Izspiedējprogrammatūra (angļu: ransomware), dažkārt arī saukta par izspiedējvīrusu vai šifrētājvīrusu, ir ļaunprogrammatūra, kas bloķē sava upura pieeju datora failiem vai draud tos publicēt un pieprasa izpirkuma maksu. Vienkāršāki izspiedējprogrammatūras veidi tikai bloķē visu datora sistēmu, nemainot failus, taču sarežģītākas izspiedējprogrammatūras šifrē failus, padarot tos nelietojamus, kamēr nav samaksāts izpirkums, lai tos atšifrētu.[1][2][3][4][5] Atgūt failus bez šifrēšanas atslēgas (encryption key) ir problemātiski, un grūti izsekojamas kriptovalūtas, piemēram Bitcoin, ko izmanto, maksājot izpirkumu, padara ļaundaru izsekošanu un notiesāšanu ļoti grūtu.

Izspiedējprogrammatūru parasti izplata ar Trojas zirga ļaunprogrammatūru, kas maskēta kā derīgs fails, ko lietotājs lejupielādē vai atver kā epasta pielikumu. Taču viens pazīstams izspiedējprogrammatūras piemērs — "WannaCry" — automātiski izplatījās starp datoriem bez lietotāju darbībām.[6]

Sākot jau ar 1989. gadu, kad tika dokumentēta pirmā izspiedējprogrammatūra "AIDS trojan", izspiedējprogrammatūru krāpšanas gadījumu skaits ir ievērojami pieaudzis.[7][8][9] 2018. gada pirmajos 6 mēnešos notika 181.5 miljoni izspiedējprogrammatūru uzbrukumu. Tas ir par 229% vairāk nekā tajā pašā laika posmā 2017. gadā.[10] 2014. gada jūnijā antivīrusu programmatūras ražotājs "McAfee" paziņoja, ka pēdējā ceturkšņa laikā savākts dubults skaits izspiedējvīrusu paraugu, salīdzinot ar to pašu ceturksni iepriekšējā gadā.[11] Īpaši veiksmīga bija CryptoLocker izspiedējprogrammatūra, iekasējot ap 3 miljoniem ASV dolāru, pirms tās darbību 2014. gada vidū izbeidza varasiestādes.[12] "CryptoWall" izspiedējprogrammatūra pēc ASV Federālās izmeklēšanas biroja (angļu: Federal Bureau of Investigation (FBI)) aplēsēm līdz 2015. gada jūnijam iekasējusi vairāk kā 18 miljonus ASV dolāru.[13] 2020. gadā izspiedējprogrammatūru nodarītie zaudējumi pārsniedza 29.1 miljonus ASV dolāru.[14] Amerikāņu kiberdrošības uzņēmums "SonicWall" ziņo, ka 2021. gadā noticis ap 623 miljoniem izspiedējprogrammatūru uzbrukumu.[15]

Darbības principi

labot šo sadaļu

Failus šifrējošas izspiedējprogrammatūras jēdzienu Izstrādāja Moti Yung un Adam L. Young no Kolumbijas Universitātes (angļu: Columbia Univerisity), ASV. To prezentēja 1996. gadā "IEEE Security & Privacy" konferencē.[16] Kriptovirālo izspiešanu (cryptoviral extortion) apraksta trīspakāpju process, kas notiek starp uzbrucēju un upuri[1] :

  1. [Uzbrucējs → Upuris] Uzbrucējs izveido šifrēšanas atslēgu pāri (key pair) — vienu privāto atslēgu un vienu publisko atslēgu — un publisko atslēgu (public key) ievieto ļaunprogrammatūrā. Ļaunprogrammatūra tiek izplatīta.
  2. [Upuris → Uzbrucējs] Lai izveidotu uzbrukumu, ļaunprogrammatūra ģenerē jaunu simetrisko atslēgu (symmetric key) no nejauši izvēlētiem gadījumskaitļiem un ar to šifrē upura datus. Tā izmanto ļaunprogrammatūrā esošo publisko atslēgu (public key), lai šifrētu simetrisko atslēgu. Šis process zināms kā hibrīdā šifrēšana (hybrid encryption). Upuris nosūta šifrēto simetrisko atslēgu (encrypted symmetric-cipher key) un izpirkumu uzbrucējam.
  3. [Uzbrucējs → Upuris] Uzbrucējs saņem izpirkumu, atšifrē šifrēto simetrisko atslēgu (encrypted symmetric-cipher key) ar uzbrucēja privāto atslēgu (private key) un nosūta simetrisko atslēgu (symmetric key) upurim. Upuris atšifrē datus ar uzbrucēja atsūtīto simetrisko atslēgu.

Simetriskā atslēga ir unikāla un nepalīdzēs citiem upuriem. Uzbrucēja privātā atslēga nekad netiek atklāta upuriem, upuriem tikai jānosūta uzbrucējam šifrētā simetriskā atslēga (encrypted symmetric-cipher key).

Izspiedējprogrammatūras galvenie veidi

labot šo sadaļu

Šifrēšanas izspiedējprogrammatūra

labot šo sadaļu

Ja persona vai organizācija ir šifrēšanas izspiedējprogrammatūras uzbrukuma upuris, uzbrucējs šifrē upura sensitīvos datus vai failus, lai tiem nevarētu piekļūt, ja netiek samaksāta pieprasītā izpirkšanas maksa. Teorētiski, kad upuris samaksā, tas saņem šifrēšanas atslēgu, lai gūtu piekļuvi failiem vai datiem. Tomēr pat tad, ja upuris samaksā izpirkšanas maksu, nav garantijas, ka kibernoziedznieki atsūtīs šifrēšanas atslēgu vai atbrīvos vadību. "Doxware" ir šifrēšanas izspiedējprogrammatūras veids, kas šifrē un draud publiski atklāt upura informāciju, parasti ar mērķi, to pazemot vai kauninot, piespiest samaksāt izpirkšanas maksu.[17]

Bloķēšanas izspiedējprogrammatūra

labot šo sadaļu

Bloķēšanas izspiedējprogrammatūras uzbrukumā upurim tiek bloķēta piekļuve savai ierīcei. Upurim ekrānā tiek parādīta piezīme par izpirkšanas maksu, kurā paskaidrots, ka piekļuve ir bloķēta, kā arī ir sniegti norādījumi par to, kā samaksāt izpirkšanas maksu, lai atgūtu piekļuvi. Šāda veida izspiedējprogrammatūra parasti nav saistīta ar šifrēšanu, tāpēc, kad upuris atgūst piekļuvi savai ierīcei, visi sensitīvie faili un dati saglabājas.[17]

  1. 1,0 1,1 Young, A.; M. Yung (1996). Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy. 129–140. lpp. ISBN 0-8186-7417-2. Skatīts: 2022. gada 17. decembrī.
  2. Jack Schofield (28 July 2016). «How can I remove a ransomware infection?». Skatīts: 2022. gada 17. decembrī.
  3. Mimoso, Michael (28 March 2016). «Petya Ransomware Encrypts Master File Table». Skatīts: 2022. gada 17. decembrī.
  4. Justin Luna (21 September 2016). «Mamba ransomware encrypts your hard drive, manipulates the boot process». Skatīts: 2022. gada 17. decembrī.
  5. Min, Donghyun; Ko, Yungwoo; Walker, Ryan; Lee, Junghee; Kim, Youngjae (July 2022). A Content-Based Ransomware Detection and Backup Solid-State Drive for Ransomware Defense. IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems. 41 (7): 2038–2051. lpp. Skatīts: 2022. gada 17. decembrī.
  6. Cameron Dell (13 May 2017). «https://www.gizmodo.com.au/2017/05/todays-massive-ransomware-attack-was-mostly-preventable-heres-how-to-avoid-it/». Gizmodo. Skatīts: 2022. gada 17. decembrī.
  7. John E. Dunn. «Ransom Trojans spreading beyond Russian heartland». TechWorld. Arhivēts no oriģināla, laiks: 2014. gada 2. jūlijā. Skatīts: 2022. gada 17. decembrī.
  8. «New Internet Scam ‘Ransomware’ Locks Computers, Demands Payment». FBI.
  9. «Citadel malware continues to deliver Reveton ransomware». Internet Crime Complaint Center (IC3).
  10. «Ransomware back in big way, 181.5 million attacks since January». Help Net Security. Skatīts: 2022. gada 17. decembrī.
  11. Ted Samson. «Update: McAfee: Cyber criminals using Android malware and ransomware the most». InfoWorld.
  12. Mark Ward. «Cryptolocker victims to get files back for free». BBC News.
  13. Sean Gallagher. «FBI says crypto ransomware has raked in >$18 million for cybercriminals». Ars Technica.
  14. «Internet Crime Report 2020». FBI. Skatīts: 2022. gada 17. decembrī.
  15. «Ransomware’s savage reign continues as attacks increase 105%». Help Net Security. Skatīts: 2022. gada 17. decembrī.
  16. Young, Adam L.; Yung, Moti (2017). Cryptovirology: The Birth, Neglect, and Explosion of Ransomware. Communications of the ACM. 24–26. lpp.
  17. 17,0 17,1 «Kas ir izspiedējprogrammatūra?». Microsoft. Skatīts: 2022. gada 17. decembrī.