Ransomware czyha, więc nie wyłączaj mózgu na stronach pornograficznych
Zdarzyło wam się dostać na komputerze podejrzane komunikaty, które pochodzić miały od policji lub innej instytucji publicznej i nakazywały wam uiszczenie jakiejś opłaty? Tak, to tzw. ransomware. Rodzaj zagrożenia powszechnie znany na komputerach, który powoli przenoszony jest również na urządzenia mobilne. Jak z nim walczyć?
08.10.2014 | aktual.: 08.10.2014 14:46
Czym jest “ransomware”?
Niedawno amerykańska firma Lookout poinformowała o pojawieniu się nowego zagrożenia mobilnego o nazwie “ScarePakage”, którym w ciągu kilku tygodni zainfekowano prawie milion smartfonów z Androidem. Malware ten blokował użytkownikom dostęp do telefonu i wyświetlał komunikat, który rzekomo wysłany został przez F.B.I. Pochodząca z Europy Wschodniej grupa cyberprzestępców żądała w nim uiszczenia “opłaty karnej”.
To jeden z pierwszych takich przypadków na rynku urządzeń mobilnych, ale szybko pojawiły się kolejne zagrożenia tego typu. Informuje o nich m.in. firma F-Secure, którą poprosiłem o pomoc w przybliżeniu tego typu zagrożeń.
Zacznijmy od podstawowej kwestii, czyli tego czym właściwie “ransomware” jest. Sean Sullivan, doradca ds. bezpieczeństwa F-Secure, krótko definiuje ten tym zagrożeń jako:
Sean Sullivan:
złośliwe oprogramowanie, które blokuje komputer bądź szyfruje przypadkowe pliki na dysku twardym i w zamian za zdjęcie blokady żąda uiszczenia opłaty (okupu). Najczęściej komunikaty wyświetlane w przypadku ransomware przybierają formę powiadomień z instytucji publicznych, np. policji.
To jednak jeszcze nie wszystko, gdyż problem jest nieco bardziej złożony.
Sean Sullivan:
Zagrożenie może być dwojakie – w przypadku klasycznego ransomware blokującego ekran – przestraszeni właściciele sprzętu mogą po prostu nie zapłacić przestępcom za odblokowanie komputera. W przypadku zagrożeń szyfrujących pliki na dysku istnieje prawdopodobieństwo utraty plików w razie niezrealizowania przelewu. Wynika to z użycia bardzo mocnej szyfracji, która jest w zasadzie niemożliwa do złamania. W przypadku infekcji pozostaje więc wybór – albo opłacenie okupu, albo utrata zaszyfrowanych plików.
Jak można złapać tego wirusa?
Na systemie Windows dróg ataku jest kilka, ale najczęstszym jest mechanizm “drive-by download”, w którym wykorzystywane są zainfekowane strony internetowe. “Masz nieaktualną wtyczkę Flash. Pobierz najnowsze Flash Playera!” czy “Wykryliśmy wirusa! Pobierz antywirusa i przeskanuj komputer” to przykłady pop-upów, które pojawiają się na zainfektowanych witrynach. Podobnie wygląda to w przypadku urządzeń mobilnych, co dokładnie wyjaśnia Sean:
Sean Sullivan:
W przypadku Androida często dzieje się to w momencie odwiedzania zainfekowanej strony, która wyświetla komunikat np. o tym, że należy zaktualizować program do odtwarzania wideo w telefonie. W momencie kliknięcia „Instaluj” albo „Aktualizuj” aplikacja instaluje na słuchawce szkodliwy kod. Gdy w ustawieniach mamy odblokowaną opcję instalacji z nieznanych źródeł, czyli spoza Google Play, to sprawa jest załatwiona. Trzeba pamiętać, że w przypadku Androida jest to nieco bardziej utrudnione, niż na komputerach z Windowsem.
Nic mi nie grozi?
Wielu z was może wydawać się, że “ransomware” to coś z czym nigdy się nie spotkacie. Nic bardziej mylnego, gdyż zagrożenie to jest bardzo popularne na komputerach. Dość wspomnieć tu choćby o stronach, które w czasie Mistrzostw Świata w Siatkówce oferowały nielegalny streaming meczy. Tak tak, wśród dostępnych tam pop-upów sporo był ransomware’u. To samo dotyczy stron pornograficznych. Ten typ zagrożeń szybko nie zniknie, gdyż przynosi ogromne zyski zorganizowanym grupom, co zauważa Sean Sullivan.
Sean Sullivan:
Ransomware na komputerach PC to bardzo powszechne zagrożenie. Wynika to z faktu, że w dość łatwo sposób można zainfekować dużą grupę komputerów. Osobiście przyjmuję bardzo zachowawcze założenie, że tylko 1% właścicieli zainfekowanych maszyn opłaca okup, a że są one wysokie, rzędu 100- 300 USD, to twórcy złośliwego kodu gromadzą na kontach całkiem pokaźne sumy.
Już w 2012 roku wykryto aż 16 zorganizowanych grup, które odpowiedzialne są za rozprzestrzenianie ransomware’u. Ekspert z F-Secure zauważa, że część z nich powoli za cel obiera sobie Androida.
Sean Sullivan:
Natomiast w przypadku Androida obserwujemy systematyczne adaptowanie rozwiązań znanych z Windows na platformę Google. Na razie ransomware’u nie ma dużo, ale kolejne udane próby będą zachęcać do częstszego stosowania ataków tego typu malwarem.
Jak się bronić? Po pierwsze - zachowaj głowę
Liczba pojawiających się na świecie ataków ransomware’owych będzie rosnąć. Wątpliwości nie ma tu Sean Sullivan, który w pierwszej kolejności nakazuje zachować rozsądek w korzystaniu z telefonu. Tyczy się to szczególnie użytkowników przeglądających strony pornograficzne na smartfonach, których liczba stale i systematycznie rośnie.
Sean Sullivan:
Nie bez powodu większość ataków ransomwarem na urządzeniach mobilnych ma miejsce na stronach pornograficznych – tam faceci zazwyczaj już zdążyli wyłączyć mózg i przełączyli się na inny organ. Dlatego łatwo podsunąć informację o nieaktualnym odtwarzaczu wideo i konieczności jego aktualizacji.
Należy mieć też świadomość tego co wynika z otwartości Androida. Instalacja aplikacji spoza Google Play to dla wielu fajna opcja, ale może nieść ze sobą przykre konsekwencje, co stale powtarzają eksperci od zabezpieczeń.
Sean Sullivan:
Druga kwestia to zablokowanie możliwości instalacji aplikacji z nieznanych źródeł, bo te dostępne w Google Play są monitorowane pod względem bezpieczeństwa i wyjątkowo rzadko zdarzają się tam szkodliwe programy.
Pomocne mogą okazać się programy antywirusowe i dodatkowe narzędzia. Sean szczególną uwagę zwraca na programy badające uprawnienia przyznawane poszczególnym aplikacjom. W sklepie Google’a jest kilka tego typu pozycji, w tym program naszego partnera - F-Secure App Permissions.
Sean Sullivan:
Trzecia sprawa to zainstalowanie oprogramowania antywirusowego, które przed instalacją przeskanuje aplikację i sprawdzi, czy nie wykonuje ona szkodliwych działań. Warto też zainstalować aplikację sprawdzającą uprawnienia poszczególnych aplikacji na telefonie. Sprawdza ona, jakich uprawnień domagają się poszczególne programy i podkreśla, które z nich mogą wiązać się z zagrożeniem dla prywatności użytkownika czy dodatkowymi kosztami.
Niektórym z was może wydawać się, że próbujemy straszyć ransomware’em. Nie jest tak jednak. Nie jest to też najgroźniejsze z zagrożeń dotykających urządzenia mobilne, ale ma jedną bardzo nieprzyjemną cechę - jeżeli smartfon zostanie nim zainfekowany, jest ono niezwykle trudne do usunięcia. Nawet, gdy już się to uda, jest to zazwyczaj równoznaczne z utratą prywatnych - niekiedy bardzo ważnych - danych. Miejcie to zawsze na uwadze.
Materiał powstał we współpracy z: