V nasprotju z večino zlonamerne programske opreme odkupnina ni prikrita. Je glasen in neprijeten in če ste bili okuženi, vam bodo napadalci to nedvomno povedali. Navsezadnje hočejo biti plačani.
»Vaše osebne datoteke so šifrirane,« se zapiše sporočilo na računalniku. "Fotografije vaših dokumentov, zbirke podatkov in druge pomembne datoteke so šifrirane z najmočnejšim šifriranjem in edinstvenim ključem, ustvarjenim za ta računalnik." Jezik se sicer lahko razlikuje, bistvo pa je enako: če odkupnine ne plačate - običajno v 48 do 72 urah - se datoteke shranijo.
Ali pa so? Obstaja majhna možnost, da vas storilci poskušajo ponarediti in datoteke niso šifrirane. Po mnenju strokovnjakov iz industrije sicer ni pogost scenarij, vendar se to zgodi. Namesto da bi plačali, lahko obidete strašljivo lažno sporočilo in nadaljujete s svojim dnevom.
»Obstajajo številni primeri, ko do resničnega šifriranja ne pride. Namesto tega se kiber kriminalci zanašajo na rob socialnega inženiringa, da prepričajo ljudi, naj plačajo, «opozarja Grayson Milbourne, direktor varnostne obveščevalne službe pri Webrootu.
Je resnična ali ponarejena?
Traja le nekaj sekund, da potrdimo, ali gre za resnično okužbo ali prevaro na področju socialnega inženiringa.
Če povpraševanje po odkupnini vključuje ime odkupne programske opreme, potem ni skrivnosti in ste v težavah. Družine izsiljevalskih programov, ki se identificirajo, vključujejo Linux.Encoder - prvo izsiljevalsko programsko opremo, ki temelji na Linuxu - v kateri je jasno zapisano »Šifrirano z Linux.Encoder« CoinVault se identificira z navedbo e-poštnega naslova za podporo. TeslaCrypt in CTB-Locker sta tudi med znanimi družinami izsiljevalov, ki vam povedo, kdo je vaše datoteke talce.
Obstaja pa veliko odkupnih iger, ki se ne obremenjujejo z imeni. Na primer, CryptoLocker je preprosto opozoril, da so vaše datoteke šifrirane in nikoli niso razkrivale svojega imena. Namesto tega boste morali poiskati druge namige: ali obstaja e-poštni naslov za podporo? V internetu poiščite naslov za plačilo bitcoinov ali dejansko odkupno sporočilo in poglejte, kaj se pojavi na forumih ali pri raziskovalcih varnosti.
Če ne morete prepoznati odkupne programske opreme, obstaja verjetnost, da je ponarejena. V takih primerih vaše datoteke dejansko niso šifrirane; napadalec preprosto prikaže strašljivo sporočilo in zaklene zaslon. Zahteva po odkupnini se običajno prikaže v oknu brskalnika in uporabniku ne dovoli, da se oddalji, ali pa zaklene zaslon in prikaže pogovorno okno, ki zahteva ključ za šifriranje. Ker žrtev sporočila ne more zapreti, je videti resnično.
Če je mogoče zaslon zapreti s ključnimi ukazi, kot sta Alt-F4 v sistemu Windows in Command-W v sistemu Mac OS X, potem je povpraševanje po odkupnini ponarejeno. Ali pa poskusite znova zagnati napravo in preverite, ali sporočilo izgine.
Ransomware ponavadi spremeni ime datoteke kot del postopka šifriranja. Locky vsem dokumentom doda pripono datoteke .lock, medtem ko CryptXXX uporablja pripono datoteke .crypt. Preglejte datoteke in preverite, katere datoteke so bile spremenjene. Preverite, ali jih lahko še vedno odprete ali spremenite končnice datotek in jih odprete. Razširitve datotek so bile včasih spremenjene, ne da bi jih dejansko šifrirali.
Vrnite se v sistem s CD-jem Linux Live in poiščite sistem, ali so dejanske datoteke premaknjene ali preimenovane. Večina sodobnih operacijskih sistemov lahko išče vsebino datoteke skupaj z imeni datotek.
Ne upajte previsoko
Čeprav je dobro biti dvomljiv, če vidite povpraševanje po odkupnini, je to verjetno upravičeno. Zahvaljujoč kompletom kriminalne programske opreme, ki so prednaloženi z odkupno programsko opremo in odkupno programsko opremo kot storitvijo, je ovira za vstop veliko nižja. Otroci s skripti in drugi tehnično manj nagnjeni kriminalci se trudijo, da bi uspeli v resničnih odkupninskih tolpah, ne da bi se trudili.
"Preprostost nakupa kripto-zlonamerne programske opreme pri ponudniku storitve kaznivega dejanja zdaj pomeni, da lahko kiber kriminalci zlahka uvedejo ransomware napad, ki uporablja zapleteno in učinkovito šifriranje proti njihovim ciljem," pravi Mimecastov strateg za kibernetsko varnost Orlando Scott-Cowley .
Okužbe z odkupno programsko opremo resno ogrožajo, ponarejeni napadi pa so razmeroma redki. Preden pa začnete postopek obnove računalnika, da se opomore od okužbe z izsiljevalsko programsko opremo, poskrbite, da vas ne bodo prevarali. Traja le nekaj minut.
Če se izkaže, da vas je resnično žrtva, imate morda še eno majhno priložnost: javno dostopna orodja za dešifriranje.
