mezinárodních telefonních čísel a zadání 6místného kódu. Zatímco malware prohlašoval, že hovor je zdarma, byl hovor veden přes dalšího operátora s vysokými tarify za mezinárodní hovory. Ten hovor zdržoval a účtoval uživateli velké částky za mezinárodní hovory.[21]

V únoru 2013 se objevil ransomwarový červ založený na Stamp.EK exploitu. Malware byl distribuován přes hostingové služby SourceForge a GitHub a nabízel k objednání „falešné nahé fotky“ celebrit.[22] V červenci 2013 se objevil ransomware zaměřený na OS X, který zobrazoval webovou stránku obviňující uživatele ze stahování pornografie. Na rozdíl od svých protějšků zaměřených na Windows neblokoval celý počítač, ale jednoduše zamezoval použití samotného prohlížeče tím, že zamezoval zavření těchto stránek pomocí běžných prostředků.[23]

V červenci 2013 se 21letý muž z Virginie sám udal policii poté, co obdržel falešné FBI varování obviňující ho z uchovávání dětské pornografie. Po vyšetřování byl uživatel skutečně obviněn z uchovávání dětské pornografie a ze sexuálního obtěžování dětí, když byly v jeho počítači nalezeny obrázky nezletilých dívek a nevhodné komunikace s nimi.[24]

Android ransomware

editovat

U operačního systému Android jsou tři kategorie ransomware:

  • ransomware přes zamykací obrazovku
  • zamykací obrazovka s PIN
  • krypto ransomware

Nejznámější ransomware, které se objevily na Androidu: Doublelocker, Charger, Jisut, Lockerpin, Simplocker.

Reference

editovat
  1. Ransomware: Jak funguje a co dělat, abyste mu předešli MasterDC 4.10.2023
  2. "FBI doporučuje zálohovat", Acronis, accessed 5 October 2017
  3. "Slovník IT security a hackingu", Danielberanek.cz, accessed 5 October 2017
  4. "Nové ransomware (vyděračský program) zamkne počítač", Crypto-world.info, accessed 5 October 2017
  5. Adam Young. Building a Cryptovirus Using Microsoft's Cryptographic API. Redakce Zhou Jianying. Information Security: 8th International Conference, ISC 2005. Springer-Verlag, 2005, s. 389–401. 
  6. YOUNG, Adam. Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?. International Journal of Information Security. Springer-Verlag, 2006, s. 67–76. 
  7. Ransomware: Fake Federal German Police (BKA) notice [online]. SecureList (Kaspersky Lab) [cit. 2012-03-10]. Dostupné v archivu pořízeném dne 2012-02-05. 
  8. And Now, an MBR Ransomware [online]. SecureList (Kaspersky Lab) [cit. 2012-03-10]. Dostupné v archivu pořízeném dne 2012-04-14. 
  9. New Internet scam: Ransomware... [online]. FBI, Aug 9, 2012. Dostupné online. 
  10. Citadel malware continues to deliver Reveton ransomware... [online]. Internet Crime Complaint Center (IC3), Nov 30, 2012. Dostupné online. 
  11. Update: McAfee: Cyber criminals using Android malware and ransomware the most [online]. [cit. 2013-09-16]. Dostupné online. 
  12. Number of ransomware attempts per year 2022. Statista [online]. [cit. 2024-01-01]. Dostupné online. (anglicky) 
  13. KASSNER, Michael. Ransomware: Extortion via the Internet [online]. TechRepublic [cit. 2012-03-10]. Dostupné v archivu pořízeném dne 2012-06-21. 
  14. SCHAIBLY, Susan. Files for ransom [online]. Network World, 2005-09-26 [cit. 2009-04-17]. Dostupné online. 
  15. LEYDEN, John. Ransomware getting harder to break [online]. The Register, 2006-07-24 [cit. 2009-04-18]. Dostupné online. 
  16. NARAINE, Ryan. Blackmail ransomware returns with 1024-bit encryption key [online]. ZDnet, 2008-06-06 [cit. 2009-05-03]. Dostupné v archivu pořízeném dne 2008-08-03. 
  17. LEMOS, Robert. Ransomware resisting crypto cracking efforts [online]. SecurityFocus, 2008-06-13 [cit. 2009-04-18]. Dostupné online. 
  18. KREBS, Brian. Ransomware Encrypts Victim Files With 1,024-Bit Key [online]. Washington Post, 2008-06-09 [cit. 2009-04-16]. Dostupné online. 
  19. Kaspersky Lab reports a new and dangerous blackmailing virus [online]. Kaspersky Lab, 2008-06-05 [cit. 2008-06-11]. Dostupné online. 
  20. LEYDEN, John. Russian cops cuff 10 ransomware Trojan suspects [online]. The Register [cit. 2012-03-10]. Dostupné online. 
  21. Ransomware squeezes users with bogus Windows activation demand [online]. Computerworld [cit. 2012-03-09]. Dostupné online. 
  22. Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities [online]. [cit. 2013-07-17]. Dostupné online. 
  23. New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn [online]. [cit. 2013-07-17]. Dostupné online. 
  24. Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges [online]. [cit. 2013-07-31]. Dostupné online. 

Externí odkazy

editovat