Nový ransomware šifruje soubory, maže zálohy a přepisuje prázdné místo na disku

Publikováno: 27. 01. 2016, v rubrice: Bezpečnost, autor: , zobrazeno: 2 801x

ransomwareDnes a denně se objevují nové a nové verze ransomware, které na koncovém zařízení zašifrují všechny soubory, a nejen na něm, ale i na připojených síťových discích.

Kromě toho smažou i stínové kopie, aby nebylo možné zašifrované soubory obnovit, a přepíší i prázdné místo na disku, aby nebylo možné data obnovit pomocí nejrůznějších recovery nástrojů.

O tom, že se bude vývoj ransomware ubírat právě tímto směrem, jsem psal již před více jak dvěma roky. Problém je, že v tomto případě již není možné použít doporučovaný postup umožňující obnovu souborů bez znalosti klíče.

Oběti je buď zaslán e-mail s přílohou, nejčastější to případ, anebo oběť zavítá na kompromitovaný web, či klikne na maligní reklamní banner. Vektor útoku je v zásadě pořád stejný.

Oběť, která nemá uloženy zálohy na externím médiu nebo v cloudu, má zpravidla jen dvě možnosti. Buď se může smířit s tím, že se k zašifrovaným datům většinou již nikdy nedostane, anebo zaplatit, což se obecně nedoporučuje.

Ne nutně proto, že zde není záruka, že útočník oběti poskytne klíč k dešifrování, ale především proto, že zaplacením je jen podporován tento již tak výnosný business. Pravda je, že oběť do poslední chvíle doufá, že když zaplatí, tak se k datům dostane, a mnohdy se i dostane, a sama FBI tuto možnost připouští.

A o tom, že je tento business skutečně výnosný, svědčí nárůst počtu těchto útoků a nejrůznějších verzí ransomware. Tomu odpovídá i růst počtu obětí, ten meziročně vzrostl o téměř 50%. Jestliže jsme rok 2014 mohli v ČR označit jako přelomový z pohledu phishingu, tak rok 2015 byl zase přelomový co do počtu obětí ransomwaru.

V poslední době jsou navíc útoky stále častěji vedeny nejen na koncová zařízení včetně smartphonů s Androidem, ale i na servery, kde je ransomware utočníkem spuštěn ručně. Lze očekávat, že počet těchto útoků ještě poroste.

Za této situace je přinejmenším zvláštní zveřejnění zdrojových kódů ransomware Hidden Tear a EDA2 na Githubu jako open source. Osobně nechápu, co si autor těchto kódů od jejich zveřejnění sliboval, a jaký vzdělávací účel to mělo splnit. Ostatně celá tahle šílená story je popsána zde, a myslím, že stojí za to, si ji přečíst.

Můžeme předpokládat, že počet nových druhů ransomware poroste, stejně jako poroste počet obětí a to ještě rychlejším tempem, a že Magic ransowmare tak nebude posledním ransomware, který byl nebo bude na tomto open source kódu postaven a vypuštěn do světa.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Jak vyzrát nad ransomware, který šifruje soubory
  2. Ransomware CTB-Locker požadující platbu v Bitcoinech zvýšil cenu za dešifrování
  3. Další vlna phishingu od České pošty s ransomware šifrujícím soubory
  4. Jak funguje moderní ransomware
  5. Přichází VirLock, nový polymorfní samoreplikující se ransomware

Štítky:


K článku “Nový ransomware šifruje soubory, maže zálohy a přepisuje prázdné místo na disku” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: