Ekans został zarejestrowany jeszcze w grudniu – poinformowali o nim eksperci z firm Dragos i SentinelOne. Wirus ten trafia do miejsc, które są obsługiwane przez źle skonfigurowany protokół RDP, web injection, exploitów i e-maili. W systemach przemysłowych korzystających z Windows potrafi zakończyć procesy związane z produkcją (SCADA) i zdalnym zarządzaniem, a przede wszystkim szyfruje pliki – jak twierdzą twórcy malware’u – z użyciem algorytmów poziomu wojskowego (AES-256, RSA-2048). Użytkownik lub administrator widzi na liście nazwy zbiorów danych z rozszerzeniami, które mają pięć dodatkowych znaków, m.in. wielkich liter.

Na razie pewne jest, że Ekans zdążył uderzyć w systemy firm paliwowych.Miejmy nadzieję, że nowy ransomware nie przebije sławą wirusa Petya, który ujawnił się na wielką skalę w 2017 r. Uderzał głównie w firmy działające na Ukrainie i w Rosji, niemniej dotknął też przedsiębiorstw z Niemiec, Wielkiej Brytanii, Francji, Włoch i Polski. Trudno na razie powiedzieć, czy Ekans zbliży się rozpoznawalnością i skutecznością do CryptoLockera i Petyi, ale specjaliści, którzy go wykryli, przekonują, że jest najgroźniejszym ransomware’em, jaki dotychczas napisano. Jak wspominałem, nie tylko szyfruje dane, lecz także zatrzymuje procesy w systemach przemysłowych.

A tak naprawdę ransomware pojawił się dużo wcześniej. Pierwsze przypadki historia informatyki odnotowuje na przełomie lat 80. i 90. Najpierw komputerom dokuczał program AIDS/PC Cyborg, później bardziej zaawansowane Gpcode i Troj.Ransom.A. Pamiętam, że kiedy usłyszałem o takich metodach wymuszeń, nieco naiwnie zakładałem, że nie mogą działać. Myślałem sobie, że gdyby ktoś zaszyfrował dane w moim komputerze, to nawet gdybym nie zrobił kopii zapasowej i nawet gdybym miał w urządzeniu ważne pliki, których utrata byłaby w jakikolwiek sposób kłopotliwa, to przecież nie mam żadnej gwarancji, że po zapłaceniu okupu przestępca odszyfruje mój dysk (prześle narzędzie lub klucz). Nie ma też żadnej pewności, że nawet po wpłaceniu pieniędzy i odszyfrowaniu nie padnę ofiarą tego samego ataku ponownie. Plus jeszcze poczucie, że uleganie szantażowi jest złem samym w sobie i nakręca przestępczy proceder. Teoretycznie, gdyby nikt nie płacił szantażystom, nie byłoby szantażystów, a w ogóle to nie negocjuje się z terrorystami… A jednak w praktyce negocjuje się i płaci – tak w przypadku terrorystów, jak w przypadku cyberprzestępców.

Tym, czego jeszcze nie wziąłem pod uwagę, jest obiekt ataku. Zwykły użytkownik ryzykuje, że straci dane istotne dla niego z przyczyn sentymentalnych, a ponadto trochę przydatnych dokumentów lub coś zawodowego gromadzonego w prywatnym urządzeniu. W każdym razie najpewniej strata będzie możliwa do zaakceptowania. Z kolei w korporacji atak może oznaczać ogromne straty, ryzyko wizerunkowe, relacyjne, wstrzymanie produkcji, a nawet –w skrajnych przypadkach – upadek firmy. I wtedy zasada o nienegocjowaniu z terrorystami trafia w tryby biznesowej Realpolitik. Dlatego właśnie CryptoLocker zarobił dla swoich twórców 27 mln dol. (szacunki ZDNet), a grupa wirusów ransomware, bazujących na wyłudzaniu opłat w kryptowalutach, generuje rocznie przychód przekraczający miliard dolarów (według specjalistów Bitdefendera).

A skoro mowa o przychodzie, autorzy Ekansa piszą do ofiar: „Jeśli jesteś zainteresowany zakupem narzędzia odszyfrowującego, prosimy o kontakt.”.. – tu pada adres e-mailowy czegoś na kształt biura obsługi klienta. A zatem to nie wirus, tylko zwyczajny cyfrowy produkt?