Apel (nejen) k odborné veřejnosti: kryptovirus není synonymem pro ransomware, tak jej tak nepoužívejme

07-01-2020 / V kategoriích: Novinky, 2020

Emotet, Malware, Ransomware, Ryuk, Trickbot, Virus

V souvislosti s nedávnými událostmi v benešovské nemocnici a firmě OKD se v médiích objevilo mnoho článků a komentářů, v nichž je skloňován pojem ransomware. Bohužel jak zástupci médií, tak odborné veřejnosti, se v rámci nich velmi často vyjadřovali i v tom smyslu, že relevantní systémy byly postiženy “kryptovirem”. Pojem kryptovirus sice skutečlně existuje, neb se ale rozhodně nejedná o synonymum k termínu ransomware, i komentáře odborníků působily, poměrně paradoxně, spíše neodborným dojmem…

Pojďme se teď podívat tři základní termíny trochu blíže a ukázat si, kde leží problém.

Vzhledem k tomu, že s viry odpovídajícími výše uvedené definici Fredericka Cohena (tzv. souborovými viry) se dnes již v podstatě nepotkáme, znamená to, že ani žádný současný ransomware dle této definice není virem. Nepřipojuje se totiž k žádnému jinému programu.

Co ale pokud bychom se výše uvedené definice viru rigidně nedrželi a použili definici o něco širší? Jako vhodná se zdá být “vítězná” definice z časopisu Alive z roku 1994, která říká, že počítačový virus je “sekvence (nebo skupina sekvencí) symbolů, které, jsou-li spuštěny či interpretovány za určitých podmínek nebo v určitých prostředích, vytvoří - případně změněnou - funkčně podobnou kopii této sekvence (nebo souboru sekvencí) a umístí tuto kopii tam, kde bude moci být spuštěna či interpretována za určitých podmínek později. Toto chování se označuje jako ‘REPLIKACE’ a kopie si zachovává ALESPOŇ schopnost rekurzivně se replikovat dále. Virus může mít také další funkci (či funkce) nesouvisející s replikací a občas označovanou ‘payload’, to ale NENÍ nutné, aby něco bylo virem”.

V tomto případě se nám pod definici viru už poměrně dobře “schovají” i počítačové červy, tedy malware, který se dokáže sám šířit/replikovat, ale nekopíruje se přímo do jiného programu. A neb známý ransomware WannaCry nejen šifruje data, ale dokáže se jako červ (a tedy virus) i sám šířit/replikovat, můžeme jej dle zmíněné volnější definice označit i za kryptovirus. Neznamená to tedy, že výroky o kryptovirech v souvislosti s benešovskou nemocnicí a OKD jsou na místě?

Ne. WannaCry byl totiž jedním z velmi malého počtu moderních ransomwarů a pseudo-ransomwarů, které byly schopny sami se šířit a které tak splňovaly definici viru. Převážná většina moderního vyděračského softwaru je distribuována buď s pomocí e-mailů, exploit kitů, nebo prostřednictvím jiného škodlivého kódu. Poslední uvedený mechanismus je používaný i pro distribuci ransomwaru Ryuk - ten se sám šířit nedokáže a bývá na koncové systémy instalovaný v rámci jejich kompromitace škodlivými programy Emotet a TrickBot.

V souvislosti s vydáním varování Vládního CERT k trojici Emotet, TrickBot a Ryuk mnozí spekulují, že právě Ryuk je ransomwarem, který postihnul obě zmíněné instituce. Ať šlo v jejich případě o Ryuk nebo nikoli, lze téměř s jistotou říci, že ransomware, který postihnul jmenované instituce, téměř jistě nebyl kryptovirem a tedy používání tohoto termínu rozhodně není na místě.

Můžete namítnout, že jde pouze o slovíčkaření. Dovolím si nicméně tvrdit, že tomu tak není a že situace je stejná, jako kdyby si lékař pletl bakteriální a virovou infekci. I přes to, že spolu mají mnoho společného, zdravotníka, který by neznal rozdíly mezi nimi, by zcela jistě nikdo nechtěl jako svého ošetřujícího lékaře…

Pokud patříte k odborné veřejnosti a ve výše uvedeném smyslu jste se sami vyjádřili, neberte prosím výše uvedené řádky jako atak na svou osobu, ale jen jako snahu o udržení korektní terminologie v rámci odvětví, kde na tuto oblast není vždy kladen dostatečný důraz.