Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport oparty na danych systemu KSN: Oprogramowanie ransomware w okresie 2014-2016

Tagi:

Podsumowanie i główne wyniki

Ransomware to rodzaj szkodliwego oprogramowania, które po zainfekowaniu urządzenia blokuje dostęp do niego lub do niektórych lub wszystkich przechowywanych na nim informacji. W celu odblokowania urządzenia lub odzyskania dostępu do danych użytkownik musi zapłacić okup, zwykle w bitcoinach lub innej popularnej e-walucie. Przedstawiony raport dotyczy ewolucji tego zagrożenia na przestrzeni ostatnich dwóch lat.    

Metodologia:

Raport został przygotowany na podstawie zdepersonalizowanych danych przetworzonych przez Kaspersky Security Network (KSN). Mierniki opierają się na liczbie indywidualnych użytkowników produktów firmy Kaspersky Lab z włączoną funkcją KSN, którzy w badanym okresie co najmniej jeden raz zetknęli się z oprogramowaniem ransomware. Termin ransomware obejmuje głównie dwa typy szkodliwego oprogramowania: tzw. blockery systemu Windows (blokują system operacyjny lub przeglądarkę przy użyciu okienka wyskakującego) oraz ransomware szyfrujące. Kategoria ta obejmuje również wybrane grupy trojanów downloaderów, a mianowicie te, które po infekcji komputera PC pobierają oprogramowanie szyfrujące żądające okupu. Obecnie ransomware szyfrujące jest powszechnie uważane za równoznaczne z oprogramowaniem ransomware, chociaż, według statystyk Kaspersky Lab, liczba użytkowników, którzy regularnie trafiają na programy blokujące ekrany, pozostaje wysoka.     

Główne wyniki raportu:

  • Łączna liczba użytkowników, którzy zetknęli się z oprogramowaniem ransomware w okresie od kwietnia 2015 r. do marca 2016 r. wzrosła o 17,7% w porównaniu z poprzednim okresem 12 miesięcy (kwiecień 2014 r. – marzec 2015 r.) – z 1 967 784 do 2 315 931 użytkowników na całym świecie;   
  • Odsetek użytkowników, którzy przynajmniej jeden raz mieli styczność z oprogramowaniem ransomware, w stosunku do łącznej liczby użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem, wzrósł o 0,7 punktu procentowego, z 3,63% w okresie 2014-2015 do 4,34% w okresie 2015-2016;   
  • Wśród tych, którzy zostali dotknięci oprogramowaniem ransomware, odsetek użytkowników, którzy zetknęli się z programami szyfrującymi, znacznie wzrósł – o 25 punktów procentowych, z 6,6% w okresie 2014-2015 do 31,6% w okresie 2015-2016;  
  • Liczba użytkowników zaatakowanych przy użyciu programów szyfrujących zwiększyła się 5,5 raza, z 131 111 w okresie 2014-2015 do 718 536 w okresie 2015-2016;
  • Liczba użytkowników zaatakowanych przy użyciu programów blokujących urządzenia z systemem Windows (Win-lockers) zmniejszyła się o 13,03%, z 1 836 673 w okresie 2014-2015 do 1 597 395 w okresie 2015-2016;

Wprowadzenie: krótka historia oprogramowania ransomware

Chociaż dopiero teraz zaczęło powszechnie zwracać uwagę mediów oraz społeczności związanej z bezpieczeństwem, oprogramowanie ransomware (w tym crypto-ransomware) jako rodzaj szkodliwego oprogramowania znane jest od lat: przynajmniej od 1989 roku, gdy wykryto pierwszego znanego szkodnika potrafiącego szyfrować nazwy plików (trojan AIDS). 

Kolejny przykład szkodliwego oprogramowania wyłudzającego okup został wykryty przez badaczy bezpieczeństwa już w połowie pierwszej dekady XXI wieku. Był to szkodnik Gpcode, który potrafił szyfrować pliki na zainfekowanych maszynach przy użyciu własnego algorytmu szyfrowania. Po Gpcodzie pojawiło się kilka kolejnych rodzin, takich jak Krotten, Cryzip itd. Co jakiś czas pojawiał się kolejny naśladowca lub nieco inna wersja Gpcoda. Aktywność takich programów powodowała stosunkowo niezbyt duże incydenty, nigdy jednak nie była przyczyną epidemii.     

Sytuacja nie zmieniła się przez lata.

Epidemia programów blokujących ekrany

Pierwsza prawdziwa epidemia oprogramowania ransomware miała miejsce w 2010 roku, gdy tysiące użytkowników indywidualnych w Rosji i niektórych państwach sąsiednich znalazło się w sytuacji, gdy wszystkie okna na ich komputerze zostały zasłonięte oknem oprogramowania szyfrującego. Okna te zawierały zwykle wiadomość od cyberprzestępców, w której żądali oni od ofiary wysłania pieniędzy na określony numer SMS Premium w celu odblokowania ekranu lub przeglądarki zainfekowanego komputera. 

Problem osiągnął tak dużą skalę, a liczba ofiar była tak znacząca, że skłonił organy ścigania do zaangażowania się w tę sprawę i zwrócił uwagę mediów w Rosji, od telewizji po blogosferę. Operatorzy telefonii komórkowej robili co w ich mocy, aby walczyć z tym zagrożeniem, wprowadzając nowe zasady rejestrowania i obsługi numerów premium rate (krótkich numerów), blokując konta, które były wykorzystywane do popełniania oszustw i informując swoich klientów o tego rodzaju oszustwach.

Pod koniec sierpnia 2010 r. w Moskwie aresztowano kilka osób, które oskarżono o tworzenie programów blokujących. Według rosyjskiego ministra ds. wewnętrznych, nielegalne przychody generowane przez to ugrupowanie przestępcze szacuje się na 500 milionów rubli (około 12,5 milionów euro). 

Wzrost liczby programów blokujących (blocker) spowodowany był głównie tym, że tworzenie szkodliwego oprogramowania potrafiącego blokować przeglądarkę systemu operacyjnego lub desktopu nie wymagało znaczących umiejętności programistycznych i generowało stosunkowo pewne dochody dla przestępców. Na forach podziemia dostępne były stosunkowo łatwe zestawy typu DIY do tworzenia programów blokujących, co przyciągnęło uwagę wielu cyberprzestępców o niezbyt zaawansowanych umiejętnościach.           

Reakcja branży bezpieczeństwa i organów ścigania była szybka: aresztowanie ugrupowania w połączeniu z udostępnieniem wielu usług oferujących darmowe odblokowanie zablokowanych systemów spowodowało, że działania przestępców zmierzające do wyłudzenia w ten sposób pieniędzy stały się zarówno ryzykowne jak i mniej opłacalne. Mimo to, programy blokujące ekrany do dzisiaj stanowią część krajobrazu zagrożeń – co pokazano w raporcie.     

Pod koniec 2010 roku badacze z Kaspersky Lab przewidywali, że mimo aresztowań problem prawdopodobnie nie zniknie. Eksperci przypuszczali, że w celu otrzymania zapłaty za „odblokowanie” komputerów swoich ofiar cyberprzestępcy będą po prostu stosowali inne metody, takie jak elektroniczne systemy pieniężne.  

Dokładnie to miało miejsce kilka lat później, gdy nastąpił wielki powrót oprogramowania ransomware.

Ransomware powraca wraz z szyfrowaniem

Największa różnica pomiędzy tymi dwoma typami oprogramowania ransomware: blokującym ekrany i szyfrującym dane, polega na tym, że szkody wyrządzone przez oprogramowanie pierwszego typu są całkowicie odwracalne. Nawet gdy się ziścił najgorszy scenariusz, właściciel zainfekowanego komputera PC mógł po prostu przeinstalować system operacyjny, aby odzyskać wszystkie pliki. Ponadto, sposób działania programów blokujących umożliwia badaczom bezpieczeństwa opracowanie zautomatyzowanych technologii pomagających zwalczać programy blokujące nawet po infekcji. Jedna z takich opatentowanych technologii jest zaimplementowana w produktach firmy Kaspersky Lab i zasadniczo powstrzymuje zagrożenie dla klientów firmy Kaspersky Lab.    

Jednak w przypadku oprogramowania ransomware szyfrującego, sprawa jest znacznie bardziej skomplikowana, ponieważ zaszyfrowanych plików nie da się odszyfrować bez specjalnego klucza, który jest zwykle przechowywany na serwerach cyberprzestępców. Dlatego proaktywne podejście do bezpieczeństwa staje się ważniejsze niż kiedykolwiek wcześniej.

Poważne konsekwencje skutecznej infekcji to jedna z przyczyn ponownego wzrostu popularności oprogramowania ransomware szyfrującego wśród cyberprzestępców. Jednak nie jedyna. Zawarta w tym raporcie analiza jest próbą oceny skali problemu oraz wskazania możliwych przyczyn powrotu tego oprogramowania niemal dziesięć lat od momentu, gdy pojawił się pierwszy program ransomware szyfrujący.

Część 1. Oprogramowanie ransomware dla komputerów PC: od blokującego ekrany po crypto-ransomware

Nie trzeba spoglądać na statystyki, aby zobaczyć, że ransomware po raz kolejny stanowi poważny problem dla użytkowników internetu. Wystarczy tylko czytać lub oglądać wiadomości. Jednak statystyki pomagają ukazać skalę problemu i sprawdzić, czy istnieją pewne aspekty, których nie można dowiedzieć się z kolejnego doniesienia medialnego o kolejnej infekcji ransomware. 

Łączna liczba użytkowników, którzy mieli styczność z oprogramowaniem ransomware na przestrzeni 12 miesięcy od kwietnia 2015 r. do marca 2016 r. zwiększyła się o 17,7% w porównaniu z poprzednim rokiem: od kwietnia 2014 r. do marca 2015 r. Liczba takich użytkowników na całym świecie zwiększyła się z 1 967 784 do 2 315 931.  

Odsetek użytkowników, którzy co najmniej raz zetknęli się z oprogramowaniem ransomware, w stosunku do wszystkich użytkowników, którzy mieli styczność ze szkodliwym oprogramowaniem, zwiększył się o 0,7 punktu procentowego - z 3,63% w okresie 2014-2015 do 4,34% w okresie 2015-2016. 

Poniższe wykresy ilustrują zmianę liczby użytkowników, którzy co najmniej raz zetknęli się z oprogramowaniem ransomware na przestrzeni 24 miesięcy objętych tym raportem. Jak widać na rys. 1, przewaga oprogramowania ransomware była sporadyczna, a ilość tego oprogramowania odnotowywała wzrosty i spadki co kilka miesięcy. Większa konsekwencja cechowała wzrost wykorzystywania szkodliwego oprogramowania kryptograficznego: odnotowaliśmy stały wzrost liczby zaatakowanych użytkowników, szczególnie od marca 2015 r., który osiągnął wartość szczytową w grudniu 2015 r. Co ciekawe, od października 2015 r. znacznie spadła liczba wszystkich innych rodzajów oprogramowania ransomware, a przed końcem roku tylko niewielka liczba użytkowników zetknęła się z programami blokującymi ekrany oraz innym oprogramowaniem ransomware, które nie szyfruje danych.     

01_auto.png

Rys. 1: Liczba użytkowników, którzy co najmniej raz zetknęli się z oprogramowaniem  ransomware (łącznie z oprogramowaniem szyfrującym i typu downloader, które ładuje programy szyfrujące) w okresie od kwietnia 2014 r. do marca 2016 roku.

Spadek ten nie trwał długo. W lutym 2016 roku obie kategorie zaczęły odrabiać straty po dramatycznym spadku w styczniu, a ilość tego rodzaju zagrożeń wciąż rośnie.

02_auto.png

Rys. 2. Liczba użytkowników zaatakowanych przy użyciu dowolnego szkodliwego oprogramowania w okresie 2014-2016

Jak pokazuje rys. 2, zachowanie oprogramowania ransomware nie odzwierciedla ogólnych trendów dot. ataków. Aby odkryć możliwe przyczyny tendencji wzrostowej i spadkowej, musimy dokładniej przyjrzeć się statystykom dotyczącym ataków przy użyciu oprogramowania ransomware.

Pierwszy znaczący wzrost w badanym okresie został odnotowany w lipcu 2014 r., gdy ponad 274 tysięcy użytkowników zetknęło się z pewną formą oprogramowania ransomware. Głównym powodem tego wzrostu był Trojan-Ransom.JS.SMSer.pn - program blokujący ekran przeglądarki, który zaatakował więcej niż jedną osobę na trzy (31%) spośród tych dotkniętych oprogramowaniem ransomware we wspomnianym miesiącu. Z programami szyfrującymi zetknęła się jedna na dziesięć (11,63%) osób, które miały styczność ze szkodliwym oprogramowaniem z kategorii trojan ransomware.   

Kolejny szczytowy wzrost został odnotowany w kwietniu 2015 roku, gdy 282,5 tysięcy użytkowników zostało zaatakowanych przy użyciu oprogramowania ransomware. Do wzrostu tego przyczyniło się kilka grup szkodliwego oprogramowania, przy czym 10% zaatakowanych użytkowników zetknęło się z oprogramowaniem ransomware szyfrującym.     

W październiku 2015 roku odnotowano rekordowo wysoką ilość oprogramowania ransomware: zaatakowanych zostało 428,4 tysięcy użytkowników, z czego 9,38% przy użyciu oprogramowania ransomware szyfrującego. W marcu 2016 roku, gdy miał miejsce kolejny wzrost liczby ataków przy użyciu ransomware, sytuacja wyglądała zupełnie inaczej: ponad połowa (51,9%) użytkowników, którzy zetknęli się z trojanem wyłudzającym okup, miała do czynienia z programami szyfrującymi dane. Była to głównie aktywność niewielkiej liczby grup ransomware, wśród których prym wiodło, między innymi, niesławne oprogramowanie ransomware szyfrujące TeslaCrypt. 

Wyniki dla okresu od kwietnia do maja 2016 r. – chociaż wykraczają poza zakres tego raportu -  potwierdzają zidentyfikowany trend: oprogramowanie ransomware szyfrujące dotknęło 54% zaatakowanych użytkowników w kwietniu 2016 r. i 35,7% w maju – co znacząco przewyższa średnią dla poprzednich 12 miesięcy.

Główni aktorzy na scenie oprogramowania ransomware szyfrującego

Analiza grup szkodliwego oprogramowania, które były aktywne w okresie objętym tym raportem, pokazuje, że za większość problemów spowodowanych przez crypto-ransomware odpowiada dość wąskie grono „podejrzanych”. W pierwszym okresie, od kwietnia 2014 r. do marca 2015 r. najaktywniej rozprzestrzeniane programy szyfrujące należały do następujących grup szkodliwego oprogramowania: CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura oraz Shade. Szkodniki te zdołały zaatakować 101 568 użytkowników na całym świecie, co stanowi 77,48% wszystkich użytkowników zaatakowanych przy użyciu oprogramowania crypto-ransomware w badanym okresie.   

03_auto.png

Rys. 3: Rozkład użytkowników zaatakowanych przy użyciu różnych grup oprogramowania ransomware szyfrującego w okresie 2014-2015

Rok później sytuacja zmieniła się diametralnie. TeslaCrypt, wraz z programem CTB-Locker, Scatter oraz Cryakl odpowiadały za ataki na 79,21% użytkowników, którzy zetknęli się z jakimkolwiek oprogramowaniem crypto-ransomware.   

04_auto.png

Rys. 4: Rozkład użytkowników zaatakowanych przy użyciu różnych grup oprogramowania ransomware szyfrującego w okresie 2015-2016  

Co ciekawe, w okresie 2015-2016 kategoria „Inne” odnotowała spadek do 2,41% zaatakowanych użytkowników, podczas gdy rok wcześniej, odpowiadała za 22,55% zaatakowanych użytkowników. Spadek ten może być oznaką rozwoju infrastruktury „criminal-to-criminal”. Zamiast tworzyć własne, unikatowe oprogramowanie crypto-ransomware, przestępcy zaczęli kupować „gotowe do natychmiastowego użytku” szkodliwe oprogramowanie. Więcej na temat tego procesu można przeczytać w sekcji tego raportu “Jak to się robi”. Wcześniej jednak przyjrzyjmy się, na jakiego typu użytkowników polowali cyberprzestępcy wykorzystujący oprogramowanie ransomware.   

Typ użytkowników zaatakowanych przy użyciu oprogramowania ransomware

Większość ataków przy użyciu oprogramowania ransomware jest skierowanych przeciwko użytkownikom indywidualnym. Tak było w przypadku epidemii wywołanej przez program blokujący ekrany na obszarach byłego Związku Radzieckiego w 2010 roku oraz w pierwszym okresie objętym tym raportem. 93,2% użytkowników, którzy zetknęli się z oprogramowaniem ransomware, stanowiło użytkowników produktów do użytku domowego, podczas gdy pozostałe 6,8% to użytkownicy korporacyjni. Jednak w drugim okresie udział użytkowników korporacyjnych zaatakowanych przy użyciu oprogramowania ransomware zwiększył się ponad dwukrotnie do 13,13% - co stanowi wzrost o ponad 6 punktów procentowych. A wszystko to „dzięki” oprogramowaniu ransomware szyfrującemu.      

05_auto.png

Rys. 5: Typ użytkowników, którzy zetknęli się z oprogramowaniem ransomware w okresie 2014-2016

Inaczej wygląda sytuacja w przypadku oprogramowania crypto-ransomware: w ciągu 24 miesięcy objętych raportem udział użytkowników korporacyjnych zaatakowanych przy użyciu oprogramowania ransomware szyfrującego utrzymywał się na stałym poziomie wynoszącym około 20% (zwiększając się tylko nieznacznie do 22,07% w okresie 2015-2016). Jednak ta pozorna stabilność nie znalazła odzwierciedlenia w rzeczywistych danych liczbowych.

Liczba użytkowników korporacyjnych zaatakowanych przy użyciu oprogramowania crypto-ransomware wzrosła niemal sześciokrotnie (5,86 razy): z 27 tysięcy w okresie 2014-2015 do 158,6 tysięcy w okresie 2015-2016. Problem ten dotknął w niemal równym stopniu użytkowników indywidualnych: liczba tych, którzy zostali zaatakowani, zwiększyła się 5,37 razy.

Rozkład geograficzny

Analizując rozkład geograficzny zaatakowanych użytkowników należy pamiętać, że ich liczba zależy od rozkładu klientów firmy Kaspersky Lab na całym świecie.

Dlatego, aby dokładnie zrozumieć, gdzie mieszka większość użytkowników zaatakowanych przy użyciu oprogramowania ransomware, zastosowaliśmy specjalne mierniki: odsetek użytkowników zaatakowanych przy użyciu ransomware jako udział użytkowników zaatakowanych przy użyciu dowolnego rodzaju szkodliwego oprogramowania. Uważamy, że możemy uzyskać w ten sposób znacznie dokładniejszy obraz krajobrazu zagrożeń niż poprzez bezpośrednie porównanie między użytkownikami zaatakowanymi przez ransomware w każdym terytorium.

W okresie 2014-2015 lista państw o najwyższym udziale użytkowników zaatakowanych przy użyciu ransomware kształtowała się następująco:

Państwo

% użytkowników zaatakowanych przy użyciu ransomware w stosunku do wszystkich użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem

Kazachstan

6,99%

Algieria

6,23%

Ukraina

5,87%

Włochy

4,69%

Federacja Rosyjska

4,63%

Wietnam

3,86%

Indie

3,77%

Niemcy

3,00%

Brazylia

2,60%

Stany Zjednoczone

2,07%

Rys. 6: Lista państw o największym udziale użytkowników zaatakowanych przy użyciu ransomware jako odsetek wszystkich użytkowników zaatakowanych przy użyciu dowolnego rodzaju szkodliwego oprogramowania w okresie  2014-2015

Najwyższe pozycje na liście zajmowały Kazachstan, Algieria, Ukraina, Włochy oraz Rosja. Odsetek zaatakowanych użytkowników w tych państwach przekraczał 4%.

Rok później sytuacja zmieniła się znacząco. Indie awansowały z 7 miejsca na 1, przy czym udział zaatakowanych użytkowników w tym państwie wynosił 9,6%. Wzrost (do 6,41%) odnotowano również w udziale rosyjskich użytkowników, ale także w Kazachstanie, we Włoszech, w Niemczech, w Wietnamie i Algierii. W poprzednim roku wszystkie te państwa znajdowały się w drugiej połowie rankingu Top 10.    

Państwo

% użytkowników zaatakowanych przy użyciu ransomware
w stosunku do wszystkich użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem

Indie

9,60%

Federacja Rosyjska

6,41%

Kazachstan

5,75%

Włochy

5,25%

Niemcy

4,26%

Wietnam

3,96%

Algieria

3,90%

Brazylia

3,72%

Ukraina

3,72%

Stany Zjednoczone

1,41%

Rys. 7 Lista państw o największym udziale użytkowników zaatakowanych przy użyciu ransomware jako odsetek wszystkich użytkowników zaatakowanych przy użyciu dowolnego rodzaju szkodliwego oprogramowania w okresie 2015-2016

Spośród tych państw Indie, Brazylia, Rosja i Niemcy znalazły się na szczycie listy państw o największym wzroście liczby zaatakowanych użytkowników, podczas gdy wyraźny spadek odnotowano w Stanach Zjednoczonych, Wietnamie, Algierii, na Ukrainie i w Kazachstanie.

Państwo

2014-2015

2015-2016

Zmiana z roku na rok

Federacja Rosyjska

562190

867651

wzrost o 54,33%

Indie

143973

325638

wzrost o 126,18%

Stany Zjednoczone

107755

55679

spadek o 48,33%

Niemcy

102289

138750

wzrost o 35,65%

Wietnam

96092

89247

spadek o 7,12%

Ukraina

69220

39246

spadek o 43,3%

Kazachstan

62719

39179

spadek o 37,53%

Algieria

61623

38530

spadek o 37,43%

Włochy

49400

59130

wzrost o 19,7%

Brazylia

43674

70078

wzrost o 60,46%

Rys. 8 Zmiana z roku na rok pod względem liczby użytkowników zaatakowanych przy użyciu dowolnego rodzaju oprogramowania ransomware

Powyższe liczby potwierdzają, że miała miejsce zmiana w całej kategorii trojanów wyłudzających okup. Jeśli przyjrzymy się dokładniej udziałowi użytkowników zaatakowanych przy użyciu tego rodzaju szkodliwego oprogramowania, którzy doświadczyli ataku ze strony ransomware szyfrującego, obraz kształtuje się zupełnie inaczej.

Państwo

% użytkowników zaatakowanych przy użyciu oprogramowania ransomware szyfrującego w okresie 2014-2015

% użytkowników zaatakowanych przy użyciu ransomware szyfrującego w okresie 2015-2016

Federacja Rosyjska

6,09%

20,43%

Indie

3,34%

6,93%

Stany Zjednoczone

14,27%

39,79 %

Niemcy

4,64%

94,41%

Wietnam

2,32%

22,87 %

Ukraina

1,34%

28,86%

Kazachstan

1,14%

25,59%

Algieria

1,18%

13,48 %

Włochy

8,93%

89,7%

Brazylia

2,56%

31,83%

Inne

41,16%

46,3%

Rys. 9: Zmiana z roku na rok udziału użytkowników zaatakowanych przy użyciu oprogramowania ransomware szyfrującego jako odsetek użytkowników zaatakowanych przy użyciu dowolnego rodzaju oprogramowania ransomware

Dziesięć państw z powyższej listy stanowiło 64,14% wszystkich użytkowników, którzy zetknęli się z dowolnym rodzajem oprogramowania ransomware, i 52,83% tych, którzy zetknęli się oprogramowaniem ransomware szyfrującym dane. W okresie 2015-2016 odsetki te wzrosły odpowiednio do 64,57% i 61,32%  

Na rysunku 9 widać wyraźnie, że w okresie 2014-2015 oprogramowanie ransomware szyfrujące stanowiło w większości państw (z wyjątkiem Stanów Zjednoczonych) kolejny rodzaj ransomware o stosunkowo niewielkim odsetku zaatakowanych użytkowników. Rok później ransomware szyfrujące stało się znacznie bardziej widoczne w krajobrazie zagrożeń, zwiększając swój udział ataków o dobre ponad 20% w niektórych państwach (Stany Zjednoczone, Brazylia, Kazachstan, Ukraina, Wietnam i Rosja). W niektórych państwach, takich jak Niemcy i Włochy, oprogramowanie ransomware szyfrujące stało się niemal tożsame z kategorią trojan ransomware.  

Zamykając kwestię rozkładu geograficznego, można powiedzieć, że o ile udział użytkowników zaatakowanych przy użyciu szkodliwego oprogramowania z kategorii trojan ransom zmienił się w niewielkim stopniu, rzeczywista liczba zaatakowanych użytkowników zwiększyła się o dwie cyfry. Chociaż w niektórych państwach spadła liczba użytkowników zaatakowanych przy użyciu dowolnego rodzaju oprogramowania ransomware, w żadnym spośród tych na liście nie zmniejszył się udziału użytkowników zaatakowanych przy użyciu oprogramowania ransomware szyfrującego. To naturalnie nie daje jednoznacznej odpowiedzi na pytanie: Czy rzeczywista liczba użytkowników zaatakowanych przy użyciu oprogramowania ransomware szyfrującego wzrosła w tych państwach, czy też wzrost udziału użytkowników zaatakowanych przy użyciu szyfrowania wynikał po prostu z mniejszej liczby użytkowników zaatakowanych przy użyciu ransomware blokującego ekrany? Jak widać na rys. 10, odpowiedź na to pytanie jest twierdząca, przy czym w niektórych państwach, takich jak Niemcy, Brazylia, Ukraina, Kazachstan czy Włochy, współczynnik wzrostu był niezwykle wysoki, co oznacza naturalnie, że zwłaszcza w tych krajach użytkownicy powinni zachować szczególną ostrożność podczas surfowania po sieci.    

Państwo

2014-2015

2015-2016

Zmiana z roku na rok

Federacja Rosyjska

34226

177249

+5,18

Indie

4803

22572

+4,70

Stany Zjednoczone

15380

22155

+1,44

Niemcy

4744

96566

+20,36

Wietnam

2230

20409

+9,15

Ukraina

925

11257

+12,17

Kazachstan

716

10025

+14,00

Algieria

728

5195

+7,14

Włochy

4412

53039

+12,02

Brazylia

1116

22307

+19,99

Inne

61853

277962

+4,49

Rys. 10: wzrost rok do roku współczynnika użytkowników zaatakowanych przy użyciu oprogramowania ransomware szyfrującego w 10 państwach o najwyższym udziale takich użytkowników

Ciąg dalszy nastąpi.