Ransomware - 

Úvod  Ransomware  Jak útočí  Klany  Techniky  Obrana  Popisky  Nástroje pro odstranění  Rescue plan  Anti-ransomware vaccine  RansomFree  Prevence  Video  Vývoj

Jak útočí ransomware

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Sady exploitůprotecting_against_exploits.pngÚtočníci vyvíjejí takzvané sady exploitů. Tyto sady obsahují předem připravený kód, jenž zneužívá chyby zabezpečení popsané výše, jako je EternalBlue. Tento druh ransomwaru dokáže infikovat jakýkoli síťový počítač se zastaralým softwarem. Jednoho dne zapnete počítač a světe, div se! Všechny vaše soubory jsou uzamčené.
Sociální inženýrstvíanti-phishing_avast.pngDalší druhy malwaru se snaží váš počítač infikovat metodou pokusu a omylu. Útoky využívající sociální inženýrství (nebo phishing) se vás snaží přimět, abyste si ransomware stáhli jako soubor v příloze nebo přes webový odkaz. Tyto útoky obvykle mívají formu e-mailu od zdánlivě spolehlivého odesílatele a v příloze obsahují něco, co na první pohled vypadá jako objednávka, účtenka, faktura či důležité upozornění, případně obsahují podobně se tvářící odkaz. Soubory v příloze mohou vypadat jako soubor PDF či dokument aplikace Excel nebo Word, ale ve skutečnosti se jedná o zamaskované spustitelné soubory. Uživatel si stáhne soubor, klikne na něj a začnou se dít nekalé věci. (Někdy se zpočátku neděje vůbec nic. Určité druhy ransomwaru se totiž v počítači na nějakou dobu ukryjí, aby nebylo možné přesně určit, kdy a jak k nim uživatel přišel.)
Škodlivé reklamymalvertising_ransomware.pngŠkodlivé reklamy, taktéž malvertising, jsou dalším způsobem šíření malwaru – tentokrát prostřednictvím reklamních sítí. Falešné reklamy se mohou zobrazovat dokonce na důvěryhodných webových stránkách. A když na ně uživatel klikne, stáhne si do počítače ransomware.

Phishingové e-maily

Petya, ransomware napadá MBR a šifruje tabulku MFT

Nejčastější metodou pro hackery k šíření ransomwaru je phishing e-maily. Hackeři používají pečlivě vytvořené phishingové e-maily k tomu, aby obětovali oběť, aby otevřela přílohu nebo klepnutím na odkaz, který obsahuje škodlivý soubor. Tento soubor může pocházet z mnoha různých formátů, včetně souboru PDF, ZIP, dokumentu aplikace Word nebo jazyka JavaScript. V případě dokumentu aplikace Word útočník nejčastěji popírá uživatele do "Povolení maker" po otevření dokumentu. To umožňuje útočníkovi spouštět skript, který stahuje a spustí škodlivý spustitelný soubor (EXE) z externího webového serveru. EXE by obsahoval funkce nezbytné pro šifrování dat na stroji oběti.

Protokol vzdálené plochy

Petya, ransomware napadá MBR a šifruje tabulku MFT

Stále populárnější mechanismus, kterým útočníci infikují oběti, je protokol Remote Desktop Protocol (RDP). Jak název naznačuje, byl vytvořen protokol Vzdálená plocha, který umožňuje administrátorům IT bezpečně přistupovat k vzdálenému počítači uživatele a konfigurovat jej, nebo jednoduše používat zařízení. RDP obvykle běží přes port 3389. Zatímco otevření dveří k zařízení pro legitimní použití má mnoho výhod, představuje také příležitost pro špatného herce, aby ho využil pro nelegitimní použití. V roce 2017 bylo zjištěno, že více než 10 milionů strojů se inzeruje na veřejný internet, protože má port 3389 otevřený - tj. Běží RDP nad 3389. Hackeři mohou jednoduše vyhledávat ty stroje na vyhledávačích, jako je Shodan.io, zařízení, která jsou náchylná k infekci. Jakmile jsou cílové počítače identifikovány, hackeři obvykle získají přístup prostřednictvím hrubo vynuceného hesla, aby se mohli přihlásit jako správci. Nástroje pro rozpoznávání hesel s otevřeným zdrojovým kódem pomáhají tomuto cíli dosáhnout. Populární nástroje, včetně Cain a Able, John Ripper a Medusa, umožňují počítačovým zločincům rychle a automaticky vyzkoušet více hesel, aby získali přístup.

Drive-By ke stažení z kompromitované webové stránky

Petya, ransomware napadá MBR a šifruje tabulku MFT

Další vstupní cesta, kterou útočníci používají k doručování ransomwaru, je přes to, co se nazývá stahování jednotky. Jedná se o nebezpečné stahování, ke kterým dochází bez znalosti uživatele, když navštíví kompromitované webové stránky.

Útočníci často zahajují stahování pomocí využití známých zranitelností v softwaru legitimních webových stránek. Tyto zranitelnosti pak používají buď k vkládání škodlivého kódu na webovou stránku, nebo přesměrování oběti na jinou kontrolující stránku, která hostí software známý jako exploitové sestavy. Exploit kity umožňují hackerům ticho skenovat návštěvnické zařízení kvůli jeho specifickým slabostem a pokud jsou nalezeny, spustí kód na pozadí bez toho, aby uživatel klepnul na cokoliv. Nelikvidující uživatel bude náhle vystaven výpovědi za výkupné, upozorní je na infekci a bude požadovat platbu za vrácené soubory.

USB

Petya, ransomware napadá MBR a šifruje tabulku MFT

Dalším způsobem, jakým ransomware používá k proniknutí do prostředí, je prostřednictvím zařízení USB. V roce 2016 australská policie vydala varování občanům o jednotkách USB obsahujících škodlivý software, které se objevují ve schránkách. Jednotky USB se maskovaly jako propagační aplikace Netflix, poté jednou spustily nasazený ransomware na počítač s nepopsatelným uživatelem.

Mocný Spora Ransomware dokonce přidal schopnost replikovat se na disky USB a Removable Media (v skrytých formátech), což ohrožuje další stroje, do kterých je USB zařízení zapojeno.