Ransomware

Ransomware je druh malware, která zabraňuje přístupu k počítači, který je infikován. Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za zpřístupnění počítače. Některé formy ransomware šifrují soubory na pevném disku (cryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení.

Zpočátku byl populární pouze v Rusku, ale jeho mezinárodní rozšíření roste.V červnu 2012 poskytovatel zabezpečení McAfee vydal zprávu, že nasbíral přes 250 000 unikátních vzorků ransomware. Pouze za první čtvrtletí 2013 se toto číslo zdvojnásobilo oproti roku 2012.


Ransomware se typický šíří jako trojan, případně jako červ, vstupující do systému například přes stažený soubor nebo zkrze chybu v zabezpečení. Program pak zatíží systém: například začne šifrovat data na disku.Více sofistikované typy ransomware zašifrují data oběti pomocí náhodného symetrického klíče a fixního veřejného klíče. Pouze autor malware zná privátní klíč, pomocí kterého lze data rozšifrovat. Některé typy ransomware zatěžují počítače, ale jednoduše je zamknou, typicky nastavením Windows Shell nebo pomocí změny Master boot record a/nebo změny diskového oddílu,a umožní uživateli pouze zaplatit poplatek.

Historie


Šifrovací ransomware
První známý ransomware byl objeven roku 1989 pod názvem "AIDS" trojan (také znám jako "PC Cyborg"). Autorem byl Joseph Popp, jehož software prohlašoval, že určitému software v počítači vypršela licence, zašifroval soubory na disku, a vyžadoval po uživateli platbu ve výši 189 amerických dolarů firmě "PC Cyborg Corporation" za odemknutí systému. Popp byl prohlášen za duševně chorého, aby nemusel stanout před soudem, ale slíbil příspěvky, které vydělal svým malwarem, na podporu výzkumu AIDS.Představa o použití asymetrického šifrování pro takový typ útoků byl představen v roce 1996 Adamem L. Youngem a Moti Yungem. Tito dva věřili, že "AIDS trojan" byl neefektivní vzhledem k použití symetrického šifrování a představili koncept cryptoviru s použitím RSA a TEA. Young a Yung označovali tento útok jako "kryptovirální vydírání" a jako "viditelný" útok, který je součástí větší třídy útoků s označením kryptovirologie, která se zabývá jak skrytými tak viditelnými útoky.

Případy vyděračského ransomware se staly hlavním typem ransomware v květnu 2005.V polovině roku 2006 červi jako Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip a MayArchive začaly využívat sofistikovanější RSA šifrování, pokaždé se zvyšující se velikostí klíče. Gpcode.AG, který byl zaznamenán v červnu 2006 byl zašifrován 660bitovým RSA veřejným klíčem. V červnu roku 2008 byla objevena varianta známa jako Gpcode.AK využívající 1024bitový RSA klíč. Věřilo se, že je to dostatečně velký klíč, aby nebylo možné ho výpočetně prolomit bez distribuovaného úsilí.

Nešifrovací ransomware
V srpnu 2010 ruské autority zatkly deset jednotlivců napojených na ransomwarového červa známého jako WinLock. Na rozdíl od předchozího červa Gpcode, WinLock nepoužíval šifrování. Místo toho WinLock jednoduše zamezil přístupu do systému zobrazením pornografických obrázků, a vyzval uživatele k zaslání prémiové SMS za cenu okolo 10 dolarů. Za tuto SMS uživatel získal kód, který mohl být použit k odemčení počítače. Podvod zasáhl velký počet uživatelů po celém Rusku a sousedních zemích. Podle zpráv získala skupina okolo 16 milionů dolarů.

V roce 2011 ransomwarový červ vydávající se za upozornění Windows Product Activation, které informovalo uživatele systému Windows by měla být re-aktivována a že se uživatel "stal obětí podvodu". Program nabízel online aktivaci (jako skutečná aktivace Windows), ale byla nefunkční a vyžadovala po uživateli, aby zatelefonoval na jedno ze šesti mezinárodních telefonních čísel a zadání 6místného kódů. Zatímco malware prohlašoval, že hovor je zdarma, byl hovor veden přes dalšího operátora s vysokými tarify za mezinárodní hovory. Ten hovor zdržoval a způsoboval tím uživateli velké částky za mezinárodní hovory.

V únoru 2013 se objevil ransomwarový červ založený na Stamp.EK exploitu. Malware byl distribuován přes hostingové služby SourceForge a GitHub a nabízel k objednání "falešné nahé fotky" celebrit.V červenci 2013 se objevil ransomware zaměřený na OS X, který zobrazoval webovou stránku obviňující uživatele ze stahování pornografie. Na rozdíl od svých protějšků zaměřených na Windows neblokoval celý počítač, ale jednoduše zamezoval použití samotného prohlížeče tím, že zamezoval zavření těchto stránek pomocí běžných prostředků.

V červenci 2013 21letý muž z Virginie se sám udal na policii potom co obdržel falešné FBI varování obviňující ho z uchovávání dětské pornografie. Po vyšetřování byl skutečně uživatel obviněn z uchovávání dětské pornografie a ze sexuálního obtěžování dětí, když byly v jeho počítači nalezeny obrázky nezletilých dívek a nevhodné komunikace s nimi.

 

Adware:Win32/Sezon.A 
Backdoor:Win32/Scieron.B!dha 
Behavior:Win32/Crowti.A 
Behavior:Win32/Crowti.E 
Behavior:Win32/Teerac.B 
Constructor:Win32/Adslock.A 
Exploit:SWF/CVE-2015-0311 
Exploit:Win32/Pdfjsc.ADY 
Program:MSIL/Pameseg.A 
PWS:Win32/Reveton.B 
Ransom:BAT/Reveton 
Ransom:BAT/Xibow 
Ransom:HTML/Crowti.A 
Ransom:HTML/Genasom.A 
Ransom:HTML/Genasom.D 
Ransom:HTML/Genasom.E 
Ransom:HTML/Teerac.A 
Ransom:JS/Brolo 
Ransom:JS/Brolo.A 
Ransom:JS/Brolo.B 
Ransom:JS/Brolo.C 
Ransom:JS/Krypterade 
Ransom:JS/Krypterade.A 
Ransom:JS/Reveton.A 
Ransom:MSIL/Crilock.A 
Ransom:MSIL/Pryptorc.A 
Ransom:MSIL/Swappa.A 
Ransom:MSIL/Vaultlock.A 
Ransom:O97M/Poshkod.gen!A 
Ransom:PowerShell/Polock.A 
Ransom:PowerShell/Roduk.A 
Ransom:Win32/Adslock.A 
Ransom:Win32/Ascrirac.A 
Ransom:Win32/Cendode.A 
Ransom:Win32/Criakl.C 
Ransom:Win32/Cribit.A 
Ransom:Win32/Crilock.A 
Ransom:Win32/Crilock.B 
Ransom:Win32/Crilock.D 
Ransom:Win32/Critroni 
Ransom:Win32/Critroni.A 
Ransom:Win32/Critroni.B 
Ransom:Win32/Crowti 
Ransom:Win32/Crowti.A 
Ransom:Win32/Crowti.gen!A 
Ransom:Win32/Dircrypt.A 
Ransom:Win32/Dircrypt.C 
Ransom:Win32/Genasom 
Ransom:Win32/Genasom.AP 
Ransom:Win32/Genasom.AW 
Ransom:Win32/Genasom.AY 
Ransom:Win32/Genasom.BG 
Ransom:Win32/Genasom.BP 
Ransom:Win32/Genasom.BQ 
Ransom:Win32/Genasom.BR 
Ransom:Win32/Genasom.CF 
Ransom:Win32/Genasom.DK 
Ransom:Win32/Genasom.DN 
Ransom:Win32/Genasom.DR 
Ransom:Win32/Genasom.DU 
Ransom:Win32/Genasom.EI 
Ransom:Win32/Genasom.EJ 
Ransom:Win32/Genasom.FL 
Ransom:Win32/Genasom.FN 
Ransom:Win32/Genasom.FP 
Ransom:Win32/Genasom.FS 
Ransom:Win32/Genasom.GC 
Ransom:Win32/Genasom.GG 
Ransom:Win32/Genasom.GL 
Ransom:Win32/Genasom.GP 
Ransom:Win32/Genasom.HV 
Ransom:Win32/Genasom.IE 
Ransom:Win32/Genasom.II 
Ransom:Win32/Genasom.IL 
Ransom:Win32/Genasom.JC 
Ransom:Win32/Genasom.JJ 
Ransom:Win32/Genasom.JV 
Ransom:Win32/Genasom.KD 
Ransom:Win32/Genasom.KF 
Ransom:Win32/Genasom.KK 
Ransom:Win32/Genasom.KL 
Ransom:Win32/Genasom.OPY 
Ransom:Win32/Genasom.Q 
Ransom:Win32/Gpcode.B 
Ransom:Win32/Gpcode.G 
Ransom:Win32/Gpcode.H 
Ransom:Win32/Gpcode.I 
Ransom:Win32/Grymegat.A 
Ransom:Win32/Grymegat.B 
Ransom:Win32/Isda 
Ransom:Win32/LockScreen 
Ransom:Win32/LockScreen.AO 
Ransom:Win32/LockScreen.BO 
Ransom:Win32/LockScreen.CI 
Ransom:Win32/LockScreen.CJ 
Ransom:Win32/LockScreen.CN 
Ransom:Win32/LockScreen.CO 
Ransom:Win32/LockScreen.CV 
Ransom:Win32/LockScreen.gen!A 
Ransom:Win32/Loktrom.A 
Ransom:Win32/Loktrom.B 
Ransom:Win32/Loktrom.E 
Ransom:Win32/Loktrom.M 
Ransom:Win32/Lyposit.A 
Ransom:Win32/Lyposit.B 
Ransom:Win32/Nymaim.A 
Ransom:Win32/Nymaim.E 
Ransom:Win32/Nymaim.F 
Ransom:Win32/Reveton 
Ransom:Win32/Reveton!lnk 
Ransom:Win32/Reveton.A 
Ransom:Win32/Reveton.B 
Ransom:Win32/Reveton.C 
Ransom:Win32/Reveton.F 
Ransom:Win32/Reveton.F!lnk 
Ransom:Win32/Reveton.gen!C 
Ransom:Win32/Reveton.N 
Ransom:Win32/Reveton.P 
Ransom:Win32/Reveton.Q 
Ransom:Win32/Reveton.R!lnk 
Ransom:Win32/Reveton.T!lnk 
Ransom:Win32/Reveton.U 
Ransom:Win32/Reveton.V 
Ransom:Win32/Reveton.Y 
Ransom:Win32/Roduk.A!dll 
Ransom:Win32/Simlosap 
Ransom:Win32/Sofilblock.A 
Ransom:Win32/Sofilblock.B 
Ransom:Win32/Teerac 
Ransom:Win32/Teerac.E 
Ransom:Win32/Tescrypt 
Ransom:Win32/Tescrypt.A 
Ransom:Win32/Tescrypt.B 
Ransom:Win32/Threatfin 
Ransom:Win32/Tobfy!mp3 
Ransom:Win32/Tobfy.N 
Ransom:Win32/Tobfy.W 
Ransom:Win32/Tocrypt 
Ransom:Win32/Trasbind.A 
Ransom:Win32/Urausy 
Ransom:Win32/Urausy.A 
Ransom:Win32/Urausy.C 
Ransom:Win32/Urausy.D 
Ransom:Win32/Urausy.E 
Ransom:Win32/Urausy.J 
Ransom:Win32/Warik.A 
Ransom:Win32/Weelsof.A 
Ransom:Win32/Weelsof.C 
Ransom:Win32/Zuresq.A 
Ransom:Win64/Reveton 
Ransom:Win64/Reveton.E 
Ransom:Win64/Weelsof.A 
Trojan:DOS/Seftad.A 
Trojan:Win32/Crilock.A 
Trojan:Win32/Korpit.A 
Trojan:Win32/Madlerax.A 
Trojan:Win32/Procesemes.A.dll 
Trojan:Win32/Seftad.A 
Trojan:Win32/Seftad.A!dll 
Trojan:Win32/SMSer.A 
Trojan:Win32/SMSer.B 
Trojan:Win32/Stoberox.A 
Trojan:Win32/SvcMiner.A 
Trojan:Win64/SvcMiner.A 
TrojanDownloader:PowerShell/Roduk.A 
TrojanDownloader:Win32/Dalexis.D 
TrojanDownloader:Win32/Dalexis.F 
TrojanDownloader:Win32/ErcLoad.A 
TrojanDownloader:Win32/Flic.A 
TrojanDownloader:Win32/Symode.B 
TrojanDropper:JS/Xibow.A 
TrojanDropper:JS/Xibow.B 
TrojanDropper:JS/Xibow.C 
TrojanDropper:Win32/Mianoot.A 
TrojanDropper:Win32/Wlock.A 
TrojanDropper:Win32/Xibow 
TrojanSpy:Win32/Hospro.A 
TrojanSpy:Win32/Kenzor.A 
Win32/Weelsof 
Worm:Win32/Nekav.C