Ransomware

Ransomware нь нэгэн төрлийн хөнөөлтэй програм юм. Түүний гол үүрэг нь халдсан компьютерийн системыг хязгаарлах, хэрэв хэрэглэгч тус хязгаарлалтыг арилгуулахыг хүсвэл хөнөөлтэй програмыг ажиллуулж байгаа хүнд мөнгө төлөхыг шаарддаг. Ransomware –ын өөр нэг  хэлбэр нь тус системын hard disk дээр байгаа файлыг encrypt хийж түүнийг тайлах (decrypt) түлхүүрийг мөнгөөр худалдах юм. Ransomware ихэвчлэн  Trojan маягаар тархадаг. Trojan нь сүлжээний төхөөрөмжүүдэд энгийн жинхэнэ файл мэт харагддаг. 

Орос улсаас үүсэлтэй энэхүү хөнөөлтэй програм нь дэлхий даяар асар хурдацтайгаар тархаж байгаа. 2013 оны 6 сард аюулгүй байдлын програм бүтээгч McAfee компани нь 2013 оны 1-р улиралд 250000 давсан ransomware-ын sample-г цуглуулсан гэсэн статистик үзүүлэлт гаргасан. Энэ нь 2012 оны эхний улиралтай харицуулвал 2 дахин их юм. FBI-аас гаргасан тооцооллоор 2015 оны 6 сар гэхэд 18 сая долларыг цуглуулсан Cryptowall, болон 3 сая долларыг цуглуулсан CryptoLocker зэрэг томоохон хүрээг хамарсан encryption-д сууриласан ransomware-ууд нь trojan дээр сууриладаг.

CryptoLocker

CryptoLocker хэмээх encrypt хийдэг trojan ransomware нь 2013 оны 9 сард анх гарч ирсэн. 2048 битийн урттай RSA түлхүүрийг ашиглан тогтсон файлуудын жагсаалтанд багтах файлуудыг шифрлэдэг байсан бөгөөд 3 өдрийн дотор нэхэмжилсэн мөнгөн дүнг төлөөгүй тохиолдолд шифрлэсэн түлхүүрийг устгана хэмээн сүрдүүлдэг байжээ. 2014 оны 6 сарын 2-нд АНУ-ын Шудрага ёсны Хэлтэс (U.S. Department of Justice) CryptoLocker-ыг бүрэн тусгаарласан гэж олон нийтэд зарласан.

Cryptowall

Виндовс үйлдлийн систем-рүү чиглэсэн Cryptowall нэртэй ransomware trojan 2014 онд анх гарч ирсэн. Cryptowall 3.0 нь JPG зураг мэт харагдах програмыг и-мейлд хавсаргаж явуулдаг бөгөөд тухайн компьютер дээр explorer.exe болон svchost.exe зэрэг instance-ууд үүсгэж өөрийн сервертэй холбогддог.

The FBI нь 2015 оны 6 сар гэхэд ойролцоогоор нийт 1,000 хүмүүс Cryptowall халдлагад өртсөн гэж холбогдсон бөгөөд нийт алдагдал нь 18 сая доллар давсан гэж үзүүлэлтийг гаргасан.

Cryptowall 4.0 гэх хамгийн сүүлийн үеийн хувилбар нь кодоо сайжруулж antivirus програмд мэдэгдэхгүй болсон бөгөөд файл доторх өгөгдлийг encrypt хийхээс гадна файлын нэрийг encrypt хийдэг болсон.

Locky

2016 оны хоёрдугаар сараас Locky нэртэй шинэ ransomware ажиглагдаж эхэллээ. Энэхүү ransomware нь хохирогчийн компьютер дээрх файл болон сүлжээнд хуваалцсан/shared/ файлуудыг шифрлэж /encryption/, файлын нэрний ард “.locky” өргөтгөлтийг нэмдэг.

RSA, AES зэрэг хүчирхэг encryption алгоритмыг ашигладаг тул халдвар авсан файлуудыг түлхүүрийн /key/ тусламжгүйгээр сэргээх боломжгүй болдог. Компьютерийн системд халдсаны дараа, шифрлэж түгжсэн файлуудыг буцааж задалж авах түлхүүрийг олж авахын тулд 400 USD орчим мөнгө төлөхийг нэхэмжилсэн мэдэгдлийг дэлгэцэнд харуулдаг байна. Түлхүүрийг dark web хэмээх веб сайтнаас худалдаж авдаг.

 

Зураг 1: Мөнгө нэхэмжилсэн мэдэгдлийг wallpaper болгож харуулж буй жишээ.

Locky нь Volume Snapshot Service (VSS) файлуудыг устгадаг. Энэхүү файлуудыг өөрөөр shadow copies гэж нэрлэдэг. Shadow copies гэдэг нь Windows-ын backup хийх энгийн арга юм. Компьютерийн ажиллагааг эсвэл програмуудыг зогсоох шаардлагагүй бөгөөд тухайн зааж өгсөн drive-ын өөрчилөлтийг бүртгэж авдаг бөгөөд шаардлагатай бол тус өөрчилөлт болхоос өмнөх үе рүү буцаж болдог.

Locky нь интернэт орчинд маш хурдтайгаар тархаж байгаа бөгөөд 7 хоногийн дотор 200,000-аар тархаж байна.  Locky ransomware-ын тархалтын дараалал:

1. Спам имэйл нь энэ төрлийн халдварлалтын гол тархах арга юм. Ихэнх scam мэссэжүүд нь төлбөрийн баримт болон нэхэмжлэхийн ард нуугдаж, хохирогчийн имэйлийн домэйнаас эсвэл үл мэдэгдэх илгээгчээс илгээгдэж байдаг.
2.  Спам имэйлийн хавсралтаар хортой макро агуулсан Excel, Word болон хортой “.js” агуулсан “.zip” файлууд ирнэ.
3.  Түүнийг татан авж нээхэд макрог идэвхжүүлнэ үү. Гэсэн анхааруулга гарч ирэх ба  хэрэглэгчийн зүгээс зөвшөөрөл өгсөн нөхцөлд хохирогчийн компьютер дээр Locky-ыг суулгадаг байна.

Зураг 2: Word документад макрог идэвхжүүлэх анхааруулга

Locky ransomware-ийн тархах өөр нэгэн арга нь эзлэгдсэн цахим хуудас юм. Цахим хуудсын цоорхойг ашиглан хортой кодыг шингээж өгснөөр тус цахим хуудас руу хэрэглэгч хандахад өөр нэг хуурамч вэб рүү чиглүүлэх замаар ихэвчлэн Microsoft Internet Explorer хөтчөөр дамжин хохирогчийн компьютер руу нэвтэрч орно.

Locky-ыг аюултай болгож буй шинж чанарууд

1. Locky нь цаг хугацаанд суурилсан домэйн үүсгэх алгоритмтай буюу тодорхой хугацаа өнгөрсөний дараагаар encryption хийсэн түлхүүрийг устгадаг.
2. BitCoin төлбөрийн системийг ашигладаг. 1 BitCoin = $400/£280.
3.  Файл шифрлэх хүчирхэг алгоритм (RSA-2048 болон AES128)
4.  160 төрлийн файлыг шифрлэх чадвар.
5.  TOR сүлжээний дэмжлэг

Гэх мэт ахисан түвшний шинж чанараар зэвсэглэсэн байна. Кибер гэмт хэрэгтнүүд энэхүү malware-ыг /хортой код/ маш богино хугацаанд болон өндөр хурдтайгаар тархахаар зохион байгуулсан байна.

Locky ransomware-аас сэргийлэх арга хэмжээ

• Өөрт ирсэн сэжигтэй имэйлүүдийг, ялангуяа ямар нэгэн линк болон хавсралтыг агуулсан бол шууд устгах.
• Агуулгыг нь нээж үзэхийн тулд макрог идэвхжүүлэхийг зөвлөсөн Microsoft Office-ын файл агуулсан имэйлд сэрэмжтэй хандаж, макрог идэвхжүүлэхээс татгалзах.
• Компьютер нэгэнт халдвар авч, файлууд шифрлэгдсэн бол эргэж сэргээхэд төвөгтэй тул компьютер дээр хадгалагдсан файлуудыг нөөцлөн авч (backup), хуулбарыг офлайн байдлаар хадгалах (зөөврийн hard, flash, cd/dvd гэх мэт).
• Аюулгүй байдлын программ хангамжийг (Antivirus, firewall) тогтмол шинэчилж (update) байх.
• Компьютерийн үйлдлийн систем болон бусад программ хангамжуудын шинэчлэлтийг (update) байнга хийж байх.
• Нэгэнт халдвар авсан бол халдварласан компьютерийг сүлжээнээс яаралтай тусгаарлаж. Malware цэвэрлэхээс нааш ямарч файл нээж болохгүй.
• Ямар нэгэн барьцааны мөнгө төлөхгүй байх.

Locky ransomware-ын тайлах төлбөрийн хуудас

Хэрэв dark web сайт руу орвол доорх мэдээлэл гарж ирдэг. Одоогоор өөрийн өгөгдөлийг back up хийгээгүй үед locky түгжигдсэн байдлаас гархад мөнгө төлөхөөс өөр арга байхгүй.

 

Зураг 3: Dark web хуудас.