Išpirkos reikalaujantis programinis kodas: Kuo šios kenkėjiškos programos pavojingos ir kaip nuo jų apsisaugoti  (10)

Išpirkos reikalaujantis programinis kodas (IRPK) yra kenkėjiškos programinės įrangos tipas, reketuojantis iš jų pinigus. Vienas iš liūdniausiai pagarsėjusių, CryptoLocker, paima jūsų failus įkaitais ir reikalauja išpirkos, kad galėtumėte vėl jais naudotis.

Dauguma kenkėjiškos programinės įrangos (KPĮ) nebėra nuobodžiaujančių paauglių, siekiančių iškrėsti kokią šunybę, darbas. Didžiąją daugumą tokių programų dabar kuria organizuoti nusikaltėliai, siekdami pelno, o pačios programos tampa vis sudėtingesnės.

Kaip veikia IRPK

Ne visos IRPK vienodos. Pagrindinis bruožas, padarantis kenkėjišką PĮ išpirkos reikalaujančia, yra, kaip nesunku nuspėti, pastangos gauti tiesioginį mokėjimą.

Kai kuris IRPK gali būti apgaulingas. Jis gali veikti kaip „bauginanti kpį“ (scareware“, rodanti iššokančias žinutes, kuriose parašyta kas nors panašaus į „Jūsų kompiuteris užkrėstas, pirkite šį produktą, kad atsikratytumėte užkrato“ arba „Jūsų kompiuteris buvo naudojamas nelegalių failų siuntimui, sumokėkite baudą, kad galėtumėte naudotis šiuo kompiuteriu.“

Kartais IRPK būna įžūlesnis. Jis gali įlįsti giliai į sistemą, ir rodyti žinutę, kad pasitrauks tik tada, kai sumokėsite išpirką IRPK kūrėjams. Tokios KPĮ galima atsikratyti KPĮ šalinimo įrankiais ar tiesiog perinstaliavus operacinę sistemą.

Ką daro išpirkos reikalaujantis programinis kodas?

  • Užkoduoja svarbius naudotojo duomenis, multimedijos objektus (vaizdo medžiagą, nuotraukas, etc) ar bet kokius kitus failus, turinčius svarbią informaciją. Paliekami tik užkoduoti failai, originalūs failai ištrinami.
  • Ištrina naudotojo dokumentus, multimedijos objektus ar bet kokius kitus svarbius failus.
  • Sugadina visą sistemą ar svarbias instaliuotų programų dalis.
  • Pavagia naudotojų vardus slaptažodžius, vertingą asmeninę informaciją, tapatybės duomenis ir kitą vertingą asmeninę informaciją.
  • Visą surinktą informaciją siunčia numatytu elektroninio pašto adresu, į numatytą FTP serverį ar kitą nutolusią vietą foniniu interneto ryšiu.
  • Padaro kompiuterį visiškai nepanaudojamu.
  • Atskleidžia asmens tapatybę ar bet kokią kitą konfidencialią informaciją be naudotojo žinios ir sutikimo.
  • Greitai išjungia aktyvius antivirusus, antišnipinėjimo ir visą kitą su saugumu susijusias programas, išjungia esmines sistemos tarnybas ir užkerta kelią standartinių sistemos įrankių veikimui.
  • Mažina bendrą sistemos našumą, mažina jos saugumą ir sukelia programinės įrangos nestabilų veikimą. Kai kurie parazitai yra blogai suprogramuoti, naudoja per daug kompiuterio išteklių ir konfliktuoja su įdiegtomis programomis.
  • Neleidžia savęs išinstaliuoti, slepia procesus, failus ir kitus objektus, kad kuo labiau komplikuotų pašalinimą.
  • Reikalauja išpirkos.

