Ransomware este un tip de virus ce restrictioneaza utilizarea dispozitivului pe care il infecteaza, necesitand interventia utilizatorilor finali pentru a recastiga controlul asupra dispozitivului respectiv. Virusul poate fie cripta sistemul si documentele acestuia, fie se preface ca actioneaza astfel. Totusi, in ambele cazuri, utilizarea dispozitivului devine dificila pentru utilizator.
Pana acum, virusii ransomware au targetat computerele, insa acum si-au extins raza de actiune si in zona telefoanelor mobile. Anul acesta, amenintarea virusilor ransomware a fost majora in cazul telefoanelor mobile – de la aparitia primei variante ce ameninta sistemele IOS pana la prima varianta pentru Android ce poate chiar cripta datele telefonului. Ruchna Nigam, Security researcher in Laboratoarele FortiGuard ale Fortinet, ofera o recapitulare a virusilor ransomware pentru telefoanele mobile cunoscuti si prezinta sfaturi in cazul intruziunii acestora:
FakeDefend, descoperit in iulie 2013, este un virus ce afecteaza telefoanele cu sistem Android. Acesta apare sub forma unei aplicatii antivirus falsa ce propune utilizatorilor sa plateasca pentru o subscriptie, in urma unei scanari false ce arata o lista de virusi aparent prezenti in sistemul mobilului.
- Probleme cauzate: Daca utilizatorul decide sa plateasca, detaliile cardului de credit sunt copiate in serverul hacker-ului. In plus, indiferent daca utilizatorul plateste sau nu, virusul inchide anumite sisteme de operare si alte procese asociate cu antivirusul. Ulterior, acesta va distruge aplicatiile sistemului Android stocate pe cardul SD, cu posibilitatea de a sterge orice aplicatie, precum si backup-ul memoriei ROM. In final, la 6 ore in urma instalarii virusului, ecranul telefonului se va bloca odata cu apasarea butonului de blocare/deblocare, iar telefonul nu va mai putea fi folosit.
- Utilizarea telefonului dupa infiltrarea virusului: Dificila la inceput. Imposibila dupa 6 ore.
- Suma de rascumparare: 99,98 dolari, numai cu cardul de credit.
- Dezinstalarea: Un dispozitiv infestat trebuie resetat la setarile din fabrica.
- Daune datelor utilizatorului: Datele utilizatorului nu vor prezenta daune, insa memoria backup va fi pierduta.
Cryptolocker, descoperit in mai 2014, apare sub forma unei aplicatii de descarcare video BaDoink. Chiar daca virusul nu cauzeaza daune datelor telefonului mobil, acesta va afisa pe ecranul de blocare customizat in functie de localizarea geografica a utilizatorului. Ecranul de blocare este aprins la fiecare 5 secunde, cauzand utilizarea greoaie a telefonului si dezinstalarea dificila a virusului.
- Utilizarea telefonului dupa infiltrarea virusului:
- Suma de rascumparare: 300 dolari via MoneyPak.
- Dezinstalare: Reporniti in safe mode si dezinstalati sau resetati la setarile din fabrica.
- Daune datelor utilizatorului: Datele utilizatorului nu vor fi pierdute.
iCloud ‘Oleg Pliss’ ranswomware, descoperit in mai 2014, este primul caz raportat de virus pentru dispozitivele Apple. Aceste incidente nu pot fi atribuite unui singur virus, ci unor conturi iCloud compromise, in combinatie cu o inginerie sociala. Se presupune ca hacker-ii au exploatat caracteristicile Apple Find My iPhone, iPad si Mac, si au reciclat parole. Cu toate acestea, infiltrarea nu functioneaza daca dispozitivul are deja o parola setata. Dispozitivele fara parola vor necesita resetare si backup-ul memoriei iTunes.
- Utilizarea telefonului dupa infiltrarea virusului: Imposibila pe dispositivele fara parole setate.
- Suma de rascumparare: 100 dolari sau Euro via MoneyPak, Ukash, PaySafeCard sau PayPal.
- Dezinstalare: Nu este nimic de dezinstalat. Dispozitivele fara parole trebuie resetate.
- Daune datelor utilizatorului: Scurgerea datelor calendarului sau contactelor sau chiar permisiunea hacker-ului de a sterge toate datele telefonului mobil.
Simplocker, descoperit in iunie 2014, apare sub forma unor aplicatii infestate cu virusul Trojan, precum Flash player. Acesta este primul virus ransomware real pentru Android, in sensul ca poate cripta fisierele telefonului. Telefoanele infestate sunt blocate iar pe ecran este afisata o avertizare de a plati pentru a debloca telefonul.
- Probleme cauzate: Cripteaza fisiere cu extensia “jpeg”, “jpg”, “png”, “bmp”, “gif”, “pdf”, “doc”, “docx”, “txt”, “avi”, “mkv”, “3gp” sau “mp4”, declansand algoritmul AES. Virusul foloseste software-ul TOR pentru a comunica in mod regulat cu un server ce raspunde la comenzile de a dezactiva virusul. Chiar si dupa dezinstalarea aplicatiei in safe mode, fisierele trebuie criptate. O alta varianta este ca virusului ransomware sa necesite permisiunea userului de a intercepta mesajele SMS. In cazul acesta, virusul poate fi dezactivat prin trimiterea unui mesaj ce contine comanda de dezactivare.
- Utilizarea telefonului dupa infiltrarea virusului: Dificila.
- Suma de rascumparare: 100 ruble via Qiwi Visa Wallet.
- Dezinstalare: Repornirea in safe mode si rezinstalarea sau resetarea la setarile din fabrica.
- Daune datelor utilizatorului: Fisierele sunt criptate prin folosirea algoritmului AES.
In final, Ruchna Nigam pune la dispozitie cateva sfaturi pentru a evita aceste tipuri de intruziune:
- Utilizatorii de iPhone si iPad trebuie sa isi paroleze telefoanele. Acest lucru forteaza folosirea parolei in timpul activarii caracteristicii Find My iPhone, lucru care constrange virusii mentionati anterior sa fie ineficienti.
- Este recomandat ca utilizatorii sa instaleze aplicatii din surse de incredere si de la dezvoltatori.
- Un antivirus functional instalat pe telefon va preveni sau va avertiza impotriva instalarii aplicatiilor infestate.
