Przejdź do menu Przejdź do treści
Uniwersytet Komisji Edukacji Narodowej
w Krakowie

Ransomware

(ang. ransomware) (inne określenie: oprogramowanie szantażujące; ransom – „okup” i software – „oprogramowanie”) – rodzaj szkodliwego/złośliwego oprogramowania z dziedziny kryptowirologii, które szyfruje informacje na pojedynczych urządzeniach, a nawet w całej sieci. Przeznaczony do wymuszania, blokowania dostępu do systemu komputerowego lub zapisanych w nim danych (często przy użyciu metod szyfrowania), a następnie wyłudzenia okupu od ofiary w celu przywrócenia stanu pierwotnego. Blokada jest zdejmowana dopiero wówczas, gdy użytkownik zapłaci okup za odzyskanie plików. Czasami, nawet jeśli okup zostanie zapłacony, pliki nie są odszyfrowywane.

Ransomware szybko stało się jednym z najbardziej popularnych, rozpowszechnionych, zaawansowanych, niebezpiecznych i dochodowych zagrożeń cybernetycznych, przed którymi stoją wszystkie instytucje. Cyberprzestępcy zarabiają miliardy dolarów rocznie, a skala zagrożenia tym procederem gwałtownie rośnie. Oprogramowanie ransomware cały czas się zmienia, jest wciąż udoskonalane, a skala niesionego przez nie zagrożenia rośnie. Obecnie średnia wysokość okupu żądanego przez atakujących to 679 dolarów.

Programy typu ransomware są tworzone przez oszustów niezwykle biegłych w programowaniu komputerowym. Stworzenie takiego oprogramowania wymaga wysokiego poziomu wiedzy technicznej, a często również wykorzystania technik cyberszpiegowskich. Chociaż przygotowanie ataku jest złożone i czasochłonne, udany atak ukierunkowany na organizacje może potencjalnie zainfekować tysiące komputerów, powodując ogromne zakłócenia i poważne szkody w dochodach i reputacji.

Pierwsze oprogramowanie ransomware, znane jako PC Cyborg lub AIDS, powstało pod koniec lat 80. ubiegłego wieku. PC Cyborg szyfrował wszystkie pliki w katalogu C po 90 ponownych uruchomieniach systemu, żądając od użytkownika „odnowienia licencji”, tj. przesłania kwoty 189 dolarów pocztą tradycyjną do firmy PC Cyborg Corp. Odwrócenie procesu szyfrowania było stosunkowo proste, dlatego atak ten nie stanowił dużego zagrożenia dla osób obeznanych z technologią.

W ciągu następnych 10 lat pojawiło się kilka kolejnych wariantów tego oprogramowania, jednak prawdziwy przełom w rozwoju ransomware nastąpił w 2004 r., gdy do ataku użyto programu o nazwie GpCode, wykorzystującego stosunkowo słaby algorytm szyfrujący RSA do blokowania osobistych danych.

Wirusy ransomware zaczęły infekować użytkowników komputerów osobistych od maja 2005 r. Znane są następujące ich odsłony: TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive. Najbardziej znanym wirusem jest Gpcode i jego warianty – Gpcode.a, Gpcode.ac, Gpcode.ag, Gpcode.ak. Ten ostatni jest niezwykły, ponieważ wykorzystuje algorytm RSA z 1024-bitowym kluczem do szyfrowania plików.

W 2007 r. program WinLock zapowiadał nadejście nowego typu oprogramowania ransomware, które – zamiast szyfrować pliki – blokowało użytkownikom dostęp do komputerów. WinLock przejmował bowiem całkowicie ekran ofiary i wyświetlał na nim treści pornograficzne, a następnie żądał uiszczenia okupu za pośrednictwem płatnej wiadomości SMS.

W 2012 r. światło dzienne ujrzała nowa rodzina oprogramowania ransomware o nazwie Reveton, a tym samym zupełnie nowy typ zagrożeń: oprogramowanie ransomware podszywające się pod organy ścigania. Zainfekowane komputery były blokowane, a na ekranach wyświetlały się informacje pochodzące rzekomo od takich instytucji, jak FBI czy Interpol, zawierające również ich dane. Oprogramowanie wyświetlało informację, zgodnie z którą użytkownik miał się rzekomo dopuścić popełnienia przestępstwa polegającego na hakowaniu, pobieraniu nielegalnych plików czy nawet rozpowszechnianiu dziecięcej pornografii. Zazwyczaj tego typu oprogramowanie próbowało wymusić na właścicielu zaatakowanego komputera uiszczenie opłaty w wysokości od 100 do 3000 dolarów za pomocą karty przedpłaconej, takiej jak UKash lub PaySafeCard.

W marcu 2013 r. specjaliści firmy Dr. Web skonstruowali szyfrator ArchiveLock, który zaatakował użytkowników z Hiszpanii i Francji, wykorzystując legalny archiwizator WinRAR do szkodliwego szyfrowania plików, a następnie – po szyfrowaniu – usuwając oryginalne pliki za pomocą narzędzia Sysinternals SDelete. We wrześniu 2013 r. zaatakował CryptoLocker – kolejne oprogramowanie szyfrujące. W przeciwieństwie do jego starszych odsłon tym razem było ono jednak znacznie groźniejsze. CryptoLocker korzystał z algorytmów szyfrujących klasy wojskowej i przechowywał na zdalnym serwerze klucz wymagany do odblokowania plików. W efekcie odzyskanie plików bez uiszczania okupu było praktycznie niemożliwe. Tego typu oprogramowanie jest stosowane do dzisiaj, dla przestępców okazało się bowiem bardzo skutecznym narzędziem do pozyskiwania funduszy. Pod koniec 2013 r. CryptoLocker wykorzystał system płatności Bircoin, aby uzyskać okup. W grudniu 2013 r. ZDNet, opierając się na dostępnych informacjach o transakcjach Bitcoin, przeprowadził ocenę transferów środków od zainfekowanych użytkowników w okresie od 15 października do 18 grudnia. Pod koniec tego okresu operatorom CryptoLocker udało się zebrać ok. 27 mln dolarów po rzeczywistej cenie bitcoinów w tym czasie Co więcej, zakrojone na szeroką skalę ataki oprogramowania ransomware, takie jak atak programu WannaCry w maju 2017 r. i programu Petya w czerwcu 2017 r., zdołały zaszyfrować dane firm i użytkowników indywidualnych na całym świecie.

Ransomware jest złożonym zagrożeniem, atakującym na kilka sposobów. Pokonanie ransomware jest trudne, lecz nie niemożliwe. Władze wielu krajów łączą swoje siły, aby znaleźć najlepszą strategię przeciw wyłudzeniom. Istnieją różne metody infekowania komputerów przez oprogramowanie ransomware. Jedną z najpopularniejszych jest rozsyłanie złośliwego spamu (tzw. malspam), tj. niechcianych wiadomości e-mail służących do rozpowszechniania złośliwego oprogramowania. Takie wiadomości e-mail mogą zawierać zainfekowane pliki (np. dokumenty PDF lub Word) lub odnośniki do złośliwych stron. Malspam wykorzystuje metody inżynierii społecznej, aby zachęcać odbiorców do otwierania załączników lub klikania łączy, które z pozoru nie stanowią zagrożenia, tj. sprawiają wrażenie pochodzących od znajomych lub zaufanych instytucji. Cyberprzestępcy stosują inżynierię społeczną również do innych typów ataków, np. podając się za funkcjonariuszy policji, aby zastraszać swoje ofiary i zmuszać je do uiszczania opłat za odblokowywanie plików.

Inną popularną metodą infekcji są złośliwe reklamy (ang. malvertising), których największa popularność przypada na rok 2016. Korzystanie z tej techniki pozwala przestępcom rozpowszechniać oprogramowanie za pośrednictwem reklam internetowych, co w wielu przypadkach wymaga bardzo niewielkiego (lub zerowego) udziału potencjalnej ofiary. Podczas przeglądania sieci – nawet zaufanych stron – użytkownicy mogą być przekierowywani na serwery przestępców nawet bez klikania reklam. Serwery te gromadzą szczegółowe informacje na temat komputerów ofiar i ich lokalizacji, a następnie wybierają najlepiej dopasowane złośliwe oprogramowanie do przeprowadzenia ataku. W wielu przypadkach jest to właśnie oprogramowanie ransomware.

Istnieje kilka podejść do analizy głównych typów oprogramowania ransomware, różniących się stopniem niesionego przez nie zagrożenia – od lekko irytujących po niebezpieczne. Pierwsze podejście wydziela trzy następujących oprogramowania:

  • Scareware, czyli oprogramowanie zastraszające. Jego działanie polega zazwyczaj na podszywaniu się pod oprogramowanie zabezpieczające lub pracowników wsparcia technicznego. Oprogramowanie scareware może np. wyświetlać wyskakujące okno z informacją o infekcji złośliwego oprogramowania, której usunięcie wymaga uiszczenia stosownej opłaty. W przypadku naszej bezczynności oprogramowanie będzie zapewne nadal bombardować nas wyskakującymi oknami, jednak nasze pliki powinny być bezpieczne.
  • Blokady ekranu. Infekcja ze strony oprogramowania blokującego ekran całkowicie uniemożliwia korzystanie z komputera. Po jego uruchomieniu wyświetlany jest pełnoekranowy komunikat, zawierający zwykle odznakę policji lub państwowego organu bezpieczeństwa, informację o wykryciu nielegalnej aktywności na komputerze oraz żądanie przekazania okupu.
  • Oprogramowanie szyfrujące – Cryptowall, Critroni i TorLocker – które kradnie i szyfruje pliki, żądając okupu w zamian za ich odblokowanie i odesłanie. Cryptolocker szyfruje nasze pliki osobiste i foldery z plikami, takimi jak dokumenty, arkusze kalkulacyjne, zdjęcia i wideo. Po zinfiltrowaniu maszyny oprogramowanie kontaktuje się z centrum kontroli, aby wygenerować klucz szyfrowania i zaszyfrować każdy istotny plik na komputerze, wykorzystując złożony algorytm szyfrowania. To powoduje, że pojmane pliki danych stają się bezużyteczne. Złośliwe oprogramowanie wyświetla następnie informację, często pozorowaną, że pochodzi od agencji wykonawczej, takiej jak policja lub specjalne jednostki bezpieczeństwa, co ma przestraszyć ofiarę i sprawić, że uwierzy, że grozi jej wysoka (kara finansowa lub pozbawienia wolności), której może uniknąć, dokonując stosownej opłaty (np. za pomocą karty płatniczej) przed wyznaczonym w komunikacie terminem końcowym. Cyberprzestępcy wykorzystują adresy IP komputerów ofiar w celu ich lokalizacji, która pozwala im na przedstawienia odpowiedniej wersji językowej informacji blokującej ekran. Wiadomości tego typu czasami straszą skasowaniem danych w przypadku niewywiązania się z terminu płatności. Niektóre grupy przestępcze prowadzą ataki, wykorzystując do tego sieć TOR. TorLocker jest rodzajem komercyjnego zestawu ransomware sprzedawanego na ukrytych forach w formie programu partnerskiego. Odnawialne, wbudowane klucze pozwalają TorLockerowi na szyfrowanie plików nawet gdy komputer lub urządzenie ofiary nie jest on-line, czyniąc tę operację praktycznie niemożliwą do zatrzymania. Problem jest poważny, ponieważ oprogramowanie szyfrujące przekazuje zainfekowane pliki przestępcom, dlatego żaden program zabezpieczający nie jest w stanie pomóc w ich odszyfrowaniu. W większości przypadków nieuiszczenie opłaty wiąże się z bezpowrotną utratą danych. Niestety, nawet jeśli zapłacimy okup, nie mamy żadnej gwarancji, że cyberprzestępcy zwrócą nasze dane.

Drugie podejście również wydziela trzy różne rodzaje ransomware:

