Išpirkos reikalaujančių virusų yra milijonai, bet pagal savo daromą žalą ir veiklos principus jie gali būti suskirstyti į tris pagrindinius tipus. Tai – blokuojantys ekraną, šifruojantys duomenis ir blokuojantys visą operacinę sistemą.
Kiekvienas tipas turi gausybę atmainų ir jam priklausančių rūšių, rašoma „Bitdefender Labs“ pranešime. Vienos rūšys yra kur kas labiau paplitę ir padaro daug daugiau žalos nei kitos. Tad kokie yra pagrindiniai išpirkos prašančių virusų tipai ir žymiausios jų rūšys?
I tipas – ekraną blokuojantys
Tai pats pirmasis ir galima sakyti pats primityviausias išpirkos prašančių virusų tipas. Šiam tipui priskiriami virusai užblokuoja vartotojo ekraną ir prašo išpirkos, kad jis būtų atblokuotas.
Dažnai tokio tipo virusai apsimeta teisėsaugos institucija ir reikalaujamą išpirką pateikia, kaip baudą vartotojui už nelegalią programinę įrangą ar nelegalius veiksmus virtualioje erdvėje. Duomenys kompiuteryje ar telefone lieka neužšifruoti ir nepažeisti, bet ekranas tampa „užrakintas“.
Lietuvoje tokio tipo virusų buvo galima sutikti jau prieš kelerius metus. Virusai su Lietuvos teisėsaugos institucijų simbolika prašydavo išpirkų už neva aptiktą pornografiją vartotojo kompiuteryje ar pažeistus įstatymus.
Dažnai tokie virusai veikia ir JavaScript‘ų pagrindu naršyklėje. Išmetus gąsdinantį pranešimą, vartotojui neleidžiama išjungti naršyklės arba pakeisti naršyklės lango ir rodomas tik grasinantis pranešimas reikalaujantis sumokėti baudą. Tačiau šio tipo virusai negali pažeisti vartotojo failų ar sistemos, todėl palyginti nėra tokie pavojingi, kaip kitų dviejų tipų virusai.
II tipas – duomenis šifruojantys virusai.
Šio tipo virusai šifruoja vartotojo failus ir katalogus. Patekęs į aukos sistemą šio tipo virusas jungiasi prie sugeneruoto domeno ir parsisiunčia šifravimo raktą. Tuomet jis ima ieškoti vartotojo dokumentų (.doc, .xls), nuotraukų (.jpg), pristatymų (.ppt, .pdf) ir kitų failų tipų. Pavyzdžiui vienas pirmųjų ir žymiausių duomenis šifruojančių virusų „CryptoLocker“ galėjo užšifruoti 70 failų rūšių.
Kai taikiniai būna surasti sugeneruojamas šifravimo raktas ir dažniausiai panaudojant itin sudėtingą šifravimo algoritmą duomenys užkoduojami. Virusas pabaigęs darbą ekrane pateikia pranešimą, kad aukos duomenys buvo užšifruoti ir instrukcijas, kaip atlikti mokėjimą. Virusų pažeistų duomenų nebeįmanoma panaudoti, o juos atstatyti įmanoma tik atgavus dešifravimo raktą.
Šiam viruso tipui priskiriami tokie žymūs virusai, kaip „CryptoLocker“, „CryptoWall“, „Tesla-Crypt“, „CTB-Locker“, „Chimera“, „Cerber“, „Misha“, „Locky“, „CryptXXX“, „Bart“, „Shade“, „Spora“ ir daugelis kitų. Šio tipo virusų pirmosios atmainos buvo sukurtos apie 2011 metus, kai piktavaliai programišiai atrado būdą kaip šifruoti failus užuot blokavus ekraną su netikrais pranešimais.
Tikroji šio tipo virusų galia atsiskleidė, kai 2013 metų rugsėjį buvo sukurtas „CryptoLocker 1.0“ duomenis šifruojantis virusas. Per palyginti trumpą laiką jis ėmė sparčiai plisti po visą pasaulį pridarydamas milijonus dolerių nuostolių. Nors teisėsaugos institucijos kartu su antivirusinių gamintojais sugebėjo rasti šio viruso kūrėjų serverius ir juos „nulaužus“ atimti viruso užšifruotų aukų dešifravimo raktus, viruso sėkmė suteikė pagreitį tokio tipo virusų tolimesniam kūrimui.
Pirmą kartą piktavaliams programišiams atsirado galimybė su palyginti nedidelėmis pastangomis ir minimalia rizika užsidirbti didžiulius pinigus laikant įkaitais duomenis ir pardavinėjant dešifravimo raktus. Neilgai trukus po „CryptoLocker 1.0“ sustabdymo, buvo sukurtas šio viruso analogas „CryptoLocker 2.0“. Jis pasirodė maždaug 2013 metų gruodį.
Dar po mėnesio 2014 metų pradžioje buvo sukurtas kitas labai sėkmingas duomenis šifruojantis virusas „CryptoWall“. Tačiau tikrasis duomenis šifruojančių virusų aukso amžius prasidėjo nuo 2015 metų pradžios ir jis tęsiasi iki šiol. 2015 metais buvo sukurti ne tik virusai „TeslaCrypt“, „Chimera“, „Locky“ ir daugelis kitų. Šiais metais pirmą kartą išpirkos reikalaujantys virusai buvo pritaikyti „Linux“ ir „Mac“ operacinėms sistemoms, o nuo praėjusių 2016-ųjų metų ir „Android“ bei „iOS“.
Lietuvoje 2016 metai buvo „Locky“ šifruojančio viruso siautėjimo metai. Šis virusas taikėsi į įvairius įmonių duomenis, o tam tikros jo atmainos buvo specialiai lokalizuotos ir pritaikytos šifruoti Lietuvoje populiarių buhalterinių programų duomenų bazes. 2017-aisiais kai kurie duomenis šifruojantys virusai žengia į dar aukštesnį lygį ir aukoms galės pridaryti dar daugiau žalos.
Rusijoje sukurtas duomenis šifruojantis virusas „Shade“ ne tik šifruoja duomenis, bet ir parsiunčia aukai visą galybę kitų virusų. Net ir sumokėjęs pinigus ir atkodavęs duomenis vartotojas gali nė neįtarti, kad po „Shade“ atakos jo kompiuteris buvo apkrėstas Trojos virusais, „Exploit kitais“ ir kitais virusais, kurie įrenginį pavertė „Botnet“ tinklo dalimi. Kitas duomenis šifruojančio tipo virusas vadinamas „Spora“ šių metų pradžioje pasiūlė savo apkrėstoms aukoms iki tol nematytą vartotojo valdymo konsolę.
Virusas vartotojo konsolėje leidžia pasirinkti būdus kaip bus atšifruoti įkalinti failai ir siūlo įsigyti papildomų paslaugų, tokių, kaip apsauga nuo tolimesnių atakų, tik tam tikrų failų atkūrimas ir panašiai. Tai parodo, kaip sparčiai vystosi išpirkos reikalaujančių virusų technologijos. Gaudami milžiniškus pinigus iš aukų už atkoduotus duomenis piktavaliai programišiai tuo pačiu nuolat investuoja į naujų virusų kūrimą ir jų tobulinimą.
II tipas – sistemą blokuojantys virusai
Šio tipo išpirkos reikalaujantys virusai yra patys naujausi, sukurti maždaug 2016 metų pradžioje. Užuot šifravę failus ar duomenis jie apriboja operacinės sistemos paleidimą ir „įkalina“ visą kietąjį diską. Vienas pirmųjų tokio tipo virusų buvo virusas pavadintas Rusijos anekdotų personažo garbei – „Petya“.
„Petya“ virusas užblokuoja kietąjį diską pasinaudodamas „Master Boot Record“ (toliau MBR). MBR tai maža programa, kuri būna paleidžiama kiekvieną kartą kompiuteriui įsijungiant. MBR turi savyje specialų kodą, naudojamą operacinės sistemos užkrovimui vadinamą – „Boot Loader“.
Į sistemą patekęs „Petya“ virusas modifikuoja „Boot Loader“ taip, kad šis vietoj bet kokios operacinės sistemos paleidžia „Petya“ kenksmingą kodą. Viskas ką vėliau mato vartotojas, tai lentelę, kad jo diskas C:/ yra tvarkomas, tuomet žybsinčią raudoną kaukolę ir lentelę su instrukcijomis, kaip atlikti mokėjimus, kad kietasis diskas būtų atblokuotas.
2016 metų vasarą pasirodė kitas tokio paties tipo virusas „Satana“. Iš esmės jo veikimo principas buvo toks pats kaip „Petya“.
Dažniausiai vartotojai užsikrečia šio tipo virusais tradiciniu būdu, paspaudę ant elektroniniam laiške pridėtų failų. Šių virusų kūrėjai nuo pat pradžių taikėsi į įmones, nes laiškai, kuriuose slepiasi virusai dažniausiai būna siunčiami prašant patikrinti pridėtą sąskaitą ar peržiūrėti kažkieno gyvenimo aprašymą. Be kita ko, kai kurios šio tipo virusų rūšys gali veikti ir „Combo“ paketuose su II tipo išpirkos reikalaujančiais virusais.
Tarkime jau minėtas „Petya“ virusas kartais būna pateikiamas viename pakete su virusu „Misha“. Tam, kad „Petya“ galėtų vykdyti savo kenkėjišką veiklą, jam reikalingos administratoriaus privilegijos ir jei šios nėra prieinamos, virusas paleidžia savo „mažąjį brolį“ „Misha“, kuris veikia kaip ir kiti antrojo tipo virusai ir šifruoja tik sistemoje rastus failus ir dokumentus.
Kaip apsisaugoti?
Akivaizdu, kad duomenis šifruojantys virusai toliau plis ir naujos jų formos pasirodys nuolat. Keli patarimai, kaip riziką tapti išpirkos reikalaujančių virusų aukomis sumažinti iki minimumo:
- Rūpintis operacinės sistemos ir naudojamų programų atnaujinimais;
- Išjungti „Macros“ elementus „Word“ ir „Excel“ dokumentuose;
- Neatidaryti elektroninių laiškų ir nespausti jų priedų jei siuntėjas įtartinas ir laiškas nebuvo lauktas;
- Įjungti galimybę, matyti failų plėtinius – tai leis vartotojams matyti tikrąjį failo tipą prieš jį paleidžiant;
- Naudoti elektroninio pašto išvalymo nuo šiukšlių ir virusų sprendimus;
- Įsigyti kokybišką antivirusinę programinę įrangą;
- Naudoti rezervinių kopijų sprendimus debesyje – bet kokios rezervinės kopijos laikomos fiziškai toje pačioje patalpoje ar tame pačiame tinkle kaip ir pagrindiniai duomenys nėra visiškai saugios. Geriau duomenų rezervines kopijas laikyti sertifikuotose duomenų centruose, kurie užtikrina jų saugumą ir suteikia galimybę atstatyti reikiamus failus, duomenų bazes ar sistemas, bet kuriuo metu.