RANSOMWARE (fidyə proqramı) nədir?
www.jetschool.azRANSOMWARE (fidyə proqramı) nədir?
BU NƏDİR?
Ransomware (ing. ransom — «fidyə» + software — «proqram təminatı») — qurbanın məlumatlarına və ya bütün sisteminə girişi bloklayan və girişi bərpa etmək üçün pul fidyəsi tələb edən zərərli proqram təminatının (malware) bir növüdür.
Proqram kriptoqrafik alqoritmlər (çox vaxt AES-256 və ya RSA-2048) vasitəsilə cihazda olan faylları şifrələyir, bundan sonra istifadəçi xüsusi deşifrə açarı olmadan heç bir sənədi, şəkli və ya məlumat bazasını aça bilmir. Təcavüzkarlar bu açarı ödəniş edildikdən sonra verəcəklərini vəd edirlər.
NECƏ İŞLƏYİR?
1. Sistemə nüfuz etmə Ransomware cihaza fişinq məktubları, yoluxmuş əlavələr, proqram təminatındakı zəifliklər, sındırılmış saytlar və ya etibarsız qorunmalı RDP bağlantıları vasitəsilə daxil olur.
2. Sistemdə möhkəmlənmə Zərərli proqram işə düşdükdən sonra gizlicə sistemə quraşdırılır, antivirus müdafiəsini söndürür və silinməsini çətinləşdirmək üçün bərpa nöqtələri yaradır.
3. Məlumatların şifrlənməsi Proqram bütün diskləri və şəbəkə qovluqlarını skan edir, dəyərli faylları (sənədlər, şəkillər, məlumat bazaları, arxivlər) tapır və onları şifrələyərək fayl uzantılarını oxunmaz hala gətirir.
4. Fidyə tələbi Ekranda fidyə tələbi olan mesaj görünür — adətən anonimlik üçün kriptovalyuta ilə (Bitcoin, Monero). Geri sayım taymerı göstərilir: vaxtında ödəniş edilmədikdə məbləğ artır və ya məlumatlar əbədi olaraq silinir.
ƏSAS NÖVLƏRİ
Crypto-ransomware Ən geniş yayılmış növdür. İstifadəçinin fayllarını şifrələyir, lakin sistemi tamamilə bloklamır. Nümunə: WannaCry, CryptoLocker.
Locker-ransomware Əməliyyat sisteminə girişi tamamilə bloklayır — istifadəçi Windows-a belə daxil ola bilmir. Məlumatlar şifrlənmir, lakin kompüterdən istifadə mümkün olmur.
Double extortion (ikiqat şantaj) Müasir və ən təhlükəli taktika: təcavüzkarlar məlumatları şifrələməzdən əvvəl oğurlayır və fidyə ödənilmədikdə məxfi məlumatları ictimaiyyətə açıqlamaqla hədələyirlər.
RaaS — Ransomware-as-a-Service Ransomware tərtibatçılarının öz zərərli proqramlarını digər cinayətkarlara fidyənin faizi müqabilində satan və ya icarəyə verdiyi modeldir. Bu, kibermüsadirəni tam bir kölgə sənayesinə çevirdi.
MƏŞHUR HÜCUMLAR
WannaCry (2017) 4 gün ərzində 150 ölkədə 200 000-dən çox kompüteri yoluxduran böyük miqyaslı qlobal hücum. Windows-dakı EternalBlue zəifliyindən istifadə etdi. Xəstəxanalar, banklar və telekommunikasiya şirkətləri zərər çəkdi.
NotPetya (2017) Əvvəlcə ransomware kimi görünürdü, lakin əslində məlumatları məhv etmək üçün nəzərdə tutulmuş vayper proqramı idi. Dünya üzrə 10 milyard dollardan çox ziyan vurdu.
Colonial Pipeline (2021) ABŞ-ın ən böyük boru kəmərinə edilən hücum Şərqi sahildə yanacaq çatışmazlığına səbəb oldu. Şirkət DarkSide qruplaşmasına 4,4 milyon dollar fidyə ödədi.
NECƏ QORUNMALIYIQ?
- Məlumatların ehtiyat nüsxələrini 3-2-1 qaydası ilə mütəmadi olaraq yaradın (3 nüsxə, 2 fərqli daşıyıcı, 1-i oflayn saxlanılır).
- Əməliyyat sistemi və proqram təminatı yenilənmələrini vaxtında quraşdırın.
- Ransomware-dən qorunma funksiyası olan etibarlı antivirus proqramından istifadə edin.
- Şübhəli məktublardakı əlavələri və linkləri açmayın.
- İstifadəçi hüquqlarını minimum səlahiyyət prinsipi ilə məhdudlaşdırın.
- Bütün hesablar üçün çoxfaktorlu autentifikasiyadan (MFA) istifadə edin.
- Zərərli proqramın yayılmasının qarşısını almaq üçün korporativ şəbəkəni seqmentlərə bölün.
FİDYƏ ÖDƏMƏLİYİK, YOXSA YOX?
Kibertəhlükəsizlik mütəxəssisləri və dövlət qurumlarının əksəriyyəti fidyə ödəməyi tövsiyə etmir: ödəniş deşifrə açarının alınacağına zəmanət vermir, sonrakı cinayət fəaliyyətini maliyyələşdirir və təşkilatı təkrar hücumların hədəfinə çevirir.
BU NƏDİR?
Ransomware (ing. ransom — «fidyə» + software — «proqram təminatı») — qurbanın məlumatlarına və ya bütün sisteminə girişi bloklayan və girişi bərpa etmək üçün pul fidyəsi tələb edən zərərli proqram təminatının (malware) bir növüdür.
Proqram kriptoqrafik alqoritmlər (çox vaxt AES-256 və ya RSA-2048) vasitəsilə cihazda olan faylları şifrələyir, bundan sonra istifadəçi xüsusi deşifrə açarı olmadan heç bir sənədi, şəkli və ya məlumat bazasını aça bilmir. Təcavüzkarlar bu açarı ödəniş edildikdən sonra verəcəklərini vəd edirlər.
NECƏ İŞLƏYİR?
1. Sistemə nüfuz etmə Ransomware cihaza fişinq məktubları, yoluxmuş əlavələr, proqram təminatındakı zəifliklər, sındırılmış saytlar və ya etibarsız qorunmalı RDP bağlantıları vasitəsilə daxil olur.
2. Sistemdə möhkəmlənmə Zərərli proqram işə düşdükdən sonra gizlicə sistemə quraşdırılır, antivirus müdafiəsini söndürür və silinməsini çətinləşdirmək üçün bərpa nöqtələri yaradır.
3. Məlumatların şifrlənməsi Proqram bütün diskləri və şəbəkə qovluqlarını skan edir, dəyərli faylları (sənədlər, şəkillər, məlumat bazaları, arxivlər) tapır və onları şifrələyərək fayl uzantılarını oxunmaz hala gətirir.
4. Fidyə tələbi Ekranda fidyə tələbi olan mesaj görünür — adətən anonimlik üçün kriptovalyuta ilə (Bitcoin, Monero). Geri sayım taymerı göstərilir: vaxtında ödəniş edilmədikdə məbləğ artır və ya məlumatlar əbədi olaraq silinir.
ƏSAS NÖVLƏRİ
Crypto-ransomware Ən geniş yayılmış növdür. İstifadəçinin fayllarını şifrələyir, lakin sistemi tamamilə bloklamır. Nümunə: WannaCry, CryptoLocker.
Locker-ransomware Əməliyyat sisteminə girişi tamamilə bloklayır — istifadəçi Windows-a belə daxil ola bilmir. Məlumatlar şifrlənmir, lakin kompüterdən istifadə mümkün olmur.
Double extortion (ikiqat şantaj) Müasir və ən təhlükəli taktika: təcavüzkarlar məlumatları şifrələməzdən əvvəl oğurlayır və fidyə ödənilmədikdə məxfi məlumatları ictimaiyyətə açıqlamaqla hədələyirlər.
RaaS — Ransomware-as-a-Service Ransomware tərtibatçılarının öz zərərli proqramlarını digər cinayətkarlara fidyənin faizi müqabilində satan və ya icarəyə verdiyi modeldir. Bu, kibermüsadirəni tam bir kölgə sənayesinə çevirdi.
MƏŞHUR HÜCUMLAR
WannaCry (2017) 4 gün ərzində 150 ölkədə 200 000-dən çox kompüteri yoluxduran böyük miqyaslı qlobal hücum. Windows-dakı EternalBlue zəifliyindən istifadə etdi. Xəstəxanalar, banklar və telekommunikasiya şirkətləri zərər çəkdi.
NotPetya (2017) Əvvəlcə ransomware kimi görünürdü, lakin əslində məlumatları məhv etmək üçün nəzərdə tutulmuş vayper proqramı idi. Dünya üzrə 10 milyard dollardan çox ziyan vurdu.
Colonial Pipeline (2021) ABŞ-ın ən böyük boru kəmərinə edilən hücum Şərqi sahildə yanacaq çatışmazlığına səbəb oldu. Şirkət DarkSide qruplaşmasına 4,4 milyon dollar fidyə ödədi.
NECƏ QORUNMALIYIQ?
- Məlumatların ehtiyat nüsxələrini 3-2-1 qaydası ilə mütəmadi olaraq yaradın (3 nüsxə, 2 fərqli daşıyıcı, 1-i oflayn saxlanılır).
- Əməliyyat sistemi və proqram təminatı yenilənmələrini vaxtında quraşdırın.
- Ransomware-dən qorunma funksiyası olan etibarlı antivirus proqramından istifadə edin.
- Şübhəli məktublardakı əlavələri və linkləri açmayın.
- İstifadəçi hüquqlarını minimum səlahiyyət prinsipi ilə məhdudlaşdırın.
- Bütün hesablar üçün çoxfaktorlu autentifikasiyadan (MFA) istifadə edin.
- Zərərli proqramın yayılmasının qarşısını almaq üçün korporativ şəbəkəni seqmentlərə bölün.
FİDYƏ ÖDƏMƏLİYİK, YOXSA YOX?
Kibertəhlükəsizlik mütəxəssisləri və dövlət qurumlarının əksəriyyəti fidyə ödəməyi tövsiyə etmir: ödəniş deşifrə açarının alınacağına zəmanət vermir, sonrakı cinayət fəaliyyətini maliyyələşdirir və təşkilatı təkrar hücumların hədəfinə çevirir.