Το 40% όσων χτυπήθηκαν από ransomware, όπως το CryptoLocker πλήρωσε τα λύτρα σύμφωνα με έρευνα

[voltmod]

Τη περασμένη εβδομάδα δόθηκαν στην δημοσιότητα τα αποτελέσματα μίας ετήσιας έρευνας σχετικής με ζητήματα ασφάλειας των υπολογιστών που πραγματοποίησε ένα βρετανικό πανεπιστήμιο.Η έρευνα περιλαμβάνει στατιστικά στοιχεία που αποτέλεσαν έκπληξη, αφού αποκάλυψαν ότι οι κακοποιοί που χρησιμοποιούν ransomware τελικώς καταφέρνουν να επικρατούν σε μεγάλο ποσοστό (πρόκειται για κακόβουλο λογισμικό υψηλής επικινδυνότητας τύπου virus/malware το οποίο χρησιμοποιούν κακοποιοί για να αποσπάσουν λύτρα) με τους περισσότερους ανθρώπους που έπεσαν στην παγίδα τους, να αναγκάστηκαν να ενδώσουν και να πληρώσουν τα λύτρα που τους ζητούσαν.

 

Το Πανεπιστήμιο του Kent, στην έρευνα που πραγματοποίησε σχετικά με την ασφάλεια στον κυβερνοχώρο διαπίστωσε ότι ο υπολογιστής ενός στους τριάντα χρήστες (1/30) είχε πληγεί από το γνωστό ransomware CryptoLocker. Το 40% των χρηστών αναγκάστηκε μάλιστα να καταβάλει τα λύτρα. Στην έρευνα του Πανεπιστημίου του Kent επίσης γίνεται γνωστό, ότι το πρόβλημα με το ransomware είναι πολύ μεγάλο, αφού 1 στους 10 χρήστες συνολικά έχει πέσει θύμα τέτοιου κακόβουλου λογισμικού.

 

Η έρευνα οργανώθηκε από το Διεπιστημονικό Κέντρο Ερευνών του Πανεπιστημίου του Kent για την ασφάλεια στον κυβερνοχώρο, και την ομάδα που ηγήθηκε της έρευνας αποτελούσαν ψυχολόγοι και επιστήμονες στον τομέα των υπολογιστών, και διεξήχθη με τη χρήση της πλατφόρμας Google Consumer Surveys.

Καθώς οι συντάκτες της έκθεσης ζητούν από τους αναγνώστες τους να βρίσκονται σε επαγρύπνηση, αξίζει να αναφέρουμε ότι η έρευνα κάλυψε ένα σχετικά μικρό αριθμό ανθρώπων - μόλις λίγους περισσότερους από 1500 ενήλικους στη Βρετανία. Ο μικρός βεβαίως αριθμός δείγματος, αφήνει ανοικτή τη πόρτα για σκεπτικισμό και ανακρίβειες για διάφορους λόγους (π.χ συμπεριλαμβανομένης μίας προκατάληψης σχετικά με το δείγμα, λόγω του είδους των ανθρώπων που ανταποκρίνονται να πάρουν μέρος σε έρευνες online), ωστόσο τα αποτελέσματα της έρευνας φαίνεται να είναι αρκετά δραματικά για να μην είναι κάτι περισσότερο από μια ανωμαλία.

 

Άλλα στοιχεία που συλλέχθηκαν από την έρευνα φαίνεται πως ήταν αρκετά προβλέψιμα. Περίπου τα δύο τρίτα από εμάς αισθάνονται ότι βρίσκονται σε κίνδυνο από το έγκλημα στον κυβερνοχώρο, και σε ποσοστό λίγο πάνω από το 25%, έχουμε πέσει θύμα κάποιου είδους «κυβερνο-εξαρτώμενου εγκλήματος» κατά το τελευταίο έτος, είτε από malware (11,9%), είτε από phishing (7,3%). Επίσης 1 στους 10 από εμάς, έχει πέσει θύμα εκφοβισμού, θύμα παρενόχλησης ή ακόμα και καταδίωξης online.

 

 

Αν το ποσοστό μολύνσεων από malware σας φαίνεται λίγο υψηλότερο από αυτό που βλέπουμε συνήθως σε έρευνες του είδους, είναι γιατί στα ποσοστά περιλαμβάνεται το CryptoLocker, και άλλα είδη ransomware. Το 9.7% των ερωτηθέντων απάντησε ότι είχε μολυνθεί από κάποιο είδος ransomware, με το CryptoLocker να κατονομάζεται συγκεκριμένα, και να αποτελεί το 1/3 των μολύνσεων που αναφέρθηκαν συνολικά στην έρευνα.

 

Το CryptoLocker είναι ένα υψηλού κινδύνου κακόβουλο λογισμικό (αναγνωρίζεται από το antivirus της Sophos ως Troj/Ransom-ACP), το οποίο κρυπτογραφεί τα δεδομένα του χρήστη. Αφού μολύνει τον υπολογιστή, δημιουργεί ένα μοναδικό κλειδί σε κάποιον server, που μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση των αρχείων του υπολογιστή. Το κλειδί είναι μοναδικό για τον υπολογιστή που έχει μολυνθεί. Στα θύματα, δίνεται διορία 72 ωρών για να καταβάλουν λύτρα (περίπου 300 ευρώ). Μόλις καταβληθούν, το πρόγραμμα θα δώσει στον χρήστη το κλειδί για να αποκρυπτογραφήσει τα αρχεία.

 

Τα στοιχεία της έρευνας έχουν πάντα ένα πρόβλημα. Είναι τόσο ακριβή όσο και η γνώση (και η ειλικρίνεια) των ατόμων που συμμετείχαν σε αυτή. Το malware, ως επί το πλείστον, έχει στόχο να μην αποκαλύπτει την παρουσία του στα θύματα του. Τις περισσότερες φορές «κάνει τη δουλειά του» στο παρασκήνιο, αθέατο στο χρήστη. Επομένως, αν κάποιος ρωτήσει κάποιον άλλο αν έχει πέσει θύμα κακόβουλου λογισμικού πως μπορεί να είναι σίγουρος για την απάντηση; Αν η απάντηση για παράδειγμα είναι ένα ισχυρό, και σαφές “όχι”, δεν θα πρέπει να αντιμετωπίζεται με σκεπτικισμό; Πως θα μπορούσε κάποιος να ξέρει πραγματικά;

 

Σε αντίθεση με τα περισσότερα malware όμως, το Cryptolocker ή άλλα ransomware του είδους δεν κρύβουν την παρουσία τους. Μάλιστα στις προθέσεις των εγκληματιών είναι να κάνουν όσο γίνεται πιο απλό και κατανοητό για τα θύματα τους, ότι έχουν μολυνθεί. Οπότε θα μπορούσαμε να πούμε, ότι δεν παρατηρείται κάποια αλλαγή στο συνολικό επίπεδο του malware που κυκλοφορεί, αλλά μία αλλαγή στο τρόπο που φαίνεται και αποκαλύπτεται στο ευρύ κοινό.

 

Σύμφωνα με την έρευνα, λίγοι περισσότεροι από το 1/3 των ανθρώπων που έλαβαν μέρος είχαν εγκατεστημένο κάποιο firewall. Λιγότεροι επίσης από τους μισούς είχαν κάποια ενημερωμένη εφαρμογή anti-malware στον υπολογιστή τους ενώ λίγοι λιγότεροι από το 1/3 χρησιμοποιούσαν «κατάλληλους και σωστούς» κωδικούς πρόσβασης.

 

Είναι πολύ πιθανό, αυτή η ορατότητα που επιδεικνύει το malware του είδους, να ευαισθητοποιήσει το ευρύ κοινό ώστε να δώσει μεγαλύτερη προσοχή στους κινδύνους που ελλοχεύουν online και σε άλλες ηλεκτρονικές απειλές. Προς το παρόν, φαίνεται πως επί το πλείστον, αγνοούμε ή βρισκόμαστε ακόμη σε φάση άρνησης, ωσότου κάτι πραγματικά επικίνδυνο μολύνει τον υπολογιστή μας και κρυπτογραφήσει τα δεδομένα μας απαιτώντας λύτρα.

 

Το ότι πληρώνουν πολλοί άνθρωποι αυτά τα λύτρα, δεν αποτελεί έκπληξη επίσης. Φαίνεται πως όπως συμβαίνει και με άλλα βασικά μέτρα ασφάλειας, η σωστή φύλαξη και το backup των πολύτιμων αρχείων μας είναι σπάνιο πράγμα. Ανάμεσα στα θύματα που αναγκάζονται να πληρώσουν λύτρα -πέρα από απλούς ανθρώπους- είναι αστυνομικά τμήματα, δικηγορικά γραφεία και άλλες μικρές επιχειρήσεις όπου απλές, βασικές πρακτικές ασφαλείας όπως είναι η δημιουργία αντιγράφων ασφαλείας είναι πολύ πιθανό να απουσιάζουν.

Αυτές οι ελλείψεις, μπορεί να ήταν κρυμμένες στο παρελθόν, αλλά τώρα εξαναγκάζονται να βγουν στο προσκήνιο, και ένα τέτοιο σοκ, ίσως κάνει τους ανθρώπους να δώσουν τη σωστή προτεραιότητα στις ανάγκες ασφαλείας τους.

 

Μερικές προτάσεις για να αντιμετωπίσετε με επιτυχία το malware και άλλες ηλεκτρονικές απειλές είναι οι παρακάτω:

 

• Να κρατάτε συχνά αντίγραφα ασφαλείας των πολύτιμων δεδομένων σας

• Να χρησιμοποιείτε εφαρμογή anti-virus που έχετε ενημερωμένη

• Να έχετε ενημερωμένο το λειτουργικό σύστημα και το λογισμικό σας με patches

• Ελέγξτε τα δικαιώματα πρόσβασης στους φακέλους ή τους σκληρούς δίσκους που διαμοιράζεστε σε δίκτυο

• Μην δίνεται δικαιώματα διαχειριστή στους λογαριασμούς που χρησιμοποιείτε αν δεν είναι απαραίτητο

 

Site: NSS

[sonyxp]

Τελικά δεν βγήκε κάποια θεραπία για αυτό ε?

[salonika91]

Και μολις χθες εκανα απεγκατασταση το online armor(firewall).

Το ξανακατεβαζω

[NikosKallithea]

Για ποια λειτουργικα μιλαμε??

[hakunamatata]

αρα ειναι επικερδης η επιχειριση...

[obi]

Χρήσιμες οι συμβουλές στο τέλος.

Για το ποσοστό των παθόντων δε φέρω άποψη,

μου φαίνεται κάπως είναι η αλήθεια.

 

Ένα ερώτημα:

ξέρουμε πώς λειτουργεί και από ποιους φακέλους τα αρχεία κρυπτογραφεί το εν λόγω malware;

 

Πχ τί θα συνέβαινε αν κρυπτογραφούσε και αρχεία συστήματος και πώς κάνει τη διάκριση στο να μην τα κρυπτογραφήσει-καταστρέψει τελικά;

 

Εννοείται το offline backup όπως και πολλά άλλα,

αλλά άραγε θα ήταν μια λύση ανάγκης το να μη χρησιμοποιούμε τους default φακέλους του λειτουργικού για απόθεση αρχείων;

 

Διότι αν δεν κρυπτογραφεί το σύνολο των αρχείων του λειτουργικού

(πώς θα μπορούσε άλλωστε, αφού ο σκοπός είναι να ανοίγει το λειτουργικό για να πετάει το μήνυμα του εκβιασμού;  )

τότε - εκτός από το να αποθηκεύεις αρχεία πάντα offline σε εξωτερικό δίσκο που τον κρατάς μη συνδεδεμένο με τον υπολογιστή -

η λύση ανάγκης είναι τα λιγοστά online 'onboard' αρχεία να τα αποθηκεύεις σε υποφάκελο όπου θα ξέρεις ότι δεν κρυπτογραφεί και δεν αγγίζει το εν λόγω.

Ώστε και η στραβή να συμβεί, ξεχνάς μεν το λειτουργικό

αλλά τουλάχιστον βγάζεις το σκληρό και παίρνεις και τα όποια ελάχιστα αρχεία είχες πάνω.

[Nahock]

-Η κρυπτογράφηση του cryptolocker τι είδους είναι;

-Όταν λέμε “κρυπτογραφεί τα δεδομένα του χρήστη”  συμπεριλαμβάνουμε όλο το λειτουργικό μαζί με όλα τα προσωπικά αρχεία που βρίσκονται σε αυτό, ή κάποιο μικρό αρχείο του λειτουργικού ίσα ίσα να μπλοκάρει την εκκίνηση;

-Πως γίνεται να κρυπτογραφείται ολόκληρο λειτουργικό (ένας σκληρός ίσως) χωρίς να το παίρνουμε χαμπάρι; Δε χρησιμοποιούνται πόροι από το σύστημά μας για να γίνει η κρυπτογράφηση η οποία υποτίθεται είναι μια χρονοβόρα διαδικασία;

-Το linux αναγνωρίζει την κρυπτογράφηση που έχει η γίνει στα windows ή απλώς διαβάζει τα αρχεία κανονικά εφόσον θέλουμε επαναφέρουμε τα "κλειδωμένα" αρχεία μας;

 

 

Και μιας και το άρθρο αναφέρει και διάφορες προφυλάξεις:

-Αληθεύει ότι το Kaspersky είναι το καλύτερο antivirus;

[menthol1979]

Για ποια λειτουργικα μιλαμε??

Έλα μην αρχίσουμε τώρα τα χαζά τύπου : "Ποιός έχει ακόμα Windows", "Τα Linux δε μασάνε", "Έβαλα Ubntu και πήγα 100 χρόνια μπροστά"...

[NikosKallithea]

Έλα μην αρχίσουμε τώρα τα χαζά τύπου : "Ποιός έχει ακόμα Windows", "Τα Linux δε μασάνε", "Έβαλα Ubntu και πήγα 100 χρόνια μπροστά"...

 

Δεν κατάλαβα εχεις γραφτει ενα άρθρο που αναφέρεται σε επιθεσεις, κωδικοποίηση αρχειων, πληρωμές αμοιβών κλπ. Δεν πρεπει να αναφερθεί και σε  ποια λειτουργικά συμβαίνουν ολα τα παραπάνω.

 

Γιατι διάβασα το κείμενο και δεν είδα ούτε μια αναφορά.

[Aztec]

Δηλαδή πλήρωνες και όλα καλά ? και τα είχα παρεξηγήσει τα παλικάρια 

[obi]

@NikosKallithea

 

Εννοεί ότι αν το θελήσουν οι cyberκακοποιοί που ασχολούνται με ransomware και το cyberέγκλημα γενικότερα,

μπορούν να επιχειρήσουν να χτυπήσουν όποιο λειτουργικό θέλουν.

Διότι αυτοί την εκβίαση θέλουν και τα 'λύτρα' ανεξαρτήτως οικοσυστήματος που μπορεί να είναι το πιο δημοφιλές σήμερα, αύριο το 'λειτουργικό των πλουσίων' και πάει λέγοντας.

 

Και πολύ λογικό είναι να μη βλέπουμε το κατά τη γνώμη μου έλασσον που είναι το λειτουργικό, αλλά το επίσης κατά τη γνώμη μου μείζον που είναι ο εκβιασμός με ransomware.

 

Βεβαίως η απορία σου έχει κάποιο ενδιαφέρον,

αλλά μπορεί να απαντηθεί περιπτωσιολογικά

δηλαδή το συγκεκριμένο ransomware δρα στο τάδε λειτουργικό (βλέπε WIndows) κλπ.

Και με την περιπτωσιολογία ξεφεύγουμε από το νόημα.

[keysmith]

o ιός κρυπτογραφεί όλα τα "εγγραφα" (docs, xls, ppt, pdf κτλ κλτ) που βρίσκονται στις γνωστές θέσεις (my documents, network drives, γενικά παντού). Μόνο αυτοί οι τύπου αρχείων, όχι το λειτουργικό ή app data.

 

Για τα δεδομένα χρησιμοποιεί ένα συμμετρικό κλειδί που παράγεται τυχαία (data encryption key). Το κλειδί αυτό κρυπτογραφείται το ίδιο με κάποιου είδους τυχαίο δημόσιο κλειδί (key encryption key) του οποίου το μυστικό κλειδί (που ξεκλειδώνει το κλειδί κρυπτογράφησης) είναι στα χέρια των "χακερ".  Το δημόσιο κλειδί το παράγουν/δημιουργούν χακαρισμένοι servers/clients ανά τον κόσμο (bots).  Για κάθε μολισμένο Η.Υ είναι ΔΙΑΦΟΡΕΤΙΚΟ! (για αυτό και δεν υπάρχει λύση). Ο μολυσμένος η/υ για να βρεί κάποιον τέτοιο server χρησιμοποιεί κάποιο σύστημα dynamic DNS ή γενικά DNS. Δεν έχουν βρεί τρόπο να "προβλέπουν" τα ονόμα αυτά για να τα μπλοκάρουν, αν και κατά καιρούς έχουν μπλοκάρει αρκετά από αυτά. 

 

Αυτό που δεν έχω καταλάβει είναι πως δεν τους πιάσαν ακόμα μέσω των χρημάτων που δίνονται ως λύτρα. Δεν χρησιμοποιείται μόνο το ανώνυμο bitcoin αλλα και άλλου είδους πληρωμές (τύπου paypal, αλλά όχι paypal). Η ροή του χρήματος είναι συνηθισμένη μέθοδος "αποκάλυψης" από απάτες σε όλο τον χώρο και είδη εγκλημάτων.

[NikosKallithea]

Θα μείνω σε αυτο παραφράζοντας το λιγο "πίστευε και μη ερεύνα"

 

 

@NikosKallithea

 

Εννοεί ότι αν το θελήσουν οι cyberκακοποιοί που ασχολούνται με ransomware και το cyberέγκλημα γενικότερα,

μπορούν να επιχειρήσουν να χτυπήσουν όποιο λειτουργικό θέλουν.

