Atšķirībā no vairuma ļaunprogrammatūru, izpirkuma programmatūra nav slepena. Tas ir skaļš un nepatīkams, un, ja esat inficējies, uzbrucēji to jums pateiks bez šaubām. Galu galā viņi vēlas, lai viņiem maksā.
“Jūsu personiskie faili ir šifrēti,” paziņojums datorā izplūst. "Jūsu dokumentu fotoattēli, datu bāzes un citi svarīgi faili ir šifrēti ar visspēcīgāko šifrēšanu un unikālo atslēgu, kas ģenerēta šim datoram." Kaut arī valoda var atšķirties, būtība ir vienāda: ja jūs nemaksājat izpirkuma maksu - parasti 48–72 stundu laikā - faili tiek šļūteniski.
Vai arī viņi ir? Pastāv niecīga iespēja, ka vainīgie mēģina jūs viltot, un faili nav šifrēti. Lai arī tas nav izplatīts scenārijs, tomēr tas notiek, norāda nozares eksperti. Tā vietā, lai samaksātu, jūs varat apiet biedējošu viltus ziņojumu un turpināt savu dienu.
“Ir vairāki piemēri, kur patiesa šifrēšana nenotiek. Tā vietā kibernoziedznieki paļaujas uz uzbrukuma sociālās inženierijas priekšrocībām, lai pārliecinātu cilvēkus maksāt, ”brīdina Greyons Milbourne, Webroot drošības izlūkošanas direktors.
Vai tas ir reāls vai viltots?
Lai apstiprinātu, vai tā ir reāla infekcija vai krāpšanās ar sociālo inženieriju, nepieciešamas tikai dažas sekundes.
Ja izpirkuma pieprasījumā ir iekļauts izpirkuma programmatūras nosaukums, tad nav noslēpuma un jūs esat nonācis nepatikšanās. Ransomware saimes, kas sevi identificē, ietver Linux.Encoder - pirmo uz Linux balstītu ransomware - kurā skaidri teikts “Linux.Encoder šifrēts”. CoinVault identificē sevi, norādot atbalsta e-pasta adresi. TeslaCrypt un CTB-Locker ir arī viena no pazīstamākajām ransomware saitēm, kas stāsta, kurš tur jūsu failus ķīlnieku lomā.
Bet ir daudz izpirkuma lugu, kas neuztraucas ar nosaukumiem. Piemēram, CryptoLocker vienkārši brīdināja, ka jūsu faili ir šifrēti un nekad nav vicinājuši tā nosaukumu. Tā vietā jums būs jāmeklē citas norādes: vai ir kāda atbalsta e-pasta adrese? Meklējiet internetā bitcoin maksājuma adresi vai faktisko izpirkuma ziņojumu un uzziniet, kas parādās forumos vai no drošības pētniekiem.
Ja jūs nevarat identificēt izpirkuma programmatūru, pastāv iespēja, ka tā varētu būt viltota. Šādos gadījumos jūsu faili faktiski netiek šifrēti; uzbrucējs vienkārši uznirst biedējošu ziņojumu un bloķē ekrānu. Izpirkšanas pieprasījums parasti tiek parādīts pārlūkprogrammas logā un neļauj lietotājam virzīties prom, vai arī tas bloķē ekrānu un parāda dialoglodziņu, kurā tiek prasīta šifrēšanas atslēga. Tā kā upuris nevar aizvērt ziņojumu, tas izskatās reāli.
Ja ir iespējams aizvērt ekrānu, izmantojot taustiņu komandas, piemēram, Alt-F4 operētājsistēmā Windows un Command-W operētājsistēmā Mac OS X, izpirkuma pieprasījums ir viltots. Vai arī mēģiniet restartēt ierīci ar spēku un pārbaudiet, vai ziņojums pazūd.
Ransomware mēdz mainīt faila nosaukumu kā daļu no šifrēšanas procesa. Lokijs visiem dokumentiem pievieno .lock faila paplašinājumu, savukārt CryptXXX izmanto .crypt faila paplašinājumu. Pārskatiet failus un redziet, kuri faili ir modificēti. Pārbaudiet, vai joprojām varat tos atvērt, vai arī varat mainīt failu paplašinājumus atpakaļ un atvērt failus. Dažreiz failu paplašinājumi ir mainīti, tos faktiski nešifrējot.
Atgriezieties sistēmā, izmantojot Linux Live CD, un meklējiet sistēmā, lai redzētu, vai faktiskie faili ir pārvietoti vai pārdēvēti. Lielākā daļa mūsdienu operētājsistēmu var meklēt faila saturu kopā ar failu nosaukumiem.
Nesaņemiet pārāk lielas cerības
Lai gan ir labi būt skeptiskam, ja redzat izpirkuma pieprasījumu, tas, iespējams, ir likumīgs. Pateicoties noziegumu programmu komplektiem, kas iepriekš ir ielādēti ar ransomware un ransomware kā pakalpojumu, šķērslis ienākšanai ir daudz mazāks. Scenārija bērni un citi mazāk tehniski noskaņoti noziedznieki mēģina saspiesties par reālu izpirkuma programmatūras bandu panākumiem, neuzņemoties darbu.
"Vienkārša kriptogrāfiskās ļaunprātīgas programmatūras iegāde no nozieguma kā pakalpojuma sniedzēja tagad nozīmē, ka kibernoziedznieki var viegli izvietot ransomware uzbrukumu, kas pret viņu mērķiem izmanto sarežģītu un efektīvu šifrēšanu," saka Mimecast kiberdrošības stratēģis Orlando Scott-Cowley .
Ransomware infekcijas ir nopietns drauds, un viltus uzbrukumi notiek samērā reti. Bet pirms sākat mašīnas atjaunošanas procesu, lai atgūtuos no ransomware infekcijas, pārliecinieties, ka neesat krāpts. Tas aizņem tikai dažas minūtes.
Ja izrādās, ka jūs esat cietis no reālās lietas, jums var būt vēl viena niecīga iespēja: publiski pieejami atšifrēšanas rīki.
