Nový ransomware šifruje soubory, maže zálohy a přepisuje prázdné místo na disku

ransomwareDnes a denně se objevují nové a nové verze ransomware, které na koncovém zařízení zašifrují všechny soubory, a nejen na něm, ale i na připojených síťových discích.

Kromě toho smažou i stínové kopie, aby nebylo možné zašifrované soubory obnovit, a přepíší i prázdné místo na disku, aby nebylo možné data obnovit pomocí nejrůznějších recovery nástrojů.

O tom, že se bude vývoj ransomware ubírat právě tímto směrem, jsem psal již před více jak dvěma roky. Problém je, že v tomto případě již není možné použít doporučovaný postup umožňující obnovu souborů bez znalosti klíče.

Oběti je buď zaslán e-mail s přílohou, nejčastější to případ, anebo oběť zavítá na kompromitovaný web, či klikne na maligní reklamní banner. Vektor útoku je v zásadě pořád stejný.

Oběť, která nemá uloženy zálohy na externím médiu nebo v cloudu, má zpravidla jen dvě možnosti. Buď se může smířit s tím, že se k zašifrovaným datům většinou již nikdy nedostane, anebo zaplatit, což se obecně nedoporučuje.

Ne nutně proto, že zde není záruka, že útočník oběti poskytne klíč k dešifrování, ale především proto, že zaplacením je jen podporován tento již tak výnosný business. Pravda je, že oběť do poslední chvíle doufá, že když zaplatí, tak se k datům dostane, a mnohdy se i dostane, a sama FBI tuto možnost připouští.

A o tom, že je tento business skutečně výnosný, svědčí nárůst počtu těchto útoků a nejrůznějších verzí ransomware. Tomu odpovídá i růst počtu obětí, ten meziročně vzrostl o téměř 50%. Jestliže jsme rok 2014 mohli v ČR označit jako přelomový z pohledu phishingu, tak rok 2015 byl zase přelomový co do počtu obětí ransomwaru.

V poslední době jsou navíc útoky stále častěji vedeny nejen na koncová zařízení včetně smartphonů s Androidem, ale i na servery, kde je ransomware utočníkem spuštěn ručně. Lze očekávat, že počet těchto útoků ještě poroste.

Za této situace je přinejmenším zvláštní zveřejnění zdrojových kódů ransomware Hidden Tear a EDA2 na Githubu jako open source. Osobně nechápu, co si autor těchto kódů od jejich zveřejnění sliboval, a jaký vzdělávací účel to mělo splnit. Ostatně celá tahle šílená story je popsána zde, a myslím, že stojí za to, si ji přečíst.

Můžeme předpokládat, že počet nových druhů ransomware poroste, stejně jako poroste počet obětí a to ještě rychlejším tempem, a že Magic ransowmare tak nebude posledním ransomware, který byl nebo bude na tomto open source kódu postaven a vypuštěn do světa.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2016. Nový ransomware šifruje soubory, maže zálohy a přepisuje prázdné místo na disku. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/novy-ransomware-sifruje-soubory-maze-zalohy-a-prepisuje-prazdne-misto-na-disku/. [citováno 08.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Nový ransomware šifruje soubory, maže zálohy a přepisuje prázdné místo na disku” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: