Ransomware

Ransomware - ийн “ransom” гэдэг нь барьцаа гэсэн утгатай үг юм. Ransomware тархах гол хүчин зүйл нь Bitcoin юм.Bitcoin гэдэг бол зохицуулах боломжгүй онлайн хийсвэр мөнгө юм. Ransomware үеийг хоёр хувааж үздэг байгаа.Шифрлэлт болон, түүний өмнөх үе гэж хувааж үздэг. Ransomware нь анх 2004 онд Орост бүртгэгдэн GPcode Trojan гэсэн нэрээр олонд танигдах болжээ Kaspersky ийн ажилтан шинжээч уг вирус ын кодыг зохиосон зохиолчийн алдаан дээр ажиллаж вирусыг эвдэж чадсан боловч одоо улам боловсронгуй болж маш ярвигтай болсон байна. Ransomware гэдэг нь таны компьютерт хадгадагдаж буй нэн чухал хэрэгцээтэй файлуудыг тусгай аргаар шифрлэж дахин ашиглах боломжгүй төрөлд хувирган форматыг өөрчилдөг хортой код юм.

Ransomware-ийн тухай

Ransomware-ийн “Ransom” гэдэг нь барьцаа гэсэн утгатай үг юм. Ransomware үеийг хоёр хувааж үздэг байгаа.Шифрлэлт болон ,түүний өмнөх үе гэж хувааж үздэг. Ransomware гэдэг нь таны компьютерт хадгадагдаж буй нэн чухал хэрэгцээтэй файлуудыг тусгай аргаар шифрлэж дахин ашиглах боломжгүй төрөлд хувирган форматыг өөрчилдөг хортой код юм. Ransomware нь таны файлыг encrypt хийсэний дараа таниас төлбөр нэхэх ба таныг төлбөрөө төлсөний дараа таны файлыг decrypt хийдэг.Энэ төрлийн хортой код буюу вирусыг хөгжүүлэгчид нь сүүлийн үед идэвхижиж ажиллах чадварыг нь улам сайжруулсаар байгаа бөгөөд нэгээс нөгөөд дамжуулахдаа имэйл болон вэб сайт, зөөврийн төхөөрөмжийг ашигладаг байна.Халдагч хортой кодоо файлд хавсарган файл хэлбэрээр өнгөлөн далдлалт хийн имэйл болон зөөврийн төхөөрөмд хийн явуулдаг.Хэрэглэгч тухайн файлыг нээх үед файлд хавсаргасан хортой код идэвхжин хэрэглэгчийн оролцоогүйгээр хортой кодоо татан суулгадаг байгаа. Уг вирусны халдвар хувь хүн, байгууллагатай хамтран ажилладаг гэрээлэгч компаниудын нэрийг хуурамчаар ашигласан имэйл (фишинг-phishing email), freeware, shareware, torrent, Dropbox зэрэг онлайн суурьт аппликэйшнүүд, сонирхол татсан зар суртчилгаа, Facebook, LinkedIn - ийн урилга, ZeuS ботнет зэргээр дамжиж хэрэглэгчдэд хүрсэн байна. Энэхүү хортой кодыг зарим антивирусын програмууд одоог хүртэл нээн илрүүлж чадаагүй байгаа юм. Ransomware-ийг "Check Point” компанийн мэргэжилтнүүд үүнийг Оросоос гаралтай гэж үзэж байгаа юм.

Ransomware-т хамгийн их өртдөг 10 улс

Судалгаанаас үзэхэд эдгээр орнуудын ихэнх нь хуучин үеийн BLOCKER төрлийн халдлагад өртдөг байна. Тэрчлэн АНУ, Герман, Итали зэрэг орнуудын 40% нь Ransomware дотроо хамгийн аюултайд тооцогддог CRYPTOR төрлийн халдлагад өртөн хохирогч болоод байна. Ransomware вирусээс болж мянга мянган компани, корпораци, хувь хүмүүс маш их хэмжээний төлбөрүүдийг төлсөөр байна.

1. Энэтхэг
2. Орос
3. Казакстан
4. Итали
5. Герман
6. Вьетнам
7. Алжир
8. Бразил
9. Ану
10. Украйн

Ransomware-ийн төрөл

Ransomware таны комьпютерт зүсээ хувилган email attachment хэлбэрээр ирэх бөгөөд санамсаргүйгээр нээх аваас таны комьпютер дээрхи файлуудыг encrypt-кодлон түгжиж та хэрэгцээт файлуудаа нээх боломжгүй болж орхидог байна.Ransomware нь 2 төрөл байдаг бөгөөд Blocker болон CryptoLocker гэсэн төрлүүд байдаг. Blocker нь CryptoLocker бодвол арай эрт гарч ирсэн хортой код юм.Blocker нь хэрэглэгчийн файлуудын форматыг алдагдуулдаг бол CryptoLocker нь хэрэглэгчийн бүх файлыг encryption буюу шифрлэдэг байгаа.CRYPTO валют нь дижитал төлбөрийн систем ба данс эзэмшигчийн цаана хэн байгааг илрүүлэх ямар ч боломжгүй тул тэднийг барих тун хэцүү юм. Тэд өмнө нь Интернет хөтөч болон үйлдлийн системрүү хандах хандалт зэргийг блок хийдэг байсан бол одоо хэрэглэгчийн хард диск дээр хадгалагдаж буй файлуудыг ENCRYPT /цоожлох/ хийж байна.

Bitlocker-ийн тухай

Blocker нь анх гарсан үедээ хэрэглэгчдийн үйлдлийн системийг гэмтээх, файлуудын форматыг алдагдуулах, веб браузерийн хандах хандалтыг хаах зэрэг хохирол учруулан хэрэглэгчээс багахан хэмжээний төлбөр төлөхийг шаардан хэрэглэгч рүү (таны явуулсан мөнгийг буяны үйлд зориулах болно) гэсэн мессеж илгээдэг.Харин орчин үед хэрэглэгчийн хэрэглээний файлуудыг шифрлэж хохирогчоос төлбөр нэхэмжлэн, онлайнаар шилжүүлэг хийхийг шаарддаг болсон. Хэрэв та нэгэнт Ransomware-т өртсөн бол нэн түрүүнд энэхүү вирусээс салахын тулд өөрийн файлуудыг яаралтай decrypt хийх буюу шифрлэлтийг буцаах замаар вирус халдаагч этгээдтэй холбогдох юм.Халдаагч этгээд өөрт холбогдох онлайн төлбөрийн дансаа үлдээж таны файлуудтай дүйцэх хэмжээний төлбөрийг нэхэмжилнэ.Төлбөрийг Bitcoin буюу онлайн мөнгөний хэрэгслийг сонгож нэхэмжлэх ба төлбөрийн энэ аргыг ашигласан тохиолдолд дансны эзэмшигч этгээдийг олж илрүүлэх боломжгүй байдаг.Төлбөрөө хэдий төлсөн ч таны файлыг сэргээнэ гэдэгт итгэж болохгүй.

 

Зураг 2. Bitlocker

CryptoLocker-н тухай

2014 оны есдүгээр сард Ransomware вирусыг хүн амын шилжилт хөдөлгөөн ихтэй Австралийн хэрэглэчдэд зориулан CryptoWall болон CryptoLocker гэсэн хоёр төрөл гаргасан байна.CryptoLocker нь таны компьютер дээрхи бичиг баримт, зураг, аудио, зиплэсэн файл гэх бүхий л хэрэгтэй файлуудыг encrypt буюу шифрлэж хэрэгцээт файлуудыг чинь нээх боломжгүй болгож орхидог.Encrypt хийлгэсэн файлаа аюулгүй болгохын тулд Decrypt хийх шаардлагатай.Ингэхийн тулд тухайн хортой програмыг зохиосон хүнд мөнгө төлөх ёстой.Хэрэв та мөнгө төлөхгүй бол таны бүх файл encrypt чигдээ үлдэх болно.Ransomware вирус танд email attachment хэлбэрээр ирэх бөгөөд санамсаргүйгээр нээх аваас таны компьютер дээрхи файлуудыг encrypt буюу шифрлэн түгжиж та хэрэгцээт файлуудаа нээх боломжгүй болж орхидог байна. Үүний дараагаар хард драйверуудыг хайж дараах өргөтгөлтэй файлуудыг шифрлэдэг байгаа.Үүнд:3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.Та файлаа сэргээхийн тулд хортой код халдаагч этгээдэд төлбөр төлөснөөр та файлаа сэргээх боломжтой болно.Хэрэглэгч компьютерийг барьцаанаас чөлөөлөх мөнгийг төлж файлуудын шифрийн тайлуулсан тохиолдолд CryptoLocker-ийн хакерууд таны компьютерийг дахин халдварлуулдаггүй байна. Мөн Cryptolocker техникийн бус вирус бөгөөд хохирогч компьютерт имэйлээр болон интернэтээс програм хангамж татаж суулгахад л давхар орж ирдэг. Халдварласан компьютераас нөгөө компьютерт өөрийгөө хувилж тархах чадваргүй.

 

Зураг 3.Cryptolocker

RSA алгоритм

RSA алгоритмыг MIT сургуулийн Рон Ривест, Ади Шамир, Леонард Адлеман гурав 1978 онд нийтэд танилцуулжээ.Нийтийн болон хувийн түлхүүр ашигладаг нууцлалын алгоритмуудаас хамгийн их тархсан алгоритм. RSA алгоритмын түлхүүрийг 512бит, 1024бит, 2048 бит, 4096бит урттайгаар сонгон авч болдог. Төсөөлбөл 64, 128, 256, 512 ,1024 ,2048 үсэгтэй нууц үг байна гээд ойлгочих. Ийм урт нууц үгийг цээжлэх хэцүү. Тиймээс нууц үгийг файл дээр бичээд компьютертээ хадгалдаг. Нийтийн түлхүүрийг харилцагч бүр мэддэг байх ба хувийн түлхүүрийг ганцхан өөртөө хадгалах ёстой. Нийтийн болон хувийн түлхүүрүүд нь бие биенээсээ харилцан хамааралтай хосолмол шинжтэй байдаг. Аливаа нэг хосын хувийн түлхүүр өөр нэг хосын нийтийн түлхүүртэй зохицон ажиллах боломжгүй. Нийтийн түлхүүрийг бусдад түгээхдээ шууд файл хэлбэрээр дамжуулах, нийтийн түлхүүр хадгалах сервер дээр байршуулах зэрэг аргууд ашигладаг. Хувийн түлхүүрийг бол зөвхөн өөрийн компьютерт хадгална. RSA алгоритмаар ямар ч хэмжээний өгөгдлийг нууцлаж болно. Өгөгдлийг нийтийн түлхүүрээр нууцлаж, хувийн түлхүүрээр тайлна. RSA алгоритмын давуу тал нь өгөгдлийг нууцлах болон баталгаажуулах чадвартай байдаг. Нууцлах бол бидний мэддэгээр баримт бичгийг бусад хүмүүс гартаа оруулсан ч унших боломжгүй болгохыг хэлнэ. Харин баталгаажуулах нь баримт бичигт тамга даран баталгаажуулдаг шиг тийм үйлдлийг тоон баримтад хэрэгжүүлдэг. Үүнийг тоон гарын үсэг гэж нэрлэн заншжээ. RSA алгоритмыг тоон гарын үсэг, сертификатад голлон ашиглаж байна.

Encryption хийх үйл явц

Ransomware нь RSA-2048 бит ассиметр шифрлэлтийн алгоритм ашиглан цор ганц нийтийн түлхүүрийг ашиглан таны файлыг шифрлэдэг.RSA алгоритм хоёр түлхүүр ашигладаг Public(нийтийн) болон Private-(хувийн) key ашигладаг. Public буюу нийтийн түлхүүрийг ашиглан файлуудыг шифрлэдэг. Харин Private буюу хувийн түлхүүр файлуудын шифрлэлтийг тайлахад хэрэг болдог.Хувийн түлхүүрийн цор ганц хувь нь таны файлуудыг тайлахад ашиглагдах бөгөөд интернэтэд нууц сервер дээр байрлаж байдаг.Цонхонд гарч ирсэн цаг дуусвал сервер дээр байсан түлхүүр устана.Учир нь цаг яваад эхэлсэн бол сервер 72 цагийг хугацаатай нууц түлхүүрийг хадгалж байдаг,хугацаа дуусвал өөрийгөө устгадаг байна.Хэрэв сервер дээрх түлхүүр уставал хэзээ ч файлуудаа сэргээх боломжгүй болно.

Ransomware-ийн үнэ ханш

• Windows OS 300$:--->500$ BTC
• Windows Server 500$----5000$ BTC
• Linux Unix 300$---->100000$ хооронд байна.

Хэрхэн сэргийлэх вэ?

1. Өөрийн чухал файлуудыг зөөврийн хард,флаш,интернэтэд байршуулах
2. Аюултай сэжиг бүхий сайт болон и-мэйлээр ирсэн зүйлсийг нээхгүй байх
3. Вирусын эсрэг програм сонгохдоо Ransomware илрүүлэх чадвартайг нь судлан сонгох
4. Шаардлагагүй програм хангамжийг интернэтээс татаж авахгүй байх
5. Програм хангамжийг баталгаат сайт буюу өөрийн сайтаас татах

Тэмдэглэл

Холбоос

• https://web.archive.org/web/20161017072953/http://crypto.mn/cryptolocker-%D0%B1%D0%B0%D1%80%D1%8C%D1%86%D0%B0%D0%B0%D0%BB%D0%B0%D0%B3%D1%87-%D0%B2%D0%B8%D1%80%D1%83%D1%81/
• https://web.archive.org/web/20180113110320/http://www.egrow.mn/169
• http://netwsec.blogspot.com/2015/10/ransomware-ransomware.html
• https://itmongolia.wordpress.com/2014/01/23/cryptolocker-virus-гэж-юу-юм-бэ/
• https://blog.kaspersky.com/ransomware-blocker-to-cryptor/12435/
• https://mn.wikipedia.org/wiki/RSA_(алгоритм)
• https://web.archive.org/web/20161215112627/http://softline.mn/