Διότι αυτοί την εκβίαση θέλουν και τα 'λύτρα' ανεξαρτήτως οικοσυστήματος που μπορεί να είναι το πιο δημοφιλές σήμερα, αύριο το 'λειτουργικό των πλουσίων' και πάει λέγοντας.

 

Και πολύ λογικό είναι να μη βλέπουμε το κατά τη γνώμη μου έλασσον που είναι το λειτουργικό, αλλά το επίσης κατά τη γνώμη μου μείζον που είναι ο εκβιασμός με ransomware.

[obi]

Θα μείνω σε αυτο παραφράζοντας το λιγο "πίστευε και μη ερεύνα"

Άρα εκεί θέλεις να καταλήξεις. ΟΚ.

Μάλλον έχει δίκιο ο άλλος φίλος.

 

Διότι όπως προσέθεσα

"Βεβαίως η απορία σου έχει κάποιο ενδιαφέρον,

αλλά μπορεί να απαντηθεί περιπτωσιολογικά

δηλαδή το συγκεκριμένο ransomware δρα στο τάδε λειτουργικό (βλέπε WIndows) κλπ.

Και με την περιπτωσιολογία ξεφεύγουμε από το νόημα."

 

 

o ιός κρυπτογραφεί όλα τα "εγγραφα" (docs, xls, ppt, pdf κτλ κλτ) που βρίσκονται στις γνωστές θέσεις (my documents, network drives, γενικά παντού). Μόνο αυτοί οι τύπου αρχείων, όχι το λειτουργικό ή app data.

 

Για τα δεδομένα χρησιμοποιεί ένα συμμετρικό κλειδί που παράγεται τυχαία (data encryption key). Το κλειδί αυτό κρυπτογραφείται το ίδιο με κάποιου είδους τυχαίο δημόσιο κλειδί (key encryption key) του οποίου το μυστικό κλειδί (που ξεκλειδώνει το κλειδί κρυπτογράφησης) είναι στα χέρια των "χακερ".  Το δημόσιο κλειδί το παράγουν/δημιουργούν χακαρισμένοι servers/clients ανά τον κόσμο (bots).  Για κάθε μολισμένο Η.Υ είναι ΔΙΑΦΟΡΕΤΙΚΟ! (για αυτό και δεν υπάρχει λύση). Ο μολυσμένος η/υ για να βρεί κάποιον τέτοιο server χρησιμοποιεί κάποιο σύστημα dynamic DNS ή γενικά DNS. Δεν έχουν βρεί τρόπο να "προβλέπουν" τα ονόμα αυτά για να τα μπλοκάρουν, αν και κατά καιρούς έχουν μπλοκάρει αρκετά από αυτά. 

 

Αυτό που δεν έχω καταλάβει είναι πως δεν τους πιάσαν ακόμα μέσω των χρημάτων που δίνονται ως λύτρα. Δεν χρησιμοποιείται μόνο το ανώνυμο bitcoin αλλα και άλλου είδους πληρωμές (τύπου paypal, αλλά όχι paypal). Η ροή του χρήματος είναι συνηθισμένη μέθοδος "αποκάλυψης" από απάτες σε όλο τον χώρο και είδη εγκλημάτων.

Συμφωνώ με την τελευταία παράγραφο.

 

Μια απορία: δηλαδή αν εγώ σε κάθε δικό μου αρχείο προσθέτω και μια κατάληξη τύπου αρχείου λειτουργικού (πχ .dat, .sys, .dll σε λειτουργικό Windows) και φυλάω από ένα αντίγραφο σε 'ασφαλή' φάκελο,

άραγε θα είμαι καλυμμένος;

 

Και ένα δεύτερο ερώτημα: άραγε το malware αποκαλύπτεται με την εκκίνηση του λειτουργικού, την αμέσως επόμενη φορά (αφότου πρώτα εγκαταστάθηκε και έκλεισε ο υπολογιστής);

[sonyxp]

-Η κρυπτογράφηση του cryptolocker τι είδους είναι;

...

 

Αν θυμάμαι καλά, παλιά που είχε γίνει ένα σχετικό Post, ήταν SHA-1024/2048

 

Εδώ SHA-128(κλειδί 128bits) δεν μπορείς να σπάσεις... θα έσπαγες 1024 ή 2048; ...

 

Η Αλήθεια είναι ότι μου έκανε εντύπωση γιατί ήξερα μέχρι και SHA-1|2 512b