Programari de segrest

Aquest article o aquest apartat conté informació obsoleta o li falta informació recent. Podeu col·laborar actualitzant-lo o afegint-hi la informació que manca. «Una gran part de l'informació té més de deu anys, en un sector que evoluciona rabent, això és massa.»

Un programari de segrest^[1] és un programari maliciós que bloca l'accés a unes parts o arxius del sistema infectat. El programari maliciós xifra els arxius amb una clau, que només cedeix a la víctima si paga un rescat.^[2] Tal programari es sol transmetre amb un troià o un cuc i infecta el sistema operatiu, per un arxiu descarregat o explotant una vulnerabilitat de programari. Es fa servir també l'argot anglès ransomware, de ransom, ‘rescat’ i el sufix -ware de software, ‘programari’.

Es van fer populars a Rússia i el seu ús va créixer internacionalment al juny del 2013.^{[Cal actualitzar]} L'empresa McAfee solament el primer trimestre del 2013 n'havia detectat més de 250.000.^[3]

Aquests virus es camuflen dins d'un altre arxiu o programa desitjable per a l'usuari i el convida a fer clic. Es poden camuflar en:

• arxius adjunts de correus electrònics,
• vídeos de pàgines de dubtós origen,
• actualitzacions de sistemes.

Una vegada que ha infectat l'ordinador, el programari de segrest s'activa i bloca tot el sistema operatiu, llança el missatge amb l'amenaça i l'import del rescat. A part d'aixó, a vegades inclouen en l'amenaça l'adreça IP, la companyia proveïdora d'Internet i fins i tot una fotografia captada des de la webcam.^[4] Hi ha hagut casos on el rescat consisteix a obligar a jugar a un videojoc.^[5]

Aquest article o secció necessita millorar una traducció deficient. Podeu col·laborar-hi si coneixeu prou la llengua d'origen. Comproveu en la pàgina de discussió si ja s'ha comentat aquest problema. En cas contrari podeu iniciar un fil de discussió per consultar com es pot millorar. Elimineu aquest avís si creieu que està solucionat sense objeccions en la discussió.

El 1989 es va llançar Reveton, basat en el troià Citadel el qual estava al seu torn basat en el troià Zeus. Desplega un missatge pertanyent a cos de policia, sovint adaptat al país on resideix la víctima. Per aixó va rebre el sobrenom Trojan cop, ‘troià de la policia’. Pretenia que el computador havia estat utilitzat per a activitats il·lícites, com ara programari pirata o pornografia infantil. El troià avisa que ha blocat el sistema per infringir la llei i es pot desblocar, mitjançant el pagament a un compte anònim, com pot ser Ukash o Paysafecard.

Fa veure a la víctima que el seu computador és rastrejat per la llei, és que es mostra l'adreça IP del computador en la pantalla a més de que es pot desplegar material d'arxiu simulant que la càmera web del computador filma la víctima.

A principi de l'any 2012 va començar la seva expansió a Europa. Al Regne Unit, contenia el logo del Servei de Policia Metropolitana. A causa d'aquests successos, la Policia Metropolitana va enviar un comunicat informant que en cap concepte ells bloquen un computador ni tan sols com a part d'una recerca.

Al maig de 2012, Trend Micro va descobrir les variacions d'aquest malware per als Estats Units i Canadà. L'agost de 2012, es va començar a utilitzar el logo del Federal Bureau of Investigation (FBI) per reclamar una fiança de 200 dòlars. Al febrer de 2013, un ciutadà rus va ser arrestat a Dubai per autoritats espanyoles a causa de la seva connexió amb la xarxa criminal que feia servir Reveton, i s'hi van afegir altres deu persones amb càrrecs per blanqueig de diners. L'agost de 2014, la companyia Avast Antivirus va informar sobre noves variants de Reveton que intentaven robar contrasenyes.^{[cal citació]}

Al setembre de 2013 va parèixer CryptoLocker, que genera un parell de claus RSA de 2048-bit amb les quals es controla el servidor i es xifren arxius amb una extensió específica. El virus elimina la clau privada a través del pagament d'un bitcoin o un bo prepagament en efectiu dins dels tres dies després de la infecció. A causa del clau molt llarg, es considera que és extremadament difícil reparar la infecció d'un sistema.

En cas que el pagament es retardi més enllà dels tres dies el preu augmenta de 10 bitcoins, la qual cosa equivalia, aproximadament, a 2300 dòlars, al novembre de 2013.^{[cal citació]}

El 2 de juny de 2014, CryptoLocker va ser aturat quan el Departament de Justícia dels Estats Units va confiscar la xarxa GameoverZeuS.^{[cal citació]} El Departament va acusar el ciberdelinqüent rus Evgeniy Bogachev (Евгений Богачев) per la seva participació en aquesta xarsa. S'estima que la xarsa va cobrar almenys tres milions de dòlars.

Al setembre de 2014, CryptoWall i CryptoLocker —que no te res a veure amb el primer del mateix nom— va tocar els primers objectius a Austràlia. Les infeccions es propagaven a través d'un correu electronic fals, que feia veure que provenia d'Australia Post, el servei de correus públic australià, sobre un paquet que no s'havia pogut lliurar. D'aquesta manera s'evadia la revisió mèdica del correu en els filtres de antispam i aconseguia que arribessin als destinataris. Aquesta variant requeria que els usuaris ingressessin en una pàgina web i, prèvia comprovació mitjançant un codi CAPTCHA, accedissin a la mateixa, abans que el malware fos descarregat, d'aquesta manera es va evitar que processos automàtics puguin escanejar el malware en el correu o als enllaços inserits.

Symantec va detectar noves variants conegudes com a CryptoLocker.F. La Corporació Australiana de Broadcasting en va ser una de les víctimes prominents. Durant mitja hora, va haver d'interrompre el programa de notícies ABC News 24 i abandonar les computadores pertanyents a l'estudi de Sydney a causa de CryptoWall.

TorrentLocker n'és un altre, però més fàcils per combatre, perquè feia servir el mateix flux de claus per a cada computador, el que feia fàcil desblocar-lo. Aquest defecte és va resoldre més tard.^[6] Quan es va descobrir ja havia infectat uns nou mil ordenadors a Austràlia i 11.700 a Turquia.

CryptoWall és una varietat de ransomware que va sorgir a principis de 2014 sota el nom de CryptoDefense dirigida als sistemes operatius Microsoft Windows. Es propaga a través del correu electrònic amb suplantació d'identitat, en el qual s'utilitza programari d'explotació com a Fiesta o Magnitud per prendre el control del sistema, xifrar arxius i així demanar el pagament del rescat del computador. El rang de preus es troba entre els 500 $ i 1000 $.

El març de 2014, José Vildoza, un programador argentí, va desenvolupar una eina per recuperar els arxius de les víctimes de manera gratuïta. La recuperació d'arxius va ser possible gràcies a una falla al programa maliciós pel queles claus de xifrat quedaven guardades en l'equip afectat.^[7][8]

Quan els autors es van adonar de l'error, van actualitzar el criptovirus nomenant-ho CryptoWall, passant després per diferents actualitzacions fins a arribar a la versió 3.0.

CryptoWall 3.0 ha estat reportat des de gener de 2015 com una infecció que està sorgint on hackers russos es troben darrere d'aquesta extorsió.

TeslaCrypt és va ser eliminat, com que la clau mestra per al desxifrat dels fitxers és pública. Existeix una eina gratuïta de l'empresa ESET per desblocar ordenadors infectats.^[9]

Un grup d'investigadors de seguretat del Brasil, anomenat Morphus Labs, va descobrir un nou programari de xifrat de disc complet (FDE - Full Disk Encryption) aquesta mateixa setmana^[Quan?], anomenat Mamba. Mamba utilitza una estratègia de xifrat a nivell de disc en lloc d'un basat en arxius convencionals.

Mamba, és una serp amb un verí paralitzant. Per obtenir la clau de desxifrat, és necessari posar-se en contacte amb algú a través de l'adreça de correu electrònic. Sense això, el sistema no arrenca.

El ransomware Mamba fou identificat el 7 de setembre^[Quan?] durant un procediment de resposta a incidents per part de Renato Marinho, un expert en seguretat de Morphus Laboratories. Aquest programari de segrest utilitza el xifrat a nivell de disc que causa molt més danys que els atacs basats en arxius individuals. Els desenvolupadors criminals han utilitzat el DiskCryptor per xifrar la informaci., una eina de codi obert.

Es va fer una comparació amb el virus Petya que també utilitza disc xifrat. No obstant això, Petya xifra solament les taules mestres d'arxius (MFT) de manera que no afecta les dades en si.

Després de la reeixida infiltració, Mamba crea la seva carpeta titulada DC22 en la unitat C de l'equip on col·loca els seus arxius binaris. Un servei del sistema es crea i alberga el programari de segrest. Un nou usuari anomenat MythBusters es crea associat amb la contrasenya 123456.

També sobreescriu el registre d'inici mestre (MBR) del disc del sistema que conté el gestor d'arrencada per al sistema operatiu. Això efectivament a l'usuari fins i tot carregar el sistema operatiu sense ingressar el codi de desxifrat.

Pysa és un ransomware desenvolupat a partir del virus Mespinoza —de la mateixa naturalesa- que encripta els fitxers dels usuaris amb l'extensió .pysa —si es tractés d’un arxiu JPG, per exemple, quedaria com .jpg.pysa- i genera a l'escriptori un arxiu de text anomenat Readme.README.txt amb instruccions per procedir al rescat dels arxius.

Aquest virus va ser detectat per primer cop l’octubre del 2019, infectant institucions —majoritàriament, acadèmiques, però també sanitàries o governamentals- dels Estats Units, Regne Unit i França.

El virus —recullen BlackBerry i l’FBI- no té capacitats d’autopropagació, per tant són els desenvolupadors d’aquest virus els que s’encarreguen de dirigir els atacs cap a objectius concrets, destacant l'equip de Recerca i Intel·ligència de BlackBerry que aquests atacs eren força planificats segons la institució a atacar.

Recentment, a Catalunya, la Universitat Autònoma de Barcelona ha estat atacada per aquest virus, deixant inutilitzable tota la infraestructura informàtica i de xarxa de la institució des-del 11 d’octubre del 2021.

Igual que moltes formes de programari maliciós, els programes de seguretat les detecten una vegada que han fet el seu treball, especialment si una versió de malware és distribuïda. Si un atac es detecta de manera primerenca, es pot eliminar de manera senzilla sense donar-li temps de començar el procés d'encriptació. Experts aconsellen instal·lar programari que ajudi a blocar aquest tipus d'atacs coneguts, com així també tenir còpies de seguretat en llocs desconnectats de l'internet.

• Malvertising
• WannaCry
• Malware
• CryptoLocker
• Petya

• A. Young, M. Yung. Malicious Cryptography: Exposing Cryptovirology. Wiley, 2004. ISBN 0-7645-4975-8. 
• Russinovich, Mark. «Hunting Down and Killing Ransomware (Scareware)». Microsoft TechNet blog, 07-01-2013. Arxivat de l'original el 16 de novembre 2015. [Consulta: 13 maig 2017].
• Simonite, Tom. «Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)». MIT Technology Review, 04-02-2015. Arxivat de l'original el 27 de novembre 2015. [Consulta: 13 maig 2017].
• Brad, Duncan. «Exploit Kits and CryptoWall 3.0». The Rackspace Blog! & NewsRoom, 02-03-2015. Arxivat de l'original el 2015-09-24. [Consulta: 13 maig 2017].
• «Ransomware on the Rise». The Federal Bureau of Investigation JANUARY 2015.
• Yang, T.; Yang, Y.; Qian, K.; Lo, D.C.T.; Qian, L. «http%3A%2F%2Fieeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D7336353 Automated Detection and Analysis for Android Ransomware». IEEE Internet of Things Journal, CONFERENCE, AUGUST 2015.
• Richet, Jean-Loup. «Extortion on the Internet: the Rise of Crypto-Ransomware». Harvard.

A Wikimedia Commons hi ha contingut multimèdia relatiu a: Programari de segrest

• Associació Nacional Afectats Internet i Noves Tecnologies, Ajuden a recuperar els teus diners estafats.
• Servei públic i gratuït antiransomware de INCIBE, Ajuden a desxifrar la informació i informen sobre mesures de prevenció per no veure's afectat.* Malicious Software a Curlie