Išpirkos reikalaujantys kenkėjai atakuoja kompiuterius ir išmaniuosius telefonus bei planšetes jau gerą dešimtmetį, tačiau jų plitimas pasiekė apogėjų 2012 m. ir, panašu, nesiruošia nuslopti. Kaip keičiasi šie kenkėjai ir kokių priemonių imasi saugumo programų kūrėjai?
Pasirodę pirmieji išpirkos reikalaujantys kenkėjai šokiravo ir kėlė pagarbią baimę, ne taip, kaip trojanai ar kitos kenkėjiškos programos – užuot bandę likti nepastebėti, apie užkrėstą sistemą pranešdavo vartotojui aiškiai ir garsiai. Be to, atviru tekstu reikalaudavo sumokėti nurodytą išpirką. „Nuo pat pradžių išpirkos reikalaujantys kenkėjai buvo suvokiami kaip labai sudėtingos programos, nes į jų veikimą buvo įtrauktas šifravimas. Paprastam vartotojui, iki tol susidūrusiam tik su keliais virusais, kurie labiau erzino nei kenkė, nauji kenkėjai tarsi atvėrė akis: „mano failai gali būti užšifruoti“. Ir pirmą kartą tai grasino apčiuopiamais nuostoliais – reikalaujama sumokėti išpirka“, – pasakoja „eScan“ antivirusines programas platinančios įmonės „Baltimax“ regiono vadybininkas Sergejs Romanovskis.
Pasak „eScan“ saugumo ekspertų, visus tuos metus programišiai tobulėjo, paprasti virusai darėsi sudėtingesni, pradėti naudoti valdymo ir kontrolės serveriai. Išpirkos reikalaujančių kenkėjų kūrėjai keitė savo taktikas ir pradėjo identifikuoti, kokie failai yra vertingesni atakuoti. Tačiau tam programišiams nereikėjo būti šifravimo ekspertais – internete galima rasti begalę šifravimo bibliotekų, kuriomis gali naudotis ir mažiau pažengę vartotojai.
Keitėsi ir kenkėjų plitimo metodai: vietoj dvejetainių failų, kuriuos netrukus pradėjo blokuoti dauguma antivirusinių programų, išpirkos reikalaujantys virusai pradėti įterpti į .doc ir .docx failų makrokomandas. Pastaruoju metu kenkėjams kurti naudojamos skriptų programavimo kalbos, kaip „Javascript“, „VBScript“ ir „Powershell“, todėl antivirusinės programos pradėjo blokuoti skriptų variklius.
Nepakito tik viena – kenkėjiškų programų tikslas. „Esminiai išpirkos reikalaujančių kenkėjų tikslai yra slapta patekti į sistemą, šifruoti failus pagal jų plėtinius bei perduoti šifravimo raktus į kontrolės ir valdymo serverį“, – teigia S. Romanovskis.
Kol programišiai tobulina kenkėjus, nuo jų neatsilieka ir saugumo sprendimų kūrėjai. Antivirusinių programų gamintoja „eScan“ savo sprendimus papildė pažangia funkcija – proaktyviu elgesio analizės varikliu (PEAV, angl.Proactive Behavioral Analysis Engine), kuris stebi visų įrenginyje vykstančių procesų veiklą.
Nustatęs veiklą ar elgesį, kuris primena išpirkos reikalaujančio kenkėjo, PEAV sustabdo įtartiną procesą, kad nebūtų sukelta daugiau žalos. Kai kurie išpirkos reikalaujantys kenkėjai šifruoja failus būdami pasidalintame tinkle (angl. network share), tokiu atveju, jei užkrėsta sistema bando prisijungti prie apsaugotos sistemos ir keisti pasidalintame tinkle esančius failus, PEAV iškart nutraukia tinklo sesiją.
Nauja proaktyvaus elgesio analizės variklio technologija lengvai užkerta kelią „Locky“, „Zepto“, „Crysis“, „Crypto“ atmainoms ir daugeliui kitiems išpirkos reikalaujantiems kenkėjams, taip pat jau padėjo nustatyti tūkstančius kenkėjų atakų. Šiuo metu „eScan“ antivirusinių programų kūrėjai dirba ties atsarginių duomenų kopijų kūrimo mechanizmu „Intelligent Shadow Backup“, kuris leistų vartotojams kuo greičiau atstatyti prarastus duomenis po išpirkos reikalaujančių kenkėjų atakos.
Paieška archyve
