2017/01/09

Ransomware

Компьютер, ухаалаг утас, таблетгүйгээр ажил, амьдралаа залгуулах бараг боломжгүй болсон өнөө цагт хамгийн ихээр “мода”-нд орж, хувь хүн, албан байгууллагуудад багагүй хохирол учруулдаг нэгэн төрлийн хортой програмын талаар энд товчлон өгүүлье.

Ransomware гэж юу вэ?
Ransomware буюу өгөгдөл барьцаалагч програм гэдэг нь систем дээр сууснаар таны хэрэгтэй файлуудаа нээж унших, харах, өөрчлөх боломжийг хаахаас гадна компьютерээ ашиглах боломжгүй болгож мэдэх айхтар хортой/хөнөөлтэй програм юм. Файлуудаа сэргээх, компьютерээ  хэвийн ашиглахыг хүсвэл та шаардсан барьцаа мөнгийг нь төлөх хэрэгтэй болно.
эх сурвалж: blog.kaspersky.com

Хэрэгтэй файл гэдэгт ажил төрлөө явуулахад тань хэрэг болдог документ файлууд (*.docx, *.xlsx, *.pdf, *.pptx гэх мэт), магадгүй өчнөөн олон жилийн түүхийг тань өгүүлэх зурагнууд, чухал харилцагчтайгаа солилцож байсан цахим захидлууд (email), байгууллагын санхүүгийн тайлан, тооцоог агуулсан мэдээллийн сан (database) гэх мэт бүгд багтана. 


Аа тийм, зарим нэг их мэдэгчдийн хэлдэгээр зөвхөн Windows үйлдлийн системтэй компьютер л энэхүү гайхал “вирус” –т өртдөг юм биш. Ransomware нь Windows, Mac, Linux, Android гээд бүх төрлийн үйлдлийн системд зориулсан хувилбаруудтай тул iMac ашигладаг надад хамаагүй ээ гэж санаа амар суух боломжгүй юм.

Цаашид танай гэр, албан тасалгаанд байх ухаалаг төхөөрөмжүүд энэ төрлийн халдлагын бай болж таны үгэнд орохоо больж мэдэх юм. Мөнгөө төлөхгүй бол тоосыг чинь цэвэрлэхгүй, хүнсийг чинь хөргөхгүй, телевиз үзүүлэхгүй шүү гэж даналзах цаг хаяанд иржээ.
эх сурвалж: internetofmorethings.com

Ransomware -ийг cryptor, blocker гэж хоёр ангилдаг. Cryptor нь файлуудыг encrypt (манайхан шифрлэнэ гэж ярьдаг) хийж, нээж харахад агуулга нь танигдахааргүй  болгоно. Таны компьютер хэвийн ажиллах боловч дээр нь байсан Annual_report.docx нэртэй файл 8aaeb13e19668f896a840e6089ef69a8.xyz гэх мэт шинэ нэртэй болж, MS Word програмаар нээгдэхээ байна гэсэн үг. Гэхдээ зөвхөн файлын нэрийг өөрчлөөд зогсохгүй, агуулгыг нь өөрчилнө гэдгийг дахин сануулъя.

Харин blocker нь зөвхөн файл биш систем рүү хандах хандалтыг хаадаг. Өөрөөр хэлбэл компьютерийн дискийг бүхэлд нь encrypt хийж, үйлдлийн систем хэвийн ажиллах боломжгүй болно.

Түгээмэл хувилбарууд
1989 онд Joseph Popp гэгчийн хөгжүүлсэн анхны ransomware болох AIDS (PC Cyborg) –с  хойш маш олон хувилбарууд гарч байсан ч төдийлөн “нэр төр” –ийг олохгүй байсаар сураг алдарч байж. Харин 2013 онд барьцааны мөнгөө Bitcoin –оор авдаг CryptoLocker нэртэй програм бий болсноор дахин "сэргэн мандсан" байна. Bitcoin, Tor зэрэг технологийн дэвшлүүд нь дата барьцаалан мөнгө олох санаатай этгээдүүд олшироход их тус хүргэсэн байх аа. CryptoLocker хоёрхон сарын дотор 27 сая доллар олж байсан баримт бий.

Өдгөө CryptoLocker, Locky, Cerber, zCrypt, Crysis, Petya гэх мэт түгээмэл ransomware –үүд та биднийг хохироохоор цахим сүлжээгээр хэрэн тэнэж явна. Файлын нэрийг өөрчилсөн байдал, барьцаа мөнгөө нэхэж буй хэлбэр зэргээс нь ямар нэртэй зэтгэрт хорлогдсоноо мэдэх боломжтой. 

Ransomware яаж ажилладаг вэ?
Ransomware таны компьютер дээр тэнгэрээс унаад ирэхгүй нь мэдээж тул ямар нэг замаар орж ирдэг байж таарна. Өнөө цагт хортой програмууд тархдаг хамгийн түгээмэл зам нь цахим шуудан юм. Цахим шуудангаар таны сониуч зан, сонирхлыг тань татахуйц, сэтгэлийг тань хөдөлгөхүйц гарчигтай захидал хавсралт файлын хамт ирнэ.

Хэн нэгэн хаяг андуурч DHL-ээр илгээмж  явуулсан баримт, өрсөлдөгч компанийн жилийн эцсийн тайлан, бурхны оронд одсон алдартай нэгний сүүлчийн захиас зэргийг олдсон дээр нь уншчих сонирхол төрөхгүй хүн ховор шүү дээ. Энгийн документ файл, зураг, PDF файлд хортой код шургуулж илгээх тун ч амархан. Үүнээс гадна хамгаалалт султай вэб сайтуудаар дамжин тархах тохиолдол их.
Цахим шуудангийн хавсралт файлыг нээх, вэбээс файл татаж ажиллуулах үйлдэл нь таны компьютерт ирсэн урилгагүй зочинг хүссэн зүйлээ хийх боломжийг та олгожээ гэсэн үг. Ингээд урилгагүй зочин танд мэдэгдэхгүйгээр ажилдаа орно доо.

Компьютер дээрээс хүнд хэрэг болохоор файлуудыг хайж олоод эхнээс нь encrypt хийж эхлэнэ. Encrypt хийхдээ хангалттай урттай нууц түлхүүр ашиглах бөгөөд энэ түлхүүрийг мэдэхгүйгээр нууцлалыг тайлах, нөгөө талаасаа түлхүүрийг хайж олох үйлдэл нь маш их хугацаа, компьютерийн өндөр хүчин чадал шаардсан ажил болдог. Өнөөдөр нийтийн хэрэглээнд буй компьютерийн тооцоолон бодох чадамжаар эдгээр нууц түлхүүрийг тайлах боломжгүй гээд хэлчихэд болно.

Дээр дурдсанчлан ransomware –ийн нэг төрөл болох cryptor нь зөвхөн файлуудыг хандах боломжгүйгээр өөрчилдөг бол нөгөө төрөл нь компьютерийн дискийг бүхэлд нь encrypt хийж, үйлдлийн системийг ачааллах боломжгүй болгодог.
эх сурвалж scip.ch


Компьютер дээрх файлуудыг кодолж (encrypt) дууссаны дараагаар танд барьцааны мөнгөө хэрхэн илгээх зааврыг харуулна. Таны файлуудыг encrypt хийсэн тул дараах дансаар хэдэн цагийн дотор тэдэн зоос (bitcoin) илгээ гэх мэт.
эх сурвалж researchcenter.paloaltonetworks.com

Дээрх зургаас та тэр банкны тийм дансанд мөнгө явуулаарай гэж бичээгүй байгааг анзаарч байгаа байх. TOR сүлжээ, Bitcoin нь хакеруудад өөрийгөө шууд илчлэхгүйгээр мөнгөө цуглуулах боломжийг нээж өгчээ.

Халдлагад өртсөн мэдээллийг хэрхэн сэргээх вэ?
Танд хамгийн боломжтой хоёр л сонголт бий. Нэг нь хүссэн мөнгийг нь өгөөд онц чухал мэдээллээ сэргээж авах, нөгөө нь тэдгээр мэдээллээ золигт гаргаад бүгдийг шинээр эхлэх. Бусад төрлийн хортой програмыг компьютер дээрээс устгаснаар хор уршгийг нь арилгаж болдог бол ransomware –ийн хувьд тийм боломж байхгүй. Нэгэнт таны файлуудыг олзолчихсон тул та хортой програмыг олоод устгасан ч файлуудаа сэргээж чадахгүй.

Хүссэн мөнгийг нь төлөөд хэрэгтэй баримт, мэдээллээ эргүүлж авсан тохиолдлууд бий. АНУ-ын нэгэн хотын цагдаагийн газар, эмнэлэг гэх зэрэг байгууллагуудын жишээ байна. Гэхдээ мөнгө төллөө гээд та файлуудаа сэргээгээд авчихна гэж найдахад бас хэцүү. Мөнгийг чинь авчихаад барьцаалсан зүйлээ өгөхөө болилоо гээд гэдийчихвэл яах вэ?

Таны компьютер руу хортой програмыг илгээсэн этгээд өөрөө нууц түлхүүрийг мэдэхгүй бол яах вэ? Ийм тохиолдлууд цөөнгүй бий. Интернэтийн “хар зах”-аас ransomware худалдаж авсан дэггүй жаалын халдлагад өртсөн бол танд найдвар бараг үлдээгүй гэсэн үг. Нийт хохирогчдын 20% нь мөнгөө төлсөн ч мэдээллээ сэргээж чадаагүй гэсэн судалгаа ч бий.  

Харин хортой програмыг зохиосон, зохиогоогүй юмаа гэхэд ядаж нууц түлхүүрийг мэддэг этгээд тань руу халдсан бол та өөрийгөө азтайд тооцож болох юм. Зарим нэг “нинжин” сэтгэлтэй хакерууд нэхсэн мөнгөнийхөө хэмжээг “яриад” буулгасан тохиолдол байдаг.

Нэхсэн мөнгийг нь төлөх яавч ХАМГИЙН САЙН СОНГОЛТ биш!

Таны алдсан файлууд яаралтай хэрэг болоод байхааргүй файлууд бол гурав дахь сонголт байж болох юм. Тэр нь хэн нэгэн сайн санаатан таныг хорлосон ransomware -ийн нууц түлхүүрийг тайлдаг програм зохиохыг хүлээх. Антивирусын програм хөгжүүлэгч компаниуд, судлаачид ransomware –ийн шинэ хувилбар гарангуут л хэрхэн “нууцыг тайлах” вэ гээд судалгаагаа эхлүүлдэг.
эх сурвалж kaspersky.com

Мөнгө нэхсэн бичиг, файлуудын нэрийг өөрчилсөн хэлбэр зэргээс та яг ямар нэртэй ransomware –ийн хохирогч болсноо мэдэж болно. Үүний дараагаар https://noransom.kaspersky.com/, https://www.avast.com/c-ransomware, http://www.avg.com/ww-en/ransomware-decryption-tools гэх мэт антивирус хөгжүүлэгчдийн сайтаас тухайн ransomware –ийн файлуудыг decrypt хийдэг програм байгаа эсэхийг шалгана. Decrypt хийнэ гэсэн програм татаж авах гэж байгаа бол зөвхөн албан ёсны сайтуудаас татаарай, нуухаа авах гээд нүдээ сохлоно гэгчээр өөр нэг хортой програмын хохирогч болох вий.
Зарим шинэковууд нууц түлхүүрээ хохирогчийн компьютерийн санах ойд, аль эсвэл дискний хаа нэгтээ хадгалж орхих гэх мэт алдаа гаргаж гэнэдэх тохиолдол ч бий. Харин хашир бурхинуудын зохиосон эдийг тайлах програм зохиох гэж багагүй хугацаа шаардагдана. Гэхдээ эдгээр програмууд таны хэрэгтэй мэдээллийг бүрэн сэргээж өгнө гэдэгт 100% найдах хэрэггүй шүү.

Ransomware халдлагаас хэрхэн хамгаалах вэ?
Энэ төрлийн халдлагад өртсөн бол файлаа сэргээж авах найдвар тун бага гэдгийг та ойлгосон байх. Нэгэнт алдчихвал буцааж авах боломж тааруухан учраас эхнээсээ мэдээллээ алдахгүй, халдлагад өртөхгүй байх, халдлагад өртсөн ч айхтар хохирол хүлээлгүй аргалах тал дээр анхаарахаас өөр зам байхгүй. Ransomware -ээс хамгаалах боломжит арга замууд:
  • Цахим шуудан болон хамгаалалт султай вэб сайтууд нь ransomware –ийн тархдаг гол суваг тул сэжигтэй захидал, хавсралт файл, захидал доторх линк зэргийг огт нээхгүй байх дадлыг өөртөө болон өрөөл бусдад хэвшүүлэх хэрэгтэй. Хамгийн энгийн мэт боловч хамгийн чухал хамгаалалт энэ юм.
  • Сэжигтэй вэб сайтууд руу орохгүй байх, crack хийсэн програм хангамж татаж суулгахгүй байхыг ямагт санаж явах хэрэгтэй. Та бидэнд сайн санаад л бусдын хийсэн програмын лицензний хамгаалалтыг эвдээд суудаг хүн цөөхөн байх.
  • Register cleaner, PC cleaner, РС scanner гэх мэт юу хийдэг нь тодорхойгүй програмуудыг хүмүүс ихээр татаж суулгадаг нь анзаарагддаг. Ийм програмуудаас хол байсан нь дээр. 
  • Хувийн компьютертээ, мөн байгууллагынхаа компьютерүүдэд албан ёсны лицензтэй антивирусын програм суулгах. Дээрээс нь тухайн антивирусын програмыг бүтээгчдийн зүгээс зөвлөсөн ransomware –ээс хамгаалах тохиргоог хийсэн байх.
  • Байгууллагын хувьд өөрийн гэсэн email сервертэй бол спам, вируснаас хамгаалах хамгаалалт хийх хэрэгтэй. Өндөр үнэтэй хамгаалалт хэрэгжүүлж чадахгүй бол ядаж Clamav антивирус ч ашиглаж болно шүү дээ.
  • Онц чухал гэж үзсэн файлууд, мэдээллүүдээ нөөцлөх (backup) хэрэгтэй. Хувийн компьютер бол зөөврийн хард руу хуулах, cloud storage –ууд хуулах гэх мэт. Хэрвээ зөөврийн хард диск ашиглах бол зөвхөн нөөц үүсгэх үедээ л залгаж байхгүй бол нөөцөлсөн файлуудаа ч алдчих боломж бий шүү.
  • Байгууллагын хувьд нөөцөлсөн мэдээллээ тодорхой хугацаанд шалгаж байх хэрэгтэй. Нөөц маань бий гээд явж байтал нөөц нь яг цагаа тулахад дутуу ч юмуу, алдаатай хуулагдсан байвал бас л асуудал үүснэ.
  • Ялангуяа байгууллагадаа ганц сервертэй, тэр сервер дээр нь санхүүгийн програмууд (Даймонд, Апекс гэх мэт) нь ажилладаг, бусад бүхий л чухал баримт бичгүүд нь хадгалагддаг хэрнээ, үйлдлийн систем нь лицензгүй, антивирус ч байхгүй хүмүүс халдлагад өртөх магадлал тун өндөр. Эдгээр хүмүүс аюулгүй байдалдаа зориулж бага ч гэсэн мөнгө зарахгүй бол хэцүү шүү.
  • Барьцаанд мөнгө төлөх биш барьцаалагдахаас сэргийлэхэд мөнгө зарах нь илүү ухаалаг шийдвэр гэдгийг анхаараарай.