ethical.blue Magazine

// Cybersecurity clarified.

Ransomware wyjaśnione dla osób nietechnicznych

07.08.2022   Dawid Farbaniec
...
Aplikacje wymuszające okup (ang. ransomware) to rodzaj złośliwego oprogramowania, które blokuje dostęp do ważnych danych (np. poprzez zaszyfrowanie ich) lub grozi ujawnieniem poufnych danych w celu wymuszenia okupu od użytkownika systemu. Niniejszy tekst powstał w celu wyjaśnienia mechanizmów działania tego typu szkodliwych programów oraz jak użytkownik komputera powinien się zachować, aby ograniczyć szkody powodowane przez ransomware.

Zachowanie w przypadku podejrzenia infekcji

Uruchomiony program ransomware będzie wyszukiwał pliki na dysku i je uszkadzał jeden za drugim. Pliki mogą być szyfrowane, a nawet wymazywane. Z tego powodu wyłączenie urządzenia na czas daje szanse na zatrzymanie tego procesu.

Warto dodać, że wyłączenie zainfekowanych urządzeń może ochronić pozostałe maszyny w sieci przed infekcją. Złośliwe oprogramowanie typu ransomware może mieć wbudowanego robaka, który będzie próbował się rozprzestrzenić wewnątrz sieci domowej czy firmowej.

Istnieją programy ransomware, które wymazują pliki, a później oferują ich odzyskanie za opłatą, co jest nonsensem.

Zobacz też: Poznaj ponad 20 rodzajów wirusów komputerowych

Odzyskiwanie i odszyfrowywanie danych po ataku ransomware

Jeśli program ransomware używa tego samego klucza do szyfrowania oraz do deszyfrowania, to możliwe jest, że znajdziemy narzędzie np. stworzone przez firmę antywirusową, pozwalające odzyskać pliki.

Jednak złośliwe oprogramowanie typu ransomware zmieniło się na przestrzeni czasu i przeważnie korzysta z szyfrowania asymetrycznego, gdzie klucz publiczny służy do szyfrowania, a klucz prywatny do odszyfrowywania. Z tego powodu w celu stworzenia narzędzia do odszyfrowywania potrzebny będzie klucz prywatny lub stwierdzona słabość algorytmu kryptograficznego.

Nadzieję na odzyskanie chociaż fragmentów najważniejszych danych dają narzędzia, które próbują odczytać usunięte dane z dysku komputera. Jest to możliwe, gdyż uszkodzenie plików nie zawsze jest równe bezpowrotnemu nadpisaniu danych.

Prezentacja kontrolowanej infekcji ransomware w celach edukacyjnych

Dla celów edukacyjnych dalej zaprezentowano umyślną infekcję systemu Windows programem BlackBasta ransomware.

Na eksperymentalnym systemie utworzono przykładowe dane.



Dalej następuje uruchomienie próbki programu BlackBasta ransomware.



Ponowne uruchomienie maszyny w trybie awaryjnym to cecha BlackBasta.



Mija kilkanaście sekund i przykładowe wartościowe dane zostają uszkodzone poprzez zaszyfrowanie.



Na Pulpicie pojawia się plik readme.txt z notką próbującą wymusić okup wzamian za odzyskanie plików.



Jeśli nie mamy kopii zapasowej (ang. backup) lub wartościowe dane zostały wyprowadzone na zewnętrzny serwer Command & Control to jest źle.

Grafika edukacyjna dot. oprogramowania ransomware




Wersja do druku (ransomware-poster-pl-white.png)

Pozostańcie bezpieczni.

Wykaz literatury

https://www.virustotal.com/gui/file/5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa [access: 2022-08-07]