Konačni cilj ovakvih programa nije da onesposobe sam računar ili prouzrokuju štetu u komunikacionim kanalima, već da onemoguće korisniku pristup dokumentima od značaja. Način na koji se ovo ostvaruje je primjena kriptografskih algoritama na dokumente računara žrtve. Primjenom navedenih algoritama sadržaj dokumenata se transformiše u naizgled nasumičan niz karaktera i postaje neupotrebljiv sve dok se ne izvrši povratna transformacija. Za povratnu transformaciju dokumenata potrebno je posjedovati određeni kriptografski ključ, ovaj ključ se nalazi u vlasništvu kriminalnog lica. Program koristi jake kriptografske algoritme te je povratak dokumenata bez kriptografskog ključa praktično nemoguć. Korupcija dokumenata možda ne zvuči kao velika stvar za kućne računare, ali u poslovnim okruženjima može dovesti do gubitka podataka koji su vitalni za funkcionisanje preduzeća.
Nakon završenog procesa kriptografskih transformacija žrtva će dobiti obavještenje putem tekstualnog dokumenta ili slike. Obavještenje sadrži uputstva za uplatu bitcoina i proceduru za povratak dokumenata nakon uplate.
Nova prijetnja
Posljednja prijetnja ovog tipa je takozvani locky ransomware. Rasprostranjenost ove prijetnje drastično raste u posljednjih 10 dana, a pogođeni su i mnogobrojni korisnici u našem regionu. Ovaj ransomware prati opisani šablon ali su sofisticiran metod širenja i adaptivnost doprinjeli ekstremnoj brzini ekspanzije prijetnje.
Locky se korisniku prezentuje najčešće putem email-a. Naslov emaila je najčešće “Faktura XXXXX….” Ili ekvivalent ovog naslova na nekom drugom jeziku, Gdje XXXXX predstavlja nasumičan niz brojeva i slova. Sam sadržaj maila je kratak tekst koji bi trebao korisnika da ubjedi da preuzme dokument koji je pridružen mailu. Dokument je najčešće word ili kompresovana datoteka. Nakon preuzimanja i pokretanja datoteke program kontaktira udaljeni server i sa njega dobavlja dodatne instrukcije i kod, tada počinje sa procesom pretrage računara korisnika, kao i djeljenih mrežnih resursa i pokreće kriptografske transformacije nad pronađenim dokumentima. U slučaju word dokumenta, od korisnika će se zahtjevati da omogući macro funkcionalnost kako bi dobio korektan prikaz, ova funkcionalnost omogućava programu da izvrši svoj maliciozni zadatak.
Mjere odbrane
Najbolji način borbe protiv ovakvih prijetnji je informisanost korisnika, backup podataka te redovno ažuriranje softvera za odbranu. Savjetujemo da ukoliko to već ne radite, počnete da održavate redovne kopije svojih podataka na alternativnim lokacijama, kako bi se što bezbolnije oporavili od ovakvih prijetnji.