En rançongiciel (engelsk ransomware [ ɹ æ n s ə m w ɛ ɚ ] ) programvare rançonneur , programvare løsepenger eller utpressing programvare , er skadelig programvare som kaprer personlige data. For å gjøre dette krypterer ransomware personlige data og ber deretter eieren om å sende penger i bytte mot nøkkelen som vil dekryptere den.
Ransomware kan også blokkere enhver brukers tilgang til en maskin til en nøkkel eller et jailbreak-verktøy blir sendt til offeret i bytte for en sum penger. Moderne ransomware-modeller dukket opp i Russland i utgangspunktet, men det bemerkes at antall angrep av denne typen har økt sterkt i andre land, inkludert Australia , Tyskland , USA .
I november 2012, “ McAfee , utgiveren av sikkerhetsprogramvare, rapporterer å ha registrert 120 000 nye prøver av denne typen virus i andre kvartal 2012, fire ganger mer enn samme periode året før. " .
Ransomware registrerte en økning på 36% mellom 2016 og 2017. I første halvdel av 2017 kunngjorde selskapet Symantec , som spesialiserer seg på antivirus , at det hadde blokkert nesten 320 000 ransomware, en økning i antall som særlig skyldtes de forskjellige WannaCry- angrepene .
En rançongiciel sprer seg vanligvis på samme måte som en trojansk hest ( Trojan Horse på engelsk): den trenger inn i systemet, for eksempel via Exploit Web eller gjennom ondsinnede e-postkampanjer. Deretter kjører den en aktiv belastning ( nyttelast ), for eksempel en kjørbar fil som vil kryptere brukerens filer på harddisken. Mer sofistikert ransomware bruker hybrid kryptografialgoritmer på offerets data, med en tilfeldig symmetrisk nøkkel og en fast offentlig nøkkel . Dermed er forfatteren av skadelig programvare den eneste som kjenner den private nøkkelen som gjør at dokumentene kan dekrypteres.
Noen ransomware bruker ikke kryptering. I dette tilfellet, nyttelast er et enkelt program som vil begrense noen interaksjon med systemet, vanligvis ved å endre standard shell ( explorer.exe ) i Windows -registeret , eller endre Master Boot Record (MBR), for å hindre drifts systemet fra start til det er blitt reparert.
Den ransomware nyttelast , spesielt blant de som ikke bruker fil kryptering teknikker, bruk scareware taktikk for å tvinge brukeren til å betale for sine datarekonstruksjon. Den aktive belastningen kan for eksempel vise et varsel til brukeren, falskt utstedt av et myndighetsorgan som advarer brukeren om at systemet deres har blitt tatt til oppgave av en hacker , som har utført ulovlige handlinger eller har lagret ulovlig innhold som pornografisk innhold eller piratkopiert programvare . Noen ransomware etterligner utseendet til Windows produktaktivering , noe som indikerer at programvareversjonen deres er ulovlig eller krever omaktivering .
Uansett vil en ransomware prøve å presse penger fra brukeren, ved å få ham til å kjøpe enten et program for å dekryptere filene, eller en enkel kode som fjerner alle låsene som er brukt på de blokkerte dokumentene. Betalinger gjøres oftest i form av bankoverføring , premium- SMS , virtuell valutakjøp som bitcoin eller til og med forhåndsbetaling av et gitt beløp gjennom online betalingssider som Paysafecard eller Paypal .
Etter å ha økt kontinuerlig, stabiliserte det gjennomsnittlige løsesummen stabilisert i 2017 på rundt $ 550.
Den første rançongiciel det refereres til dukket opp i 1989: PC Cyborg Trojan (in) , kodet av Joseph Popp, hadde en nyttelast som advarte brukere om at en viss lisens til bestemt programvare var utløpt, krypterte filer på harddisken, og ba brukeren betale $ 189 til “PC Cyborg Corporation” for å låse opp systemet. Forskerne fant imidlertid at krypteringen ble gjort symmetrisk , noe som betyr at krypterings- og dekrypteringsnøkkelen er den samme. Og for at programvaren skal kunne kryptere innholdet på harddisken, må den derfor ha nøkkelen med seg. En fungerende reversering gjør det mulig å finne og algoritmen og nøkkelen. Popp ble erklært psykologisk uansvarlig for sine handlinger, men han lovet å donere inntektene fra denne malware til AIDS- forskning . Ideen om å innføre asymmetrisk kryptografi for denne typen angrep ble fremmet av Adam L. Young og Moti Yung i 1996, som presenterte et bevis på konseptet for et kryptografisk virus designet mot Macintosh SE / 30-systemer , ved bruk av RSA- eller TEA- algoritmer. . Young og Yung har kalt slike angrep for "utpressingskryptovirus" for en ikke-skjult angrepsdel av den større familien av kryptovirologi (in) , som inkluderer angrep både åpne og skjulte. Andre forekomster av ransomware har dukket opp iMai 2005. Ijuni 2006, ransomware som GPcode (en) , TROJ.RANSOM.A, Archiveus (en) , Krotten (en) , Cryzip eller MayArchive har begynt å bruke mer sofistikerte RSA-krypteringsordninger, inkludert å øke størrelsen på krypteringsnøklene . GPcode.AG, oppdaget ijuni 2006, brukte en 660-biters RSA-krypteringsplan. Ijuni 2008, en ny variant av denne virusstammen kjent som GPcode.AK har blitt oppdaget. Den brukte en 1024-biters RSA-nøkkel, som ble ansett som stor nok til å være ubrytelig uten å bruke betydelig, samlet og distribuert datakraft .
Den mest aktive løsepenger i Frankrike:
Ransomware introduserer også tekst-, html- eller bildefiler som inneholder betalingsinstruksjoner. Svært ofte gjøres betalingsforsøket via nettsteder som er vert i TOR-nettverket .
I mars 2016frodig KeRanger den første rançongiciel målretting system MacOSX . Sistnevnte ble tilbudt for installasjon gjennom en falsk Overføring programvareoppdatering popup . Den utviklerens sertifikat er tilbakekalt for å begrense smitte.
CryptoLockerDet er programvare som for tiden kjører på Windows , men også på Android . Denne typen løsepenger spres hovedsakelig gjennom infiserte e-postadresser forkledd som UPS , FedEx eller amerikanske bankfakturaer . Når den er aktivert, krypterer den brukerens personlige data via en hemmelig RSA-nøkkel - lagret på hackede servere - og krever løsepenger (betales i bitcoins eller av eksterne tjenester som GreenDot eller MoneyPack) for å gjøre dem tilgjengelige igjen. Varslingsmeldingen kommer med en nedtelling på 72 eller 100 timer som truer med å slette dataene hvis løsepenger ikke blir betalt. Når den når null, øker den faktisk mengden av sistnevnte.
Noen sjeldne kryptolås der det er en løsningFor et lite antall kryptolås er det løsninger for å dekryptere noen av filene:
Crypto-locker | Bedrift som ga en løsning (delvis eller fullstendig) |
---|---|
Amnesi | Emsisoft |
BTCware | Avast |
Cry9, Cry128 og Crpton | Emsisoft |
Jaff | Kaspersky Lab |
LambdaLocker | Avast |
MacRansom | Trend Micro |
Muldvarp | Polsk organisasjon Cert-pl ( en ) |
NemucodAES | Emsisoft |
I august 2010, Arresterte russiske myndigheter ti hackere som var knyttet til WinLock, en løsepengevare som viste pornografiske bilder ved å be ofrene om å sende en premium-SMS (rundt 8 euro tilleggsavgift) for å motta en kode for å låse opp maskinene sine. Et stort antall brukere fra Russland og naboland har blitt rammet av dette viruset, med plyndringsmengden anslått til å være over 14 millioner euro. I motsetning til forgjengerne av typen GPCode, brukte ikke WinLock kryptering, men bare et enklere program som ba om en aktiveringskode.
I 2011 etterlignet ransomware varselet om produktaktivering av Windows ; som informerte brukeren om at Windows-operativsystemet hans måtte reaktiveres, fordi det ville blitt hacket ( offer for svindel ). Aktivering på nettet ble tilbudt (som den virkelige autentiseringsprosedyren), men den var ikke tilgjengelig. Offeret måtte da ringe et av de seks internasjonale numrene for å få en sekssifret kode. Den skadelige programvaren oppga feilaktig at samtalen var gratis. I virkeligheten ble den dirigert via en piratoperatør til et land med høye tilleggskostnader, noe som satte brukeren på vent. Dette genererte svært høye kommunikasjonskostnader.
Reveton Reveton
Miljø | Windows |
---|---|
Type | virus |
I 2012 dukket det opp en viktig ny ransomware: den er kjent som "Reveton", eller " Police Trojan ". Sistnevnte ble spredt av ondsinnede annonser ( malvertising ) som tar sikte på å laste en nettutnyttelse på datamaskinen, den aktive belastningen viser en falsk advarsel fra en myndighet, noe som indikerer at den infiserte datamaskinen vil bli brukt til ulovlige formål, for eksempel nedlasting av sprukket programvare . En forgrunnsvindu informerer brukeren om å låse opp systemet, den må kjøpe en kupong via en tjeneste som forhåndsbetalt Ukash (in) eller Paysafecard . For å øke illusjonen om at datamaskinen blir sett på av politiet, viser programvaren også maskinens IP-adresse , eller til og med en forhåndsvisning av webkameraet for å få offeret til å tro at politiet tar opp ansiktet i sanntid.
Andre varianter, mer spesifikke for Storbritannia, hevdes å komme fra Metropolitan Police Service , DPRS (Perception Society and Distribution of Rights) PRS for Music (in) (mer spesifikt anklager brukeren ulovlig nedlasting av musikk) eller det nasjonale politiet divisjon for nettkriminalitet ( politiets nasjonale e-kriminalitetsenhet (i) ). Som svar på denne spredningen av viruset gjorde Metropolitan Police Service det klart at det aldri blokkerte en datamaskin for å utføre etterforskning.
Reveton spredte seg til Europa i begynnelsen av 2012. I Mai 2012, Trend Micros trusseldeteksjonsavdeling hadde oppdaget varianter av skadelig programvare som var bestemt for USA og Canada , noe som antydet at forfatterne ønsket å målrette brukere i Nord-Amerika. IAugust 2012En ny variant av Reveton dukket endelig opp i USA og krevde løsepenger på 200 dollar til FBI med en korttype MoneyPak (in) .
En variant i Frankrike krever sentralkontoret for bekjempelse av kriminalitet knyttet til informasjons- og kommunikasjonsteknologi og Hadopi . Hun beskylder henne for pedofili / zoofili og ulovlig deling av data beskyttet av opphavsrett . Varianten inkluderer også at ikke å ha beskyttet datamaskinen er straffbart ved lov, og fraråder offeret å inngi en klage. Det er mulig at denne løsepenger har homofobe motiver, siden denne varianten for det meste finnes på nedlastingssider for homofil.
De fleste av disse virusene blir lett oppdaget, spesielt de som beskylder pedofili: pedofili blir straffet med fire til tolv års fengsel, det er vanskelig å forestille seg at å betale en enkel bot på 100 euro kan slette klagen.
Senere ble Reveton også en ransomware som angrep nettleseren "BrowLock" (for " Browser Locker "), ransomware blokkerer lukningen av siden med uopphørlige popup-vinduer. Denne nye varianten gjør det mulig å berøre alle operativsystemer. Avviklingen av distribusjonen av Trojan-versjonen for Browlock- versjonen sammenfaller med slutten av Web ExploitKit BlackHole . Endelig i 2015 angrep Reveton også Android- telefoner og nettbrett gjennom Koler-varianten.
WinwebsecWinwebsec er en kategori av skadelig programvare som kjører på Windows-plattformer og produserer popup-vinduer, og hevder å være ekte antivirusprogramvare. Forgrunnsvinduene deres gir brukeren mulighet til å skanne systemet for skadelig programvare og deretter vise falske resultater som " 32 virus og trojanere oppdaget på datamaskinen din. Klikk på Fix Now-knappen for å rense disse truslene " (" 32 virus og trojanere har blitt oppdaget på datamaskinen din. Klikk "Fix now" for å fjerne disse truslene "). Deretter vises en melding som ber brukeren betale for å aktivere programvaren, for å eliminere de hypotetiske truslene.
Krypteringssystemet til en kryptolås er rettet mot visse filtyper, spesielt de fra Microsoft Office , Open Document , AutoCAD- filer , men også bilder. Den angriper harddisker, delte stasjoner på nettverk, USB-stasjoner og noen ganger filer som er synkronisert i skyen .
De anbefalte måtene å kjempe mot en kryptolås er som følger:
Bedriftene FireEye og Fox-IT, som spesialiserer seg på datasikkerhet, har satt på nett en tjeneste som gjør det mulig for ofre for en krypteringslås å dekryptere filene sine gratis. Denne tjenesten sluttet å fungere som et resultat av kapringen som ble gjort av den. Faktisk imiterte mange hackere dette verktøyet for falske formål. Ofre for denne løsepengeprogrammet kan prøve å gjenopprette filene sine med andre løsninger som Windows øyeblikkelig sikkerhetskopiering hvis sistnevnte ikke slettes av krypteringsboksen.
For å bekjempe nettkriminelle selskaper som utnytter ransomware, har rettshåndhevelsesbyråer og IT-sikkerhetsselskaper gått sammen. For eksempel er No More Ransom- plattformen et initiativ fra det nederlandske politiet, Europol og cybersikkerhetsfirmaene Kaspersky Lab og McAfee , som tar sikte på å hjelpe ofre med å finne sine krypterte data uten å måtte betale kriminelle penger.