Ransomware

Από τη Βικιπαίδεια, την ελεύθερη εγκυκλοπαίδεια
Πήδηση στην πλοήγηση Πήδηση στην αναζήτηση

Το ransomware είναι ένα είδος κακόβουλου λογισμικού που απειλεί να δημοσιοποιήσει τα προσωπικά δεδομένα του θύματος ή να διακόψει την πρόσβασή του θύματος σε αυτά, μέχρι να δοθούν λύτρα από το θύμα. Αν και τα απλά ransomware προγράμματα μπορεί να κλειδώσουν ένα σύστημα με τέτοιον τρόπο που δεν είναι δύσκολο να ξεκλειδωθεί από ένα άτομο έμπειρο στον τομέα, τα πιο εξελιγμένα προγράμματα του είδους χρησιμοποιούν τεχνικές που συνδυάζουν την κρυπτογραφία με την κακόβουλη σχεδίαση λογισμικού (cryptoviral extortion), ώστε να πετύχουν την κρυπτογράφηση των αρχείων του θύματος, καθιστώντας τα μη προσβάσιμα και ζητώντας λύτρα για την αποκρυπτογράφησή τους.[1][2][3][4] Σε μια καταλλήλως υλοποιημένη επίθεση αυτού του είδους η ανάκτηση των αρχείων χωρίς το κλειδί αποκρυπτογράφησης αποτελεί ένα ιδιαίτερα δυσεπίλυτο πρόβλημα και καθίσταται εξαιρετικά δύσκολος ο εντοπισμός των ψηφιακών νομισμάτων που χρησιμοποιήθηκαν ως λύτρα για τη συναλλαγή, όπως κρυπτονομίσματα, και για τον λόγο αυτό υπάρχει μεγάλη δυσκολία στον εντοπισμό και τη σύλληψη των δραστών.

Οι επιθέσεις ransomware υλοποιούνται συνήθως με την χρήση ενός ιού Trojan ο οποίος φαίνεται σαν ένα καλόβουλο αρχείο επισυναπτόμενο συνήθως σε κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου και ο χρήστης παραπλανάται και το κατεβάζει ή το τρέχει στον υπολογιστή του. Ωστόσο υπάρχουν και περιπτώσεις ιών, όπως το «WannaCry worm», οι οποίοι μεταβιβάζονται από υπολογιστή σε υπολογιστή χωρίς κάποια ενέργεια του χρήστη.

Από το 2012 οι απάτες με χρήση ransomware άρχισαν να εξαπλώνονται παγκοσμίως.[5][6][7] Τον Ιούνιο του 2013, το McAfee έβγαλε στη δημοσιότητα δεδομένα τα οποία έδειχναν ότι οι περιπτώσεις επιθέσεων ransomware είχαν διπλασιαστεί εκείνο το τρίμηνο συγκριτικά με το αντίστοιχο τρίμηνο της προηγούμενης χρονιάς.[8] Το CryptoLocker παρουσίασε ιδιαίτερα μεγάλη επιτυχία, αποσπώντας το εκτιμώμενο ποσό των 3 εκατομμυρίων δολαρίων (USD) προτού οδηγηθεί σε καταστολή από τις αρμόδιες αρχές.[9] Ακόμα, εκτιμάται από το Ομοσπονδιακό Γραφείο Ερευνών (FBI) ότι οι εισπράξεις του CryptoWall ανέρχονταν στα 18 εκατομμύρια δολάρια (USD) μέχρι τον Ιούνιο του 2015.[10]

Λειτουργία[Επεξεργασία | επεξεργασία κώδικα]

Η ιδέα του ransomware με κρυπτογράφηση των αρχείων εφευρέθηκε και υλοποιήθηκε από τον Young και τον Yung στο πανεπιστήμιο Columbia και παρουσιάστηκε στο συνέδριο IEEE Security & Privacy του 1996. Ονομάστηκε cryptovial extortion και ήταν εμπνευσμένο από τον χαρακτήρα facehugger στην ταινία Alien.[11] Το cryptoviral extortion είναι το ακόλουθο πρωτόκολλο τριών επιπέδων ανάμεσα στον θύτη και το θύμα.[1]

  1. [θύτης θύμα] Ο θύτης δημιουργεί ένα ζεύγος κλειδιών και τοποθετεί το δημόσιο κλειδί μέσα στο κακόβουλο λογισμικό, το οποίο και απελευθερώνεται.
  2. [θύμα θύτης] Για να επιτευχθεί η επίθεση cryptoviral extortion, το κακόβουλο λογισμικό δημιουργεί ένα τυχαίο συμμετρικό κλειδί και κρυπτογραφεί τα δεδομένα του θύματος με αυτό. Χρησιμοποιείται το ίδιο δημόσιο κλειδί μέσα στο κακόβουλο λογισμικό για να κρυπτογραφήσει το συμμετρικό κλειδί. Αυτή η μέθοδος είναι γνωστή ως υβριδική κρυπτογράφηση (hybrid encryption) και οδηγεί σε ένα μικρό ασύμμετρο κρυπτογραφικό κείμενο (ciphertext) καθώς και σε ένα συμμετρικό κρυπτογραφικό κείμενο από τα δεδομένα του θύματος. Μηδενίζει το συμμετρικό κλειδί και τα πρωτότυπα δεδομένα του χρήστη για να αποτρέψει την ανάκτησή τους. Εμφανίζει ένα μήνυμα στον χρήστη το οποίο περιλαμβάνει το ασύμμετρο κρυπτογραφικό κείμενο και οδηγίες του πώς να πληρώσει τα λύτρα. Το θύμα στέλνει το ασύμμετρο κρυπτογραφικό κείμενο και τα χρήματα στον θύτη.
  3. [θύτης θύμα] Ο θύτης παραλαμβάνει την αμοιβή, αποκρυπτογραφεί το ασύμμετρο κρυπτογραφικό κείμενο με το ιδιωτικό του κλειδί και στέλνει το συμμετρικό κλειδί στο θύμα. Το θύμα αποκρυπτογραφεί τα κρυπτογραφημένα δεδομένα του με το συμμετρικό κλειδί και έτσι τελειώνει η επίθεση.

Το συμμετρικό κλειδί δημιουργείται με τυχαίο τρόπο και δεν μπορεί να βοηθήσει άλλα θύματα. Σε κανένα σημείο της διαδικασίας δεν εκτίθεται το ιδιωτικό κλειδί του θύτη στα θύματα και το θύμα χρειάζεται μόνο να στείλει ένα πολύ μικρό κρυπτογραφικό κείμενο (το κρυπτογραφημένο συμμετρικό κλειδί) στον θύτη.

Οι επιθέσεις ransomware συνήθως υλοποιούνται με την χρήση ενός Trojan, το οποίο εισάγεται στο σύστημα του θύματος μέσω ενός κατεβασμένου αρχείου ή μιας ευπάθειας της υπηρεσίας δικτύου. Το βασικό στέλεχος (payload) του Trojan τρέχει στη συνέχεια για να εξυπηρετήσει τον βασικό του σκοπό, ο οποίος είναι να κλειδώσει με κάποιον τρόπο το σύστημα, ή να ισχυριστεί ότι το κλείδωσε χωρίς να συμβαίνει κάτι τέτοιο (πρόγραμμα scareware). Μπορεί επίσης να προβάλλει μία πλαστή προειδοποίηση η οποία υποτίθεται ότι προέρχεται από την αστυνομία, ψευδώς προφασιζόμενο ότι το συγκεκριμένο σύστημα έχει χρησιμοποιηθεί για παράνομες δραστηριότητες, όπως για παράνομη πορνογραφία και «πειρατικά» δεδομένα.[12][13][14]

Το βασικό στέλεχος (payload) των περισσοτέρων Trojan αποτελείται από μια εφαρμογή η οποία κλειδώνει το σύστημα μέχρι να γίνει η πληρωμή. Συνήθως αυτό επιτυγχάνεται με την κατάληψη του Windows shell και την αντικατάσταση του explorer.exe,[15]  ή ακόμα και με την τροποποίηση του master boot record ή/και του πίνακα με τα partition για την αποτροπή της εκκίνησης του λειτουργικού συστήματος.[16] Οι πιο εξελιγμένες εφαρμογές κρυπτογραφούν τα αρχεία χρησιμοποιώντας ισχυρές μεθόδους κρυπτογράφησης για τα αρχεία του θύματος με τέτοιον τρόπο ώστε μόνον ο δημιουργός του κακόβουλου λογισμικού να έχει το απαιτούμενο κλειδί.[1][17][18]

Η πληρωμή είναι σχεδόν πάντα ο στόχος και το θύμα εξαναγκάζεται να πληρώσει για να απαλλαγεί από το ransomware – το οποίο μπορεί να συμβεί αλλά μπορεί και όχι – είτε παρέχοντας ένα πρόγραμμα που μπορεί να αποκρυπτογραφήσει τα αρχεία, είτε στέλνοντας τον απαιτούμενο κωδικό για την επαναφορά των αλλαγών που έκανε η κακόβουλη εφαρμογή. Το βασικότερο στοιχείο στη δημιουργία ransomware για τον θύτη είναι ένα βολικό σύστημα πληρωμής το οποίο είναι δύσκολο να εντοπισθεί. Ένα μεγάλο πλήθος τέτοιων συστημάτων έχουν χρησιμοποιηθεί, όπως ηλεκτρονική μεταφορά χρημάτων, SMS με ειδική (premium) χρέωση,[19] προπληρωμένες κάρτες όπως Paysafecard[5][20][21] και το ψηφιακό νόμισμα Bitcoin.[22][23][24] Μια έρευνα η οποία έγινε το 2016 από την Citrix ισχυρίστηκε ότι μεγάλες επιχειρήσεις έχουν στην κατοχή τους bitcoin για να μπορούν να πληρώσουν σε μία ενδεχόμενη επίθεση ransomware.[25]

Ιστορία[Επεξεργασία | επεξεργασία κώδικα]

Ransomware με κρυπτογράφηση[Επεξεργασία | επεξεργασία κώδικα]

Η πρώτη γνωστή επίθεση extortion, το «AIDS Trojan» που δημιουργήθηκε από τον Joseph Popp το 1989, είχε μια σχεδιαστική βλάβη τόσο σοβαρή που δεν ήταν αναγκαίο να πληρωθούν τα λύτρα. Το βασικό στέλεχος της εφαρμογής έκρυβε τα αρχεία στον σκληρό δίσκο και κρυπτογραφούσε μόνο το όνομά τους, προβάλλοντας ένα μήνυμα το οποίο ισχυριζόταν ότι η άδεια χρήσης για ένα συγκεκριμένο λογισμικό έχει λήξει. Από τον χρήστη ζητούνταν να πληρώσει 189 δολάρια (USD) στην «PC Cyborg Corporation» ώστε να αποκτήσει ένα εργαλείο ανάκτησης, παρόλο που το κλειδί αποκρυπτογράφησης μπορούσε να αποσπαστεί από τον κώδικα του Trojan. Ο Trojan αυτός έγινε γνωστός και ως «PC Cyborg». Ο Popp κρίθηκε διανοητικά ακατάλληλος να δικαστεί για τις πράξεις του, αλλά υποσχέθηκε να δωρίσει τα κέρδη του από το κακόβουλο λογισμικό για την ενίσχυση της έρευνας για την αντιμετώπιση του AIDS.[26]

Η ιδέα της κατάχρησης ανώνυμων συστημάτων μετρητών χρημάτων για την ασφαλή συλλογή λύτρων από την απαγωγή ανθρώπων εισήχθη το 1992 από τον Sebastian von Solms και τον David Naccache.[27] Η μέθοδος συλλογής ηλεκτρονικών χρημάτων επίσης προτάθηκε για επιθέσεις τύπου cryptoviral extortion.[1] Στο σενάριο von Solms-Naccache μια δημοσίευση σε εφημερίδα χρησιμοποιήθηκε (αφού τα χρηματικά βιβλία bitcoin δεν υπήρχαν όταν η μέθοδος πρωτοδιατυπώθηκε).

Η ιδέα της χρήσης δημοσίων κλειδιών κρυπτογράφησης για επιθέσεις «απαγωγής» δεδομένων εισήχθη το 1996 από τον Adam L. Young και τον Moti Yung. Οι Young και Yung κριτίκαραν τον αποτυχημένο AIDS Trojan, ο οποίος βασιζόταν μόνο στην συμμετρική κρυπτογραφία, και η ζωτική αδυναμία του οποίου ήταν ότι υπήρχε η δυνατότητα απόκτησης του κλειδιού αποκρυπτογράφησης μέσα από τον ίδιο τον Trojan. Οι ίδιοι υλοποίησαν ένα πειραματικό σενάριο κρυπτο-ιού σε ένα Macintosh SE/30 ο οποίος χρησιμοποιούσε RSA και το Tiny Encryption Algorithm (TEA) για να πετύχει υβριδική κρυπτογράφηση των δεδομένων του θύματος. Εφόσον χρησιμοποιήθηκαν δημόσια κλειδιά κρυπτογράφησης, ο κρυπτο-ιός περιείχε μόνο το κλειδί κρυπτογράφησης. Ο θύτης κρατούσε κρυφό το αντίστοιχο ιδιωτικό κλειδί αποκρυπτογράφησης. Το πρωτότυπο πείραμα του κρυπτο-ιού των Young και Yung έβαζε το θύμα να στείλει το ασύμμετρο κρυπτογραφικό κείμενο στον θύτη, ο οποίος το αποκρυπτογραφούσε και επέστρεφε το συμμετρικό κλειδί αποκρυπτογράφησης στο θύμα δεχόμενος πρώτα μια αμοιβή. Πολύ πριν εμφανιστεί το ηλεκτρονικό νόμισμα οι Young και Yung διατύπωσαν την άποψη ότι το ηλεκτρονικό νόμισμα μπορεί να δεσμευθεί και αυτό μέσω της κρυπτογραφίας, υποστηρίζοντας ότι «ο συγγραφέας του ιού μπορεί να δεσμεύσει αποτελεσματικά όλο το ποσό ως λύτρα μέχρι να δοθεί το μισό σε αυτόν. Ακόμη και αν το ηλεκτρονικό νόμισμα είχε προηγουμένως κρυπτογραφηθεί από τον χρήστη, είναι άχρηστο για τον χρήστη αν επανακρυπτογραφηθεί από τον κρυπτο-ιό».[1] Αναφέρθηκαν στις επιθέσεις αυτές ως «cryptoviral extortion», μια φανερή επίθεση η οποία είναι μέρος μια μεγαλύτερης κλάσης επιθέσεων σε έναν τομέα που ονομάστηκε cryptovirology, η οποία περιλαμβάνει τόσο φανερές όσο και συγκαλυμμένες επιθέσεις.[1] Το πρωτόκολλο του cryptoviral extortion από την βεβιασμένη συμβιωτική σχέση ανάμεσα στον facehugger του H. R. Giger και τον οικοδεσπότη του στην ταινία Alien.[1][11]

Παραδείγματα από εκβιασμούς με ransomware ήρθαν στην επιφάνεια τον Μάιο του 2005.[28] Μέχρι τα μέσα του 2006, Trojans όπως οι Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip and MayArchive ξεκίνησαν να υλοποιούν πιο σύνθετα μοντέλα κρυπτογράφησης RSA, με όλο και μεγαλύτερα μεγέθη κλειδιών. Το Gpcode.AG, το οποίο εντοπίσθηκε τον Ιούνιο του 2006, ήταν κρυπτογραφημένο με ένα δημόσιο κλειδί RSA των 660-bit.[29] Τον Ιούνιο του 2008 εντοπίσθηκε μια τροποποιημένη έκδοσή του γνωστή ως Gpcode.AK. Με τη χρήση ενός κλειδιού RSA των 1024-bit, θεωρούνταν ικανοποιητικά μεγάλο ώστε να καταστεί πρακτικά αδύνατο το σπάσιμο του κλειδιού χωρίς μια διανεμημένη προσπάθεια.[30][31][32][33]

Το ransomware με χρήση κρυπτογραφίας επανήλθε στην επικαιρότητα στα τέλη του 2013 με τη διάδοση του CryptoLocker – το οποίο χρησιμοποιούσε την πλατφόρμα ψηφιακού νομίσματος Bitcoin για να συλλέξει τα λύτρα. Τον Δεκέμβριο του 2013, η ZDNet υπολόγισε ότι με βάση τα στοιχεία πάνω στις συναλλαγές με Bitcoin στο χρονικό διάστημα από 15 Οκτωβρίου μέχρι 18 Δεκεμβρίου, οι χειριστές του CryptoLocker απέκτησαν περίπου 27 εκατομμύρια δολάρια (USD) από τα θύματά τους.[34] Η τεχνική του CryptoLocker μέσα στους επόμενους μήνες αντιγράφηκε ευρέως, συμπεριλαμβανομένων των CryptoLocker 2.0 (το οποίο δεν συσχετιζόταν με το CryptoLocker), CryptoDefense (το οποίο αρχικά είχε μια μεγάλη αδυναμία στον σχεδιασμό και αποθήκευε το ιδιωτικό κλειδί στο σύστημα του θύματος σε μία περιοχή του συστήματος που ήταν προσβάσιμη από τον χρήστη, λόγω των ενσωματωμένων στα Windows API τα οποία χρησιμοποιούσε για την κρυπτογράφηση),[23][35][36][37] και τον Αύγουστο του 2014 ανακαλύφθηκε ένας Trojan ο οποίος είχε παραχθεί από την Synology και ο οποίος στόχευε συσκευές αποθήκευσης που ήταν συνδεδεμένες σε δίκτυο.[38] Τον Ιανουάριο του 2015, αναφέρθηκε ότι επιθέσεις τύπου ransomware ενάντια σε ιστοσελίδες προέκυψαν μέσω hacking και μέσω κατάλληλα σχεδιασμένου ransomware για web servers βασισμένους σε Linux.[39][40][41]

Το Κέντρο Προστασίας από Malware της Microsoft παρατήρησε μια τάση απομάκρυνσης από τα WSF αρχεία και προτίμησης των αρχείων LNK και του PowerShell scripting.[42] Τα LNK αρχεία συντομεύσεων εγκαθιστούν το Locky ransomware με αυτόματο τρόπο και δεν στηρίζονται στο παραδοσιακό κατέβασμα των WSF αρχείων από τους χρήστες – και όλα αυτά καθίστανται εφικτά λόγω της γενικής εφαρμογής PowerShell των Windows. Δυστυχώς, οι εγκληματίες στον κυβερνοχώρο είχαν την δυνατότητα αξιοποίησης του PowerShell για τις επιθέσεις τους για πολλά χρόνια. Σε μια πρόσφατη αναφορά, η εφαρμογή του PowerShell φάνηκε ότι εμπλεκόταν σχεδόν στο 40% των συμβάντων ασφαλείας.[43] Παρόλο που οι θύτες έβρισκαν για χρόνια αδυναμίες στο λειτουργικό σύστημα των Windows, είναι σαφές ότι το PowerShell scripting είναι προβληματικό.[44]

Κάποιες υλοποιήσεις ransomware έχουν χρησιμοποιήσει proxies μαζί με κρυφές Tor υπηρεσίες για να συνδεθούν στους server ελέγχου, αυξάνοντας με τον τρόπο αυτό την δυσκολία εντοπισμού της ακριβούς τοποθεσίας των εγκληματιών.[45][46] Ακόμα, πωλητές στο dark web έχουν ξεκινήσει να προσφέρουν την τεχνολογία αυτή ως υπηρεσία.[46][47][48]

Η Symantec κατατάσσει το ransomware ως την πιο επικίνδυνη απειλή στον κυβερνοχώρο.[49]

Ransomware χωρίς κρυπτογράφηση[Επεξεργασία | επεξεργασία κώδικα]

Τον Αύγουστο του 2010, οι Ρωσικές αρχές συνέλαβαν εννιά πρόσωπα που συνδέονταν με έναν ransomware Trojan γνωστό με το όνομα WinLock. Αντίθετα με τους προηγούμενους Gpcode Trojan, ο WinLock δεν χρησιμοποιούσε κρυπτογράφηση. Αντί αυτού, ο WinLock προέβαλε πορνογραφικές φωτογραφίες και καθιστούσε πρακτικά αδύνατη την πρόσβαση του χρήστη στο σύστημα, ζητώντας από τους χρήστες να στείλουν ένα SMS με ειδική χρέωση (premium-rate SMS) (το οποίο κόστιζε περίπου 10 δολάρια) για να παραλάβουν έναν κωδικό που θα ξεκλείδωνε το σύστημά τους. Η συγκεκριμένη απάτη έπληξε πολλούς χρήστες στην Ρωσία και τις γειτονικές χώρες έχοντας συνολικό κέρδος πάνω από 16 εκατομμύρια δολάρια (USD).[14][50]

Το 2011 ένας ransomware Trojan μιμούνταν την ειδοποίηση ενεργοποίησης προϊόντων των Windows (Windows Product Activation) και ενημέρωνε τους χρήστες ότι η εγκατάσταση των Windows έπρεπε να ξαναγίνει στο σύστημά τους διότι «είχαν πέσει θύματα απάτης». Προσφερόταν η δυνατότητα online ενεργοποίησης (όμοια με την πραγματική διαδικασία ενεργοποίησης των Windows), αλλά δεν ήταν διαθέσιμη, και απαιτούσε από τον χρήστη να καλέσει ένα από τα 6 διαθέσιμα παγκόσμια νούμερα για να εισάγει έναν εξαψήφιο κωδικό. Παρόλο που η εφαρμογή ισχυριζόταν ότι η κλήση ήταν δωρεάν, περνούσε μέσα από έναν απομακρυσμένο πάροχο σε μια χώρα με πολύ υψηλές χρεώσεις για παγκόσμιες κλήσεις, ο οποίος έθετε την κλήση σε αναμονή, προκαλώντας σημαντικές χρεώσεις στον χρήστη.[12]

Τον Φεβρουάριο του 2013 εμφανίστηκε ένας ransomware Trojan βασισμένος στο πακέτο Stamp.EK. Το κακόβουλο αυτό λογισμικό διανεμόταν μέσω σελίδων που φιλοξενούνταν από τις υπηρεσίες SourceForge και GitHub και ισχυριζόταν ότι προσέφερε «πλαστές γυμνές φωτογραφίες» διάσημων προσώπων.[51] Τον Ιούλιο του 2013 εμφανίστηκε ένας άλλος ransomware Trojan για OS X, ο οποίος προέβαλε μια ιστοσελίδα που κατηγορούσε τον χρήστη για κατέβασμα πορνογραφικού υλικού. Σε αντίθεση με το αντίστοιχο λογισμικό για Windows, δεν εμπόδιζε την χρήση όλου του υπολογιστή αλλά παρενέβαινε στην ομαλή λειτουργία του φυλλομετρητή (browser) εμποδίζοντας το κλείσιμο της σελίδας με κανονικό τρόπο.[52]

Τον Ιούλιο του 2013, ένας 21χρονος από την Βιρτζίνια των Η.Π.Α, του οποίου ο υπολογιστής συμπτωματικά είχε αποθηκευμένες πορνογραφικές φωτογραφίες ανήλικων κοριτσιών με τις οποίες είχε έρθει σε σεξουαλική επαφή, έπεσε θύμα λογισμικού ransomware το οποίο προέβαλε ένα πλαστό μήνυμα από το FBI κατηγορώντας τον για κατοχή παιδικής πορνογραφίας. Ο ίδιος στη συνέχεια παραδόθηκε στην αστυνομία νομίζοντας ότι η ειδοποίηση προερχόταν όντως από το FBI. Οι αρχές έψαξαν και βρήκαν τα συγκεκριμένα αρχεία και ο άντρας αυτός καταδικάστηκε για σεξουαλική κακοποίηση παιδιών και για κατοχή παιδικής πορνογραφίας.[53]

Leakware (ή αλλιώς Doxware)[Επεξεργασία | επεξεργασία κώδικα]

Το αντίστροφο του ransomware είναι μία επίθεση cryptovirology, η οποία εφευρέθηκε από τον Adam L. Young, η οποία απειλεί να δημοσιεύσει κλεμμένες πληροφορίες από τον υπολογιστή του θύματος αντί να εμποδίζει την πρόσβαση του θύματος σε αυτόν.[54] Σε μία επίθεση leakware, το κακόβουλο πρόγραμμα στέλνει τις ευαίσθητες πληροφορίες του χρήστη απευθείας στον θύτη ή σε μία απομακρυσμένη θέση ελεγχόμενη από τον θύτη. Κατόπιν ο θύτης απειλεί να δημοσιοποιήσει τα δεδομένα του θύματος αν δεν δοθούν λύτρα. Η επίθεση αυτή παρουσιάστηκε στο West Point το 2003 και συνοψιζόταν στο βιβλίο Malicious Cryptography.[55] Η επίθεση αυτού του είδους είναι συνυφασμένη με τη θεωρία παιγνίων και αρχικά εντασσόταν στην κατηγορία «non-zero sum» παιχνιδιών και βιώσιμου κακόβουλου λογισμικού. Η επίθεση μπορεί να αποσπάσει χρήματα στην περίπτωση που το κακόβουλο λογισμικό αποκτήσει πρόσβαση σε πληροφορίες που μπορεί να βλάψουν το θύμα, είτε αυτό είναι ένας χρήστης είτε ένας οργανισμός (π.χ. η ζημιά στη φήμη που θα προέκυπτε από την δημοσιοποίηση των πληροφοριών αποτελεί  αποδεικτικό στοιχείο ότι η επίθεση ήταν επιτυχής).

Ransomware σε κινητές συσκευές[Επεξεργασία | επεξεργασία κώδικα]

Λόγω της μεγάλης δημοτικότητας των ransomware σε πλατφόρμες PC, το ransomware άρχισε να απευθύνεται και σε κινητές συσκευές. Συνήθως, το βασικό στέλεχος μιας εφαρμογής ransomware για κινητές συσκευές μπλοκάρει την κινητή συσκευή και δεν επιτρέπει την πρόσβαση σε αυτό. Η κρυπτογράφηση των δεδομένων του θύματος δεν έχει ιδιαίτερο νόημα καθώς τις περισσότερες φορές μπορούν εύκολα να ανακτηθούν μέσω online συγχρονισμού.[56] Αυτός ο τύπος ransomware απευθύνεται κατά κύριο λόγο στην πλατφόρμα Android καθώς αυτή επιτρέπει την εγκατάσταση εφαρμογών από άγνωστες πηγές.[56][57] Το βασικό στέλεχος της κακόβουλης εφαρμογής συνήθως διανέμεται ως ένα APK αρχείο που εγκαθίσταται στο σύστημα από έναν ανύποπτο χρήστη. Κατά την λειτουργία του προσπαθεί να προβάλει ένα μήνυμα πάνω από κάθε εφαρμογή που τρέχει στο σύστημα.[57] Άλλες εφαρμογές ransomware του ίδιου είδους λειτουργούν παραπλανώντας τον χρήστη να δώσει «άδεια διαχειριστή» στην εφαρμογή, χωρίς να το δηλώνει ξεκάθαρα (clickjacking), και αποκτά με τον τρόπο αυτό βαθύτερη πρόσβαση στο σύστημα.[58]

Για συσκευές iOS έχουν εφαρμοστεί διαφορετικές τακτικές, όπως η εκμετάλλευση λογαριασμών iCloud και η χρήση της λειτουργίας Find My iPhone με σκοπό το κλείδωμα της συσκευής.[59] Στην έκδοση 10.3 του iOS , η Apple διόρθωσε ένα bug που αφορούσε την διαχείριση Javascript παραθύρων pop-up στον Safari, τα οποία είχαν χρησιμοποιηθεί κακόβουλα από ιστοσελίδες ransomware.[60]

Αξιοσημείωτα παραδείγματα[Επεξεργασία | επεξεργασία κώδικα]

Reveton[Επεξεργασία | επεξεργασία κώδικα]

Το 2012, άρχισε να κυκλοφορεί ένας σοβαρός ransomware Trojan γνωστός ως Reveton. Βασισμένος στον Citadel Trojan (που και ο ίδιος είναι βασισμένος στον Zeus Trojan), είχε ένα βασικό στέλεχος που προέβαλε μια προειδοποίηση κατά πάσα πιθανότητα από κάποια υπηρεσία επιβολής του νόμου ισχυριζόμενο ότι ο υπολογιστής έχει χρησιμοποιηθεί για παράνομες δραστηριότητες, όπως η λήψη πειρατικού λογισμικού χωρίς άδεια ή παιδικής πορνογραφίας. Λόγω της λειτουργίας του αυτής, συχνά αναφέρεται και ως «Trojan Αστυνομία» (Police Trojan).[61][62][63] Η προειδοποίηση ενημερώνει τον χρήστη ότι για να ξεκλειδώσει το σύστημα πρέπει αυτός να πληρώσει ένα πρόστιμο χρησιμοποιώντας μια ανώνυμη προπληρωμένη κάρτα όπως Ukash ή Paysafecard. Για να γίνουν πιο πειστικοί ότι ο υπολογιστής παρακολουθείται από τις αρχές, στην οθόνη εμφανιζόταν επίσης και η IP διεύθυνση του υπολογιστή, ενώ κάποιες εκδόσεις προέβαλαν στην οθόνη και πλάνα από την webcam του θύματος για να δώσουν την ψευδαίσθηση ότι οι κινήσεις του καταγράφονται μέσω της webcam του.[5][64]

Το Reveton ξεκίνησε να εξαπλώνεται σε διάφορες Ευρωπαϊκές χώρες στις αρχές του 2012.[5] Διαφορετικές εκδόσεις χρησιμοποιήθηκαν σε κάθε χώρα προβάλλοντας το λογότυπο της αστυνομικής αρχής της χώρας εκείνης. Για παράδειγμα οι εκδόσεις που χρησιμοποιήθηκαν στο Ηνωμένο Βασίλειο περιείχαν τα λογότυπα οργανισμών όπως η «Metropolitan Police Service» και το «Police National E-Crime Unit». Μια άλλη έκδοση περιείχε το λογότυπο της «royalty collection society PRS for Music», η οποία κατηγορούσε τον χρήστη για παράνομη λήψη μουσικής.[65] Σε μια δημόσια, προειδοποιητική της δήλωση η «Metropolitan Police» διασαφήνισε ότι ποτέ δεν θα κλειδώσουν έναν υπολογιστή με αυτό τον τρόπο κατά τη διάρκεια έρευνας.[5][13]

Τον Μάιο του 2012, οι ερευνητές κινδύνων της Trend Micro ανακάλυψαν πρότυπα της εφαρμογής για Ηνωμένες Πολιτείες και Καναδά και προειδοποίησαν ότι οι συγγραφείς της εφαρμογής ίσως σκόπευαν να πλήξουν χρήστες στην Βόρεια Αμερική.[66] Μέχρι τον Αύγουστο του 2012, μια νέα έκδοση του Reveton ξεκίνησε να εξαπλώνεται στις Ηνωμένες Πολιτείες, ισχυριζόμενη ότι ο χρήστης υποχρεούται να πληρώσει ένα πρόστιμο 200 δολαρίων στο FBI με τη χρήση μιας MoneyPak κάρτας.[6][7][64] Τον Φεβρουάριο του 2013, ένα Ρώσος πολίτης συνελήφθη στο Ντουμπάι από τις Ισπανικές αρχές επειδή είχε εμπλακεί σε ένα κύκλο εγκλημάτων που χρησιμοποιούσαν το Reveton· δέκα άλλα άτομα συνελήφθησαν για ξέπλυμα χρήματος.[67] Τον Αύγουστο του 2014, η Avast Software ανέφερε ότι είχε βρει νέες εκδόσεις του Reveton οι οποίες περιείχαν και λογισμικό κλοπής κωδικών στο βασικό τους στέλεχος.[68]

CryptoLocker[Επεξεργασία | επεξεργασία κώδικα]

Το ransomware με κρυπτογράφηση ξαναεμφανίστηκε τον Σεπτέμβριο του 2013 με έναν Trojan γνωστό ως CryptoLocker, ο οποίος δημιουργούσε ένα RSA ζευγάρι κλειδιών των 2048-bit και αυτά με τη σειρά τους ανέβαιναν σε έναν server διαταγών και ελέγχου, και κρυπτογραφούσε αρχεία με συγκεκριμένα extensions βάσει ενός whitelist. Το κακόβουλο αυτό λογισμικό απειλούσε να διαγράψει το ιδιωτικό κλειδί εάν δεν γινόταν μια πληρωμή με Bitcoin ή με προπληρωμένη κάρτα μέσα σε τρεις ημέρες από την στιγμή της μόλυνσης του συστήματος. Λόγω του εξαιρετικά μεγάλου μεγέθους των κλειδιών που χρησιμοποιεί, οι αναλυτές και όσοι είχαν μολυνθεί από τον συγκεκριμένο Trojan θεώρησαν το CryptoLocker εξαιρετικά δύσκολο να επισκευαστεί.[22][69][70][71] Ακόμα και αν η προθεσμία έληγε, το ιδιωτικό κλειδί μπορούσε ακόμα να αποκτηθεί με ένα online εργαλείο, αλλά η τιμή ανέβαινε στα 10 BTC – τα οποία κόστιζαν περίπου 2300 δολάρια τον Νοέμβριο του 2013.[72][73]

Το CryptoLocker οδηγήθηκε σε καταστολή λόγω της κατάσχεσης του Gameover ZeuS botnet ως μέρος της Επιχείρησης Tovar, όπως ανακοινώθηκε από το Τμήμα Δικαιοσύνης των Ηνωμένων Πολιτειών στις 2 Ιουνίου του 2014. Το Τμήμα Δικαιοσύνης επίσης έκανε δημόσια καταγγελία απέναντι στον Ρώσο χάκερ Evgeniy Bogachev για την υποτιθέμενη ανάμιξή του στο botnet.[74][75] Εκτιμάται ότι αποσπάστηκαν τουλάχιστον 3 εκατομμύρια δολάρια προτού κατασταλεί το συγκεκριμένο κακόβουλο λογισμικό.[9]

CryptoLocker.F και TorrentLocker[Επεξεργασία | επεξεργασία κώδικα]

Τον Σεπτέμβριο του 2014 ένα κύμα από ransomware Trojans εμφανίστηκε και έπληξε πρώτα χρήστες στην Αυστραλία, χρησιμοποιώντας τα ονόματα CryptoWall και CryptoLocker (το οποίο, όπως και το CryptoLocker 2.0, δεν έχει σχέση με το αρχικό CryptoLocker). Οι Trojans διαδόθηκαν μέσω δόλιων μηνυμάτων e-mail ισχυριζόμενα ότι είναι ειδοποιήσεις για αποτυχημένη μεταφορά δέματος από την Australia Post· για να αποφευχθεί ο εντοπισμός από τα e-mail scanner, τα οποία ακολουθούν όλους τους συνδέσμους της σε μια σελίδα για να ψάξουν για κακόβουλο περιεχόμενο, αυτή η έκδοση σχεδιάστηκε έτσι ώστε να απαιτεί από τους χρήστες να επισκεφτούν μια ιστοσελίδα και να εισάγουν έναν κωδικό CAPTCHA προτού γίνει η λήψη του βασικού στελέχους του ransomware, αποτρέποντας έτσι τις αυτόματες αυτές διεργασίες από το να ελέγξουν το βασικό στέλεχος του ransomware. Η Symantec αποφάσισε ότι οι νέες αυτές εκδόσεις, που αναγνωρίζονται με το όνομα CryptoLocker.F, και πάλι δεν είχαν καμία σχέση με το πρωτότυπο CryptoLocker λόγω των διαφορών στη λειτουργία τους.[76][77] Ένα αξιοσημείωτο θύμα αυτών των Trojan ήταν η Αυστραλιανή ραδιοτηλεοπτική εταιρεία (Australian Broadcasting Corporation)· το ζωντανό πρόγραμμα ειδήσεων στην τηλεόραση ABC News 24 διακόπηκε για μισή ώρα και εκτράπηκε στα στούντιο της Μελβούρνης λόγω μιας μόλυνσης από το CryptoWall των υπολογιστών στο στούντιό τους στο Sydney.[78][79][80]

Ακόμα ένας Trojan στο ίδιο κύμα, ο TorrentLocker, αρχικά περιείχε ένα σχεδιαστικό λάθος αντίστοιχο με αυτό του CryptoDefense· χρησιμοποιούσε το ίδιο κλειδί σε κάθε μολυσμένο υπολογιστή, καθιστώντας έτσι την αποκρυπτογράφηση σχετικά εύκολη. Ωστόσο, το τρωτό αυτό σημείο αποκαταστάθηκε αργότερα.[35] Μέχρι τα τέλη Νοεμβρίου του 2014 εκτιμάται ότι πάνω από 9,000 χρήστες είχαν μολυνθεί από τον TorrentLocker στην Αυστραλία, ακολουθούμενες από άλλες 11,700 μολύνσεις στην Τουρκία.[81]

CryptoWall[Επεξεργασία | επεξεργασία κώδικα]

Ένας άλλος μεγάλος ransomware Trojan ο οποίος επιδρούσε σε συστήματα Windows, ο CryptoWall, πρωτοεμφανίστηκε το 2014. Ένα μέρος της διανομής του CryptoWall έγινε μέσω κακόβουλων διαφημιστικών καμπανιών στο διαφημιστικό δίκτυο Zedo στα τέλη Σεπτεμβρίου του 2014 το οποίο στόχεψε πολλές μεγάλες ιστοσελίδες· οι διαφημίσεις ανακατεύθυναν τους χρήστες προς μη τίμιες ιστοσελίδες οι οποίες εκμεταλλεύονταν plugin εγκατεστημένα στον browser για να κατεβάσουν το βασικό στέλεχος της εφαρμογής. Ένας ερευνητής των Barracuda Networks σημείωσε επίσης ότι το βασικό στέλεχος είχε ψηφιακή υπογραφή ώστε να φαίνεται αξιόπιστο απέναντι στα λογισμικά προστασίας.[82] Το βασικό στέλεχος του CryptoWall 3.0 ήταν γραμμένο σε JavaScript και ήταν μέρος μιας επισύναψης σε email, τα εκτελέσιμα αρχεία της οποίας (επισύναψης) παρουσιάζονταν ως JPG φωτογραφίες. Για να προστατευτεί από τον εντοπισμό, το κακόβουλο λογισμικό δημιουργούσε νέες εκδοχές του explorer.exe και του svchost.exe για να επικοινωνήσει με τους servers. Κατά την κρυπτογράφηση των αρχείων, το κακόβουλο λογισμικό διαγράφει τα κρυφά αντίγραφα ασφαλείας του συστήματος και εγκαθιστά spyware το οποίο κλέβει κωδικούς και πορτοφόλια για Bitcoin.[83]

Τον Ιούνιο του 2015 το FBI ανέφερε ότι σχεδόν 1,000 θύματα είχαν επικοινωνήσει με το Κέντρο Παραπόνων Διαδικτυακών Εγκλημάτων (Internet Crime Complaint Center) του FBI για να αναφέρουν μολύνσεις από τον CryptoWall, και εκτιμώμενες απώλειες τουλάχιστον 18 εκατομμυρίων δολαρίων (USD).[10]

Η πιο πρόσφατη έκδοση, ο CryptoWall 4.0, βελτίωσε τον κώδικά του για να αποφύγει τον εντοπισμό από τα antivirus, και κρυπτογραφεί όχι μόνο τα δεδομένα μέσα στα αρχεία αλλά και τα ονόματα των αρχείων.[84]

Fusob[Επεξεργασία | επεξεργασία κώδικα]

Η Fusob είναι μια από τις μεγαλύτερες οικογένειες ransomware για κινητές συσκευές. Μεταξύ Απριλίου του 2015 και Μαρτίου του 2016, περίπου το 56% των υπολογίσιμων ransomware για κινητές συσκευές ήταν Fusob.[85]

Όπως ένα τυπικό ransomware για κινητές συσκευές, το Fusob χρησιμοποιεί τεχνικές εκφοβισμού για να πείσει τους χρήστες να πληρώσουν λύτρα.[86] Το πρόγραμμα προσποιείται ότι είναι μια κατηγορητική αρχή, απαιτώντας από το θύμα να πληρώσει ένα πρόστιμο από 100 μέχρι 200 δολάρια (USD) ή αλλιώς θα έχει να αντιμετωπίσει μια φανταστική κατηγορία. Το εντυπωσιακό είναι ότι το Fusob προτείνει τη χρήση δωροεπιταγών iTunes για την πληρωμή. Επίσης, μια αντίστροφη μέτρηση πάνω στην οθόνη προσθέτει άγχος στους χρήστες.

Για να μολύνει τις συσκευές, ο Fusob προσποιείται ότι είναι ένα πρόγραμμα αναπαραγωγής βίντεο πορνογραφικού περιεχομένου. Έτσι, τα θύματα, σκεπτόμενα ότι είναι ακίνδυνο, κατεβάζουν το Fusob εν αγνοία τους.[87]

Όταν το Fusob εγκαθίσταται, αρχικά ελέγχει την γλώσσα της συσκευής. Αν είναι Ρωσική ή κάποια από συγκεκριμένες γλώσσες της Ανατολικής Ευρώπης, το Fusob δεν κάνει τίποτα. Αλλιώς, προχωράει στο κλείδωμα της συσκευής και απαιτεί λύτρα. Ανάμεσα στα θύματα, περίπου το 40% ήταν στην Γερμανία, το 14,5% στο Ηνωμένο Βασίλειο και το 11,4% στις Ηνωμένες Πολιτείες.

Το Fusob έχει πολλά κοινά με το Small, το οποίο είναι ένα επίσης αρκετά διαδεδομένο ransomware για κινητές συσκευές. Αυτά τα δύο αποτέλεσαν πάνω από το 93% του ransomware για κινητές συσκευές που κυκλοφόρησε μεταξύ του 2015 και του 2016.

WannaCry[Επεξεργασία | επεξεργασία κώδικα]

Τον Μάιο του 2017 η ransomware επίθεση WannaCry διαδόθηκε μέσω διαδικτύου, εκμεταλλευόμενο το όνομα EternalBlue, το οποίο είχε διαρρεύσει από την Εθνική Υπηρεσία Ασφαλείας των Ηνωμένων Πολιτειών (U.S. National Security Agency). Η επίθεση ransomware, μεγαλύτερη από όλες τις προηγούμενες,[88] μόλυνε πάνω από 230,000 υπολογιστές σε πάνω από 150 χώρες,[89] χρησιμοποιώντας 20 διαφορετικές γλώσσες για να ζητήσει χρήματα από τους χρήστες με μορφή κρυπτονομίσματος Bitcoin. Ο WannaCrypt απαιτούσε 300 δολάρια (USD) ανά υπολογιστή.[90] Η επίθεση έπληξε την Telefónica και αρκετές άλλες μεγάλες εταιρείες στην Ισπανία, τμήματα του Βρετανικού Εθνικού Συστήματος Υγείας (British National Health Service - NHS), όπου τουλάχιστον 16 νοσοκομεία αναγκάστηκαν να απομακρύνουν ασθενείς ή να ακυρώσουν προγραμματισμένες εγχειρήσεις,[91] καθώς και τις FedEx, Deutsche Bahn, Honda,[92] Renault, το Ρωσικό Υπουργείο Εσωτερικών και την Ρωσική MegaFon.[93] Οι θύτες έδωσαν στα θύματά τους 7ήμερη διορία από την ημέρα που ο υπολογιστής τους μολύνθηκε, μετά το πέρας της οποίας τα κρυπτογραφημένα αρχεία τους θα διαγράφονταν.[94]

Petya[Επεξεργασία | επεξεργασία κώδικα]

Ο Petya ανακαλύφθηκε πρώτη φορά τον Μάρτιο του 2016· σε αντίθεση με άλλες μορφές κρυπτογραφικού ransomware, το συγκεκριμένο κακόβουλο λογισμικό στόχευε να μολύνει το master boot record, εγκαθιστώντας ένα βασικό στέλεχος της εφαρμογής το οποίο κρυπτογραφεί τους πίνακες των αρχείων του συστήματος αρχείων NTFS την επόμενη φορά που το μολυσμένο σύστημα ξεκινούσε, εμποδίζοντας το σύστημα από την εκκίνηση των Windows μέχρι να πληρωθούν τα λύτρα. Η Check Point ανέφερε ότι παρόλο την καινοτόμο εξέλιξη στον τομέα σχεδιασμού ransomware, ο συγκεκριμένος είχε προκαλέσει σχετικά λιγότερες μολύνσεις συγκριτικά με άλλα ransomware τα οποία ήταν ενεργά για την ίδια περίοδο.[95]

Στις 27 Ιουνίου του 2017, μια αρκετά τροποποιημένη έκδοση του Petya χρησιμοποιήθηκε για μια παγκόσμια κυβερνοεπίθεση στοχεύοντας κυρίως την Ουκρανία. Αυτή η έκδοση είχε τροποποιηθεί για να διαδοθεί χρησιμοποιώντας το κόλπο (exploit) EternalBlue που χρησιμοποίησε και ο WannaCry. Λόγω μιας άλλης σχεδιαστικής αλλαγής ήταν αδύνατον να ξεκλειδωθεί πραγματικά το σύστημα, ακόμα και μετά την πληρωμή των λύτρων· αυτό οδήγησε τους αναλυτές ασφαλείας στο συμπέρασμα ότι η επίθεση δεν έγινε για να δημιουργήσει παράνομο κέρδος αλλά για να προκαλέσει απλά αναστάτωση.[96][97]

Bad Rabbit[Επεξεργασία | επεξεργασία κώδικα]

Στις 24 Οκτωβρίου του 2017, κάποιοι χρήστες στην Ρωσία και την Ουκρανία ανέφεραν ότι μια νέα επίθεση ransomware, με όνομα «Bad Rabbit», κινήθηκε στο ίδιο μοτίβο με τον WannaCry και τον Petya κρυπτογραφώντας τους πίνακες αρχείων των χρηστών και κατόπιν ζητούσε πληρωμή με BitCoin για να τους αποκρυπτογραφήσει. Η ESET πίστευε ότι η διανομή του ransomware έγινε μέσω μιας πλαστής ενημέρωσης του λογισμικού Adobe Flash.[98] Ανάμεσα στους οργανισμούς που επηρεάστηκαν ήταν η Interfax, το Διεθνές Αεροδρόμιο της Οδησσού, το μετρό του Κιέβου και το Υπουργείο Υποδομών της Ουκρανίας.[99] Επειδή χρησιμοποιούσε εταιρικές δομές δικτύων για να εξαπλωθεί, το ransomware ανακαλύφθηκε και σε άλλες χώρες, συμπεριλαμβανομένων της Τουρκίας, Γερμανίας, Πολωνίας, Ιαπωνίας, Νότιας Κορέας και των Ηνωμένων Πολιτειών.[100] Οι ειδικοί πιστεύουν ότι αυτή η επίθεση ransomware ήταν συνυφασμένη με την επίθεση Petya στην Ουκρανία, αν και το μόνο κοινό τους στοιχείο είναι τα ονόματα των χαρακτήρων από τη σειρά Game of Thrones που χρησιμοποιήθηκαν στον κώδικα.[100]

Οι ειδικοί ασφαλείας βρήκαν ότι το ransomware αυτό δεν χρησιμοποίησε το κόλπο (exploit) EternalBlue για να διαδοθεί, ενώ μια απλή μέθοδος «εμβολιασμού» ενός μηχανήματος που δεν είχε μολυνθεί και έτρεχε παλαιότερη έκδοση των Windows βρέθηκε πριν τις 24 Οκτωβρίου του 2017.[101][102] Επιπλέον, οι ιστοσελίδες που χρησιμοποιήθηκαν για να διαδώσουν την πλαστή έκδοση του Flash κατέβηκαν από το διαδίκτυο ή αφαιρέθηκαν τα προβληματικά αρχεία μέσα σε λίγες μέρες από την ανακάλυψη του ransomware, μειώνοντας αποτελεσματικά την διάδοση του Bad Rabbit.[100]

Καταστολή[Επεξεργασία | επεξεργασία κώδικα]

Όπως και με τις άλλες μορφές κακόβουλου λογισμικού, τα λογισμικά ασφαλείας (antivirus software) μπορεί να μην εντοπίσουν έναν ιό ransomware, ή, ειδικά στην περίπτωση των κρυπτογραφικών (ransomware), μόνο κατά τη διάρκεια της κρυπτογράφησης ή μετά το πέρας της, ειδικά αν μια νέα έκδοση άγνωστη στο προστατευτικό λογισμικό διανεμηθεί.[103] Αν μια επίθεση είναι ύποπτη ή εντοπιστεί στα πρώτα της στάδια, χρειάζεται κάποιος χρόνος για να πραγματοποιηθεί η κρυπτογράφηση· η άμεση αφαίρεση του κακόβουλου λογισμικού (είναι μια απλή διαδικασία) προτού ολοκληρώσει τον σκοπό της σταματάει την περεταίρω ζημία των δεδομένων, χωρίς βέβαια να σώζει ό τι έχει ήδη χαθεί.[104][105]

Οι ειδικοί ασφαλείας έχουν προτείνει μέτρα πρόληψης απέναντι στα ransomware. Η χρήση λογισμικού ή άλλων πολιτικών ασφαλείας για το μπλοκάρισμα γνωστών ιών βοηθάει στην πρόληψη της μόλυνσης, αλλά δεν προστατεύει από όλες τις επιθέσεις.[22][106] Κρατώντας «offline» αντίγραφα ασφαλείας των δεδομένων σε περιοχές μη προσβάσιμες από οποιονδήποτε πιθανόν μολυσμένο υπολογιστή, όπως εξωτερικοί αποθηκευτικοί δίσκοι ή συσκευές που δεν έχουν πρόσβαση σε κανένα δίκτυο (συμπεριλαμβανομένου και του διαδικτύου), αποτρέπει την πρόσβαση σε αυτά από ransomware εφαρμογές. Εγκαθιστώντας ενημερώσεις ασφαλείας που εκδίδονται από παρόχους λογισμικού μπορεί να μετριάσει τις αδυναμίες που αξιοποιούνται από τα κακόβουλα λογισμικά.[107][108][109][110][111] Άλλα μέτρα περιλαμβάνουν την «κυβερνο-υγιεινή» - εξασκώντας την ικανότητα προσοχής κατά το άνοιγμα συνδέσμων και επισυναπτόμενων αρχείων σε e-mail, την τμηματική οργάνωση των δικτύων και κρατώντας τους κρίσιμους υπολογιστές απομονωμένους από κάθε δίκτυο.[112][113] Επιπλέον, για να καταπολεμηθεί η εξάπλωση του ransomware μπορούν να ληφθούν μέτρα ελέγχου μόλυνσης.[114] Αυτά μπορεί να περιλαμβάνουν την αποσύνδεση των μολυσμένων συσκευών από όλα τα δίκτυα, εκπαιδευτικά προγράμματα,[115] κανάλια επικοινωνίας, την παρακολούθηση κακόβουλου λογισμικού και τρόπους συλλογικής συμμετοχής.[114]

Αμυντικοί μηχανισμοί του συστήματος αρχείων απέναντι στα ransomware[Επεξεργασία | επεξεργασία κώδικα]

Πολλά συστήματα αρχείων κρατούν στιγμιότυπα των αρχείων τους, τα οποία μπορούν να χρησιμοποιηθούν για την ανάκτηση των περιεχομένων των αρχείων σε περίπτωση που η επίθεση ransomware δεν τα απενεργοποίησε.

  • Στα Windows, το Volume shadow copy (VSS) χρησιμοποιείται συχνά για να αποθηκεύσει αντίγραφα ασφαλείας των δεδομένων· το ransomware συχνά σημαδεύει αυτά τα στιγμιότυπα για να αποτρέψει την ανάκτηση και για τον λόγο αυτό συστήνεται η απενεργοποίηση της πρόσβασης του χρήστη στο εργαλείο VSSadmin.exe για να μειωθεί ο κίνδυνος το ransomware να απενεργοποιήσει ή να διαγράψει παλιά αντίγραφα.[116]
  • Οι server αρχείων που τρέχουν το ZFS είναι σχεδόν ανθεκτικοί απέναντι σε ransomware, γιατί το ZFS έχει τη δυνατότητα να κρατάει στιγμιότυπα ακόμη και από μεγάλα συστήματα αρχείων πολλές φορές την ώρα, και αυτά τα στιγμιότυπα είναι αμετάβλητα (μόνο για ανάγνωση) και εύκολα μπορούν να επιστρέψουν σε μια παλαιότερη έκδοση ή να ανακτηθούν στην περίπτωση αλλοίωσής τους.[117] Γενικά, μόνο ένας διαχειριστής μπορεί να διαγράψει (αλλά όχι να τροποποιήσει) αυτά τα στιγμιότυπα.

Αποκρυπτογράφηση αρχείων και ανάκτηση[Επεξεργασία | επεξεργασία κώδικα]

Υπάρχουν αρκετά εργαλεία με σκοπό την αποκρυπτογράφηση αρχείων κλειδωμένων από ransomware, ωστόσο η επιτυχής ανάκτηση μπορεί να μην είναι πάντα δυνατή.[2][118] Αν το ίδιο κλειδί κρυπτογράφησης έχει χρησιμοποιηθεί για όλα τα αρχεία, τα εργαλεία αποκρυπτογράφησης χρησιμοποιούν αρχεία για τα οποία υπάρχουν τόσο άθικτα αντίγραφα ασφαλείας όσο και κρυπτογραφημένα αντίγραφα (μια επίθεση known-plaintext στην ορολογία της κρυπτανάλυσης) · η ανάκτηση του κλειδιού, εάν είναι δυνατή, μπορεί να πάρει μερικές μέρες.[119] Τα δωρεάν εργαλεία αποκρυπτογράφησης ransomware μπορούν να βοηθήσουν στην αποκρυπτογράφηση αρχείων κρυπτογραφημένων από τους τύπους ransomware που ακολουθούν: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData.[120]

Επιπλέον, τα παλιά αντίγραφα των αρχείων μπορεί να υπάρχουν στο δίσκο, τα οποία έχουν ήδη διαγραφεί. Σε μερικές περιπτώσεις αυτές οι διαγραμμένες εκδόσεις των αρχείων μπορούν να ανακτηθούν χρησιμοποιώντας λογισμικό σχεδιασμένο για αυτό τον σκοπό.

Ελευθερία του λόγου και ποινική τιμωρία[Επεξεργασία | επεξεργασία κώδικα]

Η δημοσίευση της απόδειξης του σκεπτικού του κώδικα επίθεσης είναι συχνή πρακτική ανάμεσα στους ακαδημαϊκούς ερευνητές και τους ερευνητές ευπαθειών. Διδάσκει την φύση των απειλών, τονίζει την σοβαρότητα των ζητημάτων και επιτρέπει την επινόηση και εφαρμογή μέτρων ασφαλείας. Ωστόσο, οι νομοθέτες με την υποστήριξη των οργάνων επιβολής του νόμου προτίθενται να καταστήσουν την δημιουργία ransomware παράνομη. Στην πολιτεία Maryland το πρωτότυπο σχεδιάγραμμα του HB 340 θεώρησε κακούργημα την δημιουργία ransomware, με ποινή έως 10 χρόνια φυλάκισης. Ωστόσο, η διάταξη αυτή καταργήθηκε από την τελική έκδοση του νομοσχεδίου.[121] Ένας ανήλικος στην Ιαπωνία συνελήφθη για δημιουργία και διανομή κώδικα ransomware.[122] Οι Young και Yung έχουν τον ANSI C πηγαίο κώδικα ενός ransomware κρυπτο-Trojan online, στο cryptovirology.com, από το 2005 ως μέρος ενός cryptovirology βιβλίου που γραφόταν. Ο πηγαίος κώδικας του κρυπτο-Trojan είναι ακόμα ανεβασμένος στο διαδίκτυο και έχει να κάνει με ένα σχεδιάγραμμα του δεύτερου κεφαλαίου του βιβλίου.[123]

Δείτε ακόμα[Επεξεργασία | επεξεργασία κώδικα]

Παραπομπές[Επεξεργασία | επεξεργασία κώδικα]

  1. 1,0 1,1 1,2 1,3 1,4 1,5 1,6 Privacy., IEEE Computer Society. Technical Committee on Security and. Research., International Association for Cryptologic (1996). Proceedings, 1996 IEEE Symposium on Security and Privacy : May 6-8, 1996, Oakland, California. Los Alamitos, Calif.: IEEE Computer Society Press. 680666401. ISBN 0818674172. https://www.worldcat.org/oclc/680666401. 
  2. 2,0 2,1 Schofield, Jack (2016-07-28). «How can I remove a ransomware infection?» (στα αγγλικά). the Guardian. http://www.theguardian.com/technology/askjack/2016/jul/28/how-can-i-remove-ransomware-infection. Ανακτήθηκε στις 2018-05-05. 
  3. «Petya Ransomware Master File Table Encryption» (στα αγγλικά). Threatpost | The first stop for security news. https://threatpost.com/petya-ransomware-encrypts-master-file-table/117024/. Ανακτήθηκε στις 2018-05-05. 
  4. «Mamba ransomware encrypts your hard drive, manipulates the boot process» (στα αγγλικά). Neowin. https://www.neowin.net/news/mamba-ransomware-encrypts-your-hard-drive-manipulates-the-boot-process. Ανακτήθηκε στις 2018-05-05. 
  5. 5,0 5,1 5,2 5,3 5,4 Dunn, John E. «Ransom Trojans spreading beyond Russian heartland» (στα αγγλικά). Techworld. https://www.techworld.com/news/security/ransom-trojans-spreading-beyond-russian-heartland-3343528/. Ανακτήθηκε στις 2018-05-05. 
  6. 6,0 6,1 «New Internet Scam» (στα αγγλικά). Federal Bureau of Investigation. https://www.fbi.gov/news/stories/new-internet-scam/new-internet-scam. Ανακτήθηκε στις 2018-05-05. 
  7. 7,0 7,1 «Internet Crime Complaint Center (IC3) | Citadel Malware Continues to Deliver Reveton Ransomware in Attempts to Extort Money» (στα αγγλικά). www.ic3.gov. https://www.ic3.gov/media/2012/121130.aspx. Ανακτήθηκε στις 2018-05-05. 
  8. Samson, Ted. «Update: McAfee: Cyber criminals using Android malware and ransomware the most» (στα αγγλικά). InfoWorld. https://www.infoworld.com/article/2614854/security/update--mcafee--cyber-criminals-using-android-malware-and-ransomware-the-most.html. Ανακτήθηκε στις 2018-05-05. 
  9. 9,0 9,1 Ward, Mark (2014-08-06). «Ransomware victims given free fix» (στα αγγλικά). BBC News. http://www.bbc.co.uk/news/technology-28661463. Ανακτήθηκε στις 2018-05-05. 
  10. 10,0 10,1 «FBI says crypto ransomware has raked in >$18 million for cybercriminals» (στα αγγλικά). Ars Technica. https://arstechnica.com/information-technology/2015/06/fbi-says-crypto-ransomware-has-raked-in-18-million-for-cybercriminals/. Ανακτήθηκε στις 2018-05-05. 
  11. 11,0 11,1 Yung, Adam L Young, Moti. «Cryptovirology: The Birth, Neglect, and Explosion of Ransomware | July 2017 | Communications of the ACM». cacm.acm.org. https://cacm.acm.org/magazines/2017/7/218875-cryptovirology/fulltext. Ανακτήθηκε στις 2018-05-05. 
  12. 12,0 12,1 Keizer, Gregg. «Ransomware squeezes users with bogus Windows activation demand» (στα αγγλικά). Computerworld. https://www.computerworld.com/article/2507340/security0/ransomware-squeezes-users-with-bogus-windows-activation-demand.html. Ανακτήθηκε στις 2018-05-05. 
  13. 13,0 13,1 «Helsingin Sanomat» (στα αγγλικά). Wikipedia. 2018-04-16. https://en.wikipedia.org/w/index.php?title=Helsingin_Sanomat&oldid=836756717. 
  14. 14,0 14,1 «Alleged Ransomware Gang Investigated by Moscow Police» (στα αγγλικά). PCWorld. https://www.pcworld.com/article/204577/article.html. Ανακτήθηκε στις 2018-05-05. 
  15. «Ransomware: Fake Federal German Police (BKA) notice» (στα αγγλικά). Securelist - Kaspersky Lab’s cyberthreat research and reports. http://www.securelist.com/en/blog/6155/Ransomware_Fake_Federal_German_Police_BKA_notice. Ανακτήθηκε στις 2018-05-05. 
  16. «And Now, an MBR Ransomware» (στα αγγλικά). Securelist - Kaspersky Lab’s cyberthreat research and reports. http://www.securelist.com/en/blog/208188032/And_Now_an_MBR_Ransomware. Ανακτήθηκε στις 2018-05-05. 
  17. Jianying., Zhou, (2005). Information security : 8th international conference, ISC 2005, Singapore, September 20-23, 2005 : proceedings. Berlin: Springer, σελ. 389-401. 262681849. ISBN 9783540319306. https://www.worldcat.org/oclc/262681849. 
  18. Young, Adam L. (2006-04-01). «Cryptoviral extortion using Microsoft's Crypto API» (στα αγγλικά). International Journal of Information Security 5 (2): 67–76. doi:10.1007/s10207-006-0082-7. ISSN 1615-5262. https://link.springer.com/article/10.1007/s10207-006-0082-7. 
  19. «Zero Day | ZDNet» (στα αγγλικά). ZDNet. https://www.zdnet.com/blog/security/?p=3197. Ανακτήθηκε στις 2018-05-05. 
  20. Keizer, Gregg. «Ransomware plays pirated Windows card, demands $143» (στα αγγλικά). Computerworld. http://www.computerworld.com/s/article/9219745/Ransomware_plays_pirated_Windows_card_demands_143. Ανακτήθηκε στις 2018-05-05. 
  21. «New Trojans: give us $300, or the data gets it!» (στα αγγλικά). Ars Technica. https://arstechnica.com/information-technology/2007/07/new-trojans-give-us-300-or-the-data-gets-it/. Ανακτήθηκε στις 2018-05-05. 
  22. 22,0 22,1 22,2 «You’re infected—if you want to see your data again, pay us $300 in Bitcoins» (στα αγγλικά). Ars Technica. https://arstechnica.com/information-technology/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/. Ανακτήθηκε στις 2018-05-05. 
  23. 23,0 23,1 Kirk, Jeremy. «CryptoDefense ransomware leaves decryption key accessible» (στα αγγλικά). Computerworld. https://www.computerworld.com/article/2489311/encryption/cryptodefense-ransomware-leaves-decryption-key-accessible.html. Ανακτήθηκε στις 2018-05-05. 
  24. «What to do if Ransomware Attacks on Windows Computer». archive.is. 2016-05-23. https://archive.is/20160523092754/https://www.techiemotto.com/ransomware-attacks-windows-computer/75/. Ανακτήθηκε στις 2018-05-05. 
  25. «Large UK businesses are holding bitcoin to pay ransoms » Brave New Coin» (στα αγγλικά). Bravenewcoin. 2016-06-09. http://bravenewcoin.com/news/large-uk-businesses-holding-bitcoin-to-pay-ransoms/. Ανακτήθηκε στις 2018-05-05. 
  26. «Ransomware: Extortion via the Internet» (στα αγγλικά). TechRepublic. http://www.techrepublic.com/blog/security/ransomware-extortion-via-the-internet/2976. Ανακτήθηκε στις 2018-05-05. 
  27. Sebastiaan von Solms; David Naccache. https://pdfs.semanticscholar.org/67bb/82e6981239270d644e60e8f868b4f0752126.pdf
  28. Schaibly, Susan. «Files for ransom» (στα αγγλικά). Network World. http://www.networkworld.com/buzz/2005/092605-ransom.html?page=3. Ανακτήθηκε στις 2018-05-05. 
  29. «Ransomware getting harder to break» (στα αγγλικά). https://www.theregister.co.uk/2006/07/24/ransomware/. Ανακτήθηκε στις 2018-05-05. 
  30. «Zero Day | ZDNet» (στα αγγλικά). ZDNet. http://blogs.zdnet.com/security/?p=1251. Ανακτήθηκε στις 2018-05-05. 
  31. Lemos, Robert (13 June 2008). «Ransomware resisting crypto cracking efforts». SecurityFocus. http://www.securityfocus.com/news/11523. 
  32. [http://voices.washingtonpost.com/securityfix/2008/06/ransomware_encrypts_victim_fil.html «Security Fix - Ransomware Encrypts Victim Files With 1,024-Bit Key»]. http://voices.washingtonpost.com/securityfix/2008/06/ransomware_encrypts_victim_fil.html. Ανακτήθηκε στις 2018-05-05. 
  33. «Kaspersky Lab reports a new and dangerous blackmailing virus». Kaspersky Lab. 5 Ιουνίου 2008. https://www.kaspersky.com/about/press-releases?id=207575650. 
  34. Blue, Violet. «CryptoLocker's crimewave: A trail of millions in laundered Bitcoin | ZDNet» (στα αγγλικά). ZDNet. http://www.zdnet.com/cryptolockers-crimewave-a-trail-of-millions-in-laundered-bitcoin-7000024579/. Ανακτήθηκε στις 2018-05-05. 
  35. 35,0 35,1 «Encryption goof fixed in TorrentLocker file-locking malware» (στα αγγλικά). PCWorld. https://www.pcworld.com/article/2685432/encryption-goof-fixed-in-torrentlocker-filelocking-malware.html. Ανακτήθηκε στις 2018-05-05. 
  36. «Cryptolocker 2.0 – new version, or copycat?» (στα αγγλικά). WeLiveSecurity. 2013-12-19. https://www.welivesecurity.com/2013/12/19/cryptolocker-2-0-new-version-or-copycat/. Ανακτήθηκε στις 2018-05-05. 
  37. «New CryptoLocker Spreads via Removable Drives - TrendLabs Security Intelligence Blog» (στα αγγλικά). 2013-12-25. http://blog.trendmicro.com/trendlabs-security-intelligence/new-cryptolocker-spreads-via-removable-drives/. Ανακτήθηκε στις 2018-05-05. 
  38. «Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files - ExtremeTech» (στα αγγλικά). ExtremeTech. 2014-08-05. http://www.extremetech.com/extreme/187518-synology-nas-devices-targeted-by-hackers-demand-bitcoin-ransom-to-decrypt-files. Ανακτήθηκε στις 2018-05-05. 
  39. «File-encrypting ransomware starts targeting Linux web servers» (στα αγγλικά). PCWorld. https://www.pcworld.com/article/3003098/business-security/file-encrypting-ransomware-starts-targeting-linux-web-servers.html. Ανακτήθηκε στις 2018-05-05. 
  40. «Cybercriminals Encrypt Website Databases in “RansomWeb” Attacks | SecurityWeek.Com» (στα αγγλικά). www.securityweek.com. https://www.securityweek.com/cybercriminals-encrypt-website-databases-%E2%80%9Cransomweb%E2%80%9D-attacks. Ανακτήθηκε στις 2018-05-05. 
  41. Gibbs, Samuel (2015-02-03). «Hackers holding websites to ransom by switching their encryption keys» (στα αγγλικά). the Guardian. http://www.theguardian.com/technology/2015/feb/03/hackers-websites-ransom-switching-encryption-keys. Ανακτήθηκε στις 2018-05-05. 
  42. «The new .LNK between spam and Locky infection» (στα αγγλικά). https://cloudblogs.microsoft.com/microsoftsecure/2016/10/19/the-new-lnk-between-spam-and-locky-infection/?source=mmpc. Ανακτήθηκε στις 2018-05-05. 
