Ransomware czyha, więc nie wyłączaj mózgu na stronach pornograficznych

Zdarzyło wam się dostać na komputerze podejrzane komunikaty, które pochodzić miały od policji lub innej instytucji publicznej i nakazywały wam uiszczenie jakiejś opłaty? Tak, to tzw. ransomware. Rodzaj zagrożenia powszechnie znany na komputerach, który powoli przenoszony jest również na urządzenia mobilne. Jak z nim walczyć?

Niedawno amerykańska firma Lookout poinformowała o pojawieniu się nowego zagrożenia mobilnego o nazwie “ScarePakage”, którym w ciągu kilku tygodni zainfekowano prawie milion smartfonów z Androidem. Malware ten blokował użytkownikom dostęp do telefonu i wyświetlał komunikat, który rzekomo wysłany został przez F.B.I. Pochodząca z Europy Wschodniej grupa cyberprzestępców żądała w nim uiszczenia “opłaty karnej”.

To jeden z pierwszych takich przypadków na rynku urządzeń mobilnych, ale szybko pojawiły się kolejne zagrożenia tego typu. Informuje o nich m.in. firma F-Secure, którą poprosiłem o pomoc w przybliżeniu tego typu zagrożeń.

Zacznijmy od podstawowej kwestii, czyli tego czym właściwie “ransomware” jest. Sean Sullivan, doradca ds. bezpieczeństwa F-Secure, krótko definiuje ten tym zagrożeń jako:

Sean Sullivan:

złośliwe oprogramowanie, które blokuje komputer bądź szyfruje przypadkowe pliki na dysku twardym i w zamian za zdjęcie blokady żąda uiszczenia opłaty (okupu). Najczęściej komunikaty wyświetlane w przypadku ransomware przybierają formę powiadomień z instytucji publicznych, np. policji.

To jednak jeszcze nie wszystko, gdyż problem jest nieco bardziej złożony.

Sean Sullivan:

Zagrożenie może być dwojakie – w przypadku klasycznego ransomware blokującego ekran – przestraszeni właściciele sprzętu mogą po prostu nie zapłacić przestępcom za odblokowanie komputera. W przypadku zagrożeń szyfrujących pliki na dysku istnieje prawdopodobieństwo utraty plików w razie niezrealizowania przelewu. Wynika to z użycia bardzo mocnej szyfracji, która jest w zasadzie niemożliwa do złamania. W przypadku infekcji pozostaje więc wybór – albo opłacenie okupu, albo utrata zaszyfrowanych plików.

Na systemie Windows dróg ataku jest kilka, ale najczęstszym jest mechanizm “drive-by download”, w którym wykorzystywane są zainfekowane strony internetowe. “Masz nieaktualną wtyczkę Flash. Pobierz najnowsze Flash Playera!” czy “Wykryliśmy wirusa! Pobierz antywirusa i przeskanuj komputer” to przykłady pop-upów, które pojawiają się na zainfektowanych witrynach. Podobnie wygląda to w przypadku urządzeń mobilnych, co dokładnie wyjaśnia Sean:

Sean Sullivan:

W przypadku Androida często dzieje się to w momencie odwiedzania zainfekowanej strony, która wyświetla komunikat np. o tym, że należy zaktualizować program do odtwarzania wideo w telefonie. W momencie kliknięcia „Instaluj” albo „Aktualizuj” aplikacja instaluje na słuchawce szkodliwy kod. Gdy w ustawieniach mamy odblokowaną opcję instalacji z nieznanych źródeł, czyli spoza Google Play, to sprawa jest załatwiona. Trzeba pamiętać, że w przypadku Androida jest to nieco bardziej utrudnione, niż na komputerach z Windowsem.