  • screen-locker – jeden z najmniej dokuczliwych, który blokuje użytkownikowi dostęp do urządzenia poprzez zablokowanie ekranu, ale nie szyfruje plików i dlatego jest nieefektywny w wyłudzaniu pieniędzy;
  • crypto-ransomware – jest to wyjątkowo efektywna odmiana tego oprogramowania, ponieważ szyfruje lokalne pliki ofiary i pliki w chmurze. Po instalacji na komputerze ofiary program szyfruje większość plików roboczych (np. wszystkie pliki o wspólnych rozszerzeniach). W takim przypadku komputer nadal działa, ale wszystkie pliki użytkownika są niedostępne. Następnie oferuje deszyfrator po uiszczeniu odpowiedniej opłaty, przeważnie oscylującej między 300 a 900 dolarów. Ponieważ crypto-ransomware wykorzystuje ten sam typ szyfrowania co oprogramowanie chroniące transakcje bankowe lub komunikację wojskową, zaszyfrowane pliki są praktycznie nie do odzyskania bez opłacenia okupu. Szacuje się, że za pomocą oprogramowania typu crypto-ransomware jest wyłudza się ponad miliarda dolarów rocznie.
  • disk-encryptor, np. Petya (pojawił się w 2018 r.). W odróżnieniu od crypto-ransomware disk-encryptor zaszyfrowuje cały dysk ofiary i nie pozwala na uruchomienie systemu operacyjnego.

Przez ostatnich kilka, czy nawet kilkanaście lat mieliśmy czas, by się przyzwyczaić do złośliwego oprogramowania działającego raczej subtelnie – wirusy, trojany czy botwormy zwykle wkradały się do naszych komputerów po cichu i robiły wszystko, by możliwe jak najdłużej pozostać niezauważone. Z ransomware jest inaczej: takie aplikacje natychmiast po zainfekowaniu komputera powiadamiają o tym użytkownika, wyświetlając komunikat informujący, że jego pliki zostały zablokowane i jeśli chce je odzyskać, będzie musiał zapłacić okup.

R. Samani, CTO (chief technology officer)europejskiego oddziału Intel Security podaje, że obecnie w internecie aktywnych jest ok. 400 „rodzin” oprogramowania ransomware, wśród nich są również aplikacje przeznaczone dla systemów OS X oraz Linux. Z danych firmy Datto wynika z kolei, że najpopularniejszym programem tego typu jest obecnie CryptoLocker, wyspecjalizowany w szyfrowaniu prywatnych dokumentów użytkownika. Ale odmian ransmoware’u jest wiele. Są np. aplikacje, które rejestrują obraz z kamery komputera użytkownika w nadziei, że uda się zarejestrować coś potencjalnie kompromitującego (a następnie wykorzystać to nagranie do szantażowania internauty i wymuszenia od niego okupu).

Przy pierwszym (i kolejnym) pojawieniu się złośliwego oprogramowania ofiarami ataków padały najczęściej pojedyncze systemy (należące do tzw. zwykłych użytkowników). Cyberprzestępcy zaczęli jednak wykorzystywać pełny potencjał tej metody ataków w momencie stworzenia oprogramowania ransomware skierowanego do firm, które wstrzymywało produktywność oraz powodowało utratę danych i przychodów. Z końcem 2016 r. 12,3% przypadków wykrycia zagrożeń w firmach na całym świecie dotyczyło oprogramowania ransomware, podczas gdy w przypadku użytkowników indywidualnych było to zaledwie 1,8%. Co więcej, do 2017 r. 35% małych i średnich firm padło ofiarą ataku oprogramowania ransomware.

Z geograficznego punktu widzenia ataki oprogramowania ransomware nadal skupiają się w głównej mierze na krajach zachodnich: Wielkiej Brytanii, Stanach Zjednoczonych, Kanadzie. Ważnym czynnikiem wpływającym na wybór miejsca ataku są także pieniądze, dlatego przestępcy za cel obierają obszary o względnej zamożności, z największą liczbą komputerów PC. W następstwie rozwoju gospodarczego oraz wzrostu wartości rynków azjatyckich i południowoamerykańskich możemy również oczekiwać rosnącej popularności oprogramowania ransomware (i innych form złośliwego oprogramowania) właśnie w tych regionach.

Nowa generacja wirusa okrada ludzi z pieniędzy na całym globie, a nielegalne programy szyfrujące wysuwają się na czoło najpopularniejszych zagrożeń obecnych czasów, przetrzymując dane setek tysięcy użytkowników będących zakładnikami cyberprzestępców. Pomimo ciągłych prób obalenia zagrożenia wraca ono wciąż coraz to nowszych formach złośliwego oprogramowania.

Ransomware stanowi jedno z najbardziej widocznych zagrożeń dla wszystkich użytkowników. Zwalczanie oprogramowania ransomware jest trudne z wielu powodów. Po pierwsze, złośliwe oprogramowanie jest łatwe do uzyskania lub utworzenia i przynosi natychmiastowe efekty, tworząc lukratywne możliwości dla napastników. Po drugie, operacje wykonywane przez takie złośliwe oprogramowanie często trudno odróżnić od łagodnego oprogramowania. Wreszcie oprogramowanie ransomware często celowo atakuje użytkowników, którzy raczej nie stosują najlepszych praktyk, takich jak np. regularne tworzenie kopii zapasowych danych.

Wirusy cały czas są wyzwaniem ze względu na ich ciągły rozwój, coraz większą złożoność i coraz większy zasięg. Spowodowane jest to chociażby tym, że coraz częściej decydujemy się na przechowywanie wrażliwych danych osobistych i firmowych na urządzeniach mobilnych, takich jak tablety i smartfony.

B. Botezatu, starszy analityk zagrożeń elektronicznych w Bitdefender uważa, że:

Gdy padniemy ofiarą ransomware, nie ma absolutnie żadnego sposobu na odzyskanie danych bez płacenia. Płacąc jednak, zachęcamy przestępczość do działania i wspieramy rozwój jeszcze bardziej rozbudowanych zagrożeń. Czasami może zaistnieć sytuacja, w której przestępcy pobiorą płatność, a i tak nie uwolnią naszych danych, pozostawiając nas bez pieniędzy i cennych informacji będących zaszyfrowanymi.

Olga Wasiuta

A. Charles, The ransomware attack is all about the insufficient funding of the NHS, https://www.theguardian.com/commentisfree/2017/may/13/nhs-computer-systems-insufficient-funding [dostęp: 23.04.2019]; S. Cobb, Ransomware: an enterprise perspective, „Ransomware White Paper” 2018, https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_Ransomware_Enterprise.pdf [dostęp: 23.04.2019]; Co musisz wiedzieć o ransomware, https://bitdefender.pl/dokumentybitdefender/Bitdefender-Business-Whitepaper-AntiRansomware_PL.pdf [dostęp: 23.04.2019]; Cyber-attack on the NHS. Thirty-Second Report of Session 2017–19. Report, together with formal minutes relating to the report. 18.04.2018, https://publications.parliament.uk/pa/cm201719/cmselect/cmpubacc/787/787.pdf [dostęp: 23.04.2019]; Czym jest ransomware, https://p.l.malwarebytes.com/ransomware/ [dostęp: 23.04.2019]; Czym jest ransomware? Jak się chronić? Jak pozbyć się ransomware? Oto odpowiedzi! 12.05.2017, https://www.pcworld.pl/porada/Czym-jest-ransomware-Jak-sie-chronic-Jak-pozbyc-sie-ransomware-Oto-odpowiedzi,407874.html [dostęp: 23.04.2019]; Czym jest RANSOMWARE? Przewodnik zapoznawczy, https://bitdefender.pl/czym-jest-ransomware-przewodnik-zapoznawczy-czesc-i [dostęp: 23.04.2019]; D. Prokopowicz, Rozwój złośliwego oprogramowania ransomware jako nowy wymiar cyberprzestępczości przejmowania kontroli nad systemami informatycznymi firm i banków, [w:] S. Gwoździewicz, K. Tomaszycki (red.), Prawne i społeczne aspekty cyberbezpieczeństwa, Międzynarodowy Instytut Innowacji „Nauka – Edukacja – Rozwój” w Warszawie, Warszawa 2017; Ransomware co to jest i jak się przed tym chronić?, https://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic [dostęp: 23.04.2019]; Ransomware. Perspektywa Ofiary. Badanie na Użytkownikach Internetu ze Stanów Zjednoczonych i Europy, https://bitdefender.pl/dokumentybitdefender/Bitdefender-2016-Ransomware-A4_pl_PL-preview.pdf [dostęp 23.04.2019]; N. Scaife, H. Carter, P. Traynor, K.R.B. Butler, CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data, https://static1.squarespace.com/static/ 57353b7ecf80a15b05a72ec0/t/577330fd8419c2f1416e8f41/1467166976254/scaife-icdcs16.pdf [dostęp: 23.04.2019]; Special Report: Ransomware and Businesses 2016, https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ISTR2016_Ransomware_and_Businesses.pdf [dostęp: 23.04.2019].