  43. Muncaster, Phil (2016-04-13). «PowerShell Exploits Spotted in Over a Third of Attacks». Infosecurity Magazine. https://www.infosecurity-magazine.com/news/powershell-exploits-spotted-over/. Ανακτήθηκε στις 2018-05-05. 
  44. «Locky Ransomware Has Evolved—The Dangers of PowerShell Scripting» (στα αγγλικά). SentinelOne. 2016-12-14. https://www.sentinelone.com/blog/locky-ransomware-evolved-dangers-powershell-scripting/. Ανακτήθηκε στις 2018-05-05. 
  45. Hern, Alex (2014-07-25). «New ransomware employs Tor to stay hidden from security» (στα αγγλικά). the Guardian. http://www.theguardian.com/technology/2014/jul/25/new-ransomware-employs-tor-onion-malware. Ανακτήθηκε στις 2018-05-05. 
  46. 46,0 46,1 «The current state of ransomware: CTB-Locker» (στα αγγλικά). Sophos News. 2015-12-31. https://blogs.sophos.com/2015/12/31/the-current-state-of-ransomware-ctb-locker/. Ανακτήθηκε στις 2018-05-05. 
  47. «Author Behind Ransomware Tox Calls it Quits, Sells Platform» (στα αγγλικά). Threatpost | The first stop for security news. https://threatpost.com/author-behind-ransomware-tox-calls-it-quits-sells-platform/113151. Ανακτήθηκε στις 2018-05-05. 
  48. «Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block | Fortinet Blog». 2015-08-02. https://web.archive.org/web/20150802013442/http://blog.fortinet.com/post/encryptor-raas-yet-another-new-ransomware-as-a-service-on-the-block. Ανακτήθηκε στις 2018-05-05. 
  49. «Symantec classifies ransomware as the most dangerous cyber threat- Technology News, Firstpost» (στα αγγλικά). Tech2. https://www.firstpost.com/tech/news-analysis/symantec-classifies-ransomware-as-the-most-dangerous-cyber-threat-3689089.html. Ανακτήθηκε στις 2018-05-05. 
  50. «Russian cops cuff 10 ransomware Trojan suspects» (στα αγγλικά). https://www.theregister.co.uk/2010/09/01/ransomware_trojan_suspects_cuffed/. Ανακτήθηκε στις 2018-05-05. 
  51. Protalinski, Emil (2013-02-07). «Criminals Spam Ransomware on GitHub and SourceForge» (στα αγγλικά). The Next Web. https://thenextweb.com/insider/2013/02/07/criminals-push-ransomware-hosted-on-github-and-sourceforge-pages-by-spamming-fake-nude-pics-of-celebrities/. Ανακτήθηκε στις 2018-05-05. 
  52. Protalinski, Emil (2013-07-16). «OS X Malware Demands $300 FBI Fine for Viewing, Distributing Porn» (στα αγγλικά). The Next Web. https://thenextweb.com/apple/2013/07/16/new-os-x-malware-holds-macs-for-ransom-demands-300-fine-to-the-fbi-for-viewing-or-distributing-porn/. Ανακτήθηκε στις 2018-05-05. 
  53. «Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges» (στα αγγλικά). Ars Technica. https://arstechnica.com/tech-policy/2013/07/man-gets-ransomware-porn-pop-up-turns-self-in-on-child-porn-charges/. Ανακτήθηκε στις 2018-05-05. 
  54. Young, A.. «Non-zero sum games and survivable malware» (στα αγγλικά). IEEE Systems, Man and Cybernetics SocietyInformation Assurance Workshop, 2003. (IEEE): 24-29. doi:10.1109/smcsia.2003.1232396. ISBN 0780378083. http://ieeexplore.ieee.org/document/1232396/. 
  55. 1972-, Young, Adam, (2004). Malicious cryptography : exposing cryptovirology. Hoboken, NJ: Wiley. 53330886. ISBN 0764549758. https://www.worldcat.org/oclc/53330886. 
  56. 56,0 56,1 Lab, Kaspersky. «Mobile ransomware: major threats and best means of protection» (στα αγγλικά). blog.kaspersky.com. https://blog.kaspersky.com/mobile-ransomware-2016/12491/. Ανακτήθηκε στις 2018-05-05. 
  57. 57,0 57,1 «Your Android phone viewed illegal porn. To unlock it, pay a $300 fine» (στα αγγλικά). Ars Technica. https://arstechnica.com/information-technology/2014/05/your-android-phone-viewed-illegal-porn-to-unlock-it-pay-a-300-fine/. Ανακτήθηκε στις 2018-05-05. 
  58. «New Android ransomware uses clickjacking to gain admin privileges» (στα αγγλικά). PCWorld. https://www.pcworld.com/article/3027123/new-android-ransomware-uses-clickjacking-to-gain-admin-privileges.html. Ανακτήθηκε στις 2018-05-05. 
  59. «Here's How to Overcome Newly Discovered iPhone Ransomware» (στα αγγλικά). Fortune. http://fortune.com/2016/08/04/apple-iphone-ransomware/. Ανακτήθηκε στις 2018-05-05. 
  60. «Ransomware scammers exploited Safari bug to extort porn-viewing iOS users» (στα αγγλικά). Ars Technica. https://arstechnica.com/information-technology/2017/03/ransomware-scammers-exploited-safari-bug-to-extort-porn-viewing-ios-users/. Ανακτήθηκε στις 2018-05-05. 
  61. McLysaght, Emer. «Gardaí warn of 'Police Trojan' computer locking virus» (στα αγγλικά). TheJournal.ie. http://www.thejournal.ie/gardai-garda-police-trojan-scam-virus-logo-locking-488837-Jun2012/. Ανακτήθηκε στις 2018-05-05. 
  62. «Barrie computer expert seeing an increase in the effects of the new ransomware - Northern Protocol Inc.» (στα αγγλικά). Northern Protocol Inc.. https://www.npinc.ca/in-the-media/barrie-computer-expert-seeing-increase-effects-new-ransomware/. Ανακτήθηκε στις 2018-05-05. 
  63. «Fake cop Trojan 'detects offensive materials' on PCs, demands money» (στα αγγλικά). https://www.theregister.co.uk/2012/04/05/police_themed_ransomware/. Ανακτήθηκε στις 2018-05-05. 
  64. 64,0 64,1 «Reveton Malware Freezes PCs, Demands Payment» (στα αγγλικά). www.bulldogtechinc.com. https://www.bulldogtechinc.com/2012/08/20/reveton-malware-freezes-pcs-demands-payment/. Ανακτήθηκε στις 2018-05-05. 
  65. Dunn, John E. «Police alert after ransom Trojan locks up 1,100 PCs» (στα αγγλικά). Techworld. https://www.techworld.com/news/security/police-alert-after-ransom-trojan-locks-up-1100-pcs-3373656/. Ανακτήθηκε στις 2018-05-05. 
  66. «Police-themed Ransomware Starts Targeting US and Canadian Users» (στα αγγλικά). PCWorld. https://www.pcworld.com/article/255303/policethemed_ransomware_starts_targeting_us_and_canadian_users.html. Ανακτήθηκε στις 2018-05-05. 
  67. Dunn, John E. «Reveton 'police ransom' malware gang head arrested in Dubai» (στα αγγλικά). Techworld. http://news.techworld.com/security/3426085/reveton-police-ransom-malware-gang-head-arrested-in-dubai/. Ανακτήθηκε στις 2018-05-05. 
  68. «'Reveton' ransomware upgraded with powerful password stealer» (στα αγγλικά). PCWorld. http://www.pcworld.com/article/2466980/reveton-ransomware-upgraded-with-powerful-password-stealer.html. Ανακτήθηκε στις 2018-05-05. 
  69. «Disk encrypting Cryptolocker malware demands $300 to decrypt your files - Geek.com» (στα αγγλικά). Geek.com. 2013-09-11. http://www.geek.com/apps/disk-encryptiing-cryptolocker-malware-demands-300-to-decrypt-your-files-1570402/. Ανακτήθηκε στις 2018-05-05. 
  70. Ferguson, Donna (2013-10-19). «CryptoLocker attacks that hold your computer to ransom» (στα αγγλικά). the Guardian. http://www.theguardian.com/money/2013/oct/19/cryptolocker-attacks-computer-ransomeware. Ανακτήθηκε στις 2018-05-05. 
  71. «Destructive malware “CryptoLocker” on the loose – here’s what to do» (στα αγγλικά). Naked Security. 2013-10-12. http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/. Ανακτήθηκε στις 2018-05-05. 
  72. Smith, Ms.. «CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service» (στα αγγλικά). CSO Online. http://www.networkworld.com/community/node/84174. Ανακτήθηκε στις 2018-05-05. 
  73. «CryptoLocker creators try to extort even more money from victims with new service» (στα αγγλικά). PCWorld. https://www.pcworld.com/article/2060640/cryptolocker-creators-try-to-extort-even-more-money-from-victims-with-new-service.html. Ανακτήθηκε στις 2018-05-05. 
  74. «Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet | Computerworld Blogs». 2014-07-03. https://web.archive.org/web/20140703092912/http://blogs.computerworld.com/cybercrime-and-hacking/23980/wham-bam-global-operation-tovar-whacks-cryptolocker-ransomware-gameover-zeus-botnet. Ανακτήθηκε στις 2018-05-05. 
  75. «U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator» (στα αγγλικά). www.justice.gov. https://www.justice.gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware. Ανακτήθηκε στις 2018-05-05. 
  76. «Australians increasingly hit by global tide of cryptomalware». Symantec Security Response. https://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware. Ανακτήθηκε στις 2018-05-05. 
  77. Grubb, Ben (2014-09-17). «Hackers lock up thousands of Australian computers, demand ransom» (στα αγγλικά). The Sydney Morning Herald. https://www.smh.com.au/technology/hackers-lock-up-thousands-of-australian-computers-demand-ransom-20140917-10hyyh.html. Ανακτήθηκε στις 2018-05-05. 
  78. «Australia specifically targeted by Cryptolocker: Symantec». ARN. http://www.arnnet.com.au/article/556598/australia-specifically-targeted-by-cryptolocker-symantec/. Ανακτήθηκε στις 2018-05-05. 
  79. Turner, Adam (2014-10-15). «Scammers use Australia Post to mask email attacks» (στα αγγλικά). The Sydney Morning Herald. https://www.smh.com.au/technology/scammers-use-australia-post-to-mask-email-attacks-20141008-10ru0s.html. Ανακτήθηκε στις 2018-05-05. 
  80. Ragan, Steve. «Ransomware attack knocks TV station off air» (στα αγγλικά). CSO Online. https://www.csoonline.com/article/2692614/cyber-attacks-espionage/ransomware-attack-knocks-tv-station-off-air.html. Ανακτήθηκε στις 2018-05-05. 
  81. «Over 9,000 PCs in Australia infected by TorrentLocker ransomware». http://www.cso.com.au/article/562658/over-9-000-pcs-australia-infected-by-torrentlocker-ransomware/. Ανακτήθηκε στις 2018-05-05. 
  82. «Malvertising campaign delivers digitally signed CryptoWall ransomware» (στα αγγλικά). PCWorld. http://www.pcworld.com/article/2688992/malvertising-campaign-delivers-digitally-signed-cryptowall-ransomware.html. Ανακτήθηκε στις 2018-05-05. 
  83. «CryptoWall 3.0 Ransomware Partners With FAREIT Spyware - TrendLabs Security Intelligence Blog» (στα αγγλικά). 2015-03-19. http://blog.trendmicro.com/trendlabs-security-intelligence/cryptowall-3-0-ransomware-partners-with-fareit-spyware/. Ανακτήθηκε στις 2018-05-05. 
  84. «Security Alert: CryptoWall 4.0 - New, Enhanced, More Difficult to Detect» (στα αγγλικά). Heimdal Security Blog. 2015-11-05. https://heimdalsecurity.com/blog/security-alert-cryptowall-4-0-new-enhanced-and-more-difficult-to-detect/. Ανακτήθηκε στις 2018-05-05. 
  85. Lab, Kaspersky. «Mobile ransomware: major threats and best means of protection» (στα αγγλικά). www.kaspersky.com. https://www.kaspersky.com/blog/mobile-ransomware-2016/12491/. Ανακτήθηκε στις 2018-05-05. 
  86. «The evolution of mobile ransomware». https://blog.avast.com/the-evolution-of-mobile-ransomware. Ανακτήθηκε στις 2018-05-05. 
  87. «Mobile ransomware use jumps, blocking access to phones» (στα αγγλικά). PCWorld. http://www.pcworld.com/article/3090049/security/mobile-ransomware-use-jumps-blocking-access-to-phones.html. Ανακτήθηκε στις 2018-05-05. 
  88. «Cyber-attack 'unprecedented' in scale» (στα αγγλικά). BBC News. 2017-05-13. http://www.bbc.com/news/world-europe-39907965. Ανακτήθηκε στις 2018-05-05. 
  89. «'Unprecedented' cyberattack hits 200,000 in at least 150 countries, and the threat is escalating». CNBC. https://www.cnbc.com/2017/05/14/cyber-attack-hits-200000-in-at-least-150-countries-europol.html. 
  90. «The real victim of ransomware: Your local corner store» (στα αγγλικά). CNET. 2017-05-20. https://www.cnet.com/news/wannacry-ransomware-real-victim-small-business-local-corner-store/. Ανακτήθηκε στις 2018-05-05. 
  91. Marsh, Sarah (2017-05-12). «The NHS trusts hit by malware – full list» (στα αγγλικά). the Guardian. http://www.theguardian.com/society/2017/may/12/global-cyber-attack-nhs-trusts-malware. Ανακτήθηκε στις 2018-05-05. 
  92. Editorial, Reuters. «Honda halts Japan car plant after WannaCry virus hits computer network» (στα αγγλικά). U.S.. https://www.reuters.com/article/us-honda-cyberattack-idUSKBN19C0EI. Ανακτήθηκε στις 2018-05-05. 
  93. «Ransomware virus plagues 100k computers across 99 countries» (στα αγγλικά). RT International. https://www.rt.com/news/388153-thousands-ransomeware-attacks-worldwide/. Ανακτήθηκε στις 2018-05-05. 
  94. «Victims Call Hackers’ Bluff as Ransomware Deadline Nears» (στα αγγλικά). The New York Times. 2017-05-19. ISSN 0362-4331. https://www.nytimes.com/2017/05/19/business/hacking-malware-wanncry-ransomware-deadline.html. Ανακτήθηκε στις 2018-05-05. 
  95. Constantin, Lucian. «Petya ransomware is now double the trouble» (στα αγγλικά). Network World. http://www.networkworld.com/article/3069990/petya-ransomware-is-now-double-the-trouble.html. Ανακτήθηκε στις 2018-05-05. 
  96. «Tuesday’s massive ransomware outbreak was, in fact, something much worse» (στα αγγλικά). Ars Technica. https://arstechnica.com/information-technology/2017/06/petya-outbreak-was-a-chaos-sowing-wiper-not-profit-seeking-ransomware/. Ανακτήθηκε στις 2018-05-05. 
  97. «Cyber-attack 'about data not money'» (στα αγγλικά). BBC News. 2017-06-29. http://www.bbc.com/news/technology-40442578. Ανακτήθηκε στις 2018-05-05. 
  98. «New ransomware strikes Ukraine and Russia» (στα αγγλικά). BBC News. 2017-10-24. http://www.bbc.com/news/technology-41740768. Ανακτήθηκε στις 2018-05-05. 
  99. Hern, Alex (2017-10-25). «Bad Rabbit: Game of Thrones-referencing ransomware hits Europe» (στα αγγλικά). the Guardian. http://www.theguardian.com/technology/2017/oct/25/bad-rabbit-game-of-thrones-ransomware-europe-notpetya-bitcoin-decryption-key. Ανακτήθηκε στις 2018-05-05. 
  100. 100,0 100,1 100,2 Larson, Selena. «New ransomware attack hits Russia and spreads around globe». CNNMoney. http://money.cnn.com/2017/10/24/technology/bad-rabbit-ransomware-attack/index.html. Ανακτήθηκε στις 2018-05-05. 
  101. Cameron, Dell. «'Bad Rabbit' Ransomware Strikes Russia and Ukraine [Update: Vaccine Found»] (στα αγγλικά). Gizmodo. https://gizmodo.com/bad-rabbit-ransomware-strikes-russia-and-ukraine-1819814538. Ανακτήθηκε στις 2018-05-05. 
  102. Palmer, Danny. «Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers | ZDNet» (στα αγγλικά). ZDNet. https://www.zdnet.com/article/bad-rabbit-ransomware-a-new-variant-of-petya-is-spreading-warn-researchers/. Ανακτήθηκε στις 2018-05-05. 
  103. McDaniel, Chris. «Yuma Sun weathers malware attack» (στα αγγλικά). Yuma Sun. http://www.yumasun.com/news/local/article_f38f14e8-4f50-11e3-8165-0019bb30f31a.html. Ανακτήθηκε στις 2018-05-05. 
  104. «Cryptolocker ransomware: what you need to know - Malwarebytes Labs | Malwarebytes Labs» (στα αγγλικά). blog.malwarebytes.org. http://blog.malwarebytes.org/intelligence/2013/10/CryptoLocker-ransomware-what-you-need-to-know/. Ανακτήθηκε στις 2018-05-05. 
  105. «Fiendish CryptoLocker ransomware: Whatever you do, don't PAY» (στα αγγλικά). https://www.theregister.co.uk/2013/10/18/cryptolocker_ransmware. Ανακτήθηκε στις 2018-05-05. 
  106. «Cryptolocker Infections on the Rise; US-CERT Issues Warning | SecurityWeek.Com» (στα αγγλικά). www.securityweek.com. https://www.securityweek.com/cryptolocker-infections-rise-us-cert-issues-warning. Ανακτήθηκε στις 2018-05-05. 
  107. «‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security» (στα αγγλικά). krebsonsecurity.com. https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/. Ανακτήθηκε στις 2018-05-05. 
  108. «Following these tips will make you safe from Petya malware» (στα αγγλικά). CNET. 2017-06-28. https://www.cnet.com/how-to/petya-goldeneye-malware-ransomware-protect-yourself-against/. Ανακτήθηκε στις 2018-05-05. 
  109. «Petya ransomware attack: What you should do so that your security is not compromised». The Economic Times. 2017-06-29. http://economictimes.indiatimes.com/tech/internet/petya-ransomware-attack-what-you-should-do-so-that-your-security-is-not-compromised/articleshow/59357161.cms. Ανακτήθηκε στις 2018-05-05. 
  110. «New 'Petya' Ransomware Attack Spreads: What to Do» (στα αγγλικά). Tom's Guide. 2017-06-27. https://www.tomsguide.com/us/petya-ransomware-attack,news-25389.html. Ανακτήθηκε στις 2018-05-05. 
  111. «India worst hit by Petya in APAC, 7th globally: Symantec». The Economic Times. 2017-06-29. https://economictimes.indiatimes.com/tech/internet/india-worst-hit-by-petya-in-apac-7th-globally-symantec/articleshow/59367013.cms. Ανακτήθηκε στις 2018-05-05. 
  112. «TRA issues advice to protect against latest ransomware Petya» (στα αγγλικά). The National. https://www.thenational.ae/business/technology/tra-issues-advice-to-protect-against-latest-ransomware-petya-1.92226. Ανακτήθηκε στις 2018-05-05. 
  113. [https://www.fireeye.com/blog/threat-research/2017/06/petya-ransomware-spreading-via-eternalblue-exploit.html «Petya Destructive Malware Variant Spreading via Stolen Credentials and EternalBlue Exploit « Petya Destructive Malware Variant Spreading via Stolen Credentials and EternalBlue Exploit»]. FireEye. https://www.fireeye.com/blog/threat-research/2017/06/petya-ransomware-spreading-via-eternalblue-exploit.html. Ανακτήθηκε στις 2018-05-05. 
  114. 114,0 114,1 Chang, Yao-Chung (2012-01-01). Cybercrime in the Greater China Region: Regulatory Responses and Crime Prevention Across the Taiwan Strait. Edward Elgar Publishing. ISBN 9780857936684. https://books.google.gr/books?id=8HsK_QZBIpkC&pg=PR9&redir_esc=y#v=onepage&q&f=false. 
  115. «Infection control for your computers: Protecting against cyber crime - GP Practice Management Blog» (στα αγγλικά). GP Practice Management Blog. 2017-05-18. https://practiceindex.co.uk/gp/blog/it-technology/infection-control-for-your-computers-protecting-against-cyber-crime/. Ανακτήθηκε στις 2018-05-05. 
  116. «Why Everyone Should disable VSSAdmin.exe Now!» (στα αγγλικά). BleepingComputer. https://www.bleepingcomputer.com/news/security/why-everyone-should-disable-vssadmin-exe-now/. Ανακτήθηκε στις 2018-05-05. 
  117. «Defeating CryptoLocker Attacks with ZFS» (στα αγγλικά). iXsystems, Inc. - Enterprise Storage & Servers. 2015-08-27. https://www.ixsystems.com/blog/defeating-cryptolocker/. Ανακτήθηκε στις 2018-05-05. 
  118. «List of free Ransomware Decryption Tools to unlock files» (στα αγγλικά). The Windows Club. 2017-04-17. http://www.thewindowsclub.com/list-ransomware-decryptor-tools. Ανακτήθηκε στις 2018-05-05. 
  119. «Emsisoft Decrypter for HydraCrypt and UmbreCrypt Ransomware» (στα αγγλικά). The Windows Club. 2016-02-17. http://www.thewindowsclub.com/emsisoft-decrypter-hydracrypt-umbrecrypt-ransomware. Ανακτήθηκε στις 2018-05-05. 
  120. «Ransomware – what is it and how to remove it | Anti-ransomware». www.avast.com. https://www.avast.com/c-ransomware. Ανακτήθηκε στις 2018-05-05. 
  121. «Maryland Ransomware Bill Makes Attacks Felonies - NetSec.News» (στα αγγλικά). NetSec.News. 2017-02-15. http://www.netsec.news/maryland-ransomware-bill-makes-attacks-felonies. Ανακτήθηκε στις 2018-05-05. 
  122. Wei, Wang. «14-Year-Old Japanese Boy Arrested for Creating Ransomware» (στα αγγλικά). The Hacker News. https://thehackernews.com/2017/06/japanese-ransomware-malware.html. Ανακτήθηκε στις 2018-05-05. 
  123. Young, Adam L.; Yung, Moti (2005). «An Implementation of Cryptoviral Extortion Using Microsoft's Crypto API». Cryptovirology Labs. http://www.cryptovirology.com/cryptovfiles/newbook/Chapter2.pdf. 

Διαβάστε επίσης[Επεξεργασία | επεξεργασία κώδικα]

Εξωτερικοί σύνδεσμοι[Επεξεργασία | επεξεργασία κώδικα]