Deja, IRPK vis sudėtingėja. Vienas iš naujausių pavyzdžių, CryptoLocker, vos gavęs priėjimą prie sistemos, ima užkoduoti jūsų asmeninius failus, tad jais naudotis, nežinant kodavimo rakto, tampa nebeįmanoma. CryptoLocker tada pateikia žinutę, urioje informuojama, kad failai yra užkoduoti ir turite vos keletą dienų sumokėti reikalaujamą sumą. Jei sumokėsite 300$, jie perduos šifravimo raktą ir galėsite atgauti savo failus. CryptoLocker paslaugiai leidžia pasirinkti mokėjimo metodą ir sumokėjus išpirką, nusikaltėliai išties duoda jums raktą, kuriuo galite atkurti savo failus.

Savaime suprantama, nėra jokių garantijų, kad nusikaltėliai išpildys savo sandėrio dalį. Mokėti prievartaujantiems nusikaltėliams nėra gera mintis. Antra vertus, verslas, praradęs vienintelę kritiškai svarbių verslui duomenų kopiją, gali susivilioti tokia rizika – ir juos sunku būtų kaltinti.

Tokio tipo KPĮ yra dar vienas geras pavyzdys, kodėl atsarginės kopijos tokios svarbios. Turėtumėte nuolat išsaugoti svarbius failus išoriniame kietajame diske ar nuotoliniame failų saugojimo serveryje. Jei visos failų kopijos yra kompiuteryje, jį užkrėtusi KPĮ gali visus juos užkoduoti ar netgi ištrinti ir nebegalėsite jais naudotis.

Saugodami failus išsaugokite asmeninius failus ten, kur jie negali būti perrašyti ar ištrinti. Pavyzdžiui, surašykite į išorinį kietąjį diską ar sukelkite į saugojimo tarnybas „debesyse“, kurios leis atstatyti ankstesnes failų versijas. Nesaugokite atsarginių kopijų vidiniame kietajame diske ar vietiniame tinkle, kuriame turite visiškas rašymo teises. Jei turite visas rašymo teises, IRPK galėtų užkoduoti išoriniame diske ar vietiniame tinkle esančius failus.

Dažnas atsarginių kopijų darymas taip pat svarbus. Nesinorėtų prarasti savaitės darbo, jei darbus išsaugote tik kartą per savaitę. Būtent todėl praverčia automatinis atsarginių kopijų darymas.

Jeigu failus užkodavo IRRK, galima pabandyti atkurti juos su ShadowExplorer. Šis įrankis pasiekia „Šešėlines Kopijas“ (Shadow Copies), kurias Windows naudoja sistemos atstatymui – jose dažnai būna dalis asmeninių failų.

Užsikrėtimo būdai

Keletas IRPK parazitų gali plisti patys ir užkrėsti sistemas be naudotojo žinios. Kiti turi būti instaliuoti kaip bet kitokia kita programinė įranga su pareikštu naudotojo sutikimu ar be jo. Yra trys pagrindiniai būdai šiems parazitams pakliūti į sistemą.

  1. Daugumą išpirkos reikalaujančių programinio kodo parazitų įdiegia kitos kenksmingos programos, internetiniai kirminai ar Trojos arkliai (trojanai). Jie patenka į sistemą be naudotojo žinios ir sutikimo, bei paveikia visus užkrėsto kompiuterio naudotojus. Kai kurias kenksmingas programas gali instaliuoti piktavaliai kompiuterio naudotojai, turintys pakankamus leidimus programinės įrangos diegimui.
  2. Daug IRPK plinta e. paštu ir failų dalinimosi tinklais. Jie gaunami kaip failai, prikabinti prie elektroninių laiškų, įdiegti pačiuose laiškuose ar parsiunčiami naudotojas–naudotojui (peer-to-peer) programomis. Jų pavadinimai neįtartini, tad gali apgauti vartotoją ir suvilioti juos atidaryti ar įjungti. Kai naudotojas atidaro tokį failą ar laišką, IRPK parazitas tylomis instaliuoja save į sistemą.
  3. Kai kurie IRPK parazitus diegiantys trojanai užkrečia tam tikras sistemas ir failus. Naudotojas tokius failus gali gauti iš patikimo šaltinio. Kai toks failas įjungiamas, trojanas tyliai save įdiegia į sistemą ir ir paleidžia IRPK grėsmę.

Išpirkos reikalaujantis programinis kodas dažniausiai paveikia kompiuterius, naudojančius Microsoft Windows operacinę sistemą. Kitoms populiarioms platformoms jų sukuriama mažiau.

Kaip išvengti IRPK?

Be tinkamos atsarginių kopijų darymo strategijos, saugojimasis nuo IRPK yra toks pat, kaip ir nuo kitos kenksmingos programinės įrangos. CryptoLocker buvo gaunamas kaip elektroninio laiško priedas, per Java įskiepį, ir instaliuojamas kompiuteriuose, kurie pakliuvo į Zeus botnetą.

  • Naudokite gerą antivirusinį produktą, kuris stengsis sustabdyti IRPK jam dar nepasireiškus. Antivirusinės programos niekada nebūna tobulos ir galite užsikrėsti, net jeigu ja naudojatės, tačiau tai svarbi gynybos linija.
  • Venkite įtartinų failų. IRPK gali ateiti kaip .exe failai, prikabinti prie laiško, iš svetainių, platinančių piratines programas, ar iš bet kur kitur, iš kur gali gaunama KPĮ. Būkite atsargūs parsisiųstų ir naudojamų failų atžvilgiu.
  • Atnaujinkite savo programinę įrangą. Senos interneto naršyklių, įskiepių ar operacinių sistemų versijos gali turėti saugumo spragų, per kurias gali įsmukti kenksminga programinė įranga. Jei turite instaliuotą Java, tikriausiai vertėtų ją išdiegti.

Kaip pašalinti išpirkos reikalaujantį programinį kodą?

Užsikrėtę, neskubėkite iškart mokėti! Taip pat netikėkite žinutėmis, teigiančiomis, kad jūsų sistemą užkrėtusio parazito praktiškai neįmanoma pašalinti, ir kad užkoduotos, ištrintos ar pavogtos informacijos neina atgauti be IRPK autoriaus pagalbos. Paprastai tokie teiginiai yra apgaulingi. Išpirkos programų autoriai naudoja paprastus duomenų paslėpimo būdus. Dauguma antivirusų ir antišnipinėjimo programų sėkmingai aptinka IRPK, juos išanalizuoja ir randa veikiančius parazitų pašalinimo ir failų atstatymo būdus. Palaukite, kol saugumo programų kompanijos išleis atnaujinimus ir nuodugniai patikrinkite sistemą. Dauguma antivirusų ir pažangių antišnipinėjimo programų panaikina infekciją, atkuria sistemą, jūsų failus ir svarbią informaciją.

Kaip jau sakyta, dauguma IRPK parazitų būna trojanai, tad juos aptikti ir sunaikinti gali antivirusinės programos (Symantec Norton AntiVirus, Kaspersky Anti-Virus, Eset NOD32 Antivirus, McAfee VirusScan, eTrust EZ Antivirus, Panda Titanium Antivirus, AVG Anti-Virus). Kai kurie pažangesni šnipinėjimo įrangą šalinantys produktai, galintys skenuoti sistemą panašiai, kaip ir antivirusinės programos ir turinčios plačias parazitų parašų duomenų bazes, taip pat gali aptikti ir pašalinti IRPK ir panašius kenksmingus komponentus. Galingi antišnipinėjimo sprendimai, pavyzdžiui, SpyHunter, Spyware Doctor, Spy Sweeper, Ad-Aware SE ar eTrust PestPatrol taip pat žinomi kaip gana efektyvios trojanų ir išpirkos reikalaujančių programų aptikimo ir pašalinimo priemonės.

Aut. teisės: www.technologijos.lt

(41)
(5)
(36)

Komentarai (10)