Wielu z was może wydawać się, że “ransomware” to coś z czym nigdy się nie spotkacie. Nic bardziej mylnego, gdyż zagrożenie to jest bardzo popularne na komputerach. Dość wspomnieć tu choćby o stronach, które w czasie Mistrzostw Świata w Siatkówce oferowały nielegalny streaming meczy. Tak tak, wśród dostępnych tam pop-upów sporo był ransomware’u. To samo dotyczy stron pornograficznych. Ten typ zagrożeń szybko nie zniknie, gdyż przynosi ogromne zyski zorganizowanym grupom, co zauważa Sean Sullivan.

Sean Sullivan:

Ransomware na komputerach PC to bardzo powszechne zagrożenie. Wynika to z faktu, że w dość łatwo sposób można zainfekować dużą grupę komputerów. Osobiście przyjmuję bardzo zachowawcze założenie, że tylko 1% właścicieli zainfekowanych maszyn opłaca okup, a że są one wysokie, rzędu 100- 300 USD, to twórcy złośliwego kodu gromadzą na kontach całkiem pokaźne sumy.

Już w 2012 roku wykryto aż 16 zorganizowanych grup, które odpowiedzialne są za rozprzestrzenianie ransomware’u. Ekspert z F-Secure zauważa, że część z nich powoli za cel obiera sobie Androida.

Sean Sullivan:

Natomiast w przypadku Androida obserwujemy systematyczne adaptowanie rozwiązań znanych z Windows na platformę Google. Na razie ransomware’u nie ma dużo, ale kolejne udane próby będą zachęcać do częstszego stosowania ataków tego typu malwarem.

Liczba pojawiających się na świecie ataków ransomware’owych będzie rosnąć. Wątpliwości nie ma tu Sean Sullivan, który w pierwszej kolejności nakazuje zachować rozsądek w korzystaniu z telefonu. Tyczy się to szczególnie użytkowników przeglądających strony pornograficzne na smartfonach, których liczba stale i systematycznie rośnie.

Sean Sullivan:

Nie bez powodu większość ataków ransomwarem na urządzeniach mobilnych ma miejsce na stronach pornograficznych – tam faceci zazwyczaj już zdążyli wyłączyć mózg i przełączyli się na inny organ. Dlatego łatwo podsunąć informację o nieaktualnym odtwarzaczu wideo i konieczności jego aktualizacji.

Należy mieć też świadomość tego co wynika z otwartości Androida. Instalacja aplikacji spoza Google Play to dla wielu fajna opcja, ale może nieść ze sobą przykre konsekwencje, co stale powtarzają eksperci od zabezpieczeń.

Sean Sullivan:

Druga kwestia to zablokowanie możliwości instalacji aplikacji z nieznanych źródeł, bo te dostępne w Google Play są monitorowane pod względem bezpieczeństwa i wyjątkowo rzadko zdarzają się tam szkodliwe programy.

Pomocne mogą okazać się programy antywirusowe i dodatkowe narzędzia. Sean szczególną uwagę zwraca na programy badające uprawnienia przyznawane poszczególnym aplikacjom. W sklepie Google’a jest kilka tego typu pozycji, w tym program naszego partnera - F-Secure App Permissions.

Sean Sullivan:

Trzecia sprawa to zainstalowanie oprogramowania antywirusowego, które przed instalacją przeskanuje aplikację i sprawdzi, czy nie wykonuje ona szkodliwych działań. Warto też zainstalować aplikację sprawdzającą uprawnienia poszczególnych aplikacji na telefonie. Sprawdza ona, jakich uprawnień domagają się poszczególne programy i podkreśla, które z nich mogą wiązać się z zagrożeniem dla prywatności użytkownika czy dodatkowymi kosztami.

Niektórym z was może wydawać się, że próbujemy straszyć ransomware’em. Nie jest tak jednak. Nie jest to też najgroźniejsze z zagrożeń dotykających urządzenia mobilne, ale ma jedną bardzo nieprzyjemną cechę - jeżeli smartfon zostanie nim zainfekowany, jest ono niezwykle trudne do usunięcia. Nawet, gdy już się to uda, jest to zazwyczaj równoznaczne z utratą prywatnych - niekiedy bardzo ważnych - danych. Miejcie to zawsze na uwadze.

Materiał powstał we współpracy z: