Ransomware zadręcza Androida

Przeczytaj także: Mobilny ransomware nęka kraje rozwinięte

W minionym roku złośliwe oprogramowanie ransomware ponownie nie odpuszczało. Dawały o sobie znać zmasowane ataki w rodzaju Petya, czy WannaCryptor, które doprowadziły do szkód liczonych w milionach dolarów. Okazuje się jednak, że na celowniku cyberprzestępców znalazły się nie tylko dane przechowywane na komputerach.

U schyłku minionego października Lukáš Štefanko, jeden z ekspertów ds. szkodliwego oprogramowania z firmy ESET, dokonał odkrycia jednego z najgroźniejszych zagrożeń szyfrujących dane, którego celem były telefony pracujące w oparciu o system Android. Był to DoubleLocker - ransomware, który nie tylko był w stanie zmienić PIN zainfekowanego urządzenia, blokując tym samym dostęp do niego, ale również zaszyfrować zapisane na nim dane i żądać okupu za ich odblokowanie. O tym, jak bolesnym doświadczeniem może być utrata dostępu do swoich zdjęć, SMS czy wiadomości na Messengerze nie trzeba chyba nikogo przekonywać. Doublelocker rozpowszechniany jest za pośrednictwem fałszywych wersji aplikacji Adobe Flash Player, udostępnianych poza oficjalnym sklepem Google Play.

- To tylko jeden ze sposobów rozprzestrzeniania się ransomware. Złośliwe oprogramowanie może być dystrybuowane poprzez strony internetowe, linki w wiadomościach e-mail lub SMS, ale także przez zaufane sklepy z aplikacjami, jak na przykład Google Play. Uwaga, ransomware może przypominać jedną ze znanych aplikacji. W trakcie instalacji najczęściej prosi ona o zgodę na dostęp do różnych funkcji telefonu, by móc przejąć nad nim kontrolę – tłumaczy Kamil Sadkowski, analityk zagrożeń z ESET.

Jak wskazują eksperci z ESET, ransomware to nie tylko zagrożenia szyfrujące dane, ale także takie, które uniemożliwiają odblokowania telefonu. Jednym z nich w przeszłości był Jisut, który blokował ekran grafiką i mówił w języku chińskim do użytkownika: „gratulacje”. Następnie prosił o wpłacenie 6 dolarów za jego odblokowanie. Kolejnym takim zagrożeniem był Lockerpin, którego można było pobrać wraz z aplikacjami do oglądania filmów „dla dorosłych”. Po aktywowaniu ransomware zmieniał numer PIN urządzenia oraz wyświetlał rzekomy komunikat FBI o tym, że pornografia jest karalna, grożąc, że screeny z telefonu zostaną przekazane śledczym, jeśli użytkownik nie wpłaci 500 dolarów okupu.

- Niektóre z zagrożeń ransomware, jak na przykład DoubleLocker, wykorzystują bardzo silną metodę szyfrowania (algorytm AES), dlatego w większości przypadków nie ma możliwości odzyskania plików bez wykorzystania klucza szyfrującego, uzyskanego wcześniej od twórców zagrożenia – tłumaczy Kamil Sadkowski, analityk zagrożeń z ESET.

Co zrobić w przypadku ataku ransomware na twój telefon?

Jeśli Twój telefon został zainfekowany oprogramowaniem żądającym okupu, eksperci z ESET odradzają wpłacania jakichkolwiek środków. Nie ma bowiem żadnej gwarancji, że uda się uzyskać dostęp do urządzenia. Jak wskazuje Kamil Sadkowski z ESET, istnieje jednak kilka sposobów na pozbycie się złośliwych wirusów.

- W przypadku ataku ransomware blokującego ekran, można usunąć złośliwą aplikację, włączając w telefonie tryb awaryjny. Jeśli oprogramowanie ransomware z uprawnieniami administratora urządzenia zablokowało urządzenie za pomocą nieznanego kodu PIN lub hasła, sytuacja staje się bardziej skomplikowana. Wówczas możliwe jest zresetowanie blokady za pomocą Android Device Managera lub alternatywnego rozwiązania MDM. W przypadku ataku szyfrującego dane najprawdopodobniej nie uda Ci się ich odzyskać. Chyba że posiadasz kopię zapasową danych – dodaje Sadkowski.