Din diversitatea mare de viruși și amenințări informatice, o categorie aparte o reprezintă aceea ransomware, care, odată ce infectarea s-a produs, utilizatorul este înștiințat cu privire la prejudiciul adus, ba mai mult decât atât, i se propune modalitatea de restabilire a calculatorului și eliminarea prejudiciului. Acest lucru va fi posibil, firește, doar contra cost.
O trăsătură care face ca acest tip de amenințare să fie una foarte periculoasă este compatibilitatea cu diferite platforme, programele ransomware adaptându-se rapid pentru a fi compatibile cu cele mai utilizate sisteme de operare, atât pentru calculatoare, dar și pentru dispozitive mobile (de exemplu smartphone-uri și tablete), astfel că infectarea cu ransomware, care se producea uzual doar pe calculatoarele cu Windows, poate avea loc și pe alte dispozitive care folosesc Android sau Windows Phone, eventual altele.
Așadar ransomware-ul, care se poate traduce din engleză drept program de răscumpărare (ransom - răscumpărare; were ( de la software) - program), este executat pe ascuns în sistem odată cu instalarea unui program sau patch descărcat sau preluat din surse nesigure. Odată ce acesta reușește să ruleze în sistem - fie pentru că nu există antivirus instalat sau nu este actualizat la zi, fie pentru că este apărut recent și este foarte sofisticat, astfel că programele de antivirus nu-l pot detecta - acesta începe în a-și executa acțiunile malitioase pentru care a fost conceput.
Mai exact, va realiza una sau ambele din următoarele acțiuni:
- Va căuta toate tipurile de fișiere și documente importante, pe care un utilizator obișnuit nu ar dori în mod normal să le piardă - de exemplu fotografiile, videoclipurile, documentele .pdf, .doc ș.a. - și le va cripta cu o cheie publică (o parola). Rezultatul: utilizatorul nu va mai putea folosi o foarte mare parte din fișierele care există pe calculator sau pe dispozitivul mobil, în locul acestora vor apărea copii ecriptate, care vor fi însă inutile fără cheia de decriptare.
- Va modifica sistemul de operare astfel încât accesul utilizatorului la calculator să fie blocat. Rezultatul: utilizatorul nu va mai putea folosi calculatorul sau dispozitivul portabil, adică sistemul de operare și programele instalate în acesta.
Odată ce prejudiciul a fost produs, adică datele importante au fost criptate sau/și calculatorul este blocat, virusul ransomware trece la faza finală: afișarea unei înstiințări legate de acțiunile executate și modalitatea prin care utilizatorul poate redobândi accesul la sistem sau la datele criptate (furnizându-se cheia de decriptare). Se poate întâmpla inclusiv ca în mesajul afișat utilizatorul să fie acuzat de una sau mai multe fapte ilegale, de exemplu copierea de documente sau date cu încălcarea drepturilor de autor, accesarea unor date în mod neautorizat sau ilegal (de exemplu pornografie), fiind totodată folosite numele și emblema unor instituții care se ocupă cu combaterea faptelor ilegale enunțate (poliția, sri ș.a.). Un exemplu bine cunoscut în acest sens este ransomware-ul Poliția Română (vezi Fig. 2).
Fig. 1 - Mesaj ransomwere Cryptolocker - datele au fost criptate, iar pentru recuperare trebuie să se plătească 0,5 bitcoini, adică 188 de euro. |
Fig. 2 - Mesaj ransomwere Poliția Română (clic pentru imaginea completă). |
Odată ce se întâmplă acest lucru - omițând cazul nerecomandat de a se achita taxa de răscumpărare, fapt care în niciun caz nu garantează că datele criptate vor putea fi decriptate sau că se poate redobândi accesul la calculator - utilizatorul poate încerca să elimine ransomware-ul din sistem folosind programe speciale de devirusare executate la botarea sistemului (de exemplu AVG Rescue CD) sau, dacă este vorba de un calculator, se poate opta pentru pornirea Windows-ului în Safe Mode și urmarea pașilor de eliminare ransomware din calculator - conform unor surse oficiale, cum ar fi Microsoft sau a unor companii producătoare de antiviruși.
În foarte mult cazuri virusul poate fi eliminat complet, uneori fără să fie necesară reinstalarea sistemului de operare și fară nicio daună a datelor existente pe hard disc. Însă există și cazuri în care ransomware afectează profund sistemul de operare, singura modalitate de eliminare a programului malițions este prin reinstalarea sistemului de operare sau revenirea la setările din fabrică. Cazul cel mai negativ caz este atunci când majoritatea fișierelor sau datele de pe întregul hard disc sunt afectate fără nicio șansă de a le restabili sau atunci când, deși programul a fost eliminat complet din sistem, datele importante, dacă nu întregul hard disc, sunt încă criptate și, cum nu se știe cheia de criptare folosită, nu există nicio șansă de a le recupera.
Măsurile preventive pentru a te proteja de ransomware este prin crearea regulată de copii de siguranță (backup) ale datelor importante și prin evitarea instalării de programe care nu sunt sigure sau care nu sunt descărcate din surse oficiale. Mai nou, mai ales pe dispozitivele mobile, există cazuri când la accesarea unor site-uri utilizatorii primesc mesaje de avertizare cum că pe dispozitiv există prezenți viruși, oferind aplicații de dezinfectare/devirusare, care de fapt nu sunt altceva decât virusul randsome în sine. Devirusarea se face prin eliminarea din sistemul de operare a fișierelor sursă ale acestuia sau prin reinstalarea/resetarea sistemului de operare, ceea ce va restabili accesul la sistem, dar nu va putea recupera datele criptate, ceea ce inseamnă același lucru cu pierderea definitivă a